电子政务及安全

电子政务及安全

一、电子政务

电子政务的定义

• 电子政务是指国家机关在政务活动中，全面应用现代信息技术、网络技术以及办公自动化技术等进行办公、管理和为社会提供公共服务的一种全新的管理模式。电子政务是政府在国民经济和社会信息化的背景下，以提高政府办公效率，改善决策和投资环境为目标，将政府的信息发布、管理、服务、沟通功能向互联网上迁移的系统解决方案。同时也提供了结合振幅管理流程再造，构建和优化政府内部管理系统、决策支持系统、办公自动化系统，为政府信息管理、服务水平的提高提供强大的技术和咨询支持。

电子政务的内容

1. 政府从网上获取信息，推进网络信息化
2. 加强政府的信息服务，在网上设有政府自己的网站和主页，向公众提供可能的信息服务，实现政务公开
3. 建立网上服务体系，使政务在网上与公众互动处理，即“电子政务”
4. 将电子商业用于政府，即“政府采购电子化”。
5. 充分利用政务网络，实现政府“无纸化办公”。
6. 政府知识库。

网络规范

1. 网络结构——国家电子政务网络由基于国家电子政务传输网的政务内网和政务外网组成。统一的国家电子政务传输骨干网由各级电子政务传输骨干网共同形成。政务内网和政务外网都是电子政务的业务网络。政务内网与政务外网之间不连接,政务内网与互联网之间不连接;政务外网是电子政务的专用业务网络，政务外网可与互联网之间安全连接。
2. 网络安全
3. 环境和设备安全
4. 传输骨干网网络安全
5. 业务网络网络安全
6. 电子政务外网安全管理规范——政务外网省至地（市）广域网和省级、地（市）级城域网应达到安全等级保护第三级要求，地（市）级至区县广域网和地（市）以下城域网应至少达到安全等级保护第三级的要求。政务在省、市（地）分别建设两级安全接入平台，形成政务外网安全接入体系。县级可通过市级平台接入。
7. IPSecVPN隧道接入：主要应用于非专线接入政务外网的单位，采用网关对网关接入进行组网以及远程终端接入进行长时间连接、数据上报、视频会议等非WEB方式访问的业务。对于专线接入单位，当专线发生故障时，应急情况下也可采用网关对网关接入方式，通过Internet或移动通信网的VPDN实现业务的不中断传输。
8. SSL VPN安全接入：主要应用于接入终端WEB方式接入政务外网，访问业务系统、远程桌面管理、远程办公等。
9. VPDN接入：专线接入用户可使用智能终端通过VPDN专线接入，VPDN专线接入和Internet接入类似，统一从政务外网安全接入平台入口进入。各级安全接入平台依据用户所要访问的业务应用系统的安全情况应采取IPSec VPN或SSL VPN网关对传输链路进行加密。

二、政务安全

• 被动攻击：主要包括被动攻击者监视、接收、记录开放的通信信道上的信息传送。
• 主动攻击：指攻击者主动对信息系统所实施的攻击，包括企图避开安全保护、引入恶意代码，及破坏数据和系统的完整性。如破坏数据的完整性、越权访问、冒充合法用户、插入和利用恶意代码、拒绝服务攻击等。
• 邻近攻击：指攻击者试图在地理上尽可能接近被攻击的网络、系统和设备，目的是修改、收集信息，或者破坏系统。
• 分发攻击：是指攻击者在电子政务软件和硬件的开发、生产、运输和安装阶段，恶意修改设计、配置的行为。

三、电子政务信息安全等级保护

电子政务信息安全等级保护的原则

• 重点保护原则：电子政务等级保护要突出重点。对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统，应集中资源优先建设。
• “谁主管谁负责、谁运营谁负责”原则：电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则，由各主管部门和运营单位依照国家相关法规和标准，自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。
• 分区域保护原则：电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平，分类、分级、分阶段进行实施，通过划分不同的安全区域，实现不同强度的安全保护。
• 同步建设原则：电子政务系统在新建、改建、扩建时应当同步建设信息安全设施，保证信息安全与信息化建设相适应。
• 动态调整原则：由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中，因此信息与信息系统的安全保护等级需要根据变化情况，适时重新确定，并相应调整对应的保护措施。

电子政务安全等级的层级划分

• 第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。
• 第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
• 第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
• 第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
• 第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

四、电子政务安全管理的主要问题

（一）办公环境的安全问题

• 为了保障电子政务安全,首先需要考虑办公环境的安全问题,即电子 化的办公系统在运行过程中的安全问题。 其中包括办公人员的身份确认 问题,不同级别的政府官员和办公人员的权限控制问题,办公系统中的数据 安全使用和存储问题,日常的病毒防范问题,对付网络攻击的问题,以及物 理环境安全问题等。

（二）内部网络的安全问题

• 电子政务系统是在网络环境下运行的,因此,网络安全是安全保障的 重要内容之一,它具体包括不同政府部门或不同级别的机构之间广域网数 据传输的机密性和完整性问题,上下级之间网络互访的可控性问题,及广域 网有效带宽的可用性问题等。 此外,还包括政府移动办公的安全问题,如 政府官员移动办公的身份确认、权限控制和数据通信加密等问题。

（三）对外服务的安全问题

• 电子政务不仅仅是内部办公的问题,还涉及许多对外 服务的内容,包括对企业和个人的服务。 这其中也存在很 多安全问题,例如公众访问权限可约束的问题,信息服务文 档的防篡改问题,网络服务平台的可用性问题,网络访问的 可控性问题,信息交互的机密性、完整性及不可否认性问题等。