电子政务安全范文

2024-07-14

电子政务安全范文（精选12篇）

电子政务安全第1篇

关键词：电子政务,信息公开,信息安全

电子政务是现代政府管理观念和信息技术相融合的产物, 面对全球范围内的国际竞争和知识经济的挑战, 许多国家政府都把电子政务作为优先发展战略。随着电子信息技术的不断发展, 特别是国际互联网的普及应用, 电子政务以其特有的方便、快捷、高效等诸多优点, 掀起了一场前所未有的政务革命。它的出现改变了传统的运作模式, 在互联网上实现政府组织结构和工作流程的优化重组, 向社会提供优质和全方位的、规范而透明的、符合国际标准的管理和服务。近年来, 电子政务发展十分迅速。目前互联网已成为重要的信息基础设施, 积极利用互联网进行电子政务建设, 既能提高效率、扩大服务的覆盖面, 又能节约资源、降低成本。但是另一方面, 利用开放的互联网开展电子政务建设, 面临着计算机病毒、网络攻击、信息泄漏、身份假冒等安全威胁和风险, 应该高度重视信息安全。本文从电子政务建设中存在的问题出发, 分析了问题所在, 并提出相关预防策略。

1 电子政务建设中存在的问题

(1) 部分领导干部对加快电子政务建设的重要性认识不到位, 弱化了对此项工作的领导, 一定程度上影响了电子政务建设的发展步伐。

(2) 低水平重复建设现象普遍存在, 投入不足与资源整合矛盾十分突出, 严重制约了电子政务建设的质量和水平。部分基层的经办人员业务不熟习, 操作不规范, 使用中问题较多。

(3) 信息化专业人才严重缺乏, 技术相对落后, 制约了电子政务建设。大多数单位没有专业技术人员, 建设规范的网络和日常维护技术问题的处理是靠机关内部对电脑知识相对丰富的人员兼任, 很难满足电子政务发展的需要。

(4) 政府信息公开工作的运行机制尚不完善, 加之政府信息公开的工作量大, 多数部门存在信息搜集整理不全的现象。

(5) 电子政务信息安全体系建设有待进一步加强。构建电子政务信息安全体系信息安全是电子政务工程中不可缺少的重要组成部分。要认真贯彻落实国家保密要求、安全规定和工程实施规范, 做到信息安全建设与网络应用系统建设同步规划、同步建设、同步验收。要加大信息安全的投入力度, 切实保证信息安全设施的运行维护。

基于互联网电子政务系统的政务应用主要分为政务办公、公共服务等。政务办公的内容主要包括:政府部门内部的业务处理, 如政府部门间的公文流转、公文交换、公文处理、办公管理和数据共享等。安全防护的重点主要包括对政务人员的身份认证、政务资源的授权访问和数据传输保护等方面。公共服务的内容主要包括:面向社会公众提供信息公开、在线办事、互动交流等服务, 安全防护的重点应放在系统和信息的完整性和可用性方面, 特别要防范对数据的非法修改。

2 基于互联网电子政务安全需求与实施原则

基于互联网电子政务网络相对于电子政务专网模式风险更大, 这些风险主要来自于身份假冒、信息窃取、内容篡改、病毒侵袭等造成的破坏。基于互联网的电子政务面临的信息安全威胁主要有以下几个方面。

2.1 身份假冒、口令窃取威胁

身份鉴别是网络安全的基本要求, 互联网拥有大量用户, 系统很难分辨哪些是合法用户, 哪些是非法用户, 存在身份假冒等威胁。一旦政务办公人员的身份被假冒, 将影响到政府的办公系统, 一旦政务网站信息发布员或专家的身份被别有用心者假冒, 将无法保证发布信息的真实可信。

2.2 信息窃取或篡改威胁

基于互联网电子政务系统存在大量不宜公开的内部信息, 如政务办公系统的待办公文等, 互联网作为高度开放的网络, 内部数据在传输过程中极易被窃取和监听, 内部数据要面对高水平黑客和别有用心者, 信息泄漏的威胁更大。

2.3 系统面临恶意攻击的威胁

基于互联网建设电子政务系统, 遭到恶意攻击的风险更大, 特别是为企业和百姓服务的系统, 允许从互联网上直接访问, 虽然提高了服务范围, 方便了大众, 但是相对局域网而言, 也面临着更多来自互联网的威胁。若不能保持服务窗口的良好稳定运行, 势必对系统的可用性造成威胁, 影响政府形象。

2.4 病毒传播和扩散威胁

互联网上存在大量的资源和服务, 人们在获取资源和享受服务的同时, 也极易将病毒带回来。如今, 病毒种类多、更新速度快, 常常呈指数级的速度扩散, 这将影响依托互联网建设的政务网络服务器的正常运行。

在基于互联网电子政务系统建设过程中, 除需要考虑内部安全以外, 还要应对来自互联网攻击的防范, 其安全需求主要包括:

(1) 需要实现安全接入与安全互联, 在互联网上构建安全的电子政务网络;

(2) 需要实现强的安全认证、授权管理与访问控制机制, 确保电子政务系统的安全访问;

(3) 需要采取分类分域防护措施, 加强综合防范和安全管理, 进行不同类别信息和系统的有效保护。

基于互联网电子政务信息安全风险应对的基本原则包括:

(1) 涉密信息不上网。基于互联网电子政务系统不得传输、处理、存储涉及国家秘密的信息。有关安全保密问题要严格遵循国家保密有关规定。

(2) 适度安全、综合防范。基于互联网的电子政务建设应当根据应用系统的安全需求, 合理配置信息安全资源, 采取适当的安全措施, 进行有效的安全管理, 从管理、技术等各个方面进行综合防范。

(3) 分域控制、分类防护。实施分域边界防护和域间访问控制, 保证信息的安全隔离和安全交换;针对不同类别的信息采用不同的安全防护措施。

综上所述, 政府网站区别于普通网站的最大特点在于其公布政府信息的准确性、全面性、及时性与权威性。通过政府网站, 民众应该能够最有效地获得政府信息。因此, 应该充分利用因特网公布政府信息。在目前阶段, 可以考虑设定一定的标准, 对政府网站的公开性进行社会评价, 以促进政府上网工程向纵深发展。从长远考虑, 应该深入研究因特网给政府信息公开所带来的新问题, 包括技术的快速更新对信息保存方式的挑战, 信息的分类与定义, 信息的公开与信息安全, 信息来源多元化问题等等。只有对这些问题进行深入的研究, 才可以趋利避害, 充分发挥因特网公开政府信息的作用。

参考文献

[1]GB/T 19715.信息技术第2部分:管理和规划信息技术安全, 信息技术安全管理指南, 2005.

[2]GB/T 20270.信息安全技术.网络基础安全技术要求, 2006.

电子政务及其信息安全第2篇

电子政务是全面提升政府机构管理与服务水平的重要技术手段，电子政务的信息安全问题已成为各国政府普遍关注和研究的重要问题。电子政务作为信息网络的一个特殊应用领域，运行着大量需要保护的数据和信息，相对于企业信息化和电子商务，具有自身特殊性：一是信息内容的高保密性、高敏感度；二是电子政务发挥行政监督力度；三是利用网络环境为社会提供公共服务。如果系统的安全性被破坏，造成敏感信息暴露、丢失或网络被攻击等安全事件，产生的后果将波及地区甚至整个国家，电子政务信息系统也必然会成为信息间谍、敌对势力、恐怖集团、国家之间信息战攻击的目标。因此，电子政务信息安全事关国家政治、经济、国防安全和民族信息产业发展全局，缺乏安全保障的电子政务信息系统，不可能实现真正意义上的电子政务。

关键词：电子政务；信息安全；保障；体系

英

文

摘要

E-government is the important technical means that comprehensively enhance the government institutions management and service level, the security question of e-government information has already become the general attention and research important problem of governments.E-government information network as a special application domain, operating with large need protection of data and information that relative to the enterprise information and electronic commerce, has its own particularity: First, it is the information content of high confidentiality, high sensitivity;Second, E-government display administration supervision, Third, it uses network environment for the society providing public services.If the security of the system is destroyed, sensitive information exposure, lost or network by attack security incident, the consequences will affected regions and even the whole country, e-government information system also will become the target of information spy, hostilities, terrorist group, or two hostile countries

.Therefore, e-government information security is a matter

of national political, economic and national defense security and national information industry development, so the lack of security of e-government information systems could not achieve real sense of e-government.Keywords: e-government, Information security;Safeguard;system.目录

摘要

.........................................................I I 1

电子政务信息安全四大体系

...................................1 1.1

安全管理体系............................................1 1.2

预警检测体系............................................2 1.3

安全防护体系............................................3 1.4

响应恢复体系............................................4 2

电子政务信息安全的现状及表现

...............................4 2.1

电子政务信息安全的现状..................................4 2.2

电子政务信息安全的目标..................................5 2.2.1 可用性目标...........................................5 2.2.2 完整性目标...........................................6 2.2.3 保密性目标...........................................6 2.2.4 可记账性目标.........................................6 2.2.5 保障性目标...........................................6 3

电子政务中信息安全的几个基本问题

...........................7 3.1 电子政务.................................................7 3.2

信息安全.................................................7 3.3

电子政务中的信息安全....................................7 3.4

信息安全在国家安全中的地位...............................8 3.5

网络技术的问题..........................................9 3.5.1

网络信息安全问题....................................9 3.5.2 网络对人的情感问题...................................9 3.5.3 政府自身的问题......................................10 3.5.4 电子政务信息化建设应用当中的信息安全隐患............11

电子政务信息安全解决方案

...................................4.1 网络安全问题的应对方法..................................15 4.1.1 加强对公务员的安全技术教育，树立网络安全观念.........15 4.1.2 改变信息安全管理依靠传统的管理方法和手段的模式，实现现代的系统管理技术手段........................................16 4.1.3 鼓励民族信息技术产业的发展，解决好技术的先进性与自主性的关系......................................................16 4.1.4 关于网络对人的情感及价值忽略问题的应对方法...........17 4.2 政府自身问题的应对方法..................................18 4.2.1 提高公务员素质.......................................18 4.2.2 制定发展规划，明确阶段目标，避免重复建设作为政务活动和信息技术的结合点............................................18 5

我国电子政务中信息安全及相关法律保护

......................5.1 电子政务中信息安全的几个基本问题........................19 5.2

政府信息安全的保护......................................22 5.3

我国电子政务中信息安全的保护对策........................24 5.3.1 尽快建立我国信息安全的保护体系.......................24 5.3.2 进一步完善我国信息安全保障的法律体系.................26 6

结束语

....................................................电子政务及其信息安全

前言

随着全球政治经济一体化的日益明显，以电子政务为代表的政府管理服务职能的电子化、自动化、无纸化，目前正在一些国家尤其是发达国家中快速发展。在世界各国积极倡导的“信息高速公路”的五个应用领域中，“电子政务”被列为第一位，因此可以说政府信息化是社会信息化的先导，电子政务是信息化社会发展的必然。

电子政务信息安全四大体系

电子政务的信息安全建设是在适当的信息安全保障体系和框架指导下进行的一项系统工程。这项工程包括密切关联的四大体系：安全管理体系、预警检测体系、安全防护体系和响应恢复体系，其中，安全管理体系是整个信息安全保障体系中最核心的组成部分，是贯穿其他三个体系的主线。

1.1

安全管理体系

安全管理体系的建立要遵循以下原则：符合法律、法规、标准；符合组织使命；符合组织利益。

建立健全安全管理体系，最重要的是针对电子政务的现有情况制定统一的行政管理制度，在整个网络系统中贯彻执行。当然，根据当地网络的实际情况和具体网络应用的不同，适当作出调整，可以比较好地保证安全策略的统一性、一致性和可管理性。

1.2

预警检测体系

预警检测体系包括入侵检测、漏洞检测、外联和接入检测、补丁管理等。

入侵检测系统是目前最为主要的一个广泛应用的技术和管理手段。利用网络入侵检测系统，可以了解网络的运行状况和发生的安全事件，并根据安全事件来调整安全策略和防护手段，同时改进实时响应和事后恢复的有效性，为定期的安全评估和分析提供依据，从而提高网络安全的整体水平。

电子政务信息网络需要部署漏洞检测系统。漏洞检测系统一般包括漏洞扫描引擎、控制中心、报表和显示中心及管理控制台 4 个功能组件。

在电子政务的网络系统内，防火墙等安全手段往往被一些违反安全策略的行为所破坏，包括 MODEM 拨号、双网卡或无线上网等各种方式接入互联网。这些违反规定的非法外联行为使电子政务网络系统内的个人计算机毫无防范地接入 Internet，在用户无意识的情况下，一些机密信息（包括机器和网络的所有配置信息以及数据文件）可能泄漏，由此危害整个电子政务网络的安全。

非法外联监控技术就是为了防范上述两类安全问题而设计的，它对内部人员的非法外联行为进行实时监控，对物理隔离措施或安全限制规定进行有效性检查。

补丁管理应该纳入组织的安全体系。补丁管理的意义已经超出了传统

的安全领域，成为维护企业信息系统正常操作所必须具备的措施。电子政务需要部署补丁管理系统，补丁可以被存储在本地网络以确保它们的更高可读性和加速分发。

1.3

安全防护体系

安全防护体系包括防火墙、身份鉴别与认证、系统访问控制、网络审计等内容。

防火墙就是运行于软件和硬件上的、安装在特定网络边界的、实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障，防止非法用户访问内部网络上的资源和非法向外传递内部信息。

身份鉴别与认证是系统的第一道安全屏障，也是实施访问控制的基础，具有十分重要的作用。因此，身份鉴别与认证机制的强度如何，将直接关系到整个系统的安全度，口令与令牌相结合的身份验证方式可以为大多数的场合提供足够的安全性。

访问控制包括自主访问控制和强制访问控制两种，其中强制访问控制具有更高的安全性，建议采用。强制访问控制给每个客体和主体分配了不同的安全属性，而且这些安全属性不像 ACL 那样容易被修改，系统通过比较主体和客体的安全属性才决定主体对客体的操作可行性。强制访问控制可以防范特洛伊木马和用户滥用权限，具有更高的安全性。

来自网络的安全威胁日益增多，很多威胁并不是以网络入侵的形式进

行的，这些威胁事件多数来自内部合法用户的误操作或恶意操作，仅靠系统自身的日志功能并不能满足对这些网络安全事件的审计要求。使用网络审计系统，记录网络中发生的违规行为，完整地记录各种信息的起始地址和使用者，将有利于事后追踪，为调查取证提供第一手资料。

1.4

响应恢复体系

响应恢复体系包括应急响应和业务连续性计划两个方面。

电子政务信息系统已经成为电子政务业务的支撑平台。安全策略中必须具备应急响应手段，保证电子政务发生安全事故后，能够及时作出有效响应，采取合适的应急措施处理事故。

安全事件预警与应急响应体系主要针对危及电子政务信息系统安全的重大事件进行检测、预警、抑制、根除，并从事件的影响中尽快恢复，以确保电子政务信息系统的业务连续性。

业务连续性计划（BCP）是与信息安全相关、但与业务关系非常紧密的一项内容。因此，电子政务的业务连续性计划必须以电子政务的业务为中心，综合考虑。

电子政务信息安全的现状及表现 2.1

电子政务信息安全的现状电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具，而引发的信息安全。信息安全成为当前政府信息化中的关键

问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容，是保障国家信息安全所不可忽缺的组成部分。

信息安全涉及到政治、经济、军事、文化等方方面面，由于互联网发展在地域上极不平衡，信息强国对于信息弱国已经形成了战略上的“信息位势差”，居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁，互联网成为超级大国谋求跨世纪战略优势的工具。“信息疆域”不是以传统的地缘、领土、领空、领海来划分，而是以带有政治影响力的信息辐射空间来划分。“信息疆域”的大小、“信息边界”的安全，关系到一个民族、一个国家在信息时代的兴衰存亡。在知识经济时代，一个国家的信息获取能力以及在社会生产生活领域中的“信息制控权”，将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。

2.2

电子政务信息安全的目标信息系统信息安全的宗旨是通过在实现信息系统时充分考虑到自身、伙伴和客户的信息风险，确保组织能够完成它的全部使命和目标。进而言之，电子政务系统信息安全的宗旨就是通过在实现信息系统时充分考虑信息风险，从而确保一个政府部门能够有效地完成法律所赋予的政府职能。电子政务信息安全必须实现以下目标：

2.2.1 可用性目标

可用性目标是指确保电子政务系统有效率地运转并使授权用户得到所

需信息服务。通常，可用性目标是电子政务系统的首要信息安全目标。

2.2.2 完整性目标

完整性目标包括两个方面：数据完整性和系统完整性。通常，完整性目标是电子政务系统除了可用性目标之外最重要的信息安全目标。

2.2.3 保密性目标

保密性目标是指不向非授权个人和部门暴露私有或者保密信息。通常，对于大多数电子政务系统而言，保密性目标在信息安全的重要程度排序中仅次于可用性目标和完整性目标。然而，对于某些特定的电子政务系统和数据，保密性目标是最重要的信息安全目标。

2.2.4 可记账性目标

可记账性目标是指电子政务系统能够如实记录一个实体的全部行为。通常，可记账性目标是政府部门的一种策略需求。可记账性目标可以为拒绝否认、威慑违规、隔离故障、检测和防止入侵、事后恢复和法律诉讼提供支持。

2.2.5 保障性目标

保障性是电子政务系统信息安全的信任基。保障性目标突出了这样的事实：对于希望做到安全的信息系统而言，不仅需要提供预期的功能，而且需要保证不会发生非预期的行为。具体而言，保障性目标是指：提供并正确实现需要的电子政务功能；在用户或者软件无意中出现差错时，提供充分保护；在遭受恶意的系统穿透或者旁路时，提供充足防护。

电子政务中信息安全的几个基本问题

3.1 电子政务电子政务是政府在国民经济和社会信息化的背景下，以提高政府办公效率，改善决策和投资环境为目标，将政府的信息发布、管理、服务、沟通功能向互联网上迁移的系统解决方案。同时也提供了结合政府管理流程再造，构建和优化政府内部管理系统、决策支持系统、办公自动化系统，为政府信息管理、服务水平的提高提供强大的技术和咨询支持。

3.2 信息安全信息安全是指保证信息系统中的数据在存取、处理、传输和服务过程中的保密性、完整性和可用性，以及信息系统本身能连续、可靠、正常地运行，并且在遭到破坏后还能迅速恢复正常使用的安全。

3.3

电子政务中的信息安全电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。从这一法律规定看，计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中，人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等；实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和

媒体安全三个方面；计算机信息系统的运行安全包括：系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制，即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点，信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。

3.4 信息安全在国家安全中的地位电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具，而引发的信息安全。信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容，是保障国家信息安全所不可忽缺的组成部分。

领域中的“信息制控权”，将成为这个国家在新世纪的生存与发展竞争中能否占据主动的关键。

3.5

网络技术的问题 3.5.1

网络信息安全问题目前对信息安全构成威胁的既有自然因素也有人为因素，主要有火灾等自然灾害、硬件故障、严重误操作、数据泄露、盗用、伪造、假冒、故意对数据或程序破坏、病毒、错误指向、黑客、特洛伊木马、搭线窃听等。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和文件。并可进入系统修改删除重要数据文件。一旦电子政务系统被非法侵入和破坏它将不能正常工作甚至全部瘫痪。如果系统的安全性被破坏。造成敏感信息暴露或丢失，或网络被攻击等安全事件。那么产生的后果必然波及地区和整个国家的安全，这种破坏将会给国家带来重大损失。一旦网络受到攻击，不能正常工作，甚至全部瘫痪时，整个社会将陷入危机。国家机密难保，致使某些部门不敢使用互联网。

3.5.2 网络对人的情感问题电子政务的一大特点是虚拟性，这是由互联网的特点所决定的。政府工作人员在进行电子政务的活动中，往往会使人际关系淡化，政府工作人员和公众似乎面对的只是电脑，而常常忘记他们也是和人进行交往。例如时下兴起的在城市公共场所安装的“电子眼”监控系统，虽然在一定程度上改善了城市交通，降低了犯罪率，但这种“倒洗脚水也将孩子一块儿泼

出”的做法也对公民的隐私权和其他方面的权利造成了严重侵犯，其对人性化和人本管理的背离也是显而易见的。

3.5.3 政府自身的问题（1）

公务员及官员素质有待提高大部分政府官员和公务员对信息技术、网络技术和计算机技术还未接触或接触不多，所以对高新信息技术应用方面的能力也比较欠缺，整体素质与电子政务建设要求也还有很大的距离，对电子政务建设就缺乏应有的积极态度。

从公务员的文化水平来看，经过 1998 年的政府机构改革，国务院近1.7万名公务员中，大学本科毕业以上学历的占 65%。但地方政府 500 万公务员中，大学本科毕业以上学历的仅有 10%，约有 20%的公务员不会操作计算机。面对电子政务的潮流，许多公务员在心理上必然会恐惧害怕，产生抵触情绪，而不能从心理上积极学习，以适应政府信息化的历史潮流，结果使得很多昂贵的设置成为装点门面的饰物。

（2）

电子政务的规划和标准缺乏统一性目前，我国电子政务的发展缺乏宏观规划，没有提出明确的发展目标。同时，条块分割的管理体制与电子政务的统一性、开放性、交互性和规模经济等自然特性产生严重冲突，各级地方政府和部门在电子政务的建设中往往各自为政，采用的标准也各不相同，业务内容单调重复，造成新的重复建设。同时，缺乏规范和标准也使得信息流通不畅，资源无法共享和信

息孤岛，影响了跨部门、跨区域共性业务的处理和政府的有效监管。

3.5.4 电子政务信息化建设应用当中的信息安全隐患（1）

身份认证和访问控制

登录到系统的人必须是相关业务人员，凡是非相关人员，系统拒绝其访问；如果系统不能识别用户的真正身份，业务是无法开展的。身份认证是实现访问控制的前提条件，通过身份认证结合应用系统的授权机制，才能提供访问控制功能；

（2）

信息传输机密性在网络上传输的信息不能被窃取；（3）

信息传输完整性在网络上传输的信息不能被恶意篡改；

（4）

信息传输不可抵赖性在网上提交的请求是不允许抵赖的，同时对涉及信息安全的事件，提供事后追踪、审核及统计的手段。

2004 年 8 月 28 日十届全国人大常委会第十一次会议表决通过了《中华人民共和国电子签名法》，将于 2005 年 4 月 1 日起施行。该法首次赋予电子签名与纸质手写签名具有同等法律效力，并明确了电子认证服务市场的准入制度，同时保障了电子交易安全。《中华人民共和国电子签名法》的施行意味着网上通行有了 “ 身份证 ”，对“电子签名”、“数据电文”等电子文档是否具有法律效力进行了明确的规定，同时对电子认

证机构的法律地位和法律责任有了明确的界定，保证以后发生纠纷时的责任认定，并且使得电子签名的安全性、可靠性有了法律保障，有效的保护了使用者的权益。

面对 G2B 电子政务的诸多隐患，北京天威诚信电子商务服务有限公司（iTruschina）推出了基于 PKI（Public Key Infrastructure，公钥基础设施）技术的、易于实施的、完善的 G2B 电子政务安全解决方案。采用天威诚信的产品和服务，构架电子政务的 PKI/CA平台（CA ：

Certification Authority，认证中心）或为客户提供证书服务，为电子政务用户发放数字证书，电子政务用户使用数字证书完成涉及到 G2B 工作的各种操作，来保证电子政务的安全。

如图所示：通过 G2B 电子政务安全解决方案，各企业、事业单位和政府机构及其下属机构申请数字证书，在各自不同的电子政务应用中使用数字证

书，可以解决 G2B 电子政务的安全需求，在不同应用系统中，如网上申报审批、政务公文流转、网上工商年检等，用户通过申请证书在进行相应电子政务操作时使用数字证书来验证进行电子政务工作的系统身份，然后提交各自证书让系统验证用户证书来判断用户的真实身份，完成用户和应用系统的双向认证；根据用户身份给予相应授权，实现访问控制，并建立安全通道；用户提交办公数据和相应保密信息时，使用用户证书对数据进行数字签名，并通过安全通道进行加密传输，达到传输数据时的机密性和完整性。

对于需要相关部门审批的数据，审批者使用代表其身份的数字证书，登陆电子政务系统，通过数字证书完成双向身份认证和访问控制，并建立安全通道；审批者通过验证申报者的数字签名，来验证申报信息的真实性和完整性；审批者对申报信息进行审核后，并签署审批意见时，也使用自己的数字证书对审批结果进行数字签名；申报者通过验证审批者的数字签名，判断审批结果的真实性和完整性。

这样，随时随地更加安全快捷的使用电子政务提供的众多服务，从而极大的提高工作效率和大大降低办公成本。

天威诚信 G2B 电子政务安全解决方案为电子政务搭建安全工作平台，加速电子政务建设发展的速度。

规范办公流程，提高工作效率，为政府部门及时完成各项工作任务实现公文无纸化传输等应用提供强有力的安全保护；

有效的保证政府各部门之间及上下级政府之间信息传递的安全性，为职能部门的决策提供及时、准确、全面、安全和不可抵赖的信息服务；

为政府外网的安全、稳定运行提供有效的保障：保证政府通过外网获得的大量决策信息和参考信息的真实性、可靠性；同时为推动政务公开、职能转变、网上互动、增加透明，树立政府“公开、廉政、高效”的良好形象提供安全可靠的网络基础；

防止公文数据泄漏，防止越权操作，提高电子政务的工作效率，满足各办公单位高效、快捷的进行政务活动的需求；

提高政务工作的透明度，提高政府部门的形象；为整个电子政务信息化建设提供安全的应用环境和推广的可靠保障。电子政务信息安全解决方案随着计算机技术和通信技术的飞速发展，信息化的浪潮席卷全球，无论是企事业单位还是政府机构越来越多的传统事务向自动化、网络化转变。在处于经济全球化和信息化时代的中国，电子政务是提高政府管理水平和服务水平、提高国家竞争力的有力工具，更是带动全社会信息化的龙头，具有重大的意义。电子政务工程将建立一个集资源和服务于一体的电子政府个体和群体网络，其本质是资源数字化和服务网络化。随着信息技术的发展，互联网的普及，利用网络为政府部门提供更优质的服务成为当今社会的共识，借助电子政务系统的建设，达到提高政府工作效率、政府工作透明化，充分做到执政为民的目的。

由于电子政务的许多应用，如网上的申报审批、政务公文流转、网上信息统计直报、网上报税、各企业资质的网上年检等都是面向企业、政府下属机构 / 部门或政府关联机构 / 部门的应用，如下图所示：

电子政务应用系统涉及到许多保密信息，这些信息都在不同程度上关系到政府的正常运转和在广大民众心中的地位，如果这些信息一旦失真或被内部人员、不怀好意人士、黑客和政治间谍窃取将有可能导致严重的后果。因此，采取强有力的安全措施来保障电子政务的信息安全将变得尤为重要。

4.1 网络安全问题的应对方法 4.1.1 加强对公务员的安全技术教育，树立网络安全观念。

网络的开放性在给人类的生活带来诸多方便的同时，也给社会生活的许多方面带来了很多不稳定的因素，尤其是作为社会管理者的政府，一旦其网络遭到恶意攻击，很可能给社会带来灾难性的损失。因此，加强公务员的网络安全教育和技术培训，使之树立网络安全意识，并掌握一定的网

络安全技术和技能，不仅是对公务员自身素质的一大要求，也是应对网络安全的关键。

4.1.2 改变信息安全管理依靠传统的管理方法和手段的模式，实现现代的系统管理技术手段。

国际标准 BS7799 和 ISO／IEC17799 是流行的信息安全管理体系标准。其中的管理目标为数据的保密性、完整性和可用性要求。具有自组织、自学习、自适应自修复、自生长的能力和功能。保证持续有效性。通过计划、实施、检查、措施四个阶段周而复始的循环。应用于其整体过程、其他过程及其子过程，例如信息安全风险评估或者商务持续性计划的安排等。为信息安全管理体系与质量管理体系、环境管理体系等的整合运行提供了方便在模式和方法上都兼容，成为统一的内部综合管理体系包括按照可信网络架构方法。编制信息安全解决方案。多层防范多级防护，等级保护，风险评估、重点保护。针对可能发生的事故或灾害。制定信息安全应急预案，建立新机制、规避风险、减少损失。根据相应的政策法规在网络工程数据设计、建设和验收等阶段实行同步审查，建立完善的数据备份、灾难恢复等应用，确保实时、安全、高效、可靠的运行效果。

4.1.3 鼓励民族信息技术产业的发展，解决好技术的先进性与自主性的关系。

作为一个先进复杂的系统，电子政务系统必须尽量采用先进技术和手段以提高政务运转的效率，并增强整个系统的可靠性。从目前信息技术发

展的情况来看，绝大多数的关键技术掌握在以美国为首的少数发达国家手中，在实施电子政务过程中不可避免地要采用这些国家的技术和产品，而从我国的国家和民族利益来看，又要尽量避免在关键要害部门受制于人。鉴于安全问题，在构建电子政务系统过程必须要处理好技术先进性与自主性的关系。首先，对于核心应用系统和关键政务环节，必须确保在各类实施方案中的技术自主性。其次，对于核心层外部，但又与其他外部信息系统存在一定可监控隔绝层的层次，可以尽量采用先进技术以提高系统的效率和可靠性。实际上在整个电子政务系统中，位于此层次的应用系统也是承载信息最多，工作模型和处理流程最复杂的。由于此层应用系统不直接与外部信息系统相接，并能在一定的安全监控体系中运行，因此，不必单纯从技术自主的角度考虑放弃某些先进的技术。最后，对于直接与外部信息系统相联的部分，也要针对不同情况分别加以考虑。对于其中安全监控系统，需要在其中的核心部分（如核心加密算法）确保技术自主，对于其余部分，由于所承载的信息基本都属于非关键信息，可以考虑与其他信息系统接口保持通信协议、数据格式甚至软件体系的一致性。

4.1.4 关于网络对人的情感及价值忽略问题的应对方法解决这一问题，一是改进和普及多用途互联网电子邮件系统（MIME），使政府公务员与公众之间通过文字、声音、图象和影视进行交流与沟通，促其将信息沟通与情感交流融为一体；二是采用如专题调研、座谈讨论、听证会、新闻发布会等形式，促使政府公务员与社会公众之间进行面对面

的交流与沟通，从而消除相互之间的情感隔阂，建立政府与社会之间的相互信任机制。

4.2 政府自身问题的应对方法 4.2.1 提高公务员素质推行任何改革，思想解放是关键。应加强对公务员的思想政治教育，使之转变观念，从而在思想上接受这场变革，进而在行动上积极应对这种变革。要加大对公务员的培训工作，使得他们掌握先进的信息技术，以适应全新的信息社会工作环境，并且要把信息技术知识与技能的考核纳入公务员综合考核范围之内。

4.2.2 制定发展规划，明确阶段目标，避免重复建设作为政务活动和信息技术的结合点电子政务建设不单单是一个技术问题，而且涉及到政党部门的工作程序、组织结构、人事制度等方面的调整和协调。因此，国家要制定相应的发展规划，建立相应的领导机构，加强对电子政务的研究、规划和组织协调，并根据国情，制定切实可行的阶段性目标.虽然可以在电子政务的其他方面（如硬件平台应用软件的选择上）可以搞市场经济，由各厂商自由开发、公平竞争，但是在技术标准的问题上必须搞“计划经济”，由国家同一制定。技术标准确立的越早，我国的电子政务建设就越能尽早走上快车道，因此也就能尽早避免将来因标准混乱而导致的被动局面。

综上所述：信息安全对于电子政务的成败具有举足轻重的作用。电子

政务是一个系统工程，信息安全问题贯穿了电子政务系统的整个系统生命周期，我认为：在电子政务信息安全中，信息安全，三分技术、七分管理。因此，技术安全手段应当服从于和服务于管理安全手段。具体而言，技术手段只有和规章制度的有效执行相配合，才能产生信息安全效益。

我国电子政务中信息安全及相关法律保护 5.1

电子政务中信息安全的几个基本问题信息安全的内涵：信息安全是指一个国家的社会信息化状态不受外来的威胁与侵害；一个国家的信息技术体系不受外来的威胁与侵害。电子政务中的信息安全包括了信息的机密性、完整性、可信性、可控性、不可否认性等。我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施(网络)的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。从这一法律规定看，计算机信息系统安全应当包括实体安全、信息安全、运行安全和人的安全。其中，人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等；实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭自然和人为破坏的措施、过程。实体安全包括环境安全、设备安全和媒体安全三个方面；计算机信息系统的运行安全包括：系统风险管理、审计跟踪、备份与恢复、应急四个方面的内容。所谓计算机信息系统的信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制，即确保信息的保密性、完整性、可用性、可控性。针对计

算机信息系统中信息存在形式和运行特点，信息安全包括操作系统安全、数据库安全、网络安全、病毒保护、访问控制、加密与鉴别七个方面。

信息安全在国家安全中的地位：电子政务中政府信息安全实质是由于计算机信息系统作为国家政务的载体和工具，而引发的信息安全。信息安全成为当前政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。电子政务中的政府信息安全是国家安全的重要内容，是保障国家信息安全所不可忽缺的组成部分。

我国所面临的信息安全威胁：我国信息技术和信息产业的发展与技术先进国家相比“西强我弱”是事实，西方敌对势力利用一切机会威胁我国家安全也是事实。在意识形态领域，电子媒介成为国际意识形态斗争的主

导工具；某些西方大国利用信息及信息传输技术优势，妨碍、限制、压制和破坏其他国家对信息的自由运用，甚至利用信息把本国的价值观念、意识形态强加于别国头上，以谋求政治军事手段难以得到的霸权利益。它们利用在信息领域的主宰地位，通过互联网络上的电子邮件、电子报刊及其他信息媒体展开宣传战、心理战。政策渗透、“文化侵略”严重威胁着发展中国家的政治、科技、文化安全。在军事领域，网络泄密是军事信息安全的重要表现；军事泄密触目惊心；黑客攻击对军事信息安全的危害极大；信息战是影响军事信息安全的极端表现形式。在信息产业和经济金融领域，电脑硬件面临遏制和封锁的威胁；软件面临市场垄断和价格歧视的威胁。

同时国家为加快信息化建设的需要，大量引进国外的基础设备，对引进的信息和技术缺乏相应的有效管理和技术改造，尤其是对发达国家或跨国公司在提供关键设备中可能做手脚(如在电脑芯片中隐藏着特定的程序，有可能在某种指令下被激活，或使电脑无法启动)缺乏有效的检测和排除技术。就有可能造成花费宝贵的外汇买来安全隐患，买来不安全的后果。

我国电子政务中信息安全的现状及表现：目前我国电子政务中的政府信息安全问题突出表现在：一是我国政府信息网络安全存在严重隐患。网络非常脆弱，各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件，并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏，将不能正常工作，甚至全部瘫痪，给国家带来重大损失。二是互联网上和针对计算机信息系统的违法

犯罪活动日益增多。近年来，金融机构内部利用计算机犯罪案件大幅度上升；在互联网上泄露国家秘密的案件屡有发生；提供境外黄色站点的错接服务，向国内用户提供色情信息。三是境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统，修改或破坏系统功能或数据等手段，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。四是境内外敌对势力、敌对分子和非法组织利用互联网进行煽动、渗透、组织、联络等非法活动日趋突出。他们通过建立针对境内的反动宣传、煽动的站点，利用电子公告栏、新闻讨论等公共媒体，发表反动文章，散布反动言论，煽动反政府情绪；利用互联网进行组党结社，公开吸纳成员；利用电子邮件直接向国内用户发送反动刊物；利用电子邮件进行联络。对电子政务中的政府信息安全受侵害的方式主要包括：偷窃、分析、冒充、篡改、抵赖等。

5.2 政府信息安全的保护

一个国家的信息安全，实际是由两方面构成的。其一，为一个国家在信息安全方面采取的一系列组织措施及有关政策、法规；其二，为强有力的、切实可行的技术手段及有关技术装备。前者反映了一个国家在信息安全方面的决心、意志和战略、策略；后者反映了一个国家在信息安全方面的实力。信息技术是信息安全的前提和基础，信息安全的国家发展战略(包括信息安全法律制度)，早已从一个产业问题上升为一个事关国家的社会、文化、军事等各方面的核心问题。在信息安全中其地位举足轻重，尤其作

为信息技术相对落后的我国如何调整信息安全战略，完善信息安全保障法律规范，不仅是提高信息安全保障能力的手段和方法，而且是提高信息安全技术的前提和保证。所以我国“计算机信息安全的保护主要包括两方面的内容，一是国家安全监督管理，二是计算机信息系统使用单位自身的保护措施。实施计算机信息系统保护的措施包括：安全法规、安全管理、安全技术三方面”。

信息安全是一项极其复杂的系统工程，在安全法规、安全管理、安全技术的保障措施中，安全技术是信息安全的基础；安全管理是信息安全的关键；安全法规是信息安全的保证。

采用先进可靠的安全技术是维护信息安全的有力保障。事实上，大多数安全事件和安全隐患的发生与其说是技术上的原因，不如说是管理中的缘故。我国已发生的许多计算机安全事件(包括计算机犯罪行为)，技术手段并不高明，仅仅是由于钻了管理上的漏洞。管理的关键在于管好人。因为一方面各种安全措施要靠人实施，另一方面有相当多的威胁网络的行为出自系统内部人员。因此必须提高安全管理人员的素质，加强对系统内部人员和网络用户的教育和管理。

采用安全技术，加强安全管理，可以大大提高网络的安全性。为了切实贯彻执行这些安全措施，并有实施的法律依据，制定保障网络安全的法律、法规就显得尤为必要。对于已经发生的违法行为，只能依靠法律进行惩处，当然也包括一些民事行为的法律调整，这是保护网络安全的最终手

段。同时通过法律的威慑力，还可以使有犯罪意识者产生畏惧心理，达到惩一儆百的效果。法律还可以便公民了解在网络的管理和应用中什么是违法行为，而自觉地不为，从而创造一个良好的社会环境，起到保护网络安全的重要作用。所以说法律又是网络安全的第一道防线。

5.3 我国电子政务中信息安全的保护对策

针对我国信息安全的现状，结合我国电子政务的实际，当前在政府信息安全的保护方面的当务之急是：

5.3.1 尽快建立我国信息安全的保护体系(1)

迅速健全信息安全保护的组织机制国家信息化工作领导小组是站在国家的高度，对网络信息的国家发展总体战略进行规划、设计、研究，组织、协调、配合有关部门进行立法调研，使国家在网络信息方面的立法成为一个有机的整体。但地方政府和重点保护的重要领域相应的组织机构还不健全；《中华人民共和国计算机信息系统安全保护条例》中确立了公安部主管全国计算机信息系统安全保护工作，但由于编制等原因许多地方公安机关没有成立专门的机构，警力尤其是适应计算机信息技术高速发展的警力配备不足等。最好能组建国家信息安全委员会，组织和协调国家安全、公安、保密等职能部门，在信息化建设中信息安全的分工，对国家信息安全政策统一步调、统筹规划。因此尽快健全相应的信息安全保障的组织机构是信息安全保护的组织保证。

(2)

尽快完善国家信息安全基础设施建设我国目前信息安全基础设施的建设还处于初级阶段，需要逐步完善。当前迫切需要建立的国家信息安全基础设施建设包括：国际出入口监控中心、安全产品评测认怔中心、病毒检测和防治中心。关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、密钥基础设施与监管中心、信息战防御研究中心等。其中，国际出入口监控中心和安全产品评测认证中心已初步建成。安全产品评测认证中心由安全标准研究、产品安全测试、系统安全评估、认证注册部门和信息安全专家委员会组成。国家信息安全基础设施建设是信息安全技术保证。

(3)

坚定地确立信息安全产业的策略

目前就我国的信息产业无论是技术、管理还是生产规模、服务观念，都不具备力量在短时间内使国产信息产品占领国内的主要市场。但是我国必须建立起独立自主的信息安全产业。自主的信息产业或信息产品国产化是信息安全的根本。国产化不等于绝对安全，而绝对安全却需要国产化。国家可集中人力、物力和给以政策，大力发展自主的专用芯片、自主嵌入式操作系统和自主的密码技术产品等，以确保关键部门的信息系统的安全。信息安全产业的策略是信息安全的基本保证。

5.3.2 进一步完善我国信息安全保障的法律体系虽然我国已颁布相当数量的信息安全方面的法律规范如《关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》等，但立法层次不高，现行的有关信息安全的法律规范大多只是国务院制定的行政法规或国务院部委制定的行政规章；法律规定之间不统一；立法理念和立法技术相对滞后等，因此要进一步完善我国信息安全的法律保障体系应当做到：

(1)

确立科学的信息安全法律保护理念为了使国家的政策法律能够适应社会存在的现实和需求，需要确立起法制建设要保障和促进国家的信息化发展、法制建设为社会信息化发展提供全面服务的指导思想，修正传统的立法理念，从彻底改革国家传统的经济体制和保障机制入手，改变落后的调整方法，把信息安全法制保障的重点从单纯的“规范”、“控制”转移到首先为信息化的建设与发展“扫清障碍”上来，以规范发展达到保障发展，由保障发展实现促进发展，构筑促进国家信息化发展的社会环境，形成适于信息网络安全实际需要的法治文化。

(2)

电子政务的安全之道第3篇

本期“电子政务”专题邀请来了金山、江民、瑞星、天融信、F5、CA等信息安全公司的高管，共同探讨“电子政务”与“信息安全”之间的互动关系，分析目前我国电子政务在安全方面存在的问题、解决途径和产业机会。

构筑安全的电子政务

《互联网周刊》：同其他行业相比，中国电子政务对信息安全的需求有什么特点？这块市场的规模有多大？

雷军（金山软件公司总裁兼CEO）：因为电子政务涉及政府办公、行使政府职能，所以整个系统应该具有高度的保密性，严格控制信息的访问权限，保证信息的完整性。另外还应该有好的容灾与恢复系统。我认为整个电子政务的市场规模应该在几百亿元。

王江民（江民公司总裁）：与其他行业相比，电子政务系统的部分内容涉及到国家政府机密和敏感信息的安全，所以除了保证网络基本设施安全之外，“防黑”是首要任务。

毛一丁（瑞星公司副总裁）：由于这个市场的用户主要是国家机关，可能涉及到国家政务的正常运行，如果安全产品存在后门或漏洞，可能造成国家机密泄漏。因此，对厂商提供的产品的安全性能，对源代码的掌握、自主知识产权的研发等要求特别高。

从公开的统计资料来看，中国电子政务的总体规模在450亿～500亿元人民币之间，但在信息安全方面的投入比例并不大。随着网络和电子政务的发展，这个市场未来的潜力很大。

贺卫东（北京天融信网络安全技术有限公司董事长兼总裁）：中国电子政务的特点在于各地区、各部门的发展不平衡，对安全的要求也随之不同。所以评估安全风险，要在投资、收益方面做一个权衡。一个电子政务系统安全保密性能超出管理要求不但没有必要，而且还会造成资金上的浪费。这块市场的规模在整个安全市场中所占的比例在15%以上。

柯文（美国F5公司(中国)区市场渠道总监）：电子政务本身的特点包括开放性、虚拟性、网络化，这就对电子政务系统的安全性提出了严格的要求。而对中国电子政务，如何解决开放性与安全性的矛盾则是最重要的问题。这个市场有巨大的潜力。

谢春颖（CA(中国)有限公司产品市场经理）：在电子政务领域，信息安全是行业关注的重点之一。这块市场目前的规模大致在30亿～40亿元人民币。我们了解到，过去政府的应用系统是内部应用，不具备Web访问能力，现在要加入Web访问如公众访问，就需要好的授权和访问的安全管理解决方案，这是电子政务的信息安全需求重点之一。

《互联网周刊》：当前中国的电子政务建设，在信息安全方面还有哪些亟待解决的问题？

雷军：主要问题在于构建一个完整的电子政务安全体系，它包括四部分：可信的基础安全设施、安全技术支撑平台、容灾与恢复系统和安全管理体系。

王江民：现在防病毒技术多采取被动防毒方式，这方面针对已知病毒有效，但对于未知病毒的防护上有难度。解决这些问题，防病毒技术需要变被动为主动，加强系统的自身防护和免疫能力。

毛一丁：国内的IT厂商，在自有知识产权、研发能力等方面，跟国际先进水平还存在一定差距。一些政务网的基础设施如网络硬件、电脑操作系统、办公软件等不得不采用国外的产品，这些产品由于核心技术掌握在国外厂商手中，如果有后门或漏洞的话，就可能会对我国政务网络的安全运行产生重大影响，造成政府机密信息泄露。

贺卫东：电子政务安全是一个复杂的系统工程。仅从安全威胁的来源看，可以分为内、外两部分。来自于外部的威胁有病毒传染、黑客攻击、信息间谍、信息恐怖活动、信息战争、自然灾害等，而来自内部的威胁则包括内部人员恶意破坏、管理人员滥用职权、执行人员操作不当、内部管理疏漏、软硬件缺陷等。这些安全问题都急需解决。

柯文：政府部门设置多、部门之间的职能交叉以及政府职能转变迟缓等，都为电子政务系统的安全构建带来了困难。而部门设置越细，部门之间的职能交叉的概率越高，电子政务信息安全的控制难度越大。

谢春颖：在中国电子政务市场，机会正在不断涌现，并且对信息安全的投入越来越大。目前对中国政府而言，完善相关信息安全的法律法规被摆在了一个重要的位置，而且政府也正在研究确切可行的办法。面对2008年北京奥运会，对主办方北京市来说，信息安全技术也非常重要，因为到时要在很短的时间里应对世界各地巨大的人流、物流、资金流和信息流，而且很多人员和信息都是临时性的，所以从身份识别和认证方面来说是一个非常大的挑战。

信息安全的双向选择

《互联网周刊》：政府采购在电子政务信息安全市场的比例比较大，如何看待这种政府行为？

雷军：实施电子政务建设，政府采购成为了重要的实施手段。这两项工作其实都是由一个实体展开，即政府。政府采购应该以《政府采购法》为原则，切实为政府、企业服务。

王江民：政府采购对于电子政务软件市场的影响将逐渐扩大。国产软件在与国外软件厂商争夺政府采购大单的战斗中，电子政务是突破口，与国外软件相比，国产软件在很多方面是存在优势的。政府部门对安全要求的特殊性更为中国软件企业的发展提供了一个难得的机遇。

毛一丁：构建电子政务所需要的软硬件设施，都应通过政府采购进行。政府采购的原则和政策，直接影响到电子政务网络建成后的安全运行。要想保证电子政务的信息安全，就需要在建设初期即确定产品应满足的安全规范，并且要求产品厂商对产品提供后期的安全保证和技术支持。

贺卫东：政府采购在整个国内安全市场占有率中占15%～35%的份额，所以政府采购对于电子政务建设的影响巨大。天融信对政府采购非常重视，在公司的组织结构中，专设了服务于政府采购的政府事业部以处理相关事务。

柯文：政府采购意味着政府牵头推动这一市场，这对于企业和用户来说都起了带头作用，有利于让更多用户重视信息的安全性。

谢春颖：对于电子政务市场而言，政府采购的要求比较高，对信息安全厂商的影响也很大。比如密码加密必须用国产技术，电子政务的安全软件必须经过中国信息安全产品测评中心的认证等，这些是由电子政务信息安全市场的特殊性决定的。所以CA凡是涉及加密技术的产品，目前在中国地区就不进行销售。另外我们和一些国内公司进行合作，在其解决方案中把CA的身份管理功能发挥出来，再比如CA在中国的合资公司冠群金辰可以为政府单位提供防病毒软件，这样我们就可以更好地配合政府采购工作。

《互联网周刊》：面向政府提供信息安全服务方面，贵公司的独特优势何在？

雷军：金山公司是国内最大也是历史最悠久的通用软件提供商之一，我们不仅有专业完整的电子政务解决方案，也有面向政府、企业、行业等各个方面的信息安全解决方案。所以金山公司作为国内的自主研发公司可以更好地了解用户需求，从自身做到完整的整合，提供全面、综合的支持与服务。

王江民：江民公司是中国最早、最大的信息安全技术和服务提供商，拥有一支快速反应的技术队伍、覆盖全国的销售服务网络，并建立了24小时险情救助和灾难恢复体系，从而可以用本地化的服务，为企业的信息安全提供专家级的保护。

毛一丁：瑞星是全球仅有的几家拥有全系列信息安全产品的厂商，并且，这些产品瑞星拥有全部的知识产权，可以更好地保护电子政务的安全。我们的另外一个优势就是对本地化需求的了解，可以对产品提供及时快速的支持服务。这些都是国外对手所不能比拟的。

贺卫东：天融信长期以来在政府客户群中建立的良好信誉、积累的大客户优势、覆盖全国29个省市的销售体系、本地化的服务网络以及相对较低的产品价格，是我们面向政府提供信息安全服务方面的独特优势。

柯文：作为智能负载平衡领域的领先厂商，F5持之以恒的产品创新可帮助组织优化并保护其IT投资，同时确保IT资源和应用具备出色的可用性、可扩充性、卓越性能和强大的安全性，进而推动组织取得成功。

这方面我们可以举一个例子，在国家税务局电子报税系统中，内网系统的核心系统采用了F5公司的IP应用交换机，它能够充分利用所有的服务器资源，将所有的流量均衡的分配到各个服务器，这样就有效地避免了“不平衡”现象的发生。

谢春颖：CA目前在全球身份认证和访问管理软件市场中处于第一位，份额是19.7%，并且连续四年蝉联第一。但CA 中国的收入在CA全球份额中所占比率还不高，CA总部更看好中国未来几年的增长。

电子政务信息安全体系分析第4篇

一、信息安全的概念

从技术角度看, 信息安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科, 完整的信息安全概念应包含以下3个方面的内容。

1. 物理安全。

指保护计算机设备、设施、网络及其他媒体免受各类事故、意外破坏的措施和过程。物理安全又包括环境安全、设备安全和媒体安全3个方面。

2. 运行安全。

指为保障系统功能的安全实现, 提供一套安全措施来保护信息处理过程。它侧重于保证系统正常运行, 避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失。运行安全包括风险分析、审计跟踪、备份与恢复、应急4个方面。

3. 信息安全。

指防止信息被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制, 即确保信息的完整性、保密性、可用性和可控性。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与鉴别7个方面。

二、信息安全对象的分类

网络信息根据使用范围可分为非保密信息、内部使用信息、受限使用信息和保密信息4类。而保密信息根据其保密程度又可分为秘密、机密、绝密3类, 是按照泄露后的损害程度来排序的, 其敏感程度依次递增。

三、信息安全现状分析

1. 网络信息安全威胁严重。

俗话说, 道高一尺, 魔高一丈。网络信息的安全性问题之所以难以解决, 是因为从某种意义上讲, 网络安全地对阵双方打的是一场没有胜负的战争, 而且这场战争会一直持续下去, 对阵双方的人员、战略战术、交战地点、斗争方式都在不断地变化, 没有任何人可以预测其发展趋势。因此, 对于任何企业、单位来说, 想一劳永逸地解决所有安全问题都是不可能的。

从肆虐全球的“熊猫烧香”病毒到英国政府重要资料丢失, 从五角大楼计算机系统被入侵到“维基解密”事件, 这些都为网络信息的安全敲响了警钟。威胁网络信息安全的新形式、新方法不断出现, 可以说, 当前网络安全面临着“病毒更毒, 黑客更黑”的严峻形势。

2. 信息人才缺乏。

目前, 由于缺乏专业性技术人员, 政府机关、单位、企业的网站, 多由第三方公司外包开发, 存在的安全漏洞较多, 也最容易出现信息安全问题。信息安全建设, 人才是关键。因此, 培养大量优秀的信息安全人才成为各单位信息安全领域的头等大事。目前, 我国只有少数大学能够培养信息安全方向的专业人才。这种供需缺口在一个比较长的时期内将无法得到改观, 甚至连一些信息安全领域的公司也存在人才短缺或流失的问题。

3. 个人安全意识薄弱。

由于网络安全知识的普及力度还不够, 不少单位的干部和职工信息安全意识不强, 普遍存在擅自将涉密介质带出办公室的现象, 极易造成涉密信息的外泄。通过互联网使用造成涉密储存介质不经意泄密的问题屡次发生。这都给电子政务的信息安全造成了严重威胁, 教训极其深刻。此外, 一些个人不经意的言语和行为甚至也会为黑客攻击提供信息和条件, 通过聊天软件泄露管理系统密码威胁到大局信息安全的事件时有发生。

四、如何建立电子政务的信息安全体系

电子政务的信息安全建设是在适当的信息安全保障体系和框架指导下进行的一项系统工程。这项工程应包括密切关联的4大体系, 即安全管理体系、预警检测体系、安全防护体系和响应恢复体系。

1. 安全管理体系。

建立健全安全管理体系, 最重要的是针对电子政务的现有情况制定统一的行政管理制度。当然, 根据当地网络的实际情况和具体网络应用的不同, 管理制度应有针对性, 以保证安全策略的统一性、一致性和可管理性。安全管理体系的建立要遵循以下原则:符合法律、法规、标准, 符合组织使命, 符合组织利益。

2. 预警检测体系。

预警检测体系包括入侵检测、漏洞检测、外联和接入检测、补丁管理等。

(1) 入侵检测。入侵检测系统可以了解网络的运行状况和发生的安全事件, 并根据安全事件来调整安全策略和防护手段, 同时改进实时响应和事后恢复的有效性, 为定期的安全评估和分析提供依据, 从而提高网络安全的整体水平。

(2) 漏洞检测。漏洞检测系统一般包括漏洞扫描引擎、控制中心、报表和显示中心及管理控制台4个功能组件。

(3) 外联和接入检测。外联和接入监控技术就是为了防范由于非法连接造成的安全问题而设计的, 它对内部人员的非法外联行为进行实时监控, 对物理隔离措施或安全限制规定进行有效性检查。

(4) 补丁管理。补丁管理应该纳入组织的安全体系。补丁管理的意义已经超出了传统的安全领域, 成为维护信息系统正常操作所必须具备的措施。电子政务需要部署补丁管理系统, 补丁可以被存储在本地网络以确保它们的更高可读性和加速分发。

3. 安全防护体系。

安全防护体系包括防火墙、身份鉴别与认证、访问控制、网络审计等内容。

(1) 防火墙。防火墙就是运行于软件和硬件上的、安装在特定网络边界的、实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障, 防止非法用户访问内部网络上的资源和非法向外传递内部信息。

(2) 身份鉴别与认证。身份鉴别与认证是系统的第一道安全屏障, 也是实施访问控制的基础, 具有十分重要的作用。因此, 身份鉴别与认证机制的强度如何, 将直接关系到整个系统的安全度。口令与令牌相结合的身份验证方式可以为大多数的场合提供足够的安全性。

(3) 访问控制。访问控制包括自主访问控制和强制访问控制两种。其中, 强制访问控制具有更高的安全性, 它给每个客体和主体分配了不同的安全属性, 系统通过比较主体和客体的安全属性来决定主体对客体的操作可行性。

(4) 网络审计。网络审计系统记录网络中发生的违规行为, 完整地记录各种信息的起始地址和使用者, 有利于事后追踪, 为调查取证提供第一手资料。

4. 响应恢复体系。

电子政务信息系统的安全策略中必须具备应急响应手段, 以保证电子政务发生安全事故后, 能够及时作出有效响应, 采取合适的应急措施处理事故。安全事件预警与应急响应体系主要针对危及电子政务信息系统安全的重大事件进行检测、预警、抑制、根除, 并从事件的影响中尽快恢复, 以确保电子政务信息系统的业务连续性。响应恢复体系包括应急响应和业务连续性计划两个方面。

论文：电子政务信息安全研究第5篇

1.1基础设施的可用性：运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

1.2数据机密性：对于内部网络，保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

1.3网络域的可控性:电子政务的网络应该处于严格的控制之下，只有经过认证的设备可以访问网络，并且能明确地限定其访问范围，这对于电子政务的网络安全十分重要。

1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失，硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此，在电子政务安全体系中必须包括数据的容灾与备份，并且最好是异地备份。

2电子政务信息安全体系模型设计

完整的电子政务安全保障体系从技术层面上来讲，必须建立在一个强大的技术支撑平台之上，同时具有完备的安全管理机制，并针对物理安全，数据存储安全，数据传输安全和应用安全制定完善的安全策略

在技术支撑平台方面，核心是要解决好权限控制问题。为了解决授权访问的问题，通常是将基于公钥证书（PKC）的PKI（PublicKeyInfrastructure）与基于属性证书（AC）的PMI（PrivilegeManagementInfrastructure)结合起来进行安全性设计，然而由于一个终端用户可以有许多权限，许多用户也可能有相同的权限集，这些权限都必须写入属性证书的属性中，这样就增加了属性证书的复杂性和存储空间，从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题，作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成，在该模型中：

2.1终端用户：向验证服务器发送请求和证书，并与服务器双向验证。

2.2验证服务器：由身份认证模块和授权验证模块组成提供身份认证和访问控制，是安全模型的关键部分。

2.3应用服务器：与资源数据库连接，根据验证通过的用户请求，对资源数据库的数据进行处理，并把处理结果通过验证服务器返回给用户以响应用户请求。

2.4LDAP目录服务器：该模型中采用两个LDAP目录服务器，一个存放公钥证书（PKC）和公钥证书吊销列表（CRL），另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。

安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理，安全技术实际上只是实现管理的一种手段，再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实；安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。

3电子政务信息安全管理体系中的风险评估

电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析，构建电子政务系统的风险因素集。

3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义，结合系统面临的风险、系统特定安全保护要求和成本开销等因素，采取相应的安全保护措施以保障信息和信息系统的安全。

3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子，其他文献，例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法，另外，一些组织还提出了自己的`风险评估工具，例如OCTAVE、CRAMM等。

电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南，从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中，资产的评估主要是对资产进行相对估价，其估价准则依赖于对其影响的分析，主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估，主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估，主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动，主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息，最终生成风险信息。

在确定风险评估方法后，还应确定接受风险的准则，识别可接受的风险级别。

4结语

电子政务与传统政务相比有显著区别，包括:办公手段不同，信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同，实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同，直接与公众沟通是实施电子政务的目的之一，也是与传统政务的重要区别。在电子政务的信息安全管理中，要抓住其特点，从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案，这样才能达到全方位实施信息安全管理的目的。

参考文献：

[1]范红，冯国登，吴亚非.信息安全风险评估方法与应用.清华大学出版社..

[2]李波杰，张绪国，张世永.一种多层取证的电子商务安全审计系统微型电脑应用.05期.

[3]赵晖.网络安全中的安全审计技术.集团经济研究.23期.摘要:长期以来，在电子政务信息安全建设方面，存在着重技术轻管理的问题。信息安全并不是技术过程，而是一个综合防范的过程，安全技术应由适当的安全管理体系来支持。在信息安全保障工作中必须管理与技术并重，进行综合防范，才能有效保障安全。本文旨在提出了一种电子政务安全解决方案。首先，分析了电子政务面临的威胁和挑战;其次，对电子政务安全保障体系进行探讨;再次，讨论了电子政务安全等级保护思想和风险评估方法。

加强电子政务信息安全的思考第6篇

一、电子政务网络安全需求

电子政务是一个由政务内网、政务外网和互联网三级网络构成，政务内网为政府部门内部的关键业务管理系统和核心数据应用系统，政务外网为政府部门内部以及部门之间的各类非公开应用系统，所涉及的信息应在政务外网上传输，与互联网相联的网络，面向社会提供的一般应用服务及信息发布，包括各类公开信息和非敏感的社会服务。面对如此复杂的应用环境，整个系统中任何一个不安全因素都会造成在此平台上传递的政务信息面临风险，产生不良后果。在电子政务实践中人们的安全需求集中在三个角度：

1.扫除信息网络安全隐患

针对信息存在形式和运行特点，电子政务信息安全隐患主要是系统自身和信息系统、数据库系统、应用系统、数据、物理环境等各个方面，信息隐患则是人为的侦听、截获、窃取、破译等被动攻击和修改、伪造、破坏、冒充、病毒扩散等主动攻击。特别值得关注的源头：

一是硬件设备。由于缺乏自主技术，计算机的CPU芯片、操作系统和数据库及网关软件大多依赖进口，一些发达国家或跨国公司趁我国为加快信息化建设的需要大量引进基础设备的机会，在其提供关键设备中设置陷阱(如在电脑芯片中隐藏着特定的程序，有可能在某种指令下被激活，或使电脑无法启动)，使我国计算机网络的安全性能大大降低，被认为是易窥视和易打击的“玻璃网”。我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，妨碍、限制、压制和破坏我国对信息的自由运用。

二是人的道德。系统使用者掌握了网络服务器上的用户账号信息和口令文件后，直接修改、删除系统重要数据文件。而黑客们采用包括窃听报文、IP地址欺骗、源路由攻击、端口扫描、拒绝服务攻击和应用层攻击等方式非法侵入重要信息系统，修改或破坏系统功能或数据等手段，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。

2.打击违法犯罪活动

近年来，国内外反动势力利用互联网组党结社，进行针对我国党和政府的非法组织和串联活动，猖獗频繁，屡禁不止。尤其是一些非法组织有计划地通过网络渠道，宣传异教邪说，妄图扰乱人心，扰乱社会秩序。如“法轮功”非法组织就是在美国设网站，利用无国界的信息空间进行反政府活动。金融机构内部利用计算机犯罪案件大幅度上升，犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金；有的利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意Html代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用cookies窃取用户信息。

3.保障国家信息领域

信息是社会发展需要的战略资源，国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全成为维护国家安全和社会稳定的一个焦点。由于信息技术和信息产业的发展是“西强我弱”，互联网成为超级大国谋求跨世纪战略优势的工具。居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁。以带有政治影响力的信息辐射空间来划分的信息疆域，关系到一个民族、一个国家在信息时代的兴衰存亡。

二、强化信息安全管理对策

信息安全包括“保障计算机及其相关的和配套的设备、设施(网络)的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。实施保护的措施集中在安全法规、安全管理、安全技术三方面：其中，安全法规主要是构建以科学的信息安全法律保护理念为指导，吸取外国的“明示式”和“开放式”立法模式有益成分，在全面保障国家信息安全的基础上，围绕国家信息安全的技术防范，遵循国家信息安全的组织保障原则，以国家信息安全的技术标准为内容的法律体系；安全管理则是遵循多人负责、任期有限和职责分离原则制定安全管理制度和组建由主管领导、网络管理员、安全操作员等人员组成信息安全组织体系；安全技术是采用CA认证、加密传输、防火墙技术、VPN、漏洞检测与在线黑客监测预警、实时审计、网络防病毒、自动备份恢复等技术确保系统安全。

系统安全包括物理安全与传输安全、操作系统安全、网络结构安全、信息传递过程安全、身份鉴别与访问控制、标准时间源、病毒保护、数据备份与容灾七个方面，其中操作系统安全、网络结构安全和信息传递过程安全成为重点。

1.加载漏洞扫描系统弥补操作系统无自主产权的缺陷

据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估，我国被列入防护能力最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。所有的政务应用和安全措施都依赖操作系统提供底层支持，操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。在电子政务设计建设中，使用具有自主知识产权且源代码对政府公开的产品是信息安全的根本，但由于我国没有掌握CPU等核心技术，这方面技术依然被国外所垄断，我国的信息产业无论是技术、管理还是生产规模、服务观念，都不具备力量在短时间内使国产信息产品占领国内的主要市场。基于国内未能建立独立自主的信息安全产业，在操作系统安全设计方面必须布置漏洞扫描系统。利用漏洞扫描工具采取时间策略定时扫描整个网络地址网段，对多种来自通讯、服务、设备、系统等的漏洞进行扫描。采用模拟攻击的手段去检测网络上隐藏的漏洞，且对网络不做任何修改或造成任何危害，并提供漏洞检测报告和解决方案，从而有效检查网络系统的可靠性和安全性。

政府信息要部门充分研究和分析国家在信息领域的利益和所面临的内外部威胁，结合我国国情制定的计划全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系，并投入足够的资金加强关键基础设施的信息安全保护，在信息技术尤其是信息安全关键产品的研发方面，提供全局性的具有超前意识的发展目标和相关产业政策。

2、用GAP技术整合网络结构

基于内网数据保密性的考虑，不希望内网暴露在对外环境中，电子政务实践中往往产生内网与专网、外网间的信息交换需求。安全岛是当前最为有效的措施，它是独立于电子政务内、外网的一个特殊的过渡网络，置于内网、专网和外网相交的边界位置，将内网与外网物理隔离，防止外网中黑客利用漏洞等攻击手段进入内网，完成数据的中转，在其安全策略的控制下安全地进行内外网间的数据交换。隔离网闸技术是实现安全岛的关键技术，通过添加VPN通信认证、加密、入侵检测和对数据的病毒扫描，就可构成一个在物理隔离基础上实现安全数据交换的信息安全岛，它如同一个高速开关在内外网间来回切换，同一时刻内外网间没有连接，处于物理隔离状态。在此基础上，隔离网闸作为代理从外网的网络访问包中抽取出数据然后通过反射开关转入内网，完成数据中转。在中转过程中，隔离网闸会对抽取的数据做应用层的协议检查、内容检测，也会对IP包地址实施过滤控制，由于隔离网闸采用了独特的开关切换机制，因此，在进行这些检查时网络实际上处于断开状态，只有通过严格检查的数据才有可能进入内网，即使黑客强行攻击了隔离网闸，由于攻击发生时内外网始终处于物理断开状态，黑客也无法进入内网。另一方面，由于隔离网闸仅抽取数据交换进内网，因此，内网不会受到网络层的攻击，这就在物理隔离的同时实现了数据的安全交换。

3.使用PKI技术为信息传递过程加密认证

电子政务系统在服务发布层、内部安全应用层、核心安全应用层等网络之间存在着信息资源、服务对象、数据通信等差异，其信息内容和保密级别也不尽相同，如何用电子方式验证信任关系就显得至关重要。在电子政务系统设计时，可采用PKI技术解决机密性、真实性、完整性、不可否认性和存取控制等问题，防止信息在传输过程中的非法截获。

PKI是一种遵循既定标准的密钥管理平台，为网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，可以实现数据机密性、完整性、身份认证和行为的不可否等安全目的，建立全系统范围内一致的信任基准，保证横向和纵向信任服务体系之间信任链互连。PKI技术通过第三方的可信任机构认证中心CA把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起，通过数字身份证、数据签名、用户名及其访问口令，进行身份鉴别及访问权限的控制，防止非法人员对网络的登录，保证网络资源的使用安全性。在加密过程将密钥分解为公开密钥和私有密钥，公开密钥用于加密，私有密钥用于解密，私有密钥只能由生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。认证中心CA是PKI的核心执行机构，是PKI的主要组成部分,承担认证服务、签发数字证书，由受信任的第三方权威机构担当，验证并标识证书申请者的身份，对证书申请者的信用度、申请证书的目的、身份的真实可靠性等问题进行审查，确保证书与身份绑定的正确性，具有唯一性和权威性。

此外，针对政府机关Web安全性的要求，选用网页防篡改系统来构建安全网站。网页防篡改系统实时监控Web站点，当Web站点上的文件受到破坏时，能迅速恢复被破坏的文件，并及时提交报告给系统管理员，从而保护政务网每个Web站点的数据安全。

信息安全是电子政务成败中举足轻重的因素。本文试图探讨如何应用相应技术强化电子政务信息安全，改变被动封堵漏洞状态，树立主动防范、积极应对的全民意识，从根本上提高网络监测、防护、响应、恢复和抗击能力。

电子政务信息安全工作探讨第7篇

一、我国电子政务的基本结构和安全性目标

我国的电子政务系统包括应用层、信息交换层、数据访问层和网络系统层四个方面。其中, 网络系统层是电子政务活动的基础, 没有网络交换和数据访问的平台, 不同部门之间的信息共享和交流就无从谈起。而建立电子政务系统的目的就是为了实现电子政务的网络应用, 因此应用层在电子政务系统中也有重要作用。具体而言, 电子政务系统的结构如下所示。

政府的政务活动事关国家和人民的切身利益, 因此保证电子政务系统信息的安全性具有重要意义。安全问题是电子政务系统关注的重点, 是电子政务系统的核心问题。建设一个安全完善的电子政务系统是电子政务系统的一个主要目标。具体而言, 电子政务信息安全性的目标有以下几点。[1]

1、真实性目标

电子政务信息的真实性是指能对信息实体的有效性、真实性进行鉴别。信息的真实性是开展电子政务的前提, 因为建设电子政务系统的目的就在于向人们提供可利用的信息, 因此必须要保证信息的完全真实性。电子政务信息的真实性事关个人、社会团体和政府机构以及国家的利益和声誉, 在电子政务发展的过程中要防备来自各方面的安全威胁, 保证电子政务的信息数据是真实有效的。

2、隐蔽性目标

在电子政务的信息中, 有的信息是需要进行保密性设置的。隐蔽性目标是指电子政务信息系统在使用的过程中不向非授权个人和部门透漏政府的私有保密信息。电子政务信息安全工作的一个重点就是对重要信息进行保密, 保密是电子政务信息安全的重要保障。在电子政务信息的运行和使用中, 要预防非法的信息存储和信息在传输过程中被非法窃取, 确保电子政务信息的安全性。

3、完整性目标

电子政务信息的安全工作还应该确保信息数据的完整性和一致性, 在电子政务信息系统的运行中, 要防止电子政务的信息数据被非法地修改和破坏。电子政务各方面信息的完整性将会影响到各个部门之间的活动和工作, 而在这一过程中, 保持信息数据的完整性是电子政务应用的基础。电子政务活动的信息数据如果在传输过程中出现丢失、重复或者次序差异, 极有可能导致政府机关的政务活动因为各方面信息数据的不完整而出现差错, 因此, 电子政务系统应充分保证信息传输和存储的完整性, 这样才能有效地保证电子政府信息的安全。[2]

二、我国电子政务信息安全工作存在的问题及解决对策

1、存在的问题

与传统的政务方式不同, 电子政务对于信息技术的依赖性非常强, 由于信息网络存在一定的安全风险, 因此, 电子政务信息的安全工作显得尤为重要。但是, 在当前的实际应用中, 由于我国的电子政务信息系统发展时间有限, 其在运行过程中还存在一定的问题, 主要有以下几个方面。

1.1网络攻击危及政务信息安全

随着信息网络技术的不断发展, 信息安全受到的威胁越来越大, 新型的网络攻击手段花样众多并且层出不穷。出于各种各样的目的, 政府的政务信息有时会受到网络黑客等行为的攻击, 使得电子政务信息的安全性受到极大威胁。

1.2政务信息公开的安全保障问题

面对我国政务公开程度的不断加深, 电子政务信息工作的发展趋势正由基础设施建设转向信息资源的开发利用和共享。随着现代信息网络技术的不断发展, 我国的信息化建设在社会中起到的作用越来越大, 信息资源也随之成为了比物质和能源更为宝贵的战略资源。由于政务信息关系国家和民众的切身利益, 信息网络的发展为电子政务信息资源共享提供了广泛的空间, 不同的电子政务系统为达到合作或交易等目的, 必须在运行过程中进行不同程度的信息共享。信息共享性的实践意义在于其增值和再生, 这也就使得电子政务的信息面临着公开化程度提高后的安全保障问题。[3]

1.3政务信息工程外包管理亟待加强

伴随着信息网络技术的不断发展和社会信息化程度的不断深入, 电子政务不断地向业务流程信息化转变。在电子政务信息流转的过程中, 由于信息流转的技术比较复杂、风险大、管理难度高等特点, 电子政务工程不再局限于政府内部完成, 而是越来越多地被外包给专业化的信息网络公司进行。随着信息安全工作专业化和复杂程度的提高, 信息安全外包已经成为一种不可逆转的趋势。但是, 由于我国的政务信息外包制度还不完善, 在现代的电子政务外包工程中, 外包企业的工作人员可以访问政府的重要资源和敏感信息, 甚至可以修改信息内容, 这就容易造成信息的丢失或者破坏, 使得信息的完整性受到威胁。为此, 政务信息工程的外包管理制度亟待完善。

2、解决对策

作为一项新兴的政务办公形式, 虽然电子政务在发展过程中其信息的安全性存在问题。但是我们也要看到积极的方面, 只要我们从以下几个方面做好电子政务信息的安全工作, 电子政务的信息就会处于安全状态之中。

2.1设备和操作系统的安全性保障

为了保障电子政务信息的安全性, 首先要保障电子政务系统硬件设备的安全运行, 包括电子政务系统的环境安全、设备安全和线路安全都应该得到一定的保障。而网络安全的重要基础就是安全的操作系统, 政务信息的操作系统的漏洞或配置不当可能导致整个安全体系的崩溃。因此要通过采用具有自主知识产权且源代码对政府公开的操作系统产品, 并且要定期检查系统漏洞和配置更改情况, 及时发现存在的问题, 确保电子政务系统设备和操作系统的安全性得到保障。[4]

2.2信息的加密

随着电子政务信息的公开化不断加强, 在电子政务信息的安全工作中要注重对重要和敏感信息进行加密。对于涉及到不宜公开的和有密级保护的信息要采取一定的加密措施, 设置查阅权限。

2.3外包管理制度的完善

随着电子政务信息工程外包范围的不断扩大, 在工程的外包过程中要不断完善外包管理制度。在内部的安全保障上除了需要体系化的安全防御策略, 还需要严格的、可操作性强的安全管理制度。在外包政务信息工程时, 要规定外包工作人员的浏览权限, 必要时签署保密协议, 确保电子政务信息安全制度的真正贯彻执行。

三、结论

随着电子政务信息系统应用的不断普及, 我们要不断完善电子政务信息安全保障工作, 确保信息在交流和使用的过程中的安全性和可靠性。电子政务信息的安全工作是一项复杂的系统工程, 需要我们在实践中不断积累经验, 并采取一定的措施对信息的安全进行保障。

参考文献

[1]王志明, 李涛.基于Intenet的电子政务安全解决方案[J].计算机应用研究, 2006 (3) :44-46.

[2]曾华国.网络世界:我们怎样设防——关于我国信息安全的报告[J].嘹望, 1998 (4) :23-25.

[3]姚乐野.关于发展我国电子政务的思考[J].四川大学学报, 2007:102-105.

浅谈电子政务信息安全第8篇

在2004年国家信息化领导小组正确领导下和各级政府的积极努力下，我国电子政务在基础环境建设、业务系统应用和信息资源开发等方面取得了重要进展，为带动国民经济和社会信息化、促进政府职能转变起到了积极作用。电子政务系统为政府、公众服务，既要求相当的保密性，又要求一定的公开度，而互联网是一个安全性先天不足的全球网络，自身缺少设防，安全隐患很多，使基于互联网开展的电子政务应用面临着严峻的挑战。这也给电子政务的安全性提出了更高的要求，这个要求主要是信息安全，即保证数据传输完整性、保密性、真实性等。只有这些问题得到很好的解决，才能促进电子政务的不断发展。本文将从信息安全技术的角度，分析和诠释针对电子政务系统中的信息安全问题。

2 电子政务系统的安全需求

解决好电子政务系统中信息共享与保密性、完整性的关系，开放性与保护隐私的关系，互联性与局部隔离的关系，是实现“安全的”电子政务的前提。对电子政务系统而言，主要的安全威胁包括：(1)网上黑客的入侵和犯罪;(2)网络病毒的泛滥和蔓延;(3)信息间谍的潜入和窃密;(4)网络恐怖集团的攻击和破坏;(5)内部人员的违规和违法操作;(6)网络系统的脆弱和瘫痪;(7)信息安全产品的失控等。

我们通过对电子政务系统网络结构、应用及安全威胁等的分析，可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护、内部用户的访问审计以及管理安全上。具体的安全需求包括以下几个方面。

(1)公共服务器的安全保护：公共服务器安全是电子政务系统功能实现的必要基础，包括主机操作系统安全、数据库及数据库系统安全、Web服务器安全及其他应用服务器安全;

(2)防止黑客从外部攻击;

(3)入侵检测与监控;

(4)信息审计与记录：建立一整套信息审计、记录的机制，系统信息发生的变化要记录下来，再根据记录进行事后处理;

(5)病毒防护;

(6)数据安全：数据应处于监控之中，数据的完整性和保密性应得到重视。数据在传输、存储、使用等环节中其安全性应得到保障;

(7)数据备份与恢复;

(8)统一授权管理：在身份识别和资源统一管理的基础上，实现统一的授权管理，用户和资源之间有严格的访问控制;

(9)安全管理：建立规范的安全保障和管理制度，保证系统平台和设施设备的安全正常运转。坚持安全的人员管理，将安全问题中的人为因素减到最小。

电子政务本身的特点开放性、虚拟性、网络化、对电子政务系统的安全性提出了严格的要求。目前我国有的政府部门没有制订统一的建设标准和规范，也没有形成一个可以互联互通的统一平台和网络。我们也可以参考以上的安全需求，建立系统的安全评估标准，但具体的技术细节还需要因地制宜，依照系统的具体环境因素制定。

3 电子政务系统中的安全策略、安全技术和安全体系结构

3.1 安全策略

安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分，即：

3.11威严的法律

安全的基石是社会法律、法规即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。

3.1.2 先进的技术

先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。

3.1.3 严格的管理

各网络使用机构、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。

3.2 安全技术

抛开网络和操作系统环境等因素的影响，在考虑系统本身的信息安全时，通常的安全技术涉及到加密技术、鉴别和认证技术、访问控制技术等几个方面的内容。

3.2.1 加密技术

数据加密技术主要分为数据传输加密和数据存储加密。目前加密技术的发展，已经能在极大程度上保证敏感信息的机密性和完整性。

3.2.2 鉴别和认证技术

CA认证主要解决了信息交互参与各方的主体身份、资信认定等问题。数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。数字签名技术采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。

3.2.3 访问控制技术

目前的主流访问控制技术有：自主访问控制(Dis—cl'etionary Aceess Contro1)、强制访问控制(MandatoryAccess Contro1)、基于角色的访问控带4(Role—basedAccessContro1)。

3.3 安全体系结构

根据安全的“木桶原理”(一个木桶的容积取决于组成它的最短的一块木板)，一个系统的安全强度等于它最薄弱环节的安全强度。因此，电子政务必须建立在一个完整的多层次的安全体系之上，任何的薄弱环节都将导致整个安全体系的崩溃。因此，借鉴网络的分层结构，可以采取这样一个安全：体系结构模型，见图1所示。

该模型由四部分组成：基础安全服务设施、安全管理保障体系、安全技术支撑平台和响应与恢复机制，它们共同联合起来，支撑电子政务的应用系统，保证电子邮件、政府网站等的安全。

4 结束语

除了以上提到的应用级别的安全技术外，电子政务系统还面临着许多其他方面的安全问题，涉及到网络安全、操作系统级别的安全、数据存储安全等等。整个电子政务的安全，涉及信息安全产品的全局配套和科学布置，产品选择应充分考虑产品的自主权和自控权。产品可涉及安全操作系统、安全硬件平台、安全数据库、PKI/CA、PMI、VPN、安全网关、防火墙、数据加密、入侵检测(IDS)、漏洞扫描、计算机病毒防治工具、强审计工具、安全邮件、内容识别和过滤产品、安全备份等等诸多方面。“三分技术、七分管理”，安全方案的实现离不开管理。即使采用了最先进的安全技术，如果不对人员的权限进行有效合理的分配，照样可以越权操作;如果没有对异常事件处理的流程和规范，当遇到攻击时仍然会不知所措;如果没有维护网络安全和信息安全的法律，不法行为将变得日益猖獗。

网络安全管理问题关键在于制度的完善和严格的管理，而不只是网络设备和软件的应用。如果有一系列的安全设备，而没有完善的实施计划和管理制度，电子政务网络安全仍然是一句空话。这包括制定和实施一系列规章制度如网络操作使用规程、机房管理制度、网络系统的维护制度和应急措施;加强员工安全培训并采用专业安全人员对网络进行管理、维护和升级;必要的话还可以选择安全顾问公司进行技术支持。加大执法的力度，没有强硬的法制保障是不可能顺利发展电子政务的。

参考文献

[1]颜端武,丁晟春.电子政务网站设计与管理[M].北京:北京大学出版社,2005.

[2]李振捷,陈雄,王军.JSP网站开发典型模块与实例精讲[M].北京:电子工业出版社.2006.

电子政务系统安全机制研究第9篇

1 电子政务系统安全风险分析

电子政务系统的安全风险主要来自以下几个方面：第一，系统软件(如操作系统、网络软件、数据库软件和中间件等)的安全漏洞和缺陷，这些因素增加了系统安全的风险，也是黑客进攻主要目标。第二，病毒侵害。网络是病毒传播最快的的途径，病毒程序可以通过下载、电子邮件、U盘等传播途径进入内部网络。网络中有一台机器感染病毒程序，网络上的其它机器都极有可能被感染。第三，恶意攻击等。随着IT技术的不断发展，信息系统的安全风险来源和途径也不断增多，我们应根据电子政务系统的实际需要，构建相应的安全体系。

2 确保电子政务安全的主要的规则和制度

2．1建立电子政务安全评估体系

电子政务系统应从政治、经济、技术等方面分析，明确并规范需要专网的系统和需要采取加密措施的系统，确定系统的信息安全级别，分析安全方面有的潜在威胁，评估危害可能造成的损失;如果信息或系统受到侵害，确定系统采用的安全防范措施。

2．2制定电子政务安全政策、法规和安全标准

在安全评估体系的基础上，制定与政府信息系统安全等级相对应的安全措施和要求;对参与系统开发和运行的企业提出要求和约束，以及配套相应的系统安全审计和安全问题报告制度及程序;国家公务员操作安全规范等政策制度。主要包括有安全策略制定规范、物理层安全建设规范、网络安全规范、信息安全规范、数字证书管理规范、应用系统安全规范、系统管理规范、应急系统购建规范等内容。

在安全政策的指导下，制定具体、针对电子政务系统对应安全等级的安全标准，包括硬件、软件、人员、系统的安全，运行的规范，数据和软件的备份，系统的物理安全等。

3 业务层面的安全措施

3．1身份认证是信息安全体系的基础

身份认证管理系统需要保证访问者的数字身份与物理身份相对应。身份认证有主要有以下几种方式：

用户名/密码方式：是最常用的身份认证方法。密码由用户自己设定。只要输入密码正确，计算机就认为他就是这个用户。由于密码是静态的数据，并且在验证过程中在计算机内存和网络中传输，每次验证过程使用的验证信息都相同，驻留在计算机内存中的木马程序或网络中的监听设备很容易截获信息。因此用户名/密码方式是一种不安全的身份认证方式。

IC卡认证：IC卡内置了集成电路，卡片中存有与用户身份相关的数据，可以认为是不可复制的硬件。IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器中读取其中的信息，以验证用户的身份。由于从IC卡中读取的数据是静态的，通过内存扫描或网络监听等技术能截取到用户的身份验证信息。因此，这种静态验证的方式还是存在着安全隐患。

动态口令：用户密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态口令技术采用一次一密的方法，有效地保证了用户身份的安全性。但是如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题，这使用户的使用不方便。

生物特征认证：采用用户的指纹、虹膜等生物特征来验证用户身份。生物特征认证是可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，几乎不可能被仿冒。但是目前的生物特征认证系统的成本较高，普及难度较大。

USB Key认证：是一种USB接口的硬件设备，采用软硬件相结合、一次一密的强双因子认证模式，内置单片机或智能卡芯片，存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证。

3．2权限管理

权限管理指在各等级、各部门和个人都有自己的权限，不能越权并且有分配权限。C/S系统具有特殊的客户端，所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现，而B/S中，浏览器是每一台计算机都已具备的，如果不建立一个完整的权限检测，那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测，让经过授权的用户可以正常合法的使用已授权功能。

3．3访问控制

访问控制是网络安全防范和保护的主要策略，保证网络资源不被非法使用和访问。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

入网访问控制为网络访问提供了第一层访问控制。它控制指定用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在指定工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。可以将用户分为：系统管理员、审计用户和一般用户。系统管理员根据他们的实际需要分配操作权限;审计用户，负责网络的安全控制与资源使用情况的审计;一般用户对网络资源的访问权限可以用访问控制表来描述。

目录级安全控制是在目录一级指定的权限对所有文件和子目录有效，用户可以进一步指定对目录下的子目录和文件的权限。网络管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。

属性安全控制当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。

3．4安全审计

网络安全审计是通过对网络数据的实时采集，对各种上层应用协议数据的实时分析和还原，对网络进行监控，对各种网络违规行为实时报告，甚至封锁某些特定的违规主机，以帮助网络管理员或政府机构对互联网信息资源进行有效的管理和维护。安全审计系统和其他的安全产品(如防火墙、入侵检测系统、漏洞扫描系统等)在功能上互相独立，但是同时又能互相协调、补充，保护网络的整体安全。

4 电子政务系统的支撑软件平台

支撑软件平台一般由操作系统、数据库、中间件组成，电子政务系统应根据的平台安全要求、数据读写量等选取这几类系统软件，主要采取的措施有网络防病毒、入侵检测及漏洞扫描等。

(1)病毒主要通过邮件系统和网页传播。网络防病毒产品的选用要考虑病毒查杀能力、对新病毒的反应能力、病毒实时监测能力以及病毒库更新的等几个方面考虑来选取。

(2)入侵检测是通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

(3)漏洞扫描就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。

5 电子政务系统的的硬件平台

硬件平台中最常用是配置防火墙。在防火墙上可以配置安全软件(如口令、加密、身份认证、审计等)。防火墙可以禁止诸如不安全的NFS协议进出受保护网络，同时可以保护网络免受基于路由的攻击。其次，数据备份与容灾方案可以避免在硬件故障、自然灾害以及未知病毒的感染都有可能导致数据的丢失。再次，电子政务系统通常有内网、外网间的信息交换，既要考虑内网数据的保密性，又要防止信息孤岛。隔离网闸(GAP)技术是实现物理隔离的关键，网闸仅剥离数据复制进内网，因此，内网不会受到网络层的攻击，这就在物理隔离的同时实现了数据的安全交换。以隔离网闸为核心，通过添加VPN通信认证、加密、入侵检测和对数据的病毒扫描，构成一个专网、内网、外网间的电子政务信息安全体系。

6 结束语

电子政务信息安全系统浅析第10篇

自上世纪末以来,信息产业革命在全球范围内爆炸式的发展,信息技术渗透到各个行业,信息网络建设已成为当今社会各行业不可缺少的基础设施。在信息技术的应用中,信息安全成为国家各级政府在信息技术运用方面所面临的重大课题,信息安全问题涉及到国家国防、政治、文化、舆论导向、经济、科技等各领域,把握信息技术未来发展的脉络,保障国家各层级网络系统的安全可靠,维护国家利益、保障社会稳定和经济发展将成为信息时代的核心问题。

电子政务信息系统的整体安全是由安全的操作系统、应用系统、数据传输身份认证、防火墙、网络监控、安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的,每一个安全组件只能完成其中部分功能,而不能完成全部功能。其中,操作系统、网络系统、数据库管理系统是信息系统的核心技术,也就是信息安全的核心,没有系统的安全就没有信息的安全。

1 数据库安全及防火墙选择问题

针对电子政务信息系统中的操作系统“漏洞扫描”、数据传输身份认证、应用系统的数据库安全及防火墙的选择问题谈几点认识。

1.1 操作系统漏洞扫描

操作系统是计算机资源的直接管理者,在计算机系统的整体安全性中具有至关重要的作用,操作系统是计算机软件的基础和灵魂,更是信息技术的战略重点,没有安全稳定的操作系统性,计算机系统的安全性就无从说起。只有拥有了高性能的操作系统,构建多层次、多级别的电子政务网络安全方案才有可能成为现实,由于缺乏自主知识产权的操作系统,操作系统市场一直被国外产品垄断,导致我国的整个软件产业发展受制于人,研制具有自主知识产权的高性能操作系统已成为我国信息安全领域里的头等大事。在计算机安全领域,“漏洞”是硬件、软件或策略上的缺陷,这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。有了这种访问权限,非法用户就可以为所欲为,从而造成对计算机系统安全的威胁。如果我们能够根据具体的应用环境,尽可能早地发现系统漏洞,并及时采取适当的措施进行弥补,就可以有效地阻止入侵事件的发生。采用结构化逻辑化的方法对操作系统进行评估是确保系统安全的一个重要步骤,主机漏洞扫描器便是审核和评价主机安全的一个重要工具。利用漏洞扫描工具采取定时扫描来自通讯、服务、设备、系统等的漏洞进行扫描,并提供检测生成报告、分析并提出建议和解决方法,从而有效检查操作系统和网络的可靠性和安全性。

1.2 数据传输身份认证

电子政务系统中的数据传输主要以网络传输为主要特证,需要构建数据传输与交换平台,。电子政务系统与数据交换平台间可以采用数字证书验证模式。数字证书模式(PKI)是目前最安全的网络认证模式,用户可利用PKI平台提供的服务进行安全通信,PKI是一种遵循既定标准的密钥管理平台,可实现信息数据的机密性、完整性、身份认证和行为的不否定的安全目的。PKI是通过第三方可信任认证机构CA把用户的公钥和用户的标识信息捆绑在一起,进行身份鉴别及权限控制。CA是PKI的核心,当电子政务系统部署认证中心CA后,每个电子政务系统用户首先向CA申请数字证书来确定用户参与电子政务系统的合法身份,同时还要对持有的数字证书进行认证。

1.3 数据库安全

数据库安全是由数据存储机制和数据库访问机制来决定的。以微软公司的SQL Server为例,做为当前当流数据库应用系统,已在各级政府中得到广泛使用,虽然该产品在安全性方面进行精心构建与设计,但数据库的安全性并没有被人们同操作系统的安全性等同起来,多数管理员在观念上认为只要把网络和操作系统的安全做好,所有的应用程序也就安全了。另外,大多数系统管理员对数据库不熟悉,同时数据库管理员又对安全问题关注甚少。同时,也都应该理性的看待问题,那就是世间万物都没有绝对的,任何出色的软件产品都不能称得上绝对的安全可靠,而应用管理水平特别是具体系统管理者的安全意识与技术水平更是决定所用产品应用效果及安全防护能力的最重要一环。

1.4 防火墙的选择

防火墙是控制内部网络与外界网络传输的出入通道,通过监测、过滤、限制等形式,尽可能地屏蔽隐藏内部网络的信息、结构和运行状况,并且选择地接受外部网络的访问。它分为硬件防火墙、软件防火墙和芯片级防火墙三种。在技术上,它可分为包过滤防火墙、应用层网关、状态检测防火墙及结合多阶层状态检查功能的复合型防火墙。

1.4.1 包过滤防火墙

是对于进出的数据包加以选择性的通过或阻挡,来控制通过网络的所有数据的进出,检查每一个出入的IP数据包的来源和目的地。优点是具有很好的传输性能,可扩展能力强。缺点是不容易隐藏内部网络结构,可能被黑客所攻破。

1.4.2 应用网关防火墙

应用网关防火墙又被称为代理服务器,当内部电脑与外部主机连接时,将由应用层网关担任内部客户端与外部主机的连接中继站,并将检查的内容信息放入决策过程,从而提高网络的安全性。优点是让外面目的服务器无法知道发送主机的实际地址,同时还有可以监视与记录经过防火墙的数据包内容。缺点是可伸缩性差。

1.4.3 状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的。这种防火墙在核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。缺点是应用层控制能力弱。

1.4.4 复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的一种新型的防火墙专利技术。优点是实时在网络边缘布署病毒防护、内容过滤等应用层服务措施,网络层保护强,应用层控制细。缺点是会话层控制较弱。

随着电子政务发展的深入以及网络结构变化的多样性,选择防火墙时首先要在关注防火墙的吞吐量、并发连接数等重要指标时综合测试评价防火墙的承载能力。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响,但在关注这一指标同时又不能忽略防火墙的其它参数。在网络中部署防火墙时,当多个功能同时开启时是会对防火墙的CPU等硬件资源发生争夺,所以不能仅仅只考虑速度一项指标,防火墙是需要多个机制同时处理来完成数据包的传输,如:数据包转发率、丢包率、延时速度等其它指标。其次,防火墙的功能并不是越多越好,而是要根据应用需求来决定选择哪种类型的设备。因为在一个防火墙上实现太多的服务,其结果就是这些服务对硬件资源的吞噬,最后导致防火墙整体性能的下降。在防火墙产品的选购时要充分考虑本单位现今及未来的网络情况和网络结构的变化、用户数量、接入方式、对外服务内容等等。在应用方面要重点考虑防火墙对特定应用的支持功能和性能,如对视频、语音、数据库应用穿透防火墙的支持能力。用户应集中在自己真正需要的那些指标,以需求为最终目的,选择最适合用户需求的产品,因为评价一款防火墙的性能及功能指标很多,超出用户需求的指标不能作为选择依据,而且不同厂家的技术指标参差不齐,在选购时需要进行折中考虑。同时,考虑到用户可承受的性价比。

2 结束语

信息安全是涉及国家经济发展、社会进步和国家安全的重大问题,是保障电子政务健康有序发展的主要因素。信息网络系统环境的共享性、复杂性和多样性以及信息系统的脆弱性,决定了网络安全威胁的客观性。在信息化时代里,没有信息安全的保障,国家和政府就没有了安全屏障。本文探讨如何应用相应技术强化电子政务信息安全,树立主动防范、积极应对的全民意识,从根本上提高信息技术网络监测、防护、响应、恢复和抗击能力。

摘要：“十一五”期间,我国的电子政务发展取得相当可喜的成绩,国家制定相关政策促进电子政务的大力发展,随着电子政务建设和应用的不断发展深化,电子政务的信息安全越来越受到各级地方政府、企事业单位等多方面多行业的关注。文中从电子政务网络安全体系中重点问题出发,分析电子政务网络体系在发展过程中存在的安全隐患,并提出积极的应对措施。

关键词：电子政务,信息安全,数据库,PKI

参考文献

[1]我国电子政务中的信息安全休息安全问题分析[J].人民论坛,2007.

[2]如何构建可持续发展的电子政务[J].信息化建设,2007(4).

[3]刘杰彦,眭建军.电子政务中基于SAML的信任与授权服务系统设计[J].计算机应用研究,2007(7).

电子政务信息安全分析与防范第11篇

关键词：电子政务；信息安全；防范

中图分类号：TP399文献标识码：A文章编号：1007-9599 (2010) 13-0000-01

E-government Information Security Analysis and Prevention

Shen Wentong

(Software Institute of Minjiang University,Fuzhou350011,China)

Abstract:Our E-government information security risks mainly concepts,technology,management and legal aspects;analysis several aspects of the problems and propose preventive measures.

Keywords:E-government;Information security;Prevention

电子政务是运用信息与通信技术，打破行政机关的组织界限，重组行政组织结构，改善公共管理模式，实现政府办公自动化、业务流程信息化，为公众、企业和社会提供广泛、高效和个性化服务的一个过程[1]。然而，要保障电子政务为公众提供优质服务的根本前提是信息安全的有效保障。因为政务网络中运行国家涉密信息、高度敏感内容、核心办公业务数据，它涉及到政府各部门乃至整个国家的利益，甚至涉及国家安全。解决电子政务信息安全问题在电子政务建设与发展的过程中，要作为首要任务。

一、电子政务信息安全的涵义

从本质上分析，信息安全就是网络上的信息安全，指的是网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的窃取、破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断；从广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是信息安全所要研究的领域[2]；

二、电子政务信息安全分析

现阶段，电子政务信息安全风险主要存在4个方面。

（一）观念方面

自从1999年政府启动上网工程以来[2]，网络系统建设越来越得到重视，但是有些地方对信息安全工作未引起足够重视。首先是政府公务员对信息安全问题关注不够，信息安全意识淡薄；其次是对信息安全往往有不正确的认识，认为安装了相应的技术产品就能够保障系统的安全；第三是认为安全问题应该由信息部门来解决。

（二）技术方面

首先，我国在信息设备的核心硬件上严重依赖于进口产品，在软件方面尤其是在系统安全和安全协议的研究和应用方面也是沿用国外的产品和标准。一旦有重大情况发生，那些软硬件激活某种秘密指令，造成我国电子政务关键系统的瘫痪。

其次，计算机系统本身具有脆弱性，在某些特殊情况下可能产生硬件故障或者物理损害，这些危害会损害操作系统设备，有时会丢失或破坏数据，甚至毁掉整个系统。

（三）管理方面

从国内外的信息安全经验和案例分析，信息安全问题的绝大部分来自人为因素，包括内部工作与管理人员、外部人员侵入，其中内部工作与管理人员引起的安全问题又占了70%以上。而这些问题要采取技术措施来解决，将非常的困难，特别是针对内部工作和管理人员引起的安全问题，仅仅依靠技术手段将不可能解决安全问题。

（四）法律方面

近年来，信息安全问题已经引起了国家的高度重视和社会各界的广泛关注。我国在信息安全立法方面的體现主要有两点：

一方面，国务院和中央各部委已经出台了一系列与信息安全有关的法律法规，主要有国务院发布的《中华人民共和国计算机信息系统安全保护条例》、《计算机软件保护条例》、《商用密码管理条例》；公安部发布的《计算机信息网络国际联网安全保护管理办法》、《公安部关于对国际联网的计算机信息系统进行备案工作的通知》；国家保密局发布的《计算机信息系统国际联网保密管理规定》，《计算机信息网络国际联网安全保护管理规定》等。

另一方面，由于相关工作涉及包括公安部、国家安全部、国家保密局、商用密码管理办公室等部门，在信息安全上出现了各部委各有各的法律规章、条块分割进行管理的现象。在数量上形成了一定规模。然而众多的法律法规还没有形成一个条理清晰的体系。缺乏整体的立法。

三、电子政务信息安全的防范策略[3]

（一）强化信息安全文化建设

信息安全文化建设具有几个作用：强化每个人安全意识；激励每个人的安全行为；约束每个人的违规行为。因此在组织内部开展信息安全文化建设是解决电子政务信息安全问题的一种软对策。

（二）完善安全制度建设

健全的规章制度是电子政务安全管理有效实施的保障。只有制定合理的安全制度，并保证有效的执行，才能解决管理方面所带来的安全问题

（三）加快国内信息产业的发展，完善我国信息安全基础设施

拥有独立自主的信息产业和信息安全产品国产化是保证电子政务信息安全的根本。在建设电子政务的时候应该大力扶持国内信息安全产业的发展，力争在核心设备和系统安全、安全协议的研究和应用方面有重大突破。实现政务系统的软硬件国产化。

我国信息安全基础设施主要有信息安全标准、信息安全认证等方面的内容。电子政务的发展需要有标准和安全认证基础设施的支持。

（四）健全电子政务信息安全法律法规

针对我国电子政务信息安全立法方面的问题，要进一步完善我国信息安全保障的法律体系，主要体现在以下几点：确立法制建设为信息化发展提供全面服务的理念；构建完备的信息安全法律体系；信息安全法律应表现对信息技术的主动规范性和前瞻性；信息安全的法律法规必须具有国际化的属性[1]。

参考文献：

[1]江源富,赵经纬,程德林.电子政务[M].北京:国家行政学院出版社,2005

[2]赵国俊.电子政务[M].北京:电子工业出版社,2009

浅议我国电子政务信息安全第12篇

1. 我国电子政务中信息安全存在的问题

1.1 技术问题

1.1.1 技术被动性:

首先我国的芯片大多数均依赖进口,即便有部分是自己开发的也需要到国外去加工;其次,由于加入了WTO,为了减少与发达国家的差距,我国引进了不少国外设备,同时也带来了不容小觑的安全缺陷。另外我国大部分网络运行的主要是TCP/IP等网络协议,这些都不是为安全通讯而设计的,因此,在利用这些技术进行服务本身就存在着许多方面的安全威胁。

1.1.2 网络技术本身的缺陷:

中国是一个国土面积约960万平方公里的泱泱大国,不可避免包括了丘陵、高原、盆地等,要使全国都电子政务化,其网络规模不言而喻,这就造成了通信线路过长,其安全系数越低。另外现代通信分为有线和无线两种,有线线路容易遭受物理破坏,易被搭线窃听;无线线路易遭截获、监听等等,同样存在安全隐患。

1.1.3 安全标准的不统一:

目前全国缺乏统一的加密系统、密码算法和数据管理制度。在应用平台时,用户不规范造成病毒、黑客入侵;直接面向用户时存在信息泄露、信息篡改、信息抵赖、信息假冒等等,信息的绝对安全没有保障。

1.2 管理问题

1993年,国务院成立了国家经济信息化联席会议,正式启动国民经济信息化工程,开始实施“三金工程”,及金桥工程、金关工程和金卡工程,以及以后的金质工程等。[1]随着政府全面上网工程模式的展开,形成了一定的规模,但是电子政务的安全管理的难度系数也加大,很多机关管理部门忽略其安全防范,放松安全意识,造成我国电子政务的损失。目前出现的管理薄弱问题,给不法分子和不少国家的敌对势力空档,通过在网上发表不实言论以损害国家利益。

2. 维护电子政务信息安全的具体措施

2.1 技术保障

针对存在的技术问题,可以提出防火墙技术、数据加密技术、入侵检测技术、防病毒技术和数据存储、备份技术。[2]

2.2 强化组织和和管理

目前的管理方式停滞不前,仍是“看家护院”的传统模式。我们应该配合国家信息化领导机构,在个地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自上而下的信息安全管理组织体系。同时,根据管理需求,可以对电子政务系统信息内容实施安全监控管理,来保护政务信息的安全,防止由于内部违规或外部入侵造成的网络泄密,同时也阻止了有害信息在政务网上的传播。

2.3 法律和政策的健全

电子商务的工作内容和工作流程涉及到国家的秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,因此电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务国际交往的重要依据。这样做的目的就是为了保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法、犯法者形成严打的威慑。因此,制订相应的法规,适度的解密和规范开放的规则,保护政府部门间信息的正常交流,保护社会公众对信息的合法享用,打破对政务信息资源的垄断和封锁,提高政府行政透明度和民主进程,是非常有利的。[3]例如:《计算机软件保护条例》(1992年)、《中华人民共和国计算机信息系统安全保护条例》(1994年)、《警察法》(1995年)、《计算机信息网络国际联网安全保护管理办法》(1997年),都可作为执法人员执法时的依据。

2.4 自主知识产权信息安全核心技术的研发

由于我国所用的核心技术不是依赖进口就是在国外生产,完全无任何安全保障,所以在未来的发展过程中我们除了做好防范安全隐患的措施外,搞好自主知识产权的研发作为维护电子政务信息安全的核心,更应该着力于研发具有自主知识产权的信息安全核心技术,生产出能与美国等发达国家相媲美的具有高密度信息安全的产品。

参考文献

[1]陶学荣,朱旺力;中国电子化政府:历史、现状和挑战[J].江西社会科学;2004年02期

[2]姬泊;电子政务发展现状及建设对策探讨[J].宿州学院学报;2005年01期

本文来自 99学术网(www.99xueshu.com)，转载请保留网址和出处

【电子政务安全】相关文章：