电子政务及安全

电子政务及安全研究报告

任务要求

0. 通过微信读书、cnki、密码行业标准化技术委员会网站等途径查找电子政务及安全相关内容，列出你查找的资料
1. 综述解电子政务的内容和网络规范的内容
2. 综述政务应急平台的内容
3. 综述子政务安全的内容
4. 综述电子政务安全管理的内容
5. 综述电子政务信息安全等级保护、电子政务认证和权限管理的应用、政务信息交换的安全机制的相关内容
6. 提交上述内容研究报告

查找资料

电子政务百度百科
电子政务及其信息安全
GB/T 21061-2007国家电子政务网络技术和运行管理规范
电子政务安全管理.pdf
《关于信息安全等级保护工作的实施意见》
电子政务网络安全等级保护
电子政务系统权限管理机制及实现
电子政务电子认证服务业务规则规范
政务信息共享数据安全国家标准

电子政务

一、定义

电子政务是指国家机关在政务活动中，全面应用现代信息技术、网络技术以及办公自动化技术等进行办公、管理和为社会提供公共服务的一种全新的管理模式。电子政务是政府在国民经济和社会信息化的背景下，以提高政府办公效率，改善决策和投资环境为目标，将政府的信息发布、管理、服务、沟通功能向互联网上迁移的系统解决方案。同时也提供了结合振幅管理流程再造，构建和优化政府内部管理系统、决策支持系统、办公自动化系统，为政府信息管理、服务水平的提高提供强大的技术和咨询支持。

与传统政府的公共服务相比，电子政务除了具有公共物品属性，如广泛性、公开性、非排他性等本质属性外，还具有直接性、便捷性、低成本性以及更好的平等性等特征。

二、主要内容

1. 政府从网上获取信息，推进网络信息化
2. 加强政府的信息服务，在网上设有政府自己的网站和主页，向公众提供可能的信息服务，实现政务公开
3. 建立网上服务体系，使政务在网上与公众互动处理，即“电子政务”
4. 将电子商业用于政府，即“政府采购电子化”。
5. 充分利用政务网络，实现政府“无纸化办公”。
6. 政府知识库。

三、电子政务模式

• 政府部门内部利用先进的网络信息技术实现办公自动化、管理信息化、决策科学化；
• 政府部门与社会各界用户（企业和公众）利用网络信息平台充分进行信息共享与服务、加强群众监督、提高办事效率及促进政务公开等等。

四、发展阶段

• 公文电子化；
• 内部办公自动化，建立政府部门内部办公自动化系统，应用计算机辅助行文、汇报、报表及管理业务，达到业务流程化；
• 行政管理网络化，实现在线信息交互和网上交互式办公；
• 部门间协同工作，以业务（项目）为中心，多个政府机构利用网络平台协同工作。

五、形式

• 网上信息发布，用户可以从网上获取法规、办事程序条例等政务信息；
• 网上信息单向流动，用户可以下载表格等；
• 网上双向互动，实现信息交互，网上登记、信息咨询、上传表格、政府采购、招标、报税等；
• 在线事务处理，涉及多个部门的业务借助网络完成处理，网上政府审批、证照办理等。

六、保障机制

• 组织保障机制；
• 法律政策保障机制；
• 经济保障机制；
• 技术保障机制；
• 人才保障机制；
• 安全保障机制；

网络规范

一、主要特性

1. 保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。
2. 完整性：数据信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
3. 可控性：对信息的传播及内容具有控制能力。
4. 可审查性：出现的安全问题时提供依据与手段
5. 可用性：当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击

二、全方位安全体系

• 访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。
• 检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。
• 攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。
• 加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。
• 认证：良好的认证体系可防止攻击者假冒合法用户。
• 备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。
• 多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。

三、网络安全分析

1. 物理安全：地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。
2. 网络结构的安全：企业内部局域网构成的设计安全，比如将对外服务器（WEB、DNS、EMAIL等）和外网及内部其它业务网络进行必要的隔离，避免恶意攻击到内部服务器；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包和端口到达相应主机，拒绝其他所有的访问请求
3. 系统的安全：指整个网络操作系统和网络硬件平台的稳定性和安全性。
4. 管理的安全：责权分明，制定严格完整的内部管理规范。
5. 威胁网络安全因素：自然灾害、意外事故；计算机犯罪；人为行为，比如使用不当，安全意识差，黑客的入侵或侵扰，拒绝服务计算机病毒，内部泄密，外部泄密等。

四、网络安全措施

• 安全技术手段

1. 物理措施：建立安全的机房保护网络设备(如交换机、大型计算机等)，安装防静电地板、防辐射、防火、防水以及不间断电源（UPS）等硬件设施。
2. 访问控制：使用域安全策略和NTFS文件权限对用户访问网络资源的权限进行严格的认证和控制。对设备密码进行统一管理和定期更改，控制网络设备配置的权限。使用防火墙通过对网络的隔离和用户限制访问等方法来控制网络的访问权限。
3. 备份措施：使用RAID进行硬件容错和建立完善的备份机制，包括定时备份、实时备份和备份文件安全存储

• 漏洞扫描系统
  定期对工作站、服务器、交换机等进行安全检查。比如各个杀毒软件的漏洞扫描，插件扫描，端口扫描等。
• 网络版杀毒产品部署
  可以使整个局域网内杜绝病毒的感染、传播和发作。具有远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。
• Internet 防火墙Microsoft ISA
  ISA防火墙控制了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙，接受防火墙的检查。防火墙只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。
• 网络安全硬件
  入侵防御设备(IPS),入侵监测设备（IDS），一体化安全网关（UTM），较早的安全硬件还有硬件防火墙。
• 安全防范意识
  具备提前发现、提前预防、尽量消除潜在的安全隐患。

政务应急平台

政府应急平台综合应用系统（简称综合应用系统）要求满足日常应急值守和处置突发事件的需要，系统以计算机网络、主机存储、支撑软件等基础支撑系统为软硬件平台，以数据库系统为运行基础，提供强大的数据和业务管理能力。主要由面向业务应用的应急值守、综合业务管理、预案管理、应急资源管理、一张图辅助决策、一张图监测预警、一张图应急处置、一张图协同会商、应急评估、手机工作平台后台管理系统及后台智能服务助手等11个业务应用系统组成；专题应用系统、在线会商系统、风险隐患监控分析系统及数据交换与共享系统等5个系统/产品作为辅助应用部分。

电子政务安全

电子政务安全是指保护电子政务网络及其服务不受未经授权的修改、破坏或泄漏，防止电子政务系统资源和信息资源受自然和人为有害因素的威胁和危害，电子政务安全就是电子政务的系统安全和信息安全。

攻击类型

• 被动攻击：主要包括被动攻击者监视、接收、记录开放的通信信道上的信息传送。
• 主动攻击：指攻击者主动对信息系统所实施的攻击，包括企图避开安全保护、引入恶意代码，及破坏数据和系统的完整性。如破坏数据的完整性、越权访问、冒充合法用户、插入和利用恶意代码、拒绝服务攻击等。
• 邻近攻击：指攻击者试图在地理上尽可能接近被攻击的网络、系统和设备，目的是修改、收集信息，或者破坏系统。
• 分发攻击：是指攻击者在电子政务软件和硬件的开发、生产、运输和安装阶段，恶意修改设计、配置的行为。

电子政务安全管理

安全目标

物理安全、信息安全、技术安全、管理安全、政治安全

安全管理问题

• 办公环境的安全问题
      为了保障电子政务安全,首先需要考虑办公环境的安全问题,即电子化的办公系统在运行过程中的安全问题。 其中包括办公人员的身份确认问题,不同级别的政府官员和办公人员的权限控制问题,办公系统中的数据安全使用和存储问题,日常的病毒防范问题,对付网络攻击的问题,以及物理环境安全问题等。
• 内部网络的安全问题
      电子政务系统是在网络环境下运行的,因此,网络安全是安全保障的重要内容之一,它具体包括不同政府部门或不同级别的机构之间广域网数据传输的机密性和完整性问题,上下级之间网络互访的可控性问题,及广域网有效带宽的可用性问题等。 此外,还包括政府移动办公的安全问题,如政府官员移动办公的身份确认、权限控制和数据通信加密等问题。

电子政务信息安全等级保护

原则

• 重点保护原则
  电子政务等级保护要突出重点。对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统，应集中资源优先建设。
• “谁主管谁负责、谁运营谁负责”原则
  电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则，由各主管部门和运营单位依照国家相关法规和标准，自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。
• 分区域保护原则
  电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平，分类、分级、分阶段进行实施，通过划分不同的安全区域，实现不同强度的安全保护。
• 同步建设原则
  电子政务系统在新建、改建、扩建时应当同步建设信息安全设施，保证信息安全与信息化建设相适应。
• 动态调整原则
  由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中，因此信息与信息系统的安全保护等级需要根据变化情况，适时重新确定，并相应调整对应的保护措施。

层级划分

• 第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。
• 第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
• 第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
• 第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
• 第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

电子政务认证和权限管理

认证

公钥基础设施（PKI）：基于公钥密码技术实施的具有普适性的基础设施，可用于提供机密性、完整性、真实性及抗抵赖性等安全服务。
加密
加密证书
密码模块：实现密码运算功能的、相对独立的软件、硬件、固件或其组合。
密码算法
密钥key
证书更新
密钥更新
密钥恢复
签名证书：用于证明签名公钥的数字证书。
身份鉴别/实体鉴别
数字签名：签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果，该结果只能用签名者的公钥进行验证，用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。
数字证书：也称公钥证书，由证书认证机构CA起那么的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。
私钥
证书撤销列表CRL
证书认证机构CA
证书注册机构RA
证书依赖方

权限管理

• 基于PMI的电子政务权限管理机制
• PMI与PKl
• 属性证书与公钥证书
• PMI特权管理体系结构

政务信息交换安全机制