杭州市权力阳光电子政务系统安全技术规范(草案) 一、总体要求 权力阳光电子政务系统的建设各方应从物理环境、网络平 台、系统平台、业务应用以及运行管理等方面分析并提高系统的整体安全保障能力,总体要求包括: a)信息系统的物理环境应提供系统正常运行的场所,并保证硬件、通信链路、机房环境的物理安全。 b)系统应合理划分不同的网络区域,根据应用需求设置合理的访问控制策略,强化网络设备自身安全配置; c)操作系统、数据库须进行安全配置。业务应用软件应根据安全需求开发安全功能,通过启用这些安全功能,达到保护应用信息的目的。 d)系统应对网络、可移动存储介质、光盘等病毒可能入侵的途径进行控制,并阻断病毒在系统内的传播。
e)系统中采用的安全产品必须选用经国家主管部门许可、并经国家认证机构认可的产品。系统如采用密码技 术及产品对非涉密信息进行加密保护或安全认证,所采用的密码技术或密码产品应符合《商用密码管理条例》的要求。 f)系统建设单位应针对系统应用状况建立安全管理制度,在统一的安全策略下对各类行为进行管理。 二、基本安全目标 2.1.物理环境 2.1.1.机房环境 机房建设应满足国家标准GB/T 2887《电子计算机场地通用 规范》、GB/T 9361《计算机场地安全要求》的要求。 2.1.2.硬件设施的物理安全 构成信息系统的采购硬件、自制硬件及其组成零部件应符合国家规定的质量标准。 2.2. 网络平台 2.2.1.网络边界 系统应根据安全需求在与Internet以及市电子政务外网、资
源专网等其他网络的网间互连处配置网关类设备实施访问 控制,并对通信事件、操作事件进行审计。 2.2.2.网络内部结构 根据应用需求在内部网路结构中划分服务器区等独立网段 或子网,并在相关网络设备中配置安全策略进行隔离,实施对内部信息流的访问控制。 2.2. 3.网络设备 根据系统安全策略和应用需求对防火墙、路由器及交换机等 网络设备实施安全配置。 防火墙、路由器及交换机的自身安全配置至少应包括下列内容:版本更新与漏洞修补、版本信息保护、身份鉴别、链接安全、配置备份、安全审计。 2.3. 系统软件 2?3?1?操作系统 操作系统应根据信息系统安全策略进行选择和安全配置,并定期进行操作系统的漏洞检测、补丁修补。安全配置的内容包括:身份鉴别、用户权限分配、口令质量、鉴别失败处理、默认服务开放、终端限制、安全审计等。
县电子政务网络安全管理办法—规章制度 为加强我县电子政务网络安全管理工作,确保网络安全运行,结合我县的实际情况特制定电子政务网络安全管理办 法。 1、各单位网络管理人员必须精心维护好单位的网络设备,做到防尘、防热、防潮、防水、防磁、防静电等,以增加设备使用年限。县政府办将定期对各单位的网络管理情况进行检查,发现不能达到以上要求的单位,将对其进行通报批评,对由于管理人员疏忽造成网络安全事故的,将追究相关管理员及单位领导责任。 2、各联网单位不得随意更改政务网络接入设备配置,不得擅自切断电子政务网络设备电源,不得擅自挪动相关设备和切断、移动相关传输线路,不得擅自与其他网络对接,不得随意增加交换机、集线器以及接入信息点数量,如需进行以上变动,应向县政府办信息科提出申请,经批准后方可实施。 3、各联网单位要增强网络安全意识,严禁登陆浏览黄色网站(网页),禁止下载、使用存在安全隐患的软件,不得打开来历不明的电子邮件附件,不得随意使用计算机文件共享功能,防止计算机受到病毒的侵入。
4、工作时间禁止玩网游、下载电影及大型软件,以保证本单位网络速度。县政府办信息科将采取技术措施对互联网出入口的数据进行监控,对发现的问题将在全县范围内进行通报,并按照相关规定严肃处理。 5、政务网计算机使用单位和个人,都有保护政务网信息与网络安全的责任和义务,所有关于本单位网站、论坛、信息录入等密码要严格保密不得泄露,一旦泄露立即报政府办信息科进行密码修改。 6、各接入单位应当定期制作计算机信息系统备份,备份介质实行异地存放。对可能遭受的侵害和破坏,应当制定灾难防治预案。 7、要配备计算机系统补丁升级和病毒防治工具,定期进行系统补丁升级和病毒检查。使用新机、新盘及拷贝的软件、数据,上机前应进行系统补丁升级和病毒检查。 8、办工人员严禁下列操作行为: (1)非法侵入他人计算机信息系统和联网设备操作系统; (2)未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰,影响计算机信息系统正常运行; (3)故意制作、传播计算机病毒等破坏程序;
电子政务网络安全风险分析 对于电子政务专用网络内部而言,具有资源分类别、分级别、密级区别等特点,各个用户、各个部门拥有自主储存、使用和传递共享的资源。因此,电子政务专用网络内部也必须对各种信息的储存、传递和使用进行严格的权限管理。我们认为在指导思想上,首先应在对电子政务专用网络安全风险分析的基础上,做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟交换网络(VLAN)、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI技术等,并实现集中统一的配置、监控、管理;最后,应加强有关网络安全保密的各项制度和规范的制定,并予以严格实行。为了便于分析网络安全风险和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。 从系统和应用出发,网络的安全因素可以划分到如下的五个安全层中,即物理层安全风险分析、网络层安全风险分析、系统层安全风险分析、应用层安全风险分析、管理层安全风险分析。 电子政务网络安全方案设计 1. 网络安全方案设计原则 网络安全建设是一个系统工程,电子政务专用网络系统安全体系建设应按照“统一规划、统筹安排、统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。 在进行网络系统安全方案设计、规划时,应遵循以下原则:需求、风险、代价平衡的原则,综合性、整体性原则、一致性原则,易操作性原则,适应性、灵活性原则,多重保护原则,可评价性原则。 2. 电子政务网络安全解决方案 (1)物理层安全解决方案 保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:环境安全、设备安全、线路安全。 为了将不同密级的网络隔离开,我们还要采用隔离技术将核心密和普密两个网络在物理上隔离,同时保证在逻辑上两个网络能够连通。 (2)网络层安全解决方案 防火墙安全技术建议:电子政务网络系统是一个由省、各地市、各区县政府网络组成的
浅谈中国电子政务中的安全问题及对策 2010-05-30 08:18来源: 本站整理作者:杨乃滨网友评论0 条浏览次数324 -------------------------------------------------------------------------------- 论文关键词:电子政务物理安全系统安全信息安全管理安全 论文摘要:从电子政务安全范畴的界定入手,从物理安全、系统安全、信息安全、管理安全4个方面阐述中国电子政务中的安全问题及对策。 近年来,在党中央、国务院的大力推动下,我国电子政务开始进入全面实施阶段,电子政务建设成为一项覆盖各级政府部门的、大型复杂的系统工程。与此同时,安全问题给电子政务工程的规划、设计、组织和实施带来了巨大的挑战。国家互联网应急中心CNCERT/CC权威发布的数据显示,2008上半年与2007年同期相比,网络安全事件数量有显著增加,其中政府网页信息被篡改的事件呈现大幅度上涨趋势,与2007年同期相比增加41%。因此,电子政务信息系统的安全管理成为一个必须引起各部门高度重视的问题。 一、电子政务安全范畴 谈到电子政务安全,人们立即就会联想到病毒、黑客等熟悉的名词,也很容易把它与网络安全、电子商务安全混为一谈。网络安全通常是指计算机网络系统的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露。它更多地侧重于技术层面上网络系统安全问题的分析和对策。而电子政务安全则是一个非常复杂的系统工程,它遍布在政府信息化的各个环节之中,其范畴已经超越网络安全所指的技术层面。可以说,网络安全是电子政务安全中一个重要的组成部分。 电子政务安全和电子商务安全都是非常复杂的系统工程,但是由于电子政务本身的开放性、虚拟性、网络化的特点以及我国政府部门制定统一的电子政务建设标准和规范、全国上下可互联互通的统一平台和网络,有关国家政治经济的敏感信息和数据都对电子政务系统的安全性提出了更为严格的要求。从信息社会角度讲,电子政务安全和电子商务安全也存在着本质共性的联系,电子政务安全是实现电子商务安全的基础和保障。 电子政务安全的特殊需求实际上就是要合理地解决网络开放性与安全性之间的矛盾,在电子政务系统信息畅通的基础上,有效阻止非法访问和攻击对系统的破坏。本文将电子政务安全的范畴界定为物理安全、系统安全、信息安全、管理安全4个部分。 二、电子政务中的安全问题及对策 1.物理安全 保证计算机信息系统各种设备的物理安全是整个电子政务系统安全的前提。物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。电子政务系统采用的计算机硬件虽然在功能上有了很大的提高,但它毕竟属于高度精密的仪器,任何开发时的疏忽以及实际运行时的震荡、静电、潮湿、过热等情形都可能使其受到严重的损伤。具体来说,电子政务中的物理安全主要包括以下几个方面。一是系统运行中的安全隐患,主要包括电源问题、水患与火灾、电磁干扰与泄露以及其他的环境威胁。二是物理访问风险与控制。物理安全威胁不单来自于环境,还来自于人为操作失误及各种计算机犯罪行为。三是电子政务信息系统的场地与设施安全管理。是指中华人民共和【亘国家标准GB50173—93《电子计算机机房设计规范》、GB2887—89《计算站场地技术条件》、GB9361—88(计算站场地安全要求》对应用信息系统的场地与设施进行的安全管理。 2.系统安全 (1)硬件系统安全的问题及对策。电子政务系统的主要特征就是大量采用信息系统支持政务活动,而信息系统首先表现为各种各样的物理设备,比如计算机、磁盘、网络设备等。如果
电子政务论文范文 电子政务论文范文 新时代背景下计算机技术、网络技术、信息技术已得到了高度普及。现代社会活动中几乎所有领域都对计算机进行了应用,计算机已成为人们生活、办公中的一部分。二十一世纪人类文明已经达到了另一个高度,全球进入了一个信息时代、网络时代,政府组织和工作中也已经开始融入计算机技术。电子政务是一种全新的政府办公手段。但电子政务发展的同时也面临信息安全问题。现如今网络攻击、病毒入侵、黑客攻击等现象都给电子政务发展带来了威胁。将针对电子政务安全工程的关键技术及重要性展开研究 【关键词】 电子政务;安全工程;关键技术;重要性 1前言 电子政务随着计算机技术的高度发展已逐渐成熟起来,电子政务迅速广泛应用到各国政府机构办公中,但电子政务建设的同时却一直被病毒、黑客等负面因素所困扰。且近些年来电子政务安全问题日益突出,甚至已严重威胁到国家信息安全。电子政务安全工程是保障政府机构政务信息数据安全的主要手段,只有做好电子政务安全工程,才能避免电子政务系统遭到破坏以及导致数据信息丢失、泄漏、被篡改。当前威胁电子政务系统安全的主要攻击手段有: 口令攻击、窃听和数据截获攻击、IP欺骗攻击等等。 2电子政务安全工程建设的重要性
自从计算机诞生以来就开始出现各式各样的计算机病毒和攻击手段,对计算机数据进行窃取和破坏,甚至还有一些不法之徒利用计算机病毒,入侵他人计算机盗取账号密码、银行卡信息、隐私信息及财产的现象。对企业而言,信息数据的丢失和泄漏,很有可能导致企业商业机密泄漏,给企业带来经济损失。对个人而言,就是个人隐私的侵害。对国家而言,信息泄漏就可能是国家机密的泄漏,给国家安全带来威胁。一些信息外泄极有可能引起不良社会反应,给社会稳定及和谐带来危害,给国家带来不可预期的后果。电子政务系统中的信息就是如此,政府部门担负着管理国家事务的重任,电子政务信息资源中包含大量国家机密及公众隐私信息。电子政务安全直接涉及到国家信息安全问题,其安全性是国家安全及社会稳定的基础。我党对电子政务安全问题一直以来都十分重视,党的十六届五中全会中重点强调了电子政务安全的重要性,要求各级政府相关部门强化网络信息安全保障体系,提高对电子政务安全的重视。 3威胁电子政务安全的主要攻击手段 3.1口令攻击 口令攻击是当前黑客较为常用的攻击方式,黑客在选定攻击目标后,便会试图利用口令入侵目标计算机系统,获取想要得到的信息。口令攻击基于穷举法来实现,利用字典尝试口令直到验证成功,口令验证的全过程可利用计算机软件自动完成。口令攻击多被用于UNIX 系统入侵,UNIX验证失败不会封锁用户,可无限尝试口令,成功入侵后不会提示系统管理员,而后就可以利用Telnet、FTP等工具,对加密文件进行破译,最终得到他们想要的信息。 3.2数据劫持攻击
华为电子政务网络安全解决方案 编者按:没有安全的网络,就像没有围墙的院落,随时随地会受到骚扰和侵犯。随着政务网络的不断发展和应用,网络受到的安全挑战越来越多。如何保证政务网络的全面安全?华为电子政务网络安全解决方案为此提供了解决办法…… 没有安全的网络,就像没有围墙的院落,随时随地会受到骚扰和侵犯。随着政务网络的不断发展和应用,网络受到的安全挑战越来越多。如何保证政务网络的全面安全是摆在建设与管理者面前的一个难题。 随着政务网络的层次化、分组化以及宽带化发展,政府部门越来越多的统计决策业务、日常监督检查业务、OA等管理性业务以及面向多媒体的综合业务都开始向数字化、网络化转变,这符合当前信息网络融合发展的趋势。多网融合对应用的安全性提出了更高的要求。 但目前政务网络还存在一些常见的问题:一是没有统一的网络授权控制策略,仅采用简单的口令控制,使用不便,而且难以确保口令的时效限制。二是机房中心访问控制与未来跨主机业务之间的矛盾,如不同政府部门之间的业务开展和结算等。三是网络规划基本上还是以简单办公业务需求为主,没有考虑到将来政府网络支持的业务对网络架构和安全要求提高后的平滑过渡。四是政务内网与政务外网之间的数据交换存在实时性与安全性之间的矛盾。因此,政务网络需要整体性的安全解决方案。
政务网络安全策略 完整的安全体系结构应覆盖系统的各个层面,由“网络级安全、应用级安全、系统级安全和管理级安全”四大部分组成。 网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障政务网络的安全;应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制,在应用层保证对政务网络各种应用系统的信息访问合法性;系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控,防止不法分子利用操作系统的安全漏洞对政务网络构成安全威胁;管理级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障政务网的安全。因此作为一个完整的系统,政务网络必须对网络系统进行全方位的考虑。 网络的安全覆盖系统的各个层面,包括网络传送、网络服务、应用安全、安全识别、安全防御、安全监控、审计分析、集中管理等多个方面。这需要依靠安全保护和安全管理进行全面防护。
国家电子政务外网网络与信息安全管理暂行办法 第一章总则 第一条为加强国家电子政务外网(以下简称“国家政务外网”)网络与信息安全工作,根据国家信息安全的相关法律和法规,结合国家政务外网建设和运行的实际情况,制定本办法。第二条国家政务外网分为中央政务外网和地方政务外网,本办法适用于各级政务外网建设、运维和管理单位(以下简称“各级政务外网单位”)。在国家政务外网上运行的各业务应用系统的运维和管理部门参照本办法的相关条款执行。 第三条国家政务外网网络与信息安全工作要统筹规划、统一策略、分级建设,在国家信息安全主管部门的指导下,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,分级管理、责任到人。国家信息中心负责中央政务外网网络与信息安全的保障工作,各级政务外网单位负责本级政务外网网络与信息安全的保障工作,接入政务外网的各级政务部门负责本部门网络与信息安全的保障工作。 第四条各级政务外网单位在进行政务外网规划、设计和建设时应同步做好安全保障系统的规划、设计和建设,并落实好运行维护管理中的安全检查、等级测评和风险评估等经费。 第五条任何单位和个人,不得利用国家政务外网从事危害国家利益、集体利益和公民合法权益的活动,不得危害国家政务外网的安全。 第二章管理机构与职责 第六条国家政务外网网络与信息安全管理工作实行领导负责制,各级政务外网单位应落实一名分管领导负责网络与信息安全工作。 第七条国家信息中心政务外网工程建设办公室(以下简称“政务外网工程办”)负责协调、指导国家政务外网网络与信息安全工作,负责中央政务外网网络与信息安全管理工作,主要职责包括: (一)贯彻执行国家信息安全的相关法律和法规,指导、协调和规范国家政务外网网络与信息安全工作; (二)组织制定国家政务外网网络与信息安全总体规划、安全策略、标准规范和各项管理制度; (三)负责联系国家信息安全主管部门,并接受其指导,向有关部门报告国家政务外网网络与信息安全重大事件; (四)组织国家政务外网网络与信息安全等级保护工作,组织开展信息安全自查、检查和风险评估,对全网安全运行状况进行分析、研判和通报; (五)负责中央级政务外网的网络与信息安全管理工作; (六)建立和管理全国统一的电子认证服务体系; (七)制定中央级政务外网网络与信息安全应急预案,组织开展应急演练; (八)组织信息安全宣传、教育和培训。 第八条各级政务外网单位的信息安全主管部门和负责单位应参照本办法第七条,确定本级政务外网信息安全管理机构及其职责。 第三章网络安全管理 第九条国家政务外网与互联网实行逻辑隔离。 第十条按照业务安全需求,中央政务外网划分为互联网接入区、公用网络区和专用网络区等功能区域。地方政务外网均应按照业务应用需求,规划不同的功能区域,在各区域之间实现逻辑隔离和安全有效控制。 第十一条中央和省级政务外网应达到信息安全等级保护第三级的要求。 第十二条互联网接入区与互联网之间,按照统一的安全策略实现安全连接。
电子政务内网安全现状分析与对策 4.29首都网络安全日电子政务应用论坛分享 上世纪80年代末,我国首次提出发展电子政务,打造高效、精简的政府运作模式。 近年来,随着政府机构的职能逐步偏向社会公共服务,电子政务系统的高效运作得到民众的肯定,但同时,各类业务通道的整合并轨也让电子政务系统数据安全问题“开了口子“:“国家旅游局漏洞致6套系统沦陷,涉及全国6000万客户信息” “4.22事件,多省社保信息遭泄露,数千万个人隐私泄密” “国家外国专家局被曝高危漏洞,分站几乎全部沦陷” …… 一. 电子政务内网数据库安全面临的风险 虽然基于安全性的考虑,电子政务系统实行政务外网、政务专网、政务内网的三网并立模式,但通过对系统安全性能的研究,安华金和发现:当前电子政务内网信息系统中的涉密数据集中存储在数据库中,即使是与互联网物理隔离的政务内网,一系列来自数据库系统内部的安全风险成为政府机构难以言说的痛。 风险一、数据库管理员越权操作: 数据库管理员操作权限虽低,但在数据库维护中可以看到全部数据,这造成安全权限与实际数据访问能力的脱轨,数据库运维过程中批量查询敏感信息,高危操作、误操作等行为均无法控制,内部泄露风险加剧。 风险二、数据库漏洞攻击: 由于性能和稳定性的要求,政务内网多数使用国际主流数据库,但其本身存在的后门程序使数据存储环境危机四伏,而使用国产数据库同样需要担心黑客利用数据库漏洞发起攻击。 风险三、来自SQL注入的威胁:
SQL注入始终是网站安全的顽疾,乌云、补天、安华等平台爆出的数据漏洞绝大多数与SQL注入攻击有关,内外网技术架构相同,随着政务内网的互联互通,SQL注入攻击构成政务内网的严重威胁。 风险四、弱口令: 由于账户口令在数据库中加密存储,DBA也无法确定哪些是弱口令,某国产数据库8位及以下就可以快速破解,口令安全配置低,有行业内部共知的弱口令,导致政务内网安全检查中发现大量弱口令和空口令情况,弱口令有被违规冒用的危害,即使审计到记录也失效。 传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术形成应对策略,但对于核心数据库的防护欠缺针对有效的防护措施。 二. 电子政务内网数据库防护解决方案 电子政务系统的数据安全防护,在业务驱动的同时,保障政策要求同样重要,在此前提下,国家保密局于2007年发布并实施分级保护保密要求: 特别是对于系统中数据的保密,要求中明确指出:对于机密级以上的系统要从运行管理三权分立、身份鉴别、访问控制、安全审计等方面进行一系列的技术和测评要求,具体涉及以下三方面: 访问审计: 1、审计范围应覆盖到服务器和重要客户端上的每个数据库用户 2、审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等 3、应能够根据记录数据进行分析,并生成审计报表 4、应保护审计进程避免受到未预期的中断 5、应保护审计记录避免受到未预期的删除、修改或覆盖等 6、审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 二、主动预防 1、通过三权分立,独立权控限制管理员对敏感数据访问。 2、应针对SQL注入攻击特征有效防护 3、应检测对数据库进行漏洞攻击的行为,能够记录入侵的源IP、攻击的类型,并在发生严重入侵事件时主动防御
电子政务网络安全风险评估问题发现及保障建议 近些年,随着统筹协调机制、“互联网政务服务”、信息资源整合共享等概念的出现和逐步落地,以及数字化、网络化、智能化为特质的新一代信息通信技术(ICT)加快驱动,政府再次转型驶入新型电子政务建设快车道。电子政务领域信息系统也从早期的门户网站、邮件系统、办公系统不断得到创新和运用,网上办公、数据集中、各种业务支撑系统层出不穷。与此同时,这些信息系统面临的网络安全问题也越来越突出。本文总结分析近些年对电子政务领域各种信息系统进行风险评估过程中发现的网络安全问题,分析电子政务网络安全发展趋势,提出安全保障建议,旨在为新型电子政务建设以及政府治理体系根本性变革提供参考。 一、电子政务信息系统网络安全面临的问题和挑战 (一)安全设计与应用实现存在匹配失衡现象,敏感数据防护手段不成熟,数据安全不容乐观 电子政务作为国家重要信息系统,承载包括国家、企业以及个人的敏感信息,成为黑客组织、商业情报机构的关注焦点。我国电子政务领域信息系统建设“交钥匙工程”现象仍然存在,安全设计和应用实现不够合理和科学,不能抓住安全和业务的平衡点,业务系统最终
呈现出的结果背离最初安全设计目标和预期使命。粗放型的管理理念和管理体系与现有安全管理工具不能相互融合支撑。同时,注重外围边界安全,忽视内网安全,只重视以网关产品为主要形式的边界防御,对内部网络、业务应用和数据安全的管理不够重视,无法保证整体网络安全性。数据加密存储或加密传输手段实现比例很低,缺乏切实有效的数据防外泄手段,敏感数据得不到重点保护,缺少实质性的安全防护措施。目前,数据窃取的技术手段与工具也在快速发展,数据泄露的风险进一步加大,数据安全形势不容乐观。 (二)信息系统建设运维人员组成复杂,面对新应用新技术应急资源未得到合理有效整合 电子政务信息系统设备非国产化问题还未得到彻底解决,安全设备购买后要么“裸奔”,要么被束之高阁。一些单位还购买了专门的安全服务,将信息系统安全配置与管理全权交给集成或安服公司,虽然在一定程度上节省了专业人员的培养成本,但是,随着厂商业务的拓展、售后服务人员的更迭、产品质保期的结束,会产生很多不可控的因素,人员安全意识、安全技能以及安全防护水平均存在参差不齐的现象,网络安全保障受制于人。随着无线网络、云计算、大数据等技术的不断普及,移动执法、移动监测、移动服务、移动媒体等广泛应用,恶意代码攻击、个人隐私泄露的途径也在不断扩大。电子政务领域网络安全应急方面主要问题表现在缺少供决策者作战指挥的固
电子政务中存在的安全问题 随着计算机信息技术的飞速发展,电子政务在政府实际工作中已经发挥了越来越重要的作用。可以毫不夸张地说,现在如果缺少了电子信息技术这个手段,或者说如果因为安全问题导致电子政务系统无法正常运行,大量的政府部门将完全无法进行正常的工作,将直接给地方的经济发展带来巨大的负面影响。因此,目前对电子政务安全问题进行研讨是十分及时和必要的。 电子政务中存在的安全问题 通过实地的调查研究,尤其是针对杭州地区政府部门在电子政务应用中发现的问题进行总结,发现当前主要存在五方面的问题,应该引起各有关方面的高度重视: 1.网络安全域的划分和控制问题 很显然,安全与开放是矛盾的,这个在电子政务的应用中也同样存在且显得尤为重要。电子政务中的信息涉及到国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向,一是要为社会提供行政监管的渠道,二是要为社会提供公共服务,如社保医保、大量的公众咨询、投诉等等,它同时又需要一定程度的开放。因此如何合理地划分安全域,通俗地讲,能让老百姓看什么,不能让老百姓看什么,在这两者之间寻求一个平衡点就显得非常重要。如一些单位采用VPN的形式进行某些业务操作,但是操作中的部分数据又想通过WEB方式给公众浏览,这时就存在在网络拓扑中WEB应该摆在什么位置、业务数据中心库应该摆在什么位置、如何利用防火墙等网络安全设备合理划分这些域等等问题。 而同时前一阶段正是由于政府公开的信息中过分强调了“安全”这个问题,弱化了“开放”,导致了很多政府部门在电子政务的实际应用中发挥不了多大的正面作用,甚至有负面作用的存在,如制作了一个网页以后无人定期进行维护导致与实际内容有所偏差,甚至有的是明显的错误等。在全社会广泛关注的情况下,一些部门为了迅速扭转在社会公众面前的形象,盲目地将一些信息公开化,导致了一些泄密事件的发生。 2.内部监控、审核问题 电子政务与电子商务的不同点在很大程度上是体现在对公网的利用率上。就像前面提到的电子政务模型中的政府部门内部利用先进的网络信息技术实现办公自动化、管理信息化、决策科学化这一块,就基本是利用VPN等技术实现的专网。抛开公网的庞大黑客群体不谈,内部人员是否对网络进行恶意的操作和是否具有一定程度的网络安全意识,在很大程度上决定该单位网络本身的安全等级系数和防护能力。目前绝大部分单位都没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录,更不用谈对一些非法操作进行屏蔽和阻断了。 3.电子政务的信任体系问题 电子政务要做到比较完善的安全保障体系,第三方认证是必不可少的。只有通过一定级别的第三方认证,才能说建立了一套完善的信任体系。 目前比较流行的或者说使用比较广泛的就是PKI信任体系。它包括了密码算法的选择、CPS的制定、捆绑的安全强度等等,但是不能忽视的一点是,这些都是基于电子商务的基础之上建立起来的。电子商务与电子政务毕竟是有很大的不同,如果我们只是简单地把PKI 的电子商务应用模式应用到电子政务中来的话,虽然不能说是一团糟,但是它肯定会“水土不服”,出现问题将在所难免。 4.数字签名(签发)问题 在电子政务中,要真正实行无纸化办公,很重要的一点是实现电子公文的流转,而在这之中,数字签名(签发)问题又是重中之重。原因在于这是使公文有效的必要条件。一旦
电子政务网络安全管理办法 为加强我县电子政务网络安全管理工作,确保网络安全运行,结合我县的实际情况特制定电子政务网络安全管理办法。 1、各单位网络管理人员必须精心维护好单位的网络设备,做到防尘、防热、防潮、防水、防磁、防静电等,以增加设备使用年限。县政府办将定期对各单位的网络管理情况进行检查,发现不能达到以上要求的单位,将对其进行通报批评,对由于管理人员疏忽造成网络安全事故的,将追究相关管理员及单位领导责任。 2、各联网单位不得随意更改政务网络接入设备配置,不得擅自切断电子政务网络设备电源,不得擅自挪动相关设备和切断、移动相关传输线路,不得擅自与其他网络对接,不得随意增加交换机、集线器以及接入信息点数量,如需进行以上变动,应向县政府办信息科提出申请,经批准后方可实施。 3、各联网单位要增强网络安全意识,严禁登陆浏览黄色网站(网页),禁止下载、使用存在安全隐患的软件,不得打开来历不明的电子邮件附件,不得随意使用计算机文件共享功能,防止计算机受到病毒的侵入。 4、工作时间禁止玩网游、下载电影及大型软件,以保证本单位网络速度。县政府办信息科将采取技术措施对互联网出入口的数据进行监控,对发现的问题将在全县范围内进行通报,并按照相关规定严肃处理。 5、政务网计算机使用单位和个人,都有保护政务网信息与网络安全的责任和义务,所有关于本单位网站、论坛、信息录入等密码要严格保密不得泄露,一旦泄露立即报政府办信息科进行密码修改。 6、各接入单位应当定期制作计算机信息系统备份,备份介质实行异地存放。对可能遭受的侵害和破坏,应当制定灾难防治预案。
7、要配备计算机系统补丁升级和病毒防治工具,定期进行系统补丁升级和病毒检查。使用新机、新盘及拷贝的软件、数据,上机前应进行系统补丁升级和病毒检查。 8、办工人员严禁下列操作行为: (1)非法侵入他人计算机信息系统和联网设备操作系统; (2)未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰,影响计算机信息系统正常运行; (3)故意制作、传播计算机病毒等破坏程序; (4)将非业务用计算机或网络擅自接入政务内网,将业务用计算机或网络接入互联网或其他非政府机关的网络; (5)在政务网使用的计算机及网络设备在未采取安全隔离措施的情况下同时连接政务网和其它网络; (6)将存有涉密信息的计算机擅自连接国际互联网或其他公共网络; (7)擅自在政务网上开设与工作无关的网络服务; (8)发布反动、淫秽色情等有害信息; (9)擅自对政务网计算机信息系统和网络进行扫描; (10)对信息安全事(案)件或重大安全隐患隐瞒不报; (11)擅自修改计算机ip或mac地址。 9、在发生紧急事件时,为避免造成更大损失和影响,信息科有权或者要求有关部门采取以下措施: (1)拆除可能影响安全或有安全隐患的设备或部件;
精品文档你我共享 课程设计成绩评价表
封面 成都信息工程学院 课程设计 题目:电子政务系统安全整体解决方案设计 作者姓名: 班级: 学号: 指导教师: 日期:2010年12月20日 作者签名:
电子政务系统安全整体解决方案设计 摘要 随着信息化时代的到来,充分利用网络使办公自动化、快速、高效,已经得到越来越广泛的使用。为了建设可行的、高效的电子政务系统,本文中,我首先分析了电子政务的网络安全风险,提出了电子政务网络系统可能会面临的物理层、网络层、系统层、应用层和管理层等如此多的安全威胁,相应的提出了网络安全方案设计原则和电子政务网络安全解决方案,并且也重点强调在做好技术上的保障之后,在日常的工作中,我们应该更加关注人为的因素,建立起强烈的安全防范意识,培养良好的使用习惯。技术的保障和工作人员的重视两方面的结合,才会构建一个安全实用的电子政务系统,也一定会给民众带来巨大的帮助,受到大家的好评。 关键词:网络化办公;自动化办公;电子政务系统;网络安全风险;安全系统;解决方案
目录 1 引言 (1) 1.1课题背景知识 (1) 1.2我国电子政务的建设进程 (1) 1.3当前面临的问题 (1) 1.4本课题的需求 (1) 2 电子政务网络安全风险分析 (2) 2.1物理层的安全风险分析 (2) 2.2网络层的安全风险分析 (2) 2.3系统层的安全风险分析 (2) 2.4应用层的安全风险分析 (2) 2.4.1 身份认证漏洞 (2) 2.4.2 DNS服务威胁 (3) 2.4.3 WWW服务漏洞 (3) 2.4.4 电子邮件系统漏洞 (3) 2.5管理层的安全风险分析 (3) 3 电子政务网络安全方案设计 (4) 3.1网络安全方案设计原则 (4) 3.2电子政务网络安全解决方案 (4) 3.2.1 物理层安全解决方案 (4) 3.2.2 网络层安全解决方案 (4) 3.2.3 系统层安全解决方案 (5) 3.2.4 应用层安全解决方案 (5) 3.3安全管理方案建议 (6) 3.3.1 安全体系建设规范 (6) 3.3.2 安全组织体系建设 (6) 3.3.3 安全管理制度建设 (6) 3.3.4 安全管理手段 (6) 结论 (8) 参考文献 (9)
1.1 某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统
某市政府中心网络安全方案设计 1.2 安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2) 通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1 防火墙系统设计方案 1.2.1.1 防火墙对服务器的安全保护 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。 如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。 1.2.1.2 防火墙对内部非法用户的防范 网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。 对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安
电子政务安全防护方案设计 一电子政务安全背景与现状 某单位组织机构和信息系统简介 XXXX是国家的重要政府部门,辖内现有共30个司局,办公人员总数约1500人。经过多年的建设,XXXX已经形成了比较完善的内网、纵向网和外网业务网络。其中: 内网是XXXX机关内部办公网,是涉密网络,与互联网物理隔离。 纵向网是以XXXX为中心节点,连接覆盖全国的各省、自治区、直辖市、副省级省会城市、计划单列市的XXXX所属各级单位和部门。纵向网是涉密网络,与互联网物理隔离。 外网是XXXX工作人员访问互联网,及时了解国际、国内重要信息,并与外界进行必要的沟通、联系的重要渠道。 由于XXXX本身职能的特殊性,对信息系统的安全性要求很高,因此在XXXX网络中部署了很多信息安全产品来加强整体安全性。这些安全产品虽然确实可以解决一些较为紧迫的安全问题,如病毒泛滥、黑客攻击等,但是仍然不够完善,网络中仍然存在一定的安全风险,例如:缺乏内网安全管理机制,不能对内部用户滥用网络系统资源或外界人员绕过边界安全控制设施进行的各种非法操作行为进行有效的监控和审计;缺乏集中的安全管理平台和流程化的安全事件处理机制,现有的各种安全防护机制彼此孤立,不能够有效互动和统一协调地工作。 电子政务是一国的各级政府机关或有关机构借助电子信息技术而进行的政务活动,其实只是通过应用信息技术转变政府传统的集中管理分层结构进行模式,以适应数字化社会的需要。 电子政务涉及对国家机密和高敏感度核心政务的保护,而互联网的安全先天不足以及其他因素使基于的电子政务应用面临着严峻的挑战。电子政务整个系统安全的设计,必须从物理安全网络安全以及安全管理等方位来考虑。 电子政务安全风险分析 电子政务涉及对国家秘密信息和高敏感度的核心政务的保护、涉及到
电子政务的安全管理 电子政务中的安全管理,应该分为两个层次:一个层次是从国家强制角度的安全管理,这就是立法和制定相关的技术标准,由执法机关来监督实施;另一个层次是应用系统使用单位自身的管理。从整体上看,应该在以下的几个方面考虑电子政务的安全管理:一、电子政务体系中各层面上的安全管理; 二、电子政务系统中维护的安全管理; 三、证书中心的安全管理;四、安全技术与产品的安全管理。 认证中心的安全管理问题 电子政务活动中,传统白纸黑字的认证方式已不存在,网上的身份认证是必需的。证书中心的安全管理是整个电子政务系统安全的关键环节。 证书中心的任务是要解决以下的问题:1.身份认证服务。为进行电子政务业务的实体定义惟一的电子身份标识,并通过该标识进行身份认证,保证身份的真实性。2.数据完整性服务。保证收发双方数据的一致性,防止信息被非授权修改。3.不可否认服务。为第三方验证信息源的真实性和信息的完整性提供证据,它有助于责任机制的建立,为解决电子政务中的争议提供法律证据。
所以证书中心本身的安全,是电子政务乃至所有网上活动安全的关键环节。必须解决证书中心应该由谁来建,怎样建,谁来管理的问题。因此,应该从立法的角度对证书中心的建设与运管及责任与义务作出规定。证书中心建设的立项和审批必须通过公安信息网络安全监察部门,未得到公安部门安全许可的单位不得建立这样的认证中心。 证书中心所采用的技术,目前来说已经不是问题,但采取什么样的技术,采用谁的技术这是个问题。证书中心必须建立在我们自己的技术平台上,这是一个关系到国家主权和安全的问题,也应该从立法的角度予以明确。 证书中心的安全管理是极为重要的,否则安全就得不到保障。应该由公安部门对证书中心进行严格的日常监管,必须有严格的人员审查机制和日常的管理机制。 维护中的安全管理问题 电子政务中的应用开发、系统运行、日常维护、重要设备维护等大都涉及信息安全,“电子政务信息安全管理的核心要素是高素质的人和技术队伍”。 电子政务的大力加强,必然导致系统维护工作量的大大增加,但是目前的公务员队伍只有极少数的人具有一定的计算机技术知识,有相当多的人不懂计算机,这是目前政府实现电子政务中极为突出的矛盾。另外,从事业的发展角度来看,这些维护性工作全由政府部门自己包起来的做法也不妥当。一方面政府会增
信息技术 摘要:本文针对电子政务网络安全可能遇到的主要风险及解决方案进行了详细的分析和研究。 关键词:电子政务网络安全 0引言 电子政务是政府机构应用现代信息通信技术,将管理和服务通过网络技术进行集成,在互联网上实现组织结构和工作流程的优化重组,向社会提供优质和全方位的、符合国际水准的管理和服务。 电子政务的安全大部分归属于网络安全,网络安全不只是单点的安全,而是整个网络的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。 1电子政务网络的复杂性 通常情况下,网络系统安全与性能、功能是一对矛盾的关系。政府信息网络结构复杂,内联网不仅连接着省、市、县等政府机关,而且还连接各大企业网络、公安网络,具有多个外部出口。另外政府网接入国际互联网络,提供公开信息服务,使其安全问题更加复杂。 2安全风险分析 为了便于分析网络安全风险和设计网络安全解决方案,我们可以采取分层的方法,在每个层面上进行细致的分析,根据风险分析的结果设计出符合实际的、可行的解决方案。 2.1物理层的安全风险分析网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。常见情况有:设备被盗、被毁坏;链路老化或被有意或者无意的破坏;因电子辐射造成信息泄露;设备意外故障、停电;地震、火灾、水灾等自然灾害等。 2.2网络层的安全风险分析 2.2.1数据传输风险分析由于局域网数据传输线路之间存在被窃听的潜在威胁,同时局域网内部也存在着攻击行为,一些敏感信息可能被窃取和篡改,造成泄密。如果没有专门的软件或硬件对数据进行控制,所有的广域网通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取。 2.2.2网络边界风险分析各级政府机构都会连接INTERNET 国际互联网,并有公开服务器(WWW、DNS、FTP等服务器),对外提供公开信息服务。由于国际互联网的开放性,使得政府网的安全性大大降低。 2.2.3网络设备安全性分析网络设备自身的安全性也会直接关系到政府系统和各种网络应用的正常运转。例如,路由信息泄漏、交换机和路由器设备配置风险等。 2.3系统层的安全风险分析电子政务网通常采用的操作系统(主要为UNIX、Linux、Windows2000、Windows2003、Windows XP)本身在安全方面考虑较少,服务器、数据库的安全级别较低,存在一些安全隐患。同时病毒也是系统安全的主要威胁,所有这些都造成了系统安全的脆弱性。 2.4应用层的安全风险分析电子政务网络应用系统中主要存在以下安全风险:非法访问;用户正常提交的信息被监听或修改;用户对成功提交的业务进行事后抵赖;伪装及骗取用户口令等。由于政府网络对外提供WWW服务、E-mail服务、DNS服务等,因此也存在外网非法用户对内部服务器的攻击。 2.5管理层的安全风险分析责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或受到其它安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。 3电子政务网络安全解决方案 3.1物理层安全解决方案保证系统中各种设备的物理安全是保障整个网络系统安全的前提。其中包括:对系统所在环境的安全保护,如区域保护和灾难保护;设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;设备冗余备份,可通过严格管理及提高员工的整体安全意识来实现。为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。 3.2网络层安全解决方案 3.2.1防火墙安全技术的建议电子政务网络系统是一个由省、市、各区县政府网络组成的三级网络体系结构,属于不同的网络安全域。因此在各个网络边界,以及电子政务系统和Internet边界都应安装防火墙,并实施相应的安全策略。电子政务系统还与各企业连接,政府和企业之间是不完全信任关系。所以政府应在企业接入服务器与其内网之间安装防火墙进行隔离,同时控制两者之间的访问行为。另外,为控制对关键服务器的授权访问控制,建议把公开服务器集合为一个专门的服务器子网,设置防火墙策略来保护对它们的访问。 3.2.2入侵检测安全技术的建议入侵检测系统在重点保护网络中是访问控制设备防火墙最有利用的补充。在内联网各节点重点保护段的主交换机上配备入侵检测系统的探测器,通过中心控制台对所有探测器进行集中统一管理。包括制定安全策略、修改安全策略以及升级攻击代码库等。 3.2.3数据传输安全的建议为保证数据传输的机密性和完整性,建议在电子政务专用网络中采用安全VPN系统,统一安装VPN 设备,对移动用户安装VPN客户端软件。通过加密设备之间的加解密机制、身份认证机制、数字签名机制,将电子政务专用网构造成一个安全封闭的网络。 3.3系统层安全解决方案 3.3.1操作系统安全技术操作系统是所有计算机终端、工作站和服务器等正常运行的基础,关键的服务器应该采用服务器版本的操作系统;网管终端、办公终端可以采用通用图形窗口操作系统。在没有其它更高安全级别的操作系统可供选择的情况下,安全关键在于操作系统的安全管理,制定强化安全的措施。 3.3.2数据库安全技术目前的商用数据库管理系统主要有MS SQL Sever、Oracal、Sybase、Infomix等。数据库管理系统应具有自主访问控制(DAC)、验证、授权、审计,以及在数据库级和纪录级标识数据库信息的能力。 3.4应用层的安全技术方案根据电子政务专用网络的业务和服务,我们采用身份认证技术、防病毒技术等来保障网络系统在应用层的安全。 3.4.1身份认证技术公钥基础设施可以做到:确认发送方的身份;保证发送方所发信息的机密性;保证发送方所发信息不被篡改;发送方无法否认已发该信息的事实等,对电子政务达到其成熟阶段具有不可或缺的、极为重要的意义。 公钥基础设施(PKI)必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKI也将围绕着这五大系统来构建。因此有必要在国、省、地市政府中心建立CA中心,保证非接触性网上业务的可靠性。 3.4.2防病毒技术根据电子政务系统网络结构和计算机分布情况,病毒防范系统可配置成分布式进行集中管理。防病毒客户端安装在系统的关键主机中,如关键服务器、工作站和网管终端。在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀,设定病毒防范策略。 3.5安全管理建议面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理,建立网络安全体系。在省中心和各地市建立网络安全建设领导委员会。省中心的安全委员会负责安全体系的总体实施,领导整个部门不断提高系统的安全等级。 4结束语 电子政务提供科学决策、监管控制和大众服务的功能,信息安全使其成功的保证。解决好信息共享与保密性的关系,开放性与保护隐 电子政务安全风险分析及解决方案 李佳娜(同济大学) 280