第一篇：電子政務(wù)信息安全及防范對(duì)策 馬淑英

淺析我國電子政務(wù)信息安全的防范對(duì)策

摘要：信息安全關(guān)系到經(jīng)濟(jì)發(fā)展，國家安全和社會(huì)穩(wěn)定，關(guān)系到政府工作的正常運(yùn)轉(zhuǎn)。電子政務(wù)信息安全防范是電子政府建設(shè)的關(guān)鍵。加強(qiáng)電子政務(wù)建設(shè)是建設(shè)服務(wù)型政府的組成部分。在電子政務(wù)建設(shè)與體系發(fā)展整體駛?cè)肟燔嚨溃苑?wù)為導(dǎo)向的電子政府建設(shè)工作不斷推進(jìn)的同時(shí)，信息安全意識(shí)、網(wǎng)絡(luò)漏洞、信息安全法律體系方面都凸現(xiàn)了現(xiàn)階段我國電子政務(wù)信息安全存在風(fēng)險(xiǎn)。要著重從人才培養(yǎng)、安全技術(shù)和產(chǎn)品的選擇使用、法律保障體系建設(shè)的呢過環(huán)節(jié)加以防范，切實(shí)保障電子政務(wù)信息安全。本文從電子政務(wù)信息安全的視覺，淺析仙子政務(wù)信息安全存在的風(fēng)險(xiǎn)問題，提出一些防范對(duì)策和建議。關(guān)鍵詞：電子政務(wù)信息安全；網(wǎng)絡(luò)安全；安茜技術(shù)；防范對(duì)策 電子政務(wù)的實(shí)施使得政府提高了辦公效率，提升了政府形象，但同時(shí)，也會(huì)受到來自外部或內(nèi)部的各種攻擊，包括黑雞組織、犯罪集團(tuán)或信息戰(zhàn)時(shí)起信息對(duì)抗等國家行為的攻擊，這就使得政府信息系統(tǒng)的安全問題更加突出和嚴(yán)重。因此，分析當(dāng)前電子政府信息安全存在的問題，采取有效措施進(jìn)行綜合性安全防范，對(duì)建設(shè)和發(fā)展電子政務(wù)具有重要的意義。

1、信息安全的含義及其內(nèi)容要求

一、電子政務(wù)信息安全目標(biāo)

電子政務(wù)信息安全涵蓋了信息環(huán)境、信息網(wǎng)絡(luò)和通信基礎(chǔ)設(shè)施、每題、數(shù)據(jù)、信息內(nèi)容和信息應(yīng)用等對(duì)多個(gè)方面的安全需要，包括信息不收威脅，信息系統(tǒng)、信息數(shù)據(jù)的安全以及信息內(nèi)容的安全等。電子政務(wù)的安全目標(biāo)就是保護(hù)政務(wù)信息資源價(jià)值不受侵犯，保證信息資產(chǎn)的擁有者面臨最小風(fēng)險(xiǎn)和獲取最大安全利益，使電子政務(wù)的信息基礎(chǔ)設(shè)施，具有保密性、完整性、真實(shí)性、可用性、不可抵賴性和可靠性的能力。

二、電子政務(wù)信息安全存在的風(fēng)險(xiǎn)

1、信息安全意識(shí)薄弱

一是工作人員安全意識(shí)不高。目前，在電子政務(wù)系統(tǒng)建設(shè)過程中還普遍存在“重技術(shù)輕管理，重業(yè)務(wù)、輕安全”的思想，很多工作人員認(rèn)為安裝了殺毒軟件和防火墻就可以抵御所有的外來侵襲。二是安全制度和安全流程的執(zhí)行力不強(qiáng)。電子政務(wù)系統(tǒng)自啟動(dòng)運(yùn)用以來，開放程度還不是很高，重要的、機(jī)密文件還沒有通過網(wǎng)絡(luò)來處理，使得公務(wù)員和普通大眾對(duì)信息安全問題關(guān)注不夠，信息安全意識(shí)淡薄，一些安全制度和安全流程也只是流于形式。三是領(lǐng)導(dǎo)重視程度有待進(jìn)一步提高。部門領(lǐng)導(dǎo)重視工作流程的暢通性，忽略了信息安全的防范措施，在加強(qiáng)信息安全的重要環(huán)節(jié)上思想意識(shí)有待加強(qiáng)。

2、IT產(chǎn)品及通信網(wǎng)絡(luò)漏洞導(dǎo)致風(fēng)險(xiǎn)

一方面，IT產(chǎn)品單一性帶來安全隱患。由于政府統(tǒng)一采購IT產(chǎn)品，造成信息系統(tǒng)中軟硬件產(chǎn)品單一性，如同一版本的操作系統(tǒng)、數(shù)據(jù)庫軟件等攻擊過程的自動(dòng)化，從而導(dǎo)致大規(guī)模網(wǎng)絡(luò)安全時(shí)間的發(fā)生。另一方面，通信網(wǎng)絡(luò)存在多方面的威脅。電子政務(wù)網(wǎng)絡(luò)絕大多數(shù)是基于TCP/IP、NetBEUI，IPX/SPX等網(wǎng)絡(luò)協(xié)議的通信網(wǎng)絡(luò)，并非專為安全通訊而設(shè)計(jì)，本身就可能存在多方面的威脅，因而會(huì)造成物理通道被干擾，數(shù)據(jù)信息被攔截和竊聽，數(shù)據(jù)庫服務(wù)器和電子郵件服務(wù)器等很容易受到病毒和黑客的攻擊，以及信息被泄露，篡改、抵賴、假冒等問題。

3、信息安全法律體系不健全。要發(fā)展電子政務(wù)，安全技術(shù)是基礎(chǔ)平臺(tái)，法律保障和創(chuàng)新管理則是必備的后臺(tái)支撐。雖然我國電子政務(wù)從2000年開始正逐步走向法制化，但相比電子政務(wù)本身的發(fā)展要要求，法制法規(guī)明顯滯后與技術(shù)發(fā)展。如電子政務(wù)的法律地位不明確、現(xiàn)有的相關(guān)法律規(guī)范立法層次不高、立法理念和技術(shù)相對(duì)滯后、很多需要法律去規(guī)范的事項(xiàng)沒有響應(yīng)的法律出臺(tái)、己出臺(tái)的法律法規(guī)很多不迎合電子政務(wù)發(fā)展要求等。

三、電子政務(wù)信息安全防范對(duì)策及建議

通過對(duì)電子政務(wù)安全風(fēng)險(xiǎn)的分析，結(jié)合電子政務(wù)現(xiàn)狀與特點(diǎn)，應(yīng)該采取多層次、多方面的安全管理方法來保障電子政務(wù)系統(tǒng)安全。

（一）增強(qiáng)信息安全意思，加快信息安全人才的培養(yǎng)

在諸多的安全環(huán)節(jié)中，人是最重要的因素，安全提高工作人員的信息安全意思是網(wǎng)絡(luò)信息安全與保密的重要保證。應(yīng)該進(jìn)一步加強(qiáng)信息安全的培訓(xùn)工作，舉辦不同類型的培訓(xùn)班，對(duì)政府領(lǐng)導(dǎo)、一般工資人員、網(wǎng)絡(luò)管理人員等，進(jìn)行分層次有針對(duì)性的培訓(xùn)，從而提高管理人員的信息安全意識(shí)

第二篇：電子政務(wù)信息安全風(fēng)險(xiǎn)分析與防范策略

電子政務(wù)信息安全風(fēng)險(xiǎn)分析與防范策略

2003-11-17 15:05

摘要

我國電子政務(wù)信息安全風(fēng)險(xiǎn)主要存在于觀念、技術(shù)、管理和法律方面。要強(qiáng)化電子政務(wù)環(huán)境下公務(wù)員的信息安全意識(shí)，建立電子政務(wù)信息安全管理機(jī)構(gòu)，完善信息安全基礎(chǔ)設(shè)施和扶持國有信息安全產(chǎn)業(yè)的發(fā)展。

1電子政務(wù)信息安全的內(nèi)涵

電子政務(wù)是政府管理方式的革命，它是運(yùn)用信息以及通信技術(shù)打破行政機(jī)關(guān)的組織界限，構(gòu)建一個(gè)電子化的虛擬機(jī)關(guān)，使公眾擺脫傳統(tǒng)的層層關(guān)卡以及書面審核的作業(yè)方式，并依據(jù)人們的需求、人們可以獲取的方式、人們要求的時(shí)間及地點(diǎn)等，高效快捷地向人們提供各種不同的服務(wù)選擇。政府機(jī)關(guān)之間以及政府與社會(huì)各界之間也經(jīng)由各種電子化渠道進(jìn)行相互溝通。電子政務(wù)的建立將使政府成為一個(gè)更符合環(huán)保精神的政府，一個(gè)更開放透明的政府，一個(gè)更有效率的政府，一個(gè)更廉潔勤政的政府。然而，電子政務(wù)的職能與優(yōu)勢(shì)得以實(shí)現(xiàn)的一個(gè)根本前提是信息安全的有效保障。因?yàn)殡娮诱?wù)信息網(wǎng)絡(luò)上有相當(dāng)多的政府公文在流轉(zhuǎn)，其中不乏重要信息，內(nèi)部網(wǎng)絡(luò)上有著大量高度機(jī)密的數(shù)據(jù)和信息，直接涉及政府的核心政務(wù)，它關(guān)系到政府部門、各大系統(tǒng)乃至整個(gè)國家的利益，有的甚至涉及國家安全。如果電子政務(wù)信息安全得不到保障，電子政務(wù)的便利與效率便無從保證，對(duì)國家利益將帶來嚴(yán)重威脅。電子政務(wù)信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題。

電子政務(wù)的信息安全可以理解為：

(1)從信息的層次看，包括信息的完整性(保證信息的來源、去向、內(nèi)容真實(shí)無誤)、保密性(保證信息不會(huì)被非法泄露擴(kuò)散)、不可否認(rèn)性(保證信息的發(fā)送和接收者無法否認(rèn)自己所做過的操作行為)等。

(2)從網(wǎng)絡(luò)層次看，包括可靠性(保證網(wǎng)絡(luò)和信息系統(tǒng)隨時(shí)可用，運(yùn)行過程中不出現(xiàn)故障，遇意外事故能夠盡量減少損失并盡早恢復(fù)正常)、可控性(保證營運(yùn)者對(duì)網(wǎng)絡(luò)和信息系統(tǒng)有足夠的控制和管理能力)、互操作性(保證協(xié)議和系統(tǒng)能夠互相聯(lián)接)、可計(jì)算性(保證準(zhǔn)確跟蹤實(shí)體運(yùn)行達(dá)到審計(jì)和識(shí)別的目的)等。

(3)從設(shè)備層次看，包括質(zhì)量保證、設(shè)備備份、物理安全等。

(4)從管理層次看，包括人員可靠、規(guī)章制度完整等。

2電子政務(wù)信息安全風(fēng)險(xiǎn)分析

現(xiàn)階段，我國電子政務(wù)信息安全系數(shù)比較低。公安部1998年8月在江蘇、上海、廣東等省(市)對(duì)169信息網(wǎng)進(jìn)行檢測(cè)，發(fā)現(xiàn)其設(shè)防能力十分脆弱，難以抵御任何方式的電子攻擊。電子政務(wù)信息安全風(fēng)險(xiǎn)主要存在4個(gè)方面。

2．1觀念方面

著名信息安全專家、中國工程院院士沈昌祥從國家安全利益出發(fā)，提出應(yīng)把信息系統(tǒng)安全建設(shè)提高到研制“兩彈一星”的高度去認(rèn)識(shí)。1999年政府上網(wǎng)工程啟動(dòng)以來，政府部門越來越重視網(wǎng)絡(luò)系統(tǒng)建設(shè)，看重網(wǎng)絡(luò)帶來的便利與高效，但是有些地方對(duì)信息安全工作未引起足夠重視。據(jù)估計(jì)，我國在網(wǎng)絡(luò)工程中網(wǎng)絡(luò)安全的投入費(fèi)用不到2％，同國外的10％相比有較大差距?，F(xiàn)階段，電子政務(wù)網(wǎng)絡(luò)的開放程度不高，一些機(jī)密信息目前還沒有上網(wǎng)，再加之公眾對(duì)計(jì)算機(jī)犯罪的態(tài)度較為“寬容”，認(rèn)為并沒有造成直接的人員財(cái)產(chǎn)損失，這都使得公務(wù)員和普通大眾對(duì)信息安全問題關(guān)注不夠，信息安全意識(shí)淡薄。

2.2技術(shù)方面

(1)計(jì)算機(jī)系統(tǒng)本身的脆弱性，使得它無法抵御自然災(zāi)害的破壞，也難以避免偶然無意造成的危害。如：洪水、火災(zāi)、地震的破壞，系統(tǒng)所處環(huán)境的影響(溫濕度、磁場(chǎng)、碰撞、污染等)，硬件設(shè)備故障，突然斷電或電壓不穩(wěn)定及各種誤操作等。這些危害會(huì)損害操作系統(tǒng)設(shè)備，有時(shí)會(huì)丟失或破壞數(shù)據(jù)，甚至毀掉整個(gè)系統(tǒng)。

(2)網(wǎng)絡(luò)本身存在缺陷。首先，軟件本身缺乏安全性。操作系統(tǒng)的設(shè)計(jì)一般著重于提高信息處理的能力和效率，對(duì)于安全只是作為一項(xiàng)附帶的條件加以考慮。因此，操作系統(tǒng)中的安全缺陷相當(dāng)多。其次，通信與網(wǎng)絡(luò)設(shè)備本身有弱點(diǎn)。絕大多數(shù)電子政務(wù)信息網(wǎng)絡(luò)運(yùn)行的是TCP／IP，NetBEUI，IPX／SPX等網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計(jì)。利用這些網(wǎng)絡(luò)進(jìn)行服務(wù)，本身就可能存在多方面的威脅，加之使用者信息安全意識(shí)淡薄，管理者管理措施不力等原因，會(huì)造成一些常見的安全問題：對(duì)物理通路的干擾；網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)被竊聽；非授權(quán)用戶非法使用，信息被攔截或監(jiān)聽；操作系統(tǒng)存在的網(wǎng)絡(luò)安全漏洞；應(yīng)用平臺(tái)的安全，如數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器等均存在大量的安全隱患，很容易受到病毒、黑客攻擊；直接面向用戶的應(yīng)用系統(tǒng)存在的信息泄露、信息篡改、信息抵賴、信息假冒等。再次，目前世界上還缺乏統(tǒng)一的操作系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)，缺乏統(tǒng)一的信息安全標(biāo)準(zhǔn)、密碼算法和協(xié)議，因而無法進(jìn)行嚴(yán)格的安全確認(rèn)。

(3)我國具有自主知識(shí)產(chǎn)權(quán)的信息設(shè)備、技術(shù)、產(chǎn)品較少，如計(jì)算機(jī)芯片、骨干路由器和微機(jī)主板等基本上從國外進(jìn)口，且對(duì)引進(jìn)技術(shù)和設(shè)備缺乏必要的技術(shù)改造，尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面。而美歐等發(fā)達(dá)國家對(duì)我國限制和封鎖信息安全高密度產(chǎn)品，出口到我國的信息產(chǎn)品中留有安全隱患。例如，美國出口我國的計(jì)算機(jī)系統(tǒng)的安全系統(tǒng)只有C2級(jí)，是美國國防部規(guī)定的8個(gè)安全級(jí)別之中的倒數(shù)第三；在操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)或應(yīng)用程序中預(yù)先安置從事情報(bào)收集、受控激發(fā)破壞的“特洛伊木馬”程序，一旦發(fā)生重大情況，那些隱藏在軟件中的“特洛伊木馬”就能夠在某種秘密指令下激活，造成我國電子政務(wù)關(guān)鍵軟件系統(tǒng)的癱瘓。

2．3管理方面

對(duì)現(xiàn)有的網(wǎng)絡(luò)攻擊和入侵事件的一項(xiàng)統(tǒng)計(jì)報(bào)告顯示：國外政府入侵的安全風(fēng)險(xiǎn)指數(shù)為21％，黑客入侵的安全風(fēng)險(xiǎn)指數(shù)為48％，競(jìng)爭(zhēng)對(duì)手入侵的安全風(fēng)險(xiǎn)指數(shù)為72％，組織內(nèi)部不滿雇員入侵的安全風(fēng)險(xiǎn)指數(shù)為89％。這說明，電子政務(wù)信息安全不是單純的技術(shù)問題。如果沒有從管理制度、人員和技術(shù)上建立相應(yīng)的電子化業(yè)務(wù)安全防范機(jī)制，缺乏行之有效的安全檢查保護(hù)措施，再好的技術(shù)和設(shè)備都無法確保其信息安全。管理上的漏洞，例如，機(jī)房重地隨意進(jìn)出，微機(jī)或工作站管理人員在開機(jī)狀態(tài)下擅離崗位，敏感信息臨時(shí)存放在本地的磁盤上，這些信息處于未保護(hù)狀態(tài)，都會(huì)為外部入侵，更為內(nèi)部破壞埋下隱患。其中，來自內(nèi)部的安全威脅可能會(huì)更大，因?yàn)閮?nèi)部人員了解內(nèi)部的網(wǎng)絡(luò)、主機(jī)和應(yīng)用系統(tǒng)的結(jié)構(gòu)；能夠知道內(nèi)部網(wǎng)絡(luò)和系統(tǒng)管理員的工作規(guī)律，甚至自己就是管理員；擁有系統(tǒng)的一定的訪問權(quán)限，可以輕易地繞過許多訪問控制機(jī)制；在內(nèi)部系統(tǒng)進(jìn)行網(wǎng)絡(luò)刺探、嘗試登錄、破解密碼等都相對(duì)容易。如果內(nèi)部人員為了報(bào)復(fù)或銷毀某些記錄而突然發(fā)難，在系統(tǒng)中植入病毒或改變某些程序設(shè)置，就有可能造成損失。內(nèi)部人員的破壞活動(dòng)也并不局限于破壞計(jì)算機(jī)系統(tǒng)，還包括越權(quán)處理公務(wù)、竊取國家機(jī)密數(shù)據(jù)等。

2．4法律方面

黑客攻擊、病毒入侵等網(wǎng)絡(luò)犯罪的日益增多與網(wǎng)絡(luò)信息安全法制不健全和對(duì)網(wǎng)絡(luò)犯罪的懲治不力密不可分。一方面，我國已經(jīng)出臺(tái)了一系列與網(wǎng)絡(luò)信息安全有關(guān)的法律法規(guī)，例如：《計(jì)算機(jī)軟件保護(hù)條例》(1992年)、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(1994年)、《警察法》(1995年)、《公安部關(guān)于對(duì)國際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行備案工作的通知》(1996年)、《中華人民共和國信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》(1997年)、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》(1997年)，《商用密碼管理?xiàng)l例》(1999年)、《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》(2002年)等。此外，1997年3月頒布的新《刑法》第285條、第286條、第287條，對(duì)非法侵入計(jì)算機(jī)信息系統(tǒng)罪、破壞計(jì)算機(jī)信息系統(tǒng)罪，以及利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國家機(jī)密等犯罪行為，作出了規(guī)定。盡管這些法律法規(guī)的出臺(tái)和實(shí)施對(duì)于我國網(wǎng)絡(luò)信息的安全起到相當(dāng)積極的作用，但仍難以適應(yīng)網(wǎng)絡(luò)發(fā)展的需要，信息安全立法還存在相當(dāng)多的盲區(qū)。

另一方面，已頒布實(shí)施的法律法規(guī)不僅規(guī)定了出入口制度和市場(chǎng)準(zhǔn)入制度，確定了網(wǎng)絡(luò)信息安全管理機(jī)構(gòu)，闡明了安全責(zé)任，而且明確了法律責(zé)任，對(duì)于危害網(wǎng)絡(luò)信息安全的個(gè)人和單位，規(guī)定了經(jīng)濟(jì)處罰、行政處罰和刑事處罰等三大類型。但是由于網(wǎng)絡(luò)犯罪的隱蔽性和高科技性，給偵破和審理帶來了極大困難，再加上其他原因，導(dǎo)致執(zhí)法部門的打擊力度有限，在法律的執(zhí)行上還有不到位之處，一些違法情況及當(dāng)事人還未得到及時(shí)處理和制裁。

3電子政務(wù)信息安全的防范策略

3．1強(qiáng)化電子政務(wù)環(huán)境下公務(wù)員的信息安全意識(shí)

所謂的信息安全意識(shí)，是指公務(wù)員對(duì)電子政務(wù)中信息安全問題主要表現(xiàn)與危害以及保證政府信息安全的意義的正確認(rèn)識(shí)，發(fā)現(xiàn)電子政務(wù)中影響信息安全的現(xiàn)象和行為的敏銳性，維護(hù)電子政務(wù)信息安全的主動(dòng)性。強(qiáng)化公務(wù)員的信息安全意識(shí)就是要讓公務(wù)員認(rèn)識(shí)到電子政務(wù)信息安全是電子政務(wù)正常而高效運(yùn)轉(zhuǎn)的基礎(chǔ)，是保障國家信息安全甚至國家安全的重要前提，從而牢固樹立信息安全第一的思想。我國各級(jí)政府部門要利用多種途徑對(duì)公務(wù)員進(jìn)行電子政務(wù)信息安全方面的教育。一是通過大眾傳播媒介，增強(qiáng)公務(wù)員信息安全意識(shí)，普及信息安全知識(shí)。二是積極組織各種專題講座和培訓(xùn)班，培養(yǎng)信息安全人才，并確保防范手段和技術(shù)措施的先進(jìn)性和主動(dòng)性。三是要積極開展安全策略研究，明確安全責(zé)任，增強(qiáng)公務(wù)員的責(zé)任心。

3.2建立電子政務(wù)信息安全管理機(jī)構(gòu)

首先，政府部門要嚴(yán)格按照《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和《計(jì)算機(jī)信息網(wǎng)絡(luò)安全保護(hù)管理辦法》的規(guī)定，在國家安全部，國家保密局，國務(wù)院有關(guān)部門及各省、市、自治區(qū)公安廳(局)，地(市)、縣(市)公安局負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)的行政管理下，建立本單位、本部門、本系統(tǒng)的組織領(lǐng)導(dǎo)管理機(jī)構(gòu)，明確領(lǐng)導(dǎo)及工作人員責(zé)任，制定管理崗位責(zé)任制及有關(guān)措施，嚴(yán)格內(nèi)部安全管理機(jī)制，并對(duì)破壞電子政務(wù)信息安全的事件進(jìn)行調(diào)查和處理，確保網(wǎng)絡(luò)信息的安全。

其次，要完善“網(wǎng)上警察”隊(duì)伍建設(shè)，加大監(jiān)視和打擊網(wǎng)絡(luò)犯罪活動(dòng)的力度。我國于1983年成立了公安部計(jì)算機(jī)管理和監(jiān)察局，1985年全國人大通過了《警察法》，其目的就是“監(jiān)督計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作”。1998年又成立了公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局，并逐步形成了一支“網(wǎng)上警察”。當(dāng)前，公安部門的首要任務(wù)是吸納高級(jí)信息安全人才充實(shí)到網(wǎng)上警察隊(duì)伍，提高網(wǎng)上警察的快速反應(yīng)能力、偵察與追蹤水平等。

3．3完善我國信息安全基礎(chǔ)設(shè)施

當(dāng)前迫切需要建立的國家信息安全基礎(chǔ)設(shè)施包括：國際出入口監(jiān)控中心、安全產(chǎn)品評(píng)測(cè)認(rèn)證中心、病毒檢測(cè)和防治中心、關(guān)鍵網(wǎng)絡(luò)系統(tǒng)災(zāi)難恢復(fù)中心、系統(tǒng)攻擊和反攻擊中心、電子保密標(biāo)簽監(jiān)管中心、網(wǎng)絡(luò)安全緊急處置中心、電子交易證書授權(quán)中心、密鑰恢復(fù)監(jiān)管中心、公鑰基礎(chǔ)設(shè)施與監(jiān)管中心、信息戰(zhàn)防御研究中心等。

3．4傾力扶持國有信息安全產(chǎn)業(yè)的發(fā)展

自主的信息產(chǎn)業(yè)或信息產(chǎn)品國產(chǎn)化是保證電子政務(wù)信息安全的根本。信息安全技術(shù)、產(chǎn)品受制于他國是對(duì)國家安全利益的極大威脅。國家應(yīng)對(duì)國有信息安全產(chǎn)業(yè)的發(fā)展予以充分的政策和財(cái)政支持。當(dāng)前，應(yīng)在以下3種技術(shù)上求得突破：一是能逐步改善信息安全狀況、帶有普遍性的關(guān)鍵技術(shù)，如密碼技術(shù)、鑒別技術(shù)、病毒防御技術(shù)、入侵檢測(cè)技術(shù)等；二是創(chuàng)新性強(qiáng)、可發(fā)揮杠桿作用的突破性技術(shù)，如網(wǎng)絡(luò)偵察技術(shù)、信息監(jiān)測(cè)技術(shù)、風(fēng)險(xiǎn)管理技術(shù)、測(cè)試評(píng)估技術(shù)和TEMPEST技術(shù)等；三是能形成“撒手锏”的戰(zhàn)略性技術(shù)，如操作系統(tǒng)、密碼專用芯片和安全處理器等。還要狠抓技術(shù)及系統(tǒng)的綜合集成，以確保電子政務(wù)信息系統(tǒng)的安全可靠。令人可喜的是，2002年8月19日由我國自主開發(fā)的高性能通用芯片“龍芯1”運(yùn)行成功，這是我國信息安全產(chǎn)業(yè)發(fā)展史上具有里程碑意義的事件。

3．5健全法律，嚴(yán)格執(zhí)法

法律是保障電子政務(wù)信息安全的最有力手段，發(fā)達(dá)國家已經(jīng)在政府信息安全立法方面積累了成功經(jīng)驗(yàn)，如美國的《情報(bào)自由法》和《陽光下的政府法》、英國的《官方信息保護(hù)法》、俄羅斯的《聯(lián)邦信息、信息化和信息保護(hù)法》等。我國立法部門應(yīng)加快立法進(jìn)程，吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn)，盡快制定和頒布個(gè)人隱私保護(hù)法、數(shù)據(jù)庫振興法、信息網(wǎng)絡(luò)安全性法規(guī)、預(yù)防和打擊計(jì)算機(jī)犯罪法規(guī)、數(shù)字簽名認(rèn)證法、電子憑證(票據(jù))法、網(wǎng)上知識(shí)產(chǎn)權(quán)法等，以完善我國的網(wǎng)絡(luò)信息安全法律體系，使電子政務(wù)信息安全管理走上法制化軌道。另外，執(zhí)法部門還要進(jìn)一步嚴(yán)格執(zhí)法，提高執(zhí)法水平，確保各項(xiàng)法律法規(guī)落到實(shí)處。對(duì)于各種違法犯罪情況要嚴(yán)加追究，絕不姑息，對(duì)于各種隱患要及時(shí)加以預(yù)防和制止。

參考文獻(xiàn)

黃志澄．電子政務(wù)的內(nèi)涵及發(fā)展．中國信息導(dǎo)報(bào)，2002(4)

楊義先，林曉東，邢育森．信息安全綜論．電信科學(xué)，1997(12)

3，5，7，馮杰，李會(huì)欣．我國電子政府安全運(yùn)行分析．新視野，2002(5)

4，8

崔麗，沈昌祥．國家安全概念：對(duì)信息系統(tǒng)的安全應(yīng)從“兩彈一星”的高度去認(rèn)識(shí)．中國青年報(bào)，1999-06-18

尹秀蓮，于躍武．電子政務(wù)與網(wǎng)絡(luò)信息安全．內(nèi)蒙古科技與經(jīng)濟(jì)，2002(2)

9，10

湯志偉．電子政府的信息網(wǎng)絡(luò)安全及防范對(duì)策．電子科技大學(xué)學(xué)報(bào)(社科版)，2002(1)

婁策群．保障電子政府信息安全的政策選擇．情報(bào)科學(xué)，2002(5)

楊海平．網(wǎng)絡(luò)信息安全研究．情報(bào)科學(xué)，2000(10)

蔣坡．國際信息政策法律比較．北京：法律出版社，2001

作者：武漢大學(xué)信息管理學(xué)院2001級(jí)碩士研究生

王歡喜

第三篇：電子政務(wù)信息安全保障體系

電子政務(wù)安全面臨威脅和挑戰(zhàn)

電子政務(wù)涉及對(duì)國家秘密信息和高敏感度核心政務(wù)的保護(hù)，設(shè)計(jì)維護(hù)公共秩序和行政監(jiān)管的準(zhǔn)確實(shí)施，涉及到為社會(huì)提供公共服務(wù)的質(zhì)量保證。電子政務(wù)是黨委、政府、人大、政協(xié)有效決策、管理、服務(wù)的重要手段，必然會(huì)遇到各種敵對(duì)勢(shì)力、恐怖集團(tuán)、搗亂分子的破壞和攻擊。尤其電子政務(wù)是搭建在基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)平臺(tái)上，包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)的安全先天不足，互聯(lián)網(wǎng)是一個(gè)無行政主管的全球網(wǎng)絡(luò)，自身缺少設(shè)防和安全隱患很多，對(duì)互聯(lián)網(wǎng)犯罪尚缺乏足夠的法律威懾，大量的跨國網(wǎng)絡(luò)犯罪給執(zhí)法帶來很大的難度。所有上述分子利用互聯(lián)網(wǎng)進(jìn)行犯罪則有機(jī)可乘，使基于互聯(lián)網(wǎng)開展的電子政務(wù)應(yīng)用面臨著嚴(yán)峻的挑戰(zhàn)。

對(duì)電子政務(wù)的安全威脅，包括網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等，應(yīng)引起足夠警惕，采取安全措施，應(yīng)對(duì)這種挑戰(zhàn)。

電子政務(wù)的安全目標(biāo)和安全策略

電子政務(wù)的安全目標(biāo)是，保護(hù)政務(wù)信息資源價(jià)值不受侵犯，保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險(xiǎn)和獲取最大的安全利益，使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御上述威脅而具有保密性、完整性、真實(shí)性、可用性和可控性的能力。

為實(shí)現(xiàn)上述目標(biāo)應(yīng)采取積極的安全策略：

·國家主導(dǎo)、社會(huì)參與。電子政務(wù)安全關(guān)系到政府的辦公決策、行政監(jiān)管和公共服務(wù)的高質(zhì)量和可信實(shí)施的大事，必須由國家統(tǒng)籌規(guī)劃、社會(huì)積極參與，才能有效保障電子政務(wù)安全。

·全局治理、積極防御。電子政務(wù)安全必須采用法律威懾、管理制約、技術(shù)保障和安全基礎(chǔ)設(shè)施支撐的全局治理措施，并且實(shí)施防護(hù)、檢測(cè)、恢復(fù)和反制的積極防御手段，才能更為有效。

·等級(jí)保護(hù)、保障發(fā)展。要根據(jù)信息的價(jià)值等級(jí)及所面臨的威脅等級(jí)，選擇適度的安全機(jī)制強(qiáng)度等級(jí)和安全技術(shù)保障強(qiáng)壯性等級(jí)，尋求一個(gè)投入和風(fēng)險(xiǎn)可承受能力間的平衡點(diǎn)，保障電子政務(wù)系統(tǒng)健康和積極的發(fā)展。

電子政務(wù)安全保障體系框架

電子政務(wù)安全采取“國家推動(dòng)、社會(huì)參與、全局治理、積極防御、等級(jí)保護(hù)、保障發(fā)展”的策略，鑒于電子政務(wù)的信息安全面臨的是一場(chǎng)高技術(shù)的對(duì)抗，是一場(chǎng)綜合性斗爭(zhēng)，涉及法律、管理、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品、服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域，所以電子政務(wù)安全，還要從全局來構(gòu)建其安全保障的體系框架，以保障電子政務(wù)的健康發(fā)展。

電子政務(wù)安全保障體系由六要素組成，即安全法規(guī)、安全管理、安全標(biāo)準(zhǔn)、安全服務(wù)、安全技術(shù)產(chǎn)品和安全基礎(chǔ)設(shè)施等安全要素（見圖1）。

要素一 安全法律與政策

電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)，它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益，所以電子政務(wù)的安全實(shí)施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約，成為電子政務(wù)實(shí)施和運(yùn)行的行為準(zhǔn)則，成為電子政務(wù)國際交往的重要依據(jù)，保護(hù)守法者和依法者的合法權(quán)益，為司法和執(zhí)法者提供法律依據(jù)，對(duì)違法、犯法者形成強(qiáng)大的威懾。

《中華人民共和國保護(hù)國家秘密法》已實(shí)施13年，已不完全適應(yīng)我國當(dāng)前保密工作的現(xiàn)狀，特別是電子政務(wù)的發(fā)展，亟待修訂。

政務(wù)信息公開是電子政務(wù)的重要原則，為了拉近政府和公眾的距離，使公眾具有知情權(quán)、參與權(quán)、監(jiān)督權(quán)和享用政府服務(wù)的權(quán)利，為公眾提供良好的信息服務(wù)，充分挖掘政務(wù)信息的最大效益，開放政務(wù)信息資源（非國家涉密和適宜公開部分）服務(wù)于民是電子政務(wù)的重要特征。盡快制訂政務(wù)信息公開法，適度的解密和規(guī)范開放的規(guī)則，保護(hù)政府部門間信息的正常交流，保護(hù)社會(huì)公眾對(duì)信息的合法享用，打破對(duì)政務(wù)信息資源的壟斷和封鎖，提高政府行政透明度和民主進(jìn)程是非常有利的和必需的。

電子政務(wù)亟待電子簽章和電子文檔的立法保護(hù)，國際已有近20多個(gè)國家對(duì)數(shù)字簽名和電子文檔進(jìn)行了立法，使數(shù)字簽名和電子文檔在電子政務(wù)和電子商務(wù)運(yùn)行中具有法律效力。這將大大促進(jìn)電子政務(wù)和電子商務(wù)的健康發(fā)展，使電子政務(wù)原來的雙軌制走向單軌制，這有利于簡(jiǎn)化程序、降低成本，充分顯示電子政務(wù)效益是非常有利的。

個(gè)人數(shù)據(jù)保護(hù)（隱私法）的需求伴隨電子政務(wù)的發(fā)展日顯突出。電子政務(wù)在實(shí)施行政監(jiān)管和公眾服務(wù)中有大量的個(gè)人信息（自然人和法人），如戶籍、納稅、社保、信用等信息大量進(jìn)入了政府網(wǎng)絡(luò)信息數(shù)據(jù)庫，它對(duì)完成電子政務(wù)職能發(fā)揮巨大作用。但是這些個(gè)人信息如果保護(hù)不力或無意被泄漏，而被非法濫用，就可能成為報(bào)復(fù)、盜竊、推銷、討債、盯梢的工具。在國外已經(jīng)出現(xiàn)將盜用的個(gè)人隱私信息作為非法商品出售，以牟取暴利的情況，這樣直 接損害個(gè)人的利益，甚至危及個(gè)人的生命安危。因此加快個(gè)人數(shù)據(jù)保護(hù)法的制訂，是必要的。

還有很多法規(guī)的制訂都直接關(guān)系到電子政務(wù)的健康發(fā)展，加快制訂這些法規(guī)，勢(shì)在必行。

要素二 安全組織與管理

我國信息安全管理職能的格局已經(jīng)形成，如國家安全部、國家保密局、國家密碼管理委員會(huì)、信息產(chǎn)業(yè)部、總參??分別執(zhí)行各自的安全職能，維護(hù)國家信息安全。電子政務(wù)安全管理涉及到上述眾多的國家安全職能部門，其安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機(jī)構(gòu)，如國家信息化領(lǐng)導(dǎo)小組及其辦公室、國家電子政務(wù)協(xié)調(diào)小組、國家信息安全協(xié)調(diào)小組等來進(jìn)行。各地區(qū)和部委建立相應(yīng)的信息安全管理機(jī)構(gòu)，以完成和強(qiáng)化信息安全的管理，形成自頂向下的信息安全管理組織體系，是電子政務(wù)安全實(shí)施的必要條件。

制訂頒發(fā)電子政務(wù)安全相關(guān)的各項(xiàng)管理?xiàng)l例，及時(shí)指導(dǎo)電子政務(wù)建設(shè)的各種行為，從立項(xiàng)、承包、采購、設(shè)計(jì)、實(shí)施、運(yùn)行、操作、監(jiān)理、服務(wù)等各階段入手，保障電子政務(wù)系統(tǒng)建設(shè)全程的安全和安全管理工作的程序化和制度化。

電子政務(wù)信息安全域的劃分與管理是至關(guān)重要的。電子政務(wù)有辦公決策、行政監(jiān)管和公共服務(wù)等三種類型業(yè)務(wù)，其業(yè)務(wù)信息內(nèi)容涉及國家機(jī)密、部門工作秘密、內(nèi)部敏感信息和開放服務(wù)信息。既要保護(hù)國家秘密又要便于公開服務(wù)，因此對(duì)信息安全域的科學(xué)劃分和管理，將有益于電子政務(wù)網(wǎng)絡(luò)平臺(tái)的安全設(shè)計(jì)，有益于電子政務(wù)的健康和有效的實(shí)現(xiàn)。

制訂電子政務(wù)工程集成商的資質(zhì)認(rèn)證管理辦法、工程建設(shè)監(jiān)理機(jī)構(gòu)的管理辦法、工程外包商的管理機(jī)制和辦法，以確保電子政務(wù)工程建設(shè)的質(zhì)量和安全，特別是對(duì)于電子政務(wù)系統(tǒng)的外包制更要有嚴(yán)格的制約和管理手段。對(duì)于電子政務(wù)中涉密系統(tǒng)工程的承建，還必須有國家保密局頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書，其他部分應(yīng)具有國家或省市相應(yīng)的系統(tǒng)集成商的資質(zhì)證書。對(duì)于電子政務(wù)涉密部分，不允許托管和外包運(yùn)行，電子政務(wù)其他部分將按相關(guān)管理?xiàng)l例執(zhí)行。

電子政務(wù)工程中使用的信息安全產(chǎn)品，國家將制訂相應(yīng)的采購管理政策，涉及密碼的信息安全產(chǎn)品需有國家密碼主管部門的批準(zhǔn)證書，信息安全產(chǎn)品應(yīng)有通過國家測(cè)評(píng)主管機(jī)構(gòu)的安全測(cè)評(píng)的證書，維護(hù)信息安全產(chǎn)品的可信性。

電子政務(wù)系統(tǒng)信息內(nèi)容根據(jù)管理需求，可以實(shí)施對(duì)信息內(nèi)容的安全監(jiān)控管理，以保護(hù)政務(wù)信息安全，防止由于內(nèi)部違規(guī)或外部入侵可能造成的網(wǎng)絡(luò)泄密，同時(shí)也阻止有害信息內(nèi)容在政務(wù)網(wǎng)上傳播。

制訂電子政務(wù)系統(tǒng)的人員管理、機(jī)構(gòu)管理、文檔管理、操作管理、資產(chǎn)與配置管理、介質(zhì)管理、服務(wù)管理、應(yīng)急事件管理、保密管理、故障管理、開發(fā)與維護(hù)管理、作業(yè)連續(xù)性保障管理、標(biāo)準(zhǔn)與規(guī)范遵從性管理、物理環(huán)境管理等各種條例，確保電子政務(wù)系統(tǒng)的安全運(yùn)行。

要素三 安全標(biāo)準(zhǔn)與規(guī)范

信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性、實(shí)現(xiàn)產(chǎn)品的互聯(lián)和互操作性，以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴(kuò)展性，支持系統(tǒng)安全的測(cè)評(píng)與評(píng)估，保障電子政務(wù)系統(tǒng)的安全可靠。

國家已正式成立“信息安全標(biāo)準(zhǔn)化委員會(huì)”，近期成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）、內(nèi)容安全分級(jí)及標(biāo)識(shí)工作組（WG2）、密碼算法與密碼模塊/KMI/VPN工作組（WG3）、PKI/PMI工作組（WG4）、信息安全評(píng)估工作組（WG5）、操作系統(tǒng)與數(shù)據(jù)庫安全工作組（WG6）、身份標(biāo)識(shí)與鑒別協(xié)議工作組（WG9）、操作系統(tǒng)與數(shù)據(jù)庫安全工作組（WG10），以開展電子政務(wù)安全相關(guān)標(biāo)準(zhǔn)的研制工作，支撐電子政務(wù)安全對(duì)標(biāo)準(zhǔn)制訂的需求。

還將制訂下列標(biāo)準(zhǔn)：涉密電子文檔密級(jí)劃分和標(biāo)記格式、內(nèi)容健康性等級(jí)劃分與標(biāo)記、內(nèi)容敏感性等級(jí)劃分與標(biāo)記、密碼算法標(biāo)準(zhǔn)、密碼模塊標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評(píng)估和信息安全產(chǎn)品測(cè)評(píng)標(biāo)準(zhǔn)、應(yīng)急響應(yīng)等級(jí)、保護(hù)目標(biāo)等級(jí)、應(yīng)急響應(yīng)指標(biāo)、電子證據(jù)恢復(fù)與提取、電子證據(jù)有效性界定、電子證據(jù)保護(hù)、身份標(biāo)識(shí)與鑒別、數(shù)據(jù)庫安全等級(jí)、操作系統(tǒng)安全等級(jí)、中間件安全等級(jí)、信息安全產(chǎn)品接口規(guī)范、數(shù)字簽名??。

要素四 安全保障與服務(wù)

1.電子政務(wù)系統(tǒng)建設(shè)，要構(gòu)建其技術(shù)安全保障架構(gòu)，對(duì)大型電子政務(wù)系統(tǒng)要建立縱深防御體系。

·設(shè)置政務(wù)內(nèi)網(wǎng)的安全與控制策略；

·設(shè)置政務(wù)外網(wǎng)的安全與控制策略；

·設(shè)置進(jìn)入互聯(lián)網(wǎng)的安全服務(wù)與控制策略；

·設(shè)置租用公網(wǎng)干線的安全服務(wù)與控制策略，包括有線通信、無線通信和衛(wèi)星通信的安全服務(wù)與控制策略；

·設(shè)置政務(wù)計(jì)算環(huán)境的安全服務(wù)與機(jī)制。

采用縱深防御和多級(jí)設(shè)防，是電子政務(wù)安全保障的重要原則，通過全局性的安全防護(hù)、安全檢測(cè)、快速響應(yīng)、集成的安全管理與安全設(shè)施的聯(lián)動(dòng)控制，以達(dá)到系統(tǒng)具有防護(hù)、檢測(cè)、反應(yīng)與恢復(fù)能力。

2.推廣電子政務(wù)信息系統(tǒng)安全工程（ISSE）的控制方法，全面實(shí)現(xiàn)安全服務(wù)要求。

電子政務(wù)安全系統(tǒng)的設(shè)計(jì)，首先要做好系統(tǒng)資產(chǎn)價(jià)值的分析，如物理資產(chǎn)的價(jià)值（系統(tǒng)環(huán)境、硬件、系統(tǒng)軟件）、信息資產(chǎn)的價(jià)值、其數(shù)據(jù)與國家利益和部門利益的關(guān)聯(lián)度；其業(yè)務(wù)系統(tǒng)（模型、流程、應(yīng)用軟件）正常運(yùn)行后果所產(chǎn)生的效益，從而確定系統(tǒng)安全應(yīng)保護(hù)的目標(biāo)，在上述分析的基礎(chǔ)上提出整個(gè)安全系統(tǒng)的安全需求，進(jìn)一步定義達(dá)到這些安全需求所應(yīng)具有的安全功能，然后探索系統(tǒng)可能面臨的威脅類型，并找出系統(tǒng)自身的脆弱性，這些威脅和脆弱性有：

·網(wǎng)上黑客與計(jì)算機(jī)犯罪；

·網(wǎng)絡(luò)病毒的蔓延與破壞；

·機(jī)要信息流失與信息間諜潛入；

·網(wǎng)上恐怖活動(dòng)與信息戰(zhàn)；

·內(nèi)部人員違規(guī)與違法；

·網(wǎng)上安全產(chǎn)品的失控；

·網(wǎng)絡(luò)與系統(tǒng)自身的漏洞與脆弱性。

在這些威脅面前，要分析哪些威脅是本系統(tǒng)主要面臨的威脅，哪些是次要的，對(duì)系統(tǒng)和任務(wù)造成的影響程度如何。進(jìn)行定性和定量的分析，提出系統(tǒng)安全對(duì)策，確定承受風(fēng)險(xiǎn)的能力，尋找投入和風(fēng)險(xiǎn)承受能力間的平衡點(diǎn)，然后確定系統(tǒng)所需要的安全服務(wù)及對(duì)應(yīng)的安全機(jī)制（見表一），從而配置系統(tǒng)的安全要素。在工程的生命周期中要進(jìn)行風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)決策流程（見圖2），這種風(fēng)險(xiǎn)管理是要對(duì)電子政務(wù)全程進(jìn)行的。

系統(tǒng)投入運(yùn)行要對(duì)其安全性進(jìn)行有效評(píng)估，即評(píng)估者給出的評(píng)估證據(jù)和建設(shè)者采用的技術(shù)保障設(shè)施，的確能使系統(tǒng)擁有者確信已選用技術(shù)對(duì)策，確實(shí)減少了系統(tǒng)的安全風(fēng)險(xiǎn)，滿足必要的風(fēng)險(xiǎn)策略（風(fēng)險(xiǎn)策略可以是“零”風(fēng)險(xiǎn)策略、最小風(fēng)險(xiǎn)策略、最大可承受風(fēng)險(xiǎn)策略或不計(jì)風(fēng)險(xiǎn)策略），使其達(dá)到保護(hù)系統(tǒng)資產(chǎn)價(jià)值所必需的能力（見圖3）。上述有效評(píng)估過程可用安全技術(shù)保障強(qiáng)壯性級(jí)別（IATRn）來描述：

IATRn=f(Vn,Tn,SMLn,EALn)

Tn：威脅等級(jí)

Vn：資產(chǎn)價(jià)值等級(jí)

SMLn：安全機(jī)制強(qiáng)度等級(jí)

EALn：評(píng)估保障等級(jí)

要素五 安全技術(shù)與產(chǎn)品

1． 加強(qiáng)安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新。

由于電子政務(wù)的國家涉密性，電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識(shí)產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品，全面推動(dòng)自主研發(fā)和創(chuàng)新這些技術(shù)和產(chǎn)品是電子政務(wù)安全的需要。這些產(chǎn)品和技術(shù)可以分為六大類：

·基礎(chǔ)類：風(fēng)險(xiǎn)控制、體系結(jié)構(gòu)、協(xié)議工程、有效評(píng)估、工程方法；

·關(guān)鍵類：密碼、安全基、內(nèi)容安全、抗病毒、IDS、VPN、RBAC、強(qiáng)審計(jì)、邊界安全隔離；

·系統(tǒng)類：PKI、PMI、DRI、網(wǎng)絡(luò)預(yù)警、集成管理、KMI；

·應(yīng)用類：EC、EG、NB、NS、NM、WF、XML、CSCW；

·物理與環(huán)境類：TEMPEX、物理識(shí)別；

·前瞻性：免疫技術(shù)、量子密碼、漂移技術(shù)、語義理解識(shí)別。

2．電子政務(wù)安全產(chǎn)品的選擇。

整個(gè)電子政務(wù)的安全，涉及信息安全產(chǎn)品的全局配套和科學(xué)布置，產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。

產(chǎn)品可涉及安全操作系統(tǒng)、安全硬件平臺(tái)、安全數(shù)據(jù)庫、PKI/CA、PMI、VPN、安全網(wǎng)關(guān)、防火墻、數(shù)據(jù)加密機(jī)、入侵檢測(cè)（IDS）、漏洞掃描、計(jì)算機(jī)病毒防治工具、強(qiáng)審計(jì)工具、安全Web、安全郵件、安全設(shè)施集成管理平臺(tái)、內(nèi)容識(shí)別和過濾產(chǎn)品、安全備份、電磁泄漏防護(hù)、安全隔離客戶機(jī)、安全網(wǎng)閘。

要素六 安全基礎(chǔ)設(shè)施

信息安全基礎(chǔ)設(shè)施是一種為信息系統(tǒng)應(yīng)用主體和信息安全執(zhí)法主體提供信息安全公共服務(wù)和支撐的社會(huì)基礎(chǔ)設(shè)施，方便信息應(yīng)用主體安全防護(hù)機(jī)制的快速配置，有利于促進(jìn)信息應(yīng)用業(yè)務(wù)的健康發(fā)展，有利于信息安全技術(shù)和產(chǎn)品的標(biāo)準(zhǔn)化和促進(jìn)其可信度的提高，有利于信息安全職能部門的監(jiān)督和執(zhí)法，有利于增強(qiáng)全社會(huì)信息安全移師和防護(hù)技能，有利于國家信息安全保障體系的建設(shè)。因此，推動(dòng)電子政務(wù)的發(fā)展，應(yīng)重視相關(guān)信息安全基礎(chǔ)設(shè)施的建設(shè)。

信息安全基礎(chǔ)設(shè)施有兩大類。

1．社會(huì)公共服務(wù)類

·基于PKI/PMI數(shù)字證書的信任和授權(quán)體系；

·基于CC/TCSEC的信息安全產(chǎn)品和系統(tǒng)的測(cè)評(píng)與評(píng)估體系；

·計(jì)算機(jī)病毒防治與服務(wù)體系；

·網(wǎng)絡(luò)應(yīng)急響應(yīng)與支援體系；

·災(zāi)難恢復(fù)基礎(chǔ)設(shè)施；

·基于KMI的密鑰管理基礎(chǔ)設(shè)施。

2．行政監(jiān)管執(zhí)法類

·網(wǎng)絡(luò)信息內(nèi)容安全監(jiān)控體系；

·網(wǎng)絡(luò)犯罪監(jiān)察與防范體系；

·電子信息保密監(jiān)管體系；

·網(wǎng)絡(luò)偵控與反竊密體系；

·網(wǎng)絡(luò)監(jiān)控、預(yù)警與反擊體系。

第四篇：電子政務(wù)信息安全檢查自查報(bào)告

電子政務(wù)外網(wǎng)信息安全工作自查報(bào)告

我鎮(zhèn)在市委、市政府的領(lǐng)導(dǎo)下，認(rèn)真按照四川省委省政府關(guān)于電子政務(wù)工作的總體部署和要求，對(duì)電子政務(wù)外網(wǎng)信息安全情況作了認(rèn)真檢查，現(xiàn)將我鎮(zhèn)電子政務(wù)工作自查情況報(bào)告如下：

一、組織及制度建設(shè)情況

一是領(lǐng)導(dǎo)重視，機(jī)構(gòu)健全。我鎮(zhèn)高度重視電子政務(wù)工作，成立了以鎮(zhèn)長(zhǎng)任組長(zhǎng)、鎮(zhèn)相關(guān)部門負(fù)責(zé)人為成員的鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組，統(tǒng)一領(lǐng)導(dǎo)鎮(zhèn)電子政務(wù)工作，研究決定鎮(zhèn)電子政務(wù)建設(shè)中的重大問題。領(lǐng)導(dǎo)小組辦公室設(shè)在鎮(zhèn)黨政綜合辦公室，并指定懂電腦操作、保密意識(shí)強(qiáng)的黨政綜合辦公室成員具體負(fù)責(zé)信息更新及網(wǎng)絡(luò)維護(hù)等日常工作，形成了機(jī)構(gòu)健全、分工明確、責(zé)任到人的良好工作格局。二是制定制度，按章辦事。根據(jù)省、市文件要求，制定了辦公室自動(dòng)化設(shè)備保密管理制度、電子政務(wù)工作各項(xiàng)管理制度及維護(hù)制度，包括專人維護(hù)、文件發(fā)布審核簽發(fā)等制度。三是開展不定期檢查。我鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組不定期對(duì)電子政務(wù)工作辦公室的環(huán)境安全、設(shè)備安全、信息安全、管理制度落實(shí)情況等內(nèi)容進(jìn)行檢查，對(duì)存在的問題及時(shí)進(jìn)行糾正，消除安全隱患。

二、網(wǎng)絡(luò)和信息安全情況。

加強(qiáng)網(wǎng)絡(luò)運(yùn)行維護(hù)工作。加強(qiáng)網(wǎng)絡(luò)運(yùn)行維護(hù)隊(duì)伍建設(shè)，進(jìn)一步充實(shí)網(wǎng)絡(luò)運(yùn)行維護(hù)人員，鎮(zhèn)黨政綜合辦公室確定兼職網(wǎng)絡(luò)信息管理員，負(fù)責(zé)及時(shí)提供和審核本部門信息內(nèi)容。同時(shí)按照縣安全管理要求，制定和完善了我鎮(zhèn)電子政務(wù)安全保密措施，落實(shí)安全保密工作責(zé)任制，未發(fā)現(xiàn)網(wǎng)絡(luò)異常。

三、技術(shù)防護(hù)手段建設(shè)

切實(shí)做好信息安全工作。安裝了專門的殺毒、殺木馬軟件，互聯(lián)網(wǎng)出口處部署了防火墻，并且定期進(jìn)行漏洞掃描、病毒木馬檢測(cè)，有效防范了病毒、木馬、黑客等網(wǎng)絡(luò)攻擊，確保了信息和網(wǎng)絡(luò)運(yùn)行安全。

四、存在的困難和不足

雖然我鎮(zhèn)電子政務(wù)工作在有序開展，但還存在一些困難和不足之處，主要體現(xiàn)在：一是辦公電腦設(shè)備陳舊老化，專門用于電子政務(wù)的電腦使用時(shí)間久，運(yùn)行速度慢。二是機(jī)關(guān)工作人員年齡偏大，計(jì)算機(jī)知識(shí)程度不高，培訓(xùn)沒有完全跟上。三是信息未能完全做到及時(shí)更新，電子政務(wù)管理、使用有待于進(jìn)一步加強(qiáng)。

五、改進(jìn)措施

一是努力提高業(yè)務(wù)素質(zhì)。加強(qiáng)宣傳教育，提高全鎮(zhèn)人員對(duì)電子政務(wù)的認(rèn)知水平和責(zé)任意識(shí)，積極組織人員參加全縣電子政務(wù)培訓(xùn)，為電子政務(wù)的有效實(shí)施奠定更加堅(jiān)實(shí)的基礎(chǔ)。二是加強(qiáng)制度建設(shè)。完善電子政務(wù)的管理、使用等一系列規(guī)章制度，對(duì)存在的薄弱環(huán)節(jié)，制定針對(duì)性措施，并在實(shí)

際工作中狠抓落實(shí)，進(jìn)一步提高電子政務(wù)應(yīng)用水平和使用效益。三是加強(qiáng)電子政務(wù)的日常管理。定期升級(jí)病毒庫、查殺病毒掃描系統(tǒng)漏洞，保證專門用于電子政務(wù)的電腦能時(shí)刻處于健康狀態(tài)。

第五篇：電子政務(wù)信息安全和管理

電子政務(wù)信息安全和管理

一、電子政務(wù)順利實(shí)施的核心問題

電子政務(wù)是一種全新的政府管理方式,是一個(gè)基于網(wǎng)絡(luò)技術(shù)的綜合性業(yè)務(wù)模式。建立電子政務(wù)系統(tǒng)參公眾服務(wù),必然要求這一系統(tǒng)必須是安全、可靠、抗災(zāi)難、可恢復(fù)的。計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的共享、交互和快速為這種系統(tǒng)的建立提供了前提條件,互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展和廣泛應(yīng)用,又為電子政務(wù)系統(tǒng)不斷走向開放互聯(lián)提供了巨大推動(dòng)力。隨著電子政務(wù)信息化的不斷發(fā)展,電子政務(wù)對(duì)于網(wǎng)絡(luò)系統(tǒng)的依賴性越來越強(qiáng),政務(wù)系統(tǒng)作為關(guān)系國計(jì)民生的重要部分,在安全方面尤為重要,而由于互聯(lián)網(wǎng)的開放性和公共性帶來的不安全因素,使信息安全問題成為保障電子政務(wù)順利實(shí)施的核心問題。

二、電子政務(wù)信息安全面臨的問題

電子政務(wù)網(wǎng)分為政務(wù)內(nèi)網(wǎng)(涉密網(wǎng))和政務(wù)外網(wǎng)(非涉密網(wǎng)),兩網(wǎng)之間物理隔離,政務(wù)外網(wǎng)采取邏輯隔離與互聯(lián)網(wǎng)聯(lián)通。政府各部門大力推行的辦公自動(dòng)化、網(wǎng)絡(luò)化、電子化、信息共享都以這些網(wǎng)絡(luò)為支撐,以TCP/IPV4為傳輸協(xié)議,該協(xié)議為開放協(xié)議,從協(xié)議規(guī)劃、服務(wù)模式、網(wǎng)絡(luò)管理等方面均缺乏安全性設(shè)計(jì),所以電子政務(wù)信息系統(tǒng)就存在著諸多的安全隱患。

1.網(wǎng)絡(luò)安全規(guī)劃的不到位,造成網(wǎng)絡(luò)結(jié)構(gòu)的不合理性。由于信息技術(shù)發(fā)展的歷史原因和建設(shè)資金問題,我國電子政務(wù)網(wǎng)絡(luò)的建設(shè)在規(guī)劃上經(jīng)常缺少前瞻性的安全規(guī)劃,網(wǎng)絡(luò)流量存在多個(gè)瓶頸, IP地址缺乏統(tǒng)一規(guī)劃,廣播流量可控性差,子網(wǎng)故障隔離性差,重要流量缺乏帶寬管理和服務(wù)質(zhì)量?jī)?yōu)先保證等一大堆問題。隨著安全問題的不斷出現(xiàn),只能在運(yùn)行過程中不停地修修補(bǔ)補(bǔ)。但是,這種修補(bǔ)只能解決暫時(shí)的問題,解決一個(gè)問題后,往往又有新問題出現(xiàn)。

2.關(guān)鍵核心技術(shù)還掌握,增加了我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全的隱患。我國對(duì)發(fā)達(dá)國家信息設(shè)備和信息技術(shù)存在很強(qiáng)的依賴性,信息化核心設(shè)備嚴(yán)重依賴國外,對(duì)引進(jìn)技術(shù)和設(shè)備缺乏必要的信息管理和技術(shù)改造。尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面與發(fā)達(dá)國家的差距很大。目前組成我國電子政務(wù)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所用硬件、軟件、操作系統(tǒng)、網(wǎng)管軟件、各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫、防火墻、網(wǎng)絡(luò)接入設(shè)備、路由器、服務(wù)器基本上都是國外公司的產(chǎn)品,微機(jī)芯片都是INTEL系列,軟件基本上是微軟公司的產(chǎn)品,完全自主知識(shí)產(chǎn)權(quán)的產(chǎn)品基本沒有。這些因素使我國的電子政務(wù)網(wǎng)絡(luò)安全性能大大降低,我國的經(jīng)濟(jì)和社會(huì)發(fā)展面臨著新的風(fēng)險(xiǎn)。

3.網(wǎng)絡(luò)安全管理的混亂和規(guī)范化的管理制度相對(duì)滯后,造成很多管理安全漏洞。由于電子政務(wù)的網(wǎng)絡(luò)是連接多個(gè)政務(wù)部門的廣域網(wǎng)或城域網(wǎng),需要各部門協(xié)調(diào)一致,共同維護(hù)整個(gè)網(wǎng)絡(luò)平臺(tái)的安全。但是,由于不同政府部門的信息技術(shù)人才和信息化水平的差異性,以及不同政府部門存在一些相關(guān)的利益和沖突,因此,很難做到安全管理的統(tǒng)一協(xié)調(diào)性,一旦發(fā)生安全事件,故障定位不準(zhǔn),追查事故源困難,責(zé)任問題牽扯不清,從而造成事件的破壞性后果更為嚴(yán)重。

4.安全意識(shí)淡薄。目前,在電子政務(wù)信息的安全問題上還存在不少認(rèn)知盲區(qū)和制約因素。網(wǎng)絡(luò)是新生事物,許多人一接觸就忙著用于學(xué)習(xí)、工作和娛樂等,對(duì)網(wǎng)絡(luò)信息的安全性無暇顧及,安全意識(shí)相當(dāng)?shù)?對(duì)網(wǎng)絡(luò)信息不安全的事實(shí)認(rèn)識(shí)不足。與此同時(shí),機(jī)關(guān)、事業(yè)單位注重的是網(wǎng)絡(luò)效應(yīng),對(duì)安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求?？傮w上看,網(wǎng)絡(luò)信息安全處于被動(dòng)的封堵漏洞狀態(tài),從上到下普遍存在僥幸心理,沒有形成主動(dòng)防范、積極應(yīng)對(duì)的全民意識(shí),更無法從根本上提高網(wǎng)絡(luò)監(jiān)測(cè)、防護(hù)、響應(yīng)、恢復(fù)和抗擊能力。

三、電子政務(wù)信息安全措施

1.設(shè)備的物理安全。物理層的安全設(shè)計(jì)應(yīng)從三個(gè)方面考慮:環(huán)境安全、設(shè)備安全、線路安全。采取的措施包括:機(jī)房屏蔽,電源接地,布線隱蔽,防雷。根據(jù)中央保密委有關(guān)文件規(guī)定,凡是計(jì)算機(jī)同時(shí)具有內(nèi)網(wǎng)和外網(wǎng)的應(yīng)用需求,必須采取網(wǎng)絡(luò)安全隔離技術(shù),在計(jì)算機(jī)終端安裝隔離卡或安裝安全網(wǎng)閘,使內(nèi)網(wǎng)與外網(wǎng)之間從根本上實(shí)現(xiàn)物理隔離,防止涉密信息通過外網(wǎng)泄漏。

2.信息的加密。電子政務(wù)應(yīng)用涵蓋政府內(nèi)部辦公和面對(duì)公眾的信息服務(wù)兩大方面。就政府內(nèi)部辦公而言,電子政務(wù)系統(tǒng)涉及到部門與部門之間、上下級(jí)之間、地區(qū)與地區(qū)間的公文流轉(zhuǎn),這些公文的信息往往涉及不宜公開的和有密級(jí)的內(nèi)容。因此,在信息傳遞過程中,必須采取適當(dāng)?shù)募用芊椒▽?duì)信息進(jìn)行加密?？刹捎枚喾N加密方式:a.基于IPsec的加密方式正被廣泛采用,其優(yōu)點(diǎn)顯而易見:IPsec對(duì)應(yīng)用系統(tǒng)透明且具有極強(qiáng)的安全性,這一點(diǎn)對(duì)于要開發(fā)龐大應(yīng)用的電子政務(wù)來說,就顯得極有好處了,應(yīng)用系統(tǒng)開發(fā)商不必為數(shù)據(jù)傳輸過程中的加密做過多的考慮,易于部署和維護(hù)。b.采用VPN技術(shù)在公共數(shù)據(jù)網(wǎng)上進(jìn)行內(nèi)部信息的安全傳輸。其優(yōu)點(diǎn)是只增加端設(shè)備避免了重復(fù)建設(shè)。c.采用公鑰基礎(chǔ)設(shè)施技術(shù)(PKI)為基礎(chǔ),以數(shù)據(jù)機(jī)密性、完整性、身份認(rèn)證和行為的不可否認(rèn)為安全目的為電子政務(wù)提供安全支持。

3.操作系統(tǒng)的安全性。網(wǎng)絡(luò)安全的重要基礎(chǔ)之一是安全的操作系統(tǒng),因?yàn)樗械恼?wù)應(yīng)用和安全措施都依賴操作系統(tǒng)提供底層支持。操作系統(tǒng)的漏洞或配置不當(dāng)將有可能導(dǎo)致整個(gè)安全體系的崩潰。更危險(xiǎn)的是,我們無法保證國外廠家的操作系統(tǒng)產(chǎn)品不存在后門。在操作系統(tǒng)安全方面,有兩點(diǎn)是值得考慮的:一是采用具有自主知識(shí)產(chǎn)權(quán)且源代碼對(duì)政府公開的產(chǎn)品;二是利用漏洞掃描工具定期檢查系統(tǒng)漏洞和配置更改情況,及時(shí)發(fā)現(xiàn)問題。

4.數(shù)據(jù)備份與容災(zāi)。任何的安全措施都無法保證數(shù)據(jù)萬無一失,硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份,并且最好是異地備份。

5.管理制度的完善。電子政務(wù)網(wǎng)絡(luò)內(nèi)部安全和外部安全一樣重要,內(nèi)部安全除了需要體系化的安全防御策略,還需要嚴(yán)格的、可操作性強(qiáng)的安全管理制度。制度的制訂首先要規(guī)范,其次要強(qiáng)調(diào)制度的強(qiáng)制性、法規(guī)約束力和可操作性,同時(shí)進(jìn)行安全宣傳教育,增強(qiáng)安全意識(shí)的培養(yǎng)和信息安全知識(shí)的普及這樣才能保證制度的真正貫徹和執(zhí)行加強(qiáng)。

6.建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案。網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案是安全管理制度的一個(gè)重要部分,這里單獨(dú)來討論,主要是考慮到其重要性。事前有預(yù)案,一旦發(fā)生安全事件,就可以觸發(fā)相應(yīng)的預(yù)案處理程序,在最短的時(shí)間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù)和信息服務(wù),力求把安全事件的破壞力降到最低?！?編輯/李舶)