论电子政务信息系统安全保障体系
2002-09-06
摘要电子政务的实施为政府和组织承担的公共管理和服务实现电子化、网络化和透明、高效开辟了广阔的空间。然而电子政务信息系统的安全问题也变得更加突出、严重。认识电子政务信息系统安全的威胁,把握系统安全的影响因素和要求,建设系统安全保障体系,对保证电子政务的有效运行具有重要意义。
所谓电子政务是指政府运用现代电脑和网络技术,将其承担的公共管理和服务职能转移到网络上进行,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向社会提供高效优质、规范透明和全方位的管理与服务。电子政务的实施使得政府事务变得公开、高效、透明、廉洁和信息共享,与此同时,也使得政务信息系统安全问题更加突出和严重,影响电子政务信息系统功能的发挥,甚至对政府部门和社会公众产生危害,严重的还将对国家信息安全乃至国家安全产生威胁。因此,从分析电子政务信息系统的构成与特点出发,认识电子政务信息系统安全的重要性,把握电子政务信息系统安全的影响因素和要求,建设电子政务信息系统安全的保障体系是发展电子政务的关键所在,具有极其重要的意义。
1 电子政务信息系统
信息系统,即信息传递交流系统,一般是指将信息从信息源传递给有关用户的职能系统。信息系统的发展与信息处理技术的进步密切相关。信息系统的功能、效率,均取决于信息处理、传递技术的先进与否。电子政务与传统政务活动相比,其优势就是借助现代信息技术和信息系统实现信息的有效流动。实质上,电子政务的发展就是基于电子政务信息系统的完善和发展。
1.1系统的构成
所谓电子政务信息系统是一个基于网络的,符合Internet技术标准的面向政府机关内部、其它政府机构、企业以及社会公众的信息服务和信息处理系统。它由政府部门内部电子化、网络化政务信息子系统,政府部门之间通过网络进行的政务信息子系统,政府部门与社会和公众之间通过网络进行的政务信息子系统组成,其系统构成包括:1个信息资源中心+3个信息管理模块。如图1所示:
图1 电子政务信息系统构成
在电子政务信息系统中,以政府办公业务综合信息资源中心为政务平台,连接政府部门
办公业务信息管理模块,各级政府办公业务信息管理模块,面向社会公众的综合服务信息管理模块。这三个信息管理模块分别于政府办公业务综合信息资源中心相连,又彼此相连,使政务信息通过网络形成三个循环,从而构成电子政务信息系统的总框架。
1.2系统的特点
电子政务信息系统是一个以计算机网络技术为基础,以共享、交流、协作为核心,以政务的信息流、工作流相对集成为基本结构的系统,其特点主要表现为:
1)开放。指在法律允许范围内政府信息的公开和可获得性,以及管理和沟通渠道公开,便于公众获得政府信息,办事和监督。
2)协同。在电子政务信息系统中,政府机构的每一个部门,由网络连接起来协同工作,打破了地域、层级、部门的限制,促使政府组织和职能的整合,让政府部门之间的信息能够流通、共享,使公众享受到无组织边界的政治服务。
3)交互。系统保证任何个人、企业和团体组织,都可以直接通过交互式的技术手段表达和传递信息,政府与公众和企业等团体组织可以直接地交流沟通。
4)服务。电子政务信息系统最突出的功能便是提供信息服务。这种理念使得公众和企业等团体组织成为政府机构的服务的客户,政府要确定服务标准,向客户作出承诺,政府职能由控制型转向为控制——服务型。
5)直通。电子政务信息系统通过计算机网络减少中间环节,寻求最佳途径,保证信息交换的“直通”,确保信息畅通。
1.3系统的结构模型
电子政务信息系统是一个复杂的技术化体系,从表现形态看是由包括终端系统、局域网、广域网、通过广域网组成的专用网、虚拟网、因特网等一系列实体组成,从结构描述的角度看,应包含基础设施、体系结构和基础功能三部分。其结构模型可由图2描述:
图2 电子政务信息系统结构模型
2 电子政务信息系统安全
电子政务信息系统通过政务信息的共享、交流、协作,使电子政务的管理活动成为电子政务的增值过程:通过该系统实现政府在政治、经济、社会、生活等领域的管理服务职能;实现政府决策信息的发布与存取,支持决策活动:实现办公业务信息交流和交互式处理,支持政务执行活动,以完成政务活动的全过程。然而,电子政务信息系统功能的发挥,是建立在系统安全、有效的基础上的,电子政务信息系统的安全是实现系统功能的关键所在。
2.1系统安全的内容要求
电子政务信息系统是基于网络的信息系统,其安全内容十分广泛,安全要求各不相同。
从网络层次看,包括1)可靠性。即保证网络和信息系统随时可用,运行过程中不出现故障,若遇意外打击能够尽量减少损失并尽快恢复正常;2)可控性。即保证营运者对网络和信息系统有足够的控制和管理能力;3)互操作性。即保证协议和系统能够联接:4)可计算性。即保证准确跟踪实体运行达到审计和识别的目的等。
从信息层次看,包括1)信息的完整性。即保证信息的来源、去向、内容真实无误:2)保密性。即信息不会被非法泄露扩散;3)不可否认性。即保证信息的发送和接收者无法否认自己所做过的操作行为等。
从设备层次看,包括质量保证、设备备份、物理安全等。
从经营管理层次看,包括人员可靠、规章制度完善等。
2.2系统安全的相关因素
电子政务信息系统的安全取决于特定的安全环境。安全环境包含社会环境、技术环境和物理自然环境。社会环境指各种社会组织机构和人员。技术环境指信息系统的技术因素,包括:硬件设施、软件设施、网络结构、局域网、信息流、信息存取方式、信息生成、信息处理、信息传输、信息存储、安全人员管理和技术安全管理等。物理自然环境是指来自物理基础支持能力和自然环境的变化。电子政务信息系统的安全风险,来源于社会环境的威胁、技术坏境的脆弱和物理自然环境的恶化。
社会环境的威胁方其主体是个人、组织和国家三个层次。其具体攻击手段主要有:1)中断。即攻击系统的可用性,破坏系统中的硬件、硬盘、线路、文件系统,使系统不能正常工作;2)删改。即攻击系统的完整性,删改系统中数据内容,修正消息次序、时间(延时或重放):3)窃取。即攻击系统的机密性,通过搭线和电磁泄露等手段造成泄露,或根据窃取信息的大小变化,交换频次的统计分析,获取有价值的情报:4)伪造。且口攻击系统的真实性,将伪造的虚假信息注入系统,假冒合法人接入系统,重放截获的合法消息实现非法目的,否认消息的接收或发送等。
技术环境的脆弱性来源于信息系统技术上和管理上的缺陷。典型的缺陷和安全隐患有:1)缺陷或漏洞。指信息系统中各组成部分和整个网络在设计时,由于考虑不周或者是设计者
电子政务网络安全风险分析 对于电子政务专用网络内部而言,具有资源分类别、分级别、密级区别等特点,各个用户、各个部门拥有自主储存、使用和传递共享的资源。因此,电子政务专用网络内部也必须对各种信息的储存、传递和使用进行严格的权限管理。我们认为在指导思想上,首先应在对电子政务专用网络安全风险分析的基础上,做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟交换网络(VLAN)、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI技术等,并实现集中统一的配置、监控、管理;最后,应加强有关网络安全保密的各项制度和规范的制定,并予以严格实行。为了便于分析网络安全风险和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。 从系统和应用出发,网络的安全因素可以划分到如下的五个安全层中,即物理层安全风险分析、网络层安全风险分析、系统层安全风险分析、应用层安全风险分析、管理层安全风险分析。 电子政务网络安全方案设计 1. 网络安全方案设计原则 网络安全建设是一个系统工程,电子政务专用网络系统安全体系建设应按照“统一规划、统筹安排、统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。 在进行网络系统安全方案设计、规划时,应遵循以下原则:需求、风险、代价平衡的原则,综合性、整体性原则、一致性原则,易操作性原则,适应性、灵活性原则,多重保护原则,可评价性原则。 2. 电子政务网络安全解决方案 (1)物理层安全解决方案 保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:环境安全、设备安全、线路安全。 为了将不同密级的网络隔离开,我们还要采用隔离技术将核心密和普密两个网络在物理上隔离,同时保证在逻辑上两个网络能够连通。 (2)网络层安全解决方案 防火墙安全技术建议:电子政务网络系统是一个由省、各地市、各区县政府网络组成的
电子政务系统信息安全建设方案 概述 电子政务作为国家信息化建设的重点工程,按敏感级别和业务类型,可划分为:涉密机要专网、电子政务专网和电子政务外网。电子政务外网是为市民提供政务公开信息和网上服务场所的媒体,直接同因特网连接;政务专网上运行关键的政务应用,是为提供协同办公、信息传输交互和业务数据处理的网络平台;涉密机要专网与电子政务专网实行物理隔离、与政府外网实行物理隔离。 2安全建设内容 为了保障政府的管理和服务职能的有效实现,需要为电子政务网络建立完善的信息安全体系,选择符合国家信息安全主管部门认证的安全技术和产品,在电子政务系统的建设中实施信息安全工程,保证电子政务三大网络的安全。电子政务安全保障体系包括:建立信息系统安全管理体系、网络安全技术和运行体系、系统安全服务体系、安全风险管理体系。 3安全管理体系 安全不是一个目标,而应该作为一个过程去考虑、设计、实现、执行。只有通过建立科学、严密的安全管理体系,不断完善管理行为,形成一个动态的安全过程,才能为电子政务网络提供制度上的保证,它包括:安全方针、安全组织、资产分类与控制、人员安全、物理与环境的安全、通信与运行的管理操作过程与职责、访问控制、系统开发与维护、业务连续性管理、遵循性与法律要求的一致性。 4技术和运行 一个信息系统的信息安全保障体系包括人、技术和运行三部分,其中技术体系包括保卫主机与应用系统、保卫边界、保卫网络和基础设施以及支持性基础设施等部分。 4.1局域网主机与应用系统安全 局域网主机与应用系统的安全性比较复杂,数据的计算、交换、存储和调用都是在局域网中进行的,黑客和不法分子常使用的破坏行为就是攻击局域网。局域网环境
电子政务信息的安全与防范 电子政务系统中有众多的政府公文在流转,其中不乏重要情报,有的甚至涉及国家安全,这些信息通过网络传送时不能被窃听、泄密、篡改和伪造。如果电子政务网络安全得不到保障,电子政务的便利与效率便无从保证,对国家利益将带来严重威胁。而且电子政务是提升一个国家或地区特别是城市综合竞争力的重要因素之一。因此,信息安全技术及其在电子政务系统中的应用具有重要的现实意义。 一、电子政务信息存在的安全问题 随着政务公开和政府上网工程的开展,很多政府部门的对外业务服务必须通过互联网来完成,如申报数据的接收、建议或意见的采集、处理结果的反馈等,而数据的审核、处理则需要由内网的工作人员来完成。那么,电子政务系统信息安全方面的问题可以划分为两大类,一是网络安全方面的问题,二是信息安全管理方面的问题。 1、网络安全方面的问题 电子政务网在建网初期都是按照双网模式来进行规划与建设,即电子政务内网和外网,双网进行物理隔离。内网作为内部信息和公文传输平台,开通政府系统的一些日常业务,外网通过路由汇聚加防火墙过滤接入,主要向公众发布一些公共服务信息和政府互动平台。这种双网模式带来了便利与高效的同时,也存在网络安全问题。 网络安全问题主要涉及到以下几个方面: (1)来自内部的恶意攻击。这种攻击往往带有恶作剧的形式,虽然不会给信息安全带来什么大的危害,但对本单位正常的数据业务和敏感数据还是会带来一定的威胁。 (2)移动存储介质的交叉使用。对于电子政务内网的计算机来讲,在上互联网的计算机上使用过的u盘,移动硬盘都不能在政务内网上使用。U盘病毒和间谍木马会把内网中的保密信息和敏感数据带到互联网上,回传给木马的制作者。并且,这种病毒还会在内网上传播,消耗系统资源,降低
电子政务内网安全现状分析与对策 4.29首都网络安全日电子政务应用论坛分享 上世纪80年代末,我国首次提出发展电子政务,打造高效、精简的政府运作模式。 近年来,随着政府机构的职能逐步偏向社会公共服务,电子政务系统的高效运作得到民众的肯定,但同时,各类业务通道的整合并轨也让电子政务系统数据安全问题“开了口子“:“国家旅游局漏洞致6套系统沦陷,涉及全国6000万客户信息” “4.22事件,多省社保信息遭泄露,数千万个人隐私泄密” “国家外国专家局被曝高危漏洞,分站几乎全部沦陷” …… 一. 电子政务内网数据库安全面临的风险 虽然基于安全性的考虑,电子政务系统实行政务外网、政务专网、政务内网的三网并立模式,但通过对系统安全性能的研究,安华金和发现:当前电子政务内网信息系统中的涉密数据集中存储在数据库中,即使是与互联网物理隔离的政务内网,一系列来自数据库系统内部的安全风险成为政府机构难以言说的痛。 风险一、数据库管理员越权操作: 数据库管理员操作权限虽低,但在数据库维护中可以看到全部数据,这造成安全权限与实际数据访问能力的脱轨,数据库运维过程中批量查询敏感信息,高危操作、误操作等行为均无法控制,内部泄露风险加剧。 风险二、数据库漏洞攻击: 由于性能和稳定性的要求,政务内网多数使用国际主流数据库,但其本身存在的后门程序使数据存储环境危机四伏,而使用国产数据库同样需要担心黑客利用数据库漏洞发起攻击。 风险三、来自SQL注入的威胁:
SQL注入始终是网站安全的顽疾,乌云、补天、安华等平台爆出的数据漏洞绝大多数与SQL注入攻击有关,内外网技术架构相同,随着政务内网的互联互通,SQL注入攻击构成政务内网的严重威胁。 风险四、弱口令: 由于账户口令在数据库中加密存储,DBA也无法确定哪些是弱口令,某国产数据库8位及以下就可以快速破解,口令安全配置低,有行业内部共知的弱口令,导致政务内网安全检查中发现大量弱口令和空口令情况,弱口令有被违规冒用的危害,即使审计到记录也失效。 传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术形成应对策略,但对于核心数据库的防护欠缺针对有效的防护措施。 二. 电子政务内网数据库防护解决方案 电子政务系统的数据安全防护,在业务驱动的同时,保障政策要求同样重要,在此前提下,国家保密局于2007年发布并实施分级保护保密要求: 特别是对于系统中数据的保密,要求中明确指出:对于机密级以上的系统要从运行管理三权分立、身份鉴别、访问控制、安全审计等方面进行一系列的技术和测评要求,具体涉及以下三方面: 访问审计: 1、审计范围应覆盖到服务器和重要客户端上的每个数据库用户 2、审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等 3、应能够根据记录数据进行分析,并生成审计报表 4、应保护审计进程避免受到未预期的中断 5、应保护审计记录避免受到未预期的删除、修改或覆盖等 6、审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 二、主动预防 1、通过三权分立,独立权控限制管理员对敏感数据访问。 2、应针对SQL注入攻击特征有效防护 3、应检测对数据库进行漏洞攻击的行为,能够记录入侵的源IP、攻击的类型,并在发生严重入侵事件时主动防御
电子政务安全面临威胁和挑战 电子政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证。电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其电子政务是搭建在基于互联网技术的网络平台上,包括政务内网、政务外网和互联网,而互联网的安全先天不足,互联网是一个无行政主管的全球网络,自身缺少设防和安全隐患很多,对互联网犯罪尚缺乏足够的法律威慑,大量的跨国网络犯罪给执法带来很大的难度。所有上述分子利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务应用面临着严峻的挑战。 对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战。 电子政务的安全目标和安全策略 电子政务的安全目标是,保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力。 为实现上述目标应采取积极的安全策略: ·国家主导、社会参与。电子政务安全关系到政府的办公决策、行政监管和公共服务的高质量和可信实施的大事,必须由国家统筹规划、社会积极参与,才能有效保障电子政务安全。 ·全局治理、积极防御。电子政务安全必须采用法律威慑、管理制约、技术保障和安全基础设施支撑的全局治理措施,并且实施防护、检测、恢复和反制的积极防御手段,才能更为有效。 ·等级保护、保障发展。要根据信息的价值等级及所面临的威胁等级,选择适度的安全机制强度等级和安全技术保障强壮性等级,寻求一个投入和风险可承受能力间的平衡点,保障电子政务系统健康和积极的发展。
浅析我国电子政务信息安全的防范对策 摘要:信息安全关系到经济发展,国家安全和社会稳定,关系到政府工作的正常运转。电子政务信息安全防范是电子政府建设的关键。加强电子政务建设是建设服务型政府的组成部分。在电子政务建设与体系发展整体驶入快车道,以服务为导向的电子政府建设工作不断推进的同时,信息安全意识、网络漏洞、信息安全法律体系方面都凸现了现阶段我国电子政务信息安全存在风险。要着重从人才培养、安全技术和产品的选择使用、法律保障体系建设的呢过环节加以防范,切实保障电子政务信息安全。本文从电子政务信息安全的视觉,浅析仙子政务信息安全存在的风险问题,提出一些防范对策和建议。 关键词:电子政务信息安全;网络安全;安茜技术;防范对策 电子政务的实施使得政府提高了办公效率,提升了政府形象,但同时,也会受到来自外部或内部的各种攻击,包括黑鸡组织、犯罪集团或信息战时起信息对抗等国家行为的攻击,这就使得政府信息系统的安全问题更加突出和严重。因此,分析当前电子政府信息安全存在的问题,采取有效措施进行综合性安全防范,对建设和发展电子政务具有重要的意义。 1、信息安全的含义及其内容要求 一、电子政务信息安全目标 电子政务信息安全涵盖了信息环境、信息网络和通信基础设施、每题、数据、信息内容和信息应用等对多个方面的安全需要,包括信息不收威胁,信息系统、信息数据的安全以及信息内容的安全等。
电子政务的安全目标就是保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小风险和获取最大安全利益,使电子政务的信息基础设施,具有保密性、完整性、真实性、可用性、不可抵赖性和可靠性的能力。 二、电子政务信息安全存在的风险 1、信息安全意识薄弱 一是工作人员安全意识不高。目前,在电子政务系统建设过程中还普遍存在“重技术轻管理,重业务、轻安全”的思想,很多工作人员认为安装了杀毒软件和防火墙就可以抵御所有的外来侵袭。二是安全制度和安全流程的执行力不强。电子政务系统自启动运用以来,开放程度还不是很高,重要的、机密文件还没有通过网络来处理,使得公务员和普通大众对信息安全问题关注不够,信息安全意识淡薄,一些安全制度和安全流程也只是流于形式。三是领导重视程度有待进一步提高。部门领导重视工作流程的畅通性,忽略了信息安全的防范措施,在加强信息安全的重要环节上思想意识有待加强。 2、IT产品及通信网络漏洞导致风险 一方面,IT产品单一性带来安全隐患。由于政府统一采购IT产品,造成信息系统中软硬件产品单一性,如同一版本的操作系统、数据库软件等攻击过程的自动化,从而导致大规模网络安全时间的发生。另一方面,通信网络存在多方面的威胁。电子政务网络绝大多数是基于TCP/IP、NetBEUI,IPX/SPX等网络协议的通信网络,并非专为安全通讯而设计,本身就可能存在多方面的威胁,因而会造成物理
智慧政务信息系统介绍 根据国家要标准化管理委员会、国务院信息化工作办公室颁布的《电子政务标准化指南》,通常意义下的电子政务的总体框架由网络基础设施层、应用支撑层、应用层和公众服务层组成,信息安全与管理贯穿于各个层面中。我们提出了电子政务平台的总体框架,采用分层的思想对电子政务建设任务进行分解,以明确接口定义,并发建设,易于整合资源,缩短整体建设周期。 如图所示为电子政务平台的分层逻辑模型,整个逻辑结构按照功能可以自下而上划分为三个层次: 基础设施层 应用支撑层 应用层 同时,电子政务平台的安全保障体系(包括信息安全基础设施)、运行监控和维护贯穿于电子政务平台的各个层次。
基础设施层是为电子政务平台提供政务信息及其它运行管理信息传输和交换的平台,牵涉到互联网、政务外网和政务内网三个部分。其中政务内网与政务外网实现物理隔离,政务外网和互联网之间逻辑隔离。基础设施建设内容主要包括区域网络交换管理中心、网络、服务器、存储系统以及配套的基础软件和数据库等。 应用支撑层主要是针对电子政务平台的一些公共应用服务单元或特点进行归纳和抽象,建立相应的服务元素,为电子政务应用系统提供基础的模块化构件或服务,有效地简化电子政务应用系统的设计和实现,并有助于电子政务应用系统的优化设计。应用支撑层的内容主要包括多样化接入服务、统一的WEB公众门户服务平台、通用的电子政务构件、数据中心和数据交换、工作流程管理、应用集成模块、统一的用户管理等。 应用层是整个电子政务体系面向最终用户的层面,主要包括面向公众服务的公众服务系统、面向政府决策支持的内部办公系统和内部业务系统,以及电子政务门户网站。 电子政务安全保障体系和信息安全基础设施主要是面向电子政务应用的通用安全服务,包括各个层次的安全措施,和一个智能化的提供认证和授权的平台。 另外,电子政务平台建设过程必须在国家相关电子政务的标准、政策、法规指导下进行。结合各地的具体情况在国家标准和政策法规的基础上,逐步完善电子政务建设标准体系和政策法规是一项长期的任务。 6方案应用框架描述 结合国家电子政务标准,并针对城市电子政务建设实际情况,规划出城市电子政务系统与业务流程规范、业务接口及数据交换模型。旨在深化政务关键业务重构,实现信息资源共享,政务公开,改进管理体制,以提高政府办事效率及更好的便民服务,实现高效、廉洁、公正、严明的政府行政体系。 针对一站式办公平台与业务协同信息模型图,其电子政务系统平台结构总体设计如下:
附件3 网络信息安全保障体系建设方案 目录 网络信息安全保障体系建设方案 (1) 1、建立完善安全管理体系 (1) 1.1成立安全保障机构 (1) 2、可靠性保证 (2) 2.1操作系统的安全 (3) 2.2系统架构的安全 (3) 2.3设备安全 (4) 2.4网络安全 (4) 2.5物理安全 (5) 2.6网络设备安全加固 (5) 2.7网络安全边界保护 (6) 2.8拒绝服务攻击防范 (6) 2.9信源安全/组播路由安全 (7) 网络信息安全保障体系建设方案 1、建立完善安全管理体系 1.1成立安全保障机构 山东联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作。 山东联通以及莱芜联通两个层面都建立了完善的内部安全保障 工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求,已将IPTV等宽带增值业务的安
全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。 2、可靠性保证 IPTV是电信级业务,对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。 (1)设备级可靠性 核心设备需要99.999%的高可靠性,对关键网络节点,需要采用双机冗余备份。此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备24小时无间断运行。 (2)网络级可靠性 关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面: ?接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。 ?汇聚层:在OSI第三层上使用双机VRRP备份保护机制,使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然 后通过使用快速路由协议收敛来完成链路快速切换。
电子政务安全保障体系设计 1.1 安全保障体系设计 1.1.1 概述 电子政务内网所涉及的信息/数据涉及国家秘密,其机密性和完整性尤为重要,是信息安全爱护的重点对象。因此,电子政务内网平台的安全建设应符合国家保密局的《涉及国家秘密的计算机信息系统保密技术要求》和《涉及国家秘密的计算机信息系统安全保密方案设计指南》及其他安全治理部门公布的一系列规定和规范的要求。电子政务内网安全设计应体现: 全局和整体上的考虑。 应用深度防备的战略,注重防内和整体防外。 适应信息系统安全的动态性、复杂性和长期性特点。 便于实施和考核。 本设计方案遵循中华人民共和国《涉及国家秘密的计算机信息系统安全保密方案设计指南》和《电子政务试点示范工程技术规范》的要求,依据本期电子政务内网的安全建设目标,提出了电子政务内网的安全策略和安全保障体系,强调了统筹规划,针对内网
网络和边界安全、局部计算环境与应用安全,要紧从信息安全基础设施、基础安全防护技术和安全监察与治理方面设计具体的建设任务,包括CA认证设施、密钥治理系统、可信时刻戳服务系统、密码服务系统、授权服务系统,防火墙系统、加密系统、入侵检测系统、安全扫描系统、防病毒系统、安全审计系统和安全监管系统等等。 1.1.2 安全建设目标和原则 1.1. 2.1 总体目标 电子政务内网安全建设的总体目标是:针对电子政务内网可能遇到的各种安全威胁和风险,着重加强信息安全基础设施、基础安全防护系统和安全监察与治理系统的建设,形成有效的政务内网安全保障体系,保证涉密信息在产生、存储、传递和处理过程中的保密性、完整性、高可用性、高可控性和抗抵赖性,确保电子政务内网能够安全、稳定、可靠地运行,为实现电子政务建设的目标提供安全保障。 1.1. 2.2 具体目标 针对要紧的威胁和风险,本期电子政务内网安全建设的具体需求和目标概括如下: 1、确保“电子政务内网”网络传输过程中数据的保密性和完
第四章电子政务信息安全保障 学习目标:掌握基本概念并了解电子政务信息安全威胁评估及保障体系 学习重点及难点:电子政务信息安全保障体系 4.1信息安全及安全保障概述 4.1.1 信息安全内涵 信息安全就是包含了信息环境、信息网络和通信基础设施、数据、信息内容、媒体、信息应用等多个方面的安全。 4.1.2 信息安全基本特征 (1)真实性(2)可靠性(3)完整性(4)保密性(5)可用性(6)不可篡改性4.1.3 信息安全的目标 信息安全的目标就是要通过技术手段和有效的管理来确保政务信息系统的安全性,集中表现为对信息安全的保护以及对系统安全的保护。 可用性目标完整性目标保密性目标可记账性目标保障性目标 4.1.4 信息安全建设原则 (1)先进性原则(2)可扩展原则(3)可行性原则(4)标准化原则 (5)技术管理与管理相结合原则 4.1.5 信息安全保障体系架构 电子政务安全管理的两个层次: 国家层面的管理,就是立法和制定相关的技术标准,由执法机关来监督实施 电子政务系统使用单位的安全管理,过程为安全风险评估→建立管理体系 管理体系具体内容: 1、建立电子政务的技术保障体系 2、建立电子政务运行管理体系 3、建立社会服务体系 4、建设电子政务基础设施体系 加里〃麦金农 “史上最黑黑客” 2001年至2002年一年间,英国人加里〃麦金农非法侵入美国军方及宇航局的53处电脑网络,令美国军方电脑网络遭受到有史以来最严重的侵入,他也因此成为“世界头号军事黑客”。在两年间,麦金农利用黑客技术侵入了美国五角大楼、美宇航局、约翰逊航天中心以及美陆、海、空三军网络系统。 江西40家网站2007年遭黑客攻击七成为政府网站 江西省计算机用户协会向社会发布公告,2007年1?a8月份,江西至少有40家网站遭黑客恶意入侵与攻击。据了解,40家被黑客入侵的网站中,七成为各级政府所属的相关部门网站,计算机用户协会因此希望各用户单位采取措施及时防范。 记者看到,这些被黑客入侵的网站七成以上是各级政府部门的,这些网站要么被黑客篡改首页,要么被增加了页面。比如,宜春政务信息网被黑客篡改首页,新余市环境保护局被黑客增加了页面。江西省计算机用户协会的秘书长刘斌告诉记者,一旦被篡改了首页,网站就有可能打不开,或者出现大量的错误,甚至机密资料都
互联网信息化系统安全保障方案 互联网信息化系统 安全保障方案 (版本号:V1.3.2) 德州左宁商贸有限公司 2017年03月份
目录 互联网信息化系统 (1) 安全保障方案 (1) 目录 (2) 1、保障方案概述 (3) 2、系统安全目标与原则 (3) 2.1 安全设计目标 (3) 2.2 安全设计原则 (3) 3、系统安全需求分析 (4) 4、系统安全需求框架 (9) 5、安全基础设施 (9) 5.1 安全隔离措施 (10) 5.2 防病毒系统 (10) 5.3 监控检测系统 (10) 5.4 设备可靠性设计 (10) 5.5 备份恢复系统 (10) 6、系统应用安全 (11) 6.1 身份认证系统 (11) 6.2 用户权限管理 (11) 6.3 信息访问控制 (12) 6.4 系统日志与审计 (12) 6.5 数据完整性 (12) 7、安全管理体系 (13) 8、其他 (13)
1、保障方案概述 信息化系统运行在网络系统上,依托内外网向系统相关人员提供相关信息与服 务,系统中存在着大量非公开信息,如何保护这些信息的机密性和完整性、以及系 统的持续服务能力尤为重要,是信息化系统建设中必须认真解决的问题。 2、系统安全目标与原则 2.1 安全设计目标 信息化系统安全总体目标是:结合当前信息安全技术的发展水平,设计一套科 学合理的安全保障体系,形成有效的安全防护能力、隐患发现能力、应急反应能力 和系统恢复能力,从物理、网络、系统、应用和管理等方面保证“信息化系统”安 全、高效、可靠运行,保证信息的机密性、完整性、可用性和操作的不可否认性, 避免各种潜在的威胁。具体的安全目标是: 1)、具有灵活、方便、有效的用户管理机制、身份认证机制和授权管理机制, 保证关键业务操作的可控性和不可否认性。确保合法用户合法使用系统资源; 2)、能及时发现和阻断各种攻击行为,特别是防止DoS/DDoS等恶意攻击,确保信息化系统不受到攻击; 3)、确保信息化系统运行环境的安全,确保主机资源安全,及时发现系统和数据库的安全漏洞,以有效避免黑客攻击的发生,做到防患于未然; 4)、确保信息化系统不被病毒感染、传播和发作,阻止不怀好意的Java、ActiveX 小程序等攻击网络系统; 5)、具有与信息化系统相适应的信息安全保护机制,确保数据在存储、传输过程 中的完整性和敏感数据的机密性; 6)、拥有完善的安全管理保障体系,具有有效的应急处理和灾难恢复机制,确保突发事件后能迅速恢复系统; 7)、制定相关有安全要求和规范。 2.2 安全设计原则 信息化系统安全保障体系设计应遵循如下的原则:
精品文档你我共享 课程设计成绩评价表
封面 成都信息工程学院 课程设计 题目:电子政务系统安全整体解决方案设计 作者姓名: 班级: 学号: 指导教师: 日期:2010年12月20日 作者签名:
电子政务系统安全整体解决方案设计 摘要 随着信息化时代的到来,充分利用网络使办公自动化、快速、高效,已经得到越来越广泛的使用。为了建设可行的、高效的电子政务系统,本文中,我首先分析了电子政务的网络安全风险,提出了电子政务网络系统可能会面临的物理层、网络层、系统层、应用层和管理层等如此多的安全威胁,相应的提出了网络安全方案设计原则和电子政务网络安全解决方案,并且也重点强调在做好技术上的保障之后,在日常的工作中,我们应该更加关注人为的因素,建立起强烈的安全防范意识,培养良好的使用习惯。技术的保障和工作人员的重视两方面的结合,才会构建一个安全实用的电子政务系统,也一定会给民众带来巨大的帮助,受到大家的好评。 关键词:网络化办公;自动化办公;电子政务系统;网络安全风险;安全系统;解决方案
目录 1 引言 (1) 1.1课题背景知识 (1) 1.2我国电子政务的建设进程 (1) 1.3当前面临的问题 (1) 1.4本课题的需求 (1) 2 电子政务网络安全风险分析 (2) 2.1物理层的安全风险分析 (2) 2.2网络层的安全风险分析 (2) 2.3系统层的安全风险分析 (2) 2.4应用层的安全风险分析 (2) 2.4.1 身份认证漏洞 (2) 2.4.2 DNS服务威胁 (3) 2.4.3 WWW服务漏洞 (3) 2.4.4 电子邮件系统漏洞 (3) 2.5管理层的安全风险分析 (3) 3 电子政务网络安全方案设计 (4) 3.1网络安全方案设计原则 (4) 3.2电子政务网络安全解决方案 (4) 3.2.1 物理层安全解决方案 (4) 3.2.2 网络层安全解决方案 (4) 3.2.3 系统层安全解决方案 (5) 3.2.4 应用层安全解决方案 (5) 3.3安全管理方案建议 (6) 3.3.1 安全体系建设规范 (6) 3.3.2 安全组织体系建设 (6) 3.3.3 安全管理制度建设 (6) 3.3.4 安全管理手段 (6) 结论 (8) 参考文献 (9)
电子政务信息安全解决方案 佳能A700跌破2000 摩托C139售300元 爱国者MP4魅力再现轻骑兵音箱促销 -------------------------------------------------------------------------------- 近几年来,国际互联网得到了广泛应用,像网上办公、网上审批、网上申报、网上银行、网上税务、电子商务等系统的应用,改变了传统的工作模式和流程,大大提高了工作效率;但在给我们带来极大便利的同时,也带来了严重的安全问题,尤其是病毒破坏、黑客入侵、重要信息泄漏等造成的危害越来越大。尽管我们可以使用防火墙、代理服务器、入侵检测等安全措施,但是这些技术筑建的逻辑隔离,很难阻止黑客和内部用户的入侵和破坏,也就无法满足政府、军队、金融、电信等部门的信息安全要求;另外我们无法保证目前使用进口的计算机核心软硬件没有后门和漏洞。因此国家保密局规定“涉及国家秘密的计算机信息系统,不得直接或间接与国际互联网或其它公共网络联接,必须实行物理隔离”,这就要求用户重要数据和互联网切断物理连接,让黑客无机可乘,但是这样又不便利用互联网上丰富的信息资源。要达到既能有效地隔离内外网,又能方便地使用内外网的资源,可通过使用终端隔离、信道隔离、网络/服务器隔离等多种技术来构建的内外网。这样的网络至少要满足以下三个特征: 1、阻断内外网的物理传导,确保不能通过网络连接从外网侵入内网,同时防止内网信息通过网络连接泄漏到外网。 2、隔离内外网的物理存储,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息窜到外网;对于断电后非遗失性部件,如磁带机、硬盘等存储设备,内外网的信息要分开存储;严格限制使用软盘、光盘等可移动介质。 3、隔断内外网的物理辐射,确保内网信息不会通过电磁辐射或耦合方式泄漏到外网。 随着政务公开和政府上网工程的开展,很多政府部门的对外业务服务必须通过互联网来完成,如申报数据的接收、建议或意见的采集、处理结果的反馈等,而数据的审核、处理则需要由内网的工作人员来完成。因此,内外网之间的信息安全交换成为各政府部门需要迫切解决的问题。下面以行业信息化建设为例,设计了一种信息安全解决方案,如下图所示:第一层为政务内网,即政府部门内部的关键业务管理系统和核心数据应用系统,如公文系统、专项业务管理系统、面向管理层的统计分析系统、重大事件的决策分析处理系统、核心数据库系统等,需要采用包括身份鉴别、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠性等安全措施。通过物理隔离器与政务外网相联,在实现隔离网络间数据正常传输的同时,对传输的数据进行校验,过滤其中的黑客程序和病毒代码等破坏性信息,只允许与系统相关的数据进入内网;指定的数据和文档可以在内外网物理隔离的条件下单向或双向流转;保证内外网传输的信息是安全的、纯净的,对内部网络系统和数据不会造成影响和破坏。物理隔离器应具备以下功能和特性: 1、采用特殊协议方式,实现内外网安全隔离,关掉外网关TCP/IP协议,采用自行设计的专有协议,外网关只在数据链路层工作。 2、采用DSP开关通讯技术,在保证安全情况下实现数据交换。 3、访问登录设置功能,管理员登录后,开通用户账号和设置口令,设置不同级别的访
5步构建信息安全保障体系 随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱,更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,信息安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的信息系统面临的风险能够达到一个可以控制的标准,进一步保障信息系统的运行效率。 通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。 构建第一步确定信息安全管理体系建设具体目标 信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。 信息安全的组织体系:是指为了在某个组织内部为了完成信息安全的方针和目标而组成 的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。
信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次: 第一层策略总纲 策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。 第二层技术指南和管理规定 遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分: 技术指南:从技术角度提出要求和方法; 管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。 第三层操作手册、工作细则、实施流程 遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。 构建第二步确定适合的信息安全建设方法论 太极多年信息安全建设积累的信息安全保障体系建设方法论,也称 “1-5-4-3-4”。即:运用1个基础理论,参照5个标准,围绕4个体系,形成3道防线,最终实现4个目标。
信息技术 摘要:本文针对电子政务网络安全可能遇到的主要风险及解决方案进行了详细的分析和研究。 关键词:电子政务网络安全 0引言 电子政务是政府机构应用现代信息通信技术,将管理和服务通过网络技术进行集成,在互联网上实现组织结构和工作流程的优化重组,向社会提供优质和全方位的、符合国际水准的管理和服务。 电子政务的安全大部分归属于网络安全,网络安全不只是单点的安全,而是整个网络的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。 1电子政务网络的复杂性 通常情况下,网络系统安全与性能、功能是一对矛盾的关系。政府信息网络结构复杂,内联网不仅连接着省、市、县等政府机关,而且还连接各大企业网络、公安网络,具有多个外部出口。另外政府网接入国际互联网络,提供公开信息服务,使其安全问题更加复杂。 2安全风险分析 为了便于分析网络安全风险和设计网络安全解决方案,我们可以采取分层的方法,在每个层面上进行细致的分析,根据风险分析的结果设计出符合实际的、可行的解决方案。 2.1物理层的安全风险分析网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。常见情况有:设备被盗、被毁坏;链路老化或被有意或者无意的破坏;因电子辐射造成信息泄露;设备意外故障、停电;地震、火灾、水灾等自然灾害等。 2.2网络层的安全风险分析 2.2.1数据传输风险分析由于局域网数据传输线路之间存在被窃听的潜在威胁,同时局域网内部也存在着攻击行为,一些敏感信息可能被窃取和篡改,造成泄密。如果没有专门的软件或硬件对数据进行控制,所有的广域网通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取。 2.2.2网络边界风险分析各级政府机构都会连接INTERNET 国际互联网,并有公开服务器(WWW、DNS、FTP等服务器),对外提供公开信息服务。由于国际互联网的开放性,使得政府网的安全性大大降低。 2.2.3网络设备安全性分析网络设备自身的安全性也会直接关系到政府系统和各种网络应用的正常运转。例如,路由信息泄漏、交换机和路由器设备配置风险等。 2.3系统层的安全风险分析电子政务网通常采用的操作系统(主要为UNIX、Linux、Windows2000、Windows2003、Windows XP)本身在安全方面考虑较少,服务器、数据库的安全级别较低,存在一些安全隐患。同时病毒也是系统安全的主要威胁,所有这些都造成了系统安全的脆弱性。 2.4应用层的安全风险分析电子政务网络应用系统中主要存在以下安全风险:非法访问;用户正常提交的信息被监听或修改;用户对成功提交的业务进行事后抵赖;伪装及骗取用户口令等。由于政府网络对外提供WWW服务、E-mail服务、DNS服务等,因此也存在外网非法用户对内部服务器的攻击。 2.5管理层的安全风险分析责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或受到其它安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。 3电子政务网络安全解决方案 3.1物理层安全解决方案保证系统中各种设备的物理安全是保障整个网络系统安全的前提。其中包括:对系统所在环境的安全保护,如区域保护和灾难保护;设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;设备冗余备份,可通过严格管理及提高员工的整体安全意识来实现。为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。 3.2网络层安全解决方案 3.2.1防火墙安全技术的建议电子政务网络系统是一个由省、市、各区县政府网络组成的三级网络体系结构,属于不同的网络安全域。因此在各个网络边界,以及电子政务系统和Internet边界都应安装防火墙,并实施相应的安全策略。电子政务系统还与各企业连接,政府和企业之间是不完全信任关系。所以政府应在企业接入服务器与其内网之间安装防火墙进行隔离,同时控制两者之间的访问行为。另外,为控制对关键服务器的授权访问控制,建议把公开服务器集合为一个专门的服务器子网,设置防火墙策略来保护对它们的访问。 3.2.2入侵检测安全技术的建议入侵检测系统在重点保护网络中是访问控制设备防火墙最有利用的补充。在内联网各节点重点保护段的主交换机上配备入侵检测系统的探测器,通过中心控制台对所有探测器进行集中统一管理。包括制定安全策略、修改安全策略以及升级攻击代码库等。 3.2.3数据传输安全的建议为保证数据传输的机密性和完整性,建议在电子政务专用网络中采用安全VPN系统,统一安装VPN 设备,对移动用户安装VPN客户端软件。通过加密设备之间的加解密机制、身份认证机制、数字签名机制,将电子政务专用网构造成一个安全封闭的网络。 3.3系统层安全解决方案 3.3.1操作系统安全技术操作系统是所有计算机终端、工作站和服务器等正常运行的基础,关键的服务器应该采用服务器版本的操作系统;网管终端、办公终端可以采用通用图形窗口操作系统。在没有其它更高安全级别的操作系统可供选择的情况下,安全关键在于操作系统的安全管理,制定强化安全的措施。 3.3.2数据库安全技术目前的商用数据库管理系统主要有MS SQL Sever、Oracal、Sybase、Infomix等。数据库管理系统应具有自主访问控制(DAC)、验证、授权、审计,以及在数据库级和纪录级标识数据库信息的能力。 3.4应用层的安全技术方案根据电子政务专用网络的业务和服务,我们采用身份认证技术、防病毒技术等来保障网络系统在应用层的安全。 3.4.1身份认证技术公钥基础设施可以做到:确认发送方的身份;保证发送方所发信息的机密性;保证发送方所发信息不被篡改;发送方无法否认已发该信息的事实等,对电子政务达到其成熟阶段具有不可或缺的、极为重要的意义。 公钥基础设施(PKI)必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKI也将围绕着这五大系统来构建。因此有必要在国、省、地市政府中心建立CA中心,保证非接触性网上业务的可靠性。 3.4.2防病毒技术根据电子政务系统网络结构和计算机分布情况,病毒防范系统可配置成分布式进行集中管理。防病毒客户端安装在系统的关键主机中,如关键服务器、工作站和网管终端。在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀,设定病毒防范策略。 3.5安全管理建议面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理,建立网络安全体系。在省中心和各地市建立网络安全建设领导委员会。省中心的安全委员会负责安全体系的总体实施,领导整个部门不断提高系统的安全等级。 4结束语 电子政务提供科学决策、监管控制和大众服务的功能,信息安全使其成功的保证。解决好信息共享与保密性的关系,开放性与保护隐 电子政务安全风险分析及解决方案 李佳娜(同济大学) 280
龙源期刊网 https://www.doczj.com/doc/614181590.html, 关于电子政务信息安全风险分析与防范 作者:速昆 来源:《科学与信息化》2018年第09期 摘要科技创新改善了人民群众的生活质量,也转变了他们的生活方式。电子政务,就是依次历史性的变革。办公自动化、网上政府等平台,为群众提供了诸多的便利。电子政务在各地的普及,背后也有很多无法避免的难题。电子政务信息安全,可以从技术、观念、管理或是法律等方面得以体现。本文基于安全范畴的定义着手,介绍了电子政务中的技术、观念、管理以及法律风险,最后提出具体的方法对策。 关键词电子政务;信息安全;风险分析 1 电子政务信息安全的内涵 对政府管理来说,电子政务意味着一场巨大的革命。利用信息、通信技术,摆脱了行政机关在组织上的界限,建立电子化的虚拟单位,让公众不再受传统关卡、书面审核的限制。结合自身的需求,我们可以自由地选择获取途径、时间或是地点等,为公民提供多元化的服务。政府机关、政府和社会各界,同样也可以利用电子化渠道来达到无障碍地交流。电子政务的创建,将政府打造成了与环保精神更贴合的政府。它非常开放、透明,有很高的办事效率,同时也更注重廉洁勤政。但是,电子政务的基本职能和优势有个重要的前提:信息安全。电子政务信息官网有不少政府公文仍在流转,充斥很多机密比较高的数据或是信息,这就威胁着政府的主导政务。它牵扯到政府机构、各大系统甚至国家总体的利益。严重时,可能会威胁国家的利益和领土安全。可见,探讨电子政务及其相关安全问题很有必要[1]。 2 电子政务信息安全风险分析 2.1 观念、管理及法律方面 数年前,信息安全专家便明确地主张:注重和完善信息安全。1999年,政府成功启动了 上网工程,非常关注网络系统的建设。然而,部分区域却并未从思想上关注信息安全。据统计,政府投入到网络安全上的经费比重低于2%。而国外的比例约为10%,二者差距很明显。在电子政府信息威胁事件中,黑客的侵袭、内部雇员入侵的占比相对偏高。但是,他们并未关注网络犯罪,忽略了黑客攻击或是病毒入侵等比较常见的网络犯罪。很明显,这就对网络信息安全埋下了隐忧。电子政务信息安全,并非简单的技术问题。我们需要对问题有深层次地了解,洞悉当前的情况,从本质上处理和规避安全隐患。构建电子化业务良性的安全防范机制,下达合理的检查措施,利用法律来规范公民的网络行为,降低网络犯罪率。 2.2 技术方面