第一篇：電子政務及其信息安全

摘要

電子政務是全面提升政府機構管理與服務水平的重要技術手段，電子政務的信息安全問題已成為各國政府普遍關注和研究的重要問題。電子政務作為信息網絡的一個特殊應用領域，運行著大量需要保護的數據和信息，相對于企業信息化和電子商務，具有自身特殊性：一是信息內容的高保密性、高敏感度；二是電子政務發揮行政監督力度；三是利用網絡環境為社會提供公共服務。如果系統的安全性被破壞，造成敏感信息暴露、丟失或網絡被攻擊等安全事件，產生的后果將波及地區甚至整個國家，電子政務信息系統也必然會成為信息間諜、敵對勢力、恐怖集團、國家之間信息戰攻擊的目標。因此，電子政務信息安全事關國家政治、經濟、國防安全和民族信息產業發展全局，缺乏安全保障的電子政務信息系統，不可能實現真正意義上的電子政務。

關鍵詞：電子政務；信息安全；保障；體系

英

文

摘要

E-government is the important technical means that comprehensively enhance the government institutions management and service level, the security question of e-government information has already become the general attention and research important problem of governments.E-government information network as a special application domain, operating with large need protection of data and information that relative to the enterprise information and electronic commerce, has its own particularity: First, it is the information content of high confidentiality, high sensitivity;Second, E-government display administration supervision, Third, it uses network environment for the society providing public services.If the security of the system is destroyed, sensitive information exposure, lost or network by attack security incident, the consequences will affected regions and even the whole country, e-government information system also will become the target of information spy, hostilities, terrorist group, or two hostile countries

.Therefore, e-government information security is a matter

of national political, economic and national defense security and national information industry development, so the lack of security of e-government information systems could not achieve real sense of e-government.Keywords: e-government, Information security;Safeguard;system.目錄

摘要

.........................................................I I 1

電子政務信息安全四大體系

...................................1 1.1

安全管理體系............................................1 1.2

預警檢測體系............................................2 1.3

安全防護體系............................................3 1.4

響應恢復體系............................................4 2

電子政務信息安全的現狀及表現

...............................4 2.1

電子政務信息安全的現狀..................................4 2.2

電子政務信息安全的目標..................................5 2.2.1 可用性目標...........................................5 2.2.2 完整性目標...........................................6 2.2.3 保密性目標...........................................6 2.2.4 可記賬性目標.........................................6 2.2.5 保障性目標...........................................6 3

電子政務中信息安全的幾個基本問題

...........................7 3.1 電子政務.................................................7 3.2

信息安全.................................................7 3.3

電子政務中的信息安全....................................7 3.4

信息安全在國家安全中的地位...............................8 3.5

網絡技術的問題..........................................9 3.5.1

網絡信息安全問題....................................9 3.5.2 網絡對人的情感問題...................................9 3.5.3 政府自身的問題......................................10 3.5.4 電子政務信息化建設應用當中的信息安全隱患............11

電子政務信息安全解決方案

...................................4.1 網絡安全問題的應對方法..................................15 4.1.1 加強對公務員的安全技術教育，樹立網絡安全觀念.........15 4.1.2 改變信息安全管理依靠傳統的管理方法和手段的模式，實現現代的系統管理技術手段........................................16 4.1.3 鼓勵民族信息技術產業的發展，解決好技術的先進性與自主性的關系......................................................16 4.1.4 關于網絡對人的情感及價值忽略問題的應對方法...........17 4.2 政府自身問題的應對方法..................................18 4.2.1 提高公務員素質.......................................18 4.2.2 制定發展規劃，明確階段目標，避免重復建設作為政務活動和信息技術的結合點............................................18 5

我國電子政務中信息安全及相關法律保護

......................5.1 電子政務中信息安全的幾個基本問題........................19 5.2

政府信息安全的保護......................................22 5.3

我國電子政務中信息安全的保護對策........................24 5.3.1 盡快建立我國信息安全的保護體系.......................24 5.3.2 進一步完善我國信息安全保障的法律體系.................26 6

結束語

....................................................電子政務及其信息安全

前言

隨著全球政治經濟一體化的日益明顯，以電子政務為代表的政府管理服務職能的電子化、自動化、無紙化，目前正在一些國家尤其是發達國家中快速發展。在世界各國積極倡導的“信息高速公路”的五個應用領域中，“電子政務”被列為第一位，因此可以說政府信息化是社會信息化的先導，電子政務是信息化社會發展的必然。

電子政務信息安全四大體系

電子政務的信息安全建設是在適當的信息安全保障體系和框架指導下進行的一項系統工程。這項工程包括密切關聯的四大體系：安全管理體系、預警檢測體系、安全防護體系和響應恢復體系，其中，安全管理體系是整個信息安全保障體系中最核心的組成部分，是貫穿其他三個體系的主線。

1.1

安全管理體系

安全管理體系的建立要遵循以下原則：符合法律、法規、標準；符合組織使命；符合組織利益。

建立健全安全管理體系，最重要的是針對電子政務的現有情況制定統一的行政管理制度，在整個網絡系統中貫徹執行。當然，根據當地網絡的實際情況和具體網絡應用的不同，適當作出調整，可以比較好地保證安全策略的統一性、一致性和可管理性。

1.2

預警檢測體系

預警檢測體系包括入侵檢測、漏洞檢測、外聯和接入檢測、補丁管理等。

入侵檢測系統是目前最為主要的一個廣泛應用的技術和管理手段。利用網絡入侵檢測系統，可以了解網絡的運行狀況和發生的安全事件，并根據安全事件來調整安全策略和防護手段，同時改進實時響應和事后恢復的有效性，為定期的安全評估和分析提供依據，從而提高網絡安全的整體水平。

電子政務信息網絡需要部署漏洞檢測系統。漏洞檢測系統一般包括漏洞掃描引擎、控制中心、報表和顯示中心及管理控制臺 4 個功能組件。

在電子政務的網絡系統內，防火墻等安全手段往往被一些違反安全策略的行為所破壞，包括 MODEM 撥號、雙網卡或無線上網等各種方式接入互聯網。這些違反規定的非法外聯行為使電子政務網絡系統內的個人計算機毫無防范地接入 Internet，在用戶無意識的情況下，一些機密信息（包括機器和網絡的所有配置信息以及數據文件）可能泄漏，由此危害整個電子政務網絡的安全。

非法外聯監控技術就是為了防范上述兩類安全問題而設計的，它對內部人員的非法外聯行為進行實時監控，對物理隔離措施或安全限制規定進行有效性檢查。

補丁管理應該納入組織的安全體系。補丁管理的意義已經超出了傳統

的安全領域，成為維護企業信息系統正常操作所必須具備的措施。電子政務需要部署補丁管理系統，補丁可以被存儲在本地網絡以確保它們的更高可讀性和加速分發。

1.3

安全防護體系

安全防護體系包括防火墻、身份鑒別與認證、系統訪問控制、網絡審計等內容。

防火墻就是運行于軟件和硬件上的、安裝在特定網絡邊界的、實施網間訪問控制的一組組件的集合。它在內部網絡與外部網絡之間形成一道安全保護屏障，防止非法用戶訪問內部網絡上的資源和非法向外傳遞內部信息。

身份鑒別與認證是系統的第一道安全屏障，也是實施訪問控制的基礎，具有十分重要的作用。因此，身份鑒別與認證機制的強度如何，將直接關系到整個系統的安全度，口令與令牌相結合的身份驗證方式可以為大多數的場合提供足夠的安全性。

訪問控制包括自主訪問控制和強制訪問控制兩種，其中強制訪問控制具有更高的安全性，建議采用。強制訪問控制給每個客體和主體分配了不同的安全屬性，而且這些安全屬性不像 ACL 那樣容易被修改，系統通過比較主體和客體的安全屬性才決定主體對客體的操作可行性。強制訪問控制可以防范特洛伊木馬和用戶濫用權限，具有更高的安全性。

來自網絡的安全威脅日益增多，很多威脅并不是以網絡入侵的形式進

行的，這些威脅事件多數來自內部合法用戶的誤操作或惡意操作，僅靠系統自身的日志功能并不能滿足對這些網絡安全事件的審計要求。使用網絡審計系統，記錄網絡中發生的違規行為，完整地記錄各種信息的起始地址和使用者，將有利于事后追蹤，為調查取證提供第一手資料。

1.4

響應恢復體系

響應恢復體系包括應急響應和業務連續性計劃兩個方面。

電子政務信息系統已經成為電子政務業務的支撐平臺。安全策略中必須具備應急響應手段，保證電子政務發生安全事故后，能夠及時作出有效響應，采取合適的應急措施處理事故。

安全事件預警與應急響應體系主要針對危及電子政務信息系統安全的重大事件進行檢測、預警、抑制、根除，并從事件的影響中盡快恢復，以確保電子政務信息系統的業務連續性。

業務連續性計劃（BCP）是與信息安全相關、但與業務關系非常緊密的一項內容。因此，電子政務的業務連續性計劃必須以電子政務的業務為中心，綜合考慮。

電子政務信息安全的現狀及表現 2.1

電子政務信息安全的現狀 電子政務中政府信息安全實質是由于計算機信息系統作為國家政務的載體和工具，而引發的信息安全。信息安全成為當前政府信息化中的關鍵

問題。安全問題是電子政務建設中的重中之重。電子政務中的政府信息安全是國家安全的重要內容，是保障國家信息安全所不可忽缺的組成部分。

信息安全涉及到政治、經濟、軍事、文化等方方面面，由于互聯網發展在地域上極不平衡，信息強國對于信息弱國已經形成了戰略上的“信息位勢差”，居于信息低位勢的國家的政治安全、經濟安全、軍事安全乃至民族文化傳統都將面臨前所未有的沖擊、挑戰和威脅，互聯網成為超級大國謀求跨世紀戰略優勢的工具。“信息疆域”不是以傳統的地緣、領土、領空、領海來劃分，而是以帶有政治影響力的信息輻射空間來劃分?！靶畔⒔颉钡拇笮?、“信息邊界”的安全，關系到一個民族、一個國家在信息時代的興衰存亡。在知識經濟時代，一個國家的信息獲取能力以及在社會生產生活領域中的“信息制控權”，將成為這個國家在新世紀的生存與發展競爭中能否占據主動的關鍵。

2.2

電子政務信息安全的目標 信息系統信息安全的宗旨是通過在實現信息系統時充分考慮到自身、伙伴和客戶的信息風險，確保組織能夠完成它的全部使命和目標。進而言之，電子政務系統信息安全的宗旨就是通過在實現信息系統時充分考慮信息風險，從而確保一個政府部門能夠有效地完成法律所賦予的政府職能。電子政務信息安全必須實現以下目標：

2.2.1 可用性目標

可用性目標是指確保電子政務系統有效率地運轉并使授權用戶得到所

需信息服務。通常，可用性目標是電子政務系統的首要信息安全目標。

2.2.2 完整性目標

完整性目標包括兩個方面：數據完整性和系統完整性。通常，完整性目標是電子政務系統除了可用性目標之外最重要的信息安全目標。

2.2.3 保密性目標

保密性目標是指不向非授權個人和部門暴露私有或者保密信息。通常，對于大多數電子政務系統而言，保密性目標在信息安全的重要程度排序中僅次于可用性目標和完整性目標。然而，對于某些特定的電子政務系統和數據，保密性目標是最重要的信息安全目標。

2.2.4 可記賬性目標

可記賬性目標是指電子政務系統能夠如實記錄一個實體的全部行為。通常，可記賬性目標是政府部門的一種策略需求。可記賬性目標可以為拒絕否認、威懾違規、隔離故障、檢測和防止入侵、事后恢復和法律訴訟提供支持。

2.2.5 保障性目標

保障性是電子政務系統信息安全的信任基。保障性目標突出了這樣的事實：對于希望做到安全的信息系統而言，不僅需要提供預期的功能，而且需要保證不會發生非預期的行為。具體而言，保障性目標是指：提供并正確實現需要的電子政務功能；在用戶或者軟件無意中出現差錯時，提供充分保護；在遭受惡意的系統穿透或者旁路時，提供充足防護。

電子政務中信息安全的幾個基本問題

3.1 電子政務 電子政務是政府在國民經濟和社會信息化的背景下，以提高政府辦公效率，改善決策和投資環境為目標，將政府的信息發布、管理、服務、溝通功能向互聯網上遷移的系統解決方案。同時也提供了結合政府管理流程再造，構建和優化政府內部管理系統、決策支持系統、辦公自動化系統，為政府信息管理、服務水平的提高提供強大的技術和咨詢支持。

3.2 信息安全 信息安全是指保證信息系統中的數據在存取、處理、傳輸和服務過程中的保密性、完整性和可用性，以及信息系統本身能連續、可靠、正常地運行，并且在遭到破壞后還能迅速恢復正常使用的安全。

3.3

電子政務中的信息安全 電子政務中的信息安全包括了信息的機密性、完整性、可信性、可控性、不可否認性等。我國立法把信息安全界定為“保障計算機及其相關的和配套的設備、設施(網絡)的安全，運行環境的安全，保障信息安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全”。從這一法律規定看，計算機信息系統安全應當包括實體安全、信息安全、運行安全和人的安全。其中，人的安全主要是指計算機使用人員的安全意識、法律意識、安全技能等；實體安全是指保護計算機設備、設施(含網絡)以及其他媒體免遭自然和人為破壞的措施、過程。實體安全包括環境安全、設備安全和

媒體安全三個方面；計算機信息系統的運行安全包括：系統風險管理、審計跟蹤、備份與恢復、應急四個方面的內容。所謂計算機信息系統的信息安全是指防止信息被故意的或偶然的非法授權泄漏、更改、破壞或使信息被非法系統辨識、控制，即確保信息的保密性、完整性、可用性、可控性。針對計算機信息系統中信息存在形式和運行特點，信息安全包括操作系統安全、數據庫安全、網絡安全、病毒保護、訪問控制、加密與鑒別七個方面。

3.4 信息安全在國家安全中的地位 電子政務中政府信息安全實質是由于計算機信息系統作為國家政務的載體和工具，而引發的信息安全。信息安全成為當前政府信息化中的關鍵問題。安全問題是電子政務建設中的重中之重。電子政務中的政府信息安全是國家安全的重要內容，是保障國家信息安全所不可忽缺的組成部分。

信息安全涉及到政治、經濟、軍事、文化等方方面面，由于互聯網發展在地域上極不平衡，信息強國對于信息弱國已經形成了戰略上的“信息位勢差”，居于信息低位勢的國家的政治安全、經濟安全、軍事安全乃至民族文化傳統都將面臨前所未有的沖擊、挑戰和威脅，互聯網成為超級大國謀求跨世紀戰略優勢的工具。“信息疆域”不是以傳統的地緣、領土、領空、領海來劃分，而是以帶有政治影響力的信息輻射空間來劃分?！靶畔⒔颉钡拇笮?、“信息邊界”的安全，關系到一個民族、一個國家在信息時代的興衰存亡。在知識經濟時代，一個國家的信息獲取能力以及在社會生產生活

領域中的“信息制控權”，將成為這個國家在新世紀的生存與發展競爭中能否占據主動的關鍵。

3.5

網絡技術的問題 3.5.1

網絡信息安全問題 目前對信息安全構成威脅的既有自然因素也有人為因素，主要有火災等自然災害、硬件故障、嚴重誤操作、數據泄露、盜用、偽造、假冒、故意對數據或程序破壞、病毒、錯誤指向、黑客、特洛伊木馬、搭線竊聽等。掌握了一定技術的人可以輕易獲取網絡服務器上的用戶賬號信息和文件。并可進入系統修改刪除重要數據文件。一旦電子政務系統被非法侵入和破壞它將不能正常工作甚至全部癱瘓。如果系統的安全性被破壞。造成敏感信息暴露或丟失，或網絡被攻擊等安全事件。那么產生的后果必然波及地區和整個國家的安全，這種破壞將會給國家帶來重大損失。一旦網絡受到攻擊，不能正常工作，甚至全部癱瘓時，整個社會將陷入危機。國家機密難保，致使某些部門不敢使用互聯網。

3.5.2 網絡對人的情感問題 電子政務的一大特點是虛擬性，這是由互聯網的特點所決定的。政府工作人員在進行電子政務的活動中，往往會使人際關系淡化，政府工作人員和公眾似乎面對的只是電腦，而常常忘記他們也是和人進行交往。例如時下興起的在城市公共場所安裝的“電子眼”監控系統，雖然在一定程度上改善了城市交通，降低了犯罪率，但這種“倒洗腳水也將孩子一塊兒潑

出”的做法也對公民的隱私權和其他方面的權利造成了嚴重侵犯，其對人性化和人本管理的背離也是顯而易見的。

3.5.3 政府自身的問題（1）

公務員及官員素質有待提高 大部分政府官員和公務員對信息技術、網絡技術和計算機技術還未接觸或接觸不多，所以對高新信息技術應用方面的能力也比較欠缺，整體素質與電子政務建設要求也還有很大的距離，對電子政務建設就缺乏應有的積極態度。

從公務員的文化水平來看，經過 1998 年的政府機構改革，國務院近1.7萬名公務員中，大學本科畢業以上學歷的占 65%。但地方政府 500 萬公務員中，大學本科畢業以上學歷的僅有 10%，約有 20%的公務員不會操作計算機。面對電子政務的潮流，許多公務員在心理上必然會恐懼害怕，產生抵觸情緒，而不能從心理上積極學習，以適應政府信息化的歷史潮流，結果使得很多昂貴的設置成為裝點門面的飾物。

（2）

電子政務的規劃和標準缺乏統一性 目前，我國電子政務的發展缺乏宏觀規劃，沒有提出明確的發展目標。同時，條塊分割的管理體制與電子政務的統一性、開放性、交互性和規模經濟等自然特性產生嚴重沖突，各級地方政府和部門在電子政務的建設中往往各自為政，采用的標準也各不相同，業務內容單調重復，造成新的重復建設。同時，缺乏規范和標準也使得信息流通不暢，資源無法共享和信

息孤島，影響了跨部門、跨區域共性業務的處理和政府的有效監管。

3.5.4 電子政務信息化建設應用當中的信息安全隱患（1）

身份認證和訪問控制

登錄到系統的人必須是相關業務人員，凡是非相關人員，系統拒絕其訪問；如果系統不能識別用戶的真正身份，業務是無法開展的。身份認證是實現訪問控制的前提條件，通過身份認證結合應用系統的授權機制，才能提供訪問控制功能；

（2）

信息傳輸機密性 在網絡上傳輸的信息不能被竊取；（3）

信息傳輸完整性 在網絡上傳輸的信息不能被惡意篡改；

（4）

信息傳輸不可抵賴性 在網上提交的請求是不允許抵賴的，同時對涉及信息安全的事件，提供事后追蹤、審核及統計的手段。

2004 年 8 月 28 日 十屆全國人大常委會第十一次會議表決通過了《中華人民共和國電子簽名法》，將于 2005 年 4 月 1 日 起施行。該法首次賦予電子簽名與紙質手寫簽名具有同等法律效力，并明確了電子認證服務市場的準入制度，同時保障了電子交易安全?！吨腥A人民共和國電子簽名法》的施行意味著網上通行有了 “ 身份證 ”，對“電子簽名”、“數據電文”等電子文檔是否具有法律效力進行了明確的規定，同時對電子認

證機構的法律地位和法律責任有了明確的界定，保證以后發生糾紛時的責任認定，并且使得電子簽名的安全性、可靠性有了法律保障，有效的保護了使用者的權益。

面對 G2B 電子政務的諸多隱患，北京天威誠信電子商務服務有限公司（iTruschina）推出了基于 PKI（Public Key Infrastructure，公鑰基礎設施）技術的、易于實施的、完善的 G2B 電子政務安全解決方案。采用天威誠信的產品和服務，構架電子政務的 PKI/CA平臺（CA ：

Certification Authority，認證中心）或為客戶提供證書服務，為電子政務用戶發放數字證書，電子政務用戶使用數字證書完成涉及到 G2B 工作的各種操作，來保證電子政務的安全。

如圖所示：通過 G2B 電子政務安全解決方案，各企業、事業單位和政府機構及其下屬機構申請數字證書，在各自不同的電子政務應用中使用數字證

書，可以解決 G2B 電子政務的安全需求，在不同應用系統中，如網上申報審批、政務公文流轉、網上工商年檢等，用戶通過申請證書在進行相應電子政務操作時使用數字證書來驗證進行電子政務工作的系統身份，然后提交各自證書讓系統驗證用戶證書來判斷用戶的真實身份，完成用戶和應用系統的雙向認證；根據用戶身份給予相應授權，實現訪問控制，并建立安全通道；用戶提交辦公數據和相應保密信息時，使用用戶證書對數據進行數字簽名，并通過安全通道進行加密傳輸，達到傳輸數據時的機密性和完整性。

對于需要相關部門審批的數據，審批者使用代表其身份的數字證書，登陸電子政務系統，通過數字證書完成雙向身份認證和訪問控制，并建立安全通道；審批者通過驗證申報者的數字簽名，來驗證申報信息的真實性和完整性；審批者對申報信息進行審核后，并簽署審批意見時，也使用自己的數字證書對審批結果進行數字簽名；申報者通過驗證審批者的數字簽名，判斷審批結果的真實性和完整性。

這樣，隨時隨地更加安全快捷的使用電子政務提供的眾多服務，從而極大的提高工作效率和大大降低辦公成本。

天威誠信 G2B 電子政務安全解決方案為電子政務搭建安全工作平臺，加速電子政務建設發展的速度。

規范辦公流程，提高工作效率，為政府部門及時完成各項工作任務實現公文無紙化傳輸等應用提供強有力的安全保護；

有效的保證政府各部門之間及上下級政府之間信息傳遞的安全性，為職能部門的決策提供及時、準確、全面、安全和不可抵賴的信息服務；

為政府外網的安全、穩定運行提供有效的保障：保證政府通過外網獲得的大量決策信息和參考信息的真實性、可靠性；同時為推動政務公開、職能轉變、網上互動、增加透明，樹立政府“公開、廉政、高效”的良好形象提供安全可靠的網絡基礎；

防止公文數據泄漏，防止越權操作，提高電子政務的工作效率，滿足各辦公單位高效、快捷的進行政務活動的需求；

提高政務工作的透明度，提高政府部門的形象；為整個電子政務信息化建設提供安全的應用環境和推廣的可靠保障。電子政務信息安全解決方案 隨著計算機技術和通信技術的飛速發展，信息化的浪潮席卷全球，無論是企事業單位還是政府機構越來越多的傳統事務向自動化、網絡化轉變。在處于經濟全球化和信息化時代的中國，電子政務是提高政府管理水平和服務水平、提高國家競爭力的有力工具，更是帶動全社會信息化的龍頭，具有重大的意義。電子政務工程將建立一個集資源和服務于一體的電子政府個體和群體網絡，其本質是資源數字化和服務網絡化。隨著信息技術的發展，互聯網的普及，利用網絡為政府部門提供更優質的服務成為當今社會的共識，借助電子政務系統的建設，達到提高政府工作效率、政府工作透明化，充分做到執政為民的目的。

由于電子政務的許多應用，如網上的申報審批、政務公文流轉、網上信息統計直報、網上報稅、各企業資質的網上年檢等都是面向企業、政府下屬機構 / 部門或政府關聯機構 / 部門的應用，如下圖所示：

電子 政務應用系統涉及到許多保密信息，這些信息都在不同程度上關系到政府的正常運轉和在廣大民眾心中的地位，如果這些信息一旦失真或被內部人員、不懷好意人士、黑客和政治間諜竊取將有可能導致嚴重的后果。因此，采取強有力的安全措施來保障電子政務的信息安全將變得尤為重要。

4.1 網絡安全問題的應對方法 4.1.1 加強對公務員的安全技術教育，樹立網絡安全觀念。

網絡的開放性在給人類的生活帶來諸多方便的同時，也給社會生活的許多方面帶來了很多不穩定的因素，尤其是作為社會管理者的政府，一旦其網絡遭到惡意攻擊，很可能給社會帶來災難性的損失。因此，加強公務員的網絡安全教育和技術培訓，使之樹立網絡安全意識，并掌握一定的網

絡安全技術和技能，不僅是對公務員自身素質的一大要求，也是應對網絡安全的關鍵。

4.1.2 改變信息安全管理依靠傳統的管理方法和手段的模式，實現現代的系統管理技術手段。

國際標準 BS7799 和 ISO／IEC17799 是流行的信息安全管理體系標準。其中的管理目標為數據的保密性、完整性和可用性要求。具有自組織、自學習、自適應自修復、自生長的能力和功能。保證持續有效性。通過計劃、實施、檢查、措施四個階段周而復始的循環。應用于其整體過程、其他過程及其子過程，例如信息安全風險評估或者商務持續性計劃的安排等。為信息安全管理體系與質量管理體系、環境管理體系等的整合運行提供了方便在模式和方法上都兼容，成為統一的內部綜合管理體系包括按照可信網絡架構方法。編制信息安全解決方案。多層防范多級防護，等級保護，風險評估、重點保護。針對可能發生的事故或災害。制定信息安全應急預案，建立新機制、規避風險、減少損失。根據相應的政策法規在網絡工程數據設計、建設和驗收等階段實行同步審查，建立完善的數據備份、災難恢復等應用，確保實時、安全、高效、可靠的運行效果。

4.1.3 鼓勵民族信息技術產業的發展，解決好技術的先進性與自主性的關系。

作為一個先進復雜的系統，電子政務系統必須盡量采用先進技術和手段以提高政務運轉的效率，并增強整個系統的可靠性。從目前信息技術發

展的情況來看，絕大多數的關鍵技術掌握在以美國為首的少數發達國家手中，在實施電子政務過程中不可避免地要采用這些國家的技術和產品，而從我國的國家和民族利益來看，又要盡量避免在關鍵要害部門受制于人。鑒于安全問題，在構建電子政務系統過程必須要處理好技術先進性與自主性的關系。首先，對于核心應用系統和關鍵政務環節，必須確保在各類實施方案中的技術自主性。其次，對于核心層外部，但又與其他外部信息系統存在一定可監控隔絕層的層次，可以盡量采用先進技術以提高系統的效率和可靠性。實際上在整個電子政務系統中，位于此層次的應用系統也是承載信息最多，工作模型和處理流程最復雜的。由于此層應用系統不直接與外部信息系統相接，并能在一定的安全監控體系中運行，因此，不必單純從技術自主的角度考慮放棄某些先進的技術。最后，對于直接與外部信息系統相聯的部分，也要針對不同情況分別加以考慮。對于其中安全監控系統，需要在其中的核心部分（如核心加密算法）確保技術自主，對于其余部分，由于所承載的信息基本都屬于非關鍵信息，可以考慮與其他信息系統接口保持通信協議、數據格式甚至軟件體系的一致性。

4.1.4 關于網絡對人的情感及價值忽略問題的應對方法 解決這一問題，一是改進和普及多用途互聯網電子郵件系統（MIME），使政府公務員與公眾之間通過文字、聲音、圖象和影視進行交流與溝通，促其將信息溝通與情感交流融為一體；二是采用如專題調研、座談討論、聽證會、新聞發布會等形式，促使政府公務員與社會公眾之間進行面對面

的交流與溝通，從而消除相互之間的情感隔閡，建立政府與社會之間的相互信任機制。

4.2 政府自身問題的應對方法 4.2.1 提高公務員素質 推行任何改革，思想解放是關鍵。應加強對公務員的思想政治教育，使之轉變觀念，從而在思想上接受這場變革，進而在行動上積極應對這種變革。要加大對公務員的培訓工作，使得他們掌握先進的信息技術，以適應全新的信息社會工作環境，并且要把信息技術知識與技能的考核納入公務員綜合考核范圍之內。

4.2.2 制定發展規劃，明確階段目標，避免重復建設作為政務活動和信息技術的結合點 電子政務建設不單單是一個技術問題，而且涉及到政黨部門的工作程序、組織結構、人事制度等方面的調整和協調。因此，國家要制定相應的發展規劃，建立相應的領導機構，加強對電子政務的研究、規劃和組織協調，并根據國情，制定切實可行的階段性目標.雖然可以在電子政務的其他方面（如硬件平臺應用軟件的選擇上）可以搞市場經濟，由各廠商自由開發、公平競爭，但是在技術標準的問題上必須搞“計劃經濟”，由國家同一制定。技術標準確立的越早，我國的電子政務建設就越能盡早走上快車道，因此也就能盡早避免將來因標準混亂而導致的被動局面。

綜上所述：信息安全對于電子政務的成敗具有舉足輕重的作用。電子

政務是一個系統工程，信息安全問題貫穿了電子政務系統的整個系統生命周期，我認為：在電子政務信息安全中，信息安全，三分技術、七分管理。因此，技術安全手段應當服從于和服務于管理安全手段。具體而言，技術手段只有和規章制度的有效執行相配合，才能產生信息安全效益。

我國電子政務中信息安全及相關法律保護 5.1

電子政務中信息安全的幾個基本問題 信息安全的內涵：信息安全是指一個國家的社會信息化狀態不受外來的威脅與侵害；一個國家的信息技術體系不受外來的威脅與侵害。電子政務中的信息安全包括了信息的機密性、完整性、可信性、可控性、不可否認性等。我國立法把信息安全界定為“保障計算機及其相關的和配套的設備、設施(網絡)的安全，運行環境的安全，保障信息安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全”。從這一法律規定看，計算機信息系統安全應當包括實體安全、信息安全、運行安全和人的安全。其中，人的安全主要是指計算機使用人員的安全意識、法律意識、安全技能等；實體安全是指保護計算機設備、設施(含網絡)以及其他媒體免遭自然和人為破壞的措施、過程。實體安全包括環境安全、設備安全和媒體安全三個方面；計算機信息系統的運行安全包括：系統風險管理、審計跟蹤、備份與恢復、應急四個方面的內容。所謂計算機信息系統的信息安全是指防止信息被故意的或偶然的非法授權泄漏、更改、破壞或使信息被非法系統辨識、控制，即確保信息的保密性、完整性、可用性、可控性。針對計

算機信息系統中信息存在形式和運行特點，信息安全包括操作系統安全、數據庫安全、網絡安全、病毒保護、訪問控制、加密與鑒別七個方面。

信息安全在國家安全中的地位：電子政務中政府信息安全實質是由于計算機信息系統作為國家政務的載體和工具，而引發的信息安全。信息安全成為當前政府信息化中的關鍵問題。安全問題是電子政務建設中的重中之重。電子政務中的政府信息安全是國家安全的重要內容，是保障國家信息安全所不可忽缺的組成部分。

信息安全涉及到政治、經濟、軍事、文化等方方面面，由于互聯網發展在地域上極不平衡，信息強國對于信息弱國已經形成了戰略上的“信息位勢差”，居于信息低位勢的國家的政治安全、經濟安全、軍事安全乃至民族文化傳統都將面臨前所未有的沖擊、挑戰和威脅，互聯網成為超級大國謀求跨世紀戰略優勢的工具?！靶畔⒔颉辈皇且詡鹘y的地緣、領土、領空、領海來劃分，而是以帶有政治影響力的信息輻射空間來劃分?！靶畔⒔颉钡拇笮　ⅰ靶畔⑦吔纭钡陌踩?，關系到一個民族、一個國家在信息時代的興衰存亡。在知識經濟時代，一個國家的信息獲取能力以及在社會生產生活領域中的“信息制控權”，將成為這個國家在新世紀的生存與發展競爭中能否占據主動的關鍵。

我國所面臨的信息安全威脅：我國信息技術和信息產業的發展與技術先進國家相比“西強我弱”是事實，西方敵對勢力利用一切機會威脅我國家安全也是事實。在意識形態領域，電子媒介成為國際意識形態斗爭的主

導工具；某些西方大國利用信息及信息傳輸技術優勢，妨礙、限制、壓制和破壞其他國家對信息的自由運用，甚至利用信息把本國的價值觀念、意識形態強加于別國頭上，以謀求政治軍事手段難以得到的霸權利益。它們利用在信息領域的主宰地位，通過互聯網絡上的電子郵件、電子報刊及其他信息媒體展開宣傳戰、心理戰。政策滲透、“文化侵略”嚴重威脅著發展中國家的政治、科技、文化安全。在軍事領域，網絡泄密是軍事信息安全的重要表現；軍事泄密觸目驚心；黑客攻擊對軍事信息安全的危害極大；信息戰是影響軍事信息安全的極端表現形式。在信息產業和經濟金融領域，電腦硬件面臨遏制和封鎖的威脅；軟件面臨市場壟斷和價格歧視的威脅。

同時國家為加快信息化建設的需要，大量引進國外的基礎設備，對引進的信息和技術缺乏相應的有效管理和技術改造，尤其是對發達國家或跨國公司在提供關鍵設備中可能做手腳(如在電腦芯片中隱藏著特定的程序，有可能在某種指令下被激活，或使電腦無法啟動)缺乏有效的檢測和排除技術。就有可能造成花費寶貴的外匯買來安全隱患，買來不安全的后果。

我國電子政務中信息安全的現狀及表現：目前我國電子政務中的政府信息安全問題突出表現在：一是我國政府信息網絡安全存在嚴重隱患。網絡非常脆弱，各種安全隱患普遍存在。掌握了一定技術的人可以輕易獲取網絡服務器上的用戶賬號信息和口令文件，并可進入系統修改、刪除重要數據文件。一旦這些系統被非法侵入和破壞，將不能正常工作，甚至全部癱瘓，給國家帶來重大損失。二是互聯網上和針對計算機信息系統的違法

犯罪活動日益增多。近年來，金融機構內部利用計算機犯罪案件大幅度上升；在互聯網上泄露國家秘密的案件屢有發生；提供境外黃色站點的錯接服務，向國內用戶提供色情信息。三是境內外黑客攻擊破壞網絡的問題十分嚴重。他們通常采用非法侵入重要信息系統，修改或破壞系統功能或數據等手段，造成數據丟失或系統癱瘓，給國家造成重大政治影響和經濟損失。四是境內外敵對勢力、敵對分子和非法組織利用互聯網進行煽動、滲透、組織、聯絡等非法活動日趨突出。他們通過建立針對境內的反動宣傳、煽動的站點，利用電子公告欄、新聞討論等公共媒體，發表反動文章，散布反動言論，煽動反政府情緒；利用互聯網進行組黨結社，公開吸納成員；利用電子郵件直接向國內用戶發送反動刊物；利用電子郵件進行聯絡。對電子政務中的政府信息安全受侵害的方式主要包括：偷竊、分析、冒充、篡改、抵賴等。

5.2 政府信息安全的保護

一個國家的信息安全，實際是由兩方面構成的。其一，為一個國家在信息安全方面采取的一系列組織措施及有關政策、法規；其二，為強有力的、切實可行的技術手段及有關技術裝備。前者反映了一個國家在信息安全方面的決心、意志和戰略、策略；后者反映了一個國家在信息安全方面的實力。信息技術是信息安全的前提和基礎，信息安全的國家發展戰略(包括信息安全法律制度)，早已從一個產業問題上升為一個事關國家的社會、文化、軍事等各方面的核心問題。在信息安全中其地位舉足輕重，尤其作

為信息技術相對落后的我國如何調整信息安全戰略，完善信息安全保障法律規范，不僅是提高信息安全保障能力的手段和方法，而且是提高信息安全技術的前提和保證。所以我國“計算機信息安全的保護主要包括兩方面的內容，一是國家安全監督管理，二是計算機信息系統使用單位自身的保護措施。實施計算機信息系統保護的措施包括：安全法規、安全管理、安全技術三方面”。

信息安全是一項極其復雜的系統工程，在安全法規、安全管理、安全技術的保障措施中，安全技術是信息安全的基礎；安全管理是信息安全的關鍵；安全法規是信息安全的保證。

采用先進可靠的安全技術是維護信息安全的有力保障。事實上，大多數安全事件和安全隱患的發生與其說是技術上的原因，不如說是管理中的緣故。我國已發生的許多計算機安全事件(包括計算機犯罪行為)，技術手段并不高明，僅僅是由于鉆了管理上的漏洞。管理的關鍵在于管好人。因為一方面各種安全措施要靠人實施，另一方面有相當多的威脅網絡的行為出自系統內部人員。因此必須提高安全管理人員的素質，加強對系統內部人員和網絡用戶的教育和管理。

采用安全技術，加強安全管理，可以大大提高網絡的安全性。為了切實貫徹執行這些安全措施，并有實施的法律依據，制定保障網絡安全的法律、法規就顯得尤為必要。對于已經發生的違法行為，只能依靠法律進行懲處，當然也包括一些民事行為的法律調整，這是保護網絡安全的最終手

段。同時通過法律的威懾力，還可以使有犯罪意識者產生畏懼心理，達到懲一儆百的效果。法律還可以便公民了解在網絡的管理和應用中什么是違法行為，而自覺地不為，從而創造一個良好的社會環境，起到保護網絡安全的重要作用。所以說法律又是網絡安全的第一道防線。

5.3 我國電子政務中信息安全的保護對策

針對我國信息安全的現狀，結合我國電子政務的實際，當前在政府信息安全的保護方面的當務之急是：

5.3.1 盡快建立我國信息安全的保護體系(1)

迅速健全信息安全保護的組織機制 國家信息化工作領導小組是站在國家的高度，對網絡信息的國家發展總體戰略進行規劃、設計、研究，組織、協調、配合有關部門進行立法調研，使國家在網絡信息方面的立法成為一個有機的整體。但地方政府和重點保護的重要領域相應的組織機構還不健全；《中華人民共和國計算機信息系統安全保護條例》中確立了公安部主管全國計算機信息系統安全保護工作，但由于編制等原因許多地方公安機關沒有成立專門的機構，警力尤其是適應計算機信息技術高速發展的警力配備不足等。最好能組建國家信息安全委員會，組織和協調國家安全、公安、保密等職能部門，在信息化建設中信息安全的分工，對國家信息安全政策統一步調、統籌規劃。因此盡快健全相應的信息安全保障的組織機構是信息安全保護的組織保證。

(2)

盡快完善國家信息安全基礎設施建設 我國目前信息安全基礎設施的建設還處于初級階段，需要逐步完善。當前迫切需要建立的國家信息安全基礎設施建設包括：國際出入口監控中心、安全產品評測認怔中心、病毒檢測和防治中心。關鍵網絡系統災難恢復中心、系統攻擊和反攻擊中心、電子保密標簽監管中心、網絡安全緊急處置中心、電子交易證書授權中心、密鑰恢復監管中心、密鑰基礎設施與監管中心、信息戰防御研究中心等。其中，國際出入口監控中心和安全產品評測認證中心已初步建成。安全產品評測認證中心由安全標準研究、產品安全測試、系統安全評估、認證注冊部門和信息安全專家委員會組成。國家信息安全基礎設施建設是信息安全技術保證。

(3)

堅定地確立信息安全產業的策略

目前就我國的信息產業無論是技術、管理還是生產規模、服務觀念，都不具備力量在短時間內使國產信息產品占領國內的主要市場。但是我國必須建立起獨立自主的信息安全產業。自主的信息產業或信息產品國產化是信息安全的根本。國產化不等于絕對安全，而絕對安全卻需要國產化。國家可集中人力、物力和給以政策，大力發展自主的專用芯片、自主嵌入式操作系統和自主的密碼技術產品等，以確保關鍵部門的信息系統的安全。信息安全產業的策略是信息安全的基本保證。

5.3.2 進一步完善我國信息安全保障的法律體系 雖然我國已頒布相當數量的信息安全方面的法律規范如《關于維護互聯網安全的決定》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》、《商用密碼管理條例》、《金融機構計算機信息系統安全保護工作暫行規定》、《計算機信息系統國際聯網保密管理規定》、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》、《計算機信息系統安全專用產品分類原則》等，但立法層次不高，現行的有關信息安全的法律規范大多只是國務院制定的行政法規或國務院部委制定的行政規章；法律規定之間不統一；立法理念和立法技術相對滯后等，因此要進一步完善我國信息安全的法律保障體系應當做到：

(1)

確立科學的信息安全法律保護理念 為了使國家的政策法律能夠適應社會存在的現實和需求，需要確立起法制建設要保障和促進國家的信息化發展、法制建設為社會信息化發展提供全面服務的指導思想，修正傳統的立法理念，從徹底改革國家傳統的經濟體制和保障機制入手，改變落后的調整方法，把信息安全法制保障的重點從單純的“規范”、“控制”轉移到首先為信息化的建設與發展“掃清障礙”上來，以規范發展達到保障發展，由保障發展實現促進發展，構筑促進國家信息化發展的社會環境，形成適于信息網絡安全實際需要的法治文化。

(2)

構建完備的信息安全法律體系 信息化的社會秩序主要由三個基礎層面的內容所構成，即信息社會活動的公共需求，信息社會生活的基本支柱和信息社會所特有的社會關系。信息社會活動的公共需求是往往以政府意志的形式代為表現的社會公眾的共同意愿，其主要包括國家信息化建設的基本目標、發展綱領、建設規劃、行動策略、工作計劃等等，是指導國家信息化發展的基本內容，也是國家信息化建設的公共需求；信息社會生活的基本支柱是由信息化的技術屬性所決定的、國家信息化建設賴以萌芽、生成和發展的信息技術及其應用，包括計算機技術、網絡技術、通信技術、安全技術、電子商務技術等等，它是信息社會生活必不可少的基本支柱；信息社會所特有的社會關系是指在國家信息化建設的過程中，參與其中的各個主體之間由于其信息化活動而產生的各種社會關系，具體將表現為相應的法律關系，其中主要包括信息民事法律關系、信息刑事法律關系、信息經濟法律關系、信息行政法律關系、信息科技法律關系以及信息社會所特有的各種法律關...

第二篇：電子政務信息安全保障體系

電子政務安全面臨威脅和挑戰

電子政務涉及對國家秘密信息和高敏感度核心政務的保護，設計維護公共秩序和行政監管的準確實施，涉及到為社會提供公共服務的質量保證。電子政務是黨委、政府、人大、政協有效決策、管理、服務的重要手段，必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其電子政務是搭建在基于互聯網技術的網絡平臺上，包括政務內網、政務外網和互聯網，而互聯網的安全先天不足，互聯網是一個無行政主管的全球網絡，自身缺少設防和安全隱患很多，對互聯網犯罪尚缺乏足夠的法律威懾，大量的跨國網絡犯罪給執法帶來很大的難度。所有上述分子利用互聯網進行犯罪則有機可乘，使基于互聯網開展的電子政務應用面臨著嚴峻的挑戰。

對電子政務的安全威脅，包括網上黑客入侵和犯罪、網上病毒泛濫和蔓延、信息間諜的潛入和竊密、網絡恐怖集團的攻擊和破壞、內部人員的違規和違法操作、網絡系統的脆弱和癱瘓、信息產品的失控等，應引起足夠警惕，采取安全措施，應對這種挑戰。

電子政務的安全目標和安全策略

電子政務的安全目標是，保護政務信息資源價值不受侵犯，保證信息資產的擁有者面臨最小的風險和獲取最大的安全利益，使政務的信息基礎設施、信息應用服務和信息內容為抵御上述威脅而具有保密性、完整性、真實性、可用性和可控性的能力。

為實現上述目標應采取積極的安全策略：

·國家主導、社會參與。電子政務安全關系到政府的辦公決策、行政監管和公共服務的高質量和可信實施的大事，必須由國家統籌規劃、社會積極參與，才能有效保障電子政務安全。

·全局治理、積極防御。電子政務安全必須采用法律威懾、管理制約、技術保障和安全基礎設施支撐的全局治理措施，并且實施防護、檢測、恢復和反制的積極防御手段，才能更為有效。

·等級保護、保障發展。要根據信息的價值等級及所面臨的威脅等級，選擇適度的安全機制強度等級和安全技術保障強壯性等級，尋求一個投入和風險可承受能力間的平衡點，保障電子政務系統健康和積極的發展。

電子政務安全保障體系框架

電子政務安全采取“國家推動、社會參與、全局治理、積極防御、等級保護、保障發展”的策略，鑒于電子政務的信息安全面臨的是一場高技術的對抗，是一場綜合性斗爭，涉及法律、管理、標準、技術、產品、服務和基礎設施諸多領域，所以電子政務安全，還要從全局來構建其安全保障的體系框架，以保障電子政務的健康發展。

電子政務安全保障體系由六要素組成，即安全法規、安全管理、安全標準、安全服務、安全技術產品和安全基礎設施等安全要素（見圖1）。

要素一 安全法律與政策

電子政務的工作內容和工作流程涉及到國家秘密與核心政務，它的安全關系到國家的主權、國家的安全和公眾利益，所以電子政務的安全實施和保障，必須以國家法規形式將其固化，形成全國共同遵守的規約，成為電子政務實施和運行的行為準則，成為電子政務國際交往的重要依據，保護守法者和依法者的合法權益，為司法和執法者提供法律依據，對違法、犯法者形成強大的威懾。

《中華人民共和國保護國家秘密法》已實施13年，已不完全適應我國當前保密工作的現狀，特別是電子政務的發展，亟待修訂。

政務信息公開是電子政務的重要原則，為了拉近政府和公眾的距離，使公眾具有知情權、參與權、監督權和享用政府服務的權利，為公眾提供良好的信息服務，充分挖掘政務信息的最大效益，開放政務信息資源（非國家涉密和適宜公開部分）服務于民是電子政務的重要特征。盡快制訂政務信息公開法，適度的解密和規范開放的規則，保護政府部門間信息的正常交流，保護社會公眾對信息的合法享用，打破對政務信息資源的壟斷和封鎖，提高政府行政透明度和民主進程是非常有利的和必需的。

電子政務亟待電子簽章和電子文檔的立法保護，國際已有近20多個國家對數字簽名和電子文檔進行了立法，使數字簽名和電子文檔在電子政務和電子商務運行中具有法律效力。這將大大促進電子政務和電子商務的健康發展，使電子政務原來的雙軌制走向單軌制，這有利于簡化程序、降低成本，充分顯示電子政務效益是非常有利的。

個人數據保護（隱私法）的需求伴隨電子政務的發展日顯突出。電子政務在實施行政監管和公眾服務中有大量的個人信息（自然人和法人），如戶籍、納稅、社保、信用等信息大量進入了政府網絡信息數據庫，它對完成電子政務職能發揮巨大作用。但是這些個人信息如果保護不力或無意被泄漏，而被非法濫用，就可能成為報復、盜竊、推銷、討債、盯梢的工具。在國外已經出現將盜用的個人隱私信息作為非法商品出售，以牟取暴利的情況，這樣直 接損害個人的利益，甚至危及個人的生命安危。因此加快個人數據保護法的制訂，是必要的。

還有很多法規的制訂都直接關系到電子政務的健康發展，加快制訂這些法規，勢在必行。

要素二 安全組織與管理

我國信息安全管理職能的格局已經形成，如國家安全部、國家保密局、國家密碼管理委員會、信息產業部、總參??分別執行各自的安全職能，維護國家信息安全。電子政務安全管理涉及到上述眾多的國家安全職能部門，其安全管理職能的協調需要由國家信息化領導機構，如國家信息化領導小組及其辦公室、國家電子政務協調小組、國家信息安全協調小組等來進行。各地區和部委建立相應的信息安全管理機構，以完成和強化信息安全的管理，形成自頂向下的信息安全管理組織體系，是電子政務安全實施的必要條件。

制訂頒發電子政務安全相關的各項管理條例，及時指導電子政務建設的各種行為，從立項、承包、采購、設計、實施、運行、操作、監理、服務等各階段入手，保障電子政務系統建設全程的安全和安全管理工作的程序化和制度化。

電子政務信息安全域的劃分與管理是至關重要的。電子政務有辦公決策、行政監管和公共服務等三種類型業務，其業務信息內容涉及國家機密、部門工作秘密、內部敏感信息和開放服務信息。既要保護國家秘密又要便于公開服務，因此對信息安全域的科學劃分和管理，將有益于電子政務網絡平臺的安全設計，有益于電子政務的健康和有效的實現。

制訂電子政務工程集成商的資質認證管理辦法、工程建設監理機構的管理辦法、工程外包商的管理機制和辦法，以確保電子政務工程建設的質量和安全，特別是對于電子政務系統的外包制更要有嚴格的制約和管理手段。對于電子政務中涉密系統工程的承建，還必須有國家保密局頒發的涉密系統集成資質證書，其他部分應具有國家或省市相應的系統集成商的資質證書。對于電子政務涉密部分，不允許托管和外包運行，電子政務其他部分將按相關管理條例執行。

電子政務工程中使用的信息安全產品，國家將制訂相應的采購管理政策，涉及密碼的信息安全產品需有國家密碼主管部門的批準證書，信息安全產品應有通過國家測評主管機構的安全測評的證書，維護信息安全產品的可信性。

電子政務系統信息內容根據管理需求，可以實施對信息內容的安全監控管理，以保護政務信息安全，防止由于內部違規或外部入侵可能造成的網絡泄密，同時也阻止有害信息內容在政務網上傳播。

制訂電子政務系統的人員管理、機構管理、文檔管理、操作管理、資產與配置管理、介質管理、服務管理、應急事件管理、保密管理、故障管理、開發與維護管理、作業連續性保障管理、標準與規范遵從性管理、物理環境管理等各種條例，確保電子政務系統的安全運行。

要素三 安全標準與規范

信息安全標準有利于安全產品的規范化，有利于保證產品安全可信性、實現產品的互聯和互操作性，以支持電子政務系統的互聯、更新和可擴展性，支持系統安全的測評與評估，保障電子政務系統的安全可靠。

國家已正式成立“信息安全標準化委員會”，近期成立了信息安全標準體系與協調工作組（WG1）、內容安全分級及標識工作組（WG2）、密碼算法與密碼模塊/KMI/VPN工作組（WG3）、PKI/PMI工作組（WG4）、信息安全評估工作組（WG5）、操作系統與數據庫安全工作組（WG6）、身份標識與鑒別協議工作組（WG9）、操作系統與數據庫安全工作組（WG10），以開展電子政務安全相關標準的研制工作，支撐電子政務安全對標準制訂的需求。

還將制訂下列標準：涉密電子文檔密級劃分和標記格式、內容健康性等級劃分與標記、內容敏感性等級劃分與標記、密碼算法標準、密碼模塊標準、密鑰管理標準、PKI/CA標準、PMI標準、信息系統安全評估和信息安全產品測評標準、應急響應等級、保護目標等級、應急響應指標、電子證據恢復與提取、電子證據有效性界定、電子證據保護、身份標識與鑒別、數據庫安全等級、操作系統安全等級、中間件安全等級、信息安全產品接口規范、數字簽名??。

要素四 安全保障與服務

1.電子政務系統建設，要構建其技術安全保障架構，對大型電子政務系統要建立縱深防御體系。

·設置政務內網的安全與控制策略；

·設置政務外網的安全與控制策略；

·設置進入互聯網的安全服務與控制策略；

·設置租用公網干線的安全服務與控制策略，包括有線通信、無線通信和衛星通信的安全服務與控制策略；

·設置政務計算環境的安全服務與機制。

采用縱深防御和多級設防，是電子政務安全保障的重要原則，通過全局性的安全防護、安全檢測、快速響應、集成的安全管理與安全設施的聯動控制，以達到系統具有防護、檢測、反應與恢復能力。

2.推廣電子政務信息系統安全工程（ISSE）的控制方法，全面實現安全服務要求。

電子政務安全系統的設計，首先要做好系統資產價值的分析，如物理資產的價值（系統環境、硬件、系統軟件）、信息資產的價值、其數據與國家利益和部門利益的關聯度；其業務系統（模型、流程、應用軟件）正常運行后果所產生的效益，從而確定系統安全應保護的目標，在上述分析的基礎上提出整個安全系統的安全需求，進一步定義達到這些安全需求所應具有的安全功能，然后探索系統可能面臨的威脅類型，并找出系統自身的脆弱性，這些威脅和脆弱性有：

·網上黑客與計算機犯罪；

·網絡病毒的蔓延與破壞；

·機要信息流失與信息間諜潛入；

·網上恐怖活動與信息戰；

·內部人員違規與違法；

·網上安全產品的失控；

·網絡與系統自身的漏洞與脆弱性。

在這些威脅面前，要分析哪些威脅是本系統主要面臨的威脅，哪些是次要的，對系統和任務造成的影響程度如何。進行定性和定量的分析，提出系統安全對策，確定承受風險的能力，尋找投入和風險承受能力間的平衡點，然后確定系統所需要的安全服務及對應的安全機制（見表一），從而配置系統的安全要素。在工程的生命周期中要進行風險管理、風險決策流程（見圖2），這種風險管理是要對電子政務全程進行的。

系統投入運行要對其安全性進行有效評估，即評估者給出的評估證據和建設者采用的技術保障設施，的確能使系統擁有者確信已選用技術對策，確實減少了系統的安全風險，滿足必要的風險策略（風險策略可以是“零”風險策略、最小風險策略、最大可承受風險策略或不計風險策略），使其達到保護系統資產價值所必需的能力（見圖3）。上述有效評估過程可用安全技術保障強壯性級別（IATRn）來描述：

IATRn=f(Vn,Tn,SMLn,EALn)

Tn：威脅等級

Vn：資產價值等級

SMLn：安全機制強度等級

EALn：評估保障等級

要素五 安全技術與產品

1． 加強安全技術和產品的自主研制和創新。

由于電子政務的國家涉密性，電子政務系統工程的安全保障需要各種有自主知識產權的信息安全技術和產品，全面推動自主研發和創新這些技術和產品是電子政務安全的需要。這些產品和技術可以分為六大類：

·基礎類：風險控制、體系結構、協議工程、有效評估、工程方法；

·關鍵類：密碼、安全基、內容安全、抗病毒、IDS、VPN、RBAC、強審計、邊界安全隔離；

·系統類：PKI、PMI、DRI、網絡預警、集成管理、KMI；

·應用類：EC、EG、NB、NS、NM、WF、XML、CSCW；

·物理與環境類：TEMPEX、物理識別；

·前瞻性：免疫技術、量子密碼、漂移技術、語義理解識別。

2．電子政務安全產品的選擇。

整個電子政務的安全，涉及信息安全產品的全局配套和科學布置，產品選擇應充分考慮產品的自主權和自控權。

產品可涉及安全操作系統、安全硬件平臺、安全數據庫、PKI/CA、PMI、VPN、安全網關、防火墻、數據加密機、入侵檢測（IDS）、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設施集成管理平臺、內容識別和過濾產品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網閘。

要素六 安全基礎設施

信息安全基礎設施是一種為信息系統應用主體和信息安全執法主體提供信息安全公共服務和支撐的社會基礎設施，方便信息應用主體安全防護機制的快速配置，有利于促進信息應用業務的健康發展，有利于信息安全技術和產品的標準化和促進其可信度的提高，有利于信息安全職能部門的監督和執法，有利于增強全社會信息安全移師和防護技能，有利于國家信息安全保障體系的建設。因此，推動電子政務的發展，應重視相關信息安全基礎設施的建設。

信息安全基礎設施有兩大類。

1．社會公共服務類

·基于PKI/PMI數字證書的信任和授權體系；

·基于CC/TCSEC的信息安全產品和系統的測評與評估體系；

·計算機病毒防治與服務體系；

·網絡應急響應與支援體系；

·災難恢復基礎設施；

·基于KMI的密鑰管理基礎設施。

2．行政監管執法類

·網絡信息內容安全監控體系；

·網絡犯罪監察與防范體系；

·電子信息保密監管體系；

·網絡偵控與反竊密體系；

·網絡監控、預警與反擊體系。

第三篇：電子政務信息安全檢查自查報告

電子政務外網信息安全工作自查報告

我鎮在市委、市政府的領導下，認真按照四川省委省政府關于電子政務工作的總體部署和要求，對電子政務外網信息安全情況作了認真檢查，現將我鎮電子政務工作自查情況報告如下：

一、組織及制度建設情況

一是領導重視，機構健全。我鎮高度重視電子政務工作，成立了以鎮長任組長、鎮相關部門負責人為成員的鎮電子政務工作領導小組，統一領導鎮電子政務工作，研究決定鎮電子政務建設中的重大問題。領導小組辦公室設在鎮黨政綜合辦公室，并指定懂電腦操作、保密意識強的黨政綜合辦公室成員具體負責信息更新及網絡維護等日常工作，形成了機構健全、分工明確、責任到人的良好工作格局。二是制定制度，按章辦事。根據省、市文件要求，制定了辦公室自動化設備保密管理制度、電子政務工作各項管理制度及維護制度，包括專人維護、文件發布審核簽發等制度。三是開展不定期檢查。我鎮電子政務工作領導小組不定期對電子政務工作辦公室的環境安全、設備安全、信息安全、管理制度落實情況等內容進行檢查，對存在的問題及時進行糾正，消除安全隱患。

二、網絡和信息安全情況。

加強網絡運行維護工作。加強網絡運行維護隊伍建設，進一步充實網絡運行維護人員，鎮黨政綜合辦公室確定兼職網絡信息管理員，負責及時提供和審核本部門信息內容。同時按照縣安全管理要求，制定和完善了我鎮電子政務安全保密措施，落實安全保密工作責任制，未發現網絡異常。

三、技術防護手段建設

切實做好信息安全工作。安裝了專門的殺毒、殺木馬軟件，互聯網出口處部署了防火墻，并且定期進行漏洞掃描、病毒木馬檢測，有效防范了病毒、木馬、黑客等網絡攻擊，確保了信息和網絡運行安全。

四、存在的困難和不足

雖然我鎮電子政務工作在有序開展，但還存在一些困難和不足之處，主要體現在：一是辦公電腦設備陳舊老化，專門用于電子政務的電腦使用時間久，運行速度慢。二是機關工作人員年齡偏大，計算機知識程度不高，培訓沒有完全跟上。三是信息未能完全做到及時更新，電子政務管理、使用有待于進一步加強。

五、改進措施

一是努力提高業務素質。加強宣傳教育，提高全鎮人員對電子政務的認知水平和責任意識，積極組織人員參加全縣電子政務培訓，為電子政務的有效實施奠定更加堅實的基礎。二是加強制度建設。完善電子政務的管理、使用等一系列規章制度，對存在的薄弱環節，制定針對性措施，并在實

際工作中狠抓落實，進一步提高電子政務應用水平和使用效益。三是加強電子政務的日常管理。定期升級病毒庫、查殺病毒掃描系統漏洞，保證專門用于電子政務的電腦能時刻處于健康狀態。

第四篇：電子政務信息安全和管理

電子政務信息安全和管理

一、電子政務順利實施的核心問題

電子政務是一種全新的政府管理方式,是一個基于網絡技術的綜合性業務模式。建立電子政務系統參公眾服務,必然要求這一系統必須是安全、可靠、抗災難、可恢復的。計算機和計算機網絡的共享、交互和快速為這種系統的建立提供了前提條件,互聯網技術的迅速發展和廣泛應用,又為電子政務系統不斷走向開放互聯提供了巨大推動力。隨著電子政務信息化的不斷發展,電子政務對于網絡系統的依賴性越來越強,政務系統作為關系國計民生的重要部分,在安全方面尤為重要,而由于互聯網的開放性和公共性帶來的不安全因素,使信息安全問題成為保障電子政務順利實施的核心問題。

二、電子政務信息安全面臨的問題

電子政務網分為政務內網(涉密網)和政務外網(非涉密網),兩網之間物理隔離,政務外網采取邏輯隔離與互聯網聯通。政府各部門大力推行的辦公自動化、網絡化、電子化、信息共享都以這些網絡為支撐,以TCP/IPV4為傳輸協議,該協議為開放協議,從協議規劃、服務模式、網絡管理等方面均缺乏安全性設計,所以電子政務信息系統就存在著諸多的安全隱患。

1.網絡安全規劃的不到位,造成網絡結構的不合理性。由于信息技術發展的歷史原因和建設資金問題,我國電子政務網絡的建設在規劃上經常缺少前瞻性的安全規劃,網絡流量存在多個瓶頸, IP地址缺乏統一規劃,廣播流量可控性差,子網故障隔離性差,重要流量缺乏帶寬管理和服務質量優先保證等一大堆問題。隨著安全問題的不斷出現,只能在運行過程中不停地修修補補。但是,這種修補只能解決暫時的問題,解決一個問題后,往往又有新問題出現。

2.關鍵核心技術還掌握,增加了我國基礎信息網絡和重要信息系統安全的隱患。我國對發達國家信息設備和信息技術存在很強的依賴性,信息化核心設備嚴重依賴國外,對引進技術和設備缺乏必要的信息管理和技術改造。尤其是在系統安全和安全協議的研究和應用方面與發達國家的差距很大。目前組成我國電子政務網絡的計算機網絡系統所用硬件、軟件、操作系統、網管軟件、各類應用系統、數據庫、防火墻、網絡接入設備、路由器、服務器基本上都是國外公司的產品,微機芯片都是INTEL系列,軟件基本上是微軟公司的產品,完全自主知識產權的產品基本沒有。這些因素使我國的電子政務網絡安全性能大大降低,我國的經濟和社會發展面臨著新的風險。

3.網絡安全管理的混亂和規范化的管理制度相對滯后,造成很多管理安全漏洞。由于電子政務的網絡是連接多個政務部門的廣域網或城域網,需要各部門協調一致,共同維護整個網絡平臺的安全。但是,由于不同政府部門的信息技術人才和信息化水平的差異性,以及不同政府部門存在一些相關的利益和沖突,因此,很難做到安全管理的統一協調性,一旦發生安全事件,故障定位不準,追查事故源困難,責任問題牽扯不清,從而造成事件的破壞性后果更為嚴重。

4.安全意識淡薄。目前,在電子政務信息的安全問題上還存在不少認知盲區和制約因素。網絡是新生事物,許多人一接觸就忙著用于學習、工作和娛樂等,對網絡信息的安全性無暇顧及,安全意識相當淡薄,對網絡信息不安全的事實認識不足。與此同時,機關、事業單位注重的是網絡效應,對安全領域的投入和管理遠遠不能滿足安全防范的要求?？傮w上看,網絡信息安全處于被動的封堵漏洞狀態,從上到下普遍存在僥幸心理,沒有形成主動防范、積極應對的全民意識,更無法從根本上提高網絡監測、防護、響應、恢復和抗擊能力。

三、電子政務信息安全措施

1.設備的物理安全。物理層的安全設計應從三個方面考慮:環境安全、設備安全、線路安全。采取的措施包括:機房屏蔽,電源接地,布線隱蔽,防雷。根據中央保密委有關文件規定,凡是計算機同時具有內網和外網的應用需求,必須采取網絡安全隔離技術,在計算機終端安裝隔離卡或安裝安全網閘,使內網與外網之間從根本上實現物理隔離,防止涉密信息通過外網泄漏。

2.信息的加密。電子政務應用涵蓋政府內部辦公和面對公眾的信息服務兩大方面。就政府內部辦公而言,電子政務系統涉及到部門與部門之間、上下級之間、地區與地區間的公文流轉,這些公文的信息往往涉及不宜公開的和有密級的內容。因此,在信息傳遞過程中,必須采取適當的加密方法對信息進行加密?？刹捎枚喾N加密方式:a.基于IPsec的加密方式正被廣泛采用,其優點顯而易見:IPsec對應用系統透明且具有極強的安全性,這一點對于要開發龐大應用的電子政務來說,就顯得極有好處了,應用系統開發商不必為數據傳輸過程中的加密做過多的考慮,易于部署和維護。b.采用VPN技術在公共數據網上進行內部信息的安全傳輸。其優點是只增加端設備避免了重復建設。c.采用公鑰基礎設施技術(PKI)為基礎,以數據機密性、完整性、身份認證和行為的不可否認為安全目的為電子政務提供安全支持。

3.操作系統的安全性。網絡安全的重要基礎之一是安全的操作系統,因為所有的政務應用和安全措施都依賴操作系統提供底層支持。操作系統的漏洞或配置不當將有可能導致整個安全體系的崩潰。更危險的是,我們無法保證國外廠家的操作系統產品不存在后門。在操作系統安全方面,有兩點是值得考慮的:一是采用具有自主知識產權且源代碼對政府公開的產品;二是利用漏洞掃描工具定期檢查系統漏洞和配置更改情況,及時發現問題。

4.數據備份與容災。任何的安全措施都無法保證數據萬無一失,硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此,在電子政務安全體系中必須包括數據的容災與備份,并且最好是異地備份。

5.管理制度的完善。電子政務網絡內部安全和外部安全一樣重要,內部安全除了需要體系化的安全防御策略,還需要嚴格的、可操作性強的安全管理制度。制度的制訂首先要規范,其次要強調制度的強制性、法規約束力和可操作性,同時進行安全宣傳教育,增強安全意識的培養和信息安全知識的普及這樣才能保證制度的真正貫徹和執行加強。

6.建立網絡安全事件應急響應預案。網絡安全事件應急響應預案是安全管理制度的一個重要部分,這里單獨來討論,主要是考慮到其重要性。事前有預案,一旦發生安全事件,就可以觸發相應的預案處理程序,在最短的時間內恢復正常的網絡服務和信息服務,力求把安全事件的破壞力降到最低?！?編輯/李舶)

第五篇：電子政務信息安全解決方案研究

電子政務信息安全解決方案研究

摘要：作為政府信息化工程的重要組成部分，電子政務在我國的發展已初具規模。由于政務信息的敏感性和保密性要求，以及網絡平臺的安全性影響，電子政務信息系統的安全保障是至關重要的。電子政務信息系統的安全保障涉及到網絡技術、系統功能、人員管理、法制法規等諸多因素，必須形成全面、規范、有執行力的保障機制。

關鍵字：電子政務，信息安全，解決方案 引言

近年來，以互聯網技術為承載主體的信息技術的飛速發，引發了一場深刻的生產和生活方式變，極大地推動著經濟和社會的發展。作為信息高速公路五個應用領域中的首要應用，電子政府/電子政務在全球范圍內受到廣泛的重視，政府上網、政府工作電子化勢在必行，政府信息化已成為經濟信息化和社會信息化的前提，電子政務將是未來國家核心競爭力的重要因素之一。所謂電子政務是指政府機構運用現代信息技術，在組織機構管理和服務職能實現上突破時間、空間和部門分隔的限制，形成精簡高效、廉潔公平的政府運作模式。電子政務模型可簡單分為兩方面：部門內部的網絡辦公平臺和各部門與社會各界之間的網絡信息溝通平臺。因此，電子政務實施過程中的首要問題 便是如何保障信息安全。如果信息安全不能得以保障，輕則影響電子政務信息系統正常功能的運轉，重則破壞政府的公眾形象甚至對社會的團結穩定產生危害。電子政務面臨的網絡安全戚脅

電子政務是黨委、政府、人大、政協及行政管理機構有效決策、管理、服務的重要手段．電子政務信息系統也必然會成為信息間諜、敵對勢力、恐怖集團、國家之間信息戰攻擊的目標。因此．構建電子政務信息安全保障體系，事關國家政治、經濟、國防安全和民族信息產業發展的全局。電子政務面臨的網絡安全威脅因素有：

1．計算機系統的脆弱性

計算機系統本身無法抵御自然災害的破壞，也難以避免偶然無意造成的危害。如水、火、地震的破壞及環境(溫度、振動、沖擊、污染)的影響以及硬件設備故障，突然斷電或電源波動以及各種誤操作等危害。這些危害有的會損害系統設備，有的則會丟失或破壞數據。甚至毀掉整個系統和數據。

2．網絡技術的缺陷性(1)先天的安全隱患

在物理通路上．網絡通信線路一般是電話線、專線、微波、光纜或無線系統，這些線路易遭受物理破壞．易被搭線竊聽，無線通信易遭截獲、監聽等等。網絡規模越大，通信線路越長，這種弱點也隨之增加。

電子政務內網，政務外網、公共服務網的網絡環境，都是采用TCP／IP協議而建立的。該協議以開放和自由為基礎，從協議規劃、服務模式、網絡管理等方面均缺乏安全性設計。計算機應用系統自身的缺陷相當多，如windows net和Netware就存在嚴重的安全漏洞，使入侵者有不少空子可鉆。另外數據庫服務器、電子郵件服務器、web服務器等應用平臺也存在大量的安全隱患。

(2)網絡的外部威脅

系統外部非法用戶．如信息間諜的潛入竊密，網絡黑客的攻擊篡改．恐怖集團的銷毀破壞等．使數據遭到竊取、假冒、抵賴或銷毀，從而造成政府網絡無法工作。具體表現有下面三方面：

一是非法使用資源。入侵者濫用和盜用計算機資源、網絡連接服務等資源，并查閱數據、訪問機密文件等信息資源。

二是惡意破壞。非法進入者對系統或數據文件進行破壞，包括修改數據信息．破壞硬件．傳送附帶破壞性病毒的文件等，還可以設置”定時炸彈”進行要挾攻擊．敲詐勒索。這些惡意破壞造成系統癱瘓，文件無效或消失．使電子政府中斷對用戶提供的服務。

三是盜竊數據。黑客進入網絡，盜走任何有價值的東西，包括金融數據、機密文件以及其他敏感的數據信息等。

3．信息管理的可腐敗性

管理規范不到位：例如，微機或工作站管理人員在開機狀態下擅離崗位，敏感信息臨時存放在本地的磁盤上，而這些信息處于未保護狀態．這種管理上的不 2

嚴格極易給他人提供冒充的機會。另外內部用戶隨意利用辦公終端與lnternet聯接，使網絡罪犯有機可乘。許多網絡犯罪行為尤其是非法操作都是利用聯網的電腦管理制度上的漏洞而得逞的。

組織管理不完善：如部分網絡管理者(內部人員)很容易以某一用戶的身份登錄、查看和復制用戶的信息．甚至利用管理用戶的地址目錄之便，以用戶的名義發送報文．非法竊取、篡改、隱瞞、抵賴、銷毀權限之外的信息，造成系統無法正常工作甚至癱瘓。根據公安部門的報告，作案人員往往是利用管理上的漏洞．而且內部人員居多。

4．技術性缺陷

1)基礎網絡：首先，無論是有線還是無線網絡，其通信線路如電纜、微波等，都易遭物理破壞，或易被搭線竊聽，或易遭截獲、監聽等。其次，網絡拓撲結構設計不合理或缺乏可擴展性，很可能一個結點遭破壞導致整個系統癱瘓。

2)操作系統和數據庫 ：目前所使用的計算機網絡操作系統，多偏重于考慮系統使用的方便性，其結構和代碼設計相對在系統的安全機制上考慮還不夠精細 或多或少存在些安全漏洞，數據庫管理系統基于分級理念對數據庫進行管理，同時數據庫管理系統的安全必須與操作系統的安全相配套，這樣系統的安全又出現一些不穩定因素。

3)應用平臺：為便于在應用層面進行定期維護或升級，在開發電子政務信息系統的應用功能時，往往有可能留有所謂的“后門”一旦被非法人員發現，破壞性有可能波及整個系統。

5．法律法規的滯后性

雖然，我國針對電腦病毒、信息侵權和網絡犯罪等非法信息行為制定了一些網絡安全相關的法律法規，但現行政策法規仍難以適應網絡發展的需要，信息立法還存在相當多的空白。諸如個人隱私保護法、數據庫保護法、數字媒體法、數字簽名認證法、計算機犯罪法以及計算機安全監管法等數字經濟正常運作所需的配套法規急需予以制定。由于法規不健全，信息市場交易秩序的維護、信息犯罪的懲處等無法可依，使信息犯罪有空子可鉆。另一方面，由于網絡作案手段新、時間短、不留痕跡等特點，給網上犯罪案件的偵破和審理帶來了極大的困難。

6．保障意識的非系統性

有的政府系統．在系統建設中沒有統一規范的安全構想．更沒有建立完善的安全體系結構：從硬件采購、網絡布線、采用的操作系統、應用系統的開發、系統被非法訪問等方面都沒有把安全問題考慮進去或考慮得很少。因此這些政府系統難以抵御防范上述威脅。

3．電子政務信息安全解決策略

目前我國電子政務安全采取“國家推動、社會參與、全局治理、積極防御、等級保護、保障發展“的策略。鑒于電子政務的信息安全面臨的是一場高技術的對抗，是一場綜合性斗爭，涉及法律、管理、標準、技術、產品、服務和基礎設施諸多領域，所以電子政務安全．還要從全局來構建其安全保障的體系框架，以保障電子政務的健康發展。

1．健全法律與政策，加強法律監管

電子政務的工作內容和工作流程涉及到國家秘密與核心政務．它的安全關系到國家的主權、國家的安全和公眾益，所以電子政務的安全實施和保障，必須以國家法規形式將其固化，形成全國共同遵守的規約．成為電子政務實施和運行的行為準則，成為電子政務國際交往的重要依據。其目的在于保護守法者和依法者的合法權益．為司法和執法者提供法律依據．對違法、犯法者形成強大的威懾。因此，制訂相應的法規，適度的解密和規范開放的規則，保護政府部門問信息的正常交流，保護社會公眾對信息的合法享用，打破對政務信息資源的壟斷和封鎖，提高政府行政透明度和民主進程，是非常有利的和必要的。再完美的電子政務信息系統也可能出現內部使用的疏忽或遭受外來的惡意攻擊,只有將網絡技術和網絡法律法規結合起來并與國際立法規則相兼容,才能在發生問題后有法可依,建議制定專門的電子政務信息系統安全法。一是用以規范電子政務中的信息安全技術范疇，二是對破壞電子政務信息安全的行為如何處罰要從法律意義上制定專門的規定。

2．強化組織與管理

電子政務安全管理涉及到國家安全部、國家保密局、國家密碼管理委員會、信息產業部等許多國家安全職能部門．其安全管理職能的協調需要由國家信息化領導機構來進行。各地區和部委建立相應的信息安全管理機構，以完成和強化信

息安全的管理，形成自上而下的信息安全管理組織體系，是電子政務安全實施的必要條件。同時，政府相關部門必須制訂頒發電子政務安全相關的各項管理條例，以及時指導電子政務建設的各種行為．保障電子政務系統建設全程的安全和安全管理工作的程序化和制度化。根據管理需求，可以對電子政務系統信息內容實施安全監控管理．以保護政務信息安全，防止由于內部違規或外部入侵可能造成的網絡泄密，同時也阻止有害信息內容在政務網上傳播。

3．制訂標準與規范

信息安全標準有利于安全產品的規范化，有利于保證產品安全可信性、實現產品的互聯和互操作性．以支持電子政務系統的互聯、更新和可擴展性，支持系統安全的測評與評估．保障電子政務系統的安全可靠。因此，制訂信息安全標準以及安全產品的規范便顯得尤為重要。

4．縱深保障與服務

在電子政務的系統建設中，要構建其技術安全保障架構．對大型電子政務系統要建立縱深防御體系：進而設置政務內網的安全與控制策略、政務外網的安全與控制策略，進入互聯網的安全服務與控制策略、租用公網干線的安全服務與控制策略、政務計算環境的安全服務與機制。采用縱深防御和多級設防，是電子政務安全保障的重要原則，通過全局性的安全防護、安全檢測、快速響應、集成的安全管理與安全設施的聯動控制，以達到系統具有防護、檢測、反應與恢復能力。

5．創新技術與產品

由于電子政務的國家涉密性，電子政務系統工程的安全保障需要各種有自主知識產權的信息安全技術和產品．要不斷地加強安全技術和產品的自主研制和創新；它們涉及到安全操作系統、安全硬件平臺、安全數據庫、PKI／CA、PMI、VPN、安全網關、防火墻、數據加密機入侵檢測(1DS)、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設施集成管理平臺、內容識別和過濾產品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網閘等。

6.用戶應用安全

電子政務中，由于管理和使用不當造成的安全問題愈七成，因此加強人員對系統使用的安全意識，尤為重要。首先在系統投入使用前，必須對所有人員進行技術培訓。其次，在使用過程中，也應有針對性的就系統變更等問題與工作人員 5

進行雙向交流 其它還需特別注意的地方有：

1)管理員職責：管理員賬戶本身最易受到黑客攻擊，定期更換賬戶及密碼，是提高安全性的有效措施。同時，盡量不開放 Guest賬戶，對其他用戶嚴格劃定訪問權限和資源使用權限；定期檢查用戶IP地址范圍，用戶使用系統的頻率和內容，發現異常及時封鎖IP或相應用戶賬號。

2)普通用戶：在內部子網中不應開放共享目錄。如有經常交換信息需求的用戶，在共享時必須加上必要的口令認證機制?，F在更為常見的方式是給用戶配備 USB 安全密鑰或者經第三方CA認證,可用來進行數字簽名和驗證簽名,確保通訊雙方的真實身份,兼具真實性和不可抵賴性,保障政務的安全傳送和處理。

7.系統運行環境安全

1)網絡分級隔離：外網與內網和專網進行物理隔離，內網與專網、外網與 Internet 之間則采用邏輯隔離。內外網間必須安裝防火墻，根據各種過濾規則來判斷網絡數據是否能夠通過防火墻，用以加強網絡之間訪問控制、防止外網用戶以非法手段進入內網、保護內網中的特殊網絡互聯設備，既防止外來的入侵，也阻止局域網內部重要信息的泄露。內外網之間的通信則采用異步高位加密機制，可以保證內外網的通信安全

2)網絡設備和軟件：選用高帶寬網絡和高性能服務器。配備加密設備，使得數據以密文形式在網上傳送，保證數據的機密性與完整性。在安裝防火墻的基礎上，輔以入侵檢測系統，用于實時監控和記錄具攻擊性的信息代碼在進出網段的所有操作行為，并按制定的策略實行響應(阻斷、報警、發送電子郵件等)，從而防止網絡的攻擊與犯罪行為。安裝正版操作系統或源代碼對政府開放的操作系，統堅持日常維護和記錄，及時更新、升級病毒庫；使用安全掃描工具定期檢查系統漏洞和配置更改情況，及時安裝系統補丁堵塞系統漏洞。

4.結論

電子政務信息系統的安全保障不但要從實現技術入手，更要與系統在政府工作中的重要地位相呼應 保證其先進性和可擴展性，要進行深入調研和長遠規劃 必須能夠適應網絡的快速發展變化。根本上還需要國家的司法支持和參與人員管理意識的增強保障了電子政務的安全，才能保障政府信息化的順利推進。

5.參考文獻

1.王紹卜，《計算機網絡的安全隱患與策略》中外科技信息，2003(11)43～45 2謝希仁，《計算機網絡》．大連：大連理工大學出版社，2001：1 27～1 30 3.覃正.中美電子政務發展報告[M].北京: 科學出版社 2008(5).4.樊博.電子政務[M].上海交通大學出版社 2006(6)5.褚俊 蘇震.電子政務安全技術保障[M].北京中國人民大學出版社 2004(3).6.蘇玉召 趙妍.計算機網絡信息安全及其防護策略的研究[J] 計算機與信息技術 2006(5)7.王海濤.電子政務中的安全問題[J] 佳木斯大學學報:自然科學版 2005(2)8.羅茂斌.論電子政務與電子文件的保護[J].檔案管理 2001(4).9.鄧崧.電子政務價值評估研究[D].上海 同濟大學 2007.10.馬朝斌《大力加強電子政務內網的安全保密建設和管理.信息安全與通信保密，2003(12)11.鄔賀銓 《電子政務安全體系 《信息安全與通信保密》，2003(4)12.譚興烈 《電子政務安全解決方案要解決的主要問題 《信息安全與通信保密》，2004(5)13.姜楠，王健《電子政務中基于PKI的角色授權管理策略》《通信技術》，2003(9)