【正文】 并給出了電子政務(wù)安全支撐平臺的體系結(jié)構(gòu)，該體系的特點(diǎn)為：安全開放統(tǒng)一，分級分域防護(hù)，全面防護(hù)、縱深防御。為農(nóng)民提供一個推廣農(nóng)業(yè)技術(shù)、交流農(nóng)業(yè)信息的場所和平臺。服務(wù)于社會大眾，受理公眾提出的咨詢、投訴、建議和求助等事項(xiàng)，并將上述信息反饋于各職能部門。應(yīng)用系統(tǒng)在系統(tǒng)定制和改造過程中，與授權(quán)分級、用戶分級相結(jié)合，與統(tǒng)一身份認(rèn)證、授權(quán)管理一體化設(shè)計(jì)，完成以上四個功能，保障應(yīng)用系統(tǒng)的安全。數(shù)據(jù)歸檔前，實(shí)施基于工作流的訪問控制。數(shù)據(jù)庫分為兩個：敏感數(shù)據(jù)庫和公開數(shù)據(jù)庫，并分別存放于數(shù)據(jù)中心域和公開數(shù)據(jù)域，在物理上即達(dá)到分域存放的目的。VPN 安全管理、移動接入管理、安全策略管理、審計(jì)管理由 VPN 安全管理系統(tǒng)實(shí)施完成，授權(quán)管理由授權(quán)管理系統(tǒng)實(shí)施完成。(4) 授權(quán)管理。(2) 移動接入管理。面向的對象是“12345”便民服務(wù)熱線系統(tǒng)的注冊公眾用戶、濟(jì)源市新農(nóng)村信息服務(wù)系統(tǒng)的注冊農(nóng)村用戶、項(xiàng)目審批管理系統(tǒng)的部分企業(yè)用戶。統(tǒng)一身份認(rèn)證系統(tǒng)由系統(tǒng)登錄認(rèn)證、用戶接入認(rèn)證和應(yīng)用系統(tǒng)登錄認(rèn)證三部分組成，可以提供兩類分級認(rèn)證方式。其中，PC 防火墻和主機(jī)防病毒構(gòu)成一般桌面安全防護(hù)，加上電子郵件安全、存儲安全構(gòu)成增強(qiáng)桌面安全防護(hù)。(3) 電子郵件安全。其組成包括基本桌面安全防護(hù)系統(tǒng)和增強(qiáng)桌面安全防護(hù)系統(tǒng)，完成以下功能：(1) PC 防火墻。(5) 攻擊檢測與防護(hù)。(3) 網(wǎng)絡(luò)防病毒。2) 分域子網(wǎng)安全一些安全域(如中等規(guī)模、行政區(qū)外的市屬委辦局) 已建立了自己內(nèi)部的局域網(wǎng)，其局域網(wǎng)內(nèi)的安全遵循“誰主管、誰負(fù)責(zé)”的原則，由各單位自行建設(shè)，其組成包括網(wǎng)絡(luò)審計(jì)系統(tǒng)、入侵檢測系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)等組成，完成以下功能：(1) 網(wǎng)絡(luò)審計(jì)。(2) 接入安全。1) 安全互聯(lián)、接入控制與邊界安全帶防火墻功能的 VPN 設(shè)備完成域間安全互聯(lián)、移動用戶接入控制與網(wǎng)絡(luò)邊界安全。面向?qū)ο笫窃L問電子政務(wù)系統(tǒng)的行政辦公用戶和移動辦公用戶、企業(yè)用戶。 河南電子政務(wù)基礎(chǔ)設(shè)施河南省電子政務(wù)基礎(chǔ)設(shè)施完成用戶證書、設(shè)備證書的發(fā)放，具有證書查詢和撤消、證書更新、密鑰歸檔等功能。網(wǎng)絡(luò)互聯(lián)建設(shè)包括中心機(jī)房設(shè)備安裝調(diào)試、互聯(lián)網(wǎng)接入和接入點(diǎn)測試三部分工作，由濟(jì)源市網(wǎng)通公司承建。系統(tǒng)由互聯(lián)網(wǎng)、電子政務(wù)安全支撐平臺和電子政務(wù)應(yīng)用系統(tǒng)三部分組成。其特點(diǎn)為：1) 安全開放統(tǒng)一安全互聯(lián)與接入控制一體化設(shè)計(jì)、信息分類控制與防護(hù)，既能保證基于互聯(lián)網(wǎng)的電子政務(wù)應(yīng)用的安全性，又能保證電子政務(wù)應(yīng)用的開放性，實(shí)現(xiàn)安全和開放的高度統(tǒng)一。應(yīng)用安全為電子政務(wù)應(yīng)用系統(tǒng)提供統(tǒng)一的身份認(rèn)證、信息分級分域存儲、等級化的訪問控制等安全保障，確保電子政務(wù)應(yīng)用的安全。互 聯(lián) 網(wǎng)河 南 省 電 子 政 務(wù) 安 全 基 礎(chǔ) 設(shè) 施安 全 互 聯(lián) 與 接 入 控 制 、 邊 界 防 護(hù)分 域 子 網(wǎng) 安 全桌 面 安 全 防 護(hù)應(yīng) 用 安 全安全管理安全服務(wù)電 子 政 務(wù) 應(yīng) 用( 濟(jì)源市政務(wù)辦公系統(tǒng) 、 濟(jì)源市 “ 1 2 3 4 5 ” 便民熱線 、 濟(jì)源市項(xiàng)目管理系統(tǒng) 、 濟(jì)源市農(nóng)村綜合服務(wù)系統(tǒng) )互 聯(lián) 網(wǎng)電 子 政 務(wù)安 全 支 撐 平 臺電 子 政 務(wù) 應(yīng) 用圖 32　安全支撐平臺體系結(jié)構(gòu)其中，河南省電子政務(wù)安全基礎(chǔ)設(shè)施面向濟(jì)源市有關(guān)行政人員頒發(fā)數(shù)字證書，另有部分人員根據(jù)需要使用一次性口令認(rèn)證方式。因此，電子政務(wù)應(yīng)用既是安全支撐平臺的保護(hù)對象，又是基于互聯(lián)網(wǎng)實(shí)施電子政務(wù)的主體。2) 電子政務(wù)安全支撐平臺電子政務(wù)安全支撐平臺是試點(diǎn)系統(tǒng)體系結(jié)構(gòu)中的重要組成部分，安全支撐平臺為基于互聯(lián)網(wǎng)的電子政務(wù)系統(tǒng)提供安全支撐。 電子政務(wù)系統(tǒng)體系結(jié)構(gòu)濟(jì)源試點(diǎn)電子政務(wù)系統(tǒng)的體系結(jié)構(gòu)如圖 31 所示。5) 國家電子政務(wù)標(biāo)準(zhǔn)化總體組《電子政務(wù)標(biāo)準(zhǔn)化指南》 。 設(shè)計(jì)依據(jù)1) 中辦發(fā) [2022]27 號文件《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》 。而全面依托互聯(lián)網(wǎng)建設(shè)電子政務(wù)系統(tǒng)，不同于上述應(yīng)用，要積極探索開放環(huán)境下信息安全建設(shè)的新方法，既要有效保障互聯(lián)網(wǎng)環(huán)境下的網(wǎng)絡(luò)安全，又要解決對公眾的開放服務(wù)，使安全和開放在互聯(lián)網(wǎng)環(huán)境下達(dá)到有機(jī)的協(xié)調(diào)統(tǒng)一。同時，通過濟(jì)源市基于互聯(lián)網(wǎng)電子政務(wù)信息安全試點(diǎn)的建設(shè)，探索一套實(shí)用的等級化保護(hù)手段，探索出適合于試點(diǎn)項(xiàng)目的系統(tǒng)分析、定級方法，探索基于互聯(lián)網(wǎng)的電子政務(wù)信息安全保障新方法和新模式，為地市以下單位建設(shè)電子政務(wù)系統(tǒng)提供可供借鑒的、有效的成功經(jīng)驗(yàn)和示范工程。入侵檢測作為一種積極主動的安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(Intrusion Detection)的定義為：識別針對計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為，并對此作出反應(yīng)的過程。 入侵檢測技術(shù)入侵檢測的研究最早可追溯到 James Aderson[41]在 1980 年的工作，他首先提出了入侵檢測的概念，在該文中 Aderson 提出審計(jì)追蹤可應(yīng)用于監(jiān)視入侵威脅，但由于當(dāng)時所有已有的系統(tǒng)安全程序都著重于拒絕位經(jīng)認(rèn)證主體對重要數(shù)據(jù)的訪問，這一設(shè)想的重要性當(dāng)時并未被理解。數(shù)據(jù)分級分域存儲的優(yōu)點(diǎn)具體表現(xiàn)在：1) 減少總體存儲成本不經(jīng)常訪問的數(shù)據(jù)駐留在較低成本的存儲器中，可綜合發(fā)揮磁盤驅(qū)動器的性能優(yōu)勢與磁帶的成本優(yōu)勢。在分級分域存儲結(jié)構(gòu)中，磁帶庫等成本較低的存儲資源用來存放訪問頻率較低的信息，而磁盤或磁盤陣列等成本高、速度快的設(shè)備，用來存儲經(jīng)常訪問的重要信息。系統(tǒng)遭到破壞后對政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成極其嚴(yán)重的負(fù)面影響，可能對國家安全造成嚴(yán)重?fù)p害。第四級 強(qiáng)制保護(hù)級 適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要電子政務(wù)系統(tǒng)。行保護(hù)。系統(tǒng)遭到破壞后對政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較小的負(fù)面影響。 信息安全等級保護(hù) 等級保護(hù)簡介《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2022] 27號文) 中，強(qiáng)調(diào)要實(shí)行信息安全等級保護(hù)制度，2022 年 1 月召開的全國信息安全保障工作會議則再次將信息安全等級保護(hù)作為當(dāng)務(wù)之急需要抓好的一項(xiàng)基礎(chǔ)性工作。 )，加密信息 m(二進(jìn)華 中 科 技 大 學(xué) 碩 士 學(xué) 位 論 文16制表示)時，首先把 m 分成等長數(shù)據(jù)塊 m1，m2，…，m i 塊長 s，其中 2s=n，s 盡可能的大。 RSA 算法的安全性是基于數(shù)論中大整數(shù)分解的困難性，即兩個大素?cái)?shù) p 和 q 的乘積 n，其歐拉函數(shù)值為：Φ(n) = (p1) * (q 1) (21)隨機(jī)選一整數(shù) e，1 eΦ， (Φ(n),e ) = 1。它的缺點(diǎn)是計(jì)算開銷大，處理速度慢。逆初始置換 IP1：將 16 輪迭代后給出的 64bit 組進(jìn)行置換，得到輸出的密文組。乘積變換：是 DES 算法的核心部分。DES 是一種對二元數(shù)據(jù)進(jìn)行加密的算法，數(shù)據(jù)分組長度為 64bit (8bytes)，密文分組長度也是 64bit，沒有數(shù)據(jù)擴(kuò)展。DES(Data Encryption Standard)算法是美國政府機(jī)關(guān)為了保護(hù)信息處理中的計(jì)算機(jī)數(shù)據(jù)而使用的一種加密方式，是一種常規(guī)密碼體制的密碼算法，目前已廣泛用于電子商務(wù)系統(tǒng)中。它的優(yōu)點(diǎn)是保密強(qiáng)度高，計(jì)算開銷小，處理速度快。加密是指使用密碼算法對數(shù)據(jù)作變換，使得只有密鑰持有人才能恢復(fù)數(shù)據(jù)面貌。如圖 23 所示。證書發(fā)布系統(tǒng)負(fù)責(zé)證書的發(fā)放，如可以通過用戶自己或是通過目錄服務(wù)。因此，RA 可以設(shè)置在直接面對客戶的業(yè)務(wù)部門，如銀行的營業(yè)部、機(jī)構(gòu)認(rèn)證部門等。它包括 CA 是如何建立和運(yùn)作的，證書是如何發(fā)行、接收和廢除的，密鑰是如何產(chǎn)生、注冊的，以及密鑰是如何存儲的，用戶是如何得到它的等等 [33]。它包括一個組織怎樣處理密鑰和有價值的信息，根據(jù)風(fēng)險(xiǎn)的級別定義安全控制的級別。PKI 在實(shí)際應(yīng)用上是一套軟硬件系統(tǒng)和安全策略的集合，一個典型的 PKI 系統(tǒng)如圖 22 所示，其中包括 PKI 策略、軟硬件系統(tǒng)、認(rèn)證中心 CA、注冊機(jī)構(gòu) RA、證書發(fā)布系統(tǒng)和 PKI 應(yīng)用等。PKI 的發(fā)展非?？?，己經(jīng)從幾年前的理論階段過渡到目前的產(chǎn)品階段，并且出現(xiàn)了大量成熟技術(shù)、產(chǎn)品和解決方案，正逐步走向成熟。沒有一個好的密鑰管理系統(tǒng)，將極大地影響一個 PKI 系統(tǒng)的規(guī)模、可伸縮性和在協(xié)同網(wǎng)絡(luò)中的運(yùn)行成本 [27~29]。PKI 把公鑰密碼和對稱密碼結(jié)合起來，在 Inter 網(wǎng)上實(shí)現(xiàn)密鑰的自動管理，保證網(wǎng)上數(shù)據(jù)的安全傳輸 [24~26]。4) 身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)是一種用來驗(yàn)證通訊雙方是否真的是他所聲稱的身份的手段。通常用非對稱加密進(jìn)行身份認(rèn)證和密鑰交換，對稱密鑰用于數(shù)據(jù)加密。其過程是發(fā)送者在發(fā)送數(shù)據(jù)之前對數(shù)據(jù)加密，當(dāng)數(shù)據(jù)到達(dá)接收者時由接收者對數(shù)據(jù)進(jìn)行解密。根據(jù)通訊協(xié)議的分層模型，可分為第二層隧道協(xié)議和第三層隧道協(xié)議。 Decryption)、密鑰管理技術(shù)(Key Management)和身份認(rèn)證技術(shù)(Authentication)。 VPN 工作原理虛擬專網(wǎng) VPN 采用了一種稱之為隧道的技術(shù)，使得企業(yè)網(wǎng)內(nèi)一個局域網(wǎng)的數(shù)據(jù)透明地穿過公用網(wǎng)到達(dá)另一個局域網(wǎng)。VPN 連接： 在 VPN 連接中，數(shù)據(jù)必須經(jīng)過加密。 VPN 的構(gòu)成一個典型 VPN 的組成部分如圖 21 所示 [18,19]。 虛擬專網(wǎng)(VPN) 虛 擬 專 網(wǎng) (VPN， Virtual Private Network) 是 一 種 通 過 對 網(wǎng) 絡(luò) 數(shù) 據(jù) 進(jìn) 行 封 包 和加 密 ， 在 公 網(wǎng) 上 傳 輸 私 有 數(shù) 據(jù) ， 同 時 保 證 私 有 網(wǎng) 絡(luò) 的 安 全 ， 從 而 利 用 公 網(wǎng) 構(gòu) 筑 企業(yè) 專 用 的 組 網(wǎng) 技 術(shù) [14,15]。電子政務(wù)中的安全保障體系就是要確保信息內(nèi)容的存取、處理和傳輸各個環(huán)節(jié)中的保密性、完整性和可用性，確保電子政務(wù)系統(tǒng)的合理應(yīng)用和有序運(yùn)行 [11~13]。第 5 章，對論文所做的工作進(jìn)行總結(jié)。該方案由互聯(lián)網(wǎng)、電子政務(wù)安全支撐平臺和電子政務(wù)應(yīng)用系統(tǒng)三部分組成。4) 積極探索基于互聯(lián)網(wǎng)地市級電子政務(wù)建設(shè)及信息安全保障新方法和新模式，為今后基于互聯(lián)網(wǎng)建設(shè)地市級電子政務(wù)系統(tǒng)提供可供借鑒的經(jīng)驗(yàn)。根據(jù)信息安全問題發(fā)展趨勢和成功經(jīng)驗(yàn)，協(xié)調(diào)將成為信息化進(jìn)程中安全管理的重要方式和手段。因此地方保護(hù)和行業(yè)行為對信息安全管理和產(chǎn)業(yè)發(fā)展的影響將更加顯現(xiàn)。在快速增長的信息安全市場中，安全服務(wù)占據(jù)著越來越重要的位置。持續(xù)的電子政務(wù)熱潮將帶動信息安全產(chǎn)業(yè)的發(fā)展。國內(nèi)電子政務(wù)信息安全發(fā)展趨勢歸納如下：1) 國家對網(wǎng)絡(luò)與信息安全管理將作戰(zhàn)略性的選擇。時至今日，由于信息系統(tǒng)的攻擊日趨頻繁，安全的概念已經(jīng)不局限于對信息的保護(hù)，人們更需要的是整個信息系統(tǒng)運(yùn)行的安全，具體包括了對信息及系統(tǒng)進(jìn)行保護(hù)、檢測、響應(yīng)和恢復(fù)(PDRR) 的能力。4) 信息安全產(chǎn)品日趨成熟，防病毒、防黑客依然是網(wǎng)絡(luò)與信息安全的技術(shù)主流 。 從國外近幾年的實(shí)踐情況來看，各國政府紛紛采取了應(yīng)對網(wǎng)絡(luò)攻擊的管理舉措?？傊?，電子政府己成為新世紀(jì)國際公共行政管理改革和衡量國家競爭力的顯著標(biāo)志之一 [4~6]。如：2022 年 3 月，日本政府宣布實(shí)施電子政府工作，并計(jì)劃 2022 全面進(jìn)入“辦公電子化階段” 。信息安全是建設(shè)電子政務(wù)的基礎(chǔ)和關(guān)鍵。積極利用互聯(lián)網(wǎng)資源進(jìn)行電子政務(wù)建設(shè)，既可以節(jié)約資源、節(jié)省成本，又能提高服務(wù)的覆蓋面，在國外已有成功的先例。針對這些問題，濟(jì)源市決定建設(shè)全市統(tǒng)一的網(wǎng)絡(luò)辦公和應(yīng)用平臺。濟(jì)源市位于河南省西北部，是 18 個省轄市之一。隨著電子政務(wù)建設(shè)的不斷發(fā)展，電子政務(wù)建設(shè)和應(yīng)用過程中的信息安全問題已經(jīng)成為電子政務(wù)建設(shè)中的急待解決的一個突出問題。通過探索基于互聯(lián)網(wǎng)的地市級電子政務(wù)建設(shè)及信息安全保障新方法和新模式，為今后基于互聯(lián)網(wǎng)的地市級電子政務(wù)系統(tǒng)建設(shè)提供了可借鑒的經(jīng)驗(yàn)。互聯(lián)網(wǎng)是實(shí)現(xiàn)政務(wù)網(wǎng)絡(luò)互聯(lián)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，安全支撐平臺和電子政務(wù)應(yīng)用都建立在互聯(lián)網(wǎng)之上。信息安全是建設(shè)電子政務(wù)的基礎(chǔ)和關(guān)鍵。本人授權(quán)華中科技大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。 盡 我 所 知 ， 除 文 中 已 經(jīng) 標(biāo) 明 引 用 的 內(nèi) 容 外 ， 本 論 文 不 包 含 任 何 其 他 個人 或 集 體 已 經(jīng) 發(fā) 表 或 撰 寫 過 的 研 究 成 果 。 對 本 文 的 研 究 做 出 貢 獻(xiàn) 的 個 人 和 集 體 ，均 已 在 文 中 以 明 確 方 式 標(biāo) 明 。保 密 □ ， 在 年 解 密 后 適 用 本 授 權(quán) 書 。電子政務(wù)信息安全方案要確保信息內(nèi)容的存取、處理和傳輸各個環(huán)節(jié)中的保密性、完整性和可用性，確保電子政務(wù)系統(tǒng)的合理應(yīng)用和有序運(yùn)行。電子政務(wù)安全支撐平臺是電子政務(wù)運(yùn)行的安全保障，依靠 VPN 技術(shù)、PKI 技術(shù)、信息分級分域存儲、等級化訪問控制、網(wǎng)絡(luò)入侵檢測等技術(shù)進(jìn)行搭建，依托河南省電子政務(wù)基礎(chǔ)設(shè)施所頒發(fā)的數(shù)字證書，保證域內(nèi)、域間的網(wǎng)絡(luò)安全，保證與應(yīng)用相關(guān)的信息和數(shù)據(jù)安全。關(guān)鍵詞：電子政務(wù)，信息安全，等級保護(hù)，虛擬專網(wǎng)，公鑰基礎(chǔ)設(shè)施華 中 科 技 大 學(xué) 碩 士 學(xué) 位 論 文IIAbstractWith the development of electronic government construction, the system security bees an u