论文关键词:电子政务 信息安全 应用
论文摘要:在电子政务建设中，如何准确把握信息安全与应用建设的关系，既有效减小安全风险，又保证应用顺利开展，是许多信息系统建设者、使用者都会遇到的问题。对于这一问题的圆满解决，既需要有微观上的技术手段，又要宏观上的理论指导和观念更新，尤其是宏观方面的考量，在信息系统建设的整体把握和政策导向方面尤为重要。本文通过对应用与安全两者在信息系统中所处位置的形象比喻，试图理清应用与安全之间既相互矛盾、又互为依存的关系，为信息系统的建设者、使用者提供决策参考依据。
随着电子政务应用的进一步深入，信息安全问题越来越成为大家关注的焦点。如何正确把握安全与应用的关系，安全配置的“边”在哪里，“度”又该如何衡量，这些问题在电子政务领域显得尤为突出。“水池定律”即是对这一问题做出的一种解释。
“水池的注、排水口同时开放，只有当单位时间内的注水量大于排水量时，水池内才会存住水，水池才有可能被注满。”—这个道理人人都懂，虽然我们都觉得一边注水一边排水很浪费，但在现实世界中，由于一些不可避免的客观原因所限，类似情况并不少见。
如果把信息系统看作一个水池，水看作利益，则注水相当于得到利益，排水相当于损失利益，一个信息系统能否给它的所有者带来收益，就是看这个水池能否存得住水。问题的关键就是看获得利益的速度是否大于损失利益的速度。
在电子商务领域，利益多表现为有形的资产，可以量化为金钱来衡量。信息系统经过一段时间的运行，它的效益可以从利润中体现出来。lOcaLhost对于电子政务，虽然不能简单一概而论，但道理是相似的。业务应用给信息系统的所有者及服务对象带来收益，是注水口，安全风险又会造成损失，是排水口。应用该不该建，安全上怎么防，关键是要让收益速度远远大于损失速度，即单位时间内的注水量大于排水量，这样池子里才存得住水，这个系统才建得值。所以不能单纯、片面地盯住安全问题，而应把它放在信息系统建设的大环境中，从整体上、全局上把握。这样一来，很多我们在信息安全建设中碰到的问题就有了决策的依据。
具体来说，在信息安全建设中，我们经常会碰到以下问题:
现象一:要把水池建成铜墙铁壁，滴水不漏一一信息安全过度配置，防护过度。
现象二:要关闭水池一一把个别安全事件作为普遍现象来衡量得失，从而导致信息化建设大踏步倒退。
现象三:水池没人管，谁都不清楚水池的注水量和排水量是多少一一应用效益缺乏评估，安全建设外紧内松，安全隐患依然存在。
造成上述问题的原因可能是以下一种或多种。
原因一:注水口的水流过小或根本没水—效益没见着，却要承担安全风险;费力不讨好也就罢了，谁愿意花钱找罪受、自讨苦吃?所以看上去是过分强调安全，实质上是应用效益没见着，没有源头活水，自然没有热情和本钱去承担哪怕是很小的一点安全风险。这里需要说明的是，一些服务于社会公众的应用，虽然所有者本身并没有直接获益，但公众获得了便利，相当于政府取得了无形收益，所有者可视为间接受益。
此外，与应用结合的安全建设需要根据应用量体裁衣。量体裁衣不是为了省布料，而是为了更合适。同理，根据应用定制安全也不是为了省钱，而是为了更安全。有了值得保护的应用，才有了评估风险的具体对象，也才好有针对性地制定防范对策。
原因二:注、排水口不在一个池子上。安全风险承担者不是应用效益获得者，两者之间没有共同的利益。
这种现象更为常见，但很多情况是利益链存在 “脱节”造成的。比如一个单位的应用取得效益，其荣誉归甲部门;同样是这个应用，安全出问题却要乙部门承担责任，合适吗?这不仅涉及是否公平、合理的问题，更影晌到系统的长远发展、生命力问题。

当安全风险承担者较为强势时，可能会片面强调安全，甚至把安全风险混同于具体的安全事故，这种概念混淆就好比以一次空难事故来衡量坐飞机的风险。即使发生了空难，飞机还是有人去坐，首先是因为它快捷，其次空难概率毕竟很小。所以说，安全事故是不能预测的，但安全风险是可以预估的。信息安全建设的所要做的是对可预估的风险采取相应措施，把能做的、该做的事做到位，那么即使事故还是会发生，我们也尽到了责任，问心无愧、不留遗憾。
当安全风险承担者较为弱势时，会出现“想管不敢管、想管管不了”的局面。具体表现为缺乏有效的评价、监督机制，即使有，执行起来也是畏首畏尾，难以落到实处。
针对以上两种原因，有以下解决办法可供参考。
解决办法一:信息化的目的是为了得到效益，所以没有效益的应用不如不建，在安全适度配置的前提下，要加大向应用要效益的力度;没人用的系统是最安全的，同时也是效用最低的，因此信息安全建设要与应用结合。
解决办法二:统一应用与安全建设的主体，做到业务谁主管，安全谁负责。如果统一主体确实存在困难，则要在两者之间建立利益等效机制，让利益链“环环紧扣”，让利益“流动”起来，这些可以通过调整管理体制，完善评价机制，健全监督机制来具体实现。
当然，实际情况更为复杂，我们要想以不变应万变，不被问题牵着鼻子走，需要把握以下原则: 绝对的安全是不存在的。当应用带来的收益远远大于安全带来的风险时，信息化工作才会大踏步地前进。我们应该做的，是大力建设能带来效益应用的同时，把安全风险控制在一个可容忍的较小范围内。也就是在扩大注水口的同时，缩小排水口。
前面为了能够简明地说清问题，我们把注水口简化为应用效益，把排水口简化为安全风险，形成了一个理想上的封闭环境。但正如我们不能将信息安全问题脱离开信息化的大环境去片面、孤立考虑一样，我们也不能把信息化的问题脱离开一个部门的整体大环境去考虑。从更宏观一点的角度考虑，给一个部门带来收益的并不只是信息化应用，给其带来损失的也并不只是信

[1] [2] 下一页