电子政务的安全论文

电子政务的安全论文（共11篇）（共11篇）

1.电子政务的安全论文 篇一

关于电子政务信息安全管理体系建设的几点思考

一、概述

电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。

电子政务的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。

二、电子政务信息系统面临的威胁

电子政务涉及对政府机密信息和敏感政务的保护、维护公共秩序和行政监管的准确实施以及为保障社会提供公共服务的质量。电子政务作为政府有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其是,电子政务在基于互联网的网络平台上,他包括政务内网、政务外网和互联网,而互联网是一个无行政主管的全球网络,自身缺少设防,安全隐患很多,使得不法分子利用互联网进行犯罪有机可乘,这就使得基于互联网开展的电子政务应用面临着严峻的挑战。

对电子政务的安全威胁包括网上黑客入侵和犯罪、病毒泛滥和蔓延,信息间谍的潜入和窃密,网络恐怖集团的攻击和破坏,内部人员的违规和违法操作,网络系统的脆弱和瘫痪,信息安全产品的失控等,对于这些威胁,电子政务的建设和应用应引起足够警惕,采取果断的安全措施,应对这种挑战。

三、电子政务信息安全管理体系的构建

要有效维护电子政务信息系统的安全,就需要构建电子政务安全管理体系,从而使政务的信息基础设施、信息应用服务能够具有保密性、完整性、真实性和可用性。电子政务安全管理体系包括安全技术体系、安全管理体系和安全服务体系,涉及从管理到组织,从网络到数据,从法规标准到基础设施等各个方面。加强安全技术力量是实现电子政务安全的基本方法

安全技术体系是利用技术手段实现技术层面的安全保护,是对电子政务安全防护体系的完善,包括网络安全体系、数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。

网络安全体系包括网闸、入侵检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等;数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等。整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自主权和自控权。在关键技术、经营管理、生产规模、服务观念等方面,要集中人力、物力,制订相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保关键政府部门的信息系统的网络安全。加强核心技术的自主研发,并尽快使之产品化和产业化,尤其是操作系统技术和计算机芯片技术。现阶段各地政府部门目前所选用的高端软硬件平台,很多都是国外公司的产品,这也对政务安全带来了许多隐患。因此,在构建电子政务系统的时候,在可能的情况下,我们应尽量选用国产化技术和国内公司的产品。构建安全管理体系是电子政务安全实施的重要基础

安全管理是解决电子政务的安全问题在技术以外的另一有力保障和途径。由于安全的防范技术与破坏技术总是“势均力敌”、“相互促进”的。作为防范者就更应该在安全防范的管理上下更大的工夫。安全管理主要涉及三个方面:法律法规、安全防护体系以及等级保护政策。

（1）法律政策、规章制度和标准规范

电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约。目前,世界上很多国家制定了与网络安全相关的法律法规,如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等,但显得很零散,还缺乏关于电子政务网络安全的专门法规。此外,在完善法律法规的同时,还应该加大执法力度,严格执法,这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。（.2）电子政务防护体系

贯穿整个电子政务的安全防护体系,对电子政务安全实施起全面的指导作用,具体包括三个方面的内容:安全组织机构、安全人事管理、以及安全责任制度。建立安全组织机构,其目的是统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜,主要职责包括制定整体安全策略、明确规章制度、落实各项安全措施实施,以及制订安全应急方案和保密信息的安全策略;安全人事管理,其主要内容包括:人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等;制定和落实安全责任制度,包括系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度,以及对外合作制度等。（3）等级保护制度

通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。

四、完善安全服务是维护电子政务安全实施的有力保障安全等级测评和风险评估管理

电子政务信息系统安全测评服务,其实质是通过科学、规范、公正的测试和评估向被测评单位证实其信息系统的安全性能符合等级保护的要求。

由于信息安全直接涉及国家利益、安全和主权,政府对信息产品、信息系统安全性的测评认证要更为严格。对信息系统和信息安全技术中的核心技术,由政府直接控制,在信息安全各主管部门的支持和指导下,依托专业的职能机构提供技术支持,形成政府的行政管理与技术支持相结合、相依赖的管理体制。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。电子政务安全风险管理的主要任务是电子政务信息系统的风险评估并提出风险缓解措施,前者是识别并分析系统中的风险因素,估计可能造成的损失,后者是选择和实施安全控制,将风险降低到一个可接受的水平。2 安全培训服务

根据不同层次的人才需求,社会化的信息安全人才培养体系应分为专业型教育、应用型教育和安全素养教育三个层次。专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。应用型(半专业)教育则是以从事现代信息管理工作的人作为对象,培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。这种应用型的信息安全教育要求受教育对象数量要多,覆盖面要广,基本信息技能要强。通过课程、讲座、宣传等多种形式,达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。要求单位领导应具备必要信息安全意识和安全知识;信息管理人员应具备一定的信息安全知识和基本技能;从事信息服务或信息安全服务的有关人员应具备必要的信息安全知识和技术基础等。

[1] 何玲,电子政务环境下政府电子文件管理新探索[D].成都:四川大学硕士学位论文,2008.[2] 电子政务:安全防护体系构建策略[EB/OL].http://,2009.[3] 金江军.电子政务信息安全体系建设[EB/OL].博客中国,2005.百度网 搜搜网

2.电子政务的安全论文 篇二

电子政务是政务公开和服务型政府两大主导思想在落实过程中所必须凭借的重要平台，在未来的电子政务规划中，电子政务必将占有非常重要的地位。

电子政务涉及对国家秘密信息和高敏感度核心政务的保护,涉及到维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证。电子政务是党委、政府、人大和政协有效决策、管理和服务的重要手段,必然会遭到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击,尤其电子政务是搭在基于互联网技术的网络平台上,包括政务内网、政务外网和互联网。互联网是一个无行政主管的全球网络,自身缺少设防，安全隐患很多,且目前对互联网犯罪尚缺少足够的法律威慑,大量的跨国网络犯罪给执法带来很大的难度。所以利用互联网进行犯罪则有机可乘,使基于互联网开展的电子政务应用面临着严峻的挑战。据统计，仅在2007年，有3000余家电子政务网发生过网页被篡改的事件，严重影响了政府的对外形象。随着电子政务建设的逐步推进，电子政务网所承载的业务数量在逐步增加，网站被入侵或篡改所带来的危害将不仅限于政府的形象，甚至会造成巨大的经济损失，或者严重的社会问题。

对电子政务的安全威胁,包括网上黑客的入侵犯罪、网上病毒的泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息安全产品的失控等。

1 当前电子政务安全存在的主要问题

(1)电子政务安全规划与设计主要停留在技术层面上，管理这一核心环节很少重视,甚至被忽略。相应的安全管理体制和机制不健全,多头管理、责权不清、职能重叠、制度残缺等问题屡见不鲜,这些问题已成为地方电子政务建设安全保障的瓶颈。

(2)部分地方和部门只在电子政务系统构建阶段进行安全设施建设和安全技术实施,并没有贯穿到电子政务系统的整个生命周期。而电子政务系统具有动态性特点，网络攻击、病毒演变、业务变化、设备更新以及受众趋向等诸多因素均会对电子政务提出新的安全需求。滞后的安全机制是不完备的，必然造成安全漏洞。

(3)有些电子政务工程缺乏完善的监测、监控系统，无法从根本上提高网络监测、防护、响应、恢复和抗击能力。信息安全风险评估标准体系也不完善，导致信息安全的需求、要保护的对象和边界均难以确定。

电子政务的安全目标是保护政务信息资源价值不受侵犯,保证信息资产的拥有者-政务主体面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力。

出于对信息安全的重视，国家已经出台了信息安全等级保护的一系列文件和标准，用以促进和指导信息安全的建设。2007年6月22日，公安部与国家保密局、密码管理局、国务院信息办联合印发了《信息安全等级保护管理办法》。根据《信息系统安全等级保护实施指南》中所给出的等级保护的建设过程，可以看到等级保护并不是一个一劳永逸的孤立项目，而是一个连续不断、周而复始的过程。目前，我国正在逐步推进信息安全等级保护工作，这一国家层面上的信息安全标准已成为未来在电子政务安全建设中的重要保障。

为实现这样一个过程，必须以安全服务为主线，从门户网站的安全评估、差距评估等咨询性服务开始，再延伸到整体安全规划、解决方案设计等设计性服务，最终以运行支持、应急响应等持续性的技术服务为电子政务提供一个符合等级保护的安全保障体系。

2 电子政务安全定级和安全服务

电子政务安全定级和备案阶段的安全服务主要包括等级保护导入、信息系统辅助定级、协助用户完成备案等部分。这些安全服务的目标是通过培训使有关人员了解等级保护的内容和过程，并按照定级指南要求对门户网站进行定级，最终帮助用户完成备案工作定级。定级工作分三个阶段进行：

(1)安全规划设计阶段的安全服务主要包括安全需求导出、信息系统风险评估、等级保护差距评估、安全建设整体规划和安全基线指标设计等。安全需求导出服务的目标主要是为门户网站导出真正的安全需求，不同网站的规模、访问量、部署模式、政务公开信息的频度、在线业务的重要程度都各不相同，其安全需求也就各有不同。

只有对网站业务进行详细的调研和分析，才能给出符合实际的安全需求分析。信息系统风险评估服务、等级保护差距评估服务是结合风险评估的方法和理论，围绕着系统所承载的具体业务，通过风险评估的方法评估系统的风险状况，并根据系统的安全措施是否符合相应等级的安全要求来判断系统与所定等级的差距。

(2)安全实施阶段是等级保护得以落实的主要阶段。安全实施阶段中主要包括安全解决方案设计、安全技术体系改造、安全管理体系改造、岗位培训和应急响应演练等安全服务。

安全解决方案设计是如何将门户网站业务安全目标和系统等级安全规划落实的关键过程。安全技术体系改造主要包括物理层、网络层、应用层、主机层和数据层5个层面，安全管理体系包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运行维护管理等5个方面。在技术体系和管理系统完成安全改造后，必须对岗位培训和应急响应进行演练，使技术措施和管理流程得到充分的检验和锻炼。

(3)安全服务提供商能够为客户提供专业的安全服务，但在日常运行工作中，安全服务提供商不可能代替客户做所有的事情。为保证客户内部管理人员的安全管理工作和专业水平，基于安全指标设计的配置核查安全服务会使客户内部管理人员根据等级保护标准进行量化的安全指标，使用自动化工具去执行内部核查，这在很大程度上保证了日常运行管理的专业程度。在安全运行管理阶段，还需要安全服务提供商提供阶段性的风险评估服务、安全应急响应服务等来协助客户通过等级保护安全检查工作。

3 电子政务发展应采取的措施

为推动电子政务的发展，近期内应该采取下列措施：

(1)加强宣传，突破误区。电子政务是近些年来随着电子信息技术的发展和互联网的出现才兴起的一种新的政府管理方式，其概念、内涵和特点尚不为大多数公务员所理解。实际上，从我国的现实情况来看，许多人对电子商务还是一知半解，对电子政务就更是一无所知了。因此，当前必须就电子政务与传统的政府管理的差异、电子政务与办公自动化的区别、电子政务对信息产业的引导作用等加强宣传工作，破除各种错误认识，使各级领导树立正确观念。

(2)统一规划，加强领导。可以借鉴国外先进国家的经验，在国务院建立电子政务的领导机构，统一领导、组织中央政府和地方政府的电子政务建设。为此，可以推行“总体统筹、分工负责”制。“总体统筹”就是国务院领导机构对全国政府信息化建设进行统一规划，制定统一标准、相关政策法规及管理办法，对重大工程的资金进行统筹安排。“分工负责”就是各部委、各地方按照统一的规划、标准，负责具体项目的实施。

(3)以发展电子政务、实现“电子政府”为目标，以政府机构改革为契机，改革政府管理模式，优化业务工作流程,这是实现政务信息化的前提和基础。实施电子政务工程不能简单地将现有业务、办公、办事程序原封不动地搬上计算机，而是要对传统的工作模式、工作方法、工作手段进行革新。

4 一个成功的电子政务系统：海淀园数字园区

2000年7月，中关村科技园区海淀园管委会开通“海淀园数字园区”，并于2001年4月1日对园区所辖企业全面实施网上办公，从而实现了“一网式”电子政务(马林等，“海淀园‘数字园区’建设与政府管理模式转型”，2001年北京市科学技术进步奖鼓励申报推荐书。)。“海淀园数字园区”是我国第一个“数字园区”，真正体现了电子政务的基本原则，在技术的使用、内容和管理等诸多方面都突破了现有电子政务系统的局限性，对我国当前建设电子政务具有参考价值。这里从建设原则、基本构成和管理特征等几个方面对“数字园区”进行一些简单的介绍。

(1)先进技术实用化。在政府管理中采用先进的信息和通信技术可以使政府做到以前不可能做到的事情，如倍增的效率、高度的透明、巨大的管理幅度、充分的管理授权等。

(2)管理集成和系统开发的互动。按信息和通信技术的应用要求对现有流程进行优化和业务重组，在管理集成时充分挖掘信息和通信技术的应用潜力，使先进技术为管理集成服务。

(3)需求与实现的互动。技术开发人员懂得如何实现工作业务的电子化，而政府工作人员知道正确地提出实现业务电子化的需求。

参考文献

[1]杜治洲.电子政务与政府管理模式的互动[M].北京:中国经济出版社,2006.

[2]代安明.试论电子政务及其办公自动化建设[J].黑龙江科技信息,2007,(06S).

[3]吴爱明.中国电子政务理论与实践[M].北京:人民出版社,2004.

[4]Carrow John.Five Keys to E-Govermnet[J].Interactive Week,2001,8(2):86.

3.加强电子政务信息安全的思考 篇三

一、电子政务网络安全需求

电子政务是一个由政务内网、政务外网和互联网三级网络构成，政务内网为政府部门内部的关键业务管理系统和核心数据应用系统，政务外网为政府部门内部以及部门之间的各类非公开应用系统，所涉及的信息应在政务外网上传输，与互联网相联的网络，面向社会提供的一般应用服务及信息发布，包括各类公开信息和非敏感的社会服务。面对如此复杂的应用环境，整个系统中任何一个不安全因素都会造成在此平台上传递的政务信息面临风险，产生不良后果。在电子政务实践中人们的安全需求集中在三个角度：

1.扫除信息网络安全隐患

针对信息存在形式和运行特点，电子政务信息安全隐患主要是系统自身和信息系统、数据库系统、应用系统、数据、物理环境等各个方面，信息隐患则是人为的侦听、截获、窃取、破译等被动攻击和修改、伪造、破坏、冒充、病毒扩散等主动攻击。特别值得关注的源头：

一是硬件设备。由于缺乏自主技术，计算机的CPU芯片、操作系统和数据库及网关软件大多依赖进口，一些发达国家或跨国公司趁我国为加快信息化建设的需要大量引进基础设备的机会，在其提供关键设备中设置陷阱(如在电脑芯片中隐藏着特定的程序，有可能在某种指令下被激活，或使电脑无法启动)，使我国计算机网络的安全性能大大降低，被认为是易窥视和易打击的“玻璃网”。我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，妨碍、限制、压制和破坏我国对信息的自由运用。

二是人的道德。系统使用者掌握了网络服务器上的用户账号信息和口令文件后，直接修改、删除系统重要数据文件。而黑客们采用包括窃听报文、IP地址欺骗、源路由攻击、端口扫描、拒绝服务攻击和应用层攻击等方式非法侵入重要信息系统，修改或破坏系统功能或数据等手段，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。

2.打击违法犯罪活动

近年来，国内外反动势力利用互联网组党结社，进行针对我国党和政府的非法组织和串联活动，猖獗频繁，屡禁不止。尤其是一些非法组织有计划地通过网络渠道，宣传异教邪说，妄图扰乱人心，扰乱社会秩序。如“法轮功”非法组织就是在美国设网站，利用无国界的信息空间进行反政府活动。金融机构内部利用计算机犯罪案件大 幅度上升，犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金；有的利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意Html代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用cookies窃取用户信息。

3.保障国家信息领域

信息是社会发展需要的战略资源，国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全成为维护国家安全和社会稳定的一个焦点。由于信息技术和信息产业的发展是“西强我弱”，互联网成为超级大国谋求跨世纪战略优势的工具。居于信息低位势的国家的政治安全、经济安全、军事安全乃至民族文化传统都将面临前所未有的冲击、挑战和威胁。以带有政治影响力的信息辐射空间来划分的信息疆域，关系到一个民族、一个国家在信息时代的兴衰存亡。

二、强化信息安全管理对策

信息安全包括“保障计算机及其相关的和配套的设备、设施(网络)的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。实施保护的措施集中在安全法规、安全管理、安全技术三方面：其中，安全法规主要是构建以科学的信息安全法律保护理念为指导，吸取外国的“明示式”和“开放式”立法模式有益成分，在全面保障国家信息安全的基础上，围绕国家信息安全的技术防范，遵循国家信息安全的组织保障原则，以国家信息安全的技术标准为内容的法律体系；安全管理则是遵循多人负责、任期有限和职责分离原则制定安全管理制度和组建由主管领导、网络管理员、安全操作员等人员组成信息安全组织体系；安全技术是采用CA认证、加密传输、防火墙技术、VPN、漏洞检测与在线黑客监测预警、实时审计、网络防病毒、自动备份恢复等技术确保系统安全。

系统安全包括物理安全与传输安全、操作系统安全、网络结构安全、信息传递过程安全、身份鉴别与访问控制、标准时间源、病毒保护、数据备份与容灾七个方面，其中操作系统安全、网络结构安全和信息传递过程安全成为重点。

1.加载漏洞扫描系统弥补操作系统无自主产权的缺陷

据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估，我国被列入防护能力最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。所有的政务应用和安全措施都依赖操作系统提供底层支持，操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。在电子政务设计建设中，使用具有自主知识产权且源代码对政府公开的产品是信息安全的根本，但由于我国没有掌握CPU等核心技术，这方面技术依然被国外所垄断，我国的信息产业无论是技术、管理还是生产规模、 服务观念，都不具备力量在短时间内使国产信息产品占领国内的主要市场。基于国内未能建立独立自主的信息安全产业，在操作系统安全设计方面必须布置漏洞扫描系统。利用漏洞扫描工具采取时间策略定时扫描整个网络地址网段，对多种来自通讯、服务、设备、系统等的漏洞进行扫描。采用模拟攻击的手段去检测网络上隐藏的漏洞，且对网络不做任何修改或造成任何危害，并提供漏洞检测报告和解决方案，从而有效检查网络系统的可靠性和安全性。

政府信息要部门充分研究和分析国家在信息领域的利益和所面临的内外部威胁，结合我国国情制定的计划全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系，并投入足够的资金加强关键基础设施的信息安全保护，在信息技术尤其是信息安全关键产品的研发方面，提供全局性的具有超前意识的发展目标和相关产业政策。

2、用GAP技术整合网络结构

基于内网数据保密性的考虑，不希望内网暴露在对外环境中，电子政务实践中往往产生内网与专网、外网间的信息交换需求。安全岛是当前最为有效的措施，它是独立于电子政务内、外网的一个特殊的过渡网络，置于内网、专网和外网相交的边界位置，将内网与外网物理隔离，防止外网中黑客利用漏洞等攻击手段进入内网，完成数据的中转，在其安全策略的控制下安全地进行内外网间的数据交换。隔离网闸技术是实现安全岛的关键技术，通过添加VPN通信认证、加密、入侵检测和对数据的病毒扫描，就可构成一个在物理隔离基础上实现安全数据交换的信息安全岛，它如同一个高速开关在内外网间来回切换，同一时刻内外网间没有连接，处于物理隔离状态。在此基础上，隔离网闸作为代理从外网的网络访问包中抽取出数据然后通过反射开关转入内网，完成数据中转。在中转过程中，隔离网闸会对抽取的数据做应用层的协议检查、内容检测，也会对IP包地址实施过滤控制，由于隔离网闸采用了独特的开关切换机制，因此，在进行这些检查时网络实际上处于断开状态，只有通过严格检查的数据才有可能进入内网，即使黑客强行攻击了隔离网闸，由于攻击发生时内外网始终处于物理断开状态，黑客也无法进入内网。另一方面，由于隔离网闸仅抽取数据交换进内网，因此，内网不会受到网络层的攻击，这就在物理隔离的同时实现了数据的安全交换。

3.使用PKI技术为信息传递过程加密认证

电子政务系统在服务发布层、内部安全应用层、核心安全应用层等网络之间存在着信息资源、服务对象、数据通信等差异，其信息内容和保密级别也不尽相同，如何用电子方式验证信任关系就显得至关重要。在电子政务系统设计时，可采用PKI技术解决机密性、真实性、完整性、不可否认性和存取控制等问题，防止信息在传输过程中的非法截获。

PKI是一种遵循既定标准的密钥管理平台，为网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，可以实现数据机密性、完整性、身份认证和行为的不可否等安全目的，建立全系统范围内一致的信任基准，保证横向和纵向信任服务体系之间信任链互连。PKI技术通过第三方的可信任机构认证中心CA把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起，通过数字身份证、数据签名、用户名及其访问口令，进行身份鉴别及访问权限的控制，防止非法人员对网络的登录，保证网络资源的使用安全性。在加密过程将密钥分解为公开密钥和私有密钥，公开密钥用于加密，私有密钥用于解密，私有密钥只能由生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。认证中心CA是PKI的核心执行机构，是PKI的主要组成部分,承担认证服务、签发数字证书，由受信任的第三方权威机构担当，验证并标识证书申请者的身份，对证书申请者的信用度、申请证书的目的、身份的真实可靠性等问题进行审查，确保证书与身份绑定的正确性，具有唯一性和权威性。

此外，针对政府机关Web安全性的要求，选用网页防篡改系统来构建安全网站。网页防篡改系统实时监控Web站点，当Web站点上的文件受到破坏时，能迅速恢复被破坏的文件，并及时提交报告给系统管理员，从而保护政务网每个Web站点的数据安全。

信息安全是电子政务成败中举足轻重的因素。本文试图探讨如何应用相应技术强化电子政务信息安全，改变被动封堵漏洞状态，树立主动防范、积极应对的全民意识，从根本上提高网络监测、防护、响应、恢复和抗击能力。

4.电子商务的安全问题 篇四

摘要：

由于电子商务是建立在开放的、自由的Intemet平台上的，其安全的脆弱性阻碍了电子商务的发展。因此，要发展电子商务就必须解决安全问题，就必须要能保证电子商务的机密性、完整性、有效性、真实性以及不可否认性。电子商务安全交易中在线支付问题是最核

心、最关键的问题。本文从电子商务的安全问题入手，通过对多种安全技术的综合介绍和详细分析，有针对性地提出了相应的安全策略。提供了解决企业电子商务网站安全问题的有效 办法，以保障电子商务活动的安全进行。

目 录

一、引言...........................................................................................................................................1

二、电子商务中存在的安全问题...................................................................................................1

（一）、电子商务中网络安全的问题.....................................................................................1 网络信息泄漏..............................................................................................................1 文件信息篡改..............................................................................................................1 信息伪造......................................................................................................................1 信用威胁......................................................................................................................2 计算机病毒..................................................................................................................2

（二）、电子商务交易中安全问题.........................................................................................2 消费者、销售商和银行的利益更不易保护.............................................................2 安全面临的严重问题也是制约发展的关键因素.....................................................2 电子商务的支付结算问题.........................................................................................2 电子商务商家信誉的问题.........................................................................................2

三、电子商务网络安全问题解决对策...........................................................................................3

（一）电子商务网上支付安全对策.......................................................................................3

（二）安全管理过程监督.......................................................................................................3 加强全过程的安全管理..............................................................................................3  建立动态的闭环管理流程.........................................................................................4

（三）法律上的安全保障.......................................................................................................4 有关电子商务交易各方合法身份证的法律..............................................................4 有关保护交易者介人及交易数据的法律..................................................................4 有关电子商务中电子合同合法性及如何进行认证的法律......................................4 有关网络知识产权保护的法律..................................................................................4 参考文献...........................................................................................................................5

一、引言

随着在Internet全球性的推广，电子商务即被公认为是未来IT业最有潜力的新的增长点。但是随着Internet的高速发展，其开放性、国际性和自由性在增加电子商务应用自由度的同时，我们也正受到日益严重的来自网络的安全威胁，如黑客的侵袭、网络的数据盗窃、病毒的传播等。如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为影响到电子商务健康发展的关键性课题。

二、电子商务中存在的安全问题

（一）、电子商务中网络安全的问题  网络信息泄漏

在电子商务中表现为商业机密的泄漏，主要表现在：

交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。如果没有采用加密措施或加密强度不够，或是交易双方进行交易的内容被攻击者窃取，或者是交易一方提供给另一方使用的文件被攻击者非法使用。 文件信息篡改

在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传输的信息数据在中途篡改，如修改消息次序、时间，注入伪造消息等，然后再发向目的地，破坏数据的真实性和完整性。对企业网站而言，网页的篡改，尤其是含有攻击、丑化色彩的篡改，会对企业形象与信誉造成严重损害。 信息伪造

由于掌握了数据的格式，并可以篡改通过的信息，如果不进行身份识别，攻击者就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。主要有这样几种情况：第一、虚开网站和商店，给用户发电子邮件，收订货单；第二、给伪造的用户发恶意的电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；第三、伪造用户，发大量的电子邮件，窃取商家的

商品信息和用户信用等信息。 信用威胁

交易者否认参加过交易，如买方提交订单后不付款，或者输入虚假银行资料使卖方不能提款；用户付款后，卖方没有把商品发送到客户手中，使客户蒙受损失。 计算机病毒

电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助于网络传播得更快，动辄造成数百亿美元的经济损失。

（二）、电子商务交易中安全问题

 消费者、销售商和银行的利益更不易保护

电子商务领域为欺诈提供了保护伞。它特殊的运行模式可以使欺诈行为人将其欺诈行为掩盖得惟天衣无缝，而被侵害者却无可奈何。他可以直接侵害消费者的公平交易权，因为消费者是根本看不到自己所要购买商品的实物，只能在网站上浏览销售商为该商品所做的信息数据。电子商务对消费者的隐私权也提出了新的考验。因特网技术使得对个人信息的收集、储存、处理和销售有着前所未有的能力和规模，在线消费者的信息随时都有被收集和扩散的危险，只要在网上用个人信箱发信,你的信箱就基本上是公开的了，个人资料也就很容易被窃取，使得消费者购非所需。

 安全面临的严重问题也是制约发展的关键因素

保障电子商务活动的安全，一直是电子商务研究的核心领域。作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。网络产品本身就隐藏着不安全隐患，加之受技术、人为等因素的影响，不安全因素更显突出。如：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、病毒与恶意攻击、线路窃听等。若安全问题解决不好将对整个电子商务市场带来了巨大的损失。 电子商务的支付结算问题

电子商务的核心内容是信息的互相沟通和交流，交易双方通过Internet进行交流，洽谈确认，最后才能发生交易，进行支付结算，一般都要求先汇款再送货。但从整个电子商务网络的发展来看，将来要在网络上直接进行交易，就需要通过银行的信用卡等各种方式来完成交易，以及在国际贸易中通过与金融网络的连接来支付和收费。 电子商务商家信誉的问题

电子商务依其特有的经营模式对商家的信誉提出了更高的要求。因为电子商务的基石就是诚信、信誉。他不象传统的交易方式，消费者可到实地观察、挑选自己的商品，其完全凭借的是商家的信誉度，有信誉就有顾客这是对电子商务的真实写照。当传统的购物方式引发的各种纠分还在“3.15”消费者权益日频频曝光的环境下，消费者如何信任互不照面的网上交易？这个问题不解决电子商务就很难做大做强，这对我们也提出了新的挑战。

三、电子商务网络安全问题解决对策

（一）电子商务网上支付安全对策

由于引起电子商务安全问题的因素很多，所以解决安全问题也应从不同方面来考虑，提供不同的应对策略:

 安全技术策略：为了确保通信的安全性，必须采取必要的措施加以防范。在通信连接方面,可以使用防火墙、代理服务器、虚拟专用网络(VPN)等技术；在鉴别和认证方面，可以采取加密和认证技术。

做好自身电脑的日常安全维护，注意以下几点： a.是经常给电脑系统升级

b.是安装杀毒软件、防火墙，经常升级和杀毒

c.在平时上网是尽量不上一些小型网站，选大型网站，知名度比较高的网站，避免网站挂有病毒、木马造成中毒

d.尽量不要在公共电脑上使用自己的有关资金的账户和密码，五有条件的情况下，在初装系统后确认电脑安全的后，给自己的电脑做上备份，在使用资金账户前做一次系统恢复。

e.在登录支付资金时，应注意：一是确认该网是否是官方网站，二是仔细核对该网的域名是否正确，注意小写“1”与“L”、“0”与“O”等情况，三保证良好的上网习惯，收藏常用的网址，减少网上链接。

电子商务网上支付实际上就是落实到网上银行转账结算的交易。为了防止了黑客木马程序和网上钓鱼的攻击，使用数字证书才是保障网银安全的较好办法。但是，证书尽可能不采用所谓“文件证书”，即下载到浏览器硬盘上的证书，因为，此种证书易被黑客用木马程序窃取。目前，各银行的应用实践证明：只有将数字证书装入UBKey中，才是确保安全的好办法。

2、法律保障。由于电子商务各项活动首先是一种商品的交易，因此安全问题应当通过相关法律加以保护，必须保证电子合同和数字签名的法律地位、签约双方对电子合同的认可、电子合同的不可否认或修改,确保电子合同能够得以实施。

3、完善的管理策略。由于电子商务交易系统是一个人机高度综合的系统,除了网络的安全之外,管理人员的管理也是非常重要的,而且是起决定性作用的因素。因此,对整个系统的管理权限的分配和监督、管理人员的培训和考核、道德和业务水平的培养都必须制定出一套完整的规章制度,以利于培养管理人员敬业爱岗的精神.（二）安全管理过程监督  加强全过程的安全管理

1）网络规划阶段，就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。

2)工程建设阶段，建设管理单位要将安全需求的汇总和安全性能功能的测试，列入工程建设各个阶段工作的重要内容，要加强对开发(实施)人员、版本控制的管理，要加强对开发环境、用户路由设置、关键代码的检查。

3)在运行维护阶段，要注意以下事项：(1)建立有效的安全管理组织架构，明确职责，理顺流程，实施高效管理。(2)按照分级管理原则，严格管理内部用户帐号和密码，进入系

统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度，加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系，建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询，还要定期检查日志，以便及时发现潜在的安全威胁。

建立动态的闭环管理流程

网络处于不断地建设和调整中，可能发现新的安全漏洞，因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下，通过安全评估和检测工具(如漏洞扫描，入侵检测等)及时了解网络存在的安全问题和安全隐患，据此制定安全建设规划和加固方案，综合应用各种安全防护产品(如防火墙、身份认证等手段)，将系统调整到相对安全的状态。并要注意以下两点：

1)对于一个企业而言，安全策略是支付信息安全的核心，因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案，保证这些系列策略规范在整个企业范围内贯彻实施，从而保护企业的投资和信息资源安全。

2)要制定完善的、符合企业实际的信息安全策略，就须先对企业信息网的安全状况进行评估，即对信息资产的安全技术和管理现状进行评估，让企业对自身面临的安全威胁和问题有全面的了解，从而制定针对性的安全策略，指导信息安全的建设和管理工作。

（三）法律上的安全保障

在法律上，最子商务不同于传统商务在纸面上完成交易，有据可查的特点，电子交易如何认证，电子欺诈如何避免和惩治不仅是技术问题，同时也要涉及到法律领域，电子商务就像在现实世界之外又建立了一个虚拟世界，在这个虚拟世界里，更需要完善的法律体系来维持秩序。目前多个国家和地区已经开始行动制定电子商务法律法规。这就需要在企业和企业之间、政府和企业之间、企业和消费者之间、政府和政府之间明确各自需要遵守的法律义务和责任。其主要涉及的法律要素有：  有关电子商务交易各方合法身份证的法律

电子身份认证中心是电子商务中的核心角色，它担负着保证电子商务公正、安全进行的任务。因而必须由国家法律来规定CA中心的设立程序和资格以及必须承担的法律义务和责任，同时要由法律规定对CA中心进行监管的部门、监管方法以及违规后的处罚措施。 有关保护交易者介人及交易数据的法律

本着最小限度收集个人数据、最大限度保护个人隐私的原则来制定法律，以消除人们对泄露个人隐私以及重要个人信息的担扰，从而吸引更多的人上网参与电子商务。 有关电子商务中电子合同合法性及如何进行认证的法律

需要制定有关法律对电子合同的法律效力、数字签名、电子商务凭证的合法性予以确认；需要对电子商务作证、电子支付数据的伪造、变更、涂销做出相应的法律规定。 有关网络知识产权保护的法律

网络对知识产权的保护提出了新的挑战，因此在研究技术保护措施时，还必须建立适当的法律框架，以便侦测仿冒或欺诈行为，并在上述行为以生时提供有效的法律援助。

参考文献

5.电子政务内网安全 篇五

方案部署说明：

一、在网络出口处部署1台路由器，通过专线与国办网络连接。

二、在路由器的后端，部署1台密码机，对出入政务内网的所有数据进行加解密处理。

三、部署1台入侵检测系统，对各安全域进行监控，及时发现网络入侵行为，并向控制台传送报警信息和事件过程记录，做到事后有据可查。

四、通过1台高性能防火墙将网络划分成“应用服务区”、“安全支撑区”和“用户终端区”。首先在防火墙上配置终端用户区域全部禁止访问服务器区域，然后，根据用户区域需要访问的服务器区域应用系统，打开的端口和协议进行特定访问权限配置，包括：登录域需要使用的TCP/UDP端口，访问的目的地址集和源地址集等，病毒服务器的策略分发、升级、远程安装需要使用的TCP端口等。配置防火墙访问控制日志保存策略，配置防火墙安全管理员、用户管理员、审计管理员的用户权限和相应的密码。

五、“安全支撑区”主要部署防病毒系统（金山毒霸网络版）、域控制器、终端审计系统（中软）、违规外联监控系统（山谷）、内网安全管理系统（锐捷）、终端及服务器安全登录系统（北信源）和USB移动存储介质使用管理系统（国迈），该区域主要为整个涉密信息系统提供安全及管理的功能支撑。

六、“应用服务区”主要部署网站、电子邮件、文档和DNS等应用系统，为整个涉密信息系统提供应用支撑。

七、在每台涉密计算机上安装中软主机监控与审计系统客户端，对终端行为进行监控。它充分利用透明加解密、身份认证、访问控制和审计跟踪等技术手段，对涉密信息的存储、传播和处理过程，实施安全保护；最大限度地防止敏感信息泄漏、被破坏和违规外传，并完整记录涉及敏感信息的操作日志，以便日后审计或追究相关的泄密责任。

八、部署1套国迈USB移动存储介质使用管理系统，对USB移动介质进行统一认证，实现信息保密、访问控制、审计等功能。用技术的手段，实现移动存储设备信息安全的“五不”原则，即：进不来、拿不走、读不懂、改不了、走不脱。

九、在系统中部署1套山谷违规外联监控系统，防止涉密网计算机接入互联网，造成涉密信息泄露。

十、在系统中部署1套北信源终端服务器安全登录系统，能够实现对用户的身份鉴别，确保只有经过合法验证的终端用户才能使用服务器，具体采用USBKeyClient和USBKey相结合的方式。

十一、另外，配备启明星辰天镜脆弱性扫描与管理系统和金路标计算机终端保密检查工具各1套，定期对涉密信息系统内服务器和计算机终端进行安全隐患检查。

6.如何保证电子邮件的安全 篇六

由于软件中自动处理功能的日益增加，我们会越来越多地看到由于意外地选择了错误收件人而造成的安全事件了。微软Outlook中的“可怕的自动填写功能” 就是一个很明显的例子，在使用下拉式清单的时候很容易不小心选择临近实际收件人的收件人。在讨论类似商业机密之类敏感信息的时候，这样的操作很容易导致各种安全事件的出现。

2. 发送电子邮件给多个人的时候采用密送（BCC）的设置，

从安全角度来说，将电子邮件地址与没有必要知道的人分享，是一个坏做法。在未经允许的情况下，将电子邮件地址与陌生人分享也是不礼貌的。在发送电子邮件给多个人的时候，可以选择收件人（TO）或者抄送（CC）的方式，这样的情况下，所有收件人可以分享所有的电子邮件地址。如果没有明确确认电子邮件地址应该被所有收件人分享的时候，应该使用密送（BCC）的设置。这样的话，收件人不会知道还有其它接收者的存在。

3. 只在一个确定安全的地方保存电子邮件。

加密传送电子邮件将有效地保护信息的安全，而接收和解密后保存为纯文本格式文件的电子邮件很有可能被系统中的其它用户获得，莎拉

★ 电子邮件范文

★ 电子邮件推广范文

★ 电子邮件简历

★ 中文电子邮件 范文

★ 关爱生命，保障安全演讲稿

7.我国的电子政务信息安全分析 篇七

关键词：电子政务,信息安全

一、电子政务的概述

政务机构使用信息技术,从而向公民提供更加有效的政府服务、改进政府与企业和产业界的关系、通过利用信息更好的履行公民权,以及增加政府管理效能。

电子政务是一个系统工程,应该符合三个基本条件:

第一电子政务是必须借助于电子信息化硬件系统、数字网络技术和相关软件技术的综合服务系统;硬件部分:包括内部局域网、外部互联网、系统通信系统和专用线路等;软件部分:大型数据库管理系统、信息传输平台、权限管理平台、文件形成和审批上传系统、新闻发布系统、服务管理系统、政策法规发布系统、用户服务和管理系统、人事及档案管理系统、福利及住房公积金管理系统……,等等数十个系统;

第二,电子政务是处理与政府有关的公开事务,内部事务的综合系统。包括政府机关内部的行政事务以外,还包括立法、司法部门以及其他一些公共组织的管理事务,如检务、审务、社区事务等;

第三,电子政务是新型的、先进的、革命性的政务管理系统。电子政务并不是简单地将传统的政府管理事务原封不动地搬到互联网上,而是要对其进行组织结构的重组和业务流程的再造。因此,电子政府在管理方面与传统政府管理之间有显著的区别。

二、信息安全概述

信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施) 受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。其包涵五个方面的内容:即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是使内部信息不受内部、外部、自然等因素的威胁。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。

三、中国电子政务的现状

我国电子政务经过多年的发展,目前已经建成一个精简、高效、公正、廉洁的政府运作模式,从而为社会提供全方位的优质、高效、规范、透明、符合国际标准的管理与服务。随着社会的不断发展科技的不断进步,我国的电子政务进入了新的发展阶段:以云计算为代表的新一代信息技术要求电子政务转变发展方式,电子政务进入深化整合的“制度重于技术”时期。

四、中国电子政务的信息安全

1、电子政务信息安全问题

我国的电子政务虽然取得了很大的成就,但是电子政务发展过程中存在的信息安全性是一个不容忽视的问题。电子政务的信息安全问题主要体现在两个方面:一是网络本身的安全。二是网络中存在的信息安全。网络安全是指网络系统的软件、硬件及其系统中的数据受到保护,不会因意外或恶意的原因而遭到破、更改和泄漏,是系统能够连续可靠的正常进行,网络服务不中断。而所谓的信息安全,是指保证信息的机密性、完整性、可用性、可靠性、可控性和不可否认性等几个方面。而除了上述两点外,还包括内部人员的恶意破坏、内部人员与外部人员相互勾结、管理人员滥用职权、执行人员操作不当、安全意识不强、内部管理疏漏、设备缺陷等诸多问题。

2、电子政务的信息安全构架

信息技术的发展是电子政务发展的基本与核心,电子政务的应用层次大致可以分为网络、计算机和通信。而计算机的信息系统的操作系统是电子政务技术基础平台最基础和最核心的部分。它的主要功能是处理器管理、存储器管理、设备管理、文件管理、为用户提供应用界面和提供网络功能。微软的Windows系列,苹果的Mac系列是电子政务中常用的操作系统。计算机网络是计算机技术与通信技术相互结合的产物,计算机的主要功能是实现资源共享、分布式处理、提供系统的可靠性和协同能力。

3、网络信息安全技术

电子政务信息的保密性和完整性是由一系列的技术作为支撑的。现在主要采取的技术主要包括物理隔离技术、防火墙技术、CA认证技术、加密技术、权限控制与鉴别、日志与安全审计等多种技术。

所谓“物理隔离”是指内部网不得直接或间接地连接公共网。物理隔离的要求:(1)在物理传导上使内、外网隔断。(2)在物理辐射上隔断内外网。(3)在物理存储上隔断内外两个网络环境。

所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

防火墙是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。

认证技术是指证实被认证对象是否属实和是否有效的一个过程。认证通常被用于双方相互确认身份、以保证通信的安全。

加密技术是指发送信息的一方通过一定的机密方式对自己发送的信息进行加密,确保信息只能由指定人员接受。

权限控制与鉴别是指只能由指定的用户进入并且进入后只能查看被允许查看的内容,从而确保进入数据库人员的身份,同时进行有效控制。

日志安全与审计是指通过实时监测和记录,来监控和增强政务网络系统的实际运行的安全。

五、总结

8.浅谈电子政务安全保障体系的构建 篇八

关键词：电子政务；安全体系；构建技术

中图分类号：TP393.08

在电子政务系统日益发展的今天，其网络信息安全问题也成为了一大挑战，同时在很大程度上影响了电子政务在国内的应用和发展。作为传统行政模式的创新与改革，电子政务系统关系到国家机密信息与敏感政务的保护，关系到公共安全与行政监管的准确实施，关系到为广大人民群众提供更加良好的公共服务。所以，我们应当结合电子政务系统的实际功能和需要，强化安全保障体系的构建，从而确保电子政务系统的持续发展。

1 设备环境安全

设备环境安全可以说是电子政务系统安全的基础和前提，主要是确保各种计算机硬件设备设施和其他的一些硬件设施免受自然灾害或者人为失误而导致的损害。电子政务系统安全保障体系中，设备环境安全措施一般划分为环境安全、设备安全以及媒体安全，关系到电子政务系统应用范围的方方面面。其中，环境安全属于对电子政务系统运行环境的保护，例如说区域保护与灾难保护，详细可遵循国标GBGB50173、GB2887-89以及GB9361-88等进行设计；而设备安全指的是各种数据存储、传输以及电子政务系统运行所需要的硬件设备的防盗措施、防磁措施、防干扰措施等；媒体安全指的是存储媒体自身的安全性能以及对其中的数据进行保护。

2 系统安全

操作系统是计算机终端、服务器以及工作站安全稳定运行的平台，因此操作系统安全至关重要。Linux系统是随着互联网技术发展而逐渐产生的一个由全球电脑爱好者共同进行开发的操作系统，这一系统在功能实现上大大超越了其他很多商业操作系统，Linux系统便理所当然的成为了电子政务系统的首选对象。当然，按照应用环境的不同安全需求，电子政务系统也可以选择其他一些操作系统，但重要的服务器与工作站必须保证选择安全性较高的系统，例如说windows2000sever、HP Unix等[1]。

在电子政务系统内部，必须要构建全方位的病毒防护体系，不管是B/S或者C/S结构，都必须在其中各个运行点安装好杀毒软件，在电子政务系统内的业务处理终端以及服务器端必须要做好防毒工作。反病毒属于一项长期性的工作，必须要定期对杀毒软件进行升级更新，此外还必须要构建全面的安全操作程序，其中必须包含不同的安全措施，例如说数据自动备份、重要信息加密等。

3 网络安全

保障网络安全是电子政务系统安全保障体系中的重要内容，它可以有效的抵御黑客利用网络漏洞而对系统实施的攻击，从网络层面上进行防范，通常我们所采取的网络安全保障措施主要有防火墙、物理隔离技术以及VPN技术等。

应用防火墙技术能够有效保障内外网的安全代理，在电子政务系统内部的专用网络与外网之间以及各个安全域之间都必须要设置好防火墙。防火墙的设置必须要全方位的考虑到电子政务系统所需求的速度、性能以及管理等不同方面，对防火墙进行周密而科学的设计；同时还应当要强化安全管理措施，通过一系列的有效的手段来确保其安全性能，例如说防火墙应当安装于不同的介质之上，尽可能的利用不同的服务器来实现不同的功能与服务，对于关键的系统出口应当设置主要防火墙，在进行配置的过程中必须要关闭一部分不需要的服务，要定期对防火墙记录日志进行检查，如果发现存在问题应第一时间作出处理，利用多层防御和冗余防御等方式来保障系统安全。

利用物理隔离技术我们能够保障电子政务系统内外数据信息的安全交换，根据我国相关政策法规的要求，政府部门上网应当明确划分内外网，从而实现内外网的物理隔离。这也是处理政府办公信息化中关于机密信息安全的有效措施，对电子政务系统的内外网实施隔离要求在保障系统安全的前提下实现数据的交换[2]。

VPN即是虚拟专业网络，它属于近年来比较流行的安全技术，能够给予我们一种利用公用网络的形式来保障电子政务系统中专用网络实施远程访问的安全连接手段。要实现VPN连接，在系统网络中应该设置一台VPN服务器，这一服务器不仅与电子政务系统的专用网络相连接，同时也与互联网相连接，换句话说VPN服务器应当具备一个公用IP地址，如果客户机通过VPN连接和专用网络内部的计算机进行通信时，首先会由ISP把全部数据传输到VPN服务器内，之后再通过VPN服务器把数据信息传输到目标计算机中，从而实现数据的安全保护功能。

4 数据安全

电子政务系统中的网络传输可以根据传输网络的差异划分为公网传输以及专网传输两种类型。公网传输通常情况下存在公网中的政府系统中相关单位要向在专网中的电子政府系统中的政府机构传输数据的情况。按照传输数据安全等级的差异，应该在公网内传输的数据必须进行验证时间戳、数据摘要和验证等方式来确保数据信息的完整全面；对部分关键信息来说，可以采取进行交叉认证的方式来确保安全性。网络传输内的专网传输通常情况下出现在同时处于专网中的不同业务系统间的数据信息传输时。在电子政务系统内部通常需要建立数据信息传输平台，有差异的电子政府系统或者内部数据信息的传输能够在这一平台上有效的实现安全传输作业。在电子政务系统和数据平台之间传输信息的过程中，对重要的核心数据信息，我们能够选择数字签名、验证或者签名回执、数据加密等方式来确保数据信息的安全，在有必要时也能够选择交叉认证的手段来获取更高的安全等级，或者对关键信息采取设置加密机或其他硬件安全保障工具的方式来提升安全性能。

5 管理制度安全

无论是电子政务系统的设备环境安全，还是其数据信息安全，在各个安全层的保障体系构建过程中都必须要依靠管理来实现。有效的管理和完善的安全保障制度是确保电子政务系统安全运行的基础和前提。电子政务系统的安全体系构建的核心在于人的管理而非是安全软件的使用。若我们仅仅有安全技术设备而缺少全面有效的管理计划和管理制度，电子政务系统的安全保障仍然是纸上谈兵。安全管理制度的完善需要一系列的规章制度和管理措施来实现，例如说制定网络使用规范管理制度、机房管控制度、网络维护制度以及应急预案；强化对相关操作人员的安全培训工作同时招聘更加专业的人员来管理网络；必要时可以聘请安全顾问给予一定的技术支持；对电子政务系统网络管理人员进行严格的管理。笔者建议，必要时可以通过完善相关立法来保障电子政务系统的安全，以法律的形式强制性的进行控制，从而确保电子政务系统功能的充分发挥[3]。

6 结语结束语

总之，电子政务系统的广泛应用可以在很大程度上促进政府管理职能的转变，推进政务工作方式改变，极大提升政府部门工作效率，为政府部门构建一套高效有序的管理体制，进一步实现办公信息化和自动化，最大限度的提升政府部门管理水平与科学决策水平。而电子政务系统安全保障体系的构建是在计算机安全技术与互联网信息技术的支持下，采取各种途径的安全技术措施，来保障電子政务系统的运行安全，确保政府部门职能的有效发挥，确保电子政务系统的安全稳定运行。

参考文献：

[1]杨霁轩.电子政务安全体系结构设计中分域防护思想的融入[J].电子制作.，2014（（18））：：95.

9.电子政务网络安全管理办法 篇九

1、各单位网络管理人员必须精心维护好单位的网络设备，做到防尘、防热、防潮、防水、防磁、防静电等，以增加设备使用年限。县政府办将定期对各单位的网络管理情况进行检查，发现不能达到以上要求的单位，将对其进行通报批评，对由于管理人员疏忽造成网络安全事故的，将追究相关管理员及单位领导责任。

2、各联网单位不得随意更改政务网络接入设备配置，不得擅自切断电子政务网络设备电源，不得擅自挪动相关设备和切断、移动相关传输线路，不得擅自与其他网络对接，不得随意增加交换机、集线器以及接入信息点数量，如需进行以上变动，应向县政府办信息科提出申请，经批准后方可实施。

3、各联网单位要增强网络安全意识，严禁登陆浏览黄色网站（网页），禁止下载、使用存在安全隐患的软件，不得打开来历不明的电子邮件附件，不得随意使用计算机文件共享功能，防止计算机受到病毒的侵入。

4、工作时间禁止玩网游、下载电影及大型软件，以保证本单位网络速度。县政府办信息科将采取技术措施对互联网出入口的数据进行监控，对发现的问题将在全县范围内进行通报，并按照相关规定严肃处理。

5、政务网计算机使用单位和个人，都有保护政务网信息与网络安全的责任和义务，所有关于本单位网站、论坛、信息录入等密码要严格保密不得泄露，一旦泄露立即报政府办信息科进行密码修改。

6、各接入单位应当定期制作计算机信息系统备份，备份介质实行异地存放。对可能遭受的侵害和破坏，应当制定灾难防治预案。

7、要配备计算机系统补丁升级和病毒防治工具，定期进行系统补丁升级和病毒检查。使用新机、新盘及拷贝的软件、数据，上机前应进行系统补丁升级和病毒检查。

8、办工人员严禁下列操作行为：

（1）非法侵入他人计算机信息系统和联网设备操作系统；

（2）未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰，影响计算机信息系统正常运行；

（3）故意制作、传播计算机病毒等破坏程序；

（4）将非业务用计算机或网络擅自接入政务内网，将业务用计算机或网络接入互联网或其他非政府机关的网络；

（5）在政务网使用的计算机及网络设备在未采取安全隔离措施的情况下同时连接政务网和其它网络；

（6）将存有涉密信息的计算机擅自连接国际互联网或其他公共网络；

（7）擅自在政务网上开设与工作无关的网络服务；

（8）发布反动、淫秽色情等有害信息；

（9）擅自对政务网计算机信息系统和网络进行扫描；

（10）对信息安全事（案）件或重大安全隐患隐瞒不报；

（11）擅自修改计算机ip或mac地址。

9、在发生紧急事件时，为避免造成更大损失和影响，信息科有权或者要求有关部门采取以下措施：

（1）拆除可能影响安全或有安全隐患的设备或部件；

（2）隔离相关的终端、服务器或网络；

（3）关闭相关的终端、服务器或网络；

10、各节点单位要加强计算机病毒的防治工作，切实履行下列职责:

（1）建立本单位的计算机病毒防治管理制度；

（2）采取计算机病毒安全技术防治措施;

（3）对本单位节点微机使用人员进行计算机病毒防治教育和培训;

（4）使用具有计算机信息与系统安全专用产品销售许可证的网络安全产品，定期检测，做好杀毒软件的升级，清除计算机信息系统中的计算机病毒,并备有检测清除记录；

10.电子政务的安全论文 篇十

电子政务外网建设到今天，基本建成从中央到地方统一的国家政务外网，横向连接各级党委、人大、政府、政协、法院、检察院等各级政务部门，纵向覆盖中央、省、地（市）、县，满足各级政务部门社会管理和公共服务的需要，确保了国家政务外网的统一性和完整性。这对政务外网的监管提出了更高的要求，建设信息安全监控体系，及时发现和处置网络攻击，防止有害信息传播，对网络和系统实施保护与监控是当务之急。

1.电子政务外网面临的安全威胁

电子政务外网是一个综合的、复杂的信息网络系统，它的运行情况、每一个环节和部件是否存在安全隐患和故障因素，应用系统的服务器和数据库资源是否存在安全漏洞和数据泄密或丢失等情况，就会对电子政务外网造成严重的威胁，主要威胁如下：

 基础网络面临的威胁：纵向到底，横向到边的政务外网基础网络架构，为电子政务提供了最基本的网络平台，而网络入侵、病毒入侵、僵尸网络等攻击行为严重威胁到网络的可用性、安全性。 互联网出口面临的威胁：电子政务外网的互联网出口处于一个公开的网络环境，信息泄露、病毒攻击、黑客防攻击、僵尸网络等严重威胁到电子政务的互联网出口边界。

 网站面临的威胁：“政府网站”的权威性和公信力都是其它网站所不能比拟的，同时政府门户网站促进了政府办事效率的提高，增强政府与企业与民众的亲和力，改善了政府的形象，而政府网站极易受到篡改、SQL注入、跨站攻击、网站挂马、网络舆情、网站服务中断的威胁。

 应用系统面临的威胁：业务应用是核心，而应用系统依赖多种基础设施支撑，管理人员很难直接判定问题是出在基础网络、系统服务器、数据库还是应用系统自身，故障难以定位将直接导致业务恢复时间的推迟，影响业务系统的正常运行，大大降低工作效率。

2.天融信电子政务外网安全解决方案 天融信基于TSM-TopAnalyzer建立的电子政务外网信息安全监控预警平台，实现全面的网络态势感知与监控预警系统，对网络活动行为进行有效的监控与评判，这就意味着基于事件的整合，发现这些问题，并对这些问题采取措施。并从管理的角度体现信息安全系统的动态模型，而不仅仅是一些静态的管理模型，重点提升对网络、互联网出口、核心业务系统、重要网站的主要安全威胁的可知、可控、可管能力。如下图所示：

图1 天融信电子政务外网安全监控预警平台重点业务示意图

电子政务系统信息安全监控预警平台是用户实现对业务系统的全局安全事件监控、安全设备监控、系统的状态监控及安全运作管理的中心枢纽。该平台是一种安全监控管理的形式，它的职能主要为技术和管理层面的监控职能，并有效地将安全监控与分析系统、态势感知系统、流量监控与分析系统、僵尸网络监控系统、蜜罐系统、病毒监控系统、网站安全监控与评估系统、应急工单管理系统和安全策略配置有机的整合在一起，如下图所示： 领导IT主管运维视角维护人员安全事件视角审计人员审计视角业务部门业务视角…………展示层监管视角外网监控预警中心互联网出口监控预警中心信息系统监控预警中心图形化展示、报表化展示、事件实时化展示……网站监控预警中心核心处理层专家知识库安全策略库安全监控模块关联分析模块事件监控模块态势感知模块流量分析模块违规监控模块流量监控模块风险分析模块预警响应模块网站评估模块病毒监控模块……其他外部系统接口应急响应体系数据采集层归一化引擎解析引擎过滤引擎流量清洗系统僵尸网络监测系统病毒监测系统蜜罐监测系统网站监测系统漏洞监测系统BGP路由监测……归并引擎监控对象层被动主动Syslog、SnmpTrap、SchedulorCollector、FileCollector、WMI、导入业务系统应用系统数据库网络设备其他基础设施…… 图2 天融信电子政务外网安全监控预警平台技术架构示意图

3.方案优势

本方案以用户业务风险管理为核心，充分利用天融信强大的日志采集专利技术、关联分析引擎和安全态势感知技术，实现对电子政务外网进行实时、高效的监控与预警。

 以业务风险为核心的全新安全视角

在全面、深入的了解客户业务的基础上，抽取出相应的安全目标，并结合一系列国际、国内以及行业标准和规范，为客户定制专用的业务风险计算模型和计算方法。从技术和管理的双重角度实现风险管理，为用户构建动态的可信安全监控预警平台。

 完善的事件采集

TSM-TopAnalyzer通过代理（Agent）收集多类安全事件源产生的日志信息，如安全设备、网络设备、操作系统以及应用系统等，在支持日常的日志格式（包括Syslog、Snmp trap、文件、数据库等）采集的同时，充分利用天融信专利技术（专利号：200710304767.3）可快速对未知设备（系统）的日志进行采集与分析。

 强大的关联分析引擎 由于各种攻击行为都会在不同的网络设备及安全设备中留下蛛丝马迹，导致事件的产生，但是单一的设备事件确难以有效的分析攻击行为及网络中实时威胁。天融信TSM-TopAnalyzer基于状态机原理，实时关联检测技术通过使用状态机来抽象和描述攻击的过程与场景，状态机间的状态转换的条件由不同安全事件触发，可以有效的帮助我们过滤事件，在大量事件（甚至是误报事件）中提取有用的信息。

 安全态势感知技术

11.电子政务的安全论文 篇十一

关键词 电子政务 信息安全体系 安全支撑体系

中图分类号：TP393 文献标识码：A

新时期的经济、文化、生态文明建设等都离不开电子政务的支撑。在对电子政务系统进行建设中，由于其自身发展的不完善，以及各种有意无意的电子政务违法犯罪行为，利益集团在电子政务上的利益博弈，进而使得电子政务安全问题频频发生。

1电子政务系统安全介绍

1.1电子政务系统的信息安全及其重要性

由于电子政务系统建立在互联网基础平台上，包含政务外网、内网和门户网。而互联网是有很多缺陷的全球网络，自身的安全风险隐患很多，使在互联网上开展的电子政务应用面临着严峻的挑战。

电子政务系统的信息安全是指一个国家的政府信息资源不受外来的侵害与威胁，信息资源不被故意的或偶然的非法授权泄漏、更改，防止信息被非法入侵者辨识、窃取、控制、利用等。信息安全成为如今政府信息化中的关键问题。安全问题是电子政务建设中的重中之重。信息安全包括：存储传输、系统风险管理、审计跟踪、备份与恢复、应急响应等方面的安全内容。

电子政务直接涉及到各级政府的重要核心政务，必须要求电子政务实施的过程具有极高的可靠性和安全性。电子政务系统中的信息安全还涉及到了公众权益、个人信息保密，甚至国家利益、社会稳定和国家安全等重要的问题。

1.2电子政务系统的信息安全意义

信息安全主要是采取各种措施，保证信息的机密性、完整性、一致性和不可否认性等。信息安全技术广泛应用于电子政务，规范了政务处理的流程，加快了信息流动，提高了政务处理效率，给政务工作方式带来了全新的变化。

当今，我国电子政务中信息安全技术主要有：数据加密技术、认证技术与数字签名、信息安全分级等级保护方法、入侵检测安全技术、政务系统安全域划分技术、虚拟专网技术、防火墙技术。

2电子政务系统结构模型及其系统安全体系的分析

2.1电子政务系统结构模型

我国电子政务系统结构从“三网一库”到政务内外网结构，使得数据信息能够实时快速的进行交换处理，地方政府尤其是基层政府对群众的服务需求的反应更加迅速。内外网结构模型，如图1所示。

2.2电子政务系统安全体系的分析设计

保障电子政务系统安全各组成部分构成电子政务系统安全体系。它包括电子政务安全支撑部分与电子政务安全法律法规部分，而电子政务安全支撑部分又由安全基础设备与设施、信息安全技术、安全管理、安全应急响应系统组成。

要建立全方位、多层次的、完善的电子政务系统安全体系，需要从这电子政务安全支撑部分的四个部分与电子政务安全法律法规部分这些方面来设计构造电子政务系统安全体系的框架模型。

3电子政务安全支撑结构构建

3.1电子政务系统安全的隐患介绍

电子政务系统安全性被破坏，造成机密的信息暴露或丢失，或网络被攻击导致系统功能毁坏等安全事件，带来的后果必然极为严重，不堪设想，电子政务信息系统也必然成为信息间谍、黑客等各类违法犯罪分子攻击的目标。电子政务系统安全主要包括以下方面的隐患：物理安全、系统安全、网络安全、应用安全及管理安全。

3.2电子政务安全支撑构建分析

根据电子政务系统安全隐患，电子政务安全支撑部分主要由以下部分组成：安全基础设备与设施；信息安全技术；安全管理；安全应急响应系统。

（1）电子政务建设的安全基础设备与设施

电子政务系统安全基础设备与设施是指能够为电子政务系统提供安全保障的物理硬件环境、设施設备和软件环境。它的具体内容主要包括以下方面：

①保护电子政务物理硬件设备、设施以及其它硬件媒体免遭水灾、地震、火灾等环境事故，人为操作的失误或错误，及各种计算机犯罪行为导致的破坏物理硬件环境、设施设备。

②能够为电子政务系统中的通信、交易各方提供共同信任的权限授予、握手协议、秘钥的分发和身份认证的公共第三方安全基础设施，它包括基于PKI技术的CA认证中心、可信的时间戳服务中心、密码秘钥管理中心、基于PMI的授权管理设施、信任策略库等安全基础设施。

（2）信息安全技术

电子政务安全技术是指保护电子政务系统正常安全工作的安全方法、原则、规则等。安全技术是由保障电子政务系统安全工作的技术组成的总和，电子政务安全技术主要由信息安全技术构成。信息安全技术广泛的应用在对电子政务系统起安全防护作用及起基础安全支撑作用等其他辅助作用的系统中，它负责电子政务系统的网络安全、局部计算的环境安全、区域边界安全等方面的保护以及能够为电子政务系统中的通信、交易各方提供共同信任的权限授予、握手协议、秘钥的分发和身份认证的基础安全支撑，它包括应用在防火墙系统、漏洞扫描系统、入侵监测系统、路由器、Web防篡改系统、DNS服务器安全系统、网络防病毒系统、基于PKI技术的CA认证中心、密码秘钥管理中心、基于PMI的授权管理设施等设施或系统中的信息安全技术。

（3）安全管理

保障电子政务系统安全的一个重要核心是安全管理，安全管理是确保安全技术得以有效实施的重要保障。依据电子政务系统的安全需求及系统所出现的问题，安全管理部分应该包括以下内容：安全管理的组织机构的设立、安全管理的规章制度的制定、对安全技术的管理、对系统工作人员的管理与培训、安全管理技术体系、对安全基础设备设施的管理、安全策略的制定与管理、对系统安全问题的管理、对从事电子政务系统安全工作的单位与个人的资质证书的认证等、对系统安全性能风险的评估与安全资产价值的评估、对安全管理的组织及其管理工作人员的工作职责的监督审查等。

（4）安全应急响应系统

安全应急预案又称为安全事件预警与应急响应方案，它是建立起应对安全突发事件的综合系统，电子政务安全应急响应系统是指通过整体部署入侵检测、安全性能风险评估、预警与响应等的应用，作为有效的技术支撑手段，建立起以安全工作人员队伍为基础、技术服务队伍为后备，构建组织管理，制定制度规范标准、预案流程等综合措施，以便尽早分析、发现和确认将要发生或己发生的有严重危害的网络安全和计算机突发事件，并对其进行应急响应，采取有效应对措施，以尽可能降低将要造成的危害和损失的综合安全系统。

安全应急响应服务指当安全事件发生后，安全运维服务团队根据安全突发事件及预案快速應急响应。应急响应预案应按照准备、检测、抑制、根除、恢复、跟踪等一系列标准措施制定，保证网络安全无忧，预防危险发生。应急处理和灾难恢复。这是电子政务建设近期迫切需要的。

（5）电子政务安全法律法规

国家相关部门最新数据显示，中国遭受境外网络攻击的情况日趋严重，仅今年前两个月，就有境外5324台主机通过植入后门对中国境内11421个网站实施远程控制，此外，针对中国网上银行、支付平台、网上商城等的钓鱼网站有96%位于境外，中国境内遭受网络攻击的情况十分严重。因此面对如此严峻形势，需要国家相关部门尽快出台国家信息安全战略，确保网络空间有法可依，并加大网络违法犯罪打击力度，整合部门、企业、社会组织等构建国家网络安全综合防御体系，切实维护网络安全，尤其是保障电子政务网络的安全。

4总结

如何保障电子政务安全，做好电子政务安全建设，成为各国政府亟待解决的问题。作为一个庞大的系统工程，电子政务系统安全体系的建设是其中的一个极为重要的复杂的系统工程，信息安全支撑部分是电子政务系统安全体系中的重要组成部分，也是保障电子政务系统安全的极为重要的手段。通过对电子政务系统信息安全支撑系统进行介绍，进而为构建安全电子政务系统提供一定借鉴意义。

参考文献

[1] 张剑锋.电子政务安全体系研究[J].数字技术与应用，2013（11）.

[2] 陈荣艺.电子政务中信息安全技术的应用研究[D].广东工业大学，2013.