当前位置:文档之家 › 电子政务信息安全保障体系

电子政务信息安全保障体系

  • 格式:doc
  • 大小:41.50 KB
  • 文档页数:7

下载文档原格式

  / 7

合集下载

电子政务中的数据安全保障体系构建

电子政务中的数据安全保障体系构建

电子政务中的数据安全保障体系构建随着数字化时代的到来,政府信息化建设已经成为现代化管理的重要内容。

在这个过程中,数据安全成为了政府信息化建设必须要关注的问题。

因为一旦政府重要数据泄露,可能会对政府信息化建设带来不可估量的影响。

因此,电子政务中的数据安全保障体系构建成为了政府信息化建设的重要组成部分。

一、电子政务中的数据安全保障需求电子政务系统作为信息型的政府服务机构,其所携带的数据量不可谓不庞大。

其中,包含了政府部门的公文交换、行政审批、政府采购、公共财务等各个领域的数据。

这些数据的存储、处理、交换和共享是政府无法绕过的难题。

然而,在数字化时代,这些数据面临着来自互联网、恶意软件和黑客攻击等多种威胁。

而政府作为一个大数据存储和交换的机构,安全说大不大,说小也不小。

一旦泄露,将引发群众恐慌和责任追究。

因此,政府在信息安全方面不断加强投入、完善制度、强化技术手段成为必然。

二、电子政务中的数据安全保障体系构建框架数据安全保障是一个系统工程,需要政府通过法制、技术措施和管理三方面来全面保护政府大数据安全。

为此,构建电子政务中的数据安全保障体系构建是至关重要的。

(一)法律制度保障电子政务中的数据安全保障需要依赖法律法规体系来进行保护,包括个人信息保护法、电信法、网络安全法等等。

其意义是将知识产权的安全性纳入法制体系和国家基本安全战略,为数字化政府及其相关产业和知识产权安全发展提供法律制度保障。

(二)技术手段保障在实现电子政务数据安全保障方案的过程中,技术手段发挥不可或缺的作用。

如利用密码学基础技术来保护数据加密、数字证书技术来实现数字身份识别和认证、入侵检测和防范系统来保障网络安全、双因素认证等,均是数据安全保障方案中最为常见的技术手段。

(三)管理措施保障政府应该通过建立完善的管理机制,以达到规范、科学、有效的管理目标,具体包括一些细节方面,如政府员工的网络行为要求,加强对网络攻击的防范,加强对安全检测和监测等方面的管理手段,才能使电子政务体系的数据安全保障体系构建得以真正有效的实现。

电子政务信息安全四大体系

电子政务信息安全四大体系

电子政务信息安全四大体系作者:李艳电子政务的信息安全建设是在适当的信息安全保障体系和框架指导下进行的一项系统工程。

这项工程包括密切关联的四大体系:安全管理体系、预警检测体系、安全防护体系和响应恢复体系,其中,安全管理体系是整个信息安全保障体系中最核心的组成部分,是贯穿其他三个体系的主线。

1.安全管理体系安全管理体系的建立要遵循以下原则:符合法律、法规、标准;符合组织使命;符合组织利益。

建立健全安全管理体系,最重要的是针对电子政务的现有情况制定统一的行政管理制度,在整个网络系统中贯彻执行。

当然,根据当地网络的实际情况和具体网络应用的不同,适当作出调整,可以比较好地保证安全策略的统一性、一致性和可管理性。

2.预警检测体系预警检测体系包括入侵检测、漏洞检测、外联和接入检测、补丁管理等。

入侵检测系统是目前最为主要的一个广泛应用的技术和管理手段。

利用网络入侵检测系统,可以了解网络的运行状况和发生的安全事件,并根据安全事件来调整安全策略和防护手段,同时改进实时响应和事后恢复的有效性,为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。

电子政务信息网络需要部署漏洞检测系统。

漏洞检测系统一般包括漏洞扫描引擎、控制中心、报表和显示中心及管理控制台4个功能组件。

在电子政务的网络系统内,防火墙等安全手段往往被一些违反安全策略的行为所破坏,包括MODEM拨号、双网卡或无线上网等各种方式接入互联网。

这些违反规定的非法外联行为使电子政务网络系统内的个人计算机毫无防范地接入Internet,在用户无意识的情况下,一些机密信息(包括机器和网络的所有配置信息以及数据文件)可能泄漏,由此危害整个电子政务网络的安全。

非法外联监控技术就是为了防范上述两类安全问题而设计的,它对内部人员的非法外联行为进行实时监控,对物理隔离措施或安全限制规定进行有效性检查。

补丁管理应该纳入组织的安全体系。

补丁管理的意义已经超出了传统的安全领域,成为维护企业信息系统正常操作所必须具备的措施。

电子政务的信息安全保障与隐私保护方法

电子政务的信息安全保障与隐私保护方法

电子政务的信息安全保障与隐私保护方法随着互联网技术的发展,电子政务作为政府与公民之间信息交流的重要渠道,得到越来越广泛的应用。

然而,在电子政务的发展过程中,信息安全和隐私保护问题也逐渐凸显。

政府需要采取一系列的措施,确保电子政务系统的信息安全,同时保护公民的隐私。

本文将介绍一些电子政务的信息安全保障和隐私保护的方法。

首先,对于电子政务系统的信息安全保障,政府可以采用以下几种方法:1. 强化网络安全防范政府应增强对电子政务系统的网络安全防范能力,通过建立健全的网络安全体系,隔离互联网与内部网络,并采用防火墙、入侵检测和防病毒等安全设备与技术,保护电子政务系统的正常运行和信息安全。

2. 加强数据加密保护政府应加强对电子政务系统中传输和存储的数据进行加密保护,采用安全的加密算法,确保敏感信息在传输和存储过程中不被窃取和篡改。

此外,政府还应制定相关的数据加密和安全管理制度,规范数据的使用与访问权限。

3. 建立安全审计与监控机制政府可以引入安全审计与监控技术,实时监测电子政务系统的操作和网络流量,及时发现并处理安全威胁。

同时,建立安全日志和事件记录,用于追溯和分析安全事件的发生和原因,加强对电子政务系统的安全管理。

其次,为了保护公民的隐私,政府需要采取以下方法:1. 加强个人信息保护政府应加强个人信息保护的法律法规建设,制定相关政策和法规,明确个人信息的收集、使用、存储和保护原则,规范政府部门和服务机构处理个人信息的行为。

在收集个人信息时,应事先明确告知目的和范围,并征得公民的同意。

2. 优化个人信息处理流程政府应优化个人信息的处理流程,避免过度收集和使用个人信息。

合理设置个人信息的保存期限,并在信息不再需要时及时删除或匿名化处理,以减少对个人隐私的侵犯。

3. 加强隐私信息安全政府应加强隐私信息的安全管理,采取技术措施确保个人隐私信息不被泄露或非法获取。

例如,建立隐私信息保护平台,对涉及隐私信息的数据进行分类、加密和权限控制,严格限制数据的访问权限和使用范围。

电子政务中信息安全保障机制的建立

电子政务中信息安全保障机制的建立

电子政务中信息安全保障机制的建立随着互联网技术的不断发展和政府机构的数字化转型,电子政务已经成为了现代政府管理和社会服务的重要方式之一。

通过电子政务,政府机构能够更加高效、便捷地向公民提供各种服务和信息。

然而,随着电子政务的普及和应用,信息安全问题也逐渐凸显出来。

因此,在电子政务的建设和运营中,保障信息安全是至关重要的。

本文将探讨电子政务中信息安全保障机制的建立。

一、电子政务中信息安全的意义随着数字化和网络化的不断深入,人们不可避免地将更多的信息和数据交给网络。

在政府机构应用电子政务服务的过程中,公民的个人信息、企业的商业机密以及政府机构自身的敏感信息都需要得到保护。

如果这些信息被人为破坏、泄露或滥用,将会对政府机构、公民和企业都带来巨大损失。

因此,建立安全可靠的信息保障机制是电子政务建设的重要任务。

二、电子政务安全风险的特点电子政务的安全问题具有以下几个特点:1.专业性:电子政务安全技术要求较高,需要专业技术人员进行设计和维护。

2.复杂性:电子政务业务涵盖面广,受众广泛,信息来源复杂,信息处理过程复杂。

3.动态性:安全技术的发展非常快速,安全威胁的类型也不断变化,保障机制必须不断创新和更新。

4.法律性:隐私保护和信息安全已经成为了法律的重要要求,保障机制必须符合法律法规的要求。

以上几个特点,都表明了电子政务的安全问题需要得到重视,需要引入专门的机制,通过技术和管理手段解决安全问题,确保电子政务服务的安全可靠。

三、电子政务信息安全保障机制的建立为了有效地解决电子政务中存在的风险,建立科学、合理的信息安全保障机制是必不可少的。

下面是建立机制的主要步骤:1.制定信息安全保障框架在建立机制之前,政府需要明确电子政务安全保障的目标和基本原则。

建立安全保障框架可以为机制的建设提供指导。

安全保障框架应该包括有关技术、法律、组织和管理等各个方面的要素,并对机制的运作模式和流程进行描述。

2.制定信息安全保障政策政府在制定信息安全保障政策时,应该考虑到实际情况和法律法规要求。

电子政务建设中的信息安全保障

电子政务建设中的信息安全保障

电子政务建设中的信息安全保障在数字化时代的今天,电子政务建设已经成为各国政府的必要措施。

而在电子政务建设中,信息安全保障显得尤为重要。

本文将探讨在电子政务建设中的信息安全保障措施。

一、信息安全威胁在电子政务建设中,信息安全威胁是不可避免的。

黑客攻击、病毒感染、网络钓鱼等威胁都会对政府机构和公民的信息安全造成极大影响,可能导致数据丢失、泄露、篡改等问题。

二、信息安全保障手段(一)技术保障在电子政务建设中,技术保障是非常重要的一环。

政府机构应该采取适当的技术手段,如使用防火墙、加密技术、入侵检测及防范系统等,来保障信息安全。

(二)政策保障政府机构应该建立完善的信息安全保障政策和规定,严格执行信息安全管理制度。

建立信息安全督查机制,定期开展安全检查,及时整改发现的安全漏洞和问题。

(三)人员培训政府机构应该加强员工的信息安全意识培训,加强信息安全危机管理的培训和演练,提高工作人员的信息安全防范意识和技能。

(四)公众教育政府机构还应该通过各种渠道,如网站、微博、微信公众号等,加强公众的信息安全教育与宣传,让公民了解网络安全风险和防范措施。

三、电子政务信息安全保障现状当前,我国电子政务建设信息安全保障情况较为良好,相继出台的《中华人民共和国网络安全法》及《中央政府门户网站信息安全规范》等一系列政策法规为信息安全保障提供了有力支持。

各个行业也在逐渐提高信息安全意识,完善管理体系,加强技术手段。

四、建议和展望在未来的电子政务建设中,应该加强信息安全保障。

政府机构应该制定更为完善的信息安全保障政策和规定,并加强技术手段的升级与改进,不断提高信息安全保障水平。

同时,公众也应该提高信息安全防范意识,同时也要积极参与到信息安全保障中来。

总之,在电子政务建设中,信息安全保障是不容忽视的问题。

只有大力加强信息安全保障措施,才能够更好地推进电子政务建设与发展。

电子政务信息安全的保障体系

电子政务信息安全的保障体系
用 。我 国近 2 o年来 , 先后颁布 了《 算机信息 系统 安全 计 保护条例》、计算 机信息 系统保 密管理暂行 规定》、计 《 《 算机信息 网络 国际联 网安 全保 护 管理 办法 》 等法 律 法 规 。 04年 8月 2 20 8日, 全国人大 常委会颁 布了《 电子签

电子政务信息安全的法律保障
有了相关 的法 律保 障 , 有 相应 的政 策 , 无 法保 没 也
的发展 , 、 国 已陆续 出台了相应 的法律 , 英 美等 为电子政 务的发展提供 了必 要的法律保 障。英 国政 府 于 20 00年 5月通过 了《 电子通信法 案》 确定 电子签 名 和其 他 电子 , 证 书在法院 审判 中可 以作 为证 据使用 。为 了强化 电子
程, 其核心是将政 府 的管 理 和服务 借助 信息 手段 集成 , 实现更高效 、 更廉洁务实 的政府 监 管和服 务。电子政务 拥有 经济 、 治 和军事 等多方 面 的不 同 价值 的信息 , 政 其 安全性决定 了政 府 机构 的行 政 事务 能否 正常 开展 。因 此, 电子政 务信 息 安 全就 成 为 电子 政 务最 为重 要 的基 石 , 电子政务建设和正 常运行 的前提条 件。随着信 息 是
化的发展, 电子政务信息安全问题 日益引起人们 的重 视, 而信息安全对 于促进 我国电子政务 的健康 有序发 展 具有深远意义 。根据 目前 的状 况 , 电子政务 信息安 全的 保障体系主要包括以下几个方面:

骗和滥用法》 等多部法律, 从法律上保护信息安全和隐 私 。美国联邦政府还规定 。 联邦 政 府的信息 系统 在 任何 没有通过隐私保 护 评估 和将 评估 报告 送交美 国联邦政 府首席信息官之前 , 不得 开始采集公 众信息 和投入 使 均

推进电子政务安全保障体系建设的几点思考

推进电子政务安全保障体系建设的几点思考

推进电子政务安全保障体系建设的几点思考吴世忠政府利用现代信息技术,推进政府办公自动化、电子化、网络化,实现全面信息共享,以更有效地履行管理职能实现治理目标,为社会提供公共服务,作为未来最适应时代要求的政府工作形态,电子政务的建设是我国当前信息化建设工作的重点。

如何应对层出不穷的变化,提出解决方案,推进新时期我国的电子政务信息化建设具有极其重要的意义,本文拟就当前我国电子政务信息化建设中所面临的问题、特点以及解决方式做出探讨。

一、网络与信息安全方面的五大问题今年上半年以来,电子政务信息化建设面临的安全问题在以下5个方面比较突出:病毒泛滥首当其冲。

新病毒相较去年有大幅攀升,特别是Bagle和 NetSky 等变种自年初至今层出不穷,病毒泛滥直接影响了我们电子政务的建设。

木马程序等间谍软件成为网络与信息安全保密的重要隐患。

我们在工作中发现,越来越多的木马程序植入到我国重要信息系统中,成为网络与信息安全保密的重要隐患。

根据保守估计,国内80%的网络系统,都存在木马程序和间谍软件问题。

黑客攻击活动向纵深发展,以经济和商业利益为目的的网络攻击行为渐为主流。

攻击手段大量还是以DOS为主,尽管这方面媒体报道的不多.但总体数量比去年仍有增加。

垃圾邮件问题十分突出。

它不但阻塞网络,降低系统效率和生产力,同时有些邮件还包括色情和反动的内容。

国家有关部门制订政策,采取技术措施,加大了对垃圾邮件的治理力度。

应用安全问题凸显。

应用安全在过去并没有得到足够重视,在应用安全问题中,在windows平台上利用windows系统新漏洞的攻击占70%左右,30%的安全问题与Linux相关。

面对病毒泛滥、木马程序肆掠盛行、应用安全问题凸显等当前我国电子政务信息化建设中存在的众多问题,通过对有关部委建设信息安全保障体系的服务活动和实践的总结,我们对电子政务信息安全保障体系建设有五个方面的新认识。

二、对电子政务信息安全保障体系建设的五点新认识1. 信息安全是一个治理问题实践使我们深刻认识到:由于信息化涉及到政务工作的方方面面。

电子政务安全保障体系

电子政务安全保障体系

电⼦政务安全保障体系2019-10-30电⼦政务涉及对国家秘密信息和⾼敏感度核⼼政务的保护,设计维护公共秩序和⾏政监管的准确实施,涉及到为社会提供公共服务的质量保证。

电⼦政务是党委、政府、⼈⼤、政协有效决策、管理、服务的重要⼿段,必然会遇到各种敌对势⼒、恐怖集团、捣乱分⼦的破坏和攻击。

尤其电⼦政务是搭建在基于互联⽹技术的⽹络平台上,包括政务内⽹、政务外⽹和互联⽹,⽽互联⽹的安全先天不⾜,互联⽹是⼀个⽆⾏政主管的全球⽹络,⾃⾝缺少设防和安全隐患很多,对互联⽹犯罪尚缺乏⾜够的法律威慑,⼤量的跨国⽹络犯罪给执法带来很⼤的难度。

所有上述分⼦利⽤互联⽹进⾏犯罪则有机可乘,使基于互联⽹开展的电⼦政务应⽤⾯临着严峻的挑战。

对电⼦政务的安全威胁,包括⽹上⿊客⼊侵和犯罪、⽹上病毒泛滥和蔓延、信息间谍的潜⼊和窃密、⽹络恐怖集团的攻击和破坏、内部⼈员的违规和违法操作、⽹络系统的脆弱和瘫痪、信息产品的失控等,应引起⾜够警惕,采取安全措施,应对这种挑战。

电⼦政务的安全⽬标和安全策略电⼦政务的安全⽬标是,保护政务信息资源价值不受侵犯,保证信息资产的拥有者⾯临最⼩的风险和获取最⼤的安全利益,使政务的信息基础设施、信息应⽤服务和信息内容为抵御上述威胁⽽具有保密性、完整性、真实性、可⽤性和可控性的能⼒。

为实现上述⽬标应采取积极的安全策略:国家主导、社会参与。

电⼦政务安全关系到政府的办公决策、⾏政监管和公共服务的⾼质量和可信实施的⼤事,必须由国家统筹规划、社会积极参与,才能有效保障电⼦政务安全。

全局治理、积极防御。

电⼦政务安全必须采⽤法律威慑、管理制约、技术保障和安全基础设施⽀撑的全局治理措施,并且实施防护、检测、恢复和反制的积极防御⼿段,才能更为有效。

等级保护、保障发展。

要根据信息的价值等级及所⾯临的威胁等级,选择适度的安全机制强度等级和安全技术保障强壮性等级,寻求⼀个投⼊和风险可承受能⼒间的平衡点,保障电⼦政务系统健康和积极的发展。

电子政务外网信息安全保障体系方案安全管理解决方案

电子政务外网信息安全保障体系方案安全管理解决方案
对此电子政务外网,卫士通采取的信息安全保障体系设计思路是:
1、对信息资产进行等级划分。
根据信息资产本身的重要性,进行业务的划分并参考国家相关标准,从信息安全和信息服务两个属性进行定级。
2、在等级障至关重要,一般而言,需要从网络管理、安全管理、重要的服务器、一般的服务器、安全终端等几个大的方面进行划分。
6、配套信息安全保障体系其它配套的措施。
比如安全管理和安全运行等措施。
下图是按照上述思路实现的一个电子政务外网安全保障体系。
图1 电子政务外网安全保障体系设计框架
从图可以看出,省、市两级节点分为了三级和二级两种安全域,终端和服务器按照不同级别相应部署到各自的安全域中(在网络上采取了VLAN、防火墙、商密网络加密机、安全隔离与信息交换系统等进行安全域的隔离与访问控制)。其中三级安全域有机密性保护的需求,网络传输采用商密密码机进行保护;二级安全域有需要进行访问控制和隔离的安全要求,采用安全隔离与信息交换系统进行隔离,终端采用防火墙进行隔离。各安全域边界有严格的访问控制策略,并部署了全网的入侵检测、审计等安全产品。
3、采用先进的信息安全理念进行方案的设计。
采用纵深防御的思想和卫士通提出的“深度服务 深度安全”的理念进行安全方案的设计。
4、部署合适的安全产品。
优先采用国内先进的安全产品进行部署,做到较好的性价比。
5、部署最恰当的安全策略。
安全策略的设置是信息安全保障体系能否取得效果的最为关键步骤,必须从信息平台的功能出发,结合各方面的意见(尤其是业务部门的意见),形成符合需要的安全策略。
卫士通政务营销事业部 吴鸿钟
以资源整合、平台共享、高效服务为目的的电子政务外网建设是当前政府信息化建设的重点内容。在统一的电子政务外网平台上,需要容纳各级厅、局、委、办的电子政务外网应用,这就表明,需要为此提供信息安全保障的电子政务外网平台不是一个业务单一、安全级别统一的单纯信息网络平台,而是承载多种级别信息,需要根据不同的安全风险进行量身设计,形成差异化的等级保护保障体系的综合性的信息网络平台。

电子政务安全体系

电子政务安全体系

电子政务安全体系1. 简介电子政务是指在政府和公民之间利用信息技术进行信息交互和服务交付的过程。

随着信息技术的发展和普及,电子政务已经成为现代政府的重要组成部分。

然而,随着电子政务的不断发展,信息安全问题也变得越来越重要。

为了保障电子政务系统的安全,建立和完善电子政务安全体系是至关重要的。

2. 电子政务安全的挑战电子政务安全面临着许多挑战,主要包括以下几个方面:2.1 技术挑战电子政务系统通常涉及大量的敏感信息,如公民的个人信息、政府的机密文件等。

因此,保护这些信息的安全非常关键。

然而,面对日益增长的网络威胁和攻击手段,保障电子政务系统的信息安全变得更加困难。

2.2 法律挑战电子政务的发展和运营必须受到法律法规的规范。

然而,由于电子政务的特殊性,现有的法律法规可能无法完全适应电子政务的需求。

因此,建立适应电子政务的法律法规是一个重要的挑战。

2.3 人员挑战电子政务的安全还需要依赖于有能力的人员进行管理和维护。

而招聘和培养这样的人才也是一个挑战。

同时,许多电子政务系统还需要与其他机构或第三方进行合作,这就需要建立起信任和合作关系。

3. 电子政务安全体系的要素为了保障电子政务的安全,建立一个完善的电子政务安全体系至关重要。

一个完善的电子政务安全体系应包括以下要素:3.1 硬件安全电子政务系统所依赖的硬件设备和设施(如服务器、网络设备等)必须具备一定的安全性能,以防止物理攻击和故障。

电子政务系统所使用的软件必须经过严格的安全审查,确保其不受恶意软件、漏洞和攻击的影响。

3.3 网络安全电子政务系统的网络必须具备一定的安全性能,以防止网络攻击和未经授权的访问。

电子政务系统中的数据需要进行严格的保护,包括加密、备份、权限控制等。

3.5 应急响应建立应急响应机制,及时发现和应对安全事件,以减少损失。

3.6 安全管理建立健全的安全管理制度,包括安全策略、安全培训等,确保安全工作的落实。

4. 电子政务安全体系的建设为了建设一个完善的电子政务安全体系,可以采取以下步骤:4.1 制定安全政策和规程制定适应电子政务的安全政策和规程,明确安全要求和责任。

电子政务的安全保障体系

电子政务的安全保障体系

VPN 主要采用四种技术来保证安全 隧道技术 加解密技术 密钥管理技术 信息认证和身份认证
4.入侵侦测技术 入侵侦测是对计算机网络和计算机 系统的关键节点的信息进行收集分析, 检测其中是否由违反安全策略的事件发 生或攻击现象,并通知系统安全管理员。 一般用于入侵检测的软件、硬件合 称为入侵检测系统。
七、电子政务安全社会服务体系
1、信息安全管理服务 (1)信息安全咨询服务 (2)安全技术管理服务 (3)数据安全分析服务 (4)安全管理评估服务
2、信息安全测评认证 (1)开发者 (2)最终用户
3、信息安全应急响应服务 应急响应是计算机或网络系统遇到 突发安全事件(如黑客入侵、网络恶 意攻击、病毒感染和破坏等)时,能 够提供的紧急响应和快速救援和恢复 服务。 4、信息安全教育服务
八、电子政务安全基础设施
一、公钥基础设施 1、公钥基础设施的概念 公钥基础设施是一个用非对称密码 算法原理和技术来实现并提供安全服 务的、具有通用性的安全基础设施。 在电子政务建设中,PKI实际上提 供一整套的、遵守标准的密钥管理基 础平台。
PKI的关键组件: 1)密钥管理中心KM是整个PKI的基础, 为非对称密码技术大规模应用提供支 持。 2)证书认证中心CA是证书服务系统的 核心业务节点和基本单元。
六、电子政务安全运行管理体系
1.电子政务安全行政管理 1)安全组织机构 该机构应由主要领导直接主管,不隶属于 其他机构。建立安全组织机构的目的是:统 一规划各级网络系统的安全,制定完善的安 全策略和设施,协调各方面的安全事宜。 2)安全人事管理 多人多责原则、任期有限原则、职责分离 原则、最小权限原则。
作为新一代反病毒软件应做到以下几点 全面地与互联网结合,不仅有传统的手动查 杀与文件监控,还必须对网络层、邮件客户 端进行实时监控,防止病毒入侵。 快速反应的病毒检测网,采用虚拟跟踪技术, 识别未知病毒和变形病毒。 完善方便的在线升级服务,对新病毒迅速提 出解决方案。 对病毒经常攻击的程序提供重点保护。

电子政务安全保障体系建设探析

电子政务安全保障体系建设探析
作系统 安全 ;备份 和恢复 ;基于主机的入侵检 测 ;基于主机的恶意代 码检 测 ( 括病 毒检 测 、木马检 测等 );基于主机的脆弱性扫描 :文 包 件 完整性检 查;主机 防火 墙 ;在特 殊应 用中对 用户 、管理者 、客户和 服 务器 的审查 。
2 政 务 信 息 安 全 保 障
关键词 电子 政 务 信 息 系统 保 障 体 系 安全 管理
随着我 国电子政 务的广泛应用 ,安全问题也 日 渐突 出,很大程度 影响了 电子政务信息系统功能的发挥 ,甚至对政府部 门和社会公众产 生危害 ,严重的还将对国家信息安全乃至国家安全产生威胁 。因此 , 电子政务建设 中的 网络安全 问题亟待解决 ,建设 电子政务安全保 障体 系是发展 电子政务的关键所在 ,具有极其重要 的意义 。 电子政 务信息安全保障体系是一个能够保证 电子政 务安全运行 的 各种保障措施 、技术和体制的有机综合体 ,是一个 系统工程 。在信 息 化社会 中政府部 门之 问要通过 网络来传输数据 、 交换数据 、 共享信息 并协作办公处理事物 ,进而进行数据挖掘分析和决策支持 , 这样政 府 部 门可以更好地管理社会和服务社会 。因此 ,中国 电子政 务建设应 以 数据获取 、 共享和整合 为核心 ,以信息 安全 为基础 , 向政 府部 门的 面 决策支持和面向公众的服 务… 。
电子政 务网由政 务子网 、 务子 网边 界和 网络 基础设施 三部 分组 政 成 。相应地 , 其安全保 障也包含 三个层 次 : 护网络 和基础 设施 ,保 保 护政 务子 网边界和保护政 务子 网 , 每个层面都要考虑 实体 安全 、网络 安全 、 系统安全方面 的多种防护措施 , 具备在遭受攻击后快速恢复 的
1 安全保 障体 系方 案设计

电子政务中信息安全保障的技术和政策

电子政务中信息安全保障的技术和政策

电子政务中信息安全保障的技术和政策一、引言随着信息技术的发展,电子政务成为政府信息化建设的重要手段。

电子政务的发展给人们带来了便利与效率,但同时也存在着一定的安全风险。

如何保障电子政务信息安全成为了政府面临的重要问题。

本文将围绕电子政务中信息安全保障的技术和政策展开探讨。

二、技术方面的信息安全保障1.加密技术加密技术是电子政务信息安全保障的核心技术之一。

它可以通过算法将敏感信息转化为一些特定的编码,从而保障信息的安全。

目前,最常用的加密技术是公钥加密和对称加密。

2.访问控制技术访问控制技术可以控制不同用户在电子政务系统中的权限,从而保证信息的安全性。

访问控制技术包括基于角色、基于标识符、基于强制和基于自愿等多种授权方式。

3.审计技术审计技术可以记录电子政务系统中各个用户及系统各个节点的操作记录,对于监测和检验安全事件有着非常重要的作用。

审计技术可以针对系统事件和安全事件进行记录和分析,以便快速对安全事件作出相应的反应。

4.网络安全技术电子政务系统的安全性也需要网络安全技术来支撑。

网络安全技术包括防火墙、反病毒和网络入侵检测等多种技术手段。

其中防火墙的作用是控制网络中进出的数据流,保证数据的安全;反病毒技术可以有效识别和清除病毒;网络入侵检测技术可以监测系统中的入侵行为,并及时作出相应反应。

5.智能卡技术智能卡技术是一种应用于电子政务中的主要技术。

它可以储存大量的有关用户身份信息和权限信息,并通过加密技术来保障信息的安全。

智能卡技术也可以用于电子签名,在网络环境下验证签名的真实性,防止签名被恶意篡改。

三、政策层面的信息安全保障1.制定信息安全管理制度政府需要制定相应的信息安全管理制度来保障电子政务信息的安全。

该制度应包括信息处理、信息传输、信息存储、信息销毁等方面的要求,以确保政府信息安全的全流程控制。

2.加强信息安全培训与管理政府需要加强对员工的信息安全培训和管理。

让员工养成信息安全意识的习惯,教育员工在信息处理过程中应遵守的规范、流程和操作,以保证信息安全环节的全面覆盖。

浅谈电子政务信息安全技术保障体系建设

浅谈电子政务信息安全技术保障体系建设

浅谈电子政务信息安全技术保障体系建设王进京电子政务作为信息网络的一个特殊应用领域,运行着大量需要保护的数据和信息,相对于企业信息化和电子商务,有自身特殊性:一是信息内容的高保密性、高敏感度;二是电子政务发挥行政监督力度;三是利用网络环境为社会提供公共服务。

如果系统的安全性被破坏,造成敏感信息暴露或丢失,或网络被攻击等安全事件,产生的后果必然波及地区和整个国家,电子政务信息系统也必然成为信息间谍、敌对势力、恐怖集团、国家之间信息战攻击的目标。

因此,构建电子政务信息安全保障体系,事关国家政治、经济、国防安全和民族信息产业发展全局,缺乏安全保障的电子政务信息系统,不可能实现真正意义上的电子政务。

电子政务建设中所面临的信息安全问题政务内网、政务外网、公共服务网的网络环境,都是采用TCP/IP协议而建立的,该协议以开放和自由为基础,从协议规划、服务模式、网络管理等方面均缺乏安全性设计,所以电子政务信息系统就存在着先天的安全隐患。

对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取措施应对。

数据作为系统最终的元素是安全保障的根本,对电子政务而言尤其重要,它涉及国家机密、部门工作秘密、内部敏感信息和开放服务信息,其主要安全隐患是窃取、篡改、假冒、抵赖、销毁。

政府工作网络化本身与网络安全是一对实际的矛盾,网络化要求通畅交流,安全要求控制交流,而各种交流可能直接引起网络的连通,由于连通而引起安全事件。

同时电子政务网络是涉密系统,黑客可能渗透到国家职能部门,内部人员很容易通过网络安全防护不严的特点直接攻击系统漏洞、利用漏洞窃取信息、假冒身份、阻塞服务等,这也是电子政务的重要安全问题。

另外,操作系统存在来自Internet的黑客攻击和内部用户随意利用办公终端与Internet 联接,再加上恶意病毒的无规律性的连续侵袭,同样是目前电子政务安全的主要隐患。

电子政务概论(大作业)

电子政务概论(大作业)

电子政务概论(大作业)2021-2021学年第二学期期末考试《电子政务概论》大作业简答题:(每小题25分,总分100分)1、简述电子政府的技术安全框架。

答:一、电子政务信息安全保障体系 1.电子政务信息安全保障休系是国家安全保障体系的基本核心部分。

2.要加快电子政务信息安全立法,这样才能做到有法可依,有法必依; 3.要建立电子政务信息安全组织管理体系,建立高效能的、职责分工明确的行政管理和业务组织体系;电子政务信息安全保障体系信、息安全经费保臆体系I 信息安全法制体系l ll 信息安全组织体系l ―■信息安全人才保障体系1.电子政务信息安全保障体系是国家安全保障体系的基本核心部分。

2.要加快电子政务信息安全立法,这样才能做到有法可依,有法必依; 3.要建立电子政务信2、简述政府电子商务的内容。

答:(1)发布招商活动的信息和进行国际联系(2)介绍地区经济环境(3)介绍基础设施(4)排名地区企业3、简述我国电子政务建设的具体措施。

答:1、各级政府机构办起官方网页。

2、有些机构开通网络政务受理平台,偶尔开个重要领导接受群众意见的窗口。

3、把一些重要信息全国联网,比如公民的保险,医疗等。

4、电子商务的应用有哪些方面?答:电子商务的一个很大的优点是它不仅适合于大企业使用,而且对众多的中小企业也非常有利。

相对于大型企业来说,中小型企业的人力、财力、信息技术实力较弱,中小企业如何应用电子商务是一个值得研究的新课题。

通常情况下,电子商务的用途具有四种类型:信息访问、个人通信、购物服务、虚拟企业。

由于电子商务是一个复杂的系统工程,因此它会用到许多新的技术,但最重要的还是以下几种:电子数据交换(EDI)、条形码、电子邮件、Internet、WorldWideWeb、产品数据交换和电子表格。

感谢您的阅读,祝您生活愉快。

电子政务的信息安全保障及体系构建

电子政务的信息安全保障及体系构建

1电子政务网络信息安全1.1信息安全与电子政务网络相伴而生电子政务的推进,使网络不仅成为信息传递的工具,而且成为控制系统的中枢;不仅国防设施需要网络指挥,各种电话网、油气管道、电力网、交通管理系统、金融系统、卫生系统等民用设施,也越来越依赖于网络基础设施的稳定运行。

同时,在政务网络中,不同领域的关键信息以数字化方式进行存储和处理,大量的机密信息直接在政务网络中传递,由于网络的开放性以及安全性不足,加之攻击手段层出不穷,诸如病毒、陷门、隐通道、拒绝服务、侦听、欺骗、口令攻击、路由攻击、会话窃取攻击等等难以防护,使得这些事关国计民生的信息资源一旦遭到破坏,往往波及军事、经济、社会、文化乃至国家安全与稳定。

1.2网络信息犯罪的现状与危害网络信息犯罪具有一定的隐蔽性,信息安全案件正以每年100%的速度增长,在I nte rnet 网上的黑客攻击事件也以每年10倍的速度在增长,国防、机密要害部门的政务网络成为计算机犯罪的主攻目标。

美国国防部的计算机网络系统经常发现非法入侵者,1995年,入侵美国国防部网络系统的事件多达25万次,其中16.25万次获得了成功。

美国金融界由于受攻击,每年损失金额近百亿美元,美国审计总署资料显示:欧美等国金融机构的计算机网络被入侵的比例高达77%。

针对政务网络的攻击往往会造成数据资产和政务系统可用性的破坏,造成巨大的、直接的经济损失,信息安全带来的风险明显增高。

同时由于金融、商业数据涉及国家稳定和民生问题,决定了政务信息的不安全会带来严重的社会信任危机。

如果没有对电子政务实施全面统一管理的机构和相应的法■王谦陈放【摘要】电子政务网络的飞速发展大大提高了行政效能,改变了传统的国家安全观。

电子政务信息安全问题日益突出,已经成为国家安全的重要内容和目标。

本文从分析信息安全技术、建立信息安全策略和安全模型出发,提出构建立体的电子政务网络信息安全保障体系。

【关键词】电子政务信息安全国家安全信息安全模型律规范,那么,被破坏的政务网络秩序将引起社会混乱、无序甚至崩溃。

第五章 电子政务的保障体系

第五章 电子政务的保障体系

5 网络基础设施标准 6 管理标准
§3 电子政务的道德法律体系
一、电子政务道德法律体系建设的必要性
1.电子政务促进的需要
2.电子政务安全的需要
3.新型行政管理方式的需要
4.新型社会管理的需要
二、国外电子政务立法情况
三、我国电子政务立法情况
1.《电子签名法》
2.《政府信息公开条例》
3.《计算机系统安全保护条例》
(二)电子政务安全法规建设 (三)电子政务安全标准建设
§2 电子政务的标准规范体系
一、电子政务建设标准化的意义
标准化是电子政务系统实现互联互通、信 息共享、业务协同、安全可靠的前提。
二、我国电子政务标准化情况
2002年1月,国务院信息化工作办公室和国家 标准化管理委员会在京成立了“电子政务标准化总 体组”,全面启动电子政务标准化工作。目前已完 成了《电子政务标准体系框架》和《国家电子政务 标准化指南》 (第一版)。
4.《计算机软件保护条例》
5.《关于维护互联网安全的规定》、《互联网 服务管理办法》、《中国互联网域名注册暂行规定》
四、电子政务法规体系框架
1.电子签名 2.电子政府采购 3.政府信息公开 4.信息安全 5.信用体系建设 6.隐私权保护、版权保护与数据保护 7.政府网站和信息系统建设、数据库建设 8.信息资源开发、利用、共享机制 9.电子化审批与许可
5.物理隔离系统
五、电子政务安全运行管理体系
(一)电子政务安全行政管理 1.安全组织机构 2.安全人事管理 3.安全责任管理
(二)电子政务安全技术管理 1.实体安全管理 ●环境安全 ●设备安全 ●存储媒体安全 2.软件系统管理 3.密钥管理
(三)电子政务安全风险管理

电子政务中的信息安全保障

电子政务中的信息安全保障

电子政务中的信息安全保障1. 介绍电子政务是指政府利用信息技术和互联网实现政务管理和公共服务的方式。

随着信息化的发展,电子政务已经成为许多国家的发展方向。

然而,信息安全问题一直是电子政务中必须重视和解决的核心问题。

本文将重点探讨电子政务中的信息安全保障措施。

2. 信息安全威胁在电子政务中,信息安全威胁包括黑客攻击、病毒感染、数据泄露等多种形式。

这些威胁可能会对政府机构的正常运作和公民的权益造成重大影响。

因此,建立一套完善的信息安全保障体系迫在眉睫。

3. 密码技术密码技术是信息安全的基石,它是保护电子政务系统免受非法访问和数据泄露的重要手段。

政府机构应采用安全可靠的密码算法和密钥管理方式,确保数据在传输、存储和处理过程中的安全性。

同时,政府还应建立密码政策,指导各个部门和个人在使用密码技术时的规范操作。

4. 访问控制访问控制是指控制用户对系统和数据的访问权限的一种技术手段。

为了保障电子政务系统的安全,政府机构应根据用户身份和权限设置不同的访问权限,并严格监控用户访问行为。

此外,多重认证技术的应用也是重要的访问控制手段,例如指纹识别、虹膜识别等技术可提高系统的安全性。

5. 网络安全网络安全是电子政务中不可忽视的方面,它涉及网络架构设计、防火墙配置、入侵检测等多个方面。

政府机构应建立安全的网络架构,合理划分内外网,确保对外服务的安全性。

同时,政府还应定期进行漏洞扫描和系统更新,及时修复安全漏洞,保持系统的充分安全性。

6. 数据安全数据是电子政务中最重要的资产之一。

政府机构应采用安全的数据传输和存储方式,加密重要数据,防止数据泄露和篡改。

此外,政府还应建立健全的数据备份和恢复机制,以应对数据丢失和灾难恢复。

7. 人员管理人员管理是信息安全保障的关键环节之一。

政府机构应加强对员工的安全意识教育和培训,提高其对信息安全的重视程度。

同时,政府还应建立健全的权限管理制度,明确各个岗位的责任和权限,避免内部人员滥用权力和泄露敏感信息。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

电子政务安全面临威胁和挑战电子政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证。

电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。

尤其电子政务是搭建在基于互联网技术的网络平台上,包括政务内网、政务外网和互联网,而互联网的安全先天不足,互联网是一个无行政主管的全球网络,自身缺少设防和安全隐患很多,对互联网犯罪尚缺乏足够的法律威慑,大量的跨国网络犯罪给执法带来很大的难度。

所有上述分子利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务应用面临着严峻的挑战。

对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战。

电子政务的安全目标和安全策略电子政务的安全目标是,保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力。

为实现上述目标应采取积极的安全策略:·国家主导、社会参与。

电子政务安全关系到政府的办公决策、行政监管和公共服务的高质量和可信实施的大事,必须由国家统筹规划、社会积极参与,才能有效保障电子政务安全。

·全局治理、积极防御。

电子政务安全必须采用法律威慑、管理制约、技术保障和安全基础设施支撑的全局治理措施,并且实施防护、检测、恢复和反制的积极防御手段,才能更为有效。

·等级保护、保障发展。

要根据信息的价值等级及所面临的威胁等级,选择适度的安全机制强度等级和安全技术保障强壮性等级,寻求一个投入和风险可承受能力间的平衡点,保障电子政务系统健康和积极的发展。

电子政务安全保障体系框架电子政务安全采取“国家推动、社会参与、全局治理、积极防御、等级保护、保障发展”的策略,鉴于电子政务的信息安全面临的是一场高技术的对抗,是一场综合性斗争,涉及法律、管理、标准、技术、产品、服务和基础设施诸多领域,所以电子政务安全,还要从全局来构建其安全保障的体系框架,以保障电子政务的健康发展。

电子政务安全保障体系由六要素组成,即安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施等安全要素(见图1)。

要素一安全法律与政策电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务实施和运行的行为准则,成为电子政务国际交往的重要依据,保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法、犯法者形成强大的威慑。

《中华人民共和国保护国家秘密法》已实施13年,已不完全适应我国当前保密工作的现状,特别是电子政务的发展,亟待修订。

政务信息公开是电子政务的重要原则,为了拉近政府和公众的距离,使公众具有知情权、参与权、监督权和享用政府服务的权利,为公众提供良好的信息服务,充分挖掘政务信息的最大效益,开放政务信息资源(非国家涉密和适宜公开部分)服务于民是电子政务的重要特征。

尽快制订政务信息公开法,适度的解密和规范开放的规则,保护政府部门间信息的正常交流,保护社会公众对信息的合法享用,打破对政务信息资源的垄断和封锁,提高政府行政透明度和民主进程是非常有利的和必需的。

电子政务亟待电子签章和电子文档的立法保护,国际已有近20多个国家对数字签名和电子文档进行了立法,使数字签名和电子文档在电子政务和电子商务运行中具有法律效力。

这将大大促进电子政务和电子商务的健康发展,使电子政务原来的双轨制走向单轨制,这有利于简化程序、降低成本,充分显示电子政务效益是非常有利的。

个人数据保护(隐私法)的需求伴随电子政务的发展日显突出。

电子政务在实施行政监管和公众服务中有大量的个人信息(自然人和法人),如户籍、纳税、社保、信用等信息大量进入了政府网络信息数据库,它对完成电子政务职能发挥巨大作用。

但是这些个人信息如果保护不力或无意被泄漏,而被非法滥用,就可能成为报复、盗窃、推销、讨债、盯梢的工具。

在国外已经出现将盗用的个人隐私信息作为非法商品出售,以牟取暴利的情况,这样直接损害个人的利益,甚至危及个人的生命安危。

因此加快个人数据保护法的制订,是必要的。

还有很多法规的制订都直接关系到电子政务的健康发展,加快制订这些法规,势在必行。

要素二安全组织与管理我国信息安全管理职能的格局已经形成,如国家安全部、国家保密局、国家密码管理委员会、信息产业部、总参……分别执行各自的安全职能,维护国家信息安全。

电子政务安全管理涉及到上述众多的国家安全职能部门,其安全管理职能的协调需要由国家信息化领导机构,如国家信息化领导小组及其办公室、国家电子政务协调小组、国家信息安全协调小组等来进行。

各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自顶向下的信息安全管理组织体系,是电子政务安全实施的必要条件。

制订颁发电子政务安全相关的各项管理条例,及时指导电子政务建设的各种行为,从立项、承包、采购、设计、实施、运行、操作、监理、服务等各阶段入手,保障电子政务系统建设全程的安全和安全管理工作的程序化和制度化。

电子政务信息安全域的划分与管理是至关重要的。

电子政务有办公决策、行政监管和公共服务等三种类型业务,其业务信息内容涉及国家机密、部门工作秘密、内部敏感信息和开放服务信息。

既要保护国家秘密又要便于公开服务,因此对信息安全域的科学划分和管理,将有益于电子政务网络平台的安全设计,有益于电子政务的健康和有效的实现。

制订电子政务工程集成商的资质认证管理办法、工程建设监理机构的管理办法、工程外包商的管理机制和办法,以确保电子政务工程建设的质量和安全,特别是对于电子政务系统的外包制更要有严格的制约和管理手段。

对于电子政务中涉密系统工程的承建,还必须有国家保密局颁发的涉密系统集成资质证书,其他部分应具有国家或省市相应的系统集成商的资质证书。

对于电子政务涉密部分,不允许托管和外包运行,电子政务其他部分将按相关管理条例执行。

电子政务工程中使用的信息安全产品,国家将制订相应的采购管理政策,涉及密码的信息安全产品需有国家密码主管部门的批准证书,信息安全产品应有通过国家测评主管机构的安全测评的证书,维护信息安全产品的可信性。

电子政务系统信息内容根据管理需求,可以实施对信息内容的安全监控管理,以保护政务信息安全,防止由于内部违规或外部入侵可能造成的网络泄密,同时也阻止有害信息内容在政务网上传播。

制订电子政务系统的人员管理、机构管理、文档管理、操作管理、资产与配置管理、介质管理、服务管理、应急事件管理、保密管理、故障管理、开发与维护管理、作业连续性保障管理、标准与规范遵从性管理、物理环境管理等各种条例,确保电子政务系统的安全运行。

要素三安全标准与规范信息安全标准有利于安全产品的规范化,有利于保证产品安全可信性、实现产品的互联和互操作性,以支持电子政务系统的互联、更新和可扩展性,支持系统安全的测评与评估,保障电子政务系统的安全可靠。

国家已正式成立“信息安全标准化委员会”,近期成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)、密码算法与密码模块/KMI/VPN工作组(WG3)、PKI/PMI工作组(WG4)、信息安全评估工作组(WG5)、操作系统与数据库安全工作组(WG6)、身份标识与鉴别协议工作组(WG9)、操作系统与数据库安全工作组(WG10),以开展电子政务安全相关标准的研制工作,支撑电子政务安全对标准制订的需求。

还将制订下列标准:涉密电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和信息安全产品测评标准、应急响应等级、保护目标等级、应急响应指标、电子证据恢复与提取、电子证据有效性界定、电子证据保护、身份标识与鉴别、数据库安全等级、操作系统安全等级、中间件安全等级、信息安全产品接口规范、数字签名……。

要素四安全保障与服务1.电子政务系统建设,要构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系。

·设置政务内网的安全与控制策略;·设置政务外网的安全与控制策略;·设置进入互联网的安全服务与控制策略;·设置租用公网干线的安全服务与控制策略,包括有线通信、无线通信和卫星通信的安全服务与控制策略;·设置政务计算环境的安全服务与机制。

采用纵深防御和多级设防,是电子政务安全保障的重要原则,通过全局性的安全防护、安全检测、快速响应、集成的安全管理与安全设施的联动控制,以达到系统具有防护、检测、反应与恢复能力。

2.推广电子政务信息系统安全工程(ISSE)的控制方法,全面实现安全服务要求。

电子政务安全系统的设计,首先要做好系统资产价值的分析,如物理资产的价值(系统环境、硬件、系统软件)、信息资产的价值、其数据与国家利益和部门利益的关联度;其业务系统(模型、流程、应用软件)正常运行后果所产生的效益,从而确定系统安全应保护的目标,在上述分析的基础上提出整个安全系统的安全需求,进一步定义达到这些安全需求所应具有的安全功能,然后探索系统可能面临的威胁类型,并找出系统自身的脆弱性,这些威胁和脆弱性有:·网上黑客与计算机犯罪;·网络病毒的蔓延与破坏;·机要信息流失与信息间谍潜入;·网上恐怖活动与信息战;·内部人员违规与违法;·网上安全产品的失控;·网络与系统自身的漏洞与脆弱性。

在这些威胁面前,要分析哪些威胁是本系统主要面临的威胁,哪些是次要的,对系统和任务造成的影响程度如何。

进行定性和定量的分析,提出系统安全对策,确定承受风险的能力,寻找投入和风险承受能力间的平衡点,然后确定系统所需要的安全服务及对应的安全机制(见表一),从而配置系统的安全要素。

在工程的生命周期中要进行风险管理、风险决策流程(见图2),这种风险管理是要对电子政务全程进行的。

系统投入运行要对其安全性进行有效评估,即评估者给出的评估证据和建设者采用的技术保障设施,的确能使系统拥有者确信已选用技术对策,确实减少了系统的安全风险,满足必要的风险策略(风险策略可以是“零”风险策略、最小风险策略、最大可承受风险策略或不计风险策略),使其达到保护系统资产价值所必需的能力(见图3)。