【文章內(nèi)容簡介】 方案的研究與探討 施，服務(wù)對象需要通過防火墻等進入信息交換層，再通過安全網(wǎng)關(guān)才能實現(xiàn)與內(nèi)部核心數(shù)據(jù)進行交換。 電子政務(wù)的信息交換層負責(zé)政務(wù)部門與同級、上下級部門間的信息交換，各部門信息可以通過政務(wù)部門獨享的專網(wǎng)按權(quán)限進行交換，負責(zé)將信息從一個內(nèi)網(wǎng)傳送到另一個內(nèi)網(wǎng)區(qū)域。 綜上所述電子政務(wù)的網(wǎng)絡(luò)構(gòu)架如下圖所示： 關(guān)鍵業(yè)務(wù)層 數(shù)據(jù)交換層 公共服務(wù)層 高層 (決策 ) 政務(wù)部門 公眾 企業(yè) 事業(yè) 公務(wù)員 安全網(wǎng)關(guān) 安全網(wǎng)關(guān) 防火墻 圖： 電子政務(wù)的網(wǎng)絡(luò)構(gòu)架 通過上圖可以看出：電子政務(wù)網(wǎng)絡(luò)架構(gòu)不是由一個簡單的計算機網(wǎng)絡(luò)組成的，從宏觀上看，它是一個由關(guān)鍵業(yè)務(wù)層、信息交換層和公眾服務(wù)層三個大網(wǎng)組成的，三網(wǎng)之間要求嚴格的物理隔離；為了充分發(fā)揮三個網(wǎng)絡(luò)的優(yōu)勢，三網(wǎng)之間加入了安全網(wǎng)關(guān)或防火墻，如同在每個網(wǎng)的大門口加了一道“警衛(wèi)”，時刻注視著進出的每一個人。因此，電子政務(wù)網(wǎng)絡(luò)從技術(shù)上講是一個通過安全網(wǎng)關(guān)（防火墻）聯(lián)接關(guān)鍵業(yè)務(wù)層、信息交換層和公眾服務(wù)層的“互聯(lián)網(wǎng)”，通過這種技術(shù)形成了我國電子政務(wù)外網(wǎng)處理、內(nèi)網(wǎng) 受理、外網(wǎng)反饋的電子政務(wù)模式。 、電子政務(wù)環(huán)境下安全分析 在我國，開展電子政務(wù)的主體有黨委、政府、人大、政協(xié)和公共管理組織，服務(wù)對象有公眾、企業(yè)、事業(yè)單位和公務(wù)人員，電子政務(wù)主體內(nèi)部之間、與各類服務(wù)對象之間的信息通道構(gòu)成了電子政務(wù)安全的主要環(huán)節(jié)。 電子政務(wù)網(wǎng)絡(luò)安全解方案的研究與探討 ．政務(wù)部門內(nèi)部（ G2E）電子政務(wù)安全分析 政務(wù)部門內(nèi)部的電子政務(wù)安全是指政務(wù)單位內(nèi)部辦公環(huán)境的安全問題。政務(wù)主體、政務(wù)分支、政務(wù)單元內(nèi)部除了采用傳統(tǒng)的政務(wù)手段如電信部門的通訊網(wǎng)、廣電部門的有線電視網(wǎng)等處理政務(wù)信息外，現(xiàn)在的電子政務(wù)手段主要是指現(xiàn)代信息技術(shù)手段，即采用以電子計算機為節(jié)點的政務(wù)內(nèi)網(wǎng)、政務(wù)專網(wǎng)、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)等計算機網(wǎng)絡(luò)。此外，由于政務(wù)信息處理的基本設(shè)備是電子計算機實體單元，所以政務(wù)部門內(nèi)部的計算機實體安全也是非常重要的。因此，政務(wù)部門內(nèi)部電子政務(wù)安全問題可以從政務(wù)部門內(nèi)部的計算機實體安全和計算機網(wǎng)絡(luò)安全兩個方面進行分析。 計算機實體安全是指為了保證計算機信息系統(tǒng)安全可靠運行，保證在對信息進行采集、處理、存儲和傳輸過程中，不受人為或自然因素的危害，防止信息丟失、泄密或破壞，而對計算機設(shè)備、設(shè)施 (建筑，供電，空調(diào)等 )、環(huán)境、人員等采取適當?shù)陌?全措施。計算機實體安全是防止對信息威脅和攻擊的第一步，也是防止對信息威脅和攻擊的天然屏障，主要包括計算機的環(huán)境安全和設(shè)備安全兩部分內(nèi)容。環(huán)境安全是對計算機信息系統(tǒng)所處環(huán)境的區(qū)域保護和災(zāi)難保護，要求計算機場地具備防火、防水、防盜措施，有攔截、屏蔽、均壓分流、接地防雷等設(shè)施，有防靜電、防塵、防廢物搜尋設(shè)備，保證計算機工作和保存時的溫度、濕度和潔凈度在安全范圍內(nèi)。設(shè)備安全則是對計算機信息系統(tǒng)設(shè)備的安全保護，包括設(shè)備的防毀、防盜、防止電磁信號輻射泄漏、防止線路截獲，加強對電源系統(tǒng)、存儲器和外部設(shè)備的保護。 政務(wù)部門 內(nèi)部計算機網(wǎng)絡(luò)包括政務(wù)內(nèi)網(wǎng)、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和國際互聯(lián)網(wǎng)四種形式。政務(wù)內(nèi)網(wǎng)是我國電子政務(wù)黨政內(nèi)網(wǎng)向政務(wù)單位的延伸，對于省部級以下的單位，內(nèi)網(wǎng)是機要網(wǎng)的一個節(jié)點，要嚴格按照保密規(guī)定在節(jié)點設(shè)置保密室、保密員和與之相關(guān)的制度和設(shè)備。內(nèi)聯(lián)網(wǎng)是政務(wù)部門采用國際互聯(lián)網(wǎng)技術(shù)（ TCP/IP）的內(nèi)部局域網(wǎng)絡(luò)，由于建設(shè)內(nèi)聯(lián)網(wǎng)的“門檻”比較低，使用微機、網(wǎng)線、交換機可以構(gòu)成簡單實用的對等局域網(wǎng)絡(luò)，該網(wǎng)絡(luò)通過路由器便可以與其它網(wǎng)絡(luò)（如國際互聯(lián)網(wǎng)）互聯(lián)，從而實現(xiàn)政務(wù)部門內(nèi)部計算機與其它網(wǎng)絡(luò)交換信息。經(jīng)過多年努力，政務(wù)部門的內(nèi)聯(lián)網(wǎng)已具雛 形，政務(wù)部門內(nèi)部從領(lǐng)導(dǎo)到普通公務(wù)人員辦公桌上的電腦已經(jīng)組成局域網(wǎng)絡(luò)，并通過路由器與國際互聯(lián)網(wǎng)相連接，政務(wù)部門開始利用這個網(wǎng)絡(luò)上網(wǎng)查詢信息，并初步實現(xiàn)了部門內(nèi)部的信息資源共享。外聯(lián)網(wǎng)是借助公網(wǎng)信道構(gòu)建的政務(wù)部門虛擬網(wǎng)絡(luò)，通過外聯(lián)網(wǎng)政務(wù)部門可以將分布在不同地點的計算機聯(lián)接起來，實現(xiàn)異地即時通訊和資源共享。國際互聯(lián)網(wǎng)是采用TCP/IP 標準、全球性的開放網(wǎng)絡(luò)，不同型號、不同語言、不同操作系統(tǒng)的計算機都可以采用相同標準進行信息交換，它是人類知識的大寶庫。我國的電子政務(wù)建設(shè)將充分利用這一網(wǎng)絡(luò)資源，在為政務(wù)部門提供決策信 息的同時，開展與廣大公眾的信息交流，為公眾、企事業(yè)單位提供服務(wù)，為政務(wù)人員提供跨地域、跨時空的辦公條件。 目前，政務(wù)部門內(nèi)部計算機實體對于政務(wù)單位來說具有封閉性，通過嚴格落實有關(guān)信息安全條例和制度就能夠保證計算機實體的安全。政務(wù)部門的計算機網(wǎng)絡(luò)則具有開放的特點，不同類型的網(wǎng)絡(luò)有其相應(yīng)的安全范圍，政務(wù)部門網(wǎng)絡(luò)安全電子政務(wù)網(wǎng)絡(luò)安全解方案的研究與探討 域的大門（網(wǎng)關(guān)）是政務(wù)單位信息安全的重中之重，每個部門如果都把好了自己的大門，其安全問題也就解決了。 2． （ G2G）電子政務(wù)安全分析 政務(wù)部門之間（ G2G）電子政務(wù)安全與政務(wù)部門內(nèi) 部不同，這是因為政務(wù)部門之間傳遞的是政務(wù)辦公信息協(xié)同和服務(wù)信息，如果把每個政務(wù)部門比作一個信息節(jié)點，那么 G2G 意味著節(jié)點在政務(wù)部門之間的延伸，這種延伸的結(jié)果是：政務(wù)信息可以在政務(wù)部門間自由地流動，傳統(tǒng)政務(wù)體制下形成的條塊分割局面將被政務(wù)部門間的網(wǎng)狀模式所取代。據(jù)統(tǒng)計，政府部門所擁有的信息量占全社會信息量的 80%以上，傳統(tǒng)政務(wù)模式下這 80%的信息被條塊分割在一塊塊的信息孤島上，沒有得到充分開發(fā)和利用。電子政務(wù)建設(shè)初期，隨著政務(wù)部門信息化步伐加快，政務(wù)部門的“電子化”水平在提高，政務(wù)組織的業(yè)務(wù)重組和業(yè)務(wù)流程的優(yōu) 化相對滯后，導(dǎo)致了政務(wù)部門間信息溝通不暢。電子政務(wù)進入了信息資源的深化應(yīng)用階段以后，政務(wù)信息平臺已經(jīng)搭建完成，四通八達的網(wǎng)絡(luò)已經(jīng)將一個個信息孤島連接起來，由于政務(wù)部門網(wǎng)絡(luò)形成速度較快，部門間的信息交流頻繁起來，政務(wù)信息的安全問題也引起了人們的注意。 有的政務(wù)部門縱向級聯(lián)所跨地域范圍大，除了特殊部門獨立架設(shè)專用線路外，一般均采取租用通訊部門專線的方式組網(wǎng)。其安全問題體現(xiàn)在在廣域網(wǎng)中數(shù)據(jù)傳輸?shù)臋C密性、完整性、可用性和上下級網(wǎng)絡(luò)互訪的可控性等方面。其中政務(wù)內(nèi)網(wǎng)的安全級別比較高，使用過程中只要注意與外網(wǎng)的物理隔離和 信息交換問題，就能滿足安全要求；政務(wù)專網(wǎng)除了注意物理隔離和信息交換問題以外，還要關(guān)注外聯(lián)網(wǎng)的安全。采用外聯(lián)網(wǎng)技術(shù)構(gòu)成的虛擬內(nèi)部網(wǎng)絡(luò)，雖然有其邏輯安全域，理論上是安全的，由于其部分線路使用了公共網(wǎng)絡(luò)，在與公網(wǎng)連接處是安全防衛(wèi)的重點，從網(wǎng)絡(luò)硬件設(shè)備到安全策略都要密切關(guān)注，為專網(wǎng)把好安全的大門。 政務(wù)部門在一個地區(qū)的橫向級聯(lián)是在當?shù)卣?wù)信息統(tǒng)一平臺上進行的，網(wǎng)絡(luò)安全度比較高。由于政務(wù)外網(wǎng)與政務(wù)部門的內(nèi)聯(lián)網(wǎng)互聯(lián)，政務(wù)部門間在使用政務(wù)外網(wǎng)交換信息時，要采用加密、身份識別認證等安全技術(shù)，不能在公網(wǎng)上使用明文、沒有任何安 全措施的傳輸信息。目前，基于 web 形式的電子郵件使用比較普遍，但是這種采用第三方提供的電子郵件服務(wù)有兩個安全問題需要研究，一是第三方提供電子信箱服務(wù)的信譽（保護隱私和服務(wù)時效），二是電子郵件在公網(wǎng)上運行的安全性。一般情況下，提供郵件服務(wù)的服務(wù)器與政務(wù)部門之間要通過公網(wǎng)連接，數(shù)據(jù)包在公網(wǎng)上可能被劫獲、篡改。因此，涉密政務(wù)信息嚴禁在公網(wǎng)上傳遞，在使用公網(wǎng)上提供的各種服務(wù)，如 web、 Email、 bbs、 Tel 等，要首先考慮政務(wù)信息的安全問題。 政務(wù)部門間的網(wǎng)絡(luò)通信安全還要注意通信線路的技術(shù)特點。政務(wù)部門之 間可以采用有線和無線兩種方式實現(xiàn)連接，有線連接包括電纜和光纜。光纜的安全性能比較好，對于使用光纜連接的部門，重點放在光電收發(fā)器、中繼器區(qū)域等涉及到光電信號轉(zhuǎn)換處的安全。對于架空電纜，由于電纜暴露在外邊，要加強對線路的監(jiān)控；對于沒有屏蔽的電纜，要考慮電磁輻射，防止電磁感應(yīng)竊密。 電子政務(wù)網(wǎng)絡(luò)安全解方案的研究與探討 ．政務(wù)部門與公眾（ G2C）法人（ G2B）電子政務(wù)安全分析 政務(wù)部門與公眾法人間的電子政務(wù)是通過公網(wǎng)（國際互聯(lián)網(wǎng)）進行的，隨著企（事）業(yè)單位、公眾連網(wǎng)微機數(shù)量的增加和社區(qū)、鄉(xiāng)（鎮(zhèn)）街道公眾信息站的建立，政務(wù)部門與其外部的公眾和 企事業(yè)單位又多了一種“全天侯”交流方式。由于國際互聯(lián)網(wǎng)是一種按 tcp/ip 連接的、松散管理型的國際性網(wǎng)絡(luò)，對于政務(wù)部門來說，在為其管理和服務(wù)帶來很大方便的同時也帶來了巨大的安全風(fēng)險，信息共享和信息安全是一對矛盾，不能因為信息安全就放棄共享，應(yīng)該在保證信息安全的前提下不斷提高信息共享水平。 對于公眾和企事業(yè)單位來講，從微機和網(wǎng)絡(luò)設(shè)備、系統(tǒng)軟件和應(yīng)用軟件的購置，到信息系統(tǒng)的使用，都應(yīng)該增強安全防范意識。這是因為我們使用的微機從其核心部件到操作系統(tǒng)軟件，主要技術(shù)來自國外，電子政務(wù)的技術(shù)基礎(chǔ)建立在依靠他人核心技術(shù)基 礎(chǔ)上的。如果我們從信息條件的建立就重視信息安全問題，就會大大地降低應(yīng)用系統(tǒng)所帶來的各種風(fēng)險。在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機系統(tǒng)，而主機系統(tǒng)的安全性主要是由操作系統(tǒng)的安全性所決定的，沒有安全的操作系統(tǒng)支持，網(wǎng)絡(luò)應(yīng)用安全毫無根基可言。只有選擇具有自主知識產(chǎn)權(quán)的信息技術(shù)產(chǎn)品，才能從底層保障電子政務(wù)系統(tǒng)的安全 對于政務(wù)部門來說，電子政務(wù)平臺是政務(wù)部門根據(jù)國家電子政務(wù)總體框桇建設(shè)的，各級政務(wù)網(wǎng)站都采取了嚴格的安全措施，來保障政務(wù)網(wǎng)站的正常運行。但是，由于政務(wù)網(wǎng)站是國際互聯(lián)網(wǎng)上的節(jié)點，比起內(nèi)網(wǎng)、專網(wǎng)網(wǎng) 站來說，更容易被攻擊。據(jù)統(tǒng)計， 2020 年監(jiān)測到的我國政府網(wǎng)站被篡改數(shù)量共計達 2027 個，占被篡改網(wǎng)站總數(shù)的 22%。這種情況在 2020 年更加嚴重，至 2020 年 3 月全球被篡改網(wǎng)站數(shù)量超過 3 萬個，平均每 分鐘，就有一個網(wǎng)站被篡改，政務(wù)網(wǎng)站被攻擊數(shù)量占攻擊網(wǎng)站總數(shù)的約 1/6,（ 訪問時間20200505）。這說明政務(wù)網(wǎng)站的安全問題必須引起高度重視，通過實施科學(xué)評估電子政務(wù)工程方案、增強參于人員安全防范意識，把好政務(wù) 網(wǎng)站完工驗收標準關(guān)、健全日常管理規(guī)范和安全防范責(zé)任制度等措施，來保證電子政務(wù)網(wǎng)站的安全運行。 電子政務(wù)工程的外包，有效地解決了政務(wù)部門在信息化過程中的人員、技術(shù)和資金短缺問題，電子政務(wù)工程的外包可以降低信息化主管部門的風(fēng)險，實現(xiàn)政府主導(dǎo)、企業(yè)運作，帶動本地企業(yè)的發(fā)展。但是外包是在安全的前提下進行的，政務(wù)部門應(yīng)該對實施的電子政務(wù)工程進行安全分析，確定哪些工程必須由本部門獨立完成，哪些工程要外包。尤其是電子政務(wù)的運行維護外包不能一放了之，要加強對外包工程的監(jiān)管，加強對外包服務(wù)器訪問日志分析，發(fā)現(xiàn)安全隱患要及時處 理。 電子政務(wù)網(wǎng)絡(luò)安全解方案的研究與探討 3. 政務(wù)安全技術(shù) 為了保障電子政務(wù)系統(tǒng)的安全，應(yīng)該在技術(shù)、產(chǎn)品、方案和服務(wù)等方面作好準備，其中電子政務(wù)安全技術(shù)包括安全基礎(chǔ)技術(shù)（密碼技術(shù)和計算）和安全產(chǎn)品技術(shù)（網(wǎng)絡(luò)攻防技術(shù)、中間件技術(shù)和密碼技術(shù)）。安全產(chǎn)品有密碼機、防火墻、入侵檢測、防毒墻和其它產(chǎn)品，安全方案有物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、管理安全，安全服務(wù)包括安全問題咨詢、設(shè)計實施、安全管理、應(yīng)急響應(yīng)和安全培訓(xùn)等幾個方面。由于電子政務(wù)具有全員參于的特點，因此，與電子政務(wù)安全有關(guān)的技術(shù)、產(chǎn)品、方案和服務(wù)內(nèi)容也是政務(wù)人員必備的 知識，下面分別加以說明。 3． 1. 加密技術(shù) 為保證電子政務(wù)信息具有保密性、完整性、真實性和不可賴性，政務(wù)信息按密級（秘密、機密、絕密）的不同采取相應(yīng)的加密傳輸和存儲措施，加密技術(shù)是電子政務(wù)采取的主要保密安全措施，是保證信息安全的核心技術(shù)。 加密技術(shù)也叫密碼技術(shù)，包括對原始信息進行加密和對密文解密兩個環(huán)節(jié)。我們把信息明文按一定的變換規(guī)則變成密文的過程稱為加密，加密變換規(guī)則中算法的可變參數(shù)稱密鑰，密鑰是解密的基礎(chǔ)。解密則是加密的反向過程，是通過密鑰將密文轉(zhuǎn)換成明文的過程。加密技術(shù)包括對稱加密技術(shù) (私鑰 )和非 對稱加密技術(shù)（公鑰＋私鑰）兩種類型，其區(qū)別在于加密和解密使用的密鑰是否相同，或在不同時是否有一定的聯(lián)系，可以推導(dǎo)。 對稱加密技術(shù)的加密和解密使用相同的密鑰（或可以由一個推導(dǎo)出另一個），其特點是密鑰短、加密速度快、破譯困難。對稱加密的關(guān)鍵在于通信前必須有安全通道（電話、函件等）傳遞“密鑰”，另外對稱加密還存在著密鑰的數(shù)量較大不好管理、無法驗證雙方身份的不足。對稱加密技術(shù)是基于雙方共同保守密秘的基礎(chǔ)和密鑰的安全交換來實現(xiàn)的，加密和解密過程如下： 電子政務(wù)網(wǎng)絡(luò)安全解方案的研究與探討 明文 —— 加密 (私鑰 )—— 密文 —— 公網(wǎng)傳輸 —— 密文 —— (解密 )私鑰 ——明文 注意：必須將私鑰密秘傳送到對方（解密方） 非對稱加密技術(shù)使用一對密鑰：公開密鑰和私有密鑰，如果用公開密鑰對數(shù)據(jù)加密，只有私有密鑰才能解密；如果用私有密鑰加密信息，也只有用的公開密鑰才能解密。因此，這種加密技術(shù)加密和解密使用不同的密鑰，體現(xiàn)出其非對稱性。其加密解密過程如下： 明文 —— 加密 (私鑰 )—— 密文 —— 公網(wǎng)傳輸 —— 密文 —— (解密 )公鑰 ——明文 明文 —— 加密 (公鑰 )—— 密文 —— 公網(wǎng)傳輸 —— 密文 —— (解密 )私鑰 ——明文 注意：公鑰可以在公網(wǎng)上傳給需要的用戶，私鑰則要通過特殊安全通道送給用戶，如 U 盾的申領(lǐng)必須持有關(guān)證件到特定地點辦理。 電子政務(wù)系統(tǒng)中，對于管理級別高的數(shù)據(jù)，首先要在內(nèi)網(wǎng)這種獨立的通道中進行傳輸，其次是要在通道中采取加密措施，如使用加密過程芯片化的加密機對敏感信息進行加密和解密。對于不宜公開，又不得不在公網(wǎng)中傳輸?shù)恼?wù)信息，也要對傳輸信息進行加密