电子政务的安全风险
电子政务的安全风险
电子政府面临的安全风险主要来自以下几个方面:
(一)物理风险
网络物理安全是整个网络系统安全的前提。人为的破坏和物理自然环境的恶化导致电子政府在运行中存在着一定的物理风险。常见的物理风险包括对信息化基础设施的直接破坏,如地震、水灾、火灾等环境事故造成整个系统毁灭,设备被盗、被毁造成数据丢失或信息泄漏等;对电力供应设施的破坏,如电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;电磁辐射可能造成数据信息被窃取或偷阅;计算机设备、网络设备、存储介质自身的老化和损坏等。
(二)技术风险
电子政府行使政府职能的特点会导致来自外部或内部的各种攻击,包括黑客组织、犯罪集团或某些国家行为的攻击。实施攻击主要依靠技术手段,包括基于监听、截获、窃取、破译、业务流量分析、电磁信息提取等技术的被动攻击和基于修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。技术风险来自于两个方面,一方面是技术本身缺陷,另一方面是技术的人为缺陷。
1、来自技术自身缺陷的风险。技术本身即是一把双刃剑,任何技术手段都不可能完美无缺,技术的新功能总是伴随着这样或那样的缺陷,而这些缺陷一旦被人为地加以利用,就会给系统的运行带来极大的风险。单是计算机程序里的BUG就层出不穷,杀之不尽。由各种各样计算机组成的互联网作为一个极其广泛而复杂的多元化系统,其可靠性就更值得怀疑。例如PentiumⅢ中设置了序列码功能,该功能留有自动传送计算机有关硬件方面信息的后门,带来了泄露隐私的危险。Windows98操作系统会根据用户的计算机硬件配置情况生成一串与用户名字、地址相关的代码——全球唯一识别码,这个识别码会通过Windows98的电子注册程序,在用户不知情的情况下传送到微软的网站上去,用以追踪一些电子文件作者身
份。那些对计算机控制始终怀有敌意的天才的程序设计员总能轻易突破网络安全保障,实施各种侵入乃至打击。人们对网络的巨大依赖性和网络本身的技术缺陷形成了尖锐的矛盾,其中的空间就是“数字化犯罪”的天堂。2000年2月,全世界黑客们联手发动了一场“黑客战争”,把整个网络搅了个天翻地覆。神通广大的神秘黑客,接连袭击了因特网最热门的八大网站,包括亚马逊、Yahoo和微软,造成这些网站瘫痪长达数小
时。FBI仅发现一个名为“黑手党男孩”的黑客参与了袭击事件,对他提出的56项指控只与其中几个被“黑”网站有关,估计造成了达17亿美元的损失。2003年2月,在全美大面积的停电期间,一名黑客利用加利福尼亚独立系统调度中心电力交换处的一台正在安装调试的计算机服务器有11天时间一直连接在因特网上的机会,悄悄进入并试图侵入系统的深层,只是由于被及时发现才没有造成太大的损失。尽管加利福尼亚独立系统调度中心认为此事无足轻重,但是美国联邦调查局却认为这一攻击行动已经严重到足以展开调查的程度。
2、来自技术人为缺陷的风险。英国一位科学家在描绘信息战时使用了一个形象的比喻,“每块芯片都是一块武器,就像插入敌人心脏的匕首。”这并非危言耸听,来自人为技术缺陷的威胁客观存在。首次把这一手段引入到战争中并发挥作用的,是1991年的海湾战争。开战前,美国中央情报局获悉,伊拉克从法国采购了供防空系统使用的新型打印机,准备通过约旦首都安曼偷运到巴格达,随即派特工在安曼机场偷偷用一块固化病毒芯片与打印机中的同类芯片调了包。美军在战略空袭发起前,以遥控手段激活病毒,使其从打印机窜入主机,造成伊拉克防空指挥中心主计算机系统程序发生错乱,工作失灵,致使防空体系中的预警和C3I系统瘫痪,为美军顺利实施空袭创造了有利条件。
美国是CPU生产大国,全球销售的约90%的计算机使用了美制芯片。这为美国将带有病毒的计算机系统直接或间接卖给目标国家,创造了有利条件。当这些国家与美国为敌时,便可激活隐藏在计算机内部的具有特殊功能的“芯片”,将直接或间接地对敌方国家和军队的计算机系统造成许多麻烦。有消息报道,美国向中国出口的密匙芯片上秘密留下了一个可供其随时出入的口。也就是说,用来保证安全的手段恰恰是最危险的。只有他们才能生产高质量的芯片,美国允许出口中国的计算机系统安全等级只有C2级,排名倒数第三!在网络的安全性方面美国遥遥领先,不但将中国,还将其他若干国家抛在了世纪末的尘埃中。
长期以来,中国广泛应用的主流操作系统都是从国外引进直接使用的产品,其安全性难以令人放心。在信息系统安全涉及的众多内容中,操作系统、网络系统与数据库管理系统的安全问题是核心,没有系统的安全就没有信息的安全。作为系统软件中最基础部分的操作系统,其安全问题的解决又是关键中之关键。各国政府,特别是某些重要部门,在采用某外国公司的操作系统之前,都会反复论证:“这个软件有没有信息泄漏的危险,有没有危险的后门。在非常时期,我们会不会因为这个软件为人所制。”当微软刚推出Windows5时,曾在澳大利亚闹出了很大的风波,当时澳大利亚海军发现,该软件会悄悄地向微软发送
机器中的信息。因此,政府部门往往会要求软件公司开放源代码,做一个公开的备案。然而,微软却坚决反对这样的要求。它宣称,开放源代码会使软件变成一种“病毒性”软件。微软拒绝开放源代码,使德国、法国、英国、韩国、秘鲁等国,甚至美国的某些政府部门都选择了非Windows操作系统。
(三)管理风险
除了技术原因带来的风险,管理上的风险同样不容忽视。管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。网络系统的安全问题绝大部分都是人为因素造成的,内部存在的安全管理漏洞,如政府部门安全意识淡薄、安全管理组织不健全、管理制度不规范、日常管理松懈、管理人员素质低等因素是攻击者频频得手的主要原因。根据美国FBI调查的结果,65%的攻击来自网络系统内部,如来自内部的非法窃取或非授权访问,管理问题成为影响整个网络安全的关键。
1、管理组织不健全。中国信息安全管理在组织上仍处于单兵把守、分散作业的模式,由于不同政府部门的信息技术人才和信息化水平的差异性,以及不同政府部门存在一些相关的利益和冲突,很难做到安全管理的统一协调性。没有统一的安全管理机构,客观上导致了各部门在电子政府的建设过程的安全管理责任不清、主体不明,一旦发生安全事件,责任问题牵扯不清,故障定位不准,追查事故源困难,从而造成事件的破坏性后果更为严重。
2、管理制度不规范。由于在安全问题上缺乏权威的领导机构,在制定安全管理制度时自然是各自为政、五花八门,没有统一的安全管理规范,造成了信息系统的无序运行。不同的政府部门凭各自的理解建立了一些并不完整的制度,个别部门甚至把安全管理完全依赖于防火墙、防病毒、密码防护等基本技术安全措施,没有从管理的角度全面考虑安全防卫问题。诸如对引进技术和设备的安全检测、核心资料的接触权限、对密码和登录口令的管理等都没有比较规范的制度保证,存在着直接丢失、泄露给未授权者和易被猜测的安全隐患。电子政府的安全作为一个整体工程,不完整的管理几乎等于不管。
3、管理人员素质低。高素质的信息管理人才和技术队伍是实现安全管理的最基本保障。电子政务的普及和推广,必然导致系统维护工作量的大大增加,但是目前的公务员队伍只有极少数的人具有一定的计算机技术知识,有相当多的人不懂计算机,这是目前政府实现电子政务中极为突出的矛盾。然而,由于中国公务员管理体制的特殊性,政府缺乏灵活的机制来吸引和容纳高素质的信息管理人才,政府部门在信息人才
的市场竞争中处于劣势,信息技术人才多集中在高校、企业、科研院所,很少进入国家机关,有些进入机关后又很快流向了市场。这就使得当前实际从事政府网站管理和维护的人,大部分素质不高,对于真正的安全威胁缺乏抵御能力,中国网络安全管理员被美国黑客嘲笑为“只有12岁儿童的水平”。
4、日常管理松懈。电子政务系统的日常使用是泄密的主要渠道。当前政府部门内部在日常管理上可谓漏洞百出,异常松懈。对各级政府网络系统安全的监督检查近乎空白,管理部门不少但真正出了问题却没有人管,大部分政府网站几乎运行在一种不设防的状态下。从信息的保存、流转、归档材料的处理,到密码口令的保护、用户权限的变更以及资料的查询等,既没有严格的规范加以限制,也没有有效的监督体制进行约束。有时信息泄漏的发生就是源于内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息随意传播给外人。很多政府部门内部的计算机不经任何审批,随意地连接到互联网上,甚至连最基本的防火墙、防病毒软件都不装,很容易成为黑客们自由进出的渠道,严重威胁着
政府网络系统的安全。
(四)政治风险
政治风险才是电子政府所面临的最大风险。随着电子政府的服务范围和服务领域的扩展,越来越多的政府业务将在网上进行办理,大量的政务信息将通过互联网进行传递。电子政府能否安全运行,能否对各种风险进行有效的防范,不仅涉及到政府为社会提供公共服务的质量,也是对国家维护公共秩序的能力以及行政监管能力的考验。可以说“在信息时代,没有信息网络的安全,就没有网络空间的国家主权和国家安全。”从某种意义上讲,电子政府是一种新的政治统治工具,它所面临的政治风险远远大于其他风险,政府网站是“黑客”的主要攻击对象,而且这种攻击行为真正的威胁黑客不再是过去那种单兵作战,小打小闹,现在网上的黑客行为常常是有组织的、带有一定的政治目的。在伊拉克战争爆发期间,全世界范围内的反战人士用黑客手段攻击了美英数以万计的网站,除了篡改网页内容,黑客们还大量地采用了“拒绝访问”攻击手段。他们向一些网站的服务器发送大量请求信息,使这些服务器因为数据堵塞而陷入瘫痪。英国首相的官方站点也未能幸免,布莱尔的官方主页“唐宁街10号”3月23日遭受这种攻击,出现短时间瘫痪。
当今世界冲突已经蔓延到了因特网上,因特网已经成为各国“信息战”的主战场。有些国家为了本国的政治、经济、军事的需要,千方百计从网上窃取别国的机密信息,散布影响别国社会稳定的言论,甚至破
坏对方的信息系统。美国学者首先提出了“战略信息战”的新概念,专指通过破坏和操纵计算机网络上的信息流的办法,对国家国防和基础设施实施破坏,以达到战略目的的一种作战手段。并将它与核战争、生化武器战并列为对国家安全最具威胁的三大挑战之一。
中国首起国内“黑客”案发生在1993年3月,中国科学院高能物理所开通了一条64kbps国际数据信道,标志着中国首次与Internet连通。几乎在这同时,中国一些接入Internet的系统就被国外的“黑客”光顾了,同时这些接入单位的技术人员也成功地闯进了国外的一些计算机系统,从某种意义上说,这些人是中国的第一批“黑客”。1997年4月,中国互联网络信息中心站点遭到“黑客”攻击,CNNIC的主页被换成骷髅头像。CNNIC技术人员最终追查出攻击是从美国西南贝尔互联网络服务公司的一个拨号网络用户发出的。这是内地第一例公开报道的网站遭国外“黑客”攻击案。仅2001年“五一”期间,中国就有1100多家网站遭受美国黑客不同程度的破坏,其中政府、军方和教育等网站约占60%。
震惊世界的911事件发生后,美国人纷纷置疑为什么恐怖分子能如此轻易地进入美国,而受到诘问最多的就是美国政府迟迟没有更新其计算机系统。而著名的美国黑客组织“地狱世界”则立即宣称,将针对“敌对国家”的互联网基础设施和信息系统发动一场大规模的电子攻击战。电子政务信息中所承载的涉及国家秘密和高敏感度的内容,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击,成为政治颠覆活动的重要目标。另一方面,由于网络具有传达信息快捷,表达意见自由的特点。互联网的开放性,使任何人都可以低廉的代价在广大的范围发布信息,在某种意义上“每个人都成为全球范围的媒体制造商。”这不但对一般的人际交往和信息传递模式产生了巨大的影响,同时,也由于技术的实现而很快地在对社会各种问题的讨论中得到了应用。
从最近一些重大国际事件的报道和反应来看,网络无论是在传播的速度和规模、影响的地域范围还是媒体的表现形式等诸多方面都远远超出了以往的大众传播媒体,在社会和政治动员发挥巨大的作用。当某种有影响的事件出现以后,在网络上各个电子公告栏(BBS)、新闻组(News-group)以及邮递列表(Mailing-list)等地方会迅速做出反应,在电子空间里掀起波澜,进而将其影响扩展到现实空间,从而干预到具体的社会、商业以及政治等事件的决策和进程。仅在2003年中国发生的一系列著名事件,如孙志刚案、黄静案、高院提审刘涌案中,网络媒体都起到了巨大的推动作用,网络传播力之快捷、影响力之广泛,令人刮目相看。从中可以看到通过网络进行的虚拟政治动员的巨大
力量,而这种力量一旦失去控制,将对国家带来灾难性的后果。
电子政务网络安全风险分析
电子政务网络安全风险分析 对于电子政务专用网络内部而言,具有资源分类别、分级别、密级区别等特点,各个用户、各个部门拥有自主储存、使用和传递共享的资源。因此,电子政务专用网络内部也必须对各种信息的储存、传递和使用进行严格的权限管理。我们认为在指导思想上,首先应在对电子政务专用网络安全风险分析的基础上,做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟交换网络(VLAN)、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI技术等,并实现集中统一的配置、监控、管理;最后,应加强有关网络安全保密的各项制度和规范的制定,并予以严格实行。为了便于分析网络安全风险和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。 从系统和应用出发,网络的安全因素可以划分到如下的五个安全层中,即物理层安全风险分析、网络层安全风险分析、系统层安全风险分析、应用层安全风险分析、管理层安全风险分析。 电子政务网络安全方案设计 1. 网络安全方案设计原则 网络安全建设是一个系统工程,电子政务专用网络系统安全体系建设应按照“统一规划、统筹安排、统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。 在进行网络系统安全方案设计、规划时,应遵循以下原则:需求、风险、代价平衡的原则,综合性、整体性原则、一致性原则,易操作性原则,适应性、灵活性原则,多重保护原则,可评价性原则。 2. 电子政务网络安全解决方案 (1)物理层安全解决方案 保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:环境安全、设备安全、线路安全。 为了将不同密级的网络隔离开,我们还要采用隔离技术将核心密和普密两个网络在物理上隔离,同时保证在逻辑上两个网络能够连通。 (2)网络层安全解决方案 防火墙安全技术建议:电子政务网络系统是一个由省、各地市、各区县政府网络组成的
网络系统安全风险分析
大型企业网络安全解决方案 第一章引言 (1) 第二章网络系统概况 (2) 2」网络概况 (2) 2.2网络结构的特点 (3) 第三章网络系统安全风险分析 (3) 3」网络平台的安全风险分析 (4) 3.2系统的安全风险分析 (5) 3.3应用的安全风险分析 (5) 第四章安全需求与安全目标 (6) 4」安全需求分析 (6) 4.2系统安全目标 (7) 第五章网络安全方案总体设计 (7) 5」安全方案设计原则 (8) 5.2安全服务、机制与技术 (9) 第六章网络安全体系结构 (9) 6」网络结构 (10) 6.2网络系统安全 (10) 6.2.1网络安全检测 (10) 6.2.2网络防病毒 (11) 6.2.3网络备份系统 (11) 6.3系统安全 (12) 6.4应用安全 (12) 第一章引言
本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、 安全需求分析、安全LI标的确立、安全体系结构的设计等。本安全解 决方案的LI标是在不影响某大型企业局域网当前业务的前提下,实现 对他们局域网全面的安全管理。 1 ?将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。 2.定期进行漏洞扫描,及时发现问题,解决问题。 3?通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。 4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。 5.在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。 第二章网络系统概况 2.1网络概况 这个企业的局域网是一个信息点较为密集的千兆局域网络系统,它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此,通过专线与Internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器,企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设汁为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险。因此,在原有网络上实施一套完整、可操
电子政务网络安全体系的标准规范
电子政务网络安全体系的标准规范 在电子政务信息系统安全保障体系结构中,首先要健全系统安全保障的法律法规,强化电子政务信息系统安全的法制管理。迄今为止,世界上很多国家制定了与网络安全有关的法律法规,一些国家还制定了专门的政府网络安全保护方面的法律法规,我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统保密管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》,却很零散,还缺乏关于电子政务网络安全的专门法规。今后,在完善电子政务网络安全法律法规的同时,还应该加大执法力度严格执法,为电子政务网络安全提供法律保障。这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。 在电子政务信息系统安全保障体系结构中,首先要健全系统安全保障的法律法规,强化电子政务信息系统安全的法制管理。迄今为止,世界上很多国家制定了与网络安全有关的法律法规,一些国家还制定了专门的政府网络安全保护方面的法律法规,如英国的《官方信息保护法》,俄罗斯的《联邦信息、信息化和信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统保密管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》,却很零散,还缺乏关于电子政务网络安全的专门法规。今后,在完善电子政务网络安全法律法规的同时,还应该加大执法力度,严格执法,为电子政务网络安全提供法律保障。这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。 建立健全网络安全组织管理制度,明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门。发达国家一般都建立有网络安全管理机构,美国安全委员会下设了国家保密政策委员会和信息系统安全保密委员会;英法等国家建立了“国家网络安全委员会”;德国成立了“国家网络安全局”。在我国,安全职能部门包括国家公安部、国家安全局、国家保密局、国家密码管理委员会、信息产业部、中央军委总参谋部等。国家信息化工作领导小组负责对网络安全的国家总体发展战略进行规划、设计、研究,组织、协调等工作,配合有关部门进行立法调研。但地方政府和重点保护的重要领域相应的组织机构还很不健全;《计算机信息系统安全保护条例》中确立了由公安部主管全国计算机信息系统安全保护工作,但由于机构编制等原因,许多地方公安机关没有成立专门的计算机信息系统安全保护机构,适应计算机信息技术高速发展的警力配备不足等。建议组建国家网络安全委员会,组织和协调国家安全、公安、保密等职能部门,在信息化建设中网络安全领域进行分工协作,对国家网络安全政策统一步调、统筹规划。 建立政府上网信息保密审查制度,坚持“谁上网谁负责”的原则,信息上网必须经过信息提供单位的严格审查和批准。各级保密工作部门和机构负责本地区本部门网上信息的保密检查,发现问题,及时处理。涉密信息网络必须与公共信息网实行物理隔离。在与公共信息网相连的信息设备上不得存储、处理和传递国家秘密信息。加强对上网人员的监督与管理,明确责任,确保在公共信息网上不发生泄露国家秘密的事件。 国家已经正式成立“网络安全标准化委员会”,近期建立了网络安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)、密码算法与密码模块/KMI/VPN工作组(WG3)、PKI/PMI工作组(WG4)、网络安全评估工作组(WG5)、应急处理工作组(WG6)、身份标识与鉴别协议工作组(WG9)、操作系统与数据库安全工作组(WG10),开展电子政务安全相关标准的研制工作。 目前中国无论是关键技术、经营管理还是生产规模、服务观念,都不具备力量在短时间内使国产信息产品占领国内的信息安全产品主要市场。国家要集中人力、物力,制订相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保关键政府部门的信息系统的网络安全。此外,权衡考虑安全、成本、效率三者的关系。实际上,绝对
信息系统安全风险评估案例分析
信息系统安全风险评估案例分析 某公司信息系统风险评估项目案例介绍 介绍内容:项目相关信息、项目实施、项目结论及安全建议。 一、项目相关信息 项目背景:随着某公司信息化建设的迅速发展,特别是面向全国、面向社会公众服务的业务系统陆续投入使用,对该公司的网络和信息系统安全防护都提出了新的要求。为满足上述安全需求,需对该公司的网络和信息系统的安全进行一次系统全面的评估,以便更加有效保护该公司各项目业务应用的安全。 项目目标:第一通过对该公司的网络和信息系统进行全面的信息安全风险评估,找出系统目前存在的安全风险,提供风险评估报告。并依据该报告,实现对信息系统进行新的安全建设规划。构建安全的信息化应用平台,提高企业的信息安全技术保障能力。第二通过本次风险评估,找出公司内信息安全管理制度的缺陷,并需协助该公司建立完善的信息安全管理制度、安全事件处置流程、应急服务机制等。提高核心系统的信息安全管理保障能力。 项目评估范围:总部数据中心、分公司、灾备中心。项目业务系统:核心业务系统、财务系统、销售管理统计系统、内部信息门户、外部信息门户、邮件系统、辅助办公系统等。灾备中心,应急响应体系,应急演练核查。
评估对象:网络系统:17个设备,抽样率40%。主机系统:9台,抽样率50%。数据库系统:4个业务数据库,抽样率100%。 应用系统:3个(核心业务、财务、内部信息门户)安全管理:11个安全管理目标。 二、评估项目实施 评估实施流程图:
项目实施团队:(分工) 现场工作内容: 项目启动会、系统与业务介绍、系统与业务现场调查、信息资产调查统计、威胁调查统计、安全管理问卷的发放回收、网络与信息系统评估信息获取、机房物理环境现场勘察、系统漏洞扫描、系统运行状况核查。 评估工作内容: 资产统计赋值、威胁统计分析并赋值、各系统脆弱性分析、系统漏洞扫描结果分析、已有安全措施分析、业务资产安全风险的计算与分析、编写评估报告。 资产统计样例(图表)
电子政务网络安全风险评估问题发现及保障建议【最新】
电子政务网络安全风险评估问题发现及保障建议 近些年,随着统筹协调机制、“互联网政务服务”、信息资源整合共享等概念的出现和逐步落地,以及数字化、网络化、智能化为特质的新一代信息通信技术(ICT)加快驱动,政府再次转型驶入新型电子政务建设快车道。电子政务领域信息系统也从早期的门户网站、邮件系统、办公系统不断得到创新和运用,网上办公、数据集中、各种业务支撑系统层出不穷。与此同时,这些信息系统面临的网络安全问题也越来越突出。本文总结分析近些年对电子政务领域各种信息系统进行风险评估过程中发现的网络安全问题,分析电子政务网络安全发展趋势,提出安全保障建议,旨在为新型电子政务建设以及政府治理体系根本性变革提供参考。 一、电子政务信息系统网络安全面临的问题和挑战 (一)安全设计与应用实现存在匹配失衡现象,敏感数据防护手段不成熟,数据安全不容乐观 电子政务作为国家重要信息系统,承载包括国家、企业以及个人的敏感信息,成为黑客组织、商业情报机构的关注焦点。我国电子政务领域信息系统建设“交钥匙工程”现象仍然存在,安全设计和应用实现不够合理和科学,不能抓住安全和业务的平衡点,业务系统最终
呈现出的结果背离最初安全设计目标和预期使命。粗放型的管理理念和管理体系与现有安全管理工具不能相互融合支撑。同时,注重外围边界安全,忽视内网安全,只重视以网关产品为主要形式的边界防御,对内部网络、业务应用和数据安全的管理不够重视,无法保证整体网络安全性。数据加密存储或加密传输手段实现比例很低,缺乏切实有效的数据防外泄手段,敏感数据得不到重点保护,缺少实质性的安全防护措施。目前,数据窃取的技术手段与工具也在快速发展,数据泄露的风险进一步加大,数据安全形势不容乐观。 (二)信息系统建设运维人员组成复杂,面对新应用新技术应急资源未得到合理有效整合 电子政务信息系统设备非国产化问题还未得到彻底解决,安全设备购买后要么“裸奔”,要么被束之高阁。一些单位还购买了专门的安全服务,将信息系统安全配置与管理全权交给集成或安服公司,虽然在一定程度上节省了专业人员的培养成本,但是,随着厂商业务的拓展、售后服务人员的更迭、产品质保期的结束,会产生很多不可控的因素,人员安全意识、安全技能以及安全防护水平均存在参差不齐的现象,网络安全保障受制于人。随着无线网络、云计算、大数据等技术的不断普及,移动执法、移动监测、移动服务、移动媒体等广泛应用,恶意代码攻击、个人隐私泄露的途径也在不断扩大。电子政务领域网络安全应急方面主要问题表现在缺少供决策者作战指挥的固
电子政务案例分析-习题集(含答案)
《电子政务案例分析》课程习题集 西南科技大学成人、网络教育学院版权所有 习题 【说明】:本课程《电子政务案例分析》(编号为04002)共有单选题,论述题,简答题,判断题等多种试题类型,其中,本习题集中有[简答题]等试题类型未进入。 一、单选题 1. 各级政府机构的政务处理电子化包括内部核心政务电子化、信息公布与发布电子化、信息传递与交换电子化、公众服务电子化等。这称为 A、电子政务 B、电子政府 C、电子商务 D、办公自动化 2. 运用信息技术打破行政机关的组织界限,建构一个电子化的虚拟机关,使得人们可以从不同的渠道取用政府的信息和服务。人们可以利用不同的形式,非特定的时间及地点,与政府进行沟通,这称为 A、电子政务 B、电子政府 C、电子商务 D、办公自动化 3. 电子政务相对与办公自动化来说,参与的对象是 A、公务员 B、领导干部 C、公众 D、由公务员扩展到全社会的各类用户角色
4. 是电子商务发展的保障 A、电子数据交换 B、电子资料库 C、电子政务 D、电子身份认证 5. 信息系统和电子政务的安全风险来自与 A、物理风险 B、无意错误风险 C、有意破坏风险 D、以上都是 6. 地址又称为互联网地址是一个位的二进制整数,由个字节组成 A、48,4 B、32,4 C、24,4 D、32,2 7. 国际标准化组织提出了开放式网络互联分层模型()把互联网分为层 A、5 B、7 C、3 D、以上都不对 8. 为适应业务发展和安全保密的要求,有效遏制重复建设。要加快建设和整合统一的网络平台。电子政务网络由政府内网和政务外网构成,两网之间隔离,政务外网与互联网之间隔离 A、物理,物理 B、逻辑,逻辑 C、物理,逻辑 D、逻辑,物理 9. 常用的信息加密技术是 A、数字证书 B、链路加密 c、网络层加密 d、以上答案
华为电子政务网络安全解决方案
华为电子政务网络安全解决方案 编者按:没有安全的网络,就像没有围墙的院落,随时随地会受到骚扰和侵犯。随着政务网络的不断发展和应用,网络受到的安全挑战越来越多。如何保证政务网络的全面安全?华为电子政务网络安全解决方案为此提供了解决办法…… 没有安全的网络,就像没有围墙的院落,随时随地会受到骚扰和侵犯。随着政务网络的不断发展和应用,网络受到的安全挑战越来越多。如何保证政务网络的全面安全是摆在建设与管理者面前的一个难题。 随着政务网络的层次化、分组化以及宽带化发展,政府部门越来越多的统计决策业务、日常监督检查业务、OA等管理性业务以及面向多媒体的综合业务都开始向数字化、网络化转变,这符合当前信息网络融合发展的趋势。多网融合对应用的安全性提出了更高的要求。 但目前政务网络还存在一些常见的问题:一是没有统一的网络授权控制策略,仅采用简单的口令控制,使用不便,而且难以确保口令的时效限制。二是机房中心访问控制与未来跨主机业务之间的矛盾,如不同政府部门之间的业务开展和结算等。三是网络规划基本上还是以简单办公业务需求为主,没有考虑到将来政府网络支持的业务对网络架构和安全要求提高后的平滑过渡。四是政务内网与政务外网之间的数据交换存在实时性与安全性之间的矛盾。因此,政务网络需要整体性的安全解决方案。
政务网络安全策略 完整的安全体系结构应覆盖系统的各个层面,由“网络级安全、应用级安全、系统级安全和管理级安全”四大部分组成。 网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障政务网络的安全;应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制,在应用层保证对政务网络各种应用系统的信息访问合法性;系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控,防止不法分子利用操作系统的安全漏洞对政务网络构成安全威胁;管理级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障政务网的安全。因此作为一个完整的系统,政务网络必须对网络系统进行全方位的考虑。 网络的安全覆盖系统的各个层面,包括网络传送、网络服务、应用安全、安全识别、安全防御、安全监控、审计分析、集中管理等多个方面。这需要依靠安全保护和安全管理进行全面防护。
网络安全设计方案87894
1.1 某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统
某市政府中心网络安全方案设计 1.2 安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2) 通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1 防火墙系统设计方案 1.2.1.1 防火墙对服务器的安全保护 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。 如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。 1.2.1.2 防火墙对内部非法用户的防范 网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。 对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安
电子政务内网安全现状分析与对策
电子政务内网安全现状分析与对策 4.29首都网络安全日电子政务应用论坛分享 上世纪80年代末,我国首次提出发展电子政务,打造高效、精简的政府运作模式。 近年来,随着政府机构的职能逐步偏向社会公共服务,电子政务系统的高效运作得到民众的肯定,但同时,各类业务通道的整合并轨也让电子政务系统数据安全问题“开了口子“:“国家旅游局漏洞致6套系统沦陷,涉及全国6000万客户信息” “4.22事件,多省社保信息遭泄露,数千万个人隐私泄密” “国家外国专家局被曝高危漏洞,分站几乎全部沦陷” …… 一. 电子政务内网数据库安全面临的风险 虽然基于安全性的考虑,电子政务系统实行政务外网、政务专网、政务内网的三网并立模式,但通过对系统安全性能的研究,安华金和发现:当前电子政务内网信息系统中的涉密数据集中存储在数据库中,即使是与互联网物理隔离的政务内网,一系列来自数据库系统内部的安全风险成为政府机构难以言说的痛。 风险一、数据库管理员越权操作: 数据库管理员操作权限虽低,但在数据库维护中可以看到全部数据,这造成安全权限与实际数据访问能力的脱轨,数据库运维过程中批量查询敏感信息,高危操作、误操作等行为均无法控制,内部泄露风险加剧。 风险二、数据库漏洞攻击: 由于性能和稳定性的要求,政务内网多数使用国际主流数据库,但其本身存在的后门程序使数据存储环境危机四伏,而使用国产数据库同样需要担心黑客利用数据库漏洞发起攻击。 风险三、来自SQL注入的威胁:
SQL注入始终是网站安全的顽疾,乌云、补天、安华等平台爆出的数据漏洞绝大多数与SQL注入攻击有关,内外网技术架构相同,随着政务内网的互联互通,SQL注入攻击构成政务内网的严重威胁。 风险四、弱口令: 由于账户口令在数据库中加密存储,DBA也无法确定哪些是弱口令,某国产数据库8位及以下就可以快速破解,口令安全配置低,有行业内部共知的弱口令,导致政务内网安全检查中发现大量弱口令和空口令情况,弱口令有被违规冒用的危害,即使审计到记录也失效。 传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术形成应对策略,但对于核心数据库的防护欠缺针对有效的防护措施。 二. 电子政务内网数据库防护解决方案 电子政务系统的数据安全防护,在业务驱动的同时,保障政策要求同样重要,在此前提下,国家保密局于2007年发布并实施分级保护保密要求: 特别是对于系统中数据的保密,要求中明确指出:对于机密级以上的系统要从运行管理三权分立、身份鉴别、访问控制、安全审计等方面进行一系列的技术和测评要求,具体涉及以下三方面: 访问审计: 1、审计范围应覆盖到服务器和重要客户端上的每个数据库用户 2、审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等 3、应能够根据记录数据进行分析,并生成审计报表 4、应保护审计进程避免受到未预期的中断 5、应保护审计记录避免受到未预期的删除、修改或覆盖等 6、审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 二、主动预防 1、通过三权分立,独立权控限制管理员对敏感数据访问。 2、应针对SQL注入攻击特征有效防护 3、应检测对数据库进行漏洞攻击的行为,能够记录入侵的源IP、攻击的类型,并在发生严重入侵事件时主动防御
我国电子政务建设的五个阶段及七点建议
我国电子政务建设的五个阶段及七点建议 政府部门的电子政务建设是一个长期投入、随时修正和不断学习的复杂的实施过程,本文对新时期电子政务建设的特点进行了归纳和总结,并指出容易出现的7个问题。 电子政务是指政府部门应用计算机和通信技术,把管理和服务进行集成,同时,借助互联网实现组织结构和工作流程的优化和重组,并超越时间、空间和部门的限制全方位地向社会提供优质、规范、透明、符合一定标准的管理和服务。 我国的电子政务起始于20世纪80年代中期的办公自动化(OA)工程,到90年代末多部委联合发起了政府上网工程,到2001年有95%以上的地级及地级市以上的政府管理部门建设了政府网站,办事指南、政策法规、表格下载等基本上网,这之后我国的电子政务建设进入了实质性发展阶段。附表列出了我国电子政务发展的5个阶段。 电子政务的5个发展阶段 阶段划分举例 主要特征描述 1.起步阶段 刚开通政府网站,网站发布的信息简单,网站内容多数静态,网站相互独立。 2.提高阶段 政府网站逐渐增多,网站之间相互链接;开始提供动态信息和专业信息,发布有关政府出版物、法律法规和新闻等内容;提供检索功能和相关电子邮件地址,还可能提供某些政府部门的链接。 3.交互阶段 用户可以从政府网站下载表格和申请材料,通过电子邮件等与政府官员进行交流和沟通;能检索专业数据库;网站内容和信息定期更新。 4.在线处理阶段 用户事务能在线处理;数字签名被广泛使用;信息安全得到保证。我国的电子政务建设正处于这一阶段。 5.无缝阶段 在线服务实现完全整合;政府日常业务被转移到网络空间等。 如果说2002年之前我国的政府信息化还主要停留在网络设施、政府上网、若干重点领域和相对比较基础层面建设,那之后,政府信息化建设则进入了全面启动的阶段,发展速度明显加快,并把更多的信息化服务、特别是政府利用网络和门户为社会公众提供的信息服务和网上办事放在了突出的地位。近期,我国党政机关信息化建设的重点方向主要是电子政务业务系统(主要包括行政审批)、办公自动化、内外网建设、数据库建设和信息安全。 总体上,现阶段我国电子政务建设的特点是内网建设速度加快、投资大,实现了信息发布和网上办公,如行业内网站建设初见成效,OA办公平台全面应用,其他的还有网上申报、网上审批等得到广泛应用,但也存在一些问题。在最近的“中国经济50人长安论坛”上,著名经济学家吴敬琏归纳了四“重”四“轻”,可谓精辟,即重新建、轻整合;重硬件、轻软件;重管理、轻服务;重电子、轻政务。 本文结合国内外电子政务的发展历程,从以下几个方面具体探讨电子政务项目实施过程中需要注意的几个问题。 政策变动对项目实施的影响 政策变动包括几方面的因素,一是国家宏观调控导致的法律法规的变动;二是政府部门内部工作流程的改变导致的变动;另外还有管理模式发生变化所导致的变动。 经过近20年的发展,电子政务建设进入了一个全新的整体规划阶段,随着政府角色从管理向服务转变,如何能够更好地服务于社会已经成为了近期电子政务工作内容的重点。举
电子政务网络安全管理办法
电子政务网络安全管理办法 为加强我县电子政务网络安全管理工作,确保网络安全运行,结合我县的实际情况特制定电子政务网络安全管理办法。 1、各单位网络管理人员必须精心维护好单位的网络设备,做到防尘、防热、防潮、防水、防磁、防静电等,以增加设备使用年限。县政府办将定期对各单位的网络管理情况进行检查,发现不能达到以上要求的单位,将对其进行通报批评,对由于管理人员疏忽造成网络安全事故的,将追究相关管理员及单位领导责任。 2、各联网单位不得随意更改政务网络接入设备配置,不得擅自切断电子政务网络设备电源,不得擅自挪动相关设备和切断、移动相关传输线路,不得擅自与其他网络对接,不得随意增加交换机、集线器以及接入信息点数量,如需进行以上变动,应向县政府办信息科提出申请,经批准后方可实施。 3、各联网单位要增强网络安全意识,严禁登陆浏览黄色网站(网页),禁止下载、使用存在安全隐患的软件,不得打开来历不明的电子邮件附件,不得随意使用计算机文件共享功能,防止计算机受到病毒的侵入。 4、工作时间禁止玩网游、下载电影及大型软件,以保证本单位网络速度。县政府办信息科将采取技术措施对互联网出入口的数据进行监控,对发现的问题将在全县范围内进行通报,并按照相关规定严肃处理。 5、政务网计算机使用单位和个人,都有保护政务网信息与网络安全的责任和义务,所有关于本单位网站、论坛、信息录入等密码要严格保密不得泄露,一旦泄露立即报政府办信息科进行密码修改。 6、各接入单位应当定期制作计算机信息系统备份,备份介质实行异地存放。对可能遭受的侵害和破坏,应当制定灾难防治预案。
7、要配备计算机系统补丁升级和病毒防治工具,定期进行系统补丁升级和病毒检查。使用新机、新盘及拷贝的软件、数据,上机前应进行系统补丁升级和病毒检查。 8、办工人员严禁下列操作行为: (1)非法侵入他人计算机信息系统和联网设备操作系统; (2)未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰,影响计算机信息系统正常运行; (3)故意制作、传播计算机病毒等破坏程序; (4)将非业务用计算机或网络擅自接入政务内网,将业务用计算机或网络接入互联网或其他非政府机关的网络; (5)在政务网使用的计算机及网络设备在未采取安全隔离措施的情况下同时连接政务网和其它网络; (6)将存有涉密信息的计算机擅自连接国际互联网或其他公共网络; (7)擅自在政务网上开设与工作无关的网络服务; (8)发布反动、淫秽色情等有害信息; (9)擅自对政务网计算机信息系统和网络进行扫描; (10)对信息安全事(案)件或重大安全隐患隐瞒不报; (11)擅自修改计算机ip或mac地址。 9、在发生紧急事件时,为避免造成更大损失和影响,信息科有权或者要求有关部门采取以下措施: (1)拆除可能影响安全或有安全隐患的设备或部件;
软件安全风险评估
1概述 1.1安全评估目的 随着信息化的发展,政府部门、金融机构、企事业单位等对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。对信息系统软件进行安全测评,综合分析系统测试过程中有关现场核查、技术测试以及安全管理体系评估的结果,对其软件系统安全要求符合性和安全保障能力作出综合评价,提出相关改进建议,并在系统整改后进行复测确认。以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。 根据最新的统计结果,超过70%的安全漏洞出现在应用层而不是网络层。而且不只发生在操作系统或者web浏览器,而发生在各种应用程序中-特别是关键的业务系统中。因此,有必要针对xxx系统应用软件进行安全风险评估,根据评估结果,预先采取防范措施,预防或缓解各种可能出现的信息数据安全风险。 安全评估要求 XXXXXXXX 软件安全评估具体需求 安全评估指导原则 软件安全风险评估作为一项目标明确的项目,应分为以下五个阶段,每个阶段有不同的任务需要完成。 1、启动和范围确定:在安全相关软件的合同或任务书中应提出软件安全性分析的范围和要求。实施方明确责任,管理者检查必备的资源(包括人员、技术、基础设施和时间安排),确保软件安全性分析的开展; 2、策划:软件安全性分析管理者应制定安全性分析计划,该计划可作为所属软件过程或活动的计划的一部分。 3、执行和控制:管理者应监控由软件安全性分析计划规定的任务的执行。管理者应控制安全性分析进展并对发现的问题进行调查、分析和解决(解决方案有可能导致计划变更)。 4、评审和评价:管理者应对安全性分析及其输出的软件产品进行评价,以便使软件安全性分析达到目标,完成计划。 5、结束:管理者应根据合同或任务书中的准则,确定各项软件安全性分析任务是否完成,并核查软件安全性分析中产生的产品和记录是否完整。 安全评估主要任务 根据安全评估指导原则,为尽量发现系统的安全漏洞,提高系统的安全标准,在具体的软件安全评估过程中,应该包含但不限于以下七项任务: 软件需求安全性分析 需要对分配给软件的系统级安全性需求进行分析,规定软件的安全性需求,保证规定必要的软件安全功能和软件安全完整性。
电子政务中的网络安全问题分析与研究
电子政务中的网络安全问题分析与研究 【摘要】随看互联网技术的不断进步与发展,电子政务中的网络安全问题也成为政府部门关注的重要内容。尤其在日常检查、统计决策等业务的开展方面,要求实现数字化与网络化,以满足信息融合发展的要求。本文主要对电子政务网络安全的基本概述、电子政务系统安全风险以及构建网络安全体系的措施进行探析。 【关键词】电子政务安全风险网络安全体系前言:在信息网络融合发展的趋势下,政府部门也开始应用互联网技术以实现办公网络化、电子化以及自动化的目标。然而电子政务实际运行过程中存在一定的网络安全问题,导致其应有的效果无法充分发挥出来。因此对电子政务中网络安全问题及其相应的完善策略分析具有十分重要的意义。 一、电子政务网络安全的基本概述 对电子政务网络安全的概念目前仍未形成比较全面的定义。但从广义角度分析,其主要以网络信息安全为基础,将网络系统中涉及的数据信息及其自身的软件与硬件进行保护,避免因恶意侵入所造成的泄露、修改以及破坏情况的发生。在内容方面既存在管理问题,也包括技术问题。其中管理方面主要指通过内部使用人员的管理确保电子政务实现政
府要求的信息化与开放化,而技术问题侧重于对不法分子攻击的预防。因此针对现阶段电子政务中的网络安全问题,需从技术与管理方面进行完善。 二、电子政务中存在的网络安全问题分析 1、从网络层安全风险角度。电子政务的网络层安全风险主要体现在数据传输风险、网络边界风险以及网络设备安全风险等方面。在数据传输风险中,往往存在业务数据泄露以及数据被破坏的情况。利用上下级网络或同级局域网络进行数据传输过程中由于包含相关的敏感信息或其他登录通行字且缺乏专门控制数据的软件与硬件,不法分子会采用不同的攻击手段窃取或直接破坏数据信息。在网络边界风险方面,由于电子政务中的网络节点多为不可信任域,入侵者很可能利用Sniffe 等程序对系统中的安全漏洞进行探测,并在此基础上窃取内部网中的用户名或口令等信息,导致系统瘫痪的情况发生。同时内网与外网的互通也是产生网络边界风险的重要原因。在网络设备安全风险方面,主要体现在如路由器或交换机等设备方面,其安全性关乎电子政务系统的运行。 2、从物理层、系统层与应用层角度。电子政务系统中的物理层风险主要指周边环境对网络或线路所造成的影响,如设备的毁坏、设备被盗或线路老化等情况,也存在自然灾害等对设备造成的破坏。通常可利用物理隔离技术解决
电子政务考试简答论述题2
1.电子政务与传统政务的区别 1.传统的政务处理是以政府机构和职能为中心的;电子政务的处理方式是以公众的需求为中 心的 2.电子政务的实施过程一般有哪几个步骤? 答:1) 实现政府内部管理电子化是电子政务的基础。内容包括:内部网(Intranet)的建设,OA(办公自动化系统)建设等。目标:内部网络化,办公无纸化。 2) 推进政府网站的建设与管理是电子政务的必要组成部分。要求建成一个界面友好、设计美观、功能齐全、信息丰富并且更新及时的政府网站,并与内部的办公自动化系统和数据库连接,实现信息的网上发布与在线查询等功能。(详细要求参见第五章) 3) 建立电子化的政府管理系统使政府管理部门的业务和范围逐步从政府内部拓展到政府外部,实现政府内网、外网和互联网的有机整合。打破政府不同部门之间长期存在的壁垒,构筑起集成化的电子政务处理系统。 4) 由浅入深、循序渐进,推进电子政务的实施坚持以公众为中心的理念,由浅入深、循序渐进,有计划、有步骤,积极稳妥地推进,构筑起网络化、集成化的电子政务系统3.门户网站评估指标组成 答:(1)内容建设指标组成;(2)网站功能指标组成;(3)网站建设指标组成;(4)网站运营指标组成。 4.政府信息资源整合指的是怎样一个过程?依次分哪几个层次? 答:政府信息资源整合是指在电子政务的实施过程中,利用信息通信技术对分散在不同层次和机构的政府信息资源进行有机的集成,实现相互渗透、高度协同和有效控制,从而最大限度地开发和利用政府信息资源价值的过程。 政府信息资源整合从低级到高级进行划分,可以分成四个层次:(1)基础政府信息资源的整合;(2)基本单位政府信息资源的整合;(3)重点业务系统的政府信息资源整合;(4)全方位的政府信息资源整合。 5.影响电子政务发展水平的主要因素有那些? 1)信息通信技术的发展和应用状况 2)政府信息资源整合和利用程度 3)政府人力资源状况 4)电子政务相关法律 5)电子政务组织与管理 6.电子政务规划包括哪些主要内容? 答:主要内容有:(1)背景分析;(2)目标和任务分析;(3)实施方案分析;(4)实施保障分析;(5)评估与改进分析。 7.政府电子化公共服务的优劣评价有哪些指标? 答:电子化公共服务的完备度;电子化公共服务的整合度;电子化公共服务可使用度;电子化公共服务的可持续度。 8.实施电子税务有何现实意义? 答:(1)显著提高税收征管效率,降低税收征纳成本;(2)电子税务有利于税务公开,更好地实现“依法治税”;(3)电子税务有利于税务部门决策的科学化、民主化;(4)电子税务有利于税收知识的普及和税收环境的改善。 9.政府信息资源由哪些部分组成? 答:(1)政府部门为履行管理国家行政事务的职责而采集、加工、使用的信息资源;(2)政府部门在业务过程中产生和生成的信息资源;(3)由政府投资建设的信息资源以及由政府部门直接管理的信息资源。 10.电子政务实施应处理好那些关系。 答:正确处理统一领导和部门利益之间的关系;正确处理好政府主导和市场行为之间的关系;正确处理电子政务规划和实施计划之间的关系;正确处理新建项目和原有资源整合的关系;正确处理加强监管和改善服务的关系;正确处理电子政务安全与发展之间的关系;正确处理电子政务建设与信息产业发展之间的关系;正确处理系统建设与人才培养的关系。 11.政府电子化采购的意义(与传统的政府采购相比,政府电子化采购有哪些独有的价值?)。 答:(1)降低政府采购成本;(2)提高政府采购效率;(3)优化政府采购管理;(4)促进政府廉政建设;(5)改善经济发展环境。 12.电子政务实施要坚持哪些原则? 答:1、统筹规划,协调发展;2、以需求为导向,以应用促建设;3一把手重视和群众参与相结合;4分步实施,以点带面;5实用为主,适度超前; 13.政府电子化公共服务的实施目标是什么? 回答要点:(1)为公众提供高水平的政府服务,即:能对公众的服务请求作出快速的回应;
电子政务网络安全解决方案
电子政务网络安全解决方案 电子政务网络安全概述 以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。 网络规划 各级网络 利用现有线路及网络进行完善扩充,建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。 数据中心 建设集中的数据中心,对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。 网络总体结构 政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。 所谓电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。 实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式,建立了适应网络时代的“一网式”和“一表式”的新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作效率。
电子政务系统安全整体解决方案设计
精品文档你我共享 课程设计成绩评价表
封面 成都信息工程学院 课程设计 题目:电子政务系统安全整体解决方案设计 作者姓名: 班级: 学号: 指导教师: 日期:2010年12月20日 作者签名:
电子政务系统安全整体解决方案设计 摘要 随着信息化时代的到来,充分利用网络使办公自动化、快速、高效,已经得到越来越广泛的使用。为了建设可行的、高效的电子政务系统,本文中,我首先分析了电子政务的网络安全风险,提出了电子政务网络系统可能会面临的物理层、网络层、系统层、应用层和管理层等如此多的安全威胁,相应的提出了网络安全方案设计原则和电子政务网络安全解决方案,并且也重点强调在做好技术上的保障之后,在日常的工作中,我们应该更加关注人为的因素,建立起强烈的安全防范意识,培养良好的使用习惯。技术的保障和工作人员的重视两方面的结合,才会构建一个安全实用的电子政务系统,也一定会给民众带来巨大的帮助,受到大家的好评。 关键词:网络化办公;自动化办公;电子政务系统;网络安全风险;安全系统;解决方案
目录 1 引言 (1) 1.1课题背景知识 (1) 1.2我国电子政务的建设进程 (1) 1.3当前面临的问题 (1) 1.4本课题的需求 (1) 2 电子政务网络安全风险分析 (2) 2.1物理层的安全风险分析 (2) 2.2网络层的安全风险分析 (2) 2.3系统层的安全风险分析 (2) 2.4应用层的安全风险分析 (2) 2.4.1 身份认证漏洞 (2) 2.4.2 DNS服务威胁 (3) 2.4.3 WWW服务漏洞 (3) 2.4.4 电子邮件系统漏洞 (3) 2.5管理层的安全风险分析 (3) 3 电子政务网络安全方案设计 (4) 3.1网络安全方案设计原则 (4) 3.2电子政务网络安全解决方案 (4) 3.2.1 物理层安全解决方案 (4) 3.2.2 网络层安全解决方案 (4) 3.2.3 系统层安全解决方案 (5) 3.2.4 应用层安全解决方案 (5) 3.3安全管理方案建议 (6) 3.3.1 安全体系建设规范 (6) 3.3.2 安全组织体系建设 (6) 3.3.3 安全管理制度建设 (6) 3.3.4 安全管理手段 (6) 结论 (8) 参考文献 (9)
电子政务安全风险分析及解决方案
信息技术 摘要:本文针对电子政务网络安全可能遇到的主要风险及解决方案进行了详细的分析和研究。 关键词:电子政务网络安全 0引言 电子政务是政府机构应用现代信息通信技术,将管理和服务通过网络技术进行集成,在互联网上实现组织结构和工作流程的优化重组,向社会提供优质和全方位的、符合国际水准的管理和服务。 电子政务的安全大部分归属于网络安全,网络安全不只是单点的安全,而是整个网络的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。 1电子政务网络的复杂性 通常情况下,网络系统安全与性能、功能是一对矛盾的关系。政府信息网络结构复杂,内联网不仅连接着省、市、县等政府机关,而且还连接各大企业网络、公安网络,具有多个外部出口。另外政府网接入国际互联网络,提供公开信息服务,使其安全问题更加复杂。 2安全风险分析 为了便于分析网络安全风险和设计网络安全解决方案,我们可以采取分层的方法,在每个层面上进行细致的分析,根据风险分析的结果设计出符合实际的、可行的解决方案。 2.1物理层的安全风险分析网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。常见情况有:设备被盗、被毁坏;链路老化或被有意或者无意的破坏;因电子辐射造成信息泄露;设备意外故障、停电;地震、火灾、水灾等自然灾害等。 2.2网络层的安全风险分析 2.2.1数据传输风险分析由于局域网数据传输线路之间存在被窃听的潜在威胁,同时局域网内部也存在着攻击行为,一些敏感信息可能被窃取和篡改,造成泄密。如果没有专门的软件或硬件对数据进行控制,所有的广域网通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取。 2.2.2网络边界风险分析各级政府机构都会连接INTERNET 国际互联网,并有公开服务器(WWW、DNS、FTP等服务器),对外提供公开信息服务。由于国际互联网的开放性,使得政府网的安全性大大降低。 2.2.3网络设备安全性分析网络设备自身的安全性也会直接关系到政府系统和各种网络应用的正常运转。例如,路由信息泄漏、交换机和路由器设备配置风险等。 2.3系统层的安全风险分析电子政务网通常采用的操作系统(主要为UNIX、Linux、Windows2000、Windows2003、Windows XP)本身在安全方面考虑较少,服务器、数据库的安全级别较低,存在一些安全隐患。同时病毒也是系统安全的主要威胁,所有这些都造成了系统安全的脆弱性。 2.4应用层的安全风险分析电子政务网络应用系统中主要存在以下安全风险:非法访问;用户正常提交的信息被监听或修改;用户对成功提交的业务进行事后抵赖;伪装及骗取用户口令等。由于政府网络对外提供WWW服务、E-mail服务、DNS服务等,因此也存在外网非法用户对内部服务器的攻击。 2.5管理层的安全风险分析责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或受到其它安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。 3电子政务网络安全解决方案 3.1物理层安全解决方案保证系统中各种设备的物理安全是保障整个网络系统安全的前提。其中包括:对系统所在环境的安全保护,如区域保护和灾难保护;设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;设备冗余备份,可通过严格管理及提高员工的整体安全意识来实现。为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。 3.2网络层安全解决方案 3.2.1防火墙安全技术的建议电子政务网络系统是一个由省、市、各区县政府网络组成的三级网络体系结构,属于不同的网络安全域。因此在各个网络边界,以及电子政务系统和Internet边界都应安装防火墙,并实施相应的安全策略。电子政务系统还与各企业连接,政府和企业之间是不完全信任关系。所以政府应在企业接入服务器与其内网之间安装防火墙进行隔离,同时控制两者之间的访问行为。另外,为控制对关键服务器的授权访问控制,建议把公开服务器集合为一个专门的服务器子网,设置防火墙策略来保护对它们的访问。 3.2.2入侵检测安全技术的建议入侵检测系统在重点保护网络中是访问控制设备防火墙最有利用的补充。在内联网各节点重点保护段的主交换机上配备入侵检测系统的探测器,通过中心控制台对所有探测器进行集中统一管理。包括制定安全策略、修改安全策略以及升级攻击代码库等。 3.2.3数据传输安全的建议为保证数据传输的机密性和完整性,建议在电子政务专用网络中采用安全VPN系统,统一安装VPN 设备,对移动用户安装VPN客户端软件。通过加密设备之间的加解密机制、身份认证机制、数字签名机制,将电子政务专用网构造成一个安全封闭的网络。 3.3系统层安全解决方案 3.3.1操作系统安全技术操作系统是所有计算机终端、工作站和服务器等正常运行的基础,关键的服务器应该采用服务器版本的操作系统;网管终端、办公终端可以采用通用图形窗口操作系统。在没有其它更高安全级别的操作系统可供选择的情况下,安全关键在于操作系统的安全管理,制定强化安全的措施。 3.3.2数据库安全技术目前的商用数据库管理系统主要有MS SQL Sever、Oracal、Sybase、Infomix等。数据库管理系统应具有自主访问控制(DAC)、验证、授权、审计,以及在数据库级和纪录级标识数据库信息的能力。 3.4应用层的安全技术方案根据电子政务专用网络的业务和服务,我们采用身份认证技术、防病毒技术等来保障网络系统在应用层的安全。 3.4.1身份认证技术公钥基础设施可以做到:确认发送方的身份;保证发送方所发信息的机密性;保证发送方所发信息不被篡改;发送方无法否认已发该信息的事实等,对电子政务达到其成熟阶段具有不可或缺的、极为重要的意义。 公钥基础设施(PKI)必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKI也将围绕着这五大系统来构建。因此有必要在国、省、地市政府中心建立CA中心,保证非接触性网上业务的可靠性。 3.4.2防病毒技术根据电子政务系统网络结构和计算机分布情况,病毒防范系统可配置成分布式进行集中管理。防病毒客户端安装在系统的关键主机中,如关键服务器、工作站和网管终端。在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀,设定病毒防范策略。 3.5安全管理建议面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理,建立网络安全体系。在省中心和各地市建立网络安全建设领导委员会。省中心的安全委员会负责安全体系的总体实施,领导整个部门不断提高系统的安全等级。 4结束语 电子政务提供科学决策、监管控制和大众服务的功能,信息安全使其成功的保证。解决好信息共享与保密性的关系,开放性与保护隐 电子政务安全风险分析及解决方案 李佳娜(同济大学) 280