我国电子政务信息安全与防范分析

精选优质文档-----倾情为你奉上精选优质文档-----倾情为你奉上专心---专注---专业专心---专注---专业精选优质文档-----倾情为你奉上专心---专注---专业我国电子政务信息安全与防范体系分析姓名：班级：学号：摘要：进入信息时代，电子政务已成为各国主流，信息安全尤为重要。目前我国电子政务取得巨大发展，但在信息安全这一方面存在许多不足。本文首先了解电子政务信息安全相关知识，之后在此基础上分析电子政务信息安全面临的问题，最后建立电子政务信息安全防范体系。关键词：电子政务，信息安全，防范，1引言随着信息社会的快速发展，政府信息化的作用越来越凸显，电子政务成为实现政府信息化的重要方式。高效、公开、透明成为政务的前进方向，电子政务也成为各国普遍方式。电子政务信息安全与否,关系到国家政治、军事等重要情报,一旦重要秘密被泄漏、被窃取,抑或服务被中断,就会影响国家的整体形象,给国家外交带来被动,甚至带来不可弥补的损失。随着信息技术应用不断扩大和延伸,信息安全事件越来越多,影响越来越大。在国家发展的同时,研究电子政务信息安全尤显重要。1.1国外发展美国的电子政务系统最开始是由克林顿于1993年提出实施的,其发展速度比较快,开展的也比较成功,在各个领域迅速发展起来,使美国成为全世界电子政务建设的模板。美国采取电子政务的阶段实施策略,在这个过程中,从简单到复杂逐渐演变:第一阶段是雏形阶段,主要是在政务系统中提供一般的服务,从事简单审批事项,不是很复杂;第二阶段开始建立公共可浏览的网址,处理比较繁琐的事务,政府开展转型;第三阶段是组构电子政务集成系统和技术体系,建立政府处理系统;第四个阶段有互动功能,政府间、政府和企业,政府和公民间互动沟通和服务。美国电子政务的发展有以下几个特点:第一,许多网站和政府事务;第二,政府有专门电子政务部门负责对电子政务网络进行管理运维;第三,政府具有便捷的服务体系,快捷响应请求;四是电子政务信息安全意识强烈,专注于信息安全管理和保护。1999年加拿大政府于正式颁布政府在线,类似于现在的电子政务,并且于之后几年内实现所有政府信息和服务的网上办公,加拿大在电子政务内网的设计上取得了显著的成效。加拿大电子政务发展的基本特征:第一,政府执行应用程序的角色,加拿大政府掌舵人亲自关注电子政务建设;第二,基础设施建设非常迅速和完整;第三。以用户为中心,以企业和国际客户的反馈满意度的宗旨,持续改进和发展。新加坡是进行政府信息公幵最古老的国度,也是电子政务建设进程中迅速发展的一个国家。20年前,在1987年开始发展政府计算机计划,建设电子政务网络是重要的组成之一,新加坡还推出了一系列国家科技计划,科技的应用和重构使政府机构办事高效、反映快捷,为所有类型的用户提供优质的、可反馈的综合性服务[1]。1.2国内发展我国电子政务建设经历了一个高速发展期，从中央到地方，各级政府部门都投入了大量的人力和财力来推进区域和部门的信息化工作。电子政务网络、门户网站、办公自动化系统、审批系统、公共服务系统、核心业务处理系统、信息资源系统、数据交换系统等电子政务系统都相继建成并投入使用，较大程度地提高了政府信息公开、公共服务、行政审批、内部办公、公共资源管理、核心业务处理等效率、服务能力和服务质量。很多政府部门已经基本离不开信息系统的支持了，一旦系统出了问题，很多业务都要停顿，政府各项业务已经对信息系统产生了强烈的依赖性[2]。同时,信息的载体模式也迅速发展,如微博、微信、facebook、QQ等,电子政务网络作为政府适用的主要网络,安全和保密问题成为突出问题之一,不经意间涉密信息就可能被泄漏、窃取。在这种情况下,电子政务的信息安全问题就迫在眉睫,很多政府机关仍在使用原始的网络隔离卡、网闹等手段防止信息的非授权获取,电子政务网络与公共信息网络没有物理隔离,给病毒入侵和黑客攻击等非法手段提供了便利的渠道,这种原始的手段很容易被攻破,电子政务信息安全无法保障。一旦不适于对外披露的政府信息、军事信息、经济信息、社会信息等扩散,对社会活动、国家稳定都会造成深厚的影响,为防止这种现象发生,电子政务系统的安全才是应该得到重视的地方[1]。2电子政务基本概念电子政务是指，政府机构通过应用信息网络技术，提高政府事务处理的信息流效率，对政府机构和职能进行优化，以改善政府组织和公共管理能力。也就是说，电子政务是使用信息通信技术把政府服务从人工服务向电子服务转变。电子政务信息体系内容一般包括：电子政务网络平台、政府门户网站、电子政务主站点、公文交换和信息报送系统、办公自动化系统、电子邮件系统等。电子政务信息安全是指政务数据信息在覆盖文件生命周期全过程中受到窃取、篡改等，电子政务信息安全涵盖了信息环境、信息网络和通信基础设施、信息应用等多个方面的安全需要，包括信息不受威胁和信息系统、信息数据、信息内容的安全等；是指在一定范围内的社会环境下和既定的密级条件下，由信息系统、网络技术与国家安全因素的相关性所构成的国家安全的一种态势，这种态势描述了以信息手段维护国家综合安全不遭受来自网络的恶意行为威胁信息安全的能力[3]。电子政务安全涉及很多领域,是国家安全的重要组成部分,电子政务安全体现在下面几个地方:①真实性,即使用者身份和处理信息是真实的;②不可改变性,即信息不可破坏,在传递和存储中不会出现未被授权的改变;③权限性,即用户身份不同对信息资源访问权限不同;④保密性,即信息不会被非授权访问,包括存储保密性和传输保密性;⑤抗抵赖,即有保密责任机制,违规操作可记录并承担相应责任[4]。2.1电子政务安全及决定因素电子政务信息安全决定因素都是利用了管理和技术上的安全漏洞,可分为内部因素和外部因素,内部因素是指人有目的、有规划的攻击和破坏电子政务信息网络,这类因素主要包括恶意和过失两种,恶意安全威胁是指出于某种目的主动对电子政务信息网络进行破坏和攻击,其表现形式包括网络攻击、涉密信息窃取、病毒入侵、间谍潜入等。过失安全威胁主要是由于授权用户缺乏经验、培训不到位、操作失误等原因无意操作造成了对电子政务系统的破坏;外部因素是指面向外部用户的电子政务系统受到的安全威胁,例如政府门户网站等,这些服务是对外的、面向外部的,存在比内部网络更大的破坏和攻击的威胁,也包括物理因素制约和技术壁垒两方面内容,例如不可抗的天气、存在安全漏洞的技术防护手段[5][6]。外部因素如下图2.1所示：外部因素管理不善电子政务内部攻击内外勾结电子政务操作失误系统缺陷黑客攻击自然灾害病毒入侵信息战争故障与后门间谍窃听内部因素恐怖袭击内部因素图2.1电子政务信息安全决定因素示意图2.2电子政务中的信息安全相关理论与技术方法为构建电子政务信息安全体系,常用的信息安全相关理论和技术方法有数据加密技术、认证技术与数字签名、等级保护方法、入侵检测安全技术、安全域划分、虚拟专网、防火墙技术等[1][4][7][8]。数据加密技术是将信息经过密钥以及特定函数转变为无意义的信息,即由明文转变为密文,称为加密,而将其逆向的过程称为解密。数据加密技术是指一个特定的数字安全技术,信息被数据加密工具(加密密销)转换成无意义的密文,收件人收到看似无意义信息,通过解密,得到需要的信息,在现代信息的社会,情报间谋千方百计的想获取有益的情报信息,这个过程有效防止了敏感信息的意外被获取。身份认证技术是电子政务安全的第一道防线,是防止非授权用户或者进程进入计算机和电子政务系统的有效安全保障措施。目前用来认证用户身份的方法有两种:(1)弱识别。采用稳定不变静态口令或静态口令驱动身份认证。(2)强识别。通过向用户确认用户了解的某秘密信息进行认证。数字签名中使用签名数据、指纹获取授权者的识别信息,通过外部和内部的管理解决信息安全问题,鉴别身份时,单一数字签名的方法不能识别信息,只有数字签名和授权者的识别信息一起才能完成授权。信息安全的等级保护是指处理敏感信息的信息系统是想信息安全等级保护和等级化管理,等级保护的核心是对信息系统和业务系统的信息安全进行分级,按照相应的标准进行建设、运行、维护和管理、监督。根据信息系统在国家安全、社会稳定、公共利益等方面的重要程度和实际需求,信息系统破坏后对国家安全、社会稳定、公共利益以及公民、组织利益的危害程度分为五个等级:第一级,自主保护级々信息系统受到破坏后,会对公民、组织利益造成危害,但不损害国家安全、社会稳定和公共利益。第二级,系统审计保护级。信息系统受到破坏后,会对公民、组织利益造成严重危害,或对社会稳定和公共利益造成损害,但不损害国家安全。第三级,安全标记保护级。信息系统受到破坏后,会对社会利益、公共利益造成严重危害,或者对国家利益造成损害。第四级,结构化保护级。信息系统受到破坏后,会对社会利益、公共利益造成特别严重的危害,或对国家安全造成严重危害。第五级,访问验证保护级。信息系统受到破坏后,会对国家安全造成特别严重的危害。入侵检测(IntrusionDetection)是通过计算机网络或者计算机系统中的若干关键点收集信息并对信息进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭受攻击的现象。入侵检测系统(IntrusionDetectionSystem,简称“IDS”)是一种新的网络行为检测系统,通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测系统的优势在于识别最新的攻击和所有操作进行实时监控和记录,然后制定战略,落实防御反应信息代码,从而防止网络入侵攻击和其他非法行为,既捕获入侵者,攻击者,又监视监控,同时也搜集数据,延缓入侵者的非法操作,这也是防御控制,以限制非授权入侵,不仅可以减少假性诱骗和传统的入侵检测系统错误,同时也预测识别未知攻击,并采取行动对付攻击者适当的反击策略,这将大大提高抗风险检测能力,有效的防止蜜罐原理(黑客诱骗原理),识别诱捕攻击者的陷讲,监视和记录系统操作。安全域是由一系列相互信任,具有相同的信息安全需求的终端或系统等组成的逻辑网络区域,为达到安全目的,安全域基于信息安全标准,从系统信息安全的角度划分,以保证基本安全水平,按照信息系统安全信息管理、服务信息系统的差异化需求将电子政务网络划分为多个安全域,即使用使用交换机或者网络结构划分为不同的子网或VLAN,并对不同的子网或VLAN进行安全策略设置,防止不同安全域之间的非授权互访。虚拟专网(‘VirtualPrivateNetwork’简称“VPN”)是在无保障公用网络上建立专用网络,通过隧道技术和虚电路技术实现物理互连,通过加密网络数据包在无保障公用网络上实现信息传输,以确保专用网络信息安全,它使用公共网络来构建一个专业的安全网络。软件和硬件设备构成防火墙,它构建在不同网络或者不同安全域之间,其目的是为了防止外部用户非授权访问内部网络,并可以通过内部网络、外部网络及专用网络阻止不安全的外部因素,在逻辑上构造一个保护屏障,介于公共网络和内部网络之间,并作为接口。如图2.2所示互联网防火墙图2.2防火墙示意图电子政务信息安全在电子政务信息安全管理过程中,电子政务网络的安全风险研究和风险评估显得十分重要,如果对安全风险预估不足,必定会导致政务网络崩溃,影响正常政务运行,带来严重后果。电子政务网络已经广泛的应用于政府的日常管理和信息发布,电子政务网络应用是一个大数据的处理过程。当前,国家之间交流广泛、自由,加大了电子政务网络信息安全防护的困难程度,人们已经离不开网络,互联网用户也在成指数级别的增多,更加增多了防护的难度,还存在计算机病毒问题,一旦感染一台网内机器,必定会引起整个网络的病毒蔓延,甚至造成系统的瘫疾,无法正常服务[9][10][11]{12]。物理层是整个网络的基础。如果它存在网络安全隐患,网络系统便会导致瘫痪。物理安全风险,包括装备被盗、老化、损坏或过载,在物理层安全前提的基础上,整个网络的物理安全性就高,就不会意外设备故障,设备故障后存在电子信息披露或电磁辐射泄漏更多的安全隐患。链路层安全是要抵御攻击,防止盗窃政府内部网络信息和破坏,链路层损坏也给窃听设备上线创造了机会,难以阻止用户重要信息被窃取的风险,严重威胁到所有网络的安全性。因此它是重要的电子政务信息传输保证,在链路的数据传输必须使用加密算法处理,达到网上传输信息真实不可篡改和获取。在网络层中，网络基础设施存在安全隐患，网络基础设施的健康度决定了电子政务系统是否正常运行。在网内,数据传输风险很大,如果不能实现加密传输,窃听栏截的可能性增大,无法防止内部泄漏。当然也可以通过数据传输获取登录密码和敏感信息等,导致泄漏信息的隐患。终端数据库也有风险，如果完全依赖于加密数据库、终端信息安全技术和措施达到信息安全和可靠,是无法完全抵抗各种来自网络和终端的繁杂攻击的。一旦用户窃取、篡改、伪造、删除或者中继的方式进行欺骗攻击,后果不堪设想。通过扫描网络和操作系统的安全漏洞,如网络IP地址、操作系统和应用程序,内部系统和设备很容易被攻破,罪犯或入侵者可以针对TCP端口号的弱点类型和其他重要的安全隐患,对应这些隐患漏洞采取有针对性的手段来攻破安全防护。但另一方面也有外部风险,系统必须釆取边界防护等手段,依靠防火墙阻隔于外部网络和内部网络之间,防止信息外漏,防火墙还需要过滤器掉多余的网络服务,如果网络服务有异常开起或者变更的动作,防火墙便启动阻断并报警,产生防火墙日志,方便回溯。在系统层里，虽然没有无漏洞的操作系统,但可以关闭不经常使用应用服务,针对需要使用的服务特定打开并及时关闭,并设定安全策略,只要更改这些服务状态就报警,这样一来,入侵者需要花费十足的时间去打开他需要的服务,可有效防止网络受到损害。根据需求的不同,分析网路使用人员的权限配比,以确定可信用户或系统。用户可以通过一个简单的验证请求登录应用,入侵者可以使用下面的方法很容易得到的密码字符并登录应用:不正当泄漏、直接窃取、釣鱼网站获取、黑客攻击。在应用层方面，存在着应用风险、账号风险、信息数据风险、共享风险：系统应用主要是为了方便用户,更快捷的进行工作,但是应用系统的设计并不是十全十美的,基本每个应用都有安全风险隐患和漏洞；网络安全大多数是应用验证登录信息来实现的,特定应用需要一个帐号和密码来确定访问受信，一般情况下,如果用户将自己的账户和密码存储在系统中,或登录在其他用户的终端中,网络接口又提供给了第三方,便很容易获取账户密码,电子政务信息就可能非授权访问；信息数据风险体现在用户信息没有得到信息安全技术的充分保护,用户个人安全意识薄弱,敏感数据随意发送和传递,在传递和发送过程中也没有经过信息加密和授权,这些信息在传递的过程中如果被意外获取,必将对电子政务信息安全带来影响；电子政务网络肯定是一个区域共享的网络,这样才能充分的发挥电子政务网络的作用,在使用的过程中,政务人员将需要告知的信息进行简单共享和映射,并长期处于共享状态,可供使用人员随时查阅,当电子政务内网被非授权访问后,不仅可以对本区域电子政务信息进行浏览,还可以访问共享资源,经过层层的指向,获取的敏感信息也成指数增长,给电子政务网络带来了不可弥补的后果。电子政务安全防范体系总体方法由于信息安全的防范体系标准种类很多,可以根据信息安全防范的要求对电子政务安全防范体系进行总体设计,参照各类信息安全标准规范来规范和控制电子政务信息安全。4.1安全防范体系设计准则电子政务平台是整个电子政务网络体系的基石,以计算机网络为起点,考虑到整个系统,易于扩展,升级,管理和使用。①易用性和超前性。规划电子政务需要考虑到全盘的发展,规划未来的网络扩充和改造需求,首先考虑易用性,便于政务人员的学习使用,人机交互好,操作方便,可以实时维护,其次要考虑充分利用现有的有信息资源和设备,采用先进的网络通讯技术和设备,以保证原有投资的资源不浪费和冗余的有效性。②稳定性和安全性。电子政务的稳定安全运行建构在整个系统的通力协作上,稳定和安全需要信息技术工具进行保障,方便电子政务的运维,充分考虑关键设备的维修、售后,更换和扩展冗余线路,采取必要的防护措施,准确传输,确保数据不会被篡改,并根据具体情况使用VPN,访问控制,网络隔离,边界防护,IP/MAC地址绑定,防火墙和IDS等网络安全技术确保网络的稳定安全的运行。网络稳定安全运行要求电子政务系统在一段时间甚至一个阶段的使用过程中,保持正常,发现错误及时记录,出现攻击即刻阻断,并报告日志,在电子政务系统设计中,依靠高性能的网络设备,优化设计,以保证网络的稳定性和安全性,单一的终端或系统出现问题时,能够保证其他系统正常运行。当然,电子政务系统必须具有完整的日志审计功能,将错误信息、破坏动作等实时记录,并控制整个系统的流畅运行。此外,还应设置关键设备和应用备份,以防止遭到病毒攻击网络,无法恢复之前状态,备份系统必须达到的I/O传输快、存储稳定可靠。③幵源性和规范化。系统采用的硬件和软件平台、网络协议和应用程序,应符合国际标准和商业供应协议,方便与其他终端的互联。具体来说,主要开放标准从以下几个方面:采用业界标准的网络传输协议,网络设备应支持多种商业供应协议,能够与其它先进技术进行交互,方便网络管理软件的扩容和增减。电子政务网络的整体设是一个开源的拓扑结构,使用的网络易于更新和增容,这样就可以针对政务内容的变化方便的调整和设计子网络和VLAN。电子政务网络还应具有全面的功能,以适应多变的政务需求,达到只需要进行简单的修改便可以重新投入使用。④经济性和可扩展性。必须建设能够扩展和升级的电子政务系统,研究和解决如何扩容和改造整个系统才能有利于减少资源的过投入,合理节约成本。电子政务主页的设计也应方便使用,满足需要,并充分考虑经济性和可扩展性。根据前上面的状态和需求分析,整体设计思想如下:①采用先进的交换设备,达到百兆,千兆以及更大以太网和快速以太网交换的目的。目前,电子政务网络是基于千兆以太网LAN骨干网的建设,不具有所有大数据传输的能力,以万兆传输是我们设计电子政务网络的良好愿景,但必须允许较高的扩展端口;②主流高性能交换机。招商选资,采用先进的高性能产品,如思科,华为等,可以保证长期的产品升级,扩展,服务支持和维护;③先进和适用的实际配置。尽管它会导致增加网络建设成本,但采用先进的技术和解决方案可以确保网络的性能,因此,我们必须考虑到适用性,并寻求最佳性价比的方法;④面向应用的网络。局域网应用的发展取决于的应用技术,电子政务网络的建设发展也必须满足网络的需要,要依照用户需求进行建设;⑤全面的网络安全策略。网络建设的核心是网络安全策略部属,电子政务网络中安全策略的重要性是不可是否;⑥先进的网络管理和维护。网络运行和维护在整个网络的生命周期是非常重要的,所以在网络设计时必须充分考虑未来的运行成本和网络运维工作的效率。4.2健全信息安全规章制度保障体系为了提高电子政务系统的实际使用效果,先进管理理念与超前的安全技术一样重要。为了提高这些安全措施的执行力,电子政务信息安全法律法规的发展提供了有力的法律依据,电子政务信息安全的法律保护,既是防范的指导和标准,又是办事的指南,这主要体现在:一方面是法律具有强烈的约束性,违反法律必将得到严惩,而另一方面,违法的经济处罚也相当严厉。人们生活和工作的影响极大地改变了网络和电子政务的前进方向。目前,很多都是通过网络影响到了政务的走向,如网络文化、人的行为、重大政治事件、政党变更。电子政务也需要直接的管理机构,有直接管理机构但是法律不健全,会对电子政务网络的现实产生直接的影响,[13][14][15]因此,要建构强壮的信息安全体系,可从以下几个方面完善的法律保护:①建立信息安全的法律保障科学发展观。电子政务应由法制建设提供保障,信息安全立法的直接目的是为信息技术的发展提供建设方向,并提供完善的服务。制定信息安全法律为电子政务提供安全理念,最终更正传统观念,立法回应,解决顽疾。安全和发展是水乳交融的,安全应该保障发展,发展了又需要更多的信息安全保护。因此,立法的总体目标和基本出发点是为了保护和促进电子政务网络的持续安全发展。纵观电子政务的发展,立法有利于迅速解决问题,电子政务环境标准化、法制化,也可以促进电子政务的快速发展。②建立一个全面的信息安全法律体系。信息安全在经济安全和国家安全方面是非常重要的,特别是法律层面,需要一个独立的法律制度体系保障电子政务的和谐稳定发展。信息安全法律保障体系是“依法治国”法律体系中的分支,与现行法律和信息安全相关的,仍要使用并持续保障,对于那些法律规定已不再适用于信息安全的方面,信息安全立法过程中的可以根据实际情况增减。信息安全立法的发展,最好是同时与信息安全标准的发展统一,并确保以避免重复和相互矛盾的地方。中国信息安全法律法规制度的构成是一个完整保障体系,执法是保障体系的核心。信息安全标准保障体系目的是规范信息使用双方的行为,信息安全标准具有法律的强制力,但它不具有相同的执法力量,信息安全行业各个组织扮演的角色不同,随着信息化的发展,信息安全行业共同秉持的规范需要法律确认。信息安全法律规章制度应是国家信息安全执法部门颁布的行业规范,为解决信息安全和谐发展,发展电子政务网络也并不是让过多的行政法规和部门规章约束,这样也不能快速的法阵电子政务网络。③加强信息安全法的先进性和效率。对于信息技术网络,由于相关政策和法律的飞速发展,促进提高信息安全的发展应高瞻远瞩和主动决策,而不是消极适应和停滞不前。资讯科技的发展和进步,需要制定和更新能加强信息安全政策和未来效率的法律法规。制定中国的政策和法律应该看到国际主流技术中的趋势,信息技术的特殊要求要在法律法规中给出预留空间,不符合技术要求的相关法律要进行改善和做出修订,以提高信息社会的适应能力,同时也促进信息安全法律法规的发展。④吸取世界信息安全法律经验。网络无国界,但是信息安全是有国界的,随着大数据、云计算的到来,全球化的信息安全法规标准迫在眉睫。在全球化网络需求中,中国现有的信息安全系统必须符合国际信息安全法律法规,同事在考虑兼容性的基础上制定我国法律和制度:(1)广泛釆纳国外的成功经验和学习实际立法规则,进先进的、符合中国国情立法;(2)具体法律法规标准制定问题,应积极参与国际法律法规建立,为我国立法的发展提供参考,保障我国的信息安全的根本利益;(3)保障电子政务信息安全。根据电子政务网络的属地和国界立法,其中具体的规则,也应该充分考虑利于信息和网络的正常运行的正常发展;(4)与其他先进国家合作,以保障全球网络安全,并建立密切联系与协作,共同打击网络犯罪和信息安全犯罪,保障我国信息网络的安全。⑤加强信息安全执法。信息安全执法,首先必须建立一个培训信息安全专业知识的师资队伍和熟悉信息安全法律法规的专业执法队伍,增强快速反应能力,同时建立健全执法机构,执法队伍具体履行信息安全执法行政责任。为加强信息安全执法,还应会同司法部门,来保护国家的政治和经济安全,保护每一个公民的合法权益,促进信息网络发展。4.3优化管理结构信息安全管理体系保证了电子政务信息安全系统的稳定、正常运行,同时,电子政务信息安全系统也应自适应和主动建构动态安全性来适应信息安全管理体系。信息安全管理相关人员、机构、法律法规、技术和标准等方面也应该列入构建电子政务安全防范体系的思想之中。IS0/IEC17799是信息安全管理体系标准的认证,己成为国际企业或政府建立自己的信息安全管理体系的指导标准和方向,也其实际效果是非常类似于IS09001。为了指导我们的信息安全管理和各级政府的工作,我们应该利用国际标准并针对综合国情,制定和落实相关信息安全标准:1信息安全管理建设理念在加强网络安全和网络安全管理的过程中,应制定统一的管理制度,根据实际情况,在整个网络系统中实施现有的电子政务的安全管理。信息安全管理体系在电子政务中可分为四个层次的内容,包括:统筹部署,信息安全制度建设,组织机构管理,增强人员安全意识。(1)统筹部署电子政务信息安全应避免重复建设,严格按照总体规划和统筹部署。为了确保信息安全,制定统一的安全标准和规范,并加以贯彻落实。推进电子政务的发展,以信息安全为重点,平衡效率和安全建设投入,处理电子政务安全的过程中,同时努力来修复系统和网络安全漏洞,协调信息安全和发展方面的关系。(2)信息安全制度建设电子政务管理机构建立信息安全制度和标准,建设和使用人员遵守制度和标准,在管理和维护方面充分考虑效率和便捷。要从建立合理的规章制度方面考虑,其中包括:符合电子政务应用环境中的具体应用,满足其特定的应用领域;电子政务网络应遵循和适应信息安全法律、法规标准和规范,确保电子政务网络的正常运营和管理。(3)组织机构管理电子政务网络信息安全管理机构要十分徤全和完备。由于信息安全管理的多个方面原因,异常情况下,除直接管理机构外,政府其它职能部门和各社会单位也应参与其中,建立与政府部门之间的伙伴关系,以便快速响应,并制定预防和处理措施。除了在现实条件下的责任和合作,还应明确主要部门分工,也可以依靠公安机关网络监控中心,相互协作监督政务系统使用部门,实现联动管理,快速相应。(4)增强人员安全意识实现电子政务网络安全目标和保证信息的安全性,跟使用人员提高主观上的安全意识是分不开的。加强使用和管理系统所需的安全知识培训和教育,尤其要注重信息安全安全意识的和敏感信息的保护,系统管理员、安全审计员,网络管理员和电子政务分管领导应多参加安全技术和相关的培训和教育,增强他们的主观安全意识。同时,建立了信息安全奖惩办法,评价使用人员的行为,提高信息安全职责落实的执行力。2信息安全管理的实施规范实施电子政务的信息安全管理可以通过多种方法来实现,形成过程是动态的,在整个电子政务使用周期内循环,信息安全管理实施的全过程包括:(1)政务系统风险自评估。风险评估的对象可以从政务信息运行各个方面选定,风险自评估的结果可以有效的确定电子政务信息系统的薄弱环节和隐患漏洞。利用有效的自评估制度和适当的措施,在系统全面风险自评估后,可以及时发现安全漏洞和潜在的威胁,同时评估所面对的系统安全风险,有利于电子政务系统的不断改进;(2)策略制定和实施。在风险自评估的基础上的修改和不断完善信息安全策略。首先,确定风险管理策略是为了降低风险、避免风险、转移风险和接受风险,并明确的选择信息安全策略和控制风险目标。针对信息安全风险可以实施风险管理和策略再评估,包括其内容的划分和电子政务安全域的安全级别,更新安全策略水平并建立符合实际情况的新安全策略,同时与信息安全的制度和规章协同处理突发情况和事件;(3)制定标准。电子政务安全标准的制定,为产品的设计和系统的开发提供了参考,有助于节省政府的人力、财力、物力,电子政务系统建立后,实行电子政务信息安全认证和安全测评是安全标准落实的主要途径;(4)安全行为审计。在电子政务系统的运行过程中,我们必须实施安全行为审计。安全审计包括第三方审计和自审计,第三方审计是指为保证安全标准,依据国家制定的相关政策,服从国家电子政务信息安全管理部门的定期安全行为审计;自审计是指系统运维部门根据信息系统本身的硬件和软件,记录相关资料和验证纠偏,对安全策略和防范措施定期自评估,以确保电子政务系统符合信息技术和战略信息系统的发展动态;(5)应急和响应。应急响应主要是针对发生电子政务系统异常事件,必须建立安全事故应急预案,它的作用是自我评估、控制风险,一方面,采取有效措施,确保事故发生时的损害降到最低程度,另一方面是事后处理减少安全薄弱点;(6)信息安全培训。安全培训是非常重要的,可以加强人员的电子政务信息安全意识,提高技能和安全防范综合知识。作为一个基础性工作,信息安全管理培训的内容应包括电子政务的法律、法规和政策的执行、电子政务使用和操作规程及业务流程。信息安全管理的核心在于人的管理,所以政务人员,系统管理员、审计员和主管信息安全领导更应加强信息安全培训。4.4健全预警与自评估防护体系电子政务信息安全预警和自评估使电子政务信息系统具有自我防护和纠偏能力,预警和自评估的完善程度决定了电子政务信息系统的稳定与否。1完善预警探测系统预警探测系统是电子政务信息安全防御的前沿,能发现潜在的安全威胁,及时有效地消除安全隐患,以帮助管理者提前预防,并提前做好准备工作,保障电子政务的信息安全。预警探测系统,具体包括漏洞扫描,入侵检测,非法外联和接入认证。(1)漏洞扫描电子政务信息网络部署漏洞检测系统可以帮助系统运营部门发现操作系统的安全漏洞,并及时补救。(2)入侵检测入侵检测是常用的技术,用来提高网络安全的综合水准,入侵检测系统作为主要技术手段,可以在发生网络安全事件时预警,并对整体健康状况采取保护措施,及时调整,以提高实时响应速度和数据恢复的效率,这样才能保证自我评估,为数据汇总分析提供有效依据。(3)非法外联和接入认证非法外联需要在内部系统的推广,利用检测功能进行实时监控,可以自动检查和功能防御,提高电子政务防御的有效性和安全性,能够有效限制外部非授权终端或网络接入,类似于逻辑上的物理隔离。2完善的安全体系安全防护是信息安全的屏障,同时还直接保护电子政务的信息安全。信息安全防护体系具体包括防火墙,身份认证,访问控制等方面的内容。(1)防火墙防火墙是硬件和软件的综合,介于外部网络和公共网络之间,是内外网络的保护屏障。(2)身份认证认证系统用于识别和认证,它本身具有一定的安全性和保密性要求。与电子密码、令牌口令、生理特征组合可以在各种场合提供足够安全的电子政务的信息网络。(3)访问控制访问控制由主体、访问授权和客体组成,访问控制系统包括两个方面:独立访问和强制访问,独立访问控制制度是指政务人员可以准许一些数据选择性地被访问,它是为了使系统资源让未经授权的用户访问的一种方法。强制访问控制是指各种对象的权限分类划分,系统会自动检测访问控制策略,以确定的访问权限授权。4.5建立应急恢复机制电子政务的发展成指数级别发展,使它面临越来越多的隐患和风险,仍有可能出现一些异常情况,我们必须釆取应急恢复策略。一旦电子政务信息安全被破坏,应急恢复机制能快速修复系统异常,将系统恢复到正常工作状态。应急反应系统可以在任何时间自动运行,产生电子政务信息系统备份信息,并记录异常事件的发生过程,应急响应系统可以将数据备份,使系统返回之前状态。同时,抑制安全隐患风险,即便电子政务系统瘫痪,也不至于损失所有电子政务信息,提供了持续性的电子政务信息服务。5.总结与展望信息技术的发展为电子政务注入了新的变数一一信息安全;而互联网的发展又给电子政务安全注入了新的变数—