浅议电子政务项目信息安全审计
在当前信息时代下为了更好地服务人民,提高政府办公效率,加快管理型政府向服务性政府的转变,我国政府每年都会投入大量人力、物力和财力用于电子政务项目建设。早在1993年,我国就提出了“金关工程”,之后又陆续提出并推动了一系列如“金信”“金税”“金智”“金审”等一大批“金”字工程的建设。电子政务项目建设使用的是财政性资金,由于财政性资金的投入量大、见效时间长,所以需要我们对电子政务项目审计建立一个完整的审计体系,构建科学的审计方法,进而促进电子政务项目建设的规范化、效益化。
一、电子政务项目信息安全审计的目标
依照信息安全理论,本文把电子政务项目信息安全审计的目标分为软件系统安全,硬件系统安全和内部控制安全三个部分。
(一)软件系统安全。
软件系统安全又分为基础网络安全,数据库安全和终端安全。
1.基础网络安全。基础网络安全主要是指电子政务项目网络系统受到安全保护,系统可以正常的工作,网络服务不会中断。我们这里所提到的基础网络安全的目标主要包括局域网安全和外网安全。局域网安全是指能够对内部访问控制(包括接入控制)、防止网络阻塞及病毒入侵。外网安全是指外网访问控制、防止黑客及病毒非法入侵、流量控制等。
2.数据库安全。数据库安全是指能够对项目数据库系统所管理的数据和资源提供安全保护,主要包含以下七个方面。一是物理完整性,即数据能够免于物理方面被毁坏,如静电击穿、淋水等;二是逻辑完整性,即能够保持数据库的结构,如对一个字段的修改不至于影响其它字段;三是元素完整性,即数据库中每个元素中的数据是准确无歧义的;四是数据的加密;五是用户的鉴别,即能够确保合法用户能够被识别,防止非法用户的入侵;六是可获得性,指用户能够访问被授权访问的数据;七是可追踪性,能够追踪到谁登陆过数据库。
3.终端安全。终端安全主要解决微机信息的安全保护问题,一般的终端安全功能如下:基于登录密码或密码学算法的身份验证,防止非法使用机器和访问文件;多级权限管理,防止越权操作;存储设备安全管理,防止非法软盘拷贝和硬盘启动;预防病毒,防止病毒侵袭等。
(二)硬件系统安全。
硬件系统安全是指计算机及其配套硬件设施安全。主要包括计算机及其硬件设备安全,门禁控制安全、机房设备监控(视频)安全、防火监控安全、电源监控(后备电源)安全、设备运行监控安全等。
(三)内部控制安全。
电子政务项目内部控制是指在政府机构为了提高电子政务项目的办公效率、充分有效地获得和使用各种资源,达到既定管理目标,而在其内部实施的各种制约和调节的组织、计划、程序和方法。
电子政务项目内部控制安全主要包括电子政务项目的内部环境是否安全、风险评估是否合理、控制活动是否健全、沟通以及对控制的监督是否完善。
二、电子政务项目信息安全审计的模型
对于电子政务项目信息安全审计的模型,我们主要分为以下几个环节。首先是电子政务项目信息安全审计的标准,其次是审计的主体,再次是审计的指标体系,最后是审计的方法。
(一)电子政务项目信息安全审计的标准。
电子政务项目信息安全审计的标准主要包括两个方面,一个是法定标准,一个是参考标准。
法定标准是电子政务项目信息安全审计的法律和政策保证,只有严格依照相关法律流程来规范审计过程才能够保证整个审计项目的实施与成功。目前开展电子政务项目信息安全审计可参照的法律法规标准主要包括《中华人民共和国审计法》《中华人民共和国合同法》《中华人民共和国投标法》《中华人民共和国采购法》,审计署《审计机关计算机辅导审计办法》、财政部《关于开展中央政府投资项目预算绩效评价工作的指导意见》以及《计算机信息系统安全保护条例》等。
参考标准主要是指业界公认的相关技术标准,专业机构和专家的相关意见等。如国际信息系统审计与控制协会制定的信息系统审计标准等。
(二)电子政务项目信息安全审计的主体。
电子政务项目信息安全审计不同于平日的政府审计,在信息化的今天,电子政务项目信息安全审计的主体应该更加多元化,同时对于信息类项目也要更加专业化。所以审计主体应该是以政府审计机关为主体,高校及相关第三方专业机构共同参与进来的一种的新型主体模式。政府审计机关指导方向,高校及相关第三方专业机构做技术支持,充分发挥三者的优势,三位一体共同完成电子政务项目信息安全审计任务。
(三)电子政务项目信息安全审计的指标体系。
依据上文的电子政务项目信息安全审计的目标,我们来规划其指标体系。下图为电子政务项目信息安全审计指标体系的初步规划。
图一:电子政务项目信息安全审计指标体系的初步规划
(四)电子政务项目信息安全审计的方法。
电子政务项目信息安全审计的方法多种多样,下面我们简单介绍使用功效系数法来对电子政务项目进行信息安全审计。
功效系数法是根据多目标规划原理,对每一项评价指标确定一个满意值和一个不允许值,以满意值为上限,以不允许值为下限,计算各指标实现满意值的程度,并以此确定各指标的分数,再经过加权平均进行综合,从而评价被研究对象的综合状况。运用功效系数进行综合评价时,先用功效系数对各指标进行无量纲同度量化转换(无量纲化是指通过数学方法消除评价指标实际值与评价值之间差异的方法),然后采用算术平均或几何平均的方法,对各项功效系数求总功效系数,以此作为对测评对象的综合评价值。功效系数法的具体步骤如下:
1.确定反映测评对象特征的各项评价指标:。
2.确定各项指标的满意值,满意值是指在目前条件下可能达到的最优值;不允许值是指该目标不应该出现的最低值。满意值和不允许值之差常作为允许变动的参照系。
3.计算各项评价指标的功效系数,对各项指标进行无量纲化处理。计算公式为:
功效系数=(—不允许值)/(满意值—不允许值)
根据各评价指标的重要程度,确定各项指标的权数。国内外关于评价指标权系数的确定方法有数十种之多,这些方法根据计算权数的原始数据来源以及计算过程的不同可分为三种类型,一类是主观赋权法,一类是客观赋权法,最后一类是主客观综合集成赋权法。这里我们采用一种主客观综合集成赋权法—层次分析法(AHP)算法。层次分析法首先将所要进行的决策问题置于一个大系统中,这个系统中存在互相影响的多种因素,将这些问题层次化,形成一个多层的分析结构模型。之后运用数学方法与定性分析相结合,通过层层排序,最终根据各方案计算出的所占权重,来辅助决策。
4.计算评测对象的总功效系数。算法可采用算数平均法或几何平均法,所得总功效系数数值按大小排列既可得其优劣次序。
目前,电子政务项目信息安全审计主要是依附于电子政务项目绩效评价中,相关规范及理论技术尚未形成标准,这也是我们下一步所需研究的方向。(谌至)