作者：向虎贤 李承浩 高琳红

[论文关键词]电子政务 信息安全 测评
[论文摘要]目前大部分电子政务系统部足重建设、轻安全，对系统的安全性不能做到心中有数。进行电子政务系统安全测评是掌握电子政务系统安全性的必要手段。本文围绕这个问题对电子政务系统安全测评的诸多方面进行研究分析。
l电子政务系统安全综述
21世纪足信息化的时代，信息化覆盖面广、渗透力强、带动作用明显，是推动经济社会发展和变革的重要力量，已成衡量一个国家或地区经济发展和社会文明进步的重要标志。电子政务足社会信息化发展的必然，发展电子政务对加快转变政府职能，提高行政效率，增强政府社会管理和公共服务能力，具有重大的推动作用，同时也是全面贯彻党的十七大精神，深入落实科学发展观的重大举措。随着电子政务的发展和人们对信息依赖程度的逐步提高，电子政务的安全问题也越来越突出，电子政务系统中被发现的安全漏洞越来越多，针对政府电子政务系统的攻击更是层出不穷。随着经济的发展政府在电子政务系统的投入也在不断增多，我国的电子政务发展口新月异，在软硬件建设上已初具规模，但是大部分电子政务系统都是重建设、轻安全，系统建设完成后对系统的安全性还不能做到心中有数。进行电子政务系统安全测评是掌握已投入使用的电子政务系统安全性的必要手段。那么如何系统科学地开展电子政务系统的安全测评工作呢?本文正是围绕这个问题对电子政务系统安全测评的诸多方面进行研究分析的。
2测评方法研究
在电子政务系统的安全测评中，摆在我们面前的测评对象往往是一个庞大的、错综复杂的信息系统，因此采用解决系统复杂性的科学方法是做好电子政务系统安全测评的必然选择。loCALhost举例来说，如果没有当年的系统科学工程都江堰，就不会有现。。在富饶的天府之国。都江堰水利工程在2008年经历了“5．12”汶川8级毁灭性的大地震之后，损失甚微，这非常值得我们深思。都江堰“治水”工程中的系统科学方法之思想，与我们今天的“治信息”的思想有着异曲同工之妙。
电子政务系统安全测评工作的最大特征就是要求澜评工程师具有“系统科学”的视野和方法。在这里“系统科学”包括以下几个方面的含义：
一是系统测评中要有严肃的科学精神、严谨的工作作风和对标准严格遵守的精神。所有的测评工作都必须严格遵守国家有关标准规范并严格遵循铡评工作流程，只有这样才能体现测评结果的客观性、科学性和公正性。
二是系统测评涉及到方方面面的技术，不是一个人就能完全驾驭的，从事测评工作的应该是一个团队，而不是单独的一个人，也就是说团队协作至关重要。
三是测评对象往往不是单一的软件或硬件，而是一个庞大复杂而且处在不断变化中的信息系统，这就决定了我们在铡评过程中不可能仅仅使用一套软件或是一种方法就能够完成任务，我们需要使用系统科学的方法。
四是将安全测评系统科学的方法宣贯给被测评方的相关管理人员和技术人员，即在测评过程中要贯彻“人一机合一”的系统科学思想。
本文主要按照上述的系统科学思想对电子政务系统测评中标准遵守、“人一机合一”、安全控制项的安全测评和系统整体安全测评的方法进行研究。
2．1遵守标准
标准往往只具有指导性而缺乏可操作性，因此要做到严格遵守标准就需要测评机构应该认真研究信息技术安全技术信息技术安全性评估准则》、《信息安全技术信息安全风险评估规范》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》等信息安全测评方面的标准，将其项目逐一细化为可操作性强的作业指导书，并编写各个安全测评控制项的安全检查方法和测试用例。另外，溯评前应制定测评计划和测评实施方案等文件。
2．2安全控制测评
系统中的各种安全控制(如数据安全控制、主机安全控制、网络安全控制以及应用安全控制等方面的配置情况和其有效性进行访谈、检查和测试)，是电子政务系统安全的基石，对电子政务安全控制的溯评也是对系统整体测评的基础。
安全控制测评的具体方法是访谈、检查和测试。访谈是指测评工程师通过与被测评方的相关管理和技术人员进行交流和讨论，获取能够证明系统安全措施有效的证据。检查是指测评工程师通过对测评对象进行观察、查验和分析等活动，获取能够证明系统安全措施有效的证据。测试是指测评工程师按照作业指导书和测试用例对测评对象进行输入的活动，然后查看分析输出结果，获取能够证明系统安全措施有效的证据。
如图l所示。
测评工作完成后应当出具一个包括访谈、检查和测试的整体测评技术报告。其中访谈部分的内容可以贯穿到报告的其他方面检查报告至少要包括检查对象、检查目标、检查环境、检查方案、检查步骤、检查结论和检查人员时间等内容；测试报告应该至少应包括以下内容：测试对象、测试目标、测试环境、溯试方案、测试步骤、测试分析、测试结果和测试人员时间等。

2．2．1数据安全测评
数据安全测评主要从数据的完整性、保密性、可用性和数据备份与灾难恢复四个方面来考虑，在测评过程中应尽可能的使用硬件或软设备来辅助工作，这样不仅可以提高测评效率，还有助于提高测评结果的准确性。如我们可以使用sentinel工具来帮助我们完成数据完整性检查和测试，检查主机足否配备了检测程序完整性受到破坏的功能，并能够在检测到完整性错误时采取必要的恢复措施；可以使

[1] [2] 下一页