电子政务的安全范文

导语：如何才能写好一篇电子政务的安全，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

[关键词]电子政务；信息安全

随着计算机网络技术和Internet技术的飞速发展和广泛应用，电子政务在政府实际工作中已经发挥了越来越重要的作用。由于电子政务的业务范围包括政府机关内部的信息，也包括机关内部部门之间一定范围内交流的信息，还包含可以公开的信息。因此如何保证这种基于网络的、符合Intenet技术标准的、面向政府机关内部和社会公众提供信息服务和信息处理的系统安全、正常运转，是电子政务建设的关键。

一、电子政务的安全架构

由于电子政务中的部分信息涉及国家秘密、国家安全，因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向，是为社会提供行政监管的渠道，为社会提供公共服务，同时又需要一定程度的开放。所以，解决电子政务安全问题应从物理安全设计、网络安全设计、信息安全管理等多角度、全方位考虑。

二、系统设计安全

1．物理层安全解决方案：自然环境事故，电源故障，人为操作失误或错误，电磁干扰，线路截获等，都可以对信息系统的安全构成威胁，因此，如何保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理层的安，全设计应从环境安全、设备安全、线路安全三个方面来考虑。采取的主要措施包括：机房屏蔽，电源接地，布线隐蔽，传输加密。另外，根据中央保密委有关文件规定，凡是计算机同时具有内网和外网的应用需求，必须采取网络安全隔离技术，在计算机终端安装隔离卡，使内网与外网之间从根本上实现物理隔离，防止信息通过外网泄漏。

2．数据链路层安全解决方案：主要是利用VLAN技术将内部网络分成若干个安全级别不同的子网，从而实现内部一个网段与另一个网段的隔离。有效防止某一网段的安全问题在整个网络传播。

3．网络层安全解决方案：①防火墙技术建议：防火墙是实现网络信息安全的最基本设施，采用包过滤或技术使数据有选择的通过，有效监控内部网和外部网之间的任何活动，防止恶意或非法访问，保证内部网络的安全。②入侵检测技术(IDS)建议：IDS是近年出现的新型网络安全技术，通过从计算机网络系统中若干关键节点收集信息并加以分析，监控网络中是否有违反安全策略的行为或者是否存在入侵行为，它能提供安全审计、监视、攻击识别和反攻击等多项功能，并采取相应的行动如断开网络连接、记录攻击过程、跟踪攻击源、紧急告警等，是安全防御体系的一个重要组成部分。

4．应用层安全解决方案：根据电子政务专用网络的业务和服务内容，采用身份认证技术、防病毒技术以及对各种应用的安全性增强配置服务来保障网络系统在应用层的安全。①身份认证技术：公共密钥基础设施(简称PKl)是由硬件、软件、各种产品、过程、标准和人构成的一体化的结构，正是由于它的存在，才能在电子事务处理中建立信任和信心。PKI可以做到：确认发送方的身份；保证发送方所发信息的机密性；保证发送方所发信息不被篡改；发送方无法否认已发该信息的事实。公钥基础设施是电子政务在技术上和法规上最重要的基础设施之一，它以公开密钥技术为基础，以数据机密性、完整性、身份认证和行为的不可否认为安全目的。从电子政务的发展看，为了确保政务的安全可靠运行和政府通信的保密和安全，应该由政府来规划和组建专门为政府部门服务的“证书管理机构”。②防病毒技术：计算机病毒对电子政务系统安全威胁很大。但是一般情况，病毒总有一段时间的潜伏期。如果在其发作之前，就采取了清除措施，则可以避免或减少危害。所以发现病毒是关键。对于电子政务系统维护人员，应树立“预防为主，治预结合”安全防范意识。

5．系统层安全解决方案：系统层安全主要包括两个部分：操作系统安全以及数据库安全。操作系统是电子政务的基础平台，应根据计算机系统评级准则要求，对操作系统安全加固，提高操作系统的安全级别。对于重要的应用信息系统和数据库系统，除了对操作系统加固外，还应将数据库系统和应用系统加固，这样整个信息系统的安全性才有比较根本的保障。对于操作系统的安全防范，可以采取如下策略：尽量采用安全性较高的网络操作系统并进行必要的安全配置；关闭一些不常用却存在安全隐患的应用；对一些保存有用户信息及其口令的关键文件如UNIX下的etc/host、shadow、group等，Windows NT下的SAM、LMHOST的使用权限进行严格限制；加强口令编排的保密性；及时给系统打补丁；配备操作系统安全扫描系统，并及时升级系统。

数据库管理系统应具有如下能力：自主访问控制(DAC)：用来决定用户是否有权访问数据库对象；验证：保证只有授权的合法用户才能注册和访问；授权：对不同的用户访问数据库授予不同的权限；审计：监视各用户对数据库施加的动作；数据库管理系统应能够提供与安全相关事件的审计能力。

6．应急预案。如果电子政务信息系统缺乏有效的安全管理体系和数据备份，一旦信息网络出现意外事故，将对长期积累的网络信息造成灾难性损失，并且会束手无策。所以，要尽快建立网络安全管理中心和数据备份中心，健全灾难恢复与紧急响应机制，加强管理，确保信息网络的数据安全和运行安全。建立电子政务网络安全事件预警与应急响应体系，通过整体部署入侵检测与预警系统作为有效的技术手段，建立以客户安全队伍为基础、技术服务队伍为后备的组织管理、预案流程、制度规范等综合措施，以便尽早对有重大危害的计算机和网络安全事件进行发现、分析和确认，并对其进行响应，以降低可能造成的风险和损失的综合安全体系。

综上所述，由于电子政务的最终目标是建设政府办公自动化、面向决策支持、面向公众服务的资源共享的综合信息系统，它涉及诸多方面，包括技术、设备、各类人员、管理制度、法律等，需要在网络硬件及环境、软件和数据、网际通讯等不同层次上实施一系列的保护措施。应该坚持“安全为先，应用为本，整体规划、稳步发展”的思路，推进我国电子政务健康、有序发展。

参考文献：

[1]邓长春．浅谈网络信息安全面临的问题

和对策[J]．网络天地，2005，(7)．

[2]刘洋．浅谈信息安全[J]．科技咨询导报，

2007，(8)．

[3]冯卓，任然． 信息安全的现阶段问题分

析与发展动向[J]． 安全与环境学报，

2007，(4)．

[4]段海新，吴建平． 计算机网络安全体系

篇2

关键词：电子政务系统；信息安全问题；安全策略；应用

前言

作为信息技术发展的产物，电子政务系统具有明显的便捷性、高效性等特征，被广泛应用于社会生产生活活动中。但现行电子政务系统应用中，因安全技术、有效管理的缺失，使系统运行中的信息安全难以得到保障，一旦系统受到恶意攻击，将会有大量数据信息泄露，其造成的损失很难被估量。因此，文章对安全策略在电子政务系统中的应用研究，具有十分重要的意义。

1 电子政务系统安全问题分析

1.1 从硬件设备角度

尽管现行电子政务系统逐渐被用于个国内较多领域中，但由于其中所选用的信息设备大多以进口为主，这样系统安全很难得到保障。以计算机芯片为例，较多电子政务系统设计中对其应用仍以进口芯片为主，而国内在硬件设备生产方面却表现出明显的滞后性，真正具有自主知识产权的硬件设备少之又少。这种情况下，电子政务系统应用中便可能出现被监视、干扰或窃听等问题，信息安全难以得到保证。

1.2 从软件技术角度

软件系统综合性能是影响信息安全问题的关键性因素。一般软件在在设计中便会有一定的缺陷存在，这些缺陷便成为入侵时的后门系统，系统中的信息都可能被窃取。例如，当前较多领域中所应用的操作系统多以Windows为主，其包含的较多软件技术都存在较多漏洞。有学者在研究统计中发现，这软件系统，至少有5-15个逻辑错误存在于每1000行代码中，充分说明软件系统自身的漏洞极为明显，当有木马病毒或其他恶意攻击方式出现时，软件系统很容易被攻破，最终造成信息安全问题产生。

1.3 从组织管理角度

电子政务信息安全问题的产生并非完全归因于技术方面，假若系统应用中缺少相应的安全防范机制，也难以使信息安全得以保证。以现行较多单位计算机系统的应用管理为例，机房随意出入、敏感信息随意在本地磁盘中存储，这样都会将信息置于未保护状态，安全隐患问题极为明显。此外，内部安全威胁也是影响信息安全的主要原因，较多系统管理人员在利益驱使下，极易利用自身的权限对系统信息进行提取，甚至直接将病毒植入于系统中，系统程序设置由此发生改变，带来的损失很难被估量[1]。

2 安全策略在电子政务系统信息安全中的应用

2.1 信息安全问题解决中的安全技术策略

针对当前电子政务系统运行中的安全问题，需采用相应的安全技术策略以使其得以解决。实践中，首先可考虑公网隔离措施。由于电子政务系统运行时，多处于外网与内网互通现状，此时便需考虑采取隔离措施，如防火墙技术的应用，或路由访问策略的引入，其对于外部访问可直接依托静态路由进行控制。其次，需采用安全与间隔离措施。电子政务系统本身包含较多部分，各部分保持一定的关联，假若有安全隐患存在，很可能使所有关联部分受到威胁，要求采取隔离安全域措施，使不安全隐患得以有效控制。再次，电子政务系统设计中需做到按需配置。对于系统被恶意攻击的有效控制，常采用路由控制、访问控制、数字签名、加密等方式，尽管控制效果较为明显，但同时运行这些服务中很容易对系统综合性能带来影响，因此在引入这些服务时需结合电子政务系统实际情况。最后，进行密钥分配中心的构建。其主要对不同网络层次进行访问控制的设计，并进行密钥管理重心的构建，使密钥的传输、存储得以保障。除此之外，在安全技术策略方面，还需做好远程访问控制、网络安全测试等工作，这样才可在技术方面实现信息安全问题解决的目标[2]。

2.2 信息安全问题解决中的相关管理策略

对于当前电子政务信息安全中的管理问题，在解决中首先应进行工作组织体系的构建。该体系在构成上包括：

（1）技术支持。该体系可选择由专业企业、科研机构等组成，针对相应的技术难题提出相应的解决策略；

（2）专家组织体系。其作用在于为电子政务系统应用中的安全问题提供咨询服务；

（3）行政组织体系。该体系在构成上主要为各专业机构人员、政府部门人等，负责监督、检查与协调等工作。其次，应在基础设施建设方面不断加强。其中的基础设施除表现在国家相关部门的信息测评、安全监控以及应急救援外，也要求在硬件与软件方面不断开发，使电子政务系统设计中应用更多拥有自主知识产权的国内产品，有利于提升信息安全水平。此外，政府部门也需加大信息安全管理力度，针对当前电子政务信息系统应用中出现的恶意攻击、非法窃取等行为，需给予严厉的惩处措施，为电子政务信息的安全提供保障[3]。

3 结束语

信息安全问题是影响电子政务系统安全可靠运行的关键因素。实际解决信息安全问题中，应正确认识当前系统运行中的硬件设备、软件系统以及组织管理方面存在的问题，从技术安全策略的引入以及相关管理策略的应用着手，使信息安全问题得以有效处理，进而提升电子政务系统的应用水平。

参考文献

[1]潘荣坤.电子政务系统的信息安全问题及其对策研究[J].电子政务，2010，6：83-88.

篇3

1.1非法入侵

非法入侵指黑客、破坏者或少数网络用户非法访问电子政务内部网络，并植入带有破坏性的代码，如蠕虫、恶意内容和病毒等。常见的有，内网用户浏览互联网站或下载文件，在未知的情况下，被安装恶意插件和病毒，继而在网内传播。所以，病毒成为网络信息安全的另一个重要威胁，它不仅破坏数据和程序，还会严重影响网络传输效率，甚至破坏设备，导致电子政务内网全面瘫痪。

1.2内网系统本身漏洞

尽管网络技术迅速发展，安全保密功能越来越强，但不可避免地还存在着安全缺陷和漏洞，如操作系统漏洞、应用软件漏洞、数据库系统漏洞、网络结构漏洞等。在操作系统层面，如UNIX服务器、NT服务器及Windows7等均存在大量的安全漏洞；在用户应用软件层面，其安全性能主要取决于开发应用软件过程中对安全问题的设计与实现，如商家提供的OA系统大都是克隆产品，功能不完善，运行中会出现数据丢失等问题[1]。因此，这些漏洞的存在极易为入侵者利用，形成较大的安全隐患。

1.3内部人员泄密

最重要的安全威胁来自网络内部，由于好奇误操作或泄愤，内部人员有意或无意的将只允许在局域网内部使用的数据信息泄漏到单位外部，或者内部人员窃取管理员用户和密码，非法进入内部核心系统获取重要数据，这些都对政府关键信息的安全和完整性构成了严重威胁。

1.4用户安全意识薄弱

网络用户的安全意识属于非技术层面的、是隐性的，它比表面的技术难题更难克服。主要表现在人们对信息安全保密的认识不足，潜意识里对安全的理解和关注不足，单位领导层对安全基础设施的利用和资金投入不足等。比如，一些内网人员安全意识淡薄，长期未能更新杀毒软件或关闭防毒功能，随意在办公设备上使用私人移动存储载体，将单位内部文件拷贝到私人电脑方便在家办公，或私人电脑未经许可接入内网传递信息等，这些都会使电子政务内网处于危险之中。

2、电子政务内网安全解决方案

针对以上现状，政府部门应该如何增强内网的防卫能力、加强内网自身安全管理，确保内网信息安全是急需解决的问题。本文提出了如下几种电子政务内网解决方案。

2.1网络防火墙技术

网络防火墙技术是一种用来加强网络之间的访问控制，防止外网用户以非法手段进入网络内部，保护内网操作环境安全的技术。在电子政务内网加上防火墙，使得在传送信息时，按照一定的安全策略实时检查，监视网络的运行状态，从而实现电子政务内网安全数据传送。在防火墙产品的开发中，人们广泛应用了计算机操作系统、网络拓扑、路由、加密、访问控制等成熟的技术和手段。目前的防火墙产品有屏蔽主机防火墙、包过滤路由器、堡垒主机、应用层网关以及电路层网关等类型。

2.2网络加密技术

在Internet上传输文件或进行邮件往来，会存在着很多不安全的因素，尤其是政府的一些重要机关和部门。因此，要解决该问题，就需要使用网络加密技术，通过加密保护机密文件不被非法窃取和阅读。有关加密一般有两大类技术：对称式和非对称式。对称式加密指加密和解密使用同一个密钥；相反，非对称式加密指加密和解密使用不同的密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个需要配对使用，否则不能打开加密文件。这里的公钥是指可以对外公布的，私钥则只有持有者自己知道。在网络上，对称式的加密方法很难公开密钥，而非对称式的公钥是可以公开的，不怕别人知道，收件人解密时只要用自己的“私钥”即可以，这样就很好地避免了密钥的传输安全性问题。

2.3漏洞扫描

在任何一个电子政务内网上，都会存在着安全脆弱点和安全隐患，人工测试每台客户机的这些脆弱点要花数天时间，因此开发出适合本系统的漏洞扫描是非常必要的，从而提高漏洞扫描和修复的效率。漏洞扫描程序利用可得到的常用网络攻击方法，并把它们集成到整个扫描中，输出的结果格式统一，查询TCP/IP端口，记录目标的响应，收集关于某些特定项目的有用信息，如正在进行的服务，拥有这些服务的用户，是否支持匿名登录，是否有某些网络服务需要鉴别等。根据漏洞扫描技术的不同分为：HTTP漏洞扫描、POP3漏洞扫描、FTP漏洞扫描等，这些扫描是将扫描结果与漏洞库进行比较，从而得到系统的漏洞信息。另外，还有根据扫描的对象不同分为：基于主机的扫描和基于网络的扫描；根据扫描的方式不同分为：主动扫描和被动扫描。

2.4硬件防护

在硬件上，应尽可能的杜绝一切外来的安全隐患。对内网所有机器设置BIOS密码，并在BIOS中屏蔽掉所有机器的USB口，如需在机和非机之间传递信息，可以设置一台专用的“裸机”，也就是说它不与任何网络连接，在安全层面相对可靠，内部人员可以通过该机上已加密的刻录光驱读写光盘数据，实现机和非机的数据交换。“裸机”由指定的管理员负责，系统为安全性能较高的UNIX系统，并装有防护管理系统终端，这样通过加密光盘读写数据，大大降低了电子政务内网中的风险。

2.5加强内部人员的安全意识

加强内部人员的安全意识，首先要从提高人们对网络安全的认识做起，了解相关的网络安全法律、法规，时刻牢记单位下发的安全条令，维护好自己的办公机器，比如经常打打补丁，升级杀毒软件，整理磁盘等。另外，员工也应认识到防火墙、杀毒软件不是万无一失的，网络安全防卫体系不可能一劳永逸的防范任何攻击，应时刻保持清醒头脑，注意病毒和黑客行为，这样才能有效的应对各种网络安全攻击。

篇4

随着电子政务的飞速发展，其承载的政府管理和服务系统日趋庞杂，这就对电子政务网络系统的安全性提出了更高的要求。因此，建立与网络信息安全相适应的安全策略和安全设施，构筑完整的网络安全体系，是电子政务发展的一个重要内容。

2 电子政务网络面临的安全问题

（1）网络的规划缺乏合理性。由于技术和资金投入方面的原因，电子政务网络在规划建设时往往会在一些方面缺少前瞻性的考虑，而随着电子政务应用需求的与日俱增，这些问题直接表现为网络在功能上和性能上的相对滞后。

（2）网络病毒问题比较突出。病毒问题对电子政务网络的安全应用造成了很大的威胁，在实际中往往会忽视全网防毒的重要性，并且对未知病毒的防范上缺乏必要的措施。

（3）网络攻击事件日益增多。随着网络攻击技术的发展，对电子政务网络的攻击行为日益增多，包括物理通路窃听、链路数据被截获、非法用户入侵、政府网页被恶意篡改等等，都对电子政务网络的安全性提出了更高的要求。

（4）灾难恢复机制不够完善。在电子政务网络建设中，存在着单点故障的隐患，这些都是电子政务网络在安全防范和恢复能力方面存在的薄弱环节。

（5）网络安全管理相对滞后。电子政务网络的安全三分靠建设、七分靠管理，而在目前的电子政务网络建设中，与网络安全相关的规范、措施、预案相对较少，安全管理的意识还很淡薄。

3安全体系的设计

电子政务网络安全是个复杂的综合性问题，不能简单地理解成为一些安全产品的集合，而是要形成体系化的建设，可以从安全技术和安全管理两个方面实现：

（1）安全技术

安全技术是实现电子政务网络安全最直接、最普遍的方法，因而在电子政务网络安全保障上应考虑以下安全技术的应用：应用防火墙技术，隔离内外网络、控制访问权限，防止非法访问和恶意攻击；应用主动入侵防御技术保护核心服务器和内部网络，进行深层防御、精确阻断；应用安全扫描技术主动探测网络安全漏洞，进行网络安全评估，保持网络系统安全的一致性和连续性；应用审计技术对业务数据流和人员上网行为进行审计，防止网络滥用情况的发生，进一步规范上网行为；应用流量分析技术，优化网络带宽，实现网络资源和网络应用的可控制性；应用网络负载均衡技术，提高不同网络之间访问速度；应用统一管理技术，实现对网络设备、服务器和基础设施的统一监测管理。

（2）安全管理

网络安全的核心是安全管理，安全管理是确保安全技术得以有效实施的保障，可以考虑两方面的措施：一是制定本地区、本部门的电子政务网络安全管理规范，充分发挥网络在信息化建设中的基础性作用，促进信息化建设健康、快速、协调发展；二是制定电子政务网络突发事件应急预案，建立起完善的电子政务网络系统保障和恢复应急工作机制，有效预防、及时控制和最大限度地消除突发网络事件的危害和影响，确保电子政务网络系统的安全、稳定运行。

4安全体系的建设原则

（1）完整性。单一的技术手段或管理手段对安全问题的发现、处理、控制等能力各有优劣，所以应该从整体安全性的角度考虑需要不同安全策略和安全设施之间的安全互补，提高对安全事件响应的准确性和全面性。

（2）经济性。安全体系建设要因地制宜，从本地区、本部门电子政务网络建设发展的实际出发，根据对安全方面的需求，制定合理的保护策略，使安全和投资达到均衡，做到低投入、高产出。

（3）动态性。网络的安全是一个全动态的过程，无论是安全产品的选用，还是安全策略的制定，都必须具有延续性和前瞻性，能够针对新的安全需求，不断地进行技术和设备的升级换代，进行安全策略的调整，以适应新的发展需要。

（4）标准性。在电子政务网络安全体系建设中，要遵守国家标准、行业标准以及国际相关的安全标准，这是构建系统安全的保障和基础。

（5）可操作性。安全体系的任何一个环节都应该有很好的可控性，包括安全产品的易用性、安全技术手段的针对性、安全管理制度规范的可实施性，确保安全体系建设能收到良好的实际效果。

5 结束语

网络安全是相对的，安全体系的建设也并非一劳永逸。随着电子政务的进一步发展，必然会对网络安全提出更高的要求，这就需要用动态的、前进的、创新的眼光来认识安全，定期进行安全评估、合理运用安全技术、加强安全管理措施，建立起更加完善的电子政务网络安全体系。

参考文献

篇5

关键词:安全技术;政府;电子政务;虚拟专用网技术

中图分类号:文献标识码:A文章编号:1009-3044(2010)21-5962-02

The Establish and Maintain of The E-government System Based on Security Technology

TANG Fang1, XU Ping2

(1.Jingmen Branch of Chutian Radio & Television Information Network Company of Hubei Province, Jingmen 448000, China; 2.Jingmen Branch of China Construction Bank, Jingmen 448000, China)

Abstract: With China's reform and opening up step by step and the deepening of the functions of government services, the development of e-government has become an important ways for theGovernment to increase the capacity of public services and national capacity for comprehensive management. This paper analyzes and discusses the main e-government technology and related network security based on the principles, put forward a number of technology for building on the multi-level e-government network security solutions.

Key words: security technologies; government; E; virtual private network

随着我国改革开放的逐步推进与政府服务职能的加深,发展电子政务已成为政府提高社会公众服务能力与国家综合治理能力的重要手段。然而在电子政务建设大踏步向前迈进的过程中,随之而产生的问题也越来越急待解决,电子政务的安全便是首要问题。比如计算机病毒的传播更是安全性的巨大威胁之一,病毒一旦发作,轻则破坏文件、损害系统,重则造成网络瘫痪。某某市某局正是在此背景下对本局机关的电子政务系统进行重新设计和实施的。

1 项目背景与目标

1.1 项目背景

某某市某局现有使个局直属单位,各单位分布在某某市各区,与局机关大楼不在同一物理地点,共五个办公区。该局局机关启用电子政务系统后,因为各局属单位的公文仍通过传统的手工方式交换,显然跟不上信息化发展的需要,也严重地影响了该局日常办公的需要。为满足该局信息化发展的需要,由于该局的电子政务系统只涉及工作秘密不涉及国家秘密,可以运行在政务外网。2008年度,经请示上级部门同意,将政务内网的电子政务系统迁移到政务外网,并实现与局属各单位进行公文在线交换。为实现此功能,首先要实现与各单位网络的互联互通并确保信息传输的安全保密性和完整性。

1.2 系统安全分析

该局电子政务网络系统内网与外网完全物理隔离,该局电子政务内网自成体系,不与任何外部系统交互,内网相对安全,信息不容易泄漏,但同时该网也成了一个信息孤岛,与外部系统的数据交换很不方便。不过在现有的网络结构及应用模式下,外网网络安全几乎是不设防,可能存在的主要安全风险如下:

1)网络设备节点自身安全风险:网络设备是网络数据传输的核心,是整个网络的基础设施,各种网络设备本身的安全与可靠性以及这些设备上应用策略的安全都需要进行合理的配置才能够保证。尤其是核心层的三层交换机,单点故障的风险比较大,万一出现故障整个网络将完全瘫痪。

2)网络层有效的访问控制的风险:网络结构越来越复杂,接入网络的用户也越来越多,必须能够在不同的网络区域之间采取一定的控制措施,有效控制不同的网络区域之问的网络通信,以此来控制网络元素间的互访能力,避免网络滥用,同时实现安全风险的有效隔离,把安全风险隔离在相对比较独立以及比较小的网络区域。

3)网络攻击行为检测和防范的风险:由于TCP/IP协议的开放特性,带来了非常大的安全风险,常见的IP地址窃取、IP地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击等;由于Internet的开放性,对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,因此应引起足够警惕,采取安全措施,应对这种挑战。在改造前的网络结构中可以看到Internet接入点还是在内部业务系统和下属单位的接入点都没有任何防护措施,网络中存在极大的安全风险。

4)应用层威胁:各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合形成复合型威胁,使威胁更加危险和难以抵御。这些威胁直接攻击用户核心服务器和应用,给用户带来了重大损失。

5)控制非法访问的风险:在建设网络安全体系中,身份认证始终是不可忽视的环节,没有良好的身份认证体系,其他的任何安全措施都是没有意义的。

2 系统安全解决方案

本方案主要是遵循事前防范、事中监控、事后审计的思想进行设计,同时结合其他传统的网络安全措施,提出一套新型的基于VPN技术的安全电子政务网络系统解决方案。

2.1 访问控制

访问控制是最基本的安全措施之一,随着网络结构复杂程度的不断增加,应用系统的不断增多,人们已经逐渐认识到保护网上敏感资源的重要性,而旧的访问控制技术有着诸多的管理弊端,已经不能满足用户的要求,因此需要寻求一种有效的手段或方法。本系统采用大安全域隔离。首先把外网划分为内外安全域两大区域,即核心数据域与办公区域,中间用物理网闸隔离,使得核心数据域与办公区域物理隔离,办公区域中的客户端要访问核心数据域中的应用,数据内容必须经过严格过滤和摆渡交换,切实保护工作秘密的安全。

2.2 防火墙的部署

防火墙的主要思想是在内外部网络之间建立起一定的隔离,控制外部对受保护网络的访问,它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁,只有允许的应用协议才能通过防火墙,所以网络环境变得更安全。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和公众网之间的任何活动,保证了内部网络的安伞。因此通过在该局办公区域访问互联网的边界部署一台防火墙,既起到逻辑隔离的作用,又能有效控制办公区域和互联网之间的通讯安全。为了更有效地控制办公区域的用户端上网行为,本系统在防火墙前面部署了一台LINUX服务器,给防火墙前而设置多了一道天然的屏障,而且通过缓存机制间接地提高了访问互联网的速度。

2.3 入侵检测系统的部署

虽然通过防火墙可以隔离大部分的外部攻击,但是仍然会有小部分攻击通过正常的访问漏洞渗透到内部网络,据统计有70%以上的攻击事件来自内部网络,也就是说内部人员有意或无意的攻击,而这恰恰是防火墙的盲区。入侵检测系统可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复、断开网络连接等,及时地发现异常地网络流量或安全隐患,尽早采取措施、排查隐患,避免安全事故的进一步扩大。

3 结束语

电子政务信息安全建设是一项复杂、庞大的工程,电子政务安全是一项动态的、长期的、整体的系统工程,需要周密的设计和部署。在电子政务网络安全体系的构建中除了要有上述的各种技术手段,更需要严谨的管理手段。

参考文献:

[1] 威特曼.信息安全原理[M].北京:清华大学出版社,2006.

[2] 雪家.信息安全工程技术研究中心,电子政务总体设计与技术实现[M].北京:清华大学出版社,2004.

篇6

关键词：电子信息安全；电子政务；风险评估；风险管理

一、电子政务信息安全风险的来源

以Internet为代表的计算机网络本身就存在安全隐患是毋庸置疑的，加之电子政务系统对Internet的依赖性及其自身的特殊性决定了其安全问题的多层次性、重要性和迫切性。

二、电子政务信息安全风险的评估

（一）风险评估的几种基本方法

第一，定量评估方法。定量的评估方法是指运用数量指标来对风险进行评估。定量方法的优点是，传递的信息量大。其缺点是，量化使本来比较复杂的事物简单化、模糊化了，有的风险因素被量化以后还可能被误解和曲解。第二，定性评估方法。定性的评估方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。定性评估方法的优点是可以挖掘出一些蕴藏很深的思想，使评估的结论更全面、更深刻；但它的主观性很强，对评估者本身的要求很高。第三，定性与定量相结合的综合评估方法。风险评估是一个复杂的过程，需要考虑的因素很多，有些评估要素是可以用量化的形式来表达，而对有些要素的量化又是很困难甚至是不可能的，所以应采用定性与定量相结合的评估方法。定量分析是定性分析的基础和前提，定性分析则是灵魂，是形成概念、观点和得出结论所必须依靠的。

三种风险评估的分析方法如下图所示：

（二）电子政务信息安全风险评估方法

在电子政务风险评估中，OCTAVE方法得到较多应用。然而，OCTAVE是一个相对不太灵活的评估方法。在此方法的实施过程中，只提供一种原则，选择一个目标，建立一个工作小组。一旦选取了原则，其他的工作组也必须使用已经存在的原则去处理他们所面对的问题。然而每一个小组的运行模式也许是不同的，一些会注重数量，而另一些会注重质量。杜人杰以改进的OCTAVE方法为起点，结合AHP与FTA提出了电子政务信息安全的三元集成方法，对单纯的OCTAVE方法进行了改进。汤志伟提出采用“可操作的关键威胁、资产和弱点评估”模型作为理论依据，利用层次分析法确定权数，以主观概率来描述指标的隶属度，建立了电子政务信息系统风险的模糊综合评估方法。

此外，应用集成的风险研究方法也被应用到电子政务中。此方法将网络系统中的安全防护分为两个方面：一是网络系统中存储和传输的信息数据；二是网络系统中的各类设备。这样，既保证了政务业务的正常运行，同时又防止信息数据被非授权访问者的窃取、篡改和破坏。应用集成的研究方法只是从微观上进行了评估，将绝大部分注意力主要集中在来自硬件等技术层面的风险，没有把重点放在管理上。

三、电子政务信息安全风险的管理策略

（一）树立政务安全的基本观念，避免进入“绝对安全”的误区

安全的界定随着时间、地点的不同而变化，信息安全是一种没有底线的风险游戏。对电子政务而言，系统的安全策略总不可能保证绝对的安全，因为对任何技术或安全策略来讲，给人足够的时间都是可以攻破的。因而，我们在进行电子政务安全建设和管理中首先要树立相对的安全观，在现有条件下可以保证该保护的系统和信息资源的安全就是最好的安全。盲目追求“绝对的安全”，到头来既会造成投资的浪费，也会使该保护的没有保护好，无法发挥安全系统的最好效用。

（二）加强政府部门的管理职能，保障信息安全管理的有效性

政府相关部门应当联合制订信息化建设的网络与信息安全专项资金政策，保证信息安全投资应占总投资的 15%-25%之间；同时由政府制定强制性的网络与信息安全装备监督检查政策并进行监督检查。要全方面地对信息安全服务商的资质能力制订相应标准与行政监管措施，推行安全服务资质和进入市场的信息安全产品和集成的信息化项目的强制性安全认证。

（三）全面提高用户自身管理水平，减少信息风险的入侵

各部门、各行业、各单位等用户是信息化建设的主体，也是网络与信息安全保障体系建设的主体，能否全面提高用户信息安全管理的意识和水平，决定着网络与信息安全保障体系能否真正建成。要通过政府引导，有关执法部门加强管理和宣传教育，促进各类用户建立信息安全管理机构，认真执行国家有关政策法规，推行标准化，采用技术措施，制定规章制度，配备和培养有关人员，选择合格服务商等，全面提高其安全管理水平。鉴于此，建立高水平的研究教育环境，加强信息安全基础理论研究，培养大批高素质的信息安全人才显得尤其重要。

（四）重视安全风险分析评估，做到“早发现早治疗”

安全利益与风险是整个网络与信息安全保障体系的核心。只有了解、分析、评估和确定各部门、各行业、各单位的安全利益与风险，包括确定其安全利益与风险的大小，才能有效合理地配置有关技术、管理、人员等资源去实施保护，才能合理确定所利用资源的多少和保护强度的高低等。因此，网络与信息安全保障体系中最基础的工作是建立信息安全利益与风险分析评估体制。

参考文献：

篇7

关键词：电子政务；信息安全；安全视图

中图分类号：TP311文献标识码：A 文章编号：1009-3044(2008)25-1417-03

Three Dimension Multi-view Structure E-government Security System Model

LIU Ying

(Computer Sciences School, Panzhihua University, Panzhihua 617000, China)

Abstract: Combining with space-time characteristics, the paper used method of software architecture in software engineering and proposed a security system model for E-government which has multi-view 3D layout. It attempted to provide a conceptual framework for analysis and design ofsecurity system for E-government.

Key words: e-government; information security; safety view

1 引言

电子政务是基于互联网的面向政府机关、企业以及社会公众的信息服务和信息处理系统，它是一种集通信、计算机和信息处理为一体的复杂信息系统，其安全问题涉及的内容非常广泛，包括物理安全、网络安全、数据安全、信息内容安全和信息基础设施安全等多个方面。网络管理领域的经验教训表明，单从局部的对象和信息环境来考虑复杂信息系统的安全问题是远远不够的，而应该从体系结构的层面上全面而系统地加以研究[1]。

安全体系结构理论就是要从整体上解决信息系统的安全问题，但现有的安全体系结构模型，对信息系统的时间和空间特性考虑不足，本文结合信息安全的时空特性[2]，利用软件工程领域关于软件体系结构的研究方法，提出了一种三维多视图结构的电子政务安全体系模型，试图为电子政务安全体系分析和设计提供了一个概念框架。

2 信息安全的时空特性

Internet是一个开放的复杂巨系统[3]，而信息安全保障体系也是一个复杂巨系统[4]，复杂巨系统中的复杂主要体现在：一是子系统的种类繁多；二是系统的层次复杂；三是子系统之间相互联系与作用很强。因此，信息安全的研究非常复杂，特别是面对现在的复杂网络环境，需要在复杂系统理论和方法上有所突破。下面从时间和空间两个角度分析信息安全的特点。

2.1 信息安全的空间特性

信息系统的构成从空间上看具有横向分布、纵向层次化和结构异构等特点。

2.1.1 横向分布

网络化使得信息系统的组成呈现地域分布的特点，小到局域网，大到城域网、广域网，它们都以高度分布为其特征，特别是现代的Internet和一些Intranet都是分布极其复杂的网络。信息系统的横向分布结构内部也包含有层次，这种层次是拓扑结构上的层次，一般与信息系统的管理机构的管理特点密切相关。如：主干网、区域网、局域网等。对分布式的复杂网络环境来说，网络拓扑上的分布层次也是比较复杂的。

2.1.2 纵向层次

任何网络，无论横向分布结构如何，也不论规模大小，其中的网络设备，也就是网络拓扑结构中的节点，都呈现出由上而下的层次特征。ISO/OSI参考模型是这种网络处理层次特征的最好抽象，尽管ISO的七层模型不一定在实际的网络设备中全部得到反映，实际应用的TCP/IP模型与OSI模型存在一种大致对应关系。处理的层次化最大的益处是简化了复杂的网络通信问题研究，使系统互连建立起共同的基础。网络处理的纵向层次化也为层次化的信息安全技术研究提供了基础。

2.1.3 结构异构

复杂信息系统的组成结构各不相同，网络中的组成部件也千变万化，系统中的计算机、路由器、交换机等网络设备多种多样，网络通信协议和软件种类繁多，系统服务等资源也存在不同的类型。

2.2 信息安全的时间特性

信息安全的空间特性给出了信息系统的“静态”视图，而系统是随时间的推移在不断地演进的。研究时间特性的目的是考察系统的“动态”特征，是达到持续安全保障的关键。信息安全的时间特性包含两方面的内容，一是信息本身可能处于产生、存储、处理、传递、使用五个不同的环节，二是信息系统可能处于生命期的不同阶段。为达到持续的保障，必须对信息系统执行有效的风险管理，在给定的资金和资源下，选择适当的保护、检测和纠正措施，以达到最佳的信息安全保障效果，PPDR模型较好的反映了信息安全的这种时间特性，也体现了动态适应安全的思想。

3 维多视图体系结构框架的提出

体系结构代表了系统公共部分高层次的抽象，而体系结构框架则为体系结构提供了通用和规范化的研究和描述方法。由于系统本身的复杂性，我们从不同的方面分析可以得到不同的结果，但这些结果都反映了系统某一方面的特性，而系统的全貌则需要从多个角度进行分析，因此，体系结构框架一般具有不同的层次结构。

在软件工程领域，软件体系结构设计作为一个重要的更高层次的设计正成为软件工程研究的新热点，软件体系结构是一个程序或系统构件的组织结构，它们之间的关联关系，以及支持系统设计和演化的原则及方针。为了能够完整地描述软件体系结构，研究人员引入了数据库理论中视图的概念，用一组视图来描述系统的体系结构，其中每个视图代表了系统某些特定方面的投影、抽象（忽略其它方面），描述了系统体系结构的一个特定方面。例如UML中为了表达系统单个方面的建模结构的子集而引入的视图和图[5]如表1所示：

表1 UML视图和图

■

在Rational Rose中则使用了用例视图、逻辑视图、构件视图，配置视图来描述软件系统。不同的体系结构视图可能得到不同的组成元素和结构关系，但一般都需要描述组成元素（Component）、连接关系（Relationship）和约束规则（Constraints）。

开放式分布处理参考模型[6]（RM-ODP ）引入了五个视点（Viewpoint），如表2所示，每一个视点代表了对原始系统的不同角度的抽象，并采用相应的视点描述语言提出一组概念定义和构造规则，以便对该视点进行标准化描述。

表2 RM-ODP中视点及其描述

■

电子政务安全体系结构的构建是一项复杂的系统工程，涉及的问题包括数据安全、系统安全和网络安全等多个方面，从不同的方面可得到不同的描述。为了缩小问题域，区分不同的关心重点来构造系统，我们引入了安全维、安全视图的概念。

首先我们将体系框架划分为时间维，空间维，安全功能维三个维度，体现了信息安全的时空特性；其次安全维本身也具有复杂性和多面性，需要从多个角度分析才能得到系统的全貌，如空间维可从系统横向分布方面描述，也可以从纵向层次方面描述，因此我们又引入了安全视图来描述安全维，如安全域视图和协议层次视图从不同方面描述了空间维；这样最后就形成了一种三维多视图体系结构框架，它代表了对系统的不同层次和不同角度的抽象，提供了一种安全模型分析和安全系统集成的方法。如表3所示：

表3 基于时空特性的电子政务安全框架结构

■

电子政务系统中的任何一个安全措施都可以映射成这个三维空间System中的一个点(t,s,f)，而安全体系结构则可以看成是这个三维空间点的集合。

System={(t,s,f)|t∈T, s∈S, f∈F}

系统主要安全措施及其联系可用下面的函数关系式来表示：

P=P(T(t1,t2...), S(s1,s2...), F(fl,f2...)；

其中P为实际安全体系使用的三维组合，同时我们还可以给出组织投入的价值与保护方式的关系式：

V=V(T(t1,t2...),S(s1,s2...),F(fl,f2...)；

其中V是被保护对象的平均投入，根据函数V我们可以得到相对于价值的各种坐标的偏导数，即单位因素的价值弹性，可作为信息安全投资时的参考因素。

三维空间中的任一维用安全视图SV来描述，安全视图参考软件体系结构视图的描述，定义如下：

SV={Component,Relationship,Constraints}

安全视图SV是一个三元关系，其中Component表示该视点下系统组成元素的集合。Relationship?哿Component × Component，描述了Component之间的连接关系集合。Constraints是指作用于Component或Relationship上的一组谓词(或规则)的集合，一般是特定的安全政策，它描述了Component和Relationship的相关属性和约束说明。

通常从不同视点可以得到不同的视图，即安全视图是视点Viewpoint的函数，视点是系统的某些特定方面的投影，抽象。不同的分类方法给出的视图子集是不同的，而且可能存在交叉的情况，因此，通常情况下视点Viewpoint同时作为一种分类标准，给出该分类标准下的所有视图。

安全维SD可由安全视图的并集定义如下：

SD=YiSV (xi)=Yi{Component (xi)，Relationship (xi)，Constraints (xi)}；

xi∈Viewpoint

x是一种分类标准，因此SV(x)满足互斥性和完备性，即

SV(xi)∩SV(xj)=?I；

YiSV(xi)=SD(i≠j,i,j∈{1,2...n})

例如安全功能维F可以从用户角色的安全服务视点分析，包括可用性，完整性，可鉴别性，机密性，不可抵赖性等；从开发人员的安全机制视点分析，包括加密，数字签名，访问控制，安全检测，安全恢复等技术；从安全管理员角色的安全管理视点分析，包括运行管理，技术管理和人员管理等。

4 结束语

模型给出了一种理解、比较和集成安全体系结构的方法和思路，在实践中可以根据模型理解和帮助考虑一些安全问题，并根据模型的指导给出解决问题的方法。

参考文献：

[1] 李桂.电子政务中安全体系结构的研究[D].（硕士学位论文）. 广西大学,2004.

[2] 李守鹏.信息安全及其模型与评估的几点新思路[D].（博士学位论文）. 成都:四川大学,2002(5):15-28.

[3] 戴汝为, 操龙兵. Internet――一个开放的复杂巨系统[J].中国科学（E辑）, 2003,33(4).

[4] 何德全.面向21世纪的信息安全[D]. 第一届上海工博会会议论文,2001.11.

篇8

关键词：电子政务；数据库；安全模型

中图分类号：TP3 文献标识码：A

文章编号：1009-0118（2012）08-0221-02

自1999年实施“政府上网年”以来，全国范围内的政府机关掀起了一阵电子政务建设的浪潮。根据“十五”信息化规划的思路，电子政务建设适应21世纪初国民经济宏观调控和党政机关管理的需要，满足了国际竞争环境的要求。提高了国家机关工作效率和决策质量，实现了各机关部门间信息共享，具有很大的现实意义［1］。

在电子政务系统的实际运作中，政府机关的职能能否得到执行和落实，与政务系统是否安全运转休戚相关，保证电子政务的安全运行是电子政务构建与运作过程中的首要问题之一［2］。电子政务系统依赖于计算机和网络技术，对于计算机网络来说，资源共享和信息安全始终是一对矛盾体，这就意味着电子政务应用不可避免地存在着由Internet的自由、开放所带来的信息安全隐患［3］。

一、电子政务中的数据库安全现状分析

作为电子政务系统中数据存储的主体，数据库系统发挥着不可或缺的作用，可以说数据库的安全是整个电子政务系统安全运作的基础。随着网络技术的发展，电子政务系统已由以前的单机系统转化为网络系统，网络化数据库也面临着更加严重的安全威胁。

数据库的安全威胁源于许多不同的途径，从信息安全的角度来看，数据库安全应包括以下三方面：（一）具有数据保密性，能够保证数据库中的机密数据不被泄漏和篡改；（二）具有数据一致性和完整性，能够防止不当操作和非法用户的恶意行为；（三）具有数据可用性，能够防止数据被恶性破坏，并能拒绝和清除数据库内垃圾，使其处于可用状态。

在网络环境下，数据库面临的安全威胁主要来自于传输、存储和访问等三方面。在数据的传输过程中，主要安全威胁来自于信息的暴露、篡改数据和服务拒绝等；在数据存储过程中，主要安全威胁来自于存储设备物理损坏和不当操作引起的数据丢失；在数据库访问过程中，主要安全威胁来自于访问密码的泄漏和系统漏洞造成的非法访问。

从概念维度上来看，数据库安全可分为物理安全、软件安全和管理安全三部分，物理安全包括机房环境安全、服务器安全、网络媒介安全等内容；软件安全包括访问控制、身份认证、加密存储、加密传输、用户口令、安全编程、网络配置等内容；管理安全则包括管理制度、权限分配等内容。

可以看出，数据库安全威胁来自于方方面面，电子政务系统的整个运转过程都存在着安全威胁，因此构建一个系统的数据库安全模型，综合考虑各方面的安全威胁，具有较大的实际意义。

篇9

【关键词】信息安全技术；电子政务系统；数据安全

一、电子政务系统在信息安全方面的基本需求

电子政府系统主要是为政府机构服务的，政府部门充分引进现代通讯技术和信息化技术，把服务和管理经过信息化的加工，在网络系统中实现政府部门的工作流程和组织结构的合理组合，完全摆脱了部门间、空间以及时间的局限，全方面地为政府机构和社会机构提供最优质、最透明、最高效地服务和管理。电子政务是科学技术信息化的必然选择，它已经是全球的重点关注问题，是每一个国家现代化发展过程中不可替代的环节，它全面地提高了政府部门的服务水平和管理能力。

电子政务综合了计算机信息处理技术，其中，我国对于电子政务系统的信息安全提出了五点要求，即鉴别、访问控制、数据的机密性、数据的完整性、抗抵赖等，具体解释如下：

（1）鉴别

主要是鉴别通信中数据和对等实体的真实来源。简而言之，即是鉴别出用户的真实身份，同时鉴别用户的真实身份对于抗抵赖也有着比较重大的作用。电子政务的安全性直接影响着各企业单位以及个人的切身利益，如何鉴别电子信息系统所管理的对象是正确的，是确保电子政务系统成功运行的关键点。所以，鉴别用户的真是身份在信息的传递过程中给国家、事业单位以及个人提供了比较可靠的标识。

（2）访问控制

该安全信息服务主要是为了解决OSI可访问资源的非授权使用。访问控制系统的运行，能有效的避免一些非授权资源的被外界访问，防止一些非法性信息的储存，相当于电子政务系统的一道防护墙。

（3）数据的机密性

该安全服务体系主要是为了保证电子政务系统中的数据信息不被外界获取，避免泄露。电子政务系统中的数据信息大多都与企业单位和国家的安全机密有关，所以，信息安全系统就必须防止非授权的外界用户非法盗取数据信息。访问控制系统和数据的机密性系统共同协作，全方位的保证了数据信息的安全性，二者形成了一道坚实的防护墙。

（4）数据的完整性

该安全服务系统主要是应付外界的主动安全威胁，其数据的完整性保证了数据信息只能被授权后的用户进行修改和存储。保证用户数据信息的完整性的主要手段有：限制用户对数据信息的使用和访问、控制服务器和联网终端的物理环境等。要随时监控电子政务系统安全性，避免发生随意地删除、修改和生成，同时，在数据信息的传递过程中还应防止信息的重复和丢失，以保证数据信息的准确性。

（5）抵赖性

这主要包括两个方面的抵赖性，即有交付证明和有数据原发证明，这分别让接收者或者发送者在事后坚决辩解自己从未接收或者从未发送过这些数据信息的意图不能得逞。应该认真仔细的审查数据的结果，用事实来证明用户的抵赖行为。

二、电子政务系统中存在的安全性问题

1.先进的信息技术已经对国家的安全构成了严重的威胁

目前，我国的电子信息技术的发展和发达国家还存在一定的差距，尤其是一些与我国敌对的发达国家，他们利用自身信息技术的优势来压制、阻碍甚至是破坏我国对电子信息的使用，他们往往均是利用网络媒体、电子邮件等展开心理战和宣传战，这就对我国的科技安全构成了一定的威胁，特别是对于经济领域和军事领域等重大领域中，一旦军事网站被黑客攻击就会使机密信息大量泄漏，直接影响着国防安全；而经济间谍也会盗窃大量的经济机密，主要攻击电子商务网络和电子金融网络等，都严重的影响着国家的安全。而目前，我国的电子政务系统主要是为了便于政府部门的日常办公和为人民服务，它涉及到了经济、军事、文化等多个领域，它的安全性对我国的发展和安全起到了重大的作用。所以，电子政务系统是黑客攻击的首选，进而会存在一系列的信息安全问题。

2.网络病毒等恶意程序将会对电子政务系统的信息安全构成重大的威胁

随着计算机信息技术的快速发展，网络病毒、木马、间谍软件、垃圾邮件、钓鱼程序等在网络上泛滥，这是犯罪组织以及黑客在攻击和破坏电子政务系统时的主要手段。一般会有以下几种攻击方式：盗窃和破译机密信息、偷听和拦截所需要的信息，然后再分析业务的流量和提取电磁信息；擅自修改和伪造法规和重要政策、冒充和破坏政府机构的权威信息，再将病毒等恶意软件散布到整个计算机网络系统中。在我国发生的病毒攻击恶意事件中，较为严重的有：恶魔病毒、熊猫烧香病毒以及千年虫病毒等，这严重影响到公众安全和国家、社会的利益，均受到了广大人民的重视。因此，要加强信息安全技术在电子政务系统中的应用，并不断地改进和完善电子政务系统中的硬件系统和软件系统，一旦系统自身就存在安全隐患，就十分有可能给电子政务系统产生一定的安全威胁。

3.管理不到位将会对电子政务系统的信息安全构成重大的威胁

电子政务系统的内部管理如果不到位，将直接给信息安全带来很多的问题。例如U盘、移动硬盘等存储设备先在普通互联网上使用，再又在电子政务网上使用，因此，携带病毒的存储设备就可以感染电子政务的内网，然后盗窃机密数据信息，再通过一系列的操作后直接传达病毒的制造者；内网的权限管理和身份认证问题；在维修政务内网时，没有及时移走存储芯片，这就极有可能造成信息的泄露。这些管理不恰当的行为，都将给电子政务系统中的信息安全带来一系列的问题。

三、信息安全技术在电子政务系统中的具体应用

1.有效地划分安全区域

按照信息安全管理的需要，其信息安全领域能涵盖了若干个子领域，相互之间有联系的安全领域也能构成一个逻辑领域。

电子政务网络领域：政务网络的基础设施层及其上层的安全保护功能主要由接入电子政务专用网络的用户来负责。

电子政务业务处理领域：该领域主要涵盖了已经在政务机构的管理掌控的范围内，用于承载电子政务业务系统的本地计算环境及其边界，还包括了电子政务系统的内部用户。该领域服务的对象包括政务机构内的公众服务领域、政务外网领域以及政务内网领域等，还有的信息安全性要求特别高的政务机构会有自己专属的业务领域。

电子政务基础服务领域：该领域通常有信息安全应急响应中心、信息安全测评中心、程灾备中心以及电子政务数字证书中心远等。

2.有效地控制机密数据信息

电子政务系统中对数据信息的控制其主要是为了阻碍攻击者使用电子政务系统中的主机进而去攻击其它的任何系统，然而这只能在一定程度上减少这种攻击行为，并不能完全杜绝。当然，管理主机会准许针对电子政务的内部网络的任何连接、探测以及扫描，却对于由主机发送出去的连接、探测和扫描等，其网络信息安全系统一定要具备条件才能放行，一旦发现发送出去的数据包存在异常行为，则系统管理员就将及时制止。

防火墙是信息安全技术中的主要安全防护手段，它能有效阻止电子政务系统中的主机被控制而破坏其他的任何系统。因此，必须使用信息安全技术来有效地控制主机的外连接数，例如，只准许在相应的时间段内发送数量一定的数据信息包。防火墙主要有下下述功能：设定一个单向的地址来阻拦或者双向的地址来阻拦，在单向的地址阻拦过程中，禁止一方向另外一方传送数据信息，但是反方向传输就能顺利进行，不会有任何的影响；引入先进的状态监测数据信息包过滤技术，不单单依赖于单独的IP包进行过滤，而是随时地监控和分析所有的连接和对话，能够在政务系统中实现自动维持正常的运行状态，然后再结合连接的状态将IP包执行快速高效的安全过滤；有效地控制主机的外出连接。如果外出连接数目超过额定数目时，就会自动禁止之后的所有连接，避免主机被攻击破坏，进而作为一个跳板来攻击破坏所有的系统。

3.合理设计出系统的VPN

在电子政务系统中运用信息安全技术中的VPN，能在不同的政府机构之间构建成一个虚拟的通道，让不同的电子政务网之间可以随意地互相访问，如同在自己的专属网络中；还能让政务网影虎使用外网时如同使用内网一样能实现政务网络的资源共享；还能满足电子政务的内网的信息安全管理要求。建立VPN有三种途径：其一为建设Internet服务商（ISP），对企业的信息实现透明化；其二为政府部门独立建设，对ISP实现透明化；其三为政府部门和ISP一起建设。

四、总结

电子政务系统的安全性已经引起了国家和政府的高度重视，有关计算机技术方面的专家学者应该不断加大信息安全技术在电子政务系统中的应用，给电子政务系统提供一道安全的屏障，保护国家和社会的信息安全，使我们的祖国不断壮大起来。

参考文献

[1]张艳.电子政务系统中的数据安全技术研究[J].现代计算机（专业版），2009（08）.

[2]卢秋瑜.电子政务中网络信息安全现状分析与研究[J].中国商界（上半月），2010（09）.

[3]卓然.浅谈电子政务系统中的信息安全技术[J].南京广播电视大学学报，2009（04）.

[4]覃春凤.浅谈电子信息安全技术在电子政务中的应用[J].科技资讯，2009（25）.

[5]雷萍，雷战波.基于模糊层次分析的电子政务信息安全风险评估研究[J].信息化建设，2010（03）

[6]蔡保飞，李梦洁.我国电子政务发展中的主要信息安全问题探析[J].信息系统工程，2010（06）.

篇10

关键词：电子政务外网 安全管理平台 SOC 安全策略

一、前言

国家电子政务外网作为一个支持跨部门和地区业务应用、数据交换和信息共享的电子政务建设的新生事物，尽管其建设规模还不大，建设时间也不长，但在国家有关部门的指导和支持下，依靠各部委和各地的通力合作，它已经充分展现了一个创新性网络巨大的活力，开始得到了各部门和各地的重视和关注。目前，已有30多个部门的系统平台接入政务外网，例如国务院应急办国家应急平台外网系统、自然资源和地理空间基础数据库、文化部文化信息资源共享平台等一批关系国计民生的重要系统接入政务外网。从政务外网建设及应用情况来看，各部门对政务外网的需求是紧迫的，同时也对政务外网的安全性有了更高的要求。

二、国家电子政务外网安全管理平台概述

如何对国家电子政务外网的安全进行有效的管理，如何保证利用政务外网开展业务的应用系统的安全性，是对负责政务外网网络安全的人员管理能力的一种考验。传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理，这样导致安全信息分散、互不相通，安全策略难以保持一致。因此这种传统的管理运行方式成为许许多多安全隐患形成的根源，很难对国家电子政务外网进行统一的、有效的安全管理。

国家电子政务外网安全管理平台（Security Operation Center，SOC）为电子政务外网制定统一安全策略、统一安全标准，实现全网统一管理和监控，保障电子政务外网安全、稳定、高效地运行，实现政务外网基于安全的互联互通。国家电子政务外网安全管理平台实现了将不同位置、不同类型设备，不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析，得出整个电子政务外网的全局安全风险事件，并形成统一的安全决策对安全事件进行响应和处理，从而保障电子政务业务应用系统的真实性、完整性和保密性。

三、国家电子政务外网安全管理平台框架

国家电子政务外网安全管理平台（SOC)的主要思想是采用多种安全产品的Agent和安全控制中心，最大化地利用技术手段，在统一安全策略的指导下，将系统中的各个安全部件协同起来，实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动，并且能够在多个安全部件协同的基础上实现实时监控、安全事件预警、报表处理、统计分析、应急响应等功能，使得网络安全管理工作由繁变简，更为有效。

国家电子政务外网安全管理平台（SOC）的体系架构具备适应性强（能够适用于不同省级节点接入网络和系统环境）、可扩充性强、集中化安全管理等优点，其框架体系主要是为了解决目前各类安全产品各自为阵、难以组成一个整体安全防御体系的问题。真正的整体安全是在一个整体的安全策略下，安全产品、安全管理、安全服务以及管理制度相互协调的基础上才能够实现。国家电子政务外网安全管理平台（SOC）框架如图1所示。

四、国家电子政务外网安全管理平台的主要功能

国家电子政务外网安全管理平台为系统管理员和用户提供对系统整体安全的监管，它在整个政务外网体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁，使得各类安全手段能与现有的国家电子政务外网应用体系紧密结合而实现无缝连接，以促成网络安全与国家电子政务外网应用的真正一体化。目前，国家电子政务外网安全管理平台基本实现了对国家电子政务外网中央城域网、广域网骨干网的主要网络设备、安全设备和网络承载的业务系统的安全事件的管理，并具备监控、预警、响应、审计追踪等功能。

图2描述了国家电子政务外网安全管理平台的功能框架。以下对其功能予以详细阐述。

⒈统一管理

政务外网安全管理平台（SOC）建立在安全设备部署的基础之上，主要围绕安全的预防、发现、反应环节搭建，实现了安全预警、集中监控、安全事件处理等更高层次的安全管理。这些建立在安全设备部署之上的安全管理包括：预防环节的安全预警信息通告，安全评估结果综合分析的安全信息库；发现环节的收集防火墙、入侵检测、日志系统、防病毒系统中的有关安全事件，呈现安全告警的集中安全监控系统；反应环节的以电子流的方式，进行安全事件处理流转，保存安全事件处理经验的安全事件运行系统。

政务外网安全管理平台（SOC)对各种安全产品的监控和管理，可以利用各个安全子系统中已有的信息采集和控制机制来实现，也可以采用直接与安全设备交互的方式进行，主要取决于各个安全子系统自身的构架以及提供的管理接口。

⒉安全事件实时监控与实时通报

网络安全工作的本质在于控制网络安全风险，风险管理是安全管理的核心。考察安全成本和安全威胁后果之间的关系，以可接受的成本来降低安全风险到可接受的水平。

国家电子政务外网上的各种安全设备和产品每天都要产生大量的各种安全事件。对这些事件的集中监视是控制网络风险、保证网络业务正常运行的重要手段。国家电子政务外网安全管理平台专注于整个政务外网安全相关事件的实时监控，收集并汇总重大安全事件的数据（如：大规模蠕虫事件，重大攻击事件等），进行关联性分析，全面提高对网络事件的快速反应能力；同时，将安全事件备份到后台的数据库中，以备查询和生成安全运行报告。

安全事件通报与业务系统、工作流紧密结合。国家电子政务外网安全管理平台在发现某政务外网业务系统内出现安全事件后，还将及时把这些安全事件通知各业务系统的管理员以便及时予以处理。

⒊全网统一安全策略

对于电子政务外网的安全运行维护，最具有挑战性的莫过于保持全网策略的一致性。尤其是对于日新月异的网络安全技术，需要经常性频繁应对出现的新漏洞，根据新的业务调整安全策略。

国家电子政务外网安全管理平台支持统一、集成的策略管理，包括策略的制定、分发和策略执行情况的检查。安全策略管理包括设备安全策略、事件响应策略和全局安全策略等。

统一安全策略管理制订全网的安全策略，这些策略文件可下发给各相关部门，通过直接（也可以手工）的方式进行配置落实。策略的管理能够通过全局策略的调整、业务的变化、各网管和部门反馈来的意见等情况，不断调整、优化安全策略。

⒋基于角色的安全事件可视化

国家电子政务外网安全管理平台提供统一的安全管理，并为不同级别和性质的管理员提供不同层次和性质的管理视图。由于电子政务外网内部网络系统是一个复杂的分布式大规模网络，因此核心层、分布层以及接入层的网络管理员具有不同的职责。系统不但能够提供运行核心层的管理员对所有安全系统宏观的管理视图，也能够为各地主要业务网络的管理员对自己管辖区域内的安全设备和安全系统部件进行区域自治管理，此外，还能够通过安全管理平台（SOC）对分布于整个网络的某个安全子系统，进行整体安全策略的发放和状态监测及管理。

安全管理平台（SOC）根据需要设置可视化条件，实时在全网拓扑图中显示最重要的多组事件，包括设备名称、事件定位、风险概况、脆弱性等信息（如图3所示）。

⒌安全事件关联分析

安全管理平台（SOC）要对各个不同安全设备（入侵检测、漏洞扫描、防火墙等）报告的安全信息进行集中的数据挖掘和分析，进行全局的相关性分析和报表显示，以发现低级安全事件相关联后表现出的高级安全事件，以及异常行为之间、漏洞和入侵之间的对应关系，便于对攻击的确认和安全策略的调整。国家电子政务外网安全管理平台目前支持基于规则的关联分析、基于统计的关联分析和基于漏洞的关联分析等3种形式。根据此关联分析的功能，结合国家电子政务外网的业务应用系统的事件特征，通过分析与制定安全域与业务安全控制策略和基于业务应用的流程异常监控，制定相关的特定关联分析规则，配合事件监控、拓扑管理及综合显示等方面的内容，从而实现国家电子政务外网业务安全监控及追踪功能的事件定位。

⒍宏观分析与安全决策支持

安全管理平台（SOC）应支持对各安全设备上报的所有安全数据进行宏观统计、分析和决策支持。宏观统计分析主要是在大量数据的基础上，对安全事件进行综合分析，比如将攻击信息和安全漏洞信息关联起来，产生详尽的安全报告，提供安全决策支持，强有力地支持全网安全事件的及时发现（检测）、准确定位（追踪）、尽快处理（应急响应）、进一步防范（预警）以及全网安全策略制定（策略）。国家电子政务外网运行维护管理员根据宏观分析提供的全局安全状况和安全态势信息，并结合电子政务外网的管理体系、人员管理规章制度、管理流程以及行政管理规定,为针对安全事件的处理决策提供支持。图4、图5展示了安全管理人员可以借助安全管理平台展示的全方位安全信息对政务外网的安全态势进行宏观把握，为决策提供支持。

⒎安全事件全局预警

对于像冲击波、红色代码等危害较大的网络蠕虫的较大规模入侵，从一个地区向另一地区渗透可能有一定的延时。在这段延时期间，安全管理平台（SOC）有义务将这种警报到尚未受攻击的区域中去，以起到提前布防的预警作用。

国家电子政务外网安全管理平台接到的报警如果符合提前设定的全局预警范围，则将其下发到非来源的省级政务网络中心，结合报警信息转发及上传的功能，实现这一报警事件下发到所有省级政务外网结点（如图6所示）。

⒏安全事件知识库

为了实现安全事件的集中收集、记录、审计和流程化处理（集中、分类、入库、处理），共享最新安全知识，保证国家电子政务外网安全人才的储备，安全管理平台（SOC）建立安全事件知识库。知识库将国家电子政务外网各级安全管理平台的安全管理信息收集起来，为国家电子政务外网各级安全维护人员形成统一的安全共享知识库，以完成安全信息管理和WEB，主要实现安全管理信息、安全事件库、安全策略配置库、安全技术信息交流、处置预案库、补丁库、安全知识库等栏目的信息管理和浏览。安全管理员可以通过安全知识库的辅助工具学习，了解相关知识，辅助进行运维工作。图7是一个安全知识库的截屏。

五、国家电子政务外网安全管理平台的部署

根据国家电子政务外网安全管理平台的组成，政务外网安全管理平台最终建成分层分级结构：顶级为国家级安全管理平台，第二级为省部级安全管理平台，第三级为县市级安全管理平台。各级网络安全管理中心负责对本级电子政务外网实施安全监控和集中管理。上级网络安全管理中心可对下级网络安全管理中心进行统一安全策略、运行状态监控、安全信息收集等操作。下级网络安全管理中心可接受上级网络安全管理中心的安全预警信息。国家电子政务外网安全管理平台整体部署如图8所示。

在部署政务外网各级安全管理平台过程中，涉及两类下级安全管理平台：一是新建的安全管理平台，另一类是已建的安全管理平台。对于新建的安全管理平台在接入上级安全管理平台时将在统一设计、统一标准、统一技术规范、统一部署的原则下进行建设，与上级安全管理平台实现平滑和无缝对接。

部分电子政务建设比较好的省市，可能已建成安全管理平台。在这种情况下，由于早期建设的安全管理平台没有统一的标准和规范，在管理对象、管理方式、协议支持等方面不尽相同，所以此类安全管理平台不能直接与国家级安全管理平台进行对接。因此需要针对不同的安全管理平台进行调研和分析，本着最小改造的原则，为其增加设备，通过机制实现其与上级安全管理平台的对接。

六、总结

目前，国家电子政务外网中央安全管理平台的建设已基本建设完毕。通过几个月的建设工作，安全管理平台的实施为国家电子政务外网的安全运转提供了良好的保障。首先，国家电子政务外网安全管理平台提升了信息安全事件的处理水平。因为大量的安全事件通过安全管理平台的过滤、归并和排序后，降低到一个人工能够处理的数量级。另外，安全管理平台（SOC）自带的专家知识库能够帮助平台管理员正确地处理事件，减低了安全技术的门槛，为运维人员提供了有力的技术支持。其次，国家电子政务外网安全管理平台提供了良好的可视化技术，用图形化的方法向管理员展示了整个国家电子政务外网的安全整体状况，便于管理员从宏观上对全网的安全态势进行整体把握。

综上所述，国家电子政务外网安全管理平台的实施是针对政务网络系统传统管理方式的一种重大变革。它结合政务网络自身的特点，将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析，得出全局角度的安全态势，并形成统一的安全决策对安全事件进行响应和处理。

作者简介：

郭红，女，1966年生，汉族，北京人，高级工程师，国家信息中心网络安全部处长，研究方向：网络安全。

王勇，男，1977年生，汉族，山东鄄城人，国家信息中心网络安全部工程师，研究方向：网络安全。