电子政务的安全风险汇总十篇
时间:2023-07-14 16:41:10
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇电子政务的安全风险范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
篇(1)
中图分类号:TP393.08 文献标志码:A 文章编号:1006-8228(2016)11-38-03
Analysis of information security risk assessment in E-government
Liu Feifei
(Department of Information, Business College of Shanxi University, Taiyuan, Shanxi 030031, China)
Abstract: In view of the security risk assessment in E-government system, the current situation of E-government system and the related concepts of information security risk assessment are introduced; The characteristics of risk assessment methods are analyzed, including OCTAVE method, SSE-CMM method and adaptive method being commonly used in E-government system; And the problems that need to be solved are discussed in order to provide reference for the security risk assessment of E-government.
Key words: E-government; security risk assessment; OCTAVE; adaptive method
0 引言
随着计算机与网络技术的飞速发展,我国各行各业信息化程度提高,电子政务也不例外。电子政务系统能够及时、动态地对信息进行更新,有利于政府信息的公开与共享;同时,建立一个良好的业务服务平台和信息互动平台,可以确保信息和服务的实效性,提高政府服务的效率和质量。电子政务系统涉及政府敏感或秘密信息,系统的稳定性与安全性成为政府工作的必要保障。电子政务系统安全是一项系统工程,传统的信息安全技术及设备不能带来真正的安全,因此,对系统进行各阶段的信息安全风险评估和管理是十分必要的。
1 电子政务系统现状
1.1 网络基本结构
电子政务是一个面向政府职能部门、企业以及民众的复杂的多层次的服务系统,其结构如图1所示[1]。内网是政府内部日常办公网络,实现内部信息的交流与处理,如文件传送、邮件收发等;专网主要用于实现政府内辖的职能部门之间的信息的互通,用以协作完成相关的项目申请、审批等主管业务;外网也指公众信息网是面向社会民众提供信息和服务的综合性网站,可以帮助公众了解最新的政策动态,提供网络服务等;信息库,为三网服务提供数据和所需的资源。
1.2 系统安全风险
电子政务系统网络结构复杂,业务繁多,数据机密性高,同时具有很大的开放性,所以势必面临各型各色的安全风险。主要体现在以下几个方面。
⑴ 物理安全风险
由环境(如水灾、火灾、湿度等)或系统自身物理特性(如设备线路老化、电磁泄漏干扰等)引起的系统不可用的风险。物理安全是系统安全的前提和保障,应做好相关的隔离与保护工作。
⑵ 网络安全风险
网络结构规划或安全部署不合理会带来来自内部和外部的安全缺陷;路由器、三层交换机、网关等网络设备自身配置及安全存在漏洞,会影响系统的安全性;另外,网络中使用的互连、路由协议的不健全,也会给网络带来安全威胁。
⑶ 管理安全风险
管理是防范网络内部攻击的主要手段,是电子政务网络安全的不可或缺的一部分。目前,管理和监管机制还不健全,不规范,缺乏可操作性,都会引起不可避免的安全风险。
2 信息安全风险评估概述
依据国际或国内的标准,使用相关的方法技术,标识系统中的核心资产及业务,识别存在的安全威胁及脆弱性,估算安全事件发生的可能性及带来的损失,同时,制定安全防护加固策略,这就是信息安全风险评估。其中风险分析计算是关键,计算原理如图2所示[2]。
常见的风险分析的方法有定量分析和定性分析。定量分析利用财务评估等手段来测算核心资产的实际价值,使用可量化的数值来估算系统的损失及风险等级,评估结果直观有效,但是资产价值的核算和风险计算复杂;常用的定量分析有决策树、聚类分析等[3]。定性分析通常依据评估者的知识经验,采用文字或假定的数值范围来评定风险等级,主观性强,结论不够严密;典型的分析方法有:德尔菲法、历史比较法等。通常会在定性分析的基础上,结合使用定量分析来实施风险的分析评估,如层次分析、概率分析等。
3 电子政务系统风险评估方法
目前,电子政务系统风险评估的方法主要有:OCTAVE方法、SSE-CMM方法及基于免疫的自适应法。
3.1 OCTAVE评估方法
OCTAVE(Operationally Critical Asset and Vulnerability Evaluation)可操作的关键资产、威胁评估法,它遵循自主的原则,从被评估组织中选调业务及信息技术人员组建团队,以定性分析为主,提供一个可操作的、规范的技术框架[4]。它围绕关键资产进行评估,评估人员要充分认识关键资产、资产所受威胁及系统存在脆弱性之间的关系。OCTAVE方法实施过程如图3所示。首先,组建评估团队,标识关键资产及存在威胁;其次,标识与关键资产相关的子系统及组件存在的脆弱性;最后,进行风险分析计算,确定风险等级,制定防护策略计划。
OCTAVE法从组织内部调配人员参与评估,会使得评估的内容更加全面,更具有可操作性,不同的组织根据自身的需求,可以通过多种不同的形式来实践执行。但是它依赖人为因素,只能粗略评估系统可能遭受的风险。
3.2 SSE-CMM评估方法
SSE-CMM(Systems Security Engineering Capability Maturity Model)系统工程能力成熟度模型,在安全工程中,针对不同的安全目标,定义了相应的模块化过程,并能够对组织执行特定过程的能力做出量化的评定,从而帮助寻找实现最终目标的最优途径。它将信息系统的安全过程分为3个模块化过程,通过11个过程域PA(Process Area)和5个能力成熟度级别来描述:风险评估过程,分析安全系统中存在的威胁;工程实施过程,利用相关措施解决/处理威胁可能带来的问题;信任度评估过程,评估执行者解决问题的能力。为了实现风险评估过程目标,SSE-CMM法定义了威胁评估、脆弱性评估、事件影响评估及系统风险评估等四个子过程。
SSE-CMM法指出了系统安全评估过程中的关键过程及必需的基本实施,同时能够量化评定每个过程的可行性,削弱了评估中的主观性;但是其没有规定过程的执行流程和步骤,可操作性差。
3.3 自适应评估方法
自适应评估法的关键在于系统的安全“免疫”子系统(也就是系统中的实时安全监控系统),它要求“免疫”系统能够区分无害的自体和有害的非自体,并能够根据需要及时地清理系统中的非自体;同时可以根据“免疫”系统受到的破坏实时动态地进行风险评估,实施防护。它要在“免疫”系统中定义“免疫”细胞,当出现黑客攻击、病毒等外来威胁时,“免疫”系统就会根据受侵害的程度发生动态变化,做出具体的响应,如禁止服务、关闭端口、关机等。另外,如果系统中的任意一台主机被攻击,都会迅速通知其他主机,使整个系统的安全得到最大的保障。
自适应风险评估法可以快速地识别系统中现有的风险,实施实时防护,并动态调整防护系统,更好地提高系统的安全性,是未来的发展趋势。但是它的实施难度较大,系统成本较高。
电子政务系统风险评估是一项复杂的大工程,一般采用可操作性较强的OCTAVE方法,但是OCTAVE方法是定性分析的,主观性较强,评估结果较为粗略。所以,在实际的评估过程中经常将层次分析、模糊数学、熵理论、D-S证据理论及BP神经网络等应用到OCTAVE方法中,来降低对于人为主观性的依赖,优化评估的结果[5]。
4 结束语
伴随各种移动电子政务业务的出现,使得电子政务系统的安全形势更加严峻,针对电子政务系统开展信息安全风险评估,我们可以发现,系统在建设、实施和运行过程中存在的威胁、脆弱性及风险,而部署防护及加固安全策略,可以为电子政务提供安全可靠的网络环境。
目前,电子政务系统信息安全风险评估还需要在以下方面加强研究:适应电子政务行业需求的风险评估方法及模型的研究;适用于风险评估不同阶段的自动化评估工具的开发;动态风险评估方法的设计与应用。
参考文献(References):
[1] 李煜川.电子政务系统信息安全风险评估研究―以数字档案
馆为例[D].苏州大学硕士学位论文,2011.
[2] 唐作其,陈选文,戴海涛,郭峰.多属性群决策理论信息安全风
险评估方法研究[J].计算机工程与应用,2011.47(15):104-107
[3] 李增鹏,马春光,李迎涛.基于层次分析信息系统风险评
估[J].理论研究,2014.3:80-86
[4] 赵磊.电子政务网络风险评估与安全控制[D].上海交通大学
篇(2)
1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题,通常是将基于公钥证书(PKC)的PKI(PublicKeyInfrastructure)与基于属性证书(AC)的PMI(PrivilegeManagementInfrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在该模型中:
2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。
2.2验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
转贴于中国论文下载中心www
3电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
篇(3)
中图分类号:C93文献标识码: A
一、 电子政务概述
电子政务,亦称电子政府、政府信息化管理,是政府机构以计算机为媒介,应用现代信息和通信技术,将政府的管理和服务工作通过网络技术进行集合,以实现政府部门工作的进行以及组织结构的优化重组,从而及时向社会及公众提供全方位、行之有效的管理和服务。
电子政务是政府管理方式的革命,它的运行有助于建立一个开放透明的政府,一个勤政廉洁的政府。电子政务职能实现的前提是信息安全的有效保障,大量政府公文在政务信息网络上的流转,一旦存在信息安全问题,则直接导致机密数据和信息的泄漏,危及到政府的核心政务。如果电子政务信息安全得不到保障,电子政务的效率便无从保证,这将给国家利益带来严重威胁。所以说,信息安全是制约电子政务建设与发展的首要问题和核心问题。
二、 电子政务面临的风险
(一) 认知层面的风险
电子政务在国内建设与使用时间不长,缺乏深入研究。一些人只是简单地认为电子政务系统就是信息化,只要实现了网络数字化就可以推行电子政务,从而出现盲目建设、脱离现实条件等问题;还有一部分人认为电子政务就是运用计算机代替传统手工模式,这就固化了现有政府结构,不利于政府的改造与职能的转变。
(二) 规划层面的风险
规划层面的风险主要有:规划制定人员、规划的范围和内容、规划计划的实施步骤、规划中的政策因素等等。
信息技术的进一步应用,使得政府的组织形态正在由传统的金字塔垂直模式向错综复杂的网状结构转变,这就要求政务机构的运行方式作出相应转变,进行电子政务的整体规划。电子政务是整个系统建设的基础,是项目成功的基本保障。只有了解了本地区的发展现状,了解地方政府的特点,了解本地区的政务工作流程,才能编制出适合本地区电子政务的发展规划。但目前,地方政府在电子政务方面的规划明显不足,缺乏可操作性,这就导致在使用过程中面临着很大风险。
(三) 物理安全层面的风险
物理安全层面的风险主要指的是网络环境和物理特性引起的网络设备和线路的不可用,从而造成网络系统的不可用。例如,线路老化、蓄意破坏、设备意外故障、自然灾害等, 这些都属于物理安全层面的潜在风险因素。
(四) 应用层面的风险
应用层面的风险主要表现为非法访问,即窃取用户口令、用户信息被剽窃或修改等,由于政府网络对外提供WWW服务,Email服务、DNS服务等,因此也存在着外网非法用户对内部服务器的攻击。
(五) 系统层面的风险
当前电子政务网通常采用的操作系统本身在安全方面的考虑较少,服务器与数据库的安全级别较低,这在很大程度上存在着安全隐患,加之病毒的潜伏,这些都增加了系统在安全方面的脆弱性。
(六) 技术层面的风险
技术层面的风险主要表现为技术线路、设备选型、工程质量、系统性能等风险。技术层面的风险不仅关系到项目的实施情况,也关系到项目后期的维护和应用。现阶段受技术发展的制约,我们在技术方面还存在着很大欠缺,因此存在着一定的技术风险。
(七) 资金层面的风险
受利益的驱使,有些部门在制定规划时,将电子政务的规模越做越大,虚设资金越来越多,这就使得电子政务的建设变得越来越困难。除此之外,在资金使用方面,由于缺乏对部门资金的有效监督,使得资金浪费现象严重。如果不能合理计划和控制资金的流向,这将直接影响电子政务的建设,甚至促使一种新的腐败的产生。另外,在后期维护上,电子政务系统也需要运营资金的支持,没有了运营资金的有效支持,就没有了电子政务的内容来源。
(八) 管理层面的风险
在电子政务运行过程中需要管理的内容主要有规划管理、技术管理、过程管理、运维管理、安全管理等。管理的风险不仅体现在单个项目的管理,也体现在根据规划对相关项目群的管理风险。管理风险是项目实施过程中最主要的风险,是项目成败与否的关键。随着信息系统建设和应用规模的不断扩大,管理的难度和风险还将不断加大,但与此同时,政府部门缺乏信息化项目管理的专业人员,缺乏项目管理的风险意识,这与快速发展的电子政务管理要求不相匹配。
三、 电子政务管理防范措施
(一)强化信息管理人员的安全意识
电子政务信息安全是电子政务正常而高效运转的基础,是保障国家信息安全的重要前提,电子政务信息管理人员要正确认识并高度重视,及时发现影响信息安全的现象。政府部门要对信息管理人员进行必要的培训,普及信息安全知识,增强信息管理人员的安全意识;积极开展安全策略研究,明确安全责任,增强信息管理人员的责任心;积极组织各种讲座和培训班,培养专业信息安全人才,确保防范手段和技术措施的先进性和主动性。
(二)实施保障措施,建立系统安全保障体系
电子政务系统安全风险的威胁无处不在,它主要来自于物理环境、技术环境、社会环境等。建立全方位的电子政务信息系统安全保障体系是规避电子政务安全威胁因素的必要方式。在充分分析系统安全风险的基础上,通过制定系统安全策略和采用先进的安全技术,才能对系统实施安全防护和监控,使其真正成为智能型系统安全体系。具体做法有:
1.实施监测系统的运行情况,及时发现和制止可能对系统出现威胁的各种攻击;
2.记录和分析安全审计数据,检查系统中出现的违规行为,判断是否违反法律法规,为改进系统提供充足的依据;
3.对数据恢复应进行应急处理和响应,及时恢复信息,降低被攻击的破坏程度,包括备份、自动恢复、快速恢复等。
(三)制定合理资金计划,确保有序利用
充足的资金是保证电子政务顺利开展的必要条件。前期指定电子政务建设的方案中,要根据本单位、本部门的实际情况制定合理的资金预算方案,确保不虚报资金预算,杜绝腐败滋生;在后期维护过程中,资金也要及时到位,以确保电子政务信息系统的顺利进行。
(四)健全电子政务法律法规建设
法律是保障电子政务信息安全的最有力手段。政府立法部门应加快立法进程,借鉴国外网络信息安全立法方面的先进经验,制定完备的信息网络安全性法规,完善我国的网络信息安全法律体系,使得电子政务信息安全管理走上法制化轨道。
电子政务是实现“电子政府”的有效途径,在政府推动信息化的同时,也要注意其过程中产生的风险,正视风险本身,加快制定保障电子政务健康发展的政策法规,才能降低风险,从而有力地推动和改进政府的管理方式,才能有助于更好的发挥其政府职能。
参考文献:
[1]方德英,李敏强.IT项目风险管理理论体系构建[J].合肥工业大学学报(自然科学版),2003,,2(8):907-908.
篇(4)
2 电子政务发展现状以及概念
2.1 电子政务信息安全保密管理阶段
目前,可以将我国电子政务中的信息安全保密管理分成三个阶段:(1)实现全自动化办公,应用的工具主要是Office软件以及台式计算机,把原来的手写形式变成了电子输入,使办公操作能够更加快捷和方便;(2)把Internet当做主要客户端,不同用户、不同行业以及不同终端等都可以贯通交互,使信息交换以及资源共用范围可以更加广泛,显著提升了以前的工作效率;(3)以外部网络以及内部网络共同建立的电子政务信息为中心。
2.2 电子政务具体概念和相应的保密要求
所谓电子政务就是指国家政府机构通过现代信息技术以及通信功能进行政务信息交流的手段,利用网络技术使管理工作以及服务在这一领域更加深化,从而产生的一种信息交流方式,就是为了优化重组政府内部具体工作流程以及组织结构,使其不再受到时间以及部门和空间的分隔限制,让政府能够有效地和更加诚信地进行行政管理,使管理环节更加精简,为社会提供更加优质、透明、规范、全面的管理以及服务。我国《保密法》是在2010 年重新修订并且正式实施的,其中就进行了规定,以保证国家秘密安全为工作前提,合理应用相应的电子网络信息。和发达国家相比,我国信息产业发展以及信息技术水平还比较落后,虽然有些安全软件可以对电子政务起到一定的防御作用,同时,也必须考虑安全软件所具有的性能是否与电子政务的国情相符。
3 电子政务信息具体安全保密风险和相应的防范措施
3.1 网络技术安全所具有的脆弱性
篇(5)
模型分析
信度指测量结果一致性或稳定性的程度。运用SPSS16.0对量表的信度进行检验,Cronbach’sα为0.844,而各分量表信度分析结果(表2的Cronbach’sAlpha系数)表明,5个潜在变量的α系数值均满足大于0.70的要求,因此,该量表具有较好的信度。结构效度是指量表测量结果同期望评估内容的同构程度,运用标准化因子负荷来检验结构效度,表2给出的结果表明,测量指标的标准化因子负荷(Estimate值)大部分大于0.7,并在99%的置信度下高度显著(C.R.值>2.58)。表明本研究构造的变量效度较好,适合做结构方程模型分析。前文建立的结构方程模型必须通过拟合度检验,才能认定假设模型与实际数据样本的一致性。若模型的拟合度高,则代表模型可用性越高,参数的估计越具有含义。对于拟合度的考核有较多指标,但不同的指标在不同的模型复杂度、样本数量下有着不同的表现特性,必须根据具体情况同时参考各种拟合度指标[4]。本研究利用AMOS7.0进行结构方程模型的分析,主要使用CMIN、RMSEA、CFI、GFI等较为稳定的指标考核模型拟合度,拟合后的评价结果及其理想值汇总于表3。从表3中可知假设模型较好地与样本数据拟合,具有较高拟合度。经过对结构方程模型的分析,可以得到各个潜在变量之间的路径系数以及可测变量与潜在变量之间的因子负荷。路径系数及因子负荷量汇总于上表2(Estimate值)。从中可知,潜在变量之间的路径系数、可测变量在对应的潜在变量中的因子负荷所对应的C.R.值均大于1.95的拟合要求,表明各路径系数以及因子负荷在p=0.05的水平上具有统计显著性,能够作为进一步分析的依据。2.3假设检验结果从表4可以看出,本文提出的假设模型中有10个假设通过了调查数据的验证(t>1.96),2个假设(H1和H7)没有通过调查数据的验证。
电子政务外包风险对绩效的作用路径及效应分析
由于篇幅有限,此处仅给出了变量间的总效应,如表5所示,而直接效应可由表2的Estimate值给出,相应的间接效应=总效应-直接效应。图2显示了电子政务外包风险因素间的相互作用关系以及风险对绩效的作用路径及效应。从表5看出,“外包决策风险”对“电子政务外包绩效”的总效应是最高的,但是其直接效应(0.152)却是不显著的,这是由于外包决策主要处于整个外包过程的前期,与其它环节的关系极为密切,其对外包绩效的影响主要是通过后续环节的其它风险因素间接作用的,对“关系管理风险”、“团队运作风险”、“成本管理风险”影响的总效应都大于0.6,均较为显著。外包内容、范围的决策是否合理、服务商选择是否正确对团队运作阶段的需求分析、服务质量、项目管理影响都比较大,外包市场不成熟引致的知识产权保护乏力、涉及核心机密的政务外包决策失误、选择的服务商商誉不良引起的信息泄漏等方面都对电子政务的安全构成威胁。因此,“外包决策风险”的扩散效应不可小觑,可能会由于外包决策的一些失误,导致连锁反应,最终对电子政务外包造成不可挽回的损失。当前,电子政务外包市场较不成熟,政府部门在制定外包决策过程中,要明确外包应该包什么、怎么包,确定具体的任务和目标,对潜在的运营企业进行评估,选择商誉良好的运营企业。在政府部门建立CIO制度,为外包决策提供支持。研究表明,成熟的CIO制度能够为外包范围程度、运营企业评估选择提供有效的指导与协调支持,较好地解决政府部门在外包决策中的信息不对称现象,防范机会主义风险[5],在外包执行过程中进行有效监督并给予有力的支持,提高政府部门在关系管理、知识管理、成本管理等方面的经验与能力。
“关系管理风险”对“电子政务外包绩效”的总效应略低于“外包决策风险”,居第二位,其直接效应(0.236)也仅次于“团队运作风险”,间接效应(0.435)非常显著。“关系管理风险”包含的风险因素中,‘合同不完善’、‘外包主体关系不和谐’以及‘外包主体之间缺乏沟通’都是外包领域较为常见也较难克服的风险因素,对电子政务外包绩效的影响较为深重。此外,“关系管理风险”与其它类别的风险因素关系也较为密切,对“知识管理风险”、“团队运作风险”的总效应均在0.7以上,显著水平较高。“关系管理风险”中的‘合同不完善’风险影响比较大,属关键风险因素,特别要重视这一风险因素对“知识管理风险”中的‘绩效评量体系失效’、‘知识共享不足的影响’。而‘外包主体关系不和谐’对“团队运作风险”中的‘团队结构与行为不适应’风险的影响效应也特别大,影响双方团队人员之间的沟通协作及问题的解决。为了防范关系管理风险,应制定明确、完善而兼具柔性的合同,加强政府部门与运营企业之间的伙伴关系管理。研究发现,基于满意、沟通合作、长期互动的关系能够改善政府部门与运营企业之间的信任程度[6],防止运营企业采取机会主义行为侵害政府部门的利益,实现双方共赢、共担风险、目标资源优势互补。在外包关系的管理上,促进双方建立长期的合作与信任关系,并通过短期合同的方式[7],使运营企业一直处于竞争的环境之中,激励他们提供较高质量的服务。
“知识管理风险”对“电子政务外包绩效”的总效应为0.441,直接效应为0.213,均较为显著。值得一提的是,“知识管理风险”对其它类风险的直接效应较不显著,唯独对“团队运作风险”的效应较为显著,达到0.597,并通过“团队运作风险”间接影响“成本管理风险”,这也构成了对“电子政务外包绩效”的间接效应。这主要由于“知识管理风险”潜伏性较强,不易识别,但是对团队运作的知识流程作用深远,对电子政务外包过程中的知识共享、安全保密控制、绩效评量、学习与创新能力的培养等方面的影响都较为关键,“知识管理风险”对“电子政务外包绩效”中的战略绩效的影响极为显著。此外,“知识管理风险”对“团队运作风险”的总效应也达到0.597,运营企业的知识管理能力与经验不足,在知识共享、安全保密控制、绩效评量等方面的工作就会做得不到位,相关的风险就很可能产生,而政府部门一旦缺乏知识管理方面的能力与经验,对知识流程(主要是知识共享、安全控制、评价)的监督控制就会大大削弱。电子政务外包双方要加强风险管理与知识管理的融合,通过对外包过程中的知识管理来控制风险,同时,也要通过风险管理经验的不断积累,形成风险管理知识并加以共享创新,提高外包过程中的知识管理水平[8]。外包双方应注重相关风险管理知识的存储、共享、运用与再创造,以提高知识管理与风险管理的融合水平。政府部门应加强知识转移控制、制定安全防范机制、确定合理的绩效评价标准,同时,也要重视组织学习与创新能力的培养,适时开展相关的学习培训活动,提高政府工作人员学习创新的积极性,注重知识与经验的积累,提高学习与创新能力,掌握外包过程中的主动权;运营企业应合理配置团队的知识资源,使得团队人员知识互补、互相协调,提高参与人员素质,防止信息泄露[9],及时向政府部门反馈绩效信息,完善相关文档,做好知识转移工作;监理方要严格规定外包主体责任,强化服务质量信息披露,充分发挥其咨询、监督、评估的作用,制定严格的电子政务外包安全执行标准和完备的安全监管制度,完善工作流程、加强外包合同约束机制,并协助政府部门选择信誉好、具有保密资质的运营企业。#p#分页标题#e#
在所有风险类别对“电子政务外包绩效”的直接效应中,最大的是“团队运作风险”,达到0.269,显著性水平较高。在电子政务外包的执行过程中,团队运作是关键,“团队运作风险”包含的潜在风险因素都会直接影响到绩效水平,而且影响作用都比较大,属于关键风险因素,特别是‘需求分析不准确’对后续工作的影响较为重大,不仅直接影响到团队运作的顺利进行,加大了团队运作阶段的风险,也不利于知识管理、成本管理的开展,应予以重视。“团队运作风险”对“成本管理风险”的总效应(0.585)较为显著,成本预算控制作为项目管理的关键,也需要双方具备相应的项目管理能力与经验,相应的风险对成本预算控制的不良影响也是需要予以重视的,而需求分析不准确与频繁变更对隐性成本累积的影响也是不容忽视的,团队结构与行为不适应引起的人员变动、沟通协调问题也增加了协调成本。研究表明,发包方与承包方在需求分析以及变更控制方面的风险问题,主要由于外包双方缺乏沟通以及对外包过程的控制不力,这也是团队运作的其它风险因素产生的主要原因。为此,运营企业应就政府部门的电子政务需求进行系统地调查分析,与对方加强沟通合作,在团队运作中重视政府部门人员的参与;政府部门应提高自身的管理经验与能力,促进团队结构与行为的协调,主管领导应对外包项目予以重视,提供必要的支持。
篇(6)
电子政务,即各级机关在实践管理工作开展过程中需借助电子信息技术,打造分层结构、集中管理网络管理环境,且推进电子政务系统由“功能单一”向“综合政务网”转变,从而提升整体政府服务水平,同时借助网络平台加强与公众间的互动性,并营造双向信息交流环境,有效应对计算机病毒、黑客攻击、木马程序等网络安全问题。以下就是对电子政务系统网络安全问题的详细阐述,望其能为当前政府机构职能效用的有效发挥提供有利参考。
1.电子政务系统网络安全研究
1.1网络安全需求
就当前的现状来看,电子政务系统网络在运行过程中基于垃圾邮件攻击、网络蠕虫、黑客攻击、网络安全威胁等因素的影响下,降低了服务质量。为此,当代政务系统针对网络安全问题提出了相应的网络安全需求:第一,网络信息安全,即在电子政务系统操控过程中为了规避政务信息丢失等问题的凸显,要求管理人员在实践信息管理过程中应从信息分级保护、信息保密、身份鉴别、网络信息访问权限控制等角度出发,对可用性网络信息实施管理,打造良好的网络信息使用环境;第二,管理控制安全。即由于电子政务网络系统需与Internet连接,因而在内部局域网、外部局域网管理过程中,应设置隔离措施,同时针对每个局域网用户设定访问限定资源,并针对用户身份进行双向认证,由此规避黑客攻击等问题的凸显。而在信息传输过程中,亦需针对关键应用信息进行加密,且配置网络监控中心,实时掌控恶意攻击现象,并做出及时响应;第三,统一管理全网,即为了降低网络安全风险问题,要求当代电子政务网络系统在开发过程中应制定VLAN划分计划,且针对通信线路、访问控制体系、网络功能模块等实施统一管理,规避非法截获等安全问题[1]。
1.2网络安全风险
(1)系统安全风险。就当前的现状来看,我国UNIX、Windows、NETWARE等操作系统本身存有安全隐患问题,因而网络侵袭者在对系统进行操控过程中,可借助系统漏洞,登录服务器或破解静态口令身份验证密码,访问服务器信息,造成政务信息泄露问题。同时,在电子政务系统网络管理过程中,部分管理人员缺乏安全管理意识,从而未及时修补系统漏洞,且缺乏硬件服务器等安全评定环节,继而诱发了系统安全风险。此外,基于电子政务网络系统运行的基础上,侵袭者通常在公用网上搭线窃取口令字,同时冒充管理人员,向系统内部局域网直入嗅探程序,从而截获口令字,获取网络管理权限,造成电子政务系统信息损失。为此,为了规避信息截获等网络安全问题的凸显,要求管理人员在实践管理工作开展过程中应针对操作系统、硬件平台安全性进行检测,且健全登录过程认证环节,打造良好的电子政务系统服务空间,满足系统运行条件,同时实现对登陆者操作的严格把控。(2)应用安全风险。电子政务系统网络运行中应用安全风险主要体现在以下几个方面:第一,网络资源共享风险,即各级政府机构在网络办公环境下,为了提升整体工作效率,注重运用网络平台共享机关机构组成、政务新闻、政务管理程序等信息。而若某工作人员将政务信息存储于硬盘中,将基于缺少访问控制手段的基础上,造成信息窃取行为;第二,电子邮件风险,即某些不法分子为了获取政务信息,将特洛伊木马、病毒等程序植入到邮件中,并发送至电子政务系统,从而通过程序跟踪,威胁电子政务系统网络安全性。为此,管理人员在对电子政务系统进行操控过程中应提高对此问题的重视程度,同时强调对垃圾邮件的及时清理[2];第三,用户使用风险,即在电子政务系统平台建构过程中,为了规避网络安全风险问题,设置了“用户名+口令”身份认证,但由于部分用户缺乏安全意识,继而将生日、身份证号、电话号码等作为口令字,从而遭到非法用户窃取,引发政务信息泄露或攻击事件。为此,在系统操控过程中应针对此问题展开行之有效的处理。
2.电子政务系统网络安全设计应用
2.1系统安全
在电子政务系统应用过程中,为了打造良好的网络运行空间,在系统设计过程中应融合防火墙隔离、VLAN划分、HA和负载均衡、动态路由等技术,并在电子政务网络结构部署过程中,将功能区域划分为若干个子网结构,同时合理布设出入口,并实时清理故障清单,从根本上规避网络安全风险问题。同时,在操作系统安全设置过程中,应针对安全配置安全性进行检测,并限定etc/host、passwd、shadow、group、SAM、LMHOST等关键文件使用权限,且加强“用户名+口令”身份认证设置的复杂性,避免操作风险的凸显[3]。此外,在电子政务系统操控过程中,为了确保系统安全性,亦应针对系统运行状况做好打补丁操作环节,并及时升级网络配置,营造安全、稳定的系统运行空间。
2.2访问控制
在电子政务系统网络安全应用过程中加强访问控制工作的开展是非常必要的,为此,首先要求管理人员在系统操控过程中应结合政务信息的特殊性,建构《用户授权实施细则》、《口令字及账户管理规范》等条例,并严格遵从管理制度要求,实现对网络环境的有效操控。同时,在网络出入口等网络内部环境操控过程中,应设置防火墙设备。例如,在Switch、Router安全网络域连接过程中,即需在二者间设置防火墙,继而利用防火墙IP、TCP信息过滤功能,如,拒绝、允许、监测等,对政务信息形成保护,同时在网络入侵行为发生时,及时发出警告信号,且针对用户身份进行S/Key的验证,达到网络访问控制目的[4]。其次,在网络访问控制作业环节开展过程中,为了规避电子政务网内部服务器、WWW、Mail等攻击现象,应注重应用防火墙应用功能,对安全问题进行有效防控。
2.3数据保护
电子政务数据属于机密性信息,因而在此基础上,为了规避数据泄露问题的凸显影响到社会的发展,要求我国政府部门在电子政务系统运行过程中,应扩大对《上网数据的审批规定》、《数据管理管理办法》等制度的宣传,同时在PC机管理过程中,增设文件加密系统,并对访问者进行限制,最终实现对数据的高效保护。其次,在对SYBASE等通用数据库进行保护过程中,应增设访问/存取控制手段,同时完善身份验证、访问控制、密码机制、文件管理等功能模块,从而通过角色控制、强制控制等方法,对数据形成双层保护,并加强假冒、泄露、篡改等现象的管理,保障系统网络安全性[5]。再次,在政务数据使用、传输过程中,应定期检测服务器内容完整性,例如,WWW服务器、FTP、DNS服务器等信息,满足政务信息使用需求,同时提升政府服务水平。
3.结论
综上可知,传统电子政务系统网络管理工作实施过程中逐渐凸显出信息截获、信息泄露等问题,影响到了各级政府机关服务水平。因而在此基础上,为了实现对网络安全风险问题的有效处理,要求管理人员在实际工作开展过程中应注重加强安全管理工作,同时从数据保护、访问控制、系统安全等角度入手,对政务系统网络环境形成保护,满足电子政务网络系统应用需求。
作者:韩戴鸿 邬显豪 徐彬凌 胡大川 钱诚 单位:常州市科技信息中心
参考文献:
[1]王淼,凌捷,郝彦军.电子政务系统安全域划分技术的研究与应用[J].计算机工程与科学,2010,12(8):52-55.
[2]魏武华.电子政务系统的网络架构及其应用研究[J].计算机时代,2013,12(7):13-16.
篇(7)
中图分类号:TP399-C2
当前,计算机网络技术迅猛发展,社会网络信息化进程基本得到普及。在世界各国逐渐实现电子政务系统的大背景下,我国政府机构各部门实现电子化、网络化和信息化后,有利于政府提高行政管理效率和办公效率,改善公共服务。然而,电子政务系统中的一部分信息涉及到国家安全和机密,另外系统本身对开展工作都有很重要的作用,在电子政务为政府工作带来高效和便利同时,信息化系统中所潜在安全风险也越来越高。
当前我国电子政务系统在整体管理机制、技术防范体系、全面集中安全管理策略平台定制等方面,都有很多不足之处,迫切需要进行系统风险评估来发现弱点弥补不足。
1 电子政务系统概述
一般而言,电子政务系统包括三个组成部分:第一政府部门内部办公职能的电子化和网络化:第二政府职能部门之间通过计算机网络实现有权限的实时互通的信息共享;第三政府部门通过网络与公众和企业间开展双向的信息交流与决策。目前各级政府部门所广泛使用的办公自动化系统,属于第一类电子政务的范畴。政府部门通过自己的互联网站政务信息,以及进行网上招标、网上招聘、接受网上投诉等,则属于第三类电子政务的范畴。一个完整的电子政务系统,应当是上述这三类系统的有机结合。
2 电子政务系统技术的安全风险
2.1 计算机系统硬软件物理局限性
计算机系统硬软件本身具有脆弱性的特点,在各种自然灾害、人为破坏下容易受到损害。比如计算机系统遭遇过高或过多的温湿度、磁场、碰撞、污染,或者硬件设备故障,或者被突然断电、电压不稳,或者遭遇火灾、地震、洪水的破坏,这些危害会不同程度地损害计算机操作系统的硬软件设备,严重时会使丢失或破坏计算机系统数据,甚至摧毁整个计算机系统硬软件设备。
2.2 网络本身存在难以弥补的缺陷问题
电子政务系统在网络运行过程中会存在以下几个方面的安全风险:一是黑客对电子政务系统进行伪装后,骗取用户账号、密码;二是电子政务系统用户提交业务信息后被黑客非法监听,修改;三是电子政务系统用户在成功提交业务后出现抵赖行为,有时没有凭证;四是黑客对电子政务系统进行非法访问;五是电子政务系统运行离不开网络,使得网络方面是一个重要风险点,主要存在于网络层、系统层、应用层等。
3 电子政务系统管理的安全风险
据有关对电子政务系统网络入侵、攻击事件的调查数据显示:欧美政府电子政务系统被入侵的安全风险指数达21%,其中政府内部不满职工入侵安全风险指数是89%、竞争对手入侵安全风险指数是72%、黑客入侵安全风险指数是48%。事实表明,电子政务系统的信息安全不只是单纯的技术安全问题,还应该从工作管理制度、职工管理上建立有效的安全防范机制。如果没有有效的安全保护机制做保障,再完善的技术和设备也很难保证电子政务系统正常运行。
3.1 用户安全意识薄弱
网络用户的安全意识属于非技术层面的、是隐性的,它比表面的技术难题更难克服。主要表现在人们对信息安全保密的认识不足,潜意识里对安全的理解和关注不足,单位领导层对安全基础设施的利用和资金投入不足等。
3.2 管理制度不完善
在电子政务系统管理过程中经常出现的不当情况有:机房重地没设没卡无人看守,非工作人员能随意进出;工作人员在机房开机状态下离开岗位,有关重要的敏感信息被临时存放在本地的磁盘上,且未设置保护状态。这些行为会导致机房或电子政务系统被外部入侵,更为系统内部破坏埋下长期隐患。一般来说,来自内部的安全威胁会更大些,原因在于内部工作人员更了解系统内部网络、主机、应用系统的结构功能;更了解内部管理员的工作漏洞和工作习惯,有时,甚至破坏者自身就是一名内部管理人员;内部工作人员一般都拥有系统的一定访问权限,能很顺利地规避正常的访问监控机制;内部工作人员对内部系统能有更多的机会进行网络侦查,容易进行有针对性地系统登录、密码破解行为。
3.3 缺乏应急机制
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
4 针对电子政务系统风险的解决方案
4.1 加强硬软件建设,确保电子政务系统安全
要保障计算机电子政务网络系统的安全,前提是要确保计算机信息系统有关运行设备的物理安全。设备的物理安全主要包括线路安全、设备安全、环境安全三个方面。确保设备的物理安全是要保护计算机网络设备、设施远离火灾、水灾、地震等自然灾害事故,远离人为操作错误,远离各种损害计算机系统的行为。
为确保电子政务系统的安全,通常情况还应把不同密级的网络进行有效隔离,可以采用隔离技术将核心密级、普通密级在物理上进行有效隔离,同时要通过技术手段在逻辑上将两个网络进行有效连通。
电子政务网络系统是通常由省、市、县政府三级网络组成的体系结构,从网络安全角度层面上看,三级网络结构存在于不同的网络安全域,应该在各级的网络边界、政务网、Internet边界设置安装有效的防火墙,并进行相对应的安全策略控制。同时,根据满足对外信息查询等服务的要求,可把对外公开服务器集合起来划分出专门的服务器子网,设置防火墙策略来保护对客户的访问。网络边界安全的防范可采用防火墙等成熟产品和技术实现网络的访问控制,采用安全检测手段防范黑客入侵。
4.2 加强管理,保障电子政务系统安全运行
针对网络安全的脆弱性,我们可在网络设计上增加安全服务功能,完善系统的安全保密措施,同时,要制定有效的安全管理制度,加强网络的安全管理。实施安全管理做好以下几个原则:一是坚持职责分离原则。禁止工作人员了解、参与职责以外的任何安全操作行为;二是坚持多人负责原则。对每项与安全有关的操作都要求有多人在场,相互监督。这些人都应忠诚可靠。三是坚持任期有限原则。对涉及安全的工作人员不能长期兼任,要适当根据年限和表现进行调整。
5 总结
对电子政务系统的描述,让我们了解到电子政务系统给我们的生活带来的极大便利,同时分析出存在的风险,进而在技术上克服难关,确保系统的安全。另外,人在工作中的不确定性操作也会造成很大的安全威胁,所以也要求对工作人员进行严格管理,培养安全意识。这样我们做到了既从技术上解决各种威胁,又从人员管理上尽量减少意外事故发生的几率,从而保证了电子政务系统的安全,相信电子政务系统会给我们的生活带来巨大的改变,发挥出更大的作用。
参考文献:
[1]黄志澄.电子政务的内涵及发展[J].中国信息导报,2010(4).
[2]杨义先,林晓东,邢育森.信息安全综论[J].电信科学,2009(12).
[3]谢健全.信息系统安全防护技术[M].中国宇航出版社,2006,07.
[4]聂晓伟,张玉清,杨鼎才.基于BS7799标准风险评估方法的设计与应用[J].计算机工程,2005,31(19):70-72.
篇(8)
1 引言
随着政府信息化系统的完善,各行业与政务软件衔接的问题也越来越突出,政府通过电子政务软件来保证对各部门信息的共享,及下属企业信息的收集、数据处理等工作。而下属企业为了实现办公自动化必须引入相关的管理软件,这时就会产生不同系统之间数据的管理及共享问题。电子政务软件采用SOA的架构是比较适合的架构,因为分布于各部门和社会各单位中的系统是各自独立的也是千差万别的,当执行数据处理任务的时候,又需要这些系统进行协同操作,此时SOA就有了优势。本文从多个角度探讨了SOA架构下电子政务及项目管理软件之间的接口衔接问题。
2 SOA架构的概念
SOA面向服务的体系结构(Service-OrientedArchitecture)是一个组件模型。SOA与其它的标准不同的是,SOA的标准是基于分布式的、松耦合的,具有良好的夸平台性。它将应用程序的不同功能单元通过这些单元之间定义良好的接口和契约联系起来,接口是采用中立的方式进行定义的,它独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种这样的系统中的各个单元可以用一种统一和通用的方式进行交互。
3 电子政务软件面临的问题
目前,我国的电子政务正在逐步实现由“政绩导向”向“服务导向”的转变。以服务为中心,使得使用者能够更广泛的、更快捷的获得需要的信息。但是目前电子政务软件的独立性很强,很难和其他软件进行交互,这使得各行业之间在上报资质等问题上需要2次登记,在企业内部的信息系统上登记相关的信息后再到政务软件上进行登记。同时,在项目管理上,项目组织机构人员的划分是需要严格的按照国家设计管理人员资质的等级划分的。企业内部系统与政务系统可能存在信息不一致的情况也会导致违背项目管理标准规范的现象。
因此,数据的完整性和唯一性的问题越来越突出。在这种环境下,利用信息化的手段,达成自上而下的政府业务标准和企业生产管理的统一,实现数据自底向上的快速准确汇集和业务自上而下的高度协同就显得十分重要。
4 如何完成电子政务软件与项目管理软件接口的衔接
由于电子政务软件的安全级别较高,出于安全性的角度,企业的其他软件只能读取政务软件的数据。
在具体实施SOA架构的电子政务与项目管理软件接口衔接时,注意从以下几个方面 :
1) 安全管理。
以SOA架构规划的电子政务的应用程序是比较繁杂的。对其进行保护也更为困难。因此需要专门的安全人员进行接口的开发,通过访问者的权限进行安全性的划分。本地用户通过登入项目管理系统,来获得对电子政务信息的访问权限。开发人员应该透彻的了解软件体系结构和安全性方面的知识,应同时了解SOA的相关知识。团队中的安全架构师将负责创建系统的安全模型。同时,安全架构师将与项目架构师配合工作,确保SOA实现符合安全性的要求,对电子政务系统及项目管理业务分析人员和系统工程师进行安全性指导。
2) 需求策略制定
在建立需求模型时,务必选择正确的工具,以便团队进行协作和方便地记录SOA的安全需求和创建SOA电子政务安全接口模型。正确的需求与分析工具将帮助团队了解问题领域、捕获和管理不断发展的需求、建模用户交互、在整个电子政务项目生命周期中包含参与者反馈,而最为重要的是进行协作。良好的安全需求与分析实践将极大地减少系统安全风险。
3) 风险评估
由于信息系统的重要性、计算机网络的开放性、信息系统组成部分的脆弱性以及用户有意、无意的不正当操作或恶意的破坏企图,使信息系统面临很多的风险。因此,对于企业要求电子政务开放的接口进行风险评估。在风险控制的过程中,企业是否具备适当的控制能力,以确保符合相关的管理规定。
5 总结
篇(9)
1.1分析电子政务服务外包主要模式及其关键成功因素
当前,各地政府部门主要采用BOT、BOO、BT、ASP这4种模式开展电子政务服务外包。a.BOT模式(Build-Own-Transfer,即建设-运营-转让)。政府部门和承包商以协议为基础,由政府部门向承包商颁布特许权,允许其筹集资金建设某电子政务系统,在特许权规定期限内管理和经营该系统及其相应的产品与服务,并在特许权期满后,无偿将系统移交给政府部门接管。b.BOO模式(Build-Own-Operate,即建设-拥有-运营。承包商投资并承担电子政务系统的设计、建设、运行、维护和培训等工作,硬件设备及软件系统的产权归属承包商,政府部门负责宏观协调、创建环境和提出需求,政府部门每年需要向承包商支付系统使用费获取硬件设备和软件系统的使用权。
c.BT模式(Build-Transfer,即建设-转让)。政府部门通过特许协议授权承包商负责某电子政务系统的建设,按合同规定的期限按时移交系统,政府部门按期支付该系统的建设费用。d.ASP模式(ApplicationServiceProvider,即应用服务提供商)。在ASP外包模式中,应用服务提供商拥有基础结构设施并负责所有系统和网络的配置、管理、调整,甚至应用管理,政府部门按照需求向应用服务提供商定制所需的电子政务服务,并向其支付相应的费用。在比较分析以上各种模式的内涵、特点、优缺点的基础上,分析研究其实际运用的案例,共总结了影响这4种电子政务服务外包模式成功运作与否的75个因素,运用专家评分法,提取各种模式的关键成功因素,如表1所示,这些也是各种模式选择决策的主要考虑因素。
1.2识别潜在风险因素
在分析电子政务服务外包、IT外包风险研究相关文献的基础上,基于电子政务服务外包运作与管理流程,从各个阶段总结了98项风险因素,结合上述电子政务服务外包主要模式的关键成功因素,采用李克特七分制评分标准设计量表,1分表示风险影响程度最低,7分表示风险影响程度最高,1-7分表示影响程度逐次增高,邀请被调查者(包括参与电子政务服务外包的政府部门、承包商的管理人员以及相关领域的专家学者)对量表进行评分。共发放问卷387份,回收问卷212份,剔除不合格答卷后,最后得到有效答卷共202份。根据搜集的数据,通过因子分析的方法提炼了20项具有统计、管理意义的关键风险因素,如表2所示。
采用主成分因子分析法对这20项风险因素(也是结构方程模型中的可测变量)进行进一步的划分,提取4个公共因子作为结构方程模型的潜在变量,并根据其包含的可测变量的含义进行命名,潜在变量及相应的可测变量如下:“决策与合同管理风险”:外包市场不成熟x1、外包决策不合理x2、承包商选择失误x3、机会主义风险x4、合同不完善x5;“开发与运营管理风险”:外包主体之间缺乏沟通x6、外包主体关系不和谐x7、政府部门缺乏规划与需求分析能力x8、政府项目管理经验与能力不足x9、承包商专业能力及管理经验不足x10、承包商服务质量不理想x11;“资金与成本管理风险”:交易成本控制不力x12、隐性成本的累积风险x13、承包商成本预算控制失效x14、承包商资金支持不足x15;“知识与战略管理风险”:知识共享不足x16、安全保密控制不力x17、绩效评量体系失效x18、忽视学习与创新能力的培养x19、政府部门失去信息化控制力x20。
2模型建立与分析拟合
2.1建立电子政务服务外包潜在风险对外包模式影响的结构方程模型
基于现有研究文献及实际案例,分析电子政务服务外包的潜在风险因素对各种模式的影响关系,构建电子政务服务外包潜在风险对外包模式影响的结构方程模型,如图1所示。其中,风险的4项潜在变量及其各自的可测变量如上文所述,而各种外包模式潜在变量对应的可测变量分别是其关键成功因素(见表1,表中的序号与图1的序号一致)。
2.2信度与效度分析
a.信度分析。信度指测量结果一致性或稳定性的程度。运用SPSS16.0对量表的信度进行检验,Cronbach’sα值为0.835,而各分量表信度分析结果表明,8个潜在变量的α系数值均满足大于0.70的要求,因此,该量表具有较好的信度。
b.效度分析。结构效度是指量表测量结果同期望评估内容的同构程度,运用标准化因素负荷来检验结构效度。结果显示,测量指标的标准化因素负荷大部分大于0.7,并在99%的置信度下高度显著(C.R.值>2.58),潜在变量之间的标准化路径系数及C.R.值(如表3所示)也大部分符合拟合要求。表明本研究构造的变量效度较好,适合做结构方程模型分析。
2.3结构方程模型检验与分析
a.拟合度检验。前文建立的结构方程模型必须通过拟合度检验,才能认定假设模型与实际数据样本的一致性。若模型的拟合度高,则代表模型可用性越高,参数的估计越具有含义。对于拟合度的考核有较多指标,但不同的指标在不同的模型复杂度、样本数量下有着不同的表现特性,必须根据具体情况同时参考各种拟合度指标[3]。本研究利用AMOS软件7.0版进行结构方程模型的分析,主要使用CMIN、RMSEA、CFI、GFI等较为稳定的指标考核模型拟合度,拟合后的评价结果及其理想值汇总于表4。从表4中分析可知假设模型较好地与样本数据拟合,具有较高的拟合度。
b.路径与因素分析。经过对结构方程模型的分析,可以得到各个潜在变量之间的路径系数以及可测变量与潜在变量之间的因素负荷。从模型运行结果中可知,潜在变量之间的路径系数、可测变量与潜在变量之间的因素负荷对应的C.R.值绝大多数大于1.95的拟合要求,表明各路径系数以及因素负荷在p=0.05的水平上具有统计显著性,能够作为进一步分析的依据。
3电子政务服务外包潜在风险对外包模式的影响分析
综合分析4个风险潜在变量对各外包模式潜在变量影响的路径系数及间接效应、各个风险因素的因子负荷以及对各外包模式关键成功因素的作用路径,为下文外包模式选择的建议提供依据。
3.1“决策与合同管理风险”对外包模式的影响
“决策与合同管理风险”对各外包模式的直接影响程度从大到小依次是:BOT>BOO>BT>ASP,其中,对BT模式和ASP模式的直接影响不显著,但通过另三类风险间接影响这两种模式的程度较大,分别累计为0.364、0.337。在“决策与合同管理风险”中,合同不完善风险所占因子负荷最大、影响最为显著。研究表明,完善电子政务服务外包合同,对外包市场不成熟风险、机会主义风险都具有较强的规避作用[4]。“决策与合同管理风险”中,合同不完善、承包商选择失误风险因素对BOT模式的关键成功因素———承包商运营期间的服务质量以及移交后的系统价值的不良影响均比较显著;合同不完善对BOO模式的作用主要体现在影响技术应用先进性的保持,而机会主义风险的存在对政府部门的监督约束是一大不利因素;BT模式、ASP模式的各自关键成功因素———选择商誉好的承包商、承包商拥有完善可靠的基础结构设施均会受到承包商选择失误这一风险因素的影响。
3.2“开发与运营管理风险”对外包模式的影响
相比其他类别的风险而言,“开发与运营管理风险”对各个外包模式的影响程度是最大的,对各外包模式的直接影响程度从大到小依次是:BOT>BOO>BT>ASP,且影响均较为显著。此外,“开发与运营管理风险”也受到了其他风险的影响,承载着其他风险对外包模式的间接效应。因此,“开发与运营管理风险”所属的各个风险因素应给予重视,特别是政府部门缺乏规划与需求分析能力、双方的项目管理经验与能力不足、外包主体之间缺乏沟通这几种风险因素在电子政务服务外包实践中引起的问题较为显著,属于关键风险因素,研究表明,控制好这些风险因素,做好规划与需求分析工作、提升相应的项目经验与能力、加强沟通协作,对电子政务外包的系统开发效果、外包服务质量、双方关系维护的作用是十分显著的[5]。“开发与运营管理风险”对各个外包模式的影响在其对应的关键成功因素都有显著的体现,其中,对BOT模式,主要影响政府部门规划协调能力、承包商运营期间的服务质量;对BOO模式,主要影响政府部门的监督约束能力、承包商经营的稳定性及技术应用先进性的保持;对BT模式,主要影响双方的系统开发项目管理能力;对ASP模式,主要影响政府部门需求分析的准确性及预见性、承包商对个性化服务需求的响应。
3.3“资金与成本管理风险”对外包模式的影响
“资金与成本管理风险”对各外包模式的直接影响程度从大到小依次是:BOO>BOT>ASP>BT,其中,承包商的资金支持、项目的成本管理方面的风险对外包模式的影响尤为显著,在实践中,很多电子政务服务外包项目正是由于资金、成本控制问题而不得不搁浅甚至失败。此外,“资金与成本管理风险”也会通过“开发与运营管理风险”间接影响各个外包模式,因此,在外包过程的开发运营阶段,应重视项目预算管理,保障资金流的通畅。“资金与成本管理风险”对BOO模式的作用主要体现在影响政府部门付费使用模式、承包商经营的稳定性;对BOT模式的作用体现在影响承包商的运营获利能力及其服务质量;对于ASP模式,影响着政府部门的付费模式与承包商的经济效益两者之间的权衡;对BT模式,主要影响着政府部门的资金保障能力。
3.4“知识与战略管理风险”对外包模式的影响
“知识与战略管理风险”对各外包模式的直接影响程度从大到小依次是:BOO>ASP>BOT>BT,其中安全保密控制风险是外包领域备受关注的风险因素,也是外包模式选择需要着重考虑的一大因素,而学习与创新能力的培养对电子政务服务外包的战略效益能否实现尤为关键[6],却也是一个经常被忽视的风险。此外,知识共享不足、绩效评量体系失效、政府部门信息化控制力不足等风险因素对开发运营风险的作用也较为显著,对外包模式的间接效应不容小觑。因此,“知识与战略管理风险”对电子政务服务外包的影响是极为深远的,在外包模式选择决策中,应予以重视,既要考虑到安全保密控制,也要考虑到政府部门持续学习与创新能力的培养。“知识与战略管理风险”中,安全保密控制不力与绩效评量体系失效分别影响着BOO模式的关键成功因素———承包商对系统安全性的保护、技术应用先进性的保持;在ASP模式中,安全保密控制不力风险影响着政府部门应用与数据的安全性;与绩效评量体系失效相关联的激励效果不良,影响着BOT模式运营期间的服务质量和移交后的系统价值;若采用BT模式,知识共享不足与政府部门信息化控制力不足风险将主要影响着双方移交系统的知识管理能力以及移交后政府部门的系统维护能力[7]。
4结论与建议
基于上文的分析,政府部门在选择电子政务服务外包模式时,需要结合自身的规划与需求、优势与劣势、经验与能力等因素,综合考虑各个潜在风险因素对外包模式如何影响及影响程度,从中选择合理的外包模式并防范潜在风险。为此,提出以下4点建议供参考:
a.当外包市场不成熟,缺乏统一、可操作的行业标准及规范的法律环境,而外包的电子政务服务内容的复杂性使得不能够通过采用明细的合同来规避承包商的机会主义,并且政府部门管理合同的经验与能力不足时,尽量避免采用BOT、BOO模式,主要是因为这两种模式的必须以协议为基础且合同期限较长,能否制定明确、完善而兼具柔性的合同尤为关键;若政府部门受评估能力缺乏、信息不对称等主客观不利因素的影响,选择不合适的承包商或选择的承包商商誉不良的风险很可能加大,此时BT模式与ASP模式不是首选,因为这两种模式对承包商商誉与实力有较高的要求。
篇(10)
不过,我们不可否认,互联网作为一个开放的网络环境,在安全方面确实存在着先天不足和诸多的隐患,基于互联网的电子政务建设面临着政务信息失泄密、非法篡改、身份假冒等安全威胁。所以济源在电子政务建设中,高度重视信息安全的问题,明确规定信息不能上网,而且通过密码技术来保证基于互联网的电子政务的信息安全。
虽然济源在电子政务网络的建设中,包括信息安全的建设中,都没有拉一条专线,没有建一个专网,完全是基于互联网,但他们通过采用商用密码技术和VPN技术,合理配置了具有防火墙功能的、不同档次的VPN安全网关和VPN客户端,实现了整个网络在安全条件下的互联互通和信息共享。
由于完全是基于互联网的电子政务,安全变得至关重要,但是,保障信息安全并不是安全措施越多越好,不能为了安全而安全,而是应该根据系统安全等级采用适度的安全措施,更重要的是从实际应用出发,保证适度安全,使得电子政务系统能够既安全又好用。
如何在坚持适度安全的基础上建设基于互联网的电子政务安全保障体系呢?
济源同样选择了等级保护的方法,把安全办公与开放服务有机地统一起来,在风险分析的前提下合理定级,并进行了分域防控和分级防护。
同样是由于基于互联网,安全隐患多而复杂,所以在风险分析中就面临了更大的和更严峻的挑战。作为政府政务办公的“内部”网和面向公众开放服务的“外部”网都是在互联网上的,互联网上的身份假冒、口令窃取等威胁很大,所以身份鉴别是网络安全的基础;存储或传输的信息在互联网上容易被窃取或篡改,所以信息坚决不能上网;系统遭到攻击的风险很大,所以必须提高抗攻击的能力;互联网上病毒传播和扩散很广很快,所以要防止其影响到终端和服务器的正常运行。
针对由于互联网带来的这些风险,济源将电子政务应用系统分为了公开信息处理区和敏感信息处理区,根据其不同的特点分别进行防护。比如,公开信息处理区主要是面向广大公众的服务系统和完全公开的信息,由于广大互联网用户都可以访问,所以就要采取网页防篡改措施。
而在分级防护方面,将信息分为了完全公开、内部公开和内部受控三类,也是根据不同类别的不同特点采取不同的安全措施。比如对于在互联网上完全公开的信息,用户无须身份认证和加密传输就可以直接访问;而对于内部公开信息则用了商用密码进行传输加密,要通过口令进行身份认证后才能访问。
当然作为基于互联网开展电子政务的惟一一家试点单位,济源进行了一些有益的尝试,也取得了初步的成效,但要进一步拓展服务模式、扩大使用范围、提高服务质量,甚至是在全国进行推广,都还有很长的路要走。
实施效果
