电子政务之信息安全管理

第六章信息安全管理

第一节信息安全管理概述

一、信息安全管理的内容

1、什么信息安全管理？

通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织信息安全目标的活动。

2、信息安全管理的主要活动

制定信息安全目标和寻找实现目标的途径；

建设信息安全组织机构，设置岗位、配置人员并分配职责；

实施信息安全风险评估和管理；制定并实施信息安全策略；

为实现信息安全目标提供资源并实施管理；

信息安全的教育与培训；信息安全事故管理；信息安全的持续改进。

3、信息安全管理的基本任务

（1）组织机构建设（2）风险评估（3）信息安全策略的制定和实施

（4）信息安全工程项目管理（5）资源管理

◆（1）组织机构建设

★组织应建立专门信息安全组织机构，负责：

①确定信息安全要求和目标；②制定实现信息安全目标的时间表和预算

③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度

⑤提出信息安全年度预算，并监督预算的执行⑥组织实施信息安全风险评估并监督检查

⑦组织制定和实施信息安全策略，并对其有效性和效果进行监督检查

⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理

⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作

★组织应设立信息安全总负责人岗位，负责：

①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定

③提出信息安全年度工作计划④总协调、联络

◆（2）风险评估

★信息系统的安全风险

信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

★信息安全风险评估

是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的XX性、完整性和可用性等安全属性进行科学评价的过程

它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

★信息系统安全风险评估的总体目标是：

服务于国家信息化发展，促进信息安全保障体系的建设，提高信息系统的安全保护能力。★信息系统安全风险评估的目的是：

认清信息安全环境、信息安全状况；有助于达成共识，明确责任；采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性。

★信息安全风险评估的基本要素

使命：一个单位通过信息化实现的工作任务。

依赖度：一个单位的使命对信息系统和信息的依靠程度。

资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。

价值：资产的重要程度和敏感程度。

威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。

脆弱性：信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。

风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。

残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。

安全需求：为保证单位的使命能够正常行使，在信息安全防护措施方面提出的要求。

安全防护措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。

★信息安全风险评估的标准制定工作

2004年全国信息安全标准化技术委员会将《信息安全风险评估指南》列入2005年度国家信息安全标准制定工作计划中, 将《信息安全风险管理指南》列入国家信息安全标准研究工作规划中。

目前《信息安全风险评估指南》已完成评审, 报国家标准管理委员会颁布国信办已以国信【2006】9号文的形式发各部委和省市

★《信息安全风险评估指南》主要内容

规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则；

介绍了风险评估的定义、风险评估的模型以及风险评估的实施过程；

详细描述了对资产、威胁和脆弱性的识别方法；

描述了风险评估在信息系统生命周期中的作用；描述了风险评估的不同形式；

在附件中介绍了信息安全风险评估的方法、工具和实施案例

◆（3）信息安全策略的制定和实施

策略：解决某一方面问题的目的、X围、流程、准则的集合

信息安全策略文件

就每一个策略建立实施计划，落实所需资源

策略发布后，实施培训

策略的评审和修订

◆（4）信息安全工程项目管理

需求分析；规划立项；实施；验收；工程监理

◆（5）资源管理

信息安全预算；人力资源；基础设施；信息安全教育培训

二、信息安全管理体系

1、什么是管理体系

★ISO9000-2000中的相关定义

体系system——相互关联和相互作用的一组要素

管理体系 management system——建立方针和目标并实现这些目标的体系

我国管理体系组织机构

国家认证认可监

督管理委员会

中国合格评定

国家认可中心

CNAB CNAT CNAL

★目前流行的管理体系

质量管理体系QMS——ISO/IEC9000，9001，9004等；环境管理体系EMS——ISO/IEC14000；职业安全卫生管理体系——OHMSAS18000；信息安全管理体系 ISMS——ISO/IE17799&ISO27001；

2、信息安全管理体系

★ISMS：

◇Information Security Management System 信息安全管理体系

◇指在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。

◇信息安全目标应是可度量的

★信息安全管理体系要素包括

◇信息安全方针、策略；◇信息安全组织结构；◇各种活动、过程；◇信息安全控制措施；◇人力、物力等资源；◇其他……

信息安全管理体系方法图解：

三、信息安全管理标准

★安全标准可以分成以下几大类：

安全体系结构和框架标准；分层安全协议标准；安全技术标准；具体应用安全标准；安全管理标准

当前信息安全面临着“道高一尺，魔高一丈”的尴尬处境，在信息安全技术进步的同时，信息安全问题却越来越严重，人们逐渐深刻地认识到，信息安全不只是个技术问题，而更多地是商业、管理和法律的问题。实现信息安全不仅仅需要采用技术措施，还需要更多地借助于技术以外的其它手段，如规X安全标准和进行信息安全管理，这一观点被越来越多的人们所接受。单纯的技术不能提供信息全面的安全保护，仅靠安全产品并不能完全

解决信息的安全问题已逐渐成为共识。

在全社会普遍关注信息安全的情况下，各个企业或机构又都面临遵循XX标准与安全法规的要求，越来越多的经理人和董事会或领导层也逐渐认识到自己在信息安全管理中所必须担负的责任和义务。同时，有关信息安全标准、法律和法规的数量正在迅速增加，许多机构都面临遵守各种安全标准和法规的要求。随着越来越多的标准、法律和法规的出台，统一安全标准的需求自然成为一个很现实的问题。

★信息安全管理国际标准的发展过程

1992年，世界经济合作与发展组织（oecd）发表了《信息系统安全指南》，旨在帮助成员和非成员的政府和企业组织增强信息系统的风险意识，提供一般性的安全知识框架。美国、oecd的其他23个成员，以及十几个非oecd成员都批准了这一指南。

该指南旨在提高信息系统风险意识和安全措施，提供一个一般性的框架以辅助针对信息系统安全的有效的度量方法、实践和程序的制定和实施，鼓励关心信息系统安全的公XX私有部门间的合作。促进人们对信息系统的信心，促进人们应用和使用信息系统，方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管理和用户实践，及公众教育/宣传活动。该指南的最终目的是作为政府、公众和私有部门的信息安全管理的基准，相关机构能通过此基准来衡量本身在信息安全管理方面的进展。

1998年，国际会计师联合会发表了一个有关《信息安全管理》的文件，认为信息系统安全的目标有三个：可用性，即确保信息系统在需要的时候可用；XX性，即对数据信息的访问控制设计完备的策略；完整性，即保证数据信息不受未经授权的修改。

1993年1月，英国标准协会（british standards institution,简称bsi）成立了信息安全的行业工作小组。1993年9月，信息安全管理体系实施要则出版。1995年2月，英国标准协会制定的信息安全管理体系标准bs7799-1出版。1998年2月，bs7799-2出版。bs7799对信息安全的控制X围、安全准则、安全管理等要素做出了规X性的表述。2002年9月：bs7799-2:2002出版。

目前，在信息安全管理体系方面，ISO27001（原BS7799标准）已经成为世界上应用最广泛与典型的信息安全管理标准。

该标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制X围的参考基准，并且适用于大、中、小组织。

1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规X》，它规定信息安全管理体系要求与信息安全控制要求，是一个组织的全面或部分信息安全管理体系评估的基础，可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于 1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。

2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了ISO的认可，正式成为国际标准―― ISO/IEC17799-1：2000《信息技术-信息安全管理实施细则》。2002年9月5日，BS7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准――ISO27001，同时BS7799-2:1999被废止。2006年5月，BS7799-3：2006《信息安全风险管理指南》出版。

针对ISO27001标准的受认可的认证，是对组织信息安全管理体系（ISMS）符合BS7799-2 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了信息安全管理体系，并且符合BS7799-2 标准的要求。通过认证的组织，将会

被注册登记，并且与认证委员会、DTI 以及ISMS IUG的国际网络相联系。

目前，已有20多个国家引用BS 7799-2作为国标，BS 7799(ISO/IEC17799)也是卖出拷贝最多的管理标准，其在欧洲的证书发放量已经超过ISO9001。并有41 个国家和地区开展了此项业务，我国的XX和XX地区也已经采用并推广了BS7799标准。在XX，BS7799-1:1999 被引用为S 17799，而BS7799-2:2002 则被引用为S 17800。在中国大陆，BS7799 标准全面解析（ISMG-005）的国标化一直是个热点议题，而相关的ISMS认证工作正在逐步运行。

BS7799标准从正式发布到现在的十年时间里，全球接受并且按照BS7799 最佳实践来实施ISMS 的组织达到了近10 万家，其中很多都是国际上知名的企业，例如富士通、KPMG、Insight、三星电子、东芝、索尼、Symantec 等。根据ISO/IEC 17799（BS 7799）国际使用者协会的最新统计，到2005年4月，全球通过信息安全管理体系BS 7799-2认证的组织已经超过1200家。证书主要集中在日本、英国、印度、XX。证书的行业分布主要在政府、金融、通信、电子、物流等行业。

★通过ISO27001认证好处

①保护企业的知识产权、商标、竞争优势；②维护企业的声誉、品牌和客户信任；

③减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失；

④强化员工的信息安全意识，规X组织信息安全行为；

⑤在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度

★ISO27001的主要内容

目前ISO27001主要由3部分组成。分别是：《信息安全管理实施细则》、《信息安全管理体系规X》、《信息安全风险管理指南》。

ISO17799:2005的新架构包括11个控制域、39个控制措施，133个控制点。(其中11个控制域分别是安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作安全、信息系统获得，开发和维护、访问控制、信息安全事件管理、业务连续性管理、合规性)。作为一套管理标准，ISO27001指导相关人员怎样去应用ISO/IEC 17799，其最终目的，还在于建立适合组织需要的信息安全管理体系。

第二节信息安全策略

一、信息安全策略概述

1、什么是信息安全策略

信息安全策略（Information Security Policy）是一组规则，它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。

计算机安全研究组织SANS关于计算机安全策略的定义是：“为了保护存储在计算机中的信息，安全策略要确定必须做什么，一个好的策略有足够多‘做什么’的定义，以便于执行者确定‘如何做’，并且能够进行度量和评估”。

2、信息安全策略的内容

信息安全策略可以划分为两个部分，问题策略（issue policy）和功能策略（ functional policy）。

基本策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。

功能策略描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。

信息安全策略必须有清晰和完全的文档描述，必须有相应的措施保证信息安全策略得到强制执行。在组织内部，必须有行政措施保证即定的信息安全策略被不打折扣地执行，管理层不能允许任何违反组织信息安全策略的行为存在，另一方面，也需要根据业务情况的变化不断地修改和补充信息安全策略。

3、信息安全策略的特性

信息安全策略的内容应该有别于技术方案，信息安全策略只是描述一个组织保证信息安全的途径的指导性文件，它不涉及具体做什么和如何做的问题，只需指出要完成的目标。信息安全策略是原则性的和不涉及具体细节，对于整个组织提供全局性指导，为具体的安全措施和规定提供一个全局性框架。在信息安全策略中不规定使用什么具体技术，也不描述技术配置参数。

信息安全策略的另外一个特性就是可以被审核，即能够对组织内各个部门信息安全策略的遵守程度给出评价

二、信息安全策略保护对象

三、主要信息安全策略

◆1、口令策略

所有系统都需要口令，以拥有易于实现的第一级别的访问安全性。为确保网络安全运行，保护所拥有的权益不受侵害，可以制定如下管理策略：

（1）网络服务器口令的管理：

服务器的口令，由部门负责人和系统管理员商议确定，必须两人同时在场设定。

服务器的口令需部门负责人在场时，由系统管理员记录封存。

口令要定期更换（视网络具体情况），更换后系统管理员要销毁原记录，将新口令记录封存。

如发现口令有泄密迹象，系统管理员要立刻报告部门负责人，有关部门负责人报告安全部门，同时，要尽量保护好现场并记录，须接到上一级主管部门批示后再更换口令。（2）用户口令的管理：

对于要求设定口令的用户，由用户方指定负责人与系统管理员商定口令，由系统管理员登记并请用户负责人确认（签字或通知）之后系统管理员设定口令，并保存用户档案。

在用户由于责任人更换或忘记口令时要求查询口令或要求更换口令的情况下，需向网络服务管理部门提交申请单，由部门负责人或系统管理员核实后，对用户档案做更新记载。

如果网络提供用户自我更新口令的功能，用户应自己定期更换口令，并设专人负责XX和维护工作。

◆2、计算机病毒和恶意代码防治策略

病毒防护策略必须具备下列准则：

（1）拒绝访问能力：来历不明的入侵软件（尤其是通过网络传过来的）不得进入系统。（2）病毒检测能力：病毒总是有可能进入系统的，系统中应设置检测病毒的机制。除了检测已知类病毒外，能否检测未知病毒是一个重要的指标。

（3）控制病毒传播的能力：没有一种方法能检测出所有的病毒，一旦病毒进入了系统，应不让病毒在系统中到处传播。系统一定要有控制病毒传播的能力。

（4）清除能力：如果病毒突破了系统的防护，即使它的传播受到了控制，也要有相应的措施将它清除掉。对于已知类病毒，可以使用专用杀毒软件；对于未知类病毒，在发现后

使用软件工具对它进行分析，尽快编写出消毒软件。当然，如果有后备文件，也可使用它直接覆盖受感染文件，但一定要查清楚病毒的来源。

（5）恢复能力：有可能在清除病毒以前，病毒就破坏了系统中的数据，系统应提供一种高效的方法来恢复这些数据。

（6）替代操作：可能会遇到这种情况，问题发生时，手头没有可用的技术，任务又必须执行下去。系统应该提供一种替代操作方案。在恢复系统时可用替代系统工作，等问题解决以后再换回来。这一准则对于战时的军事系统是必须的。

◆3、安全教育与培训策略

在安全教育策略具体实施过程中应该有一定的层次性：

（1）主管信息安全工作的高级负责人或各级管理人员：重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。（2）负责信息安全运行管理及维护的技术人员：重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。

（3）用户：重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。

◆4、可接受使用策略AUP

可接受使用策略（Acceptable Use Policy）是指由官方发布的使用网络或计算机系统的有关事项说明，其中规定了对网上业务活动的某些限制。

如果没有为组织机构中的电脑和网络制定可接受使用策略（AUP），那么企业或组织就是对安全缺口、可能出现的法规罚款和诉讼敞开了大门，这些隐患可能来自员工、用户行为造成的影响，也可能来自员工、用户对网络不正当的使用。

仅仅告诉员工不要将网络设备用于非工作活动是不够的，还需要建立和发放书面策略，并要求使用者在收到并阅读后签署策略。其关键在于要设计出有效、公平，而且持续稳定的策略。

策略的内容——可接受使用策略中一般包括以下内容：

（1）针对网络用户的个人隐私策略:

应该声明所有保存公司计算机及网络中，或者从公司计算机及网络上发送或者接收到的信息都会接受安全监控。

（2）企业信息策略：

密码与XX信息共享的策略:禁止用户登录任何不属于自己的XX，禁止用户委托他人使用自己的信任状进行登录，禁止在登录以后允许他人使用系统。

离开工位时需要关闭工作站的安全策略；针对电子附件的策略；禁止用户取消计算机和网络上的安全性能与机制的策略；禁止非法安装软件；禁止非法在可移动介质上复制公司信息，或者向网络外部发送企业信息。等等。

（3）关于加密的使用策略：

关于在新闻组和讨论区发表意见的策略，需要免责声明来表示发送者的意见为个人行为，不代表公司行为。

关于个人所有的膝上电脑、手持电脑、智能接入公司网络的策略。禁止将任何未经授权的调制解调器、无线接入点以及其他设备接入公司网络。

明确规定不正当的行为，如XX文字，侵犯、非法的文件共享；发送骚扰或恐吓信息；发送垃圾；参与网络钓鱼或者其他一些欺诈性行为；在网络内部或外部侵入他人系统；发送恶意代码；未经允许访问网络数据；拦截发送给他人的数据（使用sniffers或者其他工具）；使用欺骗技术来伪装电子地址或者其他网络行为。

四、信息安全策略的制定、执行和维护

1、制定信息安全策略

（1）制定信息安全策略的原则：

先进的网络安全技术是网络安全的根本保证；严格的安全管理是确保信息安全策略落实的基础；严格的法律、法规是网络安全保障的坚强后盾

（3）信息安全策略制定流程：

1）确定信息安全策略的X围；2）风险评估/分析或者审计；3）信息安全策略的审查、批准和实施

2、信息安全策略的执行

当安全策略编写和批准发布之后，应当建立保障手段确保安全策略被有效遵守和执行，责任声明和惩罚制度是最重要的保障手段，它应该明确阐述违反安全策略的行为将要

承担什么样的责任，接受哪些责任追究。

无论信息安全策略考虑得有多好，制定得有多详尽，但是如果人们不知道这些策略，仍然毫无用处。一个信息安全策略如果是由最高管理者颁布的，则是一个好的开始。除此之外，还有一些好的手段：

1）印刷日历，强调每个月不同的策略，将它们X贴在办公室中。

2）利用幽默和简单的语言表述信息安全策略，分发给每个员工。

3）设立一些几十分钟的内部培训课程。

4）进行信息安全策略知识竞赛。

5）将信息安全策略和标准发布在内部系统的上。

6）向员工发送宣传信息安全策略的。

7）建立内部安全热线，回答雇员关于信息安全策略的问题。

3、信息安全策略的维护

信息安全策略由人制定，人对于信息和网络系统的了解和认识是在不断深化的，而且一个企业、组织的业务在不断发展，信息技术在发生日新月异的变化，因此，没有完美无缺的信息安全策略，策略文档不能够一成不变，必须接受定期的审查和修订，以保证安全策略与整体信息安全目标相一致。

信息安全策略审查周期通常为6个月或者1年，或者在企业、组织业务模式以及支撑业务实现的信息技术发生重大变化的时候进行。审查过程中最重要的内容是从风险评估或者日志审计分析中所获得的信息，其他有用的信息是从管理层得到的业务信息和业务过程信息，以及来自系统管理员和网络管理员的信息反馈。

信息安全管理X例

1、中国人民银行信息安全管理规定

2、中国移动网络与信息安全总纲

3、全国国土资源信息网络系统安全管理规定

4、税务系统网络与信息安全管理岗位及其职责

5、公安机关信息安全等级保护检查工作规X

县电子政务网络安全管理办法

县电子政务网络安全管理办法—规章制度 为加强我县电子政务网络安全管理工作，确保网络安全运行，结合我县的实际情况特制定电子政务网络安全管理办 法。 1、各单位网络管理人员必须精心维护好单位的网络设备，做到防尘、防热、防潮、防水、防磁、防静电等，以增加设备使用年限。县政府办将定期对各单位的网络管理情况进行检查，发现不能达到以上要求的单位，将对其进行通报批评，对由于管理人员疏忽造成网络安全事故的，将追究相关管理员及单位领导责任。 2、各联网单位不得随意更改政务网络接入设备配置，不得擅自切断电子政务网络设备电源，不得擅自挪动相关设备和切断、移动相关传输线路，不得擅自与其他网络对接，不得随意增加交换机、集线器以及接入信息点数量，如需进行以上变动，应向县政府办信息科提出申请，经批准后方可实施。 3、各联网单位要增强网络安全意识，严禁登陆浏览黄色网站（网页），禁止下载、使用存在安全隐患的软件，不得打开来历不明的电子邮件附件，不得随意使用计算机文件共享功能，防止计算机受到病毒的侵入。

4、工作时间禁止玩网游、下载电影及大型软件，以保证本单位网络速度。县政府办信息科将采取技术措施对互联网出入口的数据进行监控，对发现的问题将在全县范围内进行通报，并按照相关规定严肃处理。 5、政务网计算机使用单位和个人，都有保护政务网信息与网络安全的责任和义务，所有关于本单位网站、论坛、信息录入等密码要严格保密不得泄露，一旦泄露立即报政府办信息科进行密码修改。 6、各接入单位应当定期制作计算机信息系统备份，备份介质实行异地存放。对可能遭受的侵害和破坏，应当制定灾难防治预案。 7、要配备计算机系统补丁升级和病毒防治工具，定期进行系统补丁升级和病毒检查。使用新机、新盘及拷贝的软件、数据，上机前应进行系统补丁升级和病毒检查。 8、办工人员严禁下列操作行为： （1）非法侵入他人计算机信息系统和联网设备操作系统； （2）未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰，影响计算机信息系统正常运行； （3）故意制作、传播计算机病毒等破坏程序；

电子政务系统信息安全建设方案

电子政务系统信息安全建设方案 概述 电子政务作为国家信息化建设的重点工程，按敏感级别和业务类型，可划分为：涉密机要专网、电子政务专网和电子政务外网。电子政务外网是为市民提供政务公开信息和网上服务场所的媒体，直接同因特网连接；政务专网上运行关键的政务应用，是为提供协同办公、信息传输交互和业务数据处理的网络平台；涉密机要专网与电子政务专网实行物理隔离、与政府外网实行物理隔离。 2安全建设内容 为了保障政府的管理和服务职能的有效实现，需要为电子政务网络建立完善的信息安全体系，选择符合国家信息安全主管部门认证的安全技术和产品，在电子政务系统的建设中实施信息安全工程，保证电子政务三大网络的安全。电子政务安全保障体系包括：建立信息系统安全管理体系、网络安全技术和运行体系、系统安全服务体系、安全风险管理体系。 3安全管理体系 安全不是一个目标，而应该作为一个过程去考虑、设计、实现、执行。只有通过建立科学、严密的安全管理体系，不断完善管理行为，形成一个动态的安全过程，才能为电子政务网络提供制度上的保证，它包括：安全方针、安全组织、资产分类与控制、人员安全、物理与环境的安全、通信与运行的管理操作过程与职责、访问控制、系统开发与维护、业务连续性管理、遵循性与法律要求的一致性。 4技术和运行 一个信息系统的信息安全保障体系包括人、技术和运行三部分，其中技术体系包括保卫主机与应用系统、保卫边界、保卫网络和基础设施以及支持性基础设施等部分。 4.1局域网主机与应用系统安全 局域网主机与应用系统的安全性比较复杂，数据的计算、交换、存储和调用都是在局域网中进行的，黑客和不法分子常使用的破坏行为就是攻击局域网。局域网环境

电子政务信息安全

电子政务信息的安全与防范 电子政务系统中有众多的政府公文在流转，其中不乏重要情报，有的甚至涉及国家安全，这些信息通过网络传送时不能被窃听、泄密、篡改和伪造。如果电子政务网络安全得不到保障，电子政务的便利与效率便无从保证，对国家利益将带来严重威胁。而且电子政务是提升一个国家或地区特别是城市综合竞争力的重要因素之一。因此，信息安全技术及其在电子政务系统中的应用具有重要的现实意义。 一、电子政务信息存在的安全问题 随着政务公开和政府上网工程的开展，很多政府部门的对外业务服务必须通过互联网来完成，如申报数据的接收、建议或意见的采集、处理结果的反馈等，而数据的审核、处理则需要由内网的工作人员来完成。那么，电子政务系统信息安全方面的问题可以划分为两大类，一是网络安全方面的问题，二是信息安全管理方面的问题。 1、网络安全方面的问题 电子政务网在建网初期都是按照双网模式来进行规划与建设，即电子政务内网和外网，双网进行物理隔离。内网作为内部信息和公文传输平台，开通政府系统的一些日常业务，外网通过路由汇聚加防火墙过滤接入,主要向公众发布一些公共服务信息和政府互动平台。这种双网模式带来了便利与高效的同时，也存在网络安全问题。 网络安全问题主要涉及到以下几个方面： (1)来自内部的恶意攻击。这种攻击往往带有恶作剧的形式，虽然不会给信息安全带来什么大的危害，但对本单位正常的数据业务和敏感数据还是会带来一定的威胁。 (2)移动存储介质的交叉使用。对于电子政务内网的计算机来讲，在上互联网的计算机上使用过的u盘，移动硬盘都不能在政务内网上使用。U盘病毒和间谍木马会把内网中的保密信息和敏感数据带到互联网上，回传给木马的制作者。并且，这种病毒还会在内网上传播，消耗系统资源，降低

信息化与电子政务工作总结

信息化与电子政务工作总结信息化与电子政务工作总结 文章标题：20xx年信息化与电子政务工作总结 20xx年,在州委、州政府的正确领导下,在自治区有关部门和州人民政府办公室关心和支持下。州信息化办公室认真贯彻十六届六中全会、17大精神,以“服务党政机关、服务社会公众”为宗旨,充分发挥信息化和电子政务作为创新管理方式、密切联系群众的重要手段,努力为实现“地大势强、富饶秀美、平安和谐”的目标服务。现将20xx年我州信息化与电子政务工作总结如下： 一、努力办好两个窗口,推进政务公开,更好地为人民群众服务 20xx年,州信息化办公室将“办好州政府门户网站和政务公开电子大屏幕两个窗口,进一步推进政务公开”作为全年的工作重点。 (一)进一步完善州政府门户网站群建设,推进政务公开,服务社会公众 一是加大政务信息公开的力度。一年来,州政府门户网站围绕州委、州人民政府的中心工作,认真宣传、贯彻党的方针政策,不断充实政务公开内容,提高政府工作的透明度。及时

将州人民政府出台的政策、文件、会议精神、人事任免、公开招考、重大项目完成情况等信息第一时间在政府网站上发布。对自治州八次党代会、十五届乌洽会参展、自治区电子政务会议等重大事件认真做好宣传报道,全年共制作48个专题栏目。 二是网站栏目设置贴近群众,界面设计更具亲和力。20xx年我们对州政府网站进行了较大改版,注重开辟领导关心、公众关注、内容权威的栏目,从网站构架、栏目内容、信息发布、界面风格等方面进行了整合和优化,力求实现政府网站“政务公开”、“公共服务”、“公众参与”等功能。今年网站新开设了“热点导读”、“人事任免”、“为民服务”、“交通旅游”等栏目,对“巴州视频”、“领导之窗”等栏目进行了改进,做到静态内容权威准确,动态内容及时更新,网站内容丰富多彩、贴近群众。 三是继续坚持抓好“州长信箱”名牌栏目建设。“州长信箱”作为政府联系群众、为民排忧解难的便捷渠道,备受政府领导和社会各界关注。本着政府为社会公众服务的宗旨,建立了“州长信箱”办理通报制度,抽调专人负责信件办理工作,承办部门信件答复率和质量有了明显提高。一年来答复群众来信977封(其中公开答复914封),办复率达95,事关群众难点、热点问题及时得到解决,进一步密切了党和政府与人民群众的联系,为构建和谐巴州发挥了积极作用。

华为电子政务网络安全解决方案

华为电子政务网络安全解决方案 编者按：没有安全的网络，就像没有围墙的院落，随时随地会受到骚扰和侵犯。随着政务网络的不断发展和应用，网络受到的安全挑战越来越多。如何保证政务网络的全面安全？华为电子政务网络安全解决方案为此提供了解决办法…… 没有安全的网络，就像没有围墙的院落，随时随地会受到骚扰和侵犯。随着政务网络的不断发展和应用，网络受到的安全挑战越来越多。如何保证政务网络的全面安全是摆在建设与管理者面前的一个难题。 随着政务网络的层次化、分组化以及宽带化发展，政府部门越来越多的统计决策业务、日常监督检查业务、OA等管理性业务以及面向多媒体的综合业务都开始向数字化、网络化转变，这符合当前信息网络融合发展的趋势。多网融合对应用的安全性提出了更高的要求。 但目前政务网络还存在一些常见的问题：一是没有统一的网络授权控制策略，仅采用简单的口令控制，使用不便，而且难以确保口令的时效限制。二是机房中心访问控制与未来跨主机业务之间的矛盾，如不同政府部门之间的业务开展和结算等。三是网络规划基本上还是以简单办公业务需求为主，没有考虑到将来政府网络支持的业务对网络架构和安全要求提高后的平滑过渡。四是政务内网与政务外网之间的数据交换存在实时性与安全性之间的矛盾。因此，政务网络需要整体性的安全解决方案。

政务网络安全策略 完整的安全体系结构应覆盖系统的各个层面，由“网络级安全、应用级安全、系统级安全和管理级安全”四大部分组成。 网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障政务网络的安全；应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制，在应用层保证对政务网络各种应用系统的信息访问合法性；系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控，防止不法分子利用操作系统的安全漏洞对政务网络构成安全威胁；管理级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障政务网的安全。因此作为一个完整的系统，政务网络必须对网络系统进行全方位的考虑。 网络的安全覆盖系统的各个层面，包括网络传送、网络服务、应用安全、安全识别、安全防御、安全监控、审计分析、集中管理等多个方面。这需要依靠安全保护和安全管理进行全面防护。

电子政务与电子政府的关系

湖南警察学院 学生毕业实习调研报告 题目电子政务与电子政府的关系 电子政务这个概念本身而言，尚存在不同的说法；经过几年的发展或淘汰，目前被经常使用，也是其中最有代表性的就是电子政府与电子政务。两个概念之间有区别，但是在很多表述中也有相当程度的重合。 从名称上，存在着诸如以下几种相近的称谓：“电子化政府”（李永刚、张成福等）；“数字政府”（梁木生）；“连线政府”、“网络政府”、“在线(on-line)政府”、“虚拟政府”（李绥州），“电子政府”（赵晖），等等,另外还有政府信息化等类似概念。 在这些说法之间，常常区分的不是那么明确，甚至常常是混为一谈的。有的学者从信息化的角度上，认为“电子政府”（或电子政务）是“政府工作信息化建设下的一个子概念”（姚江）；也有说法，“电子政府”（或电子政务）一般也可通俗地称为“政府上网”（王颖）；有的说法是，所谓政府上网，也就是政府职能上网，在网上建立一个虚拟政府（virtual government），等等。

“电子化政府又叫虚拟政府、网上政府或政府在线，而在我国是妇孺皆知的‘政府上网’。”[1] “电子化政府最重要的内涵及精髓是建构一个‘虚拟政府’（Virtual Government），即跨越时间、地点、部门的全天候的政府服务体。”[2] 二、电子政务与电子政府的概念 “与e-commerce一样，e-government也是一个地地道道的舶来品，学者和媒体多将其译为‘电子政务’，最近‘电子政府’的称谓有逐渐增多的趋势。”[3]电子政务与电子政府是诸多说法中最需要加以明晰的两个概念。 诚如上文所言，从缘起上，电子政务与电子政府的差异，在很大程度是由于对 E-government这个英文名词中文翻译的差异。而在很多人的实际理解中，两者仅仅是翻译 ）。 收并解决其部分需求，而将大部分信息传递到后台——实体政府，由其作出响应，具体处理各种事务，并通过“网上政府”反馈给公众，或者就处理结果直接与公众联系。电子政府是虚拟与实体的“无缝隙”结合，是人与组织与现代技术，在社会政治领域的理想统一体。 三、电子政务与电子政府的比较和关系 对电子政务与电子政府两个概念分别做出一定的明确之后，也更容易明确两者的基本关系。把握两个概念及其关系的关键在于两者的范围或发展的阶段性。 1．范围的区分

公务员信息化与电子政务复习题(答案)

信息化与电子政务考试总复习题 第一部分 一、单选题 1、国家信息化体系建设中信息化的关键是哪一项（B） A家庭信息化B政府信息化C社区信息化D企业信息化 2、、网上政府采购属于"三网一库"中哪方面的内容：（ C） A：业务网 B：资源网 C：公众信息网 D：电子信息资源库 3、“OA”代表的中文意思是（A） A办公自动化B信息技术C电子政务D电子商务 4、社会中最大的信息拥有者、最大的信息技术用户是（C） A社会B企业C政府D个人 5、下述有关电子政务说法不正确的是哪一项（D） A在互联网上实现政府组织结构和工作流程的优化重组 B政府机构应用现代信息和通信技术，将管理和服务通过网络技术进行集成 C超越时空与部门分割的限制，全方位向社会提供优质、规范、透明、符合国际水准的管理和服务 D通过大力发展电子信息产业，推动社会改革 6、我国是何年启动的政府上网工程？（B） A 2000 B 1999 C 1998 D 1997 7、在信息化领域中，“CIO”的中文词汇是指（A） A信息主管B系统分析员C负责人D软件公司 8、相对于传统政府的垂直化层次结构，电子政府体现的是（B） A金字塔结构B扁平化辐射结构C饼状结构D集中化结构 9、实现传统政务到电子政务的转变，属于什么问题？（A） A必然B短期C高技术D复杂而困难 10、政府在电子政务建设过程中的主要作用是（B） A 购买硬件设备B提出需求，进行管理C项目监理D外包开发 11、网络世界中，实施政务公开，发布政务信息的最佳平台是（A） A政府门户网站B电话C报纸D广播 12、在信息化领域中，政府对公民的英文缩写是（C） A B to C B B to B C G to C D B to C 13、有关电子政务的广义解释正确的是（D） A政务电话网B工业网络化 C办公信息化D基于网络的符合Internet的，并面向社会的政府办公自动化系统14、通常说的信息高速公路的应用领域不包括（D） A电子政务B远程教育C电子商务D网络电视 15、我国的国家信息中心的成立时间是哪年（A） A 1986 B 1988 C 1990 D 2000 二、多选题 1、电子政务的服务对象有哪些（ABCD） A公众B企业C机关内部D其他政府部门 2、哪些是电子政务定义的内涵（ABD）

电子政务网络安全管理办法

电子政务网络安全管理办法 为加强我县电子政务网络安全管理工作，确保网络安全运行，结合我县的实际情况特制定电子政务网络安全管理办法。 1、各单位网络管理人员必须精心维护好单位的网络设备，做到防尘、防热、防潮、防水、防磁、防静电等，以增加设备使用年限。县政府办将定期对各单位的网络管理情况进行检查，发现不能达到以上要求的单位，将对其进行通报批评，对由于管理人员疏忽造成网络安全事故的，将追究相关管理员及单位领导责任。 2、各联网单位不得随意更改政务网络接入设备配置，不得擅自切断电子政务网络设备电源，不得擅自挪动相关设备和切断、移动相关传输线路，不得擅自与其他网络对接，不得随意增加交换机、集线器以及接入信息点数量，如需进行以上变动，应向县政府办信息科提出申请，经批准后方可实施。 3、各联网单位要增强网络安全意识，严禁登陆浏览黄色网站（网页），禁止下载、使用存在安全隐患的软件，不得打开来历不明的电子邮件附件，不得随意使用计算机文件共享功能，防止计算机受到病毒的侵入。 4、工作时间禁止玩网游、下载电影及大型软件，以保证本单位网络速度。县政府办信息科将采取技术措施对互联网出入口的数据进行监控，对发现的问题将在全县范围内进行通报，并按照相关规定严肃处理。 5、政务网计算机使用单位和个人，都有保护政务网信息与网络安全的责任和义务，所有关于本单位网站、论坛、信息录入等密码要严格保密不得泄露，一旦泄露立即报政府办信息科进行密码修改。 6、各接入单位应当定期制作计算机信息系统备份，备份介质实行异地存放。对可能遭受的侵害和破坏，应当制定灾难防治预案。

7、要配备计算机系统补丁升级和病毒防治工具，定期进行系统补丁升级和病毒检查。使用新机、新盘及拷贝的软件、数据，上机前应进行系统补丁升级和病毒检查。 8、办工人员严禁下列操作行为： （1）非法侵入他人计算机信息系统和联网设备操作系统； （2）未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰，影响计算机信息系统正常运行； （3）故意制作、传播计算机病毒等破坏程序； （4）将非业务用计算机或网络擅自接入政务内网，将业务用计算机或网络接入互联网或其他非政府机关的网络； （5）在政务网使用的计算机及网络设备在未采取安全隔离措施的情况下同时连接政务网和其它网络； （6）将存有涉密信息的计算机擅自连接国际互联网或其他公共网络； （7）擅自在政务网上开设与工作无关的网络服务； （8）发布反动、淫秽色情等有害信息； （9）擅自对政务网计算机信息系统和网络进行扫描； （10）对信息安全事（案）件或重大安全隐患隐瞒不报； （11）擅自修改计算机ip或mac地址。 9、在发生紧急事件时，为避免造成更大损失和影响，信息科有权或者要求有关部门采取以下措施： （1）拆除可能影响安全或有安全隐患的设备或部件；

电子政务信息安全保障体系

电子政务安全面临威胁和挑战 电子政务涉及对国家秘密信息和高敏感度核心政务的保护，设计维护公共秩序和行政监管的准确实施，涉及到为社会提供公共服务的质量保证。电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段，必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其电子政务是搭建在基于互联网技术的网络平台上，包括政务内网、政务外网和互联网，而互联网的安全先天不足，互联网是一个无行政主管的全球网络，自身缺少设防和安全隐患很多，对互联网犯罪尚缺乏足够的法律威慑，大量的跨国网络犯罪给执法带来很大的难度。所有上述分子利用互联网进行犯罪则有机可乘，使基于互联网开展的电子政务应用面临着严峻的挑战。 对电子政务的安全威胁，包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等，应引起足够警惕，采取安全措施，应对这种挑战。 电子政务的安全目标和安全策略 电子政务的安全目标是，保护政务信息资源价值不受侵犯，保证信息资产的拥有者面临最小的风险和获取最大的安全利益，使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力。 为实现上述目标应采取积极的安全策略： ·国家主导、社会参与。电子政务安全关系到政府的办公决策、行政监管和公共服务的高质量和可信实施的大事，必须由国家统筹规划、社会积极参与，才能有效保障电子政务安全。 ·全局治理、积极防御。电子政务安全必须采用法律威慑、管理制约、技术保障和安全基础设施支撑的全局治理措施，并且实施防护、检测、恢复和反制的积极防御手段，才能更为有效。 ·等级保护、保障发展。要根据信息的价值等级及所面临的威胁等级，选择适度的安全机制强度等级和安全技术保障强壮性等级，寻求一个投入和风险可承受能力间的平衡点，保障电子政务系统健康和积极的发展。

电子政务信息安全及防范对策 马淑英

浅析我国电子政务信息安全的防范对策 摘要：信息安全关系到经济发展，国家安全和社会稳定，关系到政府工作的正常运转。电子政务信息安全防范是电子政府建设的关键。加强电子政务建设是建设服务型政府的组成部分。在电子政务建设与体系发展整体驶入快车道，以服务为导向的电子政府建设工作不断推进的同时，信息安全意识、网络漏洞、信息安全法律体系方面都凸现了现阶段我国电子政务信息安全存在风险。要着重从人才培养、安全技术和产品的选择使用、法律保障体系建设的呢过环节加以防范，切实保障电子政务信息安全。本文从电子政务信息安全的视觉，浅析仙子政务信息安全存在的风险问题，提出一些防范对策和建议。 关键词：电子政务信息安全；网络安全；安茜技术；防范对策 电子政务的实施使得政府提高了办公效率，提升了政府形象，但同时，也会受到来自外部或内部的各种攻击，包括黑鸡组织、犯罪集团或信息战时起信息对抗等国家行为的攻击，这就使得政府信息系统的安全问题更加突出和严重。因此，分析当前电子政府信息安全存在的问题，采取有效措施进行综合性安全防范，对建设和发展电子政务具有重要的意义。 1、信息安全的含义及其内容要求 一、电子政务信息安全目标 电子政务信息安全涵盖了信息环境、信息网络和通信基础设施、每题、数据、信息内容和信息应用等对多个方面的安全需要，包括信息不收威胁，信息系统、信息数据的安全以及信息内容的安全等。

电子政务的安全目标就是保护政务信息资源价值不受侵犯，保证信息资产的拥有者面临最小风险和获取最大安全利益，使电子政务的信息基础设施，具有保密性、完整性、真实性、可用性、不可抵赖性和可靠性的能力。 二、电子政务信息安全存在的风险 1、信息安全意识薄弱 一是工作人员安全意识不高。目前，在电子政务系统建设过程中还普遍存在“重技术轻管理，重业务、轻安全”的思想，很多工作人员认为安装了杀毒软件和防火墙就可以抵御所有的外来侵袭。二是安全制度和安全流程的执行力不强。电子政务系统自启动运用以来，开放程度还不是很高，重要的、机密文件还没有通过网络来处理，使得公务员和普通大众对信息安全问题关注不够，信息安全意识淡薄，一些安全制度和安全流程也只是流于形式。三是领导重视程度有待进一步提高。部门领导重视工作流程的畅通性，忽略了信息安全的防范措施，在加强信息安全的重要环节上思想意识有待加强。 2、IT产品及通信网络漏洞导致风险 一方面，IT产品单一性带来安全隐患。由于政府统一采购IT产品，造成信息系统中软硬件产品单一性，如同一版本的操作系统、数据库软件等攻击过程的自动化，从而导致大规模网络安全时间的发生。另一方面，通信网络存在多方面的威胁。电子政务网络绝大多数是基于TCP/IP、NetBEUI，IPX/SPX等网络协议的通信网络，并非专为安全通讯而设计，本身就可能存在多方面的威胁，因而会造成物理

电子政务(11018360)

一、基本概念 1、信息、信息技术和信息产业的概念。 答：信息是指音讯、消息、通讯系统传输和处理的对象，泛指人类社会传播的一切内容。 信息技术是是主要用于管理和处理信息所采用的各种技术的总称。它主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。它也常被称为信息和通信技术（Information and Communications Technology, ICT）。主要包括传感技术、计算机与智能技术、通信技术和控制技术。 信息产业指专门生产、收集、整理、传递信息，并制造各种信息设备的工业。分广义和狭义两种。狭义信息产业指与电子计算机有直接关联的工业。包括电子计算机的研究及制造、程序设计等行业。2、谈谈你对电子政务的理解。 答：在我国基本国情和基本政治制度下，“社会治理”主要是指中国共产党代表和领导人民掌握政权、运行治权的过程，是强调在中国共产党总揽全局、统筹各方的格局下，政府、企业、事业单位、社会团体、中介组织、人民群众各方主体共同发挥作用的治国理政。“社会治理现代化”包括社会治理体系现代化和治理能力现代化两个层面。其中，“社会治理体系”是保障治国理政有效运行的各项制度所构成

的制度体系，“社会治理能力”是运用国家制度管理社会各方面事务的能力。现阶段推动社会治理体系和治理能力现代化，其重要任务就是全面建设党领导下管理国家的现代国家制度，更加有效地发挥国家和政府在现代社会治理体系中的核心作用。 电子政务作为依托于信息技术的新型管理模式，对于社会治理体系和治理能力现代化具有重要的推动作用。一方面，电子政务有助于加快服务型政府建设，并促进治理结构扁平化、网络化，推动社会治理体系现代化。另一方面，有助于提升社会治理的效率和质量，优化社会治理环境，推动社会治理能力现代化。电子政务对社会治理现代化的促进作用具体表现为以下四个方面。 一、加快政府职能转变 1、电子政务进一步加快服务型政府建设 在新时期，电子政务平台的发展加快了简政放权的步伐，加快政府职能由“管理型”向“服务型”转化。 2、使政府服务更加丰富多样 传统的政府服务很难覆盖所有领域，而电子政务利用统一的信息资

电子政务与信息安全

电子政务与信息安全 作者：兰亚竹 来源：《科学与管理》2008年第03期 摘要：电子政务是全面提升政府机构管理与服务水平的重要技术手段，电子政务的安全性问题已成为各国政府普遍关注和研究的重要问题。本文从四个方面提出了保障电子政务安全的应对措施：即从网络安全技术上保障电子政务的安全；从管理上保障电子政务的安全；加强对专业技术人员的培养；加快针对电子政务的法律法规的制定。 关键词：电子政务信息安全应对措施 中图分类号：C203；C931.2文献标识码：A 计算机技术、通讯技术、网络技术的飞速发展激发了办公自动化，电子政务应运而生并成为各级政府着力打造执政为民的一个新兴载体。所谓电子政务，就是政府机构应用现代信息和通信技术，将管理和服务通过网络技术进行集成，在互联网上实现政府组织结构和工作流程的优化重组，超越时间和空间及部门之间的分隔限制，向社会提供优质和全方位的、规范而透明的、符合国际水准的管理和服务。 一、开展电子政务的目的 发展电子政务是政府转变职能、转换运行机制、提高决策效率、提升政府的社会服务职能、增加政府行政管理的透明度、促进政府信息资源的共享等方面的共同需求，它代表的不仅仅是政府部门的利益，还代表了广大民众的利益。构建电子政务体系的最终目的是降低广大民众获得信息的成本、降低政府行政办公的成本、提高政府为公众服务的效率。随着政府信息化的不断深入，使政府工作人员的观念不断转变，政府工作人员综合素质逐步提高，从而促进政府服务素质和水平的提高。电子政务的展开，有利于政府更好地行使职能、提高工作效率，从而更好地为公众提供服务。 二、电子政务安全的重要性 电子政务作为当代信息化最重要的领域之一，已经成为全球关注的焦点，是我国现代化进程中不可缺少的一环，也是我们全面提升政府机构管理与服务水平的重要技术手段。因此，电子政务的安全性就成为各国政府普遍关注和研究的重要问题。 首先，电子政务的安全是国家安全问题。目前，我国电子政务还处于初级阶段，还有很多问题需要解决，其中一个重要的问题就是安全问题，安全是国家的根本利益所在。电子政务安全是在一定的社会环境下，由信息和网络技术与国家安全因素的相关性所构成的国家安全的一种态势。这种态势描述了国家免受国外信息和网络优势威胁的能力和以信息手段维护国家安全的能力。因此，电子政务的安全问题首先是国家安全问题。

4电子政务信息安全保障

第四章电子政务信息安全保障 学习目标：掌握基本概念并了解电子政务信息安全威胁评估及保障体系 学习重点及难点：电子政务信息安全保障体系 4.1信息安全及安全保障概述 4.1.1 信息安全内涵 信息安全就是包含了信息环境、信息网络和通信基础设施、数据、信息内容、媒体、信息应用等多个方面的安全。 4.1.2 信息安全基本特征 （1）真实性（2）可靠性（3）完整性（4）保密性（5）可用性（6）不可篡改性4.1.3 信息安全的目标 信息安全的目标就是要通过技术手段和有效的管理来确保政务信息系统的安全性，集中表现为对信息安全的保护以及对系统安全的保护。 可用性目标完整性目标保密性目标可记账性目标保障性目标 4.1.4 信息安全建设原则 （1）先进性原则（2）可扩展原则（3）可行性原则（4）标准化原则 （5）技术管理与管理相结合原则 4.1.5 信息安全保障体系架构 电子政务安全管理的两个层次： 国家层面的管理，就是立法和制定相关的技术标准，由执法机关来监督实施 电子政务系统使用单位的安全管理，过程为安全风险评估→建立管理体系 管理体系具体内容： 1、建立电子政务的技术保障体系 2、建立电子政务运行管理体系 3、建立社会服务体系 4、建设电子政务基础设施体系 加里〃麦金农 “史上最黑黑客” 2001年至2002年一年间，英国人加里〃麦金农非法侵入美国军方及宇航局的53处电脑网络，令美国军方电脑网络遭受到有史以来最严重的侵入，他也因此成为“世界头号军事黑客”。在两年间，麦金农利用黑客技术侵入了美国五角大楼、美宇航局、约翰逊航天中心以及美陆、海、空三军网络系统。 江西40家网站2007年遭黑客攻击七成为政府网站 江西省计算机用户协会向社会发布公告，2007年1?a8月份，江西至少有40家网站遭黑客恶意入侵与攻击。据了解，40家被黑客入侵的网站中，七成为各级政府所属的相关部门网站，计算机用户协会因此希望各用户单位采取措施及时防范。 记者看到，这些被黑客入侵的网站七成以上是各级政府部门的，这些网站要么被黑客篡改首页，要么被增加了页面。比如，宜春政务信息网被黑客篡改首页，新余市环境保护局被黑客增加了页面。江西省计算机用户协会的秘书长刘斌告诉记者，一旦被篡改了首页，网站就有可能打不开，或者出现大量的错误，甚至机密资料都

电子政务作业

《电子政务》作业 1、信息、信息技术和信息产业的概念。 1、答：信息：是客观世界各种事物特征和变化 的反映，以及这些特征和变化经过人的大脑加 工后的再现，指经过加工整理后对于接受者具 有某种使用价值的数据、消息、情报的总称。 信息按其表现形式一般可分为数据、文本、声音、图像。 对于信息技术的理解有狭义和广义之分。狭义 的理解分以下3种：⑴、信息技术就是信息处理的技术，因而将信息技术等同于计算机技术。 ⑵、信息技术是计算机技术与通信技术的结合。 ⑶、信息技术是计算机技术加通信技术加控制 技术。即”3C“技术。广义的理解认为，信息技 术是指完成信息的获取、传递、加工、再生和 施用等功能的技术。从”技术辅人率“的角度， 可以说，信息技术就是能够扩展人的信息器官 功能的技术。 信息产业特指将信息转变为商品的行业，它不 但包括软件、数据库、各种无线通信服务和在 线信息服务，还包括了传统的报纸、书刊、电 影和音像产品的出版，而计算机和通信设备等 的生产将不再包括在内，被划为制造业下的一 个分支。 2、谈谈你对电子政务的理解。 2、答：电子政务是指运用计算机、网络和通信 等现代信息技术手段，实现政府组织结构和工 作流程的优化重组，超越时间、空间和部门分 隔的限制，建成一个精简、高效、谦洁、公平 的政府运作模式，以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服 务。 对于这个概念可以从三个方面来认识： ⑴、电子政务建立在现代信息技术基础之上 电子政务是以现代的计算机技术、网络和通信 技术为基本技术基础的，这是电子政务的基础 技术与以往政务技术应用的最大不同点。 ⑵、电子政务是政府管理方式的变革现代政府一方面要充分借助社会力量和社会的 自身调节能力来实现社会自身的管理；另一方面，政府要通过引入现代管理思想和方法驾驭 现代信息技术手段，并适应信息化社会新的规 律和新特点，提高自身的执政能力。 ⑶、电子政务是政府职能不断优化的信息化过 程 电子政务是经过政府职能转变、结构调整和优 化业务流程的政府信息化过程，是一个不断完 善政府能力的过程，是要对其进行组织结构的 重组和业务流程的再造，从一定程度上说它是 对传统政府的一声深刻的革命。 总之，电子政务是一个不断适应信息社会的发展，把现代信息技术同政府管理思想相结合的 政府建设发展的过程。 3、简述电子政务产生的背景。 （1）信息技术的发展和广泛应用。 （2）政府改革的内在需要。 4、简述电子政府与传统政府的区别。 （1）办公方式不同 信息资源的数字化和信息交换的网络化是电子政务与传统政务最显着的区别。 （2）行政业务流程不同 实现行政业务流程的集约化、标准和和高效化是电子政务的核心，是与传统政务的重要区别。 （3）与公众沟通方式不同 直接与公众沟通是实施电子政务的目的之一，也是电子政务与传统政务的又一重要区别。 或者：传统政府的特征是：实体性、区域性、集中管理、政府实体性管理、垂直化分层结构、在传统经济中运行 电子政府的特征是：虚拟性、全球性、决策权下放、系统程序式管理、扁平化辐射结构、在以知识为基础的数字经济中运行。

在信息化与电子政务专题讲座上的讲话.docx

在信息化与电子政务专题讲座上的讲话 尊敬的王主任，各位领导、同志们： 今天，我们荣幸地邀请到国家信息产业部电子政务评审组主任委员、国家软件评测中心主任王克照同志和省信息中心研究员王存祥同志来我市指导信息化建设工作。刚才，王主任作了一场深刻而又通俗的讲座，使我们对信息化和电子政务的重要意义有了更进一步的认识，对当今世界信息化的发展趋势和电子政务的最新进展有了更加全面的了解，听后深受启发，受益匪浅。在此，我提议，让我们以热烈的掌声向王主任表示衷心的感谢！ 近年来，我市的信息化建设发展迅速，呈现良好态势。特别是去年在省信息产业厅、财政厅和保密局的关心、支持下，我市成为全省惟一县级信息化建设试点市。5月17日，在全国上下同心协力共同防治“非典”的非常时期，我市在全省县（市、区）中，率先采用电视会议系统，召开了全市三夏生产暨防汛抗旱工作电视会议；7月份，我市全面建成了连接全市21个镇街、共110余个单位的大型城域网，实现了党政机关办公网互联互通；9月份，我市对《党政办公系统》进行全面升级改造，并同时开通了《视频服务系统》和《可视网络电话系统》，实现了面向全球400人同时在线的视频直播和可视通话；10月18日，我市成立了信息化发展有限责任公司，走上了一条以政府注册资本为基础，以企业化经营和资本运作发展信息化，支持信息化的新路子。12月，“数字滕州”电子政务工程顺利通过了省信息产业厅组织进行的评审。有关专家一致认为，我市信息化建设已处于全国县级市领先水平，并建议向全国县级推广。全市部分镇街和部门在信息化建设方面也都有了长足的发展。短短一年间，我市的信息化建设之所以发展得如此迅速，得益于市委、市政府的高度重视，建立健全了一个运转灵活而有效的运行体制和一支强有力的信息化建设队伍；得益于市级班子领导和各镇（街道）、市直各部门主要负责同志积极响应市委、市政府号召，大力加强自身信息化建设并带头应用。更是得益于国家、省、市各级领导和专家的大力支持，为我们指明了发展方向，提供了宝贵资金，创造了良好环境，给予了全方位的技

电子政务网络安全管理办法.doc

LOGO XXXX制度 电子政务网络安全管理办法 为加强我县电子政务网络安全管理工作，确保网络安全运行，结合我县的实际情况特制定电子政务网络安全管理办法。 1、各单位网络管理人员必须精心维护好单位的网络设备，做到防尘、防热、防 潮、防水、防磁、防静电等，以增加设备使用年限。县政府办将定期对各单位的网络管理情况进行检查，发现不能达到以上要求的单位，将对其进行通报批评，对由于管理人员疏忽造成网络安全事故的，将追究相关管理员及单位领导责任。 2、各联网单位不得随意更改政务网络接入设备配置，不得擅自切断电子政务网 络设备电源，不得擅自挪动相关设备和切断、移动相关传输线路，不得擅自与其他网络对接，不得随意增加交换机、集线器以及接入信息点数量，如需进行以上变动，应向县政府办信息科提出申请，经批准后方可实施。 3、各联网单位要增强网络安全意识，严禁登陆浏览黄色网站（网页），禁止下 载、使用存在安全隐患的软件，不得打开来历不明的电子邮件附件，不得随意使用计算机文件共享功能，防止计算机受到病毒的侵入。 4、工作时间禁止玩网游、下载电影及大型软件，以保证本单位网络速度。县政 府办信息科将采取技术措施对互联网出入口的数据进行监控，对发现的问题将在全县范围内进行通报，并按照相关规定严肃处理。

5、政务网计算机使用单位和个人，都有保护政务网信息与网络安全的责任和义务，所有关于本单位网站、论坛、信息录入等密码要严格保密不得泄露，一旦泄露立即报政府办信息科进行密码修改。 6、各接入单位应当定期制作计算机信息系统备份，备份介质实行异地存放。对可能遭受的侵害和破坏，应当制定灾难防治预案。 7、要配备计算机系统补丁升级和病毒防治工具，定期进行系统补丁升级和病毒检查。使用新机、新盘及拷贝的软件、数据，上机前应进行系统补丁升级和病毒检查。 8、办工人员严禁下列操作行为： （1）非法侵入他人计算机信息系统和联网设备操作系统； （2）未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰，影响计算机信息系统正常运行； （3）故意制作、传播计算机病毒等破坏程序； （4）将非业务用计算机或网络擅自接入政务内网，将业务用计算机或网络接入互联网或其他非政府机关的网络； （5）在政务网使用的计算机及网络设备在未采取安全隔离措施的情况下同时连接政务网和其它网络； （6）将存有涉密信息的计算机擅自连接国际互联网或其他公共网络； （7）擅自在政务网上开设与工作无关的网络服务； （8）发布反动、淫秽色情等有害信息； （9）擅自对政务网计算机信息系统和网络进行扫描； （10）对信息安全事（案）件或重大安全隐患隐瞒不报； （11）擅自修改计算机ip或mac地址。 9、在发生紧急事件时，为避免造成更大损失和影响，信息科有权或者要求有关部门采取以下措施： （1）拆除可能影响安全或有安全隐患的设备或部件； （2）隔离相关的终端、服务器或网络；

电子政务之信息安全管理

第六章信息安全管理 第一节信息安全管理概述 一、信息安全管理的内容 1、什么信息安全管理？ 通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织信息安全目标的活动。 2、信息安全管理的主要活动 制定信息安全目标和寻找实现目标的途径； 建设信息安全组织机构，设置岗位、配置人员并分配职责； 实施信息安全风险评估和管理；制定并实施信息安全策略； 为实现信息安全目标提供资源并实施管理； 信息安全的教育与培训；信息安全事故管理；信息安全的持续改进。 3、信息安全管理的基本任务 （1）组织机构建设（2）风险评估（3）信息安全策略的制定和实施 （4）信息安全工程项目管理（5）资源管理 ◆（1）组织机构建设 ★组织应建立专门信息安全组织机构，负责： ①确定信息安全要求和目标；②制定实现信息安全目标的时间表和预算 ③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度 ⑤提出信息安全年度预算，并监督预算的执行⑥组织实施信息安全风险评估并监督检查 ⑦组织制定和实施信息安全策略，并对其有效性和效果进行监督检查 ⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理 ⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作 ★组织应设立信息安全总负责人岗位，负责： ①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定 ③提出信息安全年度工作计划④总协调、联络 ◆（2）风险评估 ★信息系统的安全风险 信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。 ★信息安全风险评估 是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的XX性、完整性和可用性等安全属性进行科学评价的过程 它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 ★信息系统安全风险评估的总体目标是： 服务于国家信息化发展，促进信息安全保障体系的建设，提高信息系统的安全保护能力。★信息系统安全风险评估的目的是： 认清信息安全环境、信息安全状况；有助于达成共识，明确责任；采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性。 ★信息安全风险评估的基本要素 使命：一个单位通过信息化实现的工作任务。 依赖度：一个单位的使命对信息系统和信息的依靠程度。

电子政务安全保障体系设计概述

电子政务安全保障体系设计 1.1 安全保障体系设计 1.1.1 概述 电子政务内网所涉及的信息/数据涉及国家秘密，其机密性和完整性尤为重要，是信息安全爱护的重点对象。因此，电子政务内网平台的安全建设应符合国家保密局的《涉及国家秘密的计算机信息系统保密技术要求》和《涉及国家秘密的计算机信息系统安全保密方案设计指南》及其他安全治理部门公布的一系列规定和规范的要求。电子政务内网安全设计应体现： 全局和整体上的考虑。 应用深度防备的战略，注重防内和整体防外。 适应信息系统安全的动态性、复杂性和长期性特点。 便于实施和考核。 本设计方案遵循中华人民共和国《涉及国家秘密的计算机信息系统安全保密方案设计指南》和《电子政务试点示范工程技术规范》的要求，依据本期电子政务内网的安全建设目标，提出了电子政务内网的安全策略和安全保障体系，强调了统筹规划，针对内网

网络和边界安全、局部计算环境与应用安全，要紧从信息安全基础设施、基础安全防护技术和安全监察与治理方面设计具体的建设任务，包括CA认证设施、密钥治理系统、可信时刻戳服务系统、密码服务系统、授权服务系统，防火墙系统、加密系统、入侵检测系统、安全扫描系统、防病毒系统、安全审计系统和安全监管系统等等。 1.1.2 安全建设目标和原则 1.1. 2.1 总体目标 电子政务内网安全建设的总体目标是：针对电子政务内网可能遇到的各种安全威胁和风险，着重加强信息安全基础设施、基础安全防护系统和安全监察与治理系统的建设，形成有效的政务内网安全保障体系，保证涉密信息在产生、存储、传递和处理过程中的保密性、完整性、高可用性、高可控性和抗抵赖性，确保电子政务内网能够安全、稳定、可靠地运行，为实现电子政务建设的目标提供安全保障。 1.1. 2.2 具体目标 针对要紧的威胁和风险，本期电子政务内网安全建设的具体需求和目标概括如下： 1、确保“电子政务内网”网络传输过程中数据的保密性和完

电子政务信息安全解决方案

电子政务信息安全解决方案 佳能A700跌破2000 摩托C139售300元 爱国者MP4魅力再现轻骑兵音箱促销 -------------------------------------------------------------------------------- 近几年来，国际互联网得到了广泛应用，像网上办公、网上审批、网上申报、网上银行、网上税务、电子商务等系统的应用，改变了传统的工作模式和流程，大大提高了工作效率；但在给我们带来极大便利的同时，也带来了严重的安全问题，尤其是病毒破坏、黑客入侵、重要信息泄漏等造成的危害越来越大。尽管我们可以使用防火墙、代理服务器、入侵检测等安全措施，但是这些技术筑建的逻辑隔离，很难阻止黑客和内部用户的入侵和破坏，也就无法满足政府、军队、金融、电信等部门的信息安全要求；另外我们无法保证目前使用进口的计算机核心软硬件没有后门和漏洞。因此国家保密局规定“涉及国家秘密的计算机信息系统，不得直接或间接与国际互联网或其它公共网络联接，必须实行物理隔离”，这就要求用户重要数据和互联网切断物理连接，让黑客无机可乘，但是这样又不便利用互联网上丰富的信息资源。要达到既能有效地隔离内外网，又能方便地使用内外网的资源，可通过使用终端隔离、信道隔离、网络/服务器隔离等多种技术来构建的内外网。这样的网络至少要满足以下三个特征： 1、阻断内外网的物理传导，确保不能通过网络连接从外网侵入内网，同时防止内网信息通过网络连接泄漏到外网。 2、隔离内外网的物理存储，对于断电后会遗失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息窜到外网；对于断电后非遗失性部件，如磁带机、硬盘等存储设备，内外网的信息要分开存储；严格限制使用软盘、光盘等可移动介质。 3、隔断内外网的物理辐射，确保内网信息不会通过电磁辐射或耦合方式泄漏到外网。 随着政务公开和政府上网工程的开展，很多政府部门的对外业务服务必须通过互联网来完成，如申报数据的接收、建议或意见的采集、处理结果的反馈等，而数据的审核、处理则需要由内网的工作人员来完成。因此，内外网之间的信息安全交换成为各政府部门需要迫切解决的问题。下面以行业信息化建设为例，设计了一种信息安全解决方案，如下图所示：第一层为政务内网，即政府部门内部的关键业务管理系统和核心数据应用系统，如公文系统、专项业务管理系统、面向管理层的统计分析系统、重大事件的决策分析处理系统、核心数据库系统等，需要采用包括身份鉴别、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠性等安全措施。通过物理隔离器与政务外网相联，在实现隔离网络间数据正常传输的同时，对传输的数据进行校验，过滤其中的黑客程序和病毒代码等破坏性信息，只允许与系统相关的数据进入内网；指定的数据和文档可以在内外网物理隔离的条件下单向或双向流转；保证内外网传输的信息是安全的、纯净的，对内部网络系统和数据不会造成影响和破坏。物理隔离器应具备以下功能和特性： 1、采用特殊协议方式，实现内外网安全隔离，关掉外网关TCP/IP协议，采用自行设计的专有协议，外网关只在数据链路层工作。 2、采用DSP开关通讯技术，在保证安全情况下实现数据交换。 3、访问登录设置功能，管理员登录后，开通用户账号和设置口令，设置不同级别的访