電子政務的安全保障

電子政務的安全分四個部分·電子政務安全概述·電子政務安全風險分析·電子政務安全的技術(shù)對策·電子政務安全的管理對策。

1第一部分分電子政務務安全概概述電子政務務的重要要性和特特殊性必必然會招招致各種種勢力的的關(guān)注和和攻擊。。因此，電電子政務務的實施施在帶來來高效率率和便利利的同時時也存在在許多風風險。我們必須須清醒地地認識到到這一點點。2國家計算算機網(wǎng)絡絡與信息息安全管管理中中心提供供的資料料顯示2001年中美美黑客大大戰(zhàn)期間間，在遭遭受美國國黑客攻攻擊的我我國大陸陸網(wǎng)站中中，政府府網(wǎng)站占占了41.5%%。也就是說說政府網(wǎng)網(wǎng)站成為為重點攻攻擊對象象。對照安全全標準來來衡量，，中央國國家部委委的涉密密網(wǎng)絡有有一半以以上未達達到安全全保密要要求。3再比如：：XX公司司一個員員工把工工作電腦腦帶回家家，為了了獲得更更快的運運行效率率，部分分關(guān)閉了了防病毒毒軟件的的功能，，使得木木馬程序序植入他他的電腦腦，最后后又被植植入到XX公司司內(nèi)部網(wǎng)網(wǎng)系統(tǒng)，，導致源源代碼的的泄露。。4第二部分分電電子政務務的安全全風險下面我們們基于風風險產(chǎn)生生的原因因,把把電子政政務安全全風險分分為5類類：一是物物理風險險—比如如自然災災害，電電力供應應突然中中斷，靜靜電、強強磁場破破壞硬件件設備以以及設備備老化等等引起的的風險。。二是無意意錯誤風風險----是指指由于人人為或系系統(tǒng)錯誤誤而影響響信息的的完整性性、機密密性和可可用性。。5三是有意意破壞指內(nèi)部和和外部人人員有意意通過物物理手段段破壞信信息系統(tǒng)統(tǒng)而影響響信息的的機密性性、完整整性、可可用性和和可控性性。比如如：有意意破壞基基礎(chǔ)設施施、擴散散計算機機病毒、、電子欺欺騙等。。這種風險險帶來的的破壞一一般而言言是巨大大的。嚴嚴重時時會引起起整個系系統(tǒng)的癱癱瘓和不不可恢復復。6四是管理理風險它是指因因為口令令和密鑰鑰管理不不當、制制度遺漏漏，崗位位、職責責設置不不全面等等因素引引起信息息泄露、、系統(tǒng)無無序運行行等。7五是其它它風險是指除上上述所列列舉的一一些風險險外，一一切可能能危及信信息系統(tǒng)統(tǒng)的機密密性、完完整性、、可用性性、可控控性和系系統(tǒng)正常常運行的的風險。。正是存在在上述諸諸多風險險，電子子政務的的安全體體系建設設顯得憂憂為重要要。8基于此我我們確定定

電子子政務系系統(tǒng)信息息安全的的宗旨是在實現(xiàn)現(xiàn)電子政政務信息息系統(tǒng)時時充分考考慮信息息風險，，從而確確保政府府部門能能夠有效效地完成成法律所所賦予的的政府職職能。9電子政務務的安全全目標有有以下下三方面面一是保護護政務信信息資源源價值不不受侵犯犯。二是保證證信息資資產(chǎn)的擁擁有者（（政務主主體）面面臨最小小的風險險和獲取取最大的的安全利利益。三是使政政務的信信息基礎(chǔ)礎(chǔ)設施、、信息應應用服務務和信息息內(nèi)容具具有保密密性、完完整性、、真實性性、可用用性和可可控性的的能力。。10那么，我我們?nèi)绾魏?/p>

實現(xiàn)現(xiàn)電子政政務的安安全目標標呢答案是構(gòu)構(gòu)建一個個電子政政務綜合合安全體體系。這種安全全體系應應該包括括風險評評估、策策略制定定、技術(shù)術(shù)實現(xiàn)、、制度建建立、流流程保障障、人員員培訓等等一系列列內(nèi)容。。11電子政務務的安全全措施包包括三個個方面一是物理理層的安安全防護護措施。。主要通通過制定定物理層層面的管管理規(guī)范范和措施施來保證證計算機機網(wǎng)絡設設備、設設施及數(shù)數(shù)據(jù)信息息免遭自自然災害害、人為為操作失失誤或錯錯誤、計計算機犯犯罪行為為導致的的物理實實體被破破壞、服服務中斷斷、數(shù)據(jù)據(jù)遺失。。比如上海海財稅局局系統(tǒng)容容災、數(shù)數(shù)據(jù)集中中備份項項目就是是針對上上海市財財稅系統(tǒng)統(tǒng)迫切需需要解決決的安全全性需求求而建設設的。12二是技術(shù)術(shù)措施。。它是利利用計算算機網(wǎng)絡絡產(chǎn)品和和技術(shù)服服務實現(xiàn)現(xiàn)的，包包括技術(shù)術(shù)規(guī)范、、技術(shù)方方案、技技術(shù)實施施等內(nèi)容容。三是管理理措施。。包括管管理體系系,管理理制度和和法律保保障。其中，管管理和技技術(shù)的有有效結(jié)合合是保證證電子政政務系統(tǒng)統(tǒng)的安全全的必備備手段。。下面進進行詳細細介紹13第三部分分

電子子政務安安全的技技術(shù)對策策首先是網(wǎng)網(wǎng)絡絡層的安安全大大家家知道網(wǎng)網(wǎng)絡的組組成包括括客客戶機——信道------服務器器三個方方面，因因此，安安全對策策也有三三個方面面。1客戶戶機（用用戶終端端）安全全的對策策就是保護護客戶機機免受網(wǎng)網(wǎng)上下載載軟件和和數(shù)據(jù)的的威脅，，方法有有數(shù)字證證書、瀏瀏覽器內(nèi)內(nèi)置的安安全特性性和使用用防病毒毒軟件。。143.3..1----2..通訊訊信道的的安全保護通訊訊信道的的安全就就是要保保證通訊訊的保密密性、傳傳輸信息息的完整整性和信信道的可可用性。。保密性和和完整性性主要通通過各種種加密的的方式來來實現(xiàn)。。153.3..1----3電子政務務服務器器的安全全一是訪問問控制和和認證二是操作作系統(tǒng)控控制---------大家最最常見的的就是用戶名++口令的的認認證方式式。163.3..2電子子政務服服務應用用層安安全策略略建立完整整的公鑰鑰基礎(chǔ)設設施（PublicKeyInfrastructure，PKI）,,它是基基于公開開密鑰理理論和技技術(shù)建立立起來的的安全體體系，是是提供信信息安全全服務的的具有普普適性的的安全基基礎(chǔ)設施施。17建立這套套基礎(chǔ)設設施的目的是是解決網(wǎng)網(wǎng)絡空間間的身份份認證與與信任問問題183.3..3-1電子政政務中的的內(nèi)外網(wǎng)網(wǎng)隔離三網(wǎng)隔離離關(guān)系示示意圖193.3..3—1物理理隔離是指將兩兩個網(wǎng)絡絡完全斷斷開，使使之不發(fā)發(fā)生實際際的物理理連接。。這樣一一來，網(wǎng)網(wǎng)絡黑客客便無法法進入內(nèi)內(nèi)網(wǎng)。“9.11”恐恐怖襲擊擊事件后后，美國國政府提提出建立立獨立于于Internet的的政府專專用網(wǎng)GOVNET。。我國電子子政務的的內(nèi)網(wǎng)與與外網(wǎng)之之間采取取的是物物理隔離離。203.3..3—2邏輯輯隔離是指兩個個網(wǎng)絡之之間通過過專用的的計算機機設備連連接，這這個計算算機通過過執(zhí)行一一定的安安全策略略，從而而控制兩兩個網(wǎng)絡絡之間信信息包的的流入和和流出。。最常用用的設備備是防火火墻。電子政務務中的外外網(wǎng)與互互聯(lián)網(wǎng)之之間即采采取邏輯輯隔離。。213.3..4其其它安全全技術(shù)包包括1.虛虛擬專用用網(wǎng)絡((VPN)2.入入侵檢測測系統(tǒng)（（IDS）3.漏漏洞掃描描系統(tǒng)這里不展展開講..22第四部分分電子政務務安全的的管理對對策首先是部部署完善善的電子子政務安安全管理理體系請看示意意圖23243.4..2建立立安全管管理制度度用書面的的形式對對各項要要求做出出明文規(guī)規(guī)定。包包括人員員管理、、保密、、跟蹤審審計、系系統(tǒng)維護護、數(shù)據(jù)據(jù)備份、、病毒定定期清理理等一系系列制度度。這些制度度是保證證電子政政務系統(tǒng)統(tǒng)正常有有序運行行的基礎(chǔ)礎(chǔ)，是電電子政務務人員必必須遵守守的工作作守則。。25這里強調(diào)調(diào)一下關(guān)關(guān)于人人員管理理的四項項基本原原則1、多人人負責原原則-----每每一項與與安全有有關(guān)的活活動，都都必須有有兩人或或多人在在場。2、任期期有限原原則———任何何人最好好不要長長期擔任任與安全全有關(guān)的的職務，，以免使使他認為為這個職職務是專專有的或或永久的的。263是最最小權(quán)限限原則———每每個人只只負責一一種事務務，只有有一種權(quán)權(quán)限。4、職責責分離原原則———在信息息處理系系統(tǒng)工作作的人員員不要打打聽、了了解或參參與職責責以外的的任何與與安全有有關(guān)的事事情，除除非系統(tǒng)統(tǒng)主管領(lǐng)領(lǐng)導批準準。273.4..3電電子政務務安全的的法律保保障電子政務務安全的的法律保保障包括括基礎(chǔ)性性法規(guī)建建設和標標準性法法規(guī)建設設。信息安全全法規(guī)是是信息資資源安全全管理走走向成熟熟化、正正規(guī)化和和法制化化的表現(xiàn)現(xiàn)。政務信息息公開法法的出臺臺說明了了我國在在電子政政務安全全管理上上正逐漸漸走向成成熟。28近年來，，我國信信息安全全標準化化工作發(fā)發(fā)展較快快，在國國家質(zhì)量量技術(shù)監(jiān)監(jiān)督局的的領(lǐng)導下下，全國國信息化化標準委委員會及及其下屬屬的信息息安全分分技術(shù)委委員會在在制訂我我國信息息安全標標準方面面做了大大量的工工作。29思考題1.電電子政務務的安全全目標是是什么？？2.完完整的電電子政務務綜合安安全體系系包括哪哪些內(nèi)容容？當當前我國國電子政政務安全全存在的的問題主主要有哪哪些？3.簡簡述電子子政務的的