【正文】 、身份的認(rèn)證、文件的服務(wù)等方面分析。 首先國家的《計算站場地安全要求》 、 《中華人民共和國計算機信息系統(tǒng)安全保護條例》就給我們制定相關(guān)安全措施提供了法律保障。企業(yè)級的安全策略在風(fēng)險的評估、安全的分析、電務(wù)的需求分析之上加強了防御的各個環(huán)節(jié)，政府及企業(yè)的系統(tǒng)為了避免遭受攻擊，必須得弄清楚所要保護的對象所在。應(yīng)用平臺系統(tǒng)復(fù)雜多樣，SSL 技術(shù)的采用主要是為了加強平臺的安全性能，它建立于數(shù)據(jù)庫服務(wù)器、網(wǎng)址服務(wù)器、電子郵件服務(wù)器、信息傳輸服務(wù)器等多種應(yīng)用軟件服務(wù)之上，攔截各種非法用戶的侵入，保證了網(wǎng)絡(luò)的安全。（4）檢查安全的漏洞。攻擊雖然可以最終解除，但是難免也有阻擋不了的，這就必然涉及到備份和恢復(fù)問題，它們可以將原始資料調(diào)出數(shù)據(jù)庫，逐一恢復(fù)被破壞數(shù)據(jù)和系統(tǒng)服務(wù)，彌補損失。網(wǎng)絡(luò)軟件和網(wǎng)絡(luò)協(xié)議牽涉到網(wǎng)絡(luò)的安全、網(wǎng)絡(luò)的訪問，最常見的協(xié)議為 TCP/IP 協(xié)議，只可惜該協(xié)議的安全控制性能十分微弱，鑒于此不足之處，網(wǎng)絡(luò)協(xié)議系統(tǒng)從以下幾方面技術(shù)嘗試著彌補：（1），拒絕外網(wǎng)的攻擊動向，將因特網(wǎng)和電子政務(wù)網(wǎng)絡(luò)分別對待。2) 加密保護一些機密的信息資源，增強保護強度。8) 為了使得系統(tǒng)獲得相當(dāng)快的恢復(fù)性能，必須要確保數(shù)據(jù)的強化、備份系統(tǒng)的改進。對于任何一個網(wǎng)絡(luò)系統(tǒng)，其不同的設(shè)計和相應(yīng)的實施規(guī)劃、實施效果、網(wǎng)絡(luò)體驗、網(wǎng)絡(luò)運行都是一致的，因為最終的目的都是為了安全性考慮。由此看來，網(wǎng)絡(luò)的安全系統(tǒng)是動態(tài)變化的，誰都很難百分百地保證它永遠的安全，所以，要以發(fā)展的眼光看待網(wǎng)絡(luò)的安全問題。計算機設(shè)備的物理安全是計算機系統(tǒng)安全的前提條件，物理安全的職能包括：保護計算機網(wǎng)絡(luò)設(shè)備的安全、確保計算機設(shè)施的完善、保護相關(guān)網(wǎng)絡(luò)媒介的免遭危害（比如地震、閃電打雷、火災(zāi)等的危害） 、防止操作失誤、減少操作錯誤、杜絕網(wǎng)絡(luò)犯罪等。防范措施主要體現(xiàn)在三個方面:（1）主機房、核心信息的存儲、發(fā)送接收部門的防范。電子政務(wù)的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計采用防火墻和 VLAN 技術(shù)對不同域網(wǎng)之間、域網(wǎng)內(nèi)部進行有效的隔離、劃分，同時引入非靜態(tài)路由技術(shù)，將高效可用性和均衡承載技術(shù)嵌入各個重要關(guān)口，切實提高了網(wǎng)絡(luò)的自身可靠性 。（3）終端設(shè)備輻射的防范。? 媒體安全方面:媒體自身運轉(zhuǎn)安全、媒體機密數(shù)據(jù)安全信息網(wǎng)絡(luò)系統(tǒng)的物理安全在網(wǎng)絡(luò)的策劃、空間、場域、環(huán)境之中顯得尤為重要，這對政府部門興建信息中心時必將成為首要設(shè)置的條件。以上四點原則沒有孰輕孰重之分，它們在建立電子政務(wù)網(wǎng)絡(luò)安全體系方面各司其職，隨著安全措施的需求變化、網(wǎng)絡(luò)性能的隨機改變，不斷適應(yīng)著、轉(zhuǎn)換著、修改著、提高著。25 / 60近年來，網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)系統(tǒng)應(yīng)用質(zhì)量要求的呼聲不斷高漲，網(wǎng)絡(luò)的地域范圍不斷擴展，絕對的網(wǎng)絡(luò)安全已經(jīng)明顯地力不從心，分層防護安全措施應(yīng)運而生，層層防護，即使第一層被破壞掉了，還有第二層，第三層，第四層……這樣層層設(shè)壘，相互協(xié)助互補，勢必會加強對信息安全的保護，節(jié)省下一筆相當(dāng)可觀的網(wǎng)絡(luò)安全修復(fù)費用。 安全系統(tǒng)的設(shè)計原則安全系統(tǒng)綜合性的原則包括網(wǎng)絡(luò)系統(tǒng)的安全措施原則、應(yīng)用系統(tǒng)的方法觀點原則。5) 實現(xiàn)不同級別的訪問控制。（5），使網(wǎng)絡(luò)的單機和網(wǎng)絡(luò)的服務(wù)安全可靠。3) 信息服務(wù)器的安全措施實施網(wǎng)絡(luò)服務(wù)器本身的安全設(shè)置工作是保證其它安全工作順利進行的基礎(chǔ)，網(wǎng)絡(luò)管理人員必須檢測好信息服務(wù)器本身的安全問題，網(wǎng)絡(luò)信息服務(wù)器的管理員要謹(jǐn)小慎微，隨時洞察網(wǎng)絡(luò)版本的更新?lián)Q代，為了堵上網(wǎng)咯系外網(wǎng)的防護的漏洞，就采用最新版本，比如配置在 WWW 信息服務(wù)器之上的安全設(shè)置。 （7）安全監(jiān)測中心的設(shè)立，及時使安全體系的監(jiān)管、防御、管理和應(yīng)急服務(wù)各司其職，保證了信息系統(tǒng)的絕對安全。攻擊者雖然可以輕而易舉地竊聽機密、篡改米干的信息，但是，通訊設(shè)備一旦經(jīng)過人為的主動加密，攻擊者將會束手無策。這需要政府部門的大力配合，相關(guān)的律法、規(guī)則應(yīng)明文規(guī)定合法用戶的戶組劃撥、數(shù)據(jù)存取的權(quán)限問題，進而形成一個融軟件、硬件、員工于一體的管理控制體系，對整個計算機環(huán)境實行一致性的管理。20 / 60 安全控制策略分析安全控制策略技術(shù)遞增、范圍遞減地依次有：企業(yè)級的、應(yīng)用級的、系統(tǒng)級的、網(wǎng)絡(luò)級的，主要源于內(nèi)外網(wǎng)絡(luò)，具體如下：（1）企業(yè)級的: 確定法規(guī)政策，便于安全操作使用，技術(shù)、管理、行政手段的三位一體。電子政務(wù)的發(fā)展為政府樹立了良好的形象，產(chǎn)業(yè)新手段、信息新途徑、網(wǎng)絡(luò)新模式（一網(wǎng)式和一表式）等在其蓬勃發(fā)展下得到了實現(xiàn)，傳統(tǒng)的“一站式”模式已不再適應(yīng)政府的工作需要。3) 的服務(wù)漏洞情況 服務(wù)網(wǎng)站作為因特網(wǎng)的一大網(wǎng)站，用戶訪問業(yè)務(wù)量最大，存在的安全隱患問題也最多，成為黑客的主攻對象之一。網(wǎng)絡(luò)結(jié)構(gòu)的信息最易泄露，所以應(yīng)該隔離內(nèi)外網(wǎng)與公網(wǎng)，同時過濾來自外網(wǎng)的非正常的數(shù)據(jù)包，只通過那些符合要求的信息資源。 （2）核心數(shù)據(jù)的破壞情況縱觀最近幾年的網(wǎng)絡(luò)犯罪，核心數(shù)據(jù)的破壞現(xiàn)象最為嚴(yán)重，原因在于數(shù)據(jù)庫的安全17 / 60性能較差和個人終端安全防護不夠。 安全風(fēng)險分析 網(wǎng)絡(luò)的物理安全風(fēng)險是保障其安全性的前提條件，只有將該方面做好了，設(shè)備才能避免突發(fā)的意外事故，也能避免不法分子的盜取和拆卸，只有網(wǎng)絡(luò)的周邊環(huán)境（比如，突發(fā)海嘯、地震、火災(zāi)等）和物理性能（如，電子輻射、光外線等）安全了，網(wǎng)絡(luò)鏈條才會不斷發(fā)揮作用，網(wǎng)絡(luò)系統(tǒng)的運作才能正常。 PKI 技術(shù)也朝著 PMI 的方向不斷發(fā)展，PMI 最新使用了一種非重量級的數(shù)字證書——屬性證書，它擯棄了先前常見的公鑰證書，只涉及到證書的所有人、發(fā)行的證書、有效期、簽名的特異計算法等，其方便性顯而易見，比如，它避免了公鑰證書長期性累積的問題，屬性證書的有效期比較短，不存在人為撤銷的麻煩，過期了就會自動失效。 功能的最大化實現(xiàn)通常需要一些特殊的服務(wù)項目，PKI 技術(shù)也不例外，如下：（1）制定認(rèn)證證書聲明和策略的服務(wù)；（2）證書的生成服務(wù)；（3）證書的簽發(fā)服務(wù)；（4）證書的公布服務(wù)；（5）認(rèn)證、用戶證書的過期服務(wù)；（6）接受以上作廢表的服務(wù)；PKI 技術(shù)的層次結(jié)構(gòu)圖示：終端用戶證書作廢處理系統(tǒng)策略模塊密鑰備份、恢復(fù)系統(tǒng)認(rèn)證中心（ CA）注冊機構(gòu)（RA）證書庫獲得證書/CRL登記注冊信息和發(fā)布證書更新CRL通過目錄服務(wù)器(LDAP)存放證書提供策略備份、恢復(fù)密鑰13 / 60圖 26 PKI 技術(shù)的層次結(jié)構(gòu)圖 上圖主要圖示的是 PKI 技術(shù)的 PKIX 標(biāo)準(zhǔn) [13]及本身的結(jié)構(gòu)。 數(shù)字簽名優(yōu)于手寫簽名，表現(xiàn)在：數(shù)字簽名緊扣報文內(nèi)容及擁有者的秘密密鑰，具有不可復(fù)制性和難以篡改性。此外，PKI 技術(shù)的采用將確保非隱蔽性密鑰的高度的真實性?，F(xiàn)具體將管理困難的情況舉例說明。（四）由于網(wǎng)絡(luò)的應(yīng)用不斷在更新，因此傳統(tǒng)的防火墻技術(shù)很難跟得上，比如當(dāng)下比較常用的視頻會議和電子政務(wù)，它們基于 Web 技術(shù)，訪問規(guī)則較為復(fù)雜。首先，它得把相關(guān)的請求轉(zhuǎn)化為實際的服務(wù)內(nèi)容，并保證安全有效，這樣，內(nèi)部的網(wǎng)絡(luò)計算機可以限制對外部計算機的訪問情況，屏蔽被保護的網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，加強網(wǎng)絡(luò)的安全性能，同樣，數(shù)據(jù)流的有效監(jiān)制、詳細記錄、完整過濾、合理審計等也適用于代理服務(wù)器。狀態(tài)監(jiān)測型防火墻分析各層的網(wǎng)絡(luò)通信、提取一些通信信息和相關(guān)狀態(tài)信息、存貯或者革新狀態(tài)信息及上下文信息，為的就是能夠讓累積數(shù)據(jù)滿足于下一個的通信檢查。包過濾的該種防火墻技術(shù)一般而言被裝在網(wǎng)絡(luò)路由器上，差不多所有的商業(yè)運用的路由器又有相應(yīng)的包過濾的功能。在這里，我們需要說明的是，內(nèi)部網(wǎng)也被稱為可信網(wǎng)絡(luò)，外部網(wǎng)也被稱作不可信網(wǎng)絡(luò)，比如因特網(wǎng)。法律管理的強有力的約束能力和層次分明的管理對信息系統(tǒng)主體的行為活動起著很大的作用，同時它還占據(jù)著信息系統(tǒng)安全的絕對行為規(guī)則。執(zhí)行層是一個群體，具體針對某一個或幾個特定的安全事務(wù)問題。圖 21 美國 DISSP 安全技術(shù)體系的三維圖示從圖中我們可以看到定量的數(shù)據(jù)表達不存在于三維體系中，在 X 維中，安全服務(wù)是安全機制的上層建筑，且安全機制是借以安全服務(wù)來體現(xiàn)其作用的，安全機制并沒有和協(xié)議層、系統(tǒng)單元有著直接的聯(lián)系。能控性：對操作主方和他方信息存取、流動過程的控制。4 / 60第 2 章　基本理論及概念 本章主要講解的是有關(guān)信息系統(tǒng)的安全的基本理論，包括信息系統(tǒng)安全的定義、技術(shù)及相關(guān)框架體系，對于我們詳細了解信息安全具有很大的幫助。在著重闡釋基礎(chǔ)信息安全技術(shù)方案的同時，又涉及到信息系統(tǒng)安全的大體結(jié)構(gòu)、指標(biāo)和定義。2022 年，美國不惜三十億的重金進行網(wǎng)絡(luò)維護，傳輸百分之九十五的機密數(shù)據(jù)是通過公用網(wǎng)絡(luò)系統(tǒng)實現(xiàn)的。核心信息備份的安全與機制的恢復(fù)同樣關(guān)系到信息的有效安全。例如： 網(wǎng)絡(luò)的主機的安全性。在此次對抗中，雖然大多數(shù)的侵入僅僅是對頁面的修改，很多的國家站點還是被破壞了。關(guān)鍵詞：電子政務(wù)，網(wǎng)絡(luò)安全，PKI，數(shù)字簽名II / 60AbstractEgovernment Network Security System of shenyang CityWith the developing of inter technology and informationbased advancing steps of our country, egovernment urgent to increase to the work schedule. The EGovernment change its’ function of working，for example: improvement of efficient work ；establishment public and transparent, scientific, high efficiency of administration handle affairs 。電子政務(wù)系統(tǒng)歷來被視為公開、廉潔、科學(xué)、高效等行政辦事和行政決策機構(gòu)建立的手段，同時它也促進了政府職能的轉(zhuǎn)變和辦事效率的提高。包括訪問的控制、物理的安全、數(shù)據(jù)的保護、通信的加密、病毒的防護、安全的審計和安全的管理等方面；最后，周密規(guī)劃網(wǎng)絡(luò)安全的全局解決方案。在使老百姓很好地了解政府工作的同時，更使一批又一批的政府相關(guān)服務(wù)部門以網(wǎng)絡(luò)為媒介走近了企業(yè)的經(jīng)營活動，深入到老百姓的生活之中。 基于主動的攻擊和被動的攻擊，確保電子政務(wù)信息安全，所面臨的課題主要包括：信息存儲的安全 [1] ， 主要體現(xiàn)在兩層含義上：一體現(xiàn)在信息的訪問的可控性上，也就是用戶有權(quán)利訪問相關(guān)數(shù)據(jù)的先決條件是有授權(quán)、安全層次與數(shù)據(jù)的保密性的高度協(xié)調(diào)一致。采用眾多文件與各種數(shù)據(jù)庫加密的方式，信息的保真性僅僅流動于被授權(quán)的用戶之間。電子政務(wù)系統(tǒng)是一個龐大的復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，在保證系統(tǒng)消除故障隱患的同時，要因時因地制宜，合理部署，對不具備專業(yè)安全知識的用戶配備不太復(fù)雜的安裝系統(tǒng)，反之，電子政務(wù)系統(tǒng)可以有邏輯復(fù)雜嚴(yán)密的安全系統(tǒng)，切實做到“電子政務(wù)，安全先行” ，把我國納入到社會信息化建設(shè)的陽光大道上來。 文章主體結(jié)構(gòu)文章用五章的內(nèi)容研究了有關(guān)電子政務(wù)系統(tǒng)的安全性的有效處理措施，如下： 一章：引言。沈陽市作為一個代表，將安全的新型理念、全新技術(shù)與傳統(tǒng)安全模式現(xiàn)結(jié)合，取得很好的效果。能審查性：詳細記錄相關(guān)安全事件便于查詢。安全體系（OSI）借用網(wǎng)絡(luò)、應(yīng)用、通信平臺將安全服務(wù)單層或多層地協(xié)同作用起來。單位的骨干領(lǐng)導(dǎo)、計算機實力專家和網(wǎng)絡(luò)尖端管理人員則撐起了政府部門的門面。人事機構(gòu)本身就是管理機構(gòu)的下設(shè)部門，它的活動范圍只能在國家相關(guān)法律法規(guī)、政策措施之內(nèi)。 網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全龐雜無比，自然少不了一些常見的安全技術(shù)，才能推動此項浩大工程的進程。1) 數(shù)據(jù)包過濾的有關(guān)技術(shù)網(wǎng)絡(luò)防火墻技術(shù)的最基本的構(gòu)件除了技術(shù)、還包括包過濾（在網(wǎng)絡(luò)的 OSI 模型網(wǎng)絡(luò)層將數(shù)據(jù)包有選擇性地篩選）原理，篩選判據(jù)通常為系統(tǒng)內(nèi)部設(shè)計的接入控制表，有時也叫做過濾邏輯。第三：由于數(shù)據(jù)包過濾邏輯是非動態(tài)指定的，因此動態(tài)分配、隨機分配等端口的服8 / 60務(wù)（遠程過程控制、基于遠程控制的協(xié)議網(wǎng)絡(luò)文件系統(tǒng)）將難以實現(xiàn)非常有效的過濾，它只能實現(xiàn)靜態(tài)狀態(tài)下系統(tǒng)的操作和工作量的維護等目標(biāo)。為了防止網(wǎng)絡(luò)數(shù)據(jù)在內(nèi)外網(wǎng)絡(luò)之間直接流動，代理服務(wù)器與因特網(wǎng)之間的網(wǎng)絡(luò)通訊協(xié)議是通過標(biāo)準(zhǔn)的 IP 實現(xiàn)的，而與內(nèi)部網(wǎng)絡(luò)之間則沒有太嚴(yán)格的 IP 等協(xié)議通訊。 防火墻技術(shù)的缺點主要包括五點：（一）防火墻技術(shù)的內(nèi)部網(wǎng)絡(luò)防護遠遠低于外部網(wǎng)絡(luò)防護。如果密鑰太長，就會有太多的計算難題和隨之而來的開銷，這勢必會消弱系統(tǒng)的性能；反之，密鑰太短，不足以計算的需要，這樣較容易用光全部的密鑰，大大影響了加密的強度，所以說，一個加密系統(tǒng)的恰當(dāng)?shù)拿荑€長度是保障其系統(tǒng)安全的重要環(huán)節(jié)。我們必須要明確一點，信息的加密和解密適用于任何人。這實際上也是防止報文亂改現(xiàn)象的一種可行之策。PKI 技術(shù)是在數(shù)字證書和認(rèn)證中心的基礎(chǔ)上提出的，它的目的是公布、監(jiān)管、為客戶檢驗數(shù)字提供保障，確保認(rèn)證中心和證書管理的功能的實現(xiàn)。 據(jù)有關(guān)人士透露，網(wǎng)格 [15]技術(shù)將作為新生代互聯(lián)網(wǎng)的關(guān)鍵技術(shù)，也將在電子政務(wù)技術(shù)中嶄露頭角。SSL 握手協(xié)議的流動過程如圖所示：圖 28 SSL 握手協(xié)議的流程圖（2）SSL 的記錄層協(xié)議SSL 的記錄層的功能主要有下面這些：? 分片應(yīng)用層的數(shù)據(jù)，組合應(yīng)用層的數(shù)據(jù)，并產(chǎn)生一些數(shù)據(jù)單元；? 對數(shù)據(jù)單元進行選擇性地壓縮；15 / 60? 生成消息掩碼(MAC)，目的是對數(shù)據(jù)的完整性進行檢測；? 對壓縮后的數(shù)據(jù)單元和產(chǎn)生的消息掩碼進行加密。尤其是局域網(wǎng)內(nèi)部的竊聽工作比較容易，那些