電子政務系統網路安全專題研討

❶ 電子政務系統的安全需求

電子政務對安全的特殊需求實際上就是要合理地解決網路開放性與安全性之間的矛盾。在電子政務系統信息暢通的基礎上，有效阻止非法訪問和攻擊對系統的破壞。
具體到技術層面，除了傳統的防病毒、防火牆等安全措施以外，電子政務特殊的安全需求主要表現在以下幾個方面。 1．安全島
電子政務應用中勢必存在內網與專網、外網間的信息交換需求，然而基於內網數據保密性的考慮，我們又不希望內網暴露在對外環境中。解決該問題的有效方式是設置安全島，通過安全島來實現內外網間信息的過濾和兩個網路間的物理隔離，從而在內外網間實現安全的數據交換。安全島是獨立於電子政務內、外網的一個特殊的過渡網路，它被置於內網、專網和外網相交的邊界位置，一方面將內網與外網物理隔離斷開防止外網中黑客利用漏洞等攻擊手段進入內網，另一方面又完成數據的中轉，在其安全策略的控制下安全地進行內外網間的數據交換。
隔離網閘(GAP)技術是實現安全島的關鍵技術，它如同一個高速開關在內外網間來回切換，同一時刻內外網間沒有連接，處於物理隔離狀態。在此基礎上，隔離網閘作為代理從外網的網路訪問包中抽取出數據然後通過反射開關轉入內網，完成數據中轉。在中轉過程中，隔離網閘會對抽取的數據做應用層的協議檢查、內容檢測，也會對IP包地址實施過濾控制，由於隔離網閘採用了獨特的開關切換機制，因此，在進行這些檢查時網路實際上處於斷開狀態，只有通過嚴格檢查的數據才有可能進入內網，即使黑客強行攻擊了隔離網閘，由於攻擊發生時內外網始終處於物理斷開狀態，黑客也無法進入內網。另一方面，由於隔離網閘僅抽取數據交換進內網，因此，內網不會受到網路層的攻擊，這就在物理隔離的同時實現了數據的安全交換。
以隔離網閘技術為核心，通過添加VPN通信認證、加密、入侵檢測和對數據的病毒掃描，就可構成一個在物理隔離基礎上實現安全數據交換的信息安全島。 2．網路域的控制
電子政務的網路應該處於嚴格的控制之下，只有經過認證的設備可以訪問網路，並且能明確地限定其訪問范圍，這對於電子政務的網路安全而言同樣十分重要。然而現今絕大部分網路是基於TCP/IPV4網路協議的，它本身不具備這種控制能力。要加強電子政務網路的控制與管理能力，可以採用基於802.1x帶網路接入認證功能的交換機來實現。802.1x協議能夠對接入設備實現認證，從而控制網路的設備訪問，它可以利用第三方的認證系統加強認證的安全強度，如Radius、TACACS以及CA等系統。802.1x協議使得電子政務網路處於中心可管理的狀態，從而使得各種網路域管理策略得以實現。 3．標准時間源
時間在電子政務安全應用上具有其特定的重要意義。政務文件上的時間標記是重要的政策執行依據和憑證，政務信息傳遞過程中的時間標記又是防止網路欺詐行為的重要指標，同時，時間也是政府各部門協同辦公的參照物，因此，電子政務系統需要建立全系統可信、統一的時間源，這是保證電子政務系統不致出現混亂的關鍵因素。建立可信統一的時間源可以通過在標准時間源(如本地天文台、電視台等)上附加數字簽名的方法來獲得，附加數字簽名的目的是防止時間在傳輸途中被篡改情況的發生。 4．信息加密
電子政務應用涵蓋政府內部辦公和面對公眾的信息服務兩大方面。就政府內部辦公而言，電子政務系統涉及到部門與部門之間、上下級之間、地區與地區間的公文流轉，這些公文的信息往往涉及到機密等級的問題，應予以嚴格保密。因此，在信息傳遞過程中，必須採取適當的加密方法對信息進行加密。基於IPsec的加密方式正被廣泛採用，其優點顯而易見：IPSEC對應用系統透明且具有極強的安全性，這一點對於要開發龐大應用的電子政務來說，就顯得極有好處了，應用系統開發商不必為數據傳輸過程中的加密做過多的考慮。IPsec有多種應用方式，採用IPsec網關是比較理想的選擇，它同時也易於部署和維護。 5．操作系統
網路安全的重要基礎之一是安全的操作系統，因為所有的政務應用和安全措施(包括防火牆、防病毒、入侵檢測等)都依賴操作系統提供底層支持。操作系統的漏洞或配置不當將有可能導致整個安全體系的崩潰。更危險的是，我們無法保證國外廠家的操作系統產品不存在後門。在操作系統安全方面，有兩點是值得考慮的：一是採用具有自主知識產權且源代碼對政府公開的產品;二是利用漏洞掃描工具定期檢查系統漏洞和配置更改情況，及時發現問題。 6．數據備份與容災
任何的安全措施都無法保證數據萬無一失，硬體故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此，在電子政務安全體系中必須包括數據的容災與備份，並且最好是異地備份。

❷ 我國電子政務安全策略分析

我國電子政務信息安全風險主要存在於觀念、技術、管理和法律方面。要強化電子政務環境下公務員的信息安全意識，建立電子政務信息安全管理機構，完善信息安全基礎設施和扶持國有信息安全產業的發展。

1 電子政務信息安全的內涵

電子政務是政府管理方式的革命，它是運用信息以及通信技術打破行政機關的組織界限，構建一個電子化的虛擬機關，使公眾擺脫傳統的層層關卡以及書面審核的作業方式，並依據人們的需求、人們可以獲取的方式、人們要求的時間及地點等，高效快捷地向人們提供各種不同的服務選擇。政府機關之間以及政府與社會各界之間也經由各種電子化渠道進行相互溝通。電子政務的建立將使政府成為一個更符合環保精神的政府，一個更開放透明的政府，一個更有效率的政府，一個更廉潔勤政的政府。然而，電子政務的職能與優勢得以實現的一個根本前提是信息安全的有效保障。因為電子政務信息網路上有相當多的政府公文在流轉，其中不乏重要信息，內部網路上有著大量高度機密的數據和信息，直接涉及政府的核心政務，它關繫到政府部門、各大系統乃至整個國家的利益，有的甚至涉及國家安全。如果電子政務信息安全得不到保障，電子政務的便利與效率便無從保證，對國家利益將帶來嚴重威脅。電子政務信息安全是制約電子政務建設與發展的首要問題和核心問題。

電子政務的信息安全可以理解為：

(1)從信息的層次看，包括信息的完整性(保證信息的來源、去向、內容真實無誤)、保密性(保證信息不會被非法泄露擴散)、不可否認性(保證信息的發送和接收者無法否認自己所做過的操作行為)等。

(2)從網路層次看，包括可靠性(保證網路和信息系統隨時可用，運行過程中不出現故障，遇意外事故能夠盡量減少損失並盡早恢復正常)、可控性(保證營運者對網路和信息系統有足夠的控制和管理能力)、互操作性(保證協議和系統能夠互相聯接)、可計算性(保證准確跟蹤實體運行達到審計和識別的目的)等。

(3)從設備層次看，包括質量保證、設備備份、物理安全等。

(4)從管理層次看，包括人員可靠、規章制度完整等。

2 電子政務信息安全風險分析

現階段，我國電子政務信息安全系數比較低。公安部1998年8月在江蘇、上海、廣東等省(市)對169信息網進行檢測，發現其設防能力十分脆弱，難以抵禦任何方式的電子攻擊。電子政務信息安全風險主要存在4個方面。

2．1 觀念方面

著名信息安全專家、中國工程院院士沈昌祥從國家安全利益出發，提出應把信息系統安全建設提高到研製「兩彈一星」的高度去認識。1999年政府上網工程啟動以來，政府部門越來越重視網路系統建設，看重網路帶來的便利與高效，但是有些地方對信息安全工作未引起足夠重視。據估計，我國在網路工程中網路安全的投入費用不到2％，同國外的10％相比有較大差距。現階段，電子政務網路的開放程度不高，一些機密信息目前還沒有上網，再加之公眾對計算機犯罪的態度較為「寬容」，認為並沒有造成直接的人員財產損失，這都使得公務員和普通大眾對信息安全問題關注不夠，信息安全意識淡薄。

2.2 技術方面

(1)計算機系統本身的脆弱性，使得它無法抵禦自然災害的破壞，也難以避免偶然無意造成的危害。如：洪水、火災、地震的破壞，系統所處環境的影響(溫濕度、磁場、碰撞、污染等)，硬體設備故障，突然斷電或電壓不穩定及各種誤操作等。這些危害會損害操作系統設備，有時會丟失或破壞數據，甚至毀掉整個系統。

(2)網路本身存在缺陷。首先，軟體本身缺乏安全性。操作系統的設計一般著重於提高信息處理的能力和效率，對於安全只是作為一項附帶的條件加以考慮。因此，操作系統中的安全缺陷相當多。其次，通信與網路設備本身有弱點。絕大多數電子政務信息網路運行的是TCP／IP，NetBEUI，IPX／SPX等網路協議，而這些網路協議並非專為安全通訊而設計。利用這些網路進行服務，本身就可能存在多方面的威脅，加之使用者信息安全意識淡薄，管理者管理措施不力等原因，會造成一些常見的安全問題：對物理通路的干擾；網路鏈路傳送的數據被竊聽；非授權用戶非法使用，信息被攔截或監聽；操作系統存在的網路安全漏洞；應用平台的安全，如資料庫伺服器、電子郵件伺服器等均存在大量的安全隱患，很容易受到病毒、黑客攻擊；直接面向用戶的應用系統存在的信息泄露、信息篡改、信息抵賴、信息假冒等。再次，目前世界上還缺乏統一的操作系統、計算機網路系統和資料庫管理系統，缺乏統一的信息安全標准、密碼演算法和協議，因而無法進行嚴格的安全確認。

(3)我國具有自主知識產權的信息設備、技術、產品較少，如計算機晶元、骨幹路由器和微機主板等基本上從國外進口，且對引進技術和設備缺乏必要的技術改造，尤其是在系統安全和安全協議的研究和應用方面。而美歐等發達國家對我國限制和封鎖信息安全高密度產品，出口到我國的信息產品中留有安全隱患。例如，美國出口我國的計算機系統的安全系統只有C2級，是美國國防部規定的8個安全級別之中的倒數第三；在操作系統、資料庫管理系統或應用程序中預先安置從事情報收集、受控激發破壞的「特洛伊木馬」程序，一旦發生重大情況，那些隱藏在軟體中的「特洛伊木馬」就能夠在某種秘密指令下激活，造成我國電子政務關鍵軟體系統的癱瘓。

2．3 管理方面

對現有的網路攻擊和入侵事件的一項統計報告顯示：國外政府入侵的安全風險指數為21％，黑客入侵的安全風險指數為48％，競爭對手入侵的安全風險指數為72％，組織內部不滿雇員入侵的安全風險指數為89％。這說明，電子政務信息安全不是單純的技術問題。如果沒有從管理制度、人員和技術上建立相應的電子化業務安全防範機制，缺乏行之有效的安全檢查保護措施，再好的技術和設備都無法確保其信息安全。管理上的漏洞，例如，機房重地隨意進出，微機或工作站管理人員在開機狀態下擅離崗位，敏感信息臨時存放在本地的磁碟上，這些信息處於未保護狀態，都會為外部入侵，更為內部破壞埋下隱患。其中，來自內部的安全威脅可能會更大，因為內部人員了解內部的網路、主機和應用系統的結構；能夠知道內部網路和系統管理員的工作規律，甚至自己就是管理員；擁有系統的一定的訪問許可權，可以輕易地繞過許多訪問控制機制；在內部系統進行網路刺探、嘗試登錄、破解密碼等都相對容易。如果內部人員為了報復或銷毀某些記錄而突然發難，在系統中植入病毒或改變某些程序設置，就有可能造成損失。內部人員的破壞活動也並不局限於破壞計算機系統，還包括越權處理公務、竊取國家機密數據等。

2．4 法律方面

黑客攻擊、病毒入侵等網路犯罪的日益增多與網路信息安全法制不健全和對網路犯罪的懲治不力密不可分。一方面，我國已經出台了一系列與網路信息安全有關的法律法規，例如：《計算機軟體保護條例》(1992年)、《中華人民共和國計算機信息系統安全保護條例》(1994年)、《警察法》(1995年)、《公安部關於對國際聯網的計算機信息系統進行備案工作的通知》(1996年)、《中華人民共和國信息網路國際聯網管理暫行規定》(1997年)、《計算機信息網路國際聯網安全保護管理辦法》(1997年)，《商用密碼管理條例》(1999年)、《計算機信息系統國際聯網保密管理規定》(2002年)等。此外，1997年3月頒布的新《刑法》第285條、第286條、第287條，對非法侵入計算機信息系統罪、破壞計算機信息系統罪，以及利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家機密等犯罪行為，作出了規定。盡管這些法律法規的出台和實施對於我國網路信息的安全起到相當積極的作用，但仍難以適應網路發展的需要，信息安全立法還存在相當多的盲區。

另一方面，已頒布實施的法律法規不僅規定了出入口制度和市場准入制度，確定了網路信息安全管理機構，闡明了安全責任，而且明確了法律責任，對於危害網路信息安全的個人和單位，規定了經濟處罰、行政處罰和刑事處罰等三大類型。但是由於網路犯罪的隱蔽性和高科技性，給偵破和審理帶來了極大困難，再加上其他原因，導致執法部門的打擊力度有限，在法律的執行上還有不到位之處，一些違法情況及當事人還未得到及時處理和制裁。

3 電子政務信息安全的防範策略

3．1 強化電子政務環境下公務員的信息安全意識

所謂的信息安全意識，是指公務員對電子政務中信息安全問題主要表現與危害以及保證政府信息安全的意義的正確認識，發現電子政務中影響信息安全的現象和行為的敏銳性，維護電子政務信息安全的主動性。強化公務員的信息安全意識就是要讓公務員認識到電子政務信息安全是電子政務正常而高效運轉的基礎，是保障國家信息安全甚至國家安全的重要前提，從而牢固樹立信息安全第一的思想。我國各級政府部門要利用多種途徑對公務員進行電子政務信息安全方面的教育。一是通過大眾傳播媒介，增強公務員信息安全意識，普及信息安全知識。二是積極組織各種專題講座和培訓班，培養信息安全人才，並確保防範手段和技術措施的先進性和主動性。三是要積極開展安全策略研究，明確安全責任，增強公務員的責任心。

3.2 建立電子政務信息安全管理機構

首先，政府部門要嚴格按照《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網路安全保護管理辦法》的規定，在國家安全部，國家保密局，國務院有關部門及各省、市、自治區公安廳(局)，地(市)、縣(市)公安局負責計算機網路信息系統安全保護的行政管理下，建立本單位、本部門、本系統的組織領導管理機構，明確領導及工作人員責任，制定管理崗位責任制及有關措施，嚴格內部安全管理機制，並對破壞電子政務信息安全的事件進行調查和處理，確保網路信息的安全。

其次，要完善「網上警察」隊伍建設，加大監視和打擊網路犯罪活動的力度。我國於1983年成立了公安部計算機管理和監察局，1985年全國人大通過了《警察法》，其目的就是「監督計算機信息系統安全保護工作」。1998年又成立了公安部公共信息網路安全監察局，並逐步形成了一支「網上警察」。當前，公安部門的首要任務是吸納高級信息安全人才充實到網上警察隊伍，提高網上警察的快速反應能力、偵察與追蹤水平等。

3．3 完善我國信息安全基礎設施

當前迫切需要建立的國家信息安全基礎設施包括：國際出入口監控中心、安全產品評測認證中心、病毒檢測和防治中心、關鍵網路系統災難恢復中心、系統攻擊和反攻擊中心、電子保密標簽監管中心、網路安全緊急處置中心、電子交易證書授權中心、密鑰恢復監管中心、公鑰基礎設施與監管中心、信息戰防禦研究中心等。

3．4 傾力扶持國有信息安全產業的發展

自主的信息產業或信息產品國產化是保證電子政務信息安全的根本。信息安全技術、產品受制於他國是對國家安全利益的極大威脅。國家應對國有信息安全產業的發展予以充分的政策和財政支持。當前，應在以下3種技術上求得突破：一是能逐步改善信息安全狀況、帶有普遍性的關鍵技術，如密碼技術、鑒別技術、病毒防禦技術、入侵檢測技術等；二是創新性強、可發揮杠桿作用的突破性技術，如網路偵察技術、信息監測技術、風險管理技術、測試評估技術和TEMPEST技術等；三是能形成「撒手鐧」的戰略性技術，如操作系統、密碼專用晶元和安全處理器等。還要狠抓技術及系統的綜合集成，以確保電子政務信息系統的安全可靠。令人可喜的是，2002年8月19日由我國自主開發的高性能通用晶元「龍芯1」運行成功，這是我國信息安全產業發展史上具有里程碑意義的事件。

3．5 健全法律，嚴格執法

法律是保障電子政務信息安全的最有力手段，發達國家已經在政府信息安全立法方面積累了成功經驗，如美國的《情報自由法》和《陽光下的政府法》、英國的《官方信息保護法》、俄羅斯的《聯邦信息、信息化和信息保護法》等。我國立法部門應加快立法進程，吸取和借鑒國外網路信息安全立法的先進經驗，盡快制定和頒布個人隱私保護法、資料庫振興法、信息網路安全性法規、預防和打擊計算機犯罪法規、數字簽名認證法、電子憑證(票據)法、網上知識產權法等，以完善我國的網路信息安全法律體系，使電子政務信息安全管理走上法制化軌道。另外，執法部門還要進一步嚴格執法，提高執法水平，確保各項法律法規落到實處。對於各種違法犯罪情況要嚴加追究，絕不姑息，對於各種隱患要及時加以預防和制止。

❸ 電子政務安全問題產生的原因有哪些

電子政務安全問題產生的原因可能有後門的隱患；安全漏洞的問題；人為地無意疏忽；人為地惡意攻擊等。
一、電子政務網路安全現狀分析
「十三五」期間，以北京市，上海市、浙江省為代表的政府全面推進以數據為核心的新型「智慧城市」和「城市大腦」建設。電子政務系統已成為城市建設、運營、管理、服務、安全和應急的重要基礎，涉及國家安全、經濟命脈、社會秩序和公共利益。電子政務系統的安全穩定運行已成為保障城市正常運行的重要基礎，對保障城市安全和社會穩定具有重要意義。多年來，隨著網路安全等級保護的推進，許多重要的電子政務系統被定義為安全等級保護三級系統，並開展了信息安全分級與備案、安全評估等工作。然而，仍然存在許多安全風險。
二、電子政務的發展趨勢
電子政務信息化快速發展。電子政務建設是我國政府部門提高履職能力和水平的重要手段，也是深化行政管理體制改革、建設人民滿意的服務型政府的戰略舉措。在電子政務發展的前二三十年，出現了大量帶有「金字頭」的電子政務應用系統，如金融工程、金關工程、金稅工程等。在以行業為代表的電子政務體系建設方面取得了重要突破，發揮了日益顯著的作用。政府公務人員的工作理念、行政管理行為發生了重大變化，社會公眾受電子政務發展的影響帶動作用明顯。
綜上所述，各行業、區域分類分級都要建立網路安全態勢感知預警監控能力，包括電子政務也要收集各類安全產品的告警和日誌信息，實現多源監測數據的融合，提升關鍵信息系統的網路安全監測能力，強化先進的持續威脅監測能力。

❹ 如何保證電子政務系統的安全

電子政務是一個綜合性的信息系統，業務范圍涉及政府機關內部、其他相關機關團體、社會公眾等等，最終目標就是實現政府辦公的網路化、數字化、自動化。 由於電子政務領域的業務特殊性，安全性顯得尤為重要，貫穿了電子政務系統中的物理層、網路層、系統層、應用層等各個層次，尤其是很多涉密業務的需要，使人們對電子政務安全的話題越來越關注。

2 安全審計 大型的電子政務系統，尤其是涉密的信息子系統都要實現特定層面上的安全審計功能，主要針對的審計對象有：網路通信系統、重要伺服器主機操作系統、重要伺服器主機應用平台軟體、重要資料庫操作的審計、重要應用系統的審計、重要網路區域的客戶機等。 在電子政務系統中實施安全審計要兼顧與原有系統的關系，通常有如下四種形式：

1. 完全透明：即原有系統根本察覺不到審計系統的存在。

2. 鬆散嵌入：基本上不改變原有系統。

3. 緊密嵌入：需要原有系統平台層和部分應用做出較大變動。

4. 一體化設計：在電子政務設計階段就考慮安全審計的需求，所有模塊均有審計介面。 在電子政務系統中實現安全審計，可以：  對潛在的攻擊者起到震懾或警告作用。  對於已經發生的系統破壞行為提供有效的追究證據。  提供有價值的系統使用日誌，幫助系統管理員及時發現系統入侵行為或潛在的系統漏洞。  提供系統運行的統計日誌，使系統管理員能夠發現系統性能上的不足。
   

❺ 試闡述電子政務安全的主要內容

電子政務安全是指保護電子政務網路及其服務不受未經授權的修改、破壞或泄漏，防止電子政務系統資源和信息資源受自然和人為有害因素的威脅和危害，電子政務安全就是電子政務的系統安全和信息安全。

由於電子政務的工作內容和工作流程涉及到國家秘密與核心政務，它的安全關繫到國家的主權、安全和公眾利益，所以電子政務安全的實施和保障是非常重要的。

(5)電子政務系統網路安全專題研討擴展閱讀：

一、安全威脅

1、被動攻擊，主要包括被動攻擊者監視、接收、記錄開放的通信信道上的信息傳送。

2、主動攻擊，指攻擊者主動對信息系統所實施的攻擊，包括企圖避開安全保護、引入惡意代碼，及破壞數據和系統的完整性。如破壞數據的完整性、越權訪問、冒充合法用戶、插入和利用惡意代碼、拒絕服務攻擊等。

3、鄰近攻擊，指攻擊者試圖在地理上盡可能接近被攻擊的網路、系統和設備，目的是修改、收集信息，或者破壞系統。

4、分發攻擊，是指攻擊者在電子政務軟體和硬體的開發、生產、運輸和安裝階段，惡意修改設計、配置的行為。

二、訪問控制技術

訪問控制技術是保證網路資源不被非法使用和非法訪問重要技術。主要由入網訪問控制、網路的許可權控制和客戶端安全防護策略三部分組成。

1、入網訪問控制。通過用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查，控制用戶登錄伺服器並獲取網路資源，控制准許用戶入網的時間和地點。

2、網路的許可權控制。網路許可權控制是針對網路非法操作提出的一種安全保護措施。

3、客戶端安全防護策略。要切斷病毒的傳播途徑，盡可能地降低感染病毒的風險。

❻ 急求<試論電子政務的安全保障>

隨著計算機信息技術的飛速發展，電子政務在政府實際工作中已經發揮了越來越重要的作用。可以毫不誇張地說，現在如果缺少了電子信息技術這個手段，或者說如果因為安全問題導致電子政務系統無法正常運行，大量的政府部門將完全無法進行正常的工作，將直接給地方的經濟發展帶來巨大的負面影響。因此，目前對電子政務安全問題進行研討是十分及時和必要的。
電子政務中存在的安全問題

通過實地的調查研究，尤其是針對杭州地區政府部門在電子政務應用中發現的問題進行總結，發現當前主要存在五方面的問題，應該引起各有關方面的高度重視：

1.網路安全域的劃分和控制問題

很顯然，安全與開放是矛盾的，這個在電子政務的應用中也同樣存在且顯得尤為重要。電子政務中的信息涉及到國家秘密、國家安全，因此它需要絕對的安全。但是同時電子政務現在很重要的發展方向，一是要為社會提供行政監管的渠道，二是要為社會提供公共服務，如社保醫保、大量的公眾咨詢、投訴等等，它同時又需要一定程度的開放。因此如何合理地劃分安全域，通俗地講，能讓老百姓看什麼，不能讓老百姓看什麼，在這兩者之間尋求一個平衡點就顯得非常重要。如一些單位採用VPN的形式進行某些業務操作，但是操作中的部分數據又想通過WEB方式給公眾瀏覽，這時就存在在網路拓撲中WEB應該擺在什麼位置、業務數據中心庫應該擺在什麼位置、如何利用防火牆等網路安全設備合理劃分這些域等等問題。

而同時前一階段正是由於政府公開的信息中過分強調了「安全」這個問題，弱化了「開放」，導致了很多政府部門在電子政務的實際應用中發揮不了多大的正面作用，甚至有負面作用的存在，如製作了一個網頁以後無人定期進行維護導致與實際內容有所偏差，甚至有的是明顯的錯誤等。在全社會廣泛關注的情況下，一些部門為了迅速扭轉在社會公眾面前的形象，盲目地將一些信息公開化，導致了一些泄密事件的發生。

2.內部監控、審核問題

電子政務與電子商務的不同點在很大程度上是體現在對公網的利用率上。就像前面提到的電子政務模型中的政府部門內部利用先進的網路信息技術實現辦公自動化、管理信息化、決策科學化這一塊，就基本是利用VPN等技術實現的專網。拋開公網的龐大黑客群體不談，內部人員是否對網路進行惡意的操作和是否具有一定程度的網路安全意識，在很大程度上決定該單位網路本身的安全等級系數和防護能力。目前絕大部分單位都沒有系統可以實時地對內部人員除個人隱私以外的各項具體操作進行監控和記錄，更不用談對一些非法操作進行屏蔽和阻斷了。

3.電子政務的信任體系問題

電子政務要做到比較完善的安全保障體系，第三方認證是必不可少的。只有通過一定級別的第三方認證，才能說建立了一套完善的信任體系。

目前比較流行的或者說使用比較廣泛的就是PKI信任體系。它包括了密碼演算法的選擇、CPS的制定、捆綁的安全強度等等，但是不能忽視的一點是，這些都是基於電子商務的基礎之上建立起來的。電子商務與電子政務畢竟是有很大的不同，如果我們只是簡單地把PKI的電子商務應用模式應用到電子政務中來的話，雖然不能說是一團糟，但是它肯定會「水土不服」，出現問題將在所難免。

4.數字簽名（簽發）問題

在電子政務中，要真正實行無紙化辦公，很重要的一點是實現電子公文的流轉，而在這之中，數字簽名（簽發）問題又是重中之重。原因在於這是使公文有效的必要條件。一旦在這個環節上出了問題，可能就會出現很多假文件、錯文件，嚴重的將直接影響政府部門的正常運作。但是，從目前的情況看，數字簽名系統不但在實際操作中存在能不能接受的問題，而且系統本身也都不是很完善。

5.電子政務的災難響應和應急處理問題

在2000年來臨前夕，各個單位都對Y2K問題進行了全面准備，當中很重要的一項就是災難響應和應急處理措施。兩年多過去了，這類的措施已經部分或全部失去了作用，原因之一是政府部門在制定這些災難響應和應急處理措施時，目標都比較局限於Y2K問題。在計算機技術飛速發展的現在，已經無法應付層出不窮的各類問題了。況且由於資金等因素的存在，建立全社會的響應中心、支援網路和數據災難備份的基礎設施等方面都存在著很大的隱患，一旦出現問題，後果不可想像。很多單位在進行網路規劃的時候，根本就沒有考慮到作為系統核心部分——資料庫本身的安全問題，完全依賴於整個網路的防護能力，一旦網路的安全體系被穿破或者直接由內部人員利用內網用戶的優勢進行破壞，「數據」可以說無任何招架之力。

對策與建議

在現在這個開放的時代，問題的出現本身就帶有多樣性的特點，有效解決電子政務的安全問題刻不容緩，但也絕不可能一蹴而就。因此，我們首先應該在政府部門內部建立一整套行之有效的措施並落實各項安全保障制度，如所有信息的定密制度（為信息的公開提供可行性依據）、網路區域的有限劃分制度（劃分不同的網路區域，針對不同的安全級別制定不同的安全策略，採用不同的網路安全設備）、完善的內部監控與審核制度、公鑰（私鑰）的管理體系、災難響應及應急處理制度等等。

其次，需要國家組織各級有關部門和技術力量，對一些公共技術加以研究制定。如建立全國范圍的電子政務信用認證體系，建立統一的公鑰管理。各級管理部門則應根據當地的實際情況，充分利用社會資源，建立本地區的各類應急響應服務中心、支援網路和數據災難備份的基礎設施。針對政府部門技術力量較薄弱的問題，尤其需要通過社會的整體力量，提高處理問題的效率，達到群防群制的目的。如果以上各項能夠得到妥善的解決，我們就可以建立起一套完善的立體電子政務安全保障體系。

❼ 構建電子政務系統安全體系的原則有哪些

參照我國電子政務建設指導意見並結合電子政務安全體系方面的研究，構建電子政務系統安全體系應當遵循以下原則：

1、全面設計、整體部署：電子政務系統安全體系設計要全面，應充分考慮到電子政務系統環境各個方面的風險，從物理、網路、數據、應用系統等多個方面進行綜合考慮和設計並作整體部署，同時加強安全制度建設和教育培訓。只有做到不忽視或漏掉電子政務系統中任何一個安全環節，才能夠保證整個系統的安全性。
2、統一標准，加強管理：電子政務系統安全體系設計應遵循統一的技術標准和管理標准，除了採用國際標准和我國自主研究的演算法之外（包括數據加密解密演算法、數據摘要演算法、數字簽名演算法、密鑰管理演算法等），還要考慮到安全體系將來的擴展性和系統介面要求，採用通用的數字證書標准、統一的介面規范、統一的數據包格式等。
3、需求主導，重點突出：安全體系設計應該以需求為主導，切合電子政務系統對安全的要求，突出安全體系的重點，比如網路安全方面的防火牆設置、入侵監測等、統一的安全管理平台、安全認證平台、統一的日誌管理、安全審計等，同時根據數據的安全級別、業務系統的安全層次等採取有區別的安全措施以兼顧系統的性能和效率。
4、靈活配置、動態部署：安全相關的技術發展迅速，電子政務系統的安全需求也在不斷變化，因此電子政務系統安全體系設計也需要能夠根據變化易於調整和改變。安全體系設計應該提供多種安全策略和方法，並支持靈活的配置方式以允許用戶進行選擇和動態部署。
5、制度建設、安全培訓：電子政務系統用戶的安全意識及其掌握的安全相關技術知識是整個安全體系高效、有效運行和正常管理、維護的前提。在電子政務系統安全體系實施過程中，要注意加強安全制度建設，制定安全操作規范，同時定期或不定期對系統用戶進行安全相關教育和培訓。

❽ 試論電子政務網站的安全管理

《電子商務安全策略的結構分析》
電子商務是一個跨國界，跨地區，跨行業的多種技術綜合集成與不同社會經濟文化背景形成的各種習俗不斷沖突，不斷協調和不斷統一的綜合性社會系統工程。電子商務安全策略保障電子商務各個主體的切身利益。電子商務安全策略是以人為本，從各主體的角度思考，綜合協調了各個市場主體的行為，從根本上保障了消費者、企業、電子商務網站等市場主體的切身利益，它為實現電子商務提供了統一的基礎平台和安全屏障。
一、電子商務安全技術保障策略
安全技術保障技術是電子商務安全體系中的基本策略，目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有以下幾種：
1.密碼技術。密碼技術包括加密技術和解密技術。加密是將信息經過加密密鑰及加密函數轉換，變成無意義的密文。而解密則是將密文經過解密函數、解密密鑰處理還原成原文。密碼技術是網路安全技術的基礎。
2.身份驗證技術。電子商務主體向系統證明自己身份，並由系統查核該主體的過程，是確認真實有效身份的重要環節，這個過程叫作身份驗證。常用的驗證技術有報文鑒別、身份鑒別和電子簽名。
3.訪問控制技術。訪問控制是指對電子商務網路系統中各種資源訪問時的許可權確認，防止非法訪問。它包括有關的策略、模型、機制的基礎理論與實現方法。
4.防火牆技術。防火牆是用一組網路設備來加強一個網路與外界之間的訪問控制。防火牆整體可以分為三大類：分組過濾、應用代理、電路網關。
二、企業電子商務安全運營管理制度保障策略
企業電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規定，是保證企業取得電子商務成功的基礎，是企業電子商務人員工作的規范和准則。這些制度主要包括人員管理制度，保密制度，跟蹤審計制度，系統維護制度、數據備份制度等。
……這個是你需要的嗎？詳情訪問藏鋒者網路安全：
http://www.cangfengzhe.com

❾ 談談我國平台化模式建設中,如何加強電子政務網路安全系統的建設

答:網路安全建設是一個系統工程，該區電子政務網網路安全體系建設應按照「統一規劃、統籌安排，統一標准、相互配套」的原則進行，採用先進的「平台化」建設思想，避免重復投入、重復建設，充分考慮整體和局部的利益，堅持近期目標與遠期目標相結合
任何網路的安全都不單靠先進的安全技術或安全產品來實現的，必須結合管理。尤其是當前我國發生的網路安全問題中，管理問題占相當大的比例。因此，在建立網路安全技術設施體系的同時，必須建立相應的制度和管理體系，才能保證網路持續和整體的安全

答:如何進一步加強電子政務的安全建設
(1) 安全保障為先

安全是應用的保障。在電子政務建設之初，有關部門就應該考慮電子政務安全體系建設。不管是構架在政務內網還是在政務外網的電子政務平台，都必須把安全保障作為首要任務。事實上，沒有絕對安全的網路，因此，做好安全保障工作，是需要所有電子政務建設者思考和探索的問題。現階段，有些人片面地認為電子政務平台構架在政務內網就絕對安全，這樣的極端認識造成目前一些內網建設出現不分級保護、簡單口令或低級技術的軟盤登陸、不設防的網路構架、無任何管理制度等問題，給電子政務的安全帶來隱患。
而構架於互聯網的電子政務建設，在信息安全方面存在更大的風險，這也給電子政務建設帶來了挑戰和考驗，因此在安全上不能有絲毫鬆懈，在規劃和建設過程中必須有更高的標准和要求
(2) 根據需求做好安全保障
電子政務安全體系建設必須從實際出發，做到適度安全，通過綜合防範、構建有效的安全體系，使電子政務既安全又實用才是其目的所在
(3)全方位構建電子政務安全保障體系
電子政務建設如果沒有完備的安全保障體系，將舉步維艱
1), 網路構架的安全。政務內網和外網建設都必須嚴格按照國務院文件要求，按內外網物理隔離的方式進行建設。同時，網路安全設備合理劃分、限級訪問、軟硬體安全防範、信息安全傳輸策略等都是安全保障工作的基礎。玉林市通過對安全等級和安全域的劃分，對不同等級信息系統和安全域的安全保護採取管理與技術相結合的手段，實現了適度的安全保障，提高了信息系統的整體防禦能力
2), 信息分級管理與防護。在電子政務建設中，必須高度重視信息安全。但是一味地強調安全，從而忽視對政府信息資源的充分公開，必然對電子政務的應用造成許多人為的障礙，電子政務的價值也會大打折扣。同樣，不能因為片面強調安全，而把所有應用系統建設在內網上，使一些可以公開的公眾數據封閉在內網，造成資源的嚴重浪費。實際上，不同的電子政務系統，對於信息安全的要求也有所不同。玉林市電子政務建設在風險分析的前提下合理定級，對信息進行分域防控和分級防護。在分域防控方面，將信息分為公開信息處理區和敏感信息處理區，根據其不同特點分別進行防護；在分級防護方面，將信息分為完全公開、內部公開和部分授權三類，採取不同的安全措施，合理有效地保障了信息安全
3), 完善網路安全基礎設施。網路安全基礎設施，是為信息系統應用主體和網路安全執法主體提供網路安全公共服務和支撐的一種社會基礎設施。目前我國網路安全基礎設施的建設還處於起步階段，如網路監控中心、安全產品評測中心、網路安全應急響應中心、計算機病毒防治中心、系統災難恢復中心、電子交易安全證書授權中心、密鑰監管中心等網路安全基礎設施尚未建設完全。目前，部分電子政務應用系統只能依靠口令和軟盤登陸，帶來了重大安全隱患。玉林市電子政務則建立了有效的身份認證、數字簽名、授權管理、責任認定機制，並通過用戶分級授權保證等級保護的分類實施，保證了系統使用的靈活性。同時，玉林市加強了信息安全監察，如統一威脅管理系統、入侵檢測系統、防篡改系統等，健全了電子政務應急響應和災備建設，通過制度和技術手段，保證系統的正常運行
4), 從管理體制上落實安全責任制。利用先進的技術手段，是電子政務安全建設的保障。但技術不是萬能的，技術與管理的並重才能事半功倍。因此，必須健全網路安全的法律法規，強化電子政務信息安全的法制管理。電子政務應用系統的操作者都必須提高自身素質，因為內部人員是否對網路進行惡意操作和是否具有一定程度的網路安全意識，在很大程度上決定著網路的安全等級系數和防護能力。要落實各項安全保障制度，如所有信息的定密制度（為信息的公開提供可行性依據）、網路區域的有限劃分制度（劃分不同的網路區域，針對不同的安全級別制定不同的安全策略，採用不同的網路安全設備）、完善的內部監控與審核制度、公鑰（私鑰）管理體系、災難響應及應急處理制度等等。此外，還應加大執法力度，嚴格執法。玉林市在電子政務建設過程中，由市信息辦會同公安、保密等部門對該市的電子政務系統進行了安全等級評估和風險評估，並制定了電子政務應急預案。
電子政務信息安全保障工作不是一成不變的，它是一個動態發展的過程。隨著安全攻擊和防範技術的發展，電子政務的安全保障措施也要因時因勢分階段調整，這樣才能把風險降到最低

❿ 電子政務信息安全風險分析

不知道下面的內容能不能幫上忙：

《移動電子政務安全解決方案》

方案描述

電子政務系統的網路安全十分重要，即使是專線網路同樣需要考慮數據安全。而且很多系統結合了Internet應用，讓安全需求問題更加突出。移動信息化辦公已成為發展趨勢，目前在國內電子政務建設第一步是辦公自動化，其未來的發展方向則是移動辦公。

本方案主要解決如何使用移動終端如智能手機、筆記本電腦等移動設備安全、隨時訪問電子政務信息系統。

通過構建IBC中心和IBCkey及RF-SIM卡，可以加強提高的相應應用的安全等級。具體描述如下：

部署IBC密鑰管理平台：該平台安全接入到IBC密鑰平台，管理控制密鑰的生成、激活、停用和注銷；

部署密碼前置機：與簡訊網關對接，負責以加密簡訊方式下發安全密鑰、同時可以下發OTA指令控制密鑰屬性；

部署統一認證接入平台：該平台負責移動政務系統終端的認證接入，和數據傳輸加密處理；

部署用戶終端的安全中間件：在每台使用電子政務的手機終端或PC機、筆記本上安裝安全客戶端，負責安全登陸和數據傳輸加密處理；

特點總結

符合國家密碼管理局規范：採用國密局批準的設備，從數據傳輸、遠程辦公、身份認證提供全方位的安全等級保護；

適合內部專網和互聯網：無論專網、互聯網，還是混合復雜的網路，均可適應；

支持3G各種應用：解決手機辦公的安全問題，支持各種3G制式；

豐富的擴展應用：如加密電子郵件、文件安全存儲、加密U盤，均可基於此方式方便擴展。