電子政務的安全管理方案

電子政務的安全分四個部分·電子政務安全概述·電子政務安全風險分析·電子政務安全的技術對策·電子政務安全的管理對策。

1第一部分

電子政務安全概述電子政務的重要性和特殊性必然會招致各種勢力的關注和攻擊。因此，電子政務的實施在帶來高效率和便利的同時也存在許多風險。我們必須清醒地認識到這一點。2國家計算機網(wǎng)絡與信息安全

管理中心提供的資料顯示2001年中美黑客大戰(zhàn)期間，在遭受美國黑客攻擊的我國大陸網(wǎng)站中，政府網(wǎng)站占了41.5%。也就是說政府網(wǎng)站成為重點攻擊對象。對照安全標準來衡量，中央國家部委的涉密網(wǎng)絡有一半以上未達到安全保密要求。

3再比如：XX公司一個員工把工作電腦帶回家，為了獲得更快的運行效率，部分關閉了防病毒軟件的功能，使得木馬程序植入他的電腦，最后又被植入到XX公司內(nèi)部網(wǎng)系統(tǒng)，導致源代碼的泄露。

4第二部分電子政務的安全風險

下面我們基于風險產(chǎn)生的原因,把電子政務安全風險分為5類：一是物理風險—比如自然災害，電力供應突然中斷，靜電、強磁場破壞硬件設備以及設備老化等引起的風險。二是無意錯誤風險---是指由于人為或系統(tǒng)錯誤而影響信息的完整性、機密性和可用性。5三是有意破壞指內(nèi)部和外部人員有意通過物理手段破壞信息系統(tǒng)而影響信息的機密性、完整性、可用性和可控性。比如：有意破壞基礎設施、擴散計算機病毒、電子欺騙等。這種風險帶來的破壞一般而言是巨大的。嚴重時會引起整個系統(tǒng)的癱瘓和不可恢復。6四是管理風險它是指因為口令和密鑰管理不當、制度遺漏，崗位、職責設置不全面等因素引起信息泄露、系統(tǒng)無序運行等。7五是其它風險是指除上述所列舉的一些風險外，一切可能危及信息系統(tǒng)的機密性、完整性、可用性、可控性和系統(tǒng)正常運行的風險。正是存在上述諸多風險，電子政務的安全體系建設顯得憂為重要。8基于此我們確定

電子政務系統(tǒng)信息安全的宗旨是在實現(xiàn)電子政務信息系統(tǒng)時充分考慮信息風險，從而確保政府部門能夠有效地完成法律所賦予的政府職能。9電子政務的安全目標

有以下三方面一是保護政務信息資源價值不受侵犯。二是保證信息資產(chǎn)的擁有者（政務主體）面臨最小的風險和獲取最大的安全利益。三是使政務的信息基礎設施、信息應用服務和信息內(nèi)容具有保密性、完整性、真實性、可用性和可控性的能力。10那么，我們們?nèi)绾螌崒崿F(xiàn)電子政政務的安全全目標呢答案是構建建一個電子子政務綜合合安全體系系。這種安全體體系應該包包括風險評評估、策略略制定、技技術實現(xiàn)、、制度建立立、流程保保障、人員員培訓等一一系列內(nèi)容容。11電子政務的的安全措施施包括三個個方面一是物理層層的安全防防護措施。。主要通過過制定物理理層面的管管理規(guī)范和和措施來保保證計算機機網(wǎng)絡設備備、設施及及數(shù)據(jù)信息息免遭自然然災害、人人為操作失失誤或錯誤誤、計算機機犯罪行為為導致的物物理實體被被破壞、服服務中斷、、數(shù)據(jù)遺失失。比如上海財財稅局系統(tǒng)統(tǒng)容災、數(shù)數(shù)據(jù)集中備備份項目就就是針對上上海市財稅稅系統(tǒng)迫切切需要解決決的安全性性需求而建建設的。12二是技術措措施。它是是利用計算算機網(wǎng)絡產(chǎn)產(chǎn)品和技術術服務實現(xiàn)現(xiàn)的，包括括技術規(guī)范范、技術方方案、技術術實施等內(nèi)內(nèi)容。三是管理措措施。包括括管理體系系,管理制制度和法律律保障。其中，管理理和技術的的有效結合合是保證電電子政務系系統(tǒng)的安全全的必備手手段。下面面進行詳細細介紹13第三部分電電子政務務安全的技技術對策首先是網(wǎng)網(wǎng)絡層的的安全大大家知知道網(wǎng)絡的的組成包括括客戶戶機—信道道----服務器三三個方面，，因此，安安全對策也也有三個方方面。1客戶機機（用戶終終端）安全全的對策就是保護客客戶機免受受網(wǎng)上下載載軟件和數(shù)數(shù)據(jù)的威脅脅，方法有有數(shù)字證書書、瀏覽器器內(nèi)置的安安全特性和和使用防病病毒軟件。。143.3.1---2.通訊訊信道的安安全保護通訊信信道的安全全就是要保保證通訊的的保密性、、傳輸信息息的完整性性和信道的的可用性。。保密性和完完整性主要要通過各種種加密的方方式來實現(xiàn)現(xiàn)。153.3.1---3電子政政務服務器器的安全一是訪問控控制和認證證二是操作系系統(tǒng)控制-------大家家最常見的的就是用戶名+口口令的的認證方式式。163.3.2電子政務務服務應用用層

安全全策略建立完整的的公鑰基礎礎設施（PublicKeyInfrastructure，PKI）,它是是基于公開開密鑰理論論和技術建建立起來的的安全體系系，是提供供信息安全全服務的具具有普適性性的安全基基礎設施。。17建立這套基基礎設施的目的是解解決網(wǎng)絡空空間的身份份認證與信信任問題183.3.3-1電子子政務中的的內(nèi)外網(wǎng)隔隔離三網(wǎng)隔離關關系示意圖圖193.3.3—1物物理隔離是指將兩個個網(wǎng)絡完全全斷開，使使之不發(fā)生生實際的物物理連接。。這樣一來來，網(wǎng)絡黑黑客便無法法進入內(nèi)網(wǎng)網(wǎng)?！?.11”恐怖襲襲擊事件后后，美國政政府提出建建立獨立于于Internet的政府專專用網(wǎng)GOVNET。我國電子政政務的內(nèi)網(wǎng)網(wǎng)與外網(wǎng)之之間采取的的是物理隔隔離。203.3.3—2邏邏輯隔離是指兩個網(wǎng)網(wǎng)絡之間通通過專用的的計算機設設備連接，，這個計算算機通過執(zhí)執(zhí)行一定的的安全策略略，從而控控制兩個網(wǎng)網(wǎng)絡之間信信息包的流流入和流出出。最常用用的設備是是防火墻。。電子政務中中的外網(wǎng)與與互聯(lián)網(wǎng)之之間即采取取邏輯隔離離。213.3.4其它安安全技術包包括1.虛擬擬專用網(wǎng)絡絡(VPN)2.入侵侵檢測系統(tǒng)統(tǒng)（IDS）3.漏洞洞掃描系統(tǒng)統(tǒng)這里不展開開講.22第四部分電電子政務務安全的管管理對策首先是部部署完完善的電子子政務安全全管理體系系請看示意圖圖2324建建立安全管理理制度用書面的形式式對各項要求求做出明文規(guī)規(guī)定。包括人人員管理、保保密、跟蹤審審計、系統(tǒng)維維護、數(shù)據(jù)備備份、病毒定定期清理等一一系列制度。。這些制度是保保證電子政務務系統(tǒng)正常有有序運行的基基礎，是電子子政務人員必必須遵守的工工作守則。25這里強調一下下

關于人員員管理的四項項基本原則1、多人負責責原則----每一項與與安全有關的的活動，都必必須有兩人或或多人在場。。2、任期有限限原則———任何人最好好不要長期擔擔任與安全有有關的職務，，以免使他認認為這個職務務是專有的或或永久的。263是最小權權限原則———每個人只只負責一種事事務，只有一一種權限。4、職責分離離原則——在在信息處理系系統(tǒng)工作的人人員不要打聽聽、了解或參參與職責以外外的任何與安安全有關的事事情，除非系系統(tǒng)主管領導導批準。27電電子政務安安全的法律保保障電子政務安全全的法律保障障包括基礎性性法規(guī)建設和和標準性法規(guī)規(guī)建設。信息安全法規(guī)規(guī)是信息資源源安全管理走走向成熟化、、正規(guī)化和法法制化的表現(xiàn)現(xiàn)。政務信息公開開法的出臺說說明了我國在在電子政務安安全管理上正正逐漸走向成成熟。28近年來，我國國信息安全標標準化工作發(fā)發(fā)展較快，在在國家質量技技術監(jiān)督局的的領導下，全全國信息化標標準委員會及及其下屬的信信息安全分技技術委員會在在制訂我國信信息安全標準準方面做了大大量的工作。。29思考題1.電子政政務的安全目目標是什么？？2.完整的的電子政務綜綜合安全體系系包括哪些內(nèi)內(nèi)容？當當前我國國電子政務安安全存在的問問題主要有哪哪些？3.簡述電電子政務的安安全威脅的幾幾種類型？4.電子政政務服務器的