【正文】 無策 。 電子政務信息安全是一個涉及環(huán)境 、 設備 、 技術 、 人員 、管理等多方面的復雜系統(tǒng)工程 ， 在其各個安全環(huán)節(jié)中 ，安全管理是核心 ， 安全技術為安全管理服務 ， 是實施安全管理的工具與保障 。 電子政務安全目標由以下幾個方面構(gòu)成： 是電子政務系統(tǒng)的首要信息安全目標。通常，完整性目標是電子政務系統(tǒng)除了可用性目標之外最重要的信息安全目標。在信息安全的重要程度排序中僅次于可用性目標和完整性目標。通常，可記賬性目標是政府部門的一種策略需求。 （可控性） 保障性是電子政務系統(tǒng)信息安全的信任基。 = 第一節(jié) 電子政務信息安全需求與策略 ⒉ 電子政務信息安全建設原則 電子政務信息安全建設必須遵照以下原則： ⑴ 安全分級原則 。 ⑵ 同步性原則 。 ⑶ 多重防護原則 。 ⑷合法性原則。 = 第一節(jié) 電子政務信息安全需求與策略 政府需要在電子政務安全策略實施過程中做好以下工作： ⑴建設可靠的安全保障體系。其內(nèi)容應包括：安全管理策略規(guī)范、物理安全建設規(guī)范、網(wǎng)絡安全規(guī)范、信息安全規(guī)范、數(shù)字證書管理規(guī)范、應用系統(tǒng)安全規(guī)范、系統(tǒng)管理規(guī)范、應急系統(tǒng)構(gòu)建規(guī)范等內(nèi)容。 電子政務安全建設非常重要 ， 必須本著安全與應用并行的原則 ， 將安全體系建設納入電子政務總體建設規(guī)劃中進行統(tǒng)一安排 、 統(tǒng)籌考慮 ， 不能過分強調(diào)各部門或業(yè)務的獨立性 。 在電子政務系統(tǒng)建設中 ， 必須考慮完善的信息安全機制 ， 保證滿足信息安全的基本需求 ， 確保用戶身份安全認證 、 信息安全處理 、 安全存儲和安全傳輸 。根據(jù)安全策略要求，選擇確定國家權(quán)威部門檢測通過的產(chǎn)品，在滿足需要的前提下，優(yōu)先選擇國產(chǎn)產(chǎn)品，以減少安全隱患。 = 第一節(jié) 電子政務信息安全需求與策略 ㈡ 電子政務信息安全策略選擇 ⒈ 針對電子政務信息安全基本需求的策略 ⑴ 使用訪問控制機制，阻止非授權(quán)用戶進入網(wǎng)絡，即 “ 進不來 ” ，從而保證網(wǎng)絡系統(tǒng)的可用性。 ⑶ 使用加密機制，確保信息不暴露給未授權(quán)的實體或進程，即未授權(quán)者 “ 看不懂 ” ，從而實現(xiàn)信息的保密性。 ⑸ 使用審計、監(jiān)控、跟蹤、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者 “ 走不脫 ” ，并進一步對出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實現(xiàn)信息安全的可審查性。 ⑴ 物理安全 。 第二 ， 設備安全 。 對主機房和重要信息的存儲、收發(fā)部門進行必要的安全保護設計，如構(gòu)建屏蔽室，采用輻射干擾機，防止電磁輻射泄漏機密信息等措施，以防范或減少可能遭受的安全風險。 ⑶ 網(wǎng)絡安全 網(wǎng)絡安全是指通過網(wǎng)絡安全檢測、網(wǎng)絡監(jiān)控與入侵防范等手段，防止非法用戶穿過系統(tǒng)的訪問控制進行特權(quán)數(shù)據(jù)的讀取或?qū)ο到y(tǒng)進行破壞。 VPN技術 （ Virtual Private Network） ? 專網(wǎng)所需的端到端的物理鏈路。 為避免在核心技術方面受制于人 ， 保證信息安全 ， 政府必須重視具有民族自主知識產(chǎn)權(quán)的信息安全技術和產(chǎn)品的研發(fā)和應用 ， 逐步從關鍵產(chǎn)品開始替代國外產(chǎn)品 ， 尤其在重要領域及要害部門更要如此 。 = 第一節(jié) 電子政務信息安全需求與策略 ⑸ 應用安全 應用安全是指為保障應用系統(tǒng)功能的安全實現(xiàn)，提供包括風險分析、權(quán)限管理、訪問控制、審計跟蹤、備份與恢復等在內(nèi)的一系列安全措施，來保護信息處理過程的安全。 每一項與安全有關的活動，都必須有兩人或多人在場。 —— 在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情，除非系統(tǒng)主管領導批準。 在此基礎上，制定包括機房管理、網(wǎng)絡管理、系統(tǒng)管理、設備管理、信息管理、應急處理、人員管理、技術資料管理等有關信息系統(tǒng)建設的規(guī)范。 它是 對系統(tǒng)安全實施有效監(jiān)控的重要手段 。 安全審計還能通過對安全事件的不斷收集 、 積累和分析 ， 有選擇性地對其中的某些站點或用戶進行審計跟蹤 ， 以便為追查已經(jīng)發(fā)現(xiàn)的或可能產(chǎn)生的破壞性行為提供有力的證據(jù) 。總之，在整個安全體系中，安全管理策略與安全技術密不可分，只有將兩者有機結(jié)合，融為一體，才能有效地保證電子政務信息的安全。 這種安全體系應該包括風險評估 、 策略制定 、 技術實現(xiàn) 、 制度建立 、 流程保障 、 人員培訓等一系列內(nèi)容 。 ⒈制定安全體系的總體目標； ⒉在各個層次上可能的安全威脅有哪些，如何分類； ⒊網(wǎng)絡訪問是否可控制，對惡意入侵是否跟蹤和記錄，網(wǎng)絡存在哪些安全漏洞，系統(tǒng)資源的安全訪問策略； ⒋網(wǎng)絡中存在哪些應用系統(tǒng)，涉及到哪些用戶，用戶的操作行為是否可控、可跟蹤，用戶身份是否真實、可靠； ⒌信息包括哪些類別，操作權(quán)限如何劃分； ⒍哪些信息傳輸、存儲需要進行加密，哪些操作需要簽名； ⒎全局性的、局部的病毒防御策略； ⒏網(wǎng)絡出現(xiàn)安全問題時的應急措施。 ACT安全顧問服務K IL L 系列安全產(chǎn)品eT ru st 系列安全產(chǎn)品安全運維服務制訂安全策略風險評估確定控制措施邊界安全控制效果檢查反饋事件處理分析糾正預防措施反饋結(jié)果分析確定業(yè)務目標管理控制實施網(wǎng)絡安全控制終端安全和管理服務器安全控制現(xiàn)有控制加固綜合風險處理信息安全保障體系建設方法論 = 第二節(jié) 電子政務信息安全整體解決方案 ? 電子政務整體解決方案 設計必須遵循以下原則： ⒈ 符合國際標準 ⒉ 根據(jù)應用的實際需求進行多層結(jié)構(gòu)的架構(gòu) ， 采用先進的開發(fā)技術 ⒊ 提供較為全面的業(yè)務功能 ， 增強系統(tǒng)的實用性和針對性 ⒋ 提供基于局域網(wǎng)的產(chǎn)品解決方案和基于 Inter廣域網(wǎng)的產(chǎn)品解決方案 ⒌ 權(quán)限嚴密 ⒍ 穩(wěn)定性強 ⒎ 集成度高 ⒏ 系統(tǒng)性好 ⒐ 安全可靠性原則 ⒑ 實用性原則 ⒒統(tǒng)一規(guī)劃，分布實施原則 = 第二節(jié) 電子政務信息安全整體解決方案 ? ㈡ 電子政務信息安全整體解決方案內(nèi)容 ? 按照涉及角色和政務類型的不同，可分解為： ：關注不同的政府部門或是上下級政府之間的政務活動 ， 一般會包括數(shù)據(jù)傳輸系統(tǒng) 、 公文傳輸系統(tǒng) 、 協(xié)調(diào)辦公系統(tǒng)等解決方案 。 內(nèi)網(wǎng)辦公系統(tǒng) 、 決策支持系統(tǒng)是該部分解決方案的重要組成部分 。 ：解決政府和個人間的政務電子化問題 ， 包括個人車輛登記 、 罰款認繳 、 護照辦理等事物 ， 涉及到個人報稅系統(tǒng) 、 行政收費系統(tǒng)等 。這樣一來，網(wǎng)絡黑客便無法進入內(nèi)網(wǎng)。 ? 邏輯隔離 ： 是指兩個網(wǎng)絡之間通過專用的計算機設備連接，這個計算機通過執(zhí)行一定的安全策略，從而控制兩個網(wǎng)絡之間信息包的流入和流出。 內(nèi)網(wǎng) 隔離器 外網(wǎng) = 第二節(jié) 電子政務信息安全整體解決方案 ㈡ 電子政務信息安全整體解決方案內(nèi)容 ? 按照網(wǎng)絡構(gòu)成類型的不同，又可分解為： 政務內(nèi)網(wǎng)安全解決方案 政務外網(wǎng)安全解決方案 內(nèi)網(wǎng) 防火墻 外網(wǎng) 服務器 工作站 工作站 社會管理 與服務 部委 局域網(wǎng) 政府 專網(wǎng) 物理隔離 邏輯隔離 因 特 網(wǎng) 邏輯隔離 47個地 方政府 內(nèi)外網(wǎng)的結(jié)構(gòu)：整合統(tǒng)一的電子政務網(wǎng)絡 政 務 外 網(wǎng)邏輯隔離I N T E R N E T企 業(yè)政 務 內(nèi) 網(wǎng)物理隔離公 眾電子政務中的內(nèi)外網(wǎng)隔離 電子政務外網(wǎng) 統(tǒng)一的基礎傳輸平臺 省委辦公廳 省直委辦廳局（上述機構(gòu)的下屬職能部門） 省法院 省檢察院 省政府辦公廳 省政協(xié) 省人大 廣域政務外網(wǎng) 省委其他部門 省委統(tǒng)戰(zhàn)部 省委宣傳部 省委組織部 省電子政務網(wǎng)絡管理中心 XX地州市電子政務網(wǎng)管中心 XX地州市電子政務網(wǎng)管中心 XX縣電子政務網(wǎng)管中心 XX區(qū)電子政務網(wǎng)管中心 XX縣電子政務網(wǎng)管中心 XX區(qū)電子政務網(wǎng)管中心 云南省電子政務外網(wǎng)規(guī)劃示意圖 = 第二節(jié) 電子政務信息安全整體解決方案 ? 電子政務信息安全整體解決方案內(nèi)容 ⒈ 政務內(nèi)網(wǎng)安全 內(nèi)網(wǎng)安全集中表現(xiàn)在應用系統(tǒng)的安全和數(shù)據(jù)信息的安全上 。 通過身份認證系統(tǒng)來解決 。 通過權(quán)限管理來解決 。 通過數(shù)據(jù)加密來解決 。 電子政務信息一般存放在數(shù)據(jù)庫或文件系統(tǒng)中 ， 通過應用系統(tǒng)進行操作 。 ⑶ 病毒對政務內(nèi)網(wǎng)的應用系統(tǒng)和數(shù)據(jù)的安全隱患 。 = 第二節(jié) 電子政務信息安全整體解決方案 針對上述三點原因，電子政務內(nèi)網(wǎng)采用的安全手段有訪問控制、應用系統(tǒng)安全保證和防病毒三種。 此外，內(nèi)網(wǎng)的安全管理包括機房的安全制度、服務器的安全審計制度、訪問控制策略和網(wǎng)絡服務器安全控制等。 ⑴ 探測式攻擊實際上是信息采集活動 ， 黑客通過這種攻擊搜集網(wǎng)絡數(shù)據(jù) ， 用于以后進一步攻擊網(wǎng)絡 。 ⑵ 訪問攻擊用于發(fā)現(xiàn)身份認證服務 、 文件傳輸協(xié)議 （ FTP）功能等網(wǎng)絡領域的漏洞 ， 以訪問電子郵件帳號 、 數(shù)據(jù)庫和其他保密信息 。 它們的實現(xiàn)方法通常是：向某個連接到專網(wǎng)或者Inter的設備發(fā)送大量的雜亂的或者無法控制的數(shù)據(jù) ， 從而讓正常的訪問無法到達該主機 。 外部網(wǎng)絡安全 外部網(wǎng)絡 INTERNET 入侵檢測 防病毒 …… 訪問控制 訪問控制 防病毒 漏洞掃描 網(wǎng)站服務器 主機審查 外部網(wǎng)絡安全 文件監(jiān)控 網(wǎng)站網(wǎng)頁的監(jiān)控 自動監(jiān)控 JITKeeper可按照用戶規(guī)定的掃描策略自動檢測所監(jiān)控文件系統(tǒng)（主要指 Web服務器）。 自動恢復 JITKeeper自動恢復監(jiān)控目錄下文件或目錄的非法創(chuàng)建、刪除與修改，而無需人工干預。 ? 檢測系統(tǒng)配置的正確性和安全漏洞 ， 并提示管理員修補漏洞 。 ? 檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性 。 外部網(wǎng)絡安全 入侵檢測 IDS（ Intrusion Detection System ） ? 入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。 專業(yè)郵件安全網(wǎng)關 外部網(wǎng)絡安全 防病毒 外部網(wǎng)絡 ：提供對所有桌面客戶 機的多平臺保護 。 ：在網(wǎng)關上鎖住病毒和 有敵意的 Java、 ActiveX程序 。 具體地說 ， 主體可能包括網(wǎng)絡用戶 、 用戶組 、 終端 、 主機或者應用程序等等對網(wǎng)絡資源進行訪問的實體 。 訪問控制就是要在這些主體和客體之間建立可否訪問 、 可以如何訪問的關系 ， 將絕大多數(shù)攻擊阻止在到達攻擊目標之前 。主要是物理通路的損壞、物理通路的竊聽、對物理通路的攻擊（干擾等）。 ? 網(wǎng)絡層的安全是非法用戶與非授權(quán)的客戶的非法使用，而造成網(wǎng)絡路由錯誤，信息被攔截或監(jiān)聽。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞，如 unix服務器、 NT服務器及 Windows桌面 PC。 ? 應用平臺安全是人們沒有太重視的部分。 ? 應用系統(tǒng)做為直接面向最終用戶的層面，其安全問題最多，包括規(guī)范化操作、合法性使用、系統(tǒng)本身安全漏洞、信息泄露、信息篡改、信息抵賴、信息假冒等等。對于小型數(shù)據(jù)庫系統(tǒng)或單機應用環(huán)境，可以選擇 Visual Fox Pro或 Microsoft Access數(shù)據(jù)庫；對于中等規(guī)模的數(shù)據(jù)庫系統(tǒng)，可以選擇 Microsoft SQL Server或 Sysbase、 Mysql等；對于大型數(shù)據(jù)庫系統(tǒng) Oracle數(shù)據(jù)庫為首選。 DB 數(shù)據(jù)庫 技術 從技術層面分析 防病毒軟件的選擇 ? Norton ? 著名的金山軟件公司的金山毒霸 ? 瑞星電腦科技開發(fā)有限責任公司的瑞星殺毒 防火墻的選擇 ? 東軟 NETEYE ? 億陽 網(wǎng)警 ? 天網(wǎng) ? 天融信 ? 東方龍馬 從技術層面分析 應用系統(tǒng)安全 采用以 CA認證中心系統(tǒng)為核心的 PKI體系，實現(xiàn)： ? 身份識別 ? 數(shù)據(jù)信息的保密 ? 數(shù)據(jù)信息的完整 ? 數(shù)據(jù)信息的真實 ? 不可抵賴（不可否認） 系統(tǒng)結(jié)構(gòu) I n t e r n e t邊 界 訪 問 控 制 系 統(tǒng)公 共 信 息 網(wǎng)入 侵 檢 測 系 統(tǒng)物 理 隔 離內(nèi) 部 辦 公 網(wǎng)邊 界 訪 問 控 制VPN防 病 毒 系 統(tǒng)應 用 安 全 子 系 統(tǒng)相 關 企 業(yè) 專網(wǎng)網(wǎng)絡安全防護體系 網(wǎng)絡安全防護體系構(gòu)架 網(wǎng)絡安全評估 安全防護 網(wǎng)絡安全服務 系統(tǒng)漏洞掃描 網(wǎng)絡管理評估 病毒防護體系 網(wǎng)絡監(jiān)控 數(shù)據(jù)保密 網(wǎng)絡訪問控制 應急服務體系 安全技術培訓 數(shù)據(jù)恢復 從管理層面分析 ? 管理組織不完善：由于網(wǎng)絡安全是一個相對較新的問題，絕大多數(shù)單位由于各種原因并沒有一個實際的安全管理組織。 ? 管理規(guī)