【正文】 .........................551 / 60第 1 章　緒 論 研究背景和意義 現(xiàn)今，電子政務蓬勃興起，專業(yè)化的官方服務網站也隨之日益增多，功能更加繁多，服務內容愈加全面。電子政務系統(tǒng)的可用性、可審查性、可控性、保密性、完整性等，還有一些城市的電子政務系統(tǒng)創(chuàng)設實踐都得到電子政務系統(tǒng)網絡安全整體解決方案深刻的指導意義。包括訪問的控制、物理的安全、數(shù)據的保護、通信的加密、病毒的防護、安全的審計和安全的管理等方面；最后，周密規(guī)劃網絡安全的全局解決方案。首先，分析了電子政務系統(tǒng)網絡的安全狀況。電子政務系統(tǒng)作為一個相對獨立的專用信息系統(tǒng)，對系統(tǒng)網絡的安全性影響不小，它的外網與外部緊密關聯(lián)又相互交流且信息一般在內，內部和外部均可以造成無意的泄密和惡意的攻擊。I / 60摘 要沈陽市電子政務網絡安全系統(tǒng)電子政務的建設之所以被緊密鑼鼓的納入到工作日程中， 是全球互聯(lián)網技術的快速發(fā)展和我國信息化技術步伐不斷前進的必然結果。電子政務系統(tǒng)歷來被視為公開、廉潔、科學、高效等行政辦事和行政決策機構建立的手段，同時它也促進了政府職能的轉變和辦事效率的提高。鑒于電子政務系統(tǒng)網絡中的主機程序或許會受到電腦黑客的破壞、網絡中的關鍵數(shù)據資源被盜或被竄改、系統(tǒng)工作效率有可能被大大降低、信息資源在由內部網向公網傳遞之前或許已被外界竊聽或修改等安全憂患問題，本文對電子政務系統(tǒng)網絡安全的綜合處理方案進行了縱深的探討。主要分析網絡的安全目標、安全風險、安全需求、安全策略等；其次，分類研究了電子政務網絡安全解決方案。這是基于對沈陽市電子政務信息網絡安全需要的分析和風險的預測所做出的規(guī)劃。關鍵詞：電子政務，網絡安全，PKI，數(shù)字簽名II / 60AbstractEgovernment Network Security System of shenyang CityWith the developing of inter technology and informationbased advancing steps of our country, egovernment urgent to increase to the work schedule. The EGovernment change its’ function of working，for example: improvement of efficient work ；establishment public and transparent, scientific, high efficiency of administration handle affairs 。2022 年 6 月 1 日， “中國電子口岸”( “中國電子口岸”是由對外經濟貿易合作部、海關總署、國家稅務總局、中國人民銀行等十二個部委聯(lián)合參與組成的）在全國各大口岸積極推廣實施。透過以上典型性的例子可以發(fā)現(xiàn)，電子政務發(fā)展特征是顯而易見的，即愈來愈務實。犯罪集團、黑客組織、信息戰(zhàn)時期信息對抗等一些有關國家行為的攻擊都對電子政務系統(tǒng)在行使政府職能時造成一定的干擾。在此次對抗中，雖然大多數(shù)的侵入僅僅是對頁面的修改，很多的國家站點還是被破壞了。因此，保證信息的安全將是電子政務安全建設工作中的重中之重。攻擊包括主動攻擊：破壞、修改、冒充、偽造、病毒擴散等；被動攻擊：截獲、偵聽、竊取等。讀取、刪除、復制等在不良的內部用戶和黑客等未授權方是不予以操作的。例如： 網絡的主機的安全性。這一目標的實現(xiàn)依靠的是操作系統(tǒng)、主機、數(shù)據庫的安全技術的綜合。 二表現(xiàn)于信息的內容的隱密性上。為保證電子政務系統(tǒng)傳輸?shù)陌踩裕捎玫拿艽a技術主要有 SSL、基于 IPSec 協(xié)議 [2]的 VPN 等。核心信息備份的安全與機制的恢復同樣關系到信息的有效安全。為了杜絕計算機違法犯罪，我們必須隨機對全體用戶的審計記錄抽查，如若發(fā)現(xiàn)信息的修改與保存等存在問題，就要及時行動起來，隔離一切不可信的操作，并隨時跟蹤，嚴防有計劃的破壞活動。這其中，需要注意的有兩點：可靠性和易維護性。 國內外發(fā)展現(xiàn)狀信息安全綜合利用了數(shù)學、計算機、化學、生物等學科的研發(fā)成果，很好地體現(xiàn)了交叉學科的優(yōu)勢所在，這對于信息安全的自主創(chuàng)新、頂尖設計的提升有益無害，完整的高度協(xié)調一致的處理方案也將迎刃而解。2022 年，美國不惜三十億的重金進行網絡維護，傳輸百分之九十五的機密數(shù)據是通過公用網絡系統(tǒng)實現(xiàn)的。防火墻技術和自動化程序在防護計算機網絡系統(tǒng)的通信和安全上舉足輕重，自主研發(fā)的設計規(guī)劃密碼有利于加密系統(tǒng)的安全性的提高。目前國內電子政務網絡分為互不牽制的三類：政務外網、政務內網、機要專網，它們與互聯(lián)網的隔離方式有邏輯和物理兩種。闡釋了選題的背景知識和主要意義，電子政務的蓬勃發(fā)展必然會引出一系列的安全問題及相關的解決方案。在著重闡釋基礎信息安全技術方案的同時，又涉及到信息系統(tǒng)安全的大體結構、指標和定義。四章：研究電子政務信息的網絡安全性。五章：舉例說明電子政務網絡安全的解決方案。本文將要實現(xiàn)的目標有：電子政務信息網絡安全問題要借助于相關信息的系統(tǒng)安全、信息安全的分析來解決。4 / 60第 2 章　基本理論及概念 本章主要講解的是有關信息系統(tǒng)的安全的基本理論，包括信息系統(tǒng)安全的定義、技術及相關框架體系，對于我們詳細了解信息安全具有很大的幫助。信息系統(tǒng)的安全一般指信息存貯、信息處理、信息獲取、信息傳遞等中完整特性、可用特性、不虛假特性和保密等特性的顯現(xiàn)。當然，要實現(xiàn)這一目的，信息系統(tǒng)的相關規(guī)劃的設計、規(guī)劃的操作、規(guī)劃的管理等必不可少，而靜態(tài)模式下設的內容在信息系統(tǒng)安全方面具有指標性的作用：能用性：相關信息資源的利用和訪問權僅僅限于合法用戶。全面性：信息存貯安全、信息傳送安全完整。能控性：對操作主方和他方信息存取、流動過程的控制。 信息系統(tǒng)安全結構信息系統(tǒng)安全體系主要由管理、技術、組織機構等體系建構，它的目標是實現(xiàn)信息系統(tǒng)個體用戶、團體用戶、社會等對資源的有效監(jiān)控，最終保證信息的能用性、能審查性、全面性、抗抵賴性等。5 / 60完整確保信息系統(tǒng)的安全防護的技術性保障系統(tǒng)被稱為技術體系。其中，非泄露性、全面性和能用性針對解決網絡數(shù)據、網絡通信和信息主要內容的有關安全問題，身份認證、抗抵賴性、監(jiān)控訪問等針對解決網絡通信的檔次、接連和實體的一些安全問題。圖 21 美國 DISSP 安全技術體系的三維圖示從圖中我們可以看到定量的數(shù)據表達不存在于三維體系中，在 X 維中，安全服務是安全機制的上層建筑，且安全機制是借以安全服務來體現(xiàn)其作用的，安全機制并沒有和協(xié)議層、系統(tǒng)單元有著直接的聯(lián)系。信息系統(tǒng)安全的組織保障系統(tǒng)就是組織機構（管理層、決策層和執(zhí)行層）體系（崗位、機構和人事三個模塊） 。首要的負責人為單位主管，下設6 / 60信息系統(tǒng)的重要負責人和各部門（國家安全、國家機密、公共安全及公共保密）負責人。管理層是管理機構，管理日常事務。執(zhí)行層是一個群體，具體針對某一個或幾個特定的安全事務問題。崗位不屬于機構體系，它只是一種職位，是一種序列，在管理機構的設定下，由人事機構全權管理。崗位在職人員、待職人員、離職人員的素質教育、業(yè)務總評、安全監(jiān)督等需要人事機構。管理素來被稱為信息系統(tǒng)安全的靈魂，法律、制度和培訓管理是其組成部分。法律管理的強有力的約束能力和層次分明的管理對信息系統(tǒng)主體的行為活動起著很大的作用，同時它還占據著信息系統(tǒng)安全的絕對行為規(guī)則。制度管理涉及的主要方面有：安全管理機構和執(zhí)行機構在崗位的設定及具體操作、員工素質的培養(yǎng)、內外關系的協(xié)調等方面以特定的行為規(guī)范。它具體有律法法規(guī)、崗位實踐、業(yè)務水平、業(yè)務素質、技術技能等培訓，當然培訓管理也較重視常見安全和在職崗位特殊安全意識的有機結合。7 / 60“防火墻” [4] 是一整套的裝置，既可以控制不同網絡之間的訪問人數(shù)，又可以監(jiān)管應用層流動的網絡量。在這里，我們需要說明的是，內部網也被稱為可信網絡，外部網也被稱作不可信網絡，比如因特網。兩條原則各有其利弊，優(yōu)勢為：第一條原則認真選擇服務內容，保證了絕對的安全；第二條原則靈活多變，先將全部信息流通過防火墻，再逐條檢測屏蔽一切有害的服務項，為廣大用戶提供了安全的使用環(huán)境。當今防火墻以代理的服務器、包過濾、網關的服務器為核心技術，以網絡的拓撲結構、配置技術和位置技術的有度使用為輔助技術。在嚴格遵守 TCP 或者是 IP 協(xié)議技術的網絡中，數(shù)據是通過數(shù)據包的形式進行傳送的，這樣數(shù)據包的本源的地址、目標的地址、UDP 源端口、TCP 源目標端口及它們的不同組合等就會在數(shù)據流中 IP 包中檢查出來，并判斷應不應該讓數(shù)據包順利通過。包過濾的該種防火墻技術一般而言被裝在網絡路由器上，差不多所有的商業(yè)運用的路由器又有相應的包過濾的功能。優(yōu)點是：成本較低，實用不繁瑣，能以最小的投入獲取最大的效益，確保了一定程度上系統(tǒng)的安全。第二：包過濾技術是網絡應用層的安全性技術，它只能在該范圍內發(fā)揮作用，一旦涉及到通過網絡高協(xié)議層的信息的保護和理解等問題時，他將難以勝任安全防護的任務。包過濾技術不斷進行自身技術的提高，狀態(tài)監(jiān)測型防火墻就是很好的體現(xiàn)。狀態(tài)監(jiān)測型防火墻分析各層的網絡通信、提取一些通信信息和相關狀態(tài)信息、存貯或者革新狀態(tài)信息及上下文信息，為的就是能夠讓累積數(shù)據滿足于下一個的通信檢查。2）網關服務器的相關情況 網關服務器也是一種防火墻，適用于特定的因特網服務（HTTP/FTP） ，它的物理位置位于 OSI 相關的七層協(xié)議的應用層，在該層上，它由所要求的應用過濾一些訪問問題。3）代理服務器的有關介紹代理服務器由服務器端、客戶端程序組成，它是一種專門的服務器程序，運行在防火墻的主機上，它采用的技術主要是應用協(xié)議的代理服務。代理服務器方式下，內外網絡是不能直接通訊的。首先，它得把相關的請求轉化為實際的服務內容，并保證安全有效，這樣，內部的網絡計算機可以限制對外部計算機的訪問情況，屏蔽被保護的網絡的內部結構，加強網絡的安全性能，同樣，數(shù)據流的有效監(jiān)制、詳細記錄、完整過濾、合理審計等也適用于代理服務器。第二：代理的不透明性，妨礙了用戶訪問因特網的知情權，相關客戶的軟件系統(tǒng)在內部計算的訪問中直接被屏蔽。代理服務器的工作原理圖示：9 / 60圖 22 工作原理圖示4）其它類型的一些防火墻技術防火墻技術類型眾多，其中，屏蔽主機的防火墻、雙宿主機的防火墻、屏蔽子網的防火墻等是通過復合包過濾技術、網關服務器技術、代理服務器技術的“綜合型防火墻” ，這些防火墻技術更加有利于網絡安全的保障和運行方式大的靈活多樣。（二）對人為的攻擊手足無措，造成安全隱患。（四）由于網絡的應用不斷在更新，因此傳統(tǒng)的防火墻技術很難跟得上，比如當下比較常用的視頻會議和電子政務，它們基于 Web 技術，訪問規(guī)則較為復雜。 加密組織信息采用的是硬、軟件的方法，即通過加密鑰匙、函數(shù)把一個信息進行轉換，而接收方得到的密文通常是沒有什么意義的，但是他們還是用一些解密函及相關的解密鑰匙的途徑將密文最終變成了明文。共享的、公開的密鑰加密是加密技術的主要形10 / 60式，在具體的技術操作中，密碼的算法想要使加密信息和解密信息成為可能，最佳的選擇便是密鑰，密碼的算法中，在保證加密信息安全的前提下，密鑰的長度成為決定加密強度的關鍵因素。1）共享的密鑰加密技術 共享密鑰加密（對稱密鑰加密）是一種較為古老的密碼體制，它加密數(shù)據、解密數(shù)據都是采用相同的一個密鑰，IDEA、DES 是共享密鑰加密最常見的計算方法?，F(xiàn)具體將管理困難的情況舉例說明?，F(xiàn)今國際上以共享密鑰加密系統(tǒng)的密鑰長度的 128 比特為標準，來實現(xiàn)加密系統(tǒng)有效保護信息的功能。2）公開的密鑰加密技術公開密鑰加密(不對稱密鑰加密)系統(tǒng)中，公開密鑰和秘密密鑰是用戶使用的兩個密鑰，信息的加密和解密都是利用發(fā)方的密鑰，加密是發(fā)方運用接收方的公開密鑰來實現(xiàn)的，而解密是接收方自己通過密鑰解密來實現(xiàn)的，且它的解密過程是難以逆轉的，只有靠秘密密鑰，解密中的方法主要有 RSA 等。 公開密鑰技術的用戶在密鑰的發(fā)布方面和管理上具有高度的透明性，同時又很好地屏蔽了私有密鑰的有關情況，該技術同樣還可以用來進行身份的認證和數(shù)字的簽名。此外，PKI 技術的采用將確保非隱蔽性密鑰的高度的真實性。它的局限性跟我們前面提到的共享密鑰系統(tǒng)一樣，也受進出口的限制，從國外進口來的密鑰長度遠遠小于 1024 比特，以 512 比特的長度怎么能發(fā)揮出瀏覽器和服務器等的優(yōu)勢，以其滿足相關的一些安全需要呢？在我們生活的電子世界中，簽名已不再局限于手寫形式了，它可以在一定程度上用數(shù)字簽名替換手寫簽名。圖示如下：圖 24 數(shù)字簽名的具體流程 相關的步驟是：報文雙方通過具體算法，約定成一個較為固定的報文摘寫數(shù)值，這樣，假若報文的某一方未經另一方的同意，私自改動位置，新的摘要數(shù)值就會不符合原先的摘值。發(fā)送方傳遞報文的摘值時用的是私人的密鑰加密方式，接受者將一起收到密文和原報文，從而出現(xiàn)數(shù)字簽名。 數(shù)字簽名優(yōu)于手寫簽名，表現(xiàn)在：數(shù)字簽名緊扣報文內容及擁有者的秘密密鑰，具有不可復制性和難以篡改性。 針對以上困境，第三方的認證法被提了出來。如圖 25 所示:圖 25 PKI 系統(tǒng)的詳細實施方案 數(shù)字證書（身份、角色證書等）的類型多種多樣，比較常見的有以 為準則的身份證書（如 SET、SMIME、SSL 協(xié)議等） ，版本 版本 2 和版本 3 是 的三種常見版本，廣為推崇的是版本 3[12]。其功能為： 證實性：該服務根據證書的不同綁定