前言：本站為你精心整理了電子政務(wù)安全范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

電子政務(wù)涉及對國家秘密信息和高敏感度核心政務(wù)的保護，設(shè)計維護公共秩序和行政監(jiān)管的準(zhǔn)確實施，涉及到為社會提供公共服務(wù)的質(zhì)量保證。電子政務(wù)是黨委、政府、人大、政協(xié)有效決策、管理、服務(wù)的重要手段，必然會遇到各種敵對勢力、恐怖集團、搗亂分子的破壞和攻擊。尤其電子政務(wù)是搭建在基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)平臺上，包括政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)的安全先天不足，互聯(lián)網(wǎng)是一個無行政主管的全球網(wǎng)絡(luò)，自身缺少設(shè)防和安全隱患很多，對互聯(lián)網(wǎng)犯罪尚缺乏足夠的法律威懾，大量的跨國網(wǎng)絡(luò)犯罪給執(zhí)法帶來很大的難度。所有上述分子利用互聯(lián)網(wǎng)進行犯罪則有機可乘，使基于互聯(lián)網(wǎng)開展的電子政務(wù)應(yīng)用面臨著嚴(yán)峻的挑戰(zhàn)。

對電子政務(wù)的安全威脅，包括網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等，應(yīng)引起足夠警惕，采取安全措施，應(yīng)對這種挑戰(zhàn)。

電子政務(wù)的安全目標(biāo)和安全策略

電子政務(wù)的安全目標(biāo)是，保護政務(wù)信息資源價值不受侵犯，保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險和獲取最大的安全利益，使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御上述威脅而具有保密性、完整性、真實性、可用性和可控性的能力。

為實現(xiàn)上述目標(biāo)應(yīng)采取積極的安全策略：

國家主導(dǎo)、社會參與。電子政務(wù)安全關(guān)系到政府的辦公決策、行政監(jiān)管和公共服務(wù)的高質(zhì)量和可信實施的大事，必須由國家統(tǒng)籌規(guī)劃、社會積極參與，才能有效保障電子政務(wù)安全。

全局治理、積極防御。電子政務(wù)安全必須采用法律威懾、管理制約、技術(shù)保障和安全基礎(chǔ)設(shè)施支撐的全局治理措施，并且實施防護、檢測、恢復(fù)和反制的積極防御手段，才能更為有效。

等級保護、保障發(fā)展。要根據(jù)信息的價值等級及所面臨的威脅等級，選擇適度的安全機制強度等級和安全技術(shù)保障強壯性等級，尋求一個投入和風(fēng)險可承受能力間的平衡點，保障電子政務(wù)系統(tǒng)健康和積極的發(fā)展。

電子政務(wù)安全保障體系框架

電子政務(wù)安全采取“國家推動、社會參與、全局治理、積極防御、等級保護、保障發(fā)展”的策略，鑒于電子政務(wù)的信息安全面臨的是一場高技術(shù)的對抗，是一場綜合性斗爭，涉及法律、管理、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品、服務(wù)和基礎(chǔ)設(shè)施諸多領(lǐng)域，所以電子政務(wù)安全，還要從全局來構(gòu)建其安全保障的體系框架，以保障電子政務(wù)的健康發(fā)展。

電子政務(wù)安全保障體系由六要素組成，即安全法規(guī)、安全管理、安全標(biāo)準(zhǔn)、安全服務(wù)、安全技術(shù)產(chǎn)品和安全基礎(chǔ)設(shè)施等安全要素。

要素一安全法律與政策

電子政務(wù)的工作內(nèi)容和工作流程涉及到國家秘密與核心政務(wù)，它的安全關(guān)系到國家的主權(quán)、國家的安全和公眾利益，所以電子政務(wù)的安全實施和保障，必須以國家法規(guī)形式將其固化，形成全國共同遵守的規(guī)約，成為電子政務(wù)實施和運行的行為準(zhǔn)則，成為電子政務(wù)國際交往的重要依據(jù)，保護守法者和依法者的合法權(quán)益，為司法和執(zhí)法者提供法律依據(jù)，對違法、犯法者形成強大的威懾。

《中華人民共和國保護國家秘密法》已實施十多年，已不完全適應(yīng)我國當(dāng)前保密工作的現(xiàn)狀，特別是電子政務(wù)的發(fā)展，亟待修訂。

政務(wù)信息公開是電子政務(wù)的重要原則，為了拉近政府和公眾的距離，使公眾具有知情權(quán)、參與權(quán)、監(jiān)督權(quán)和享用政府服務(wù)的權(quán)利，為公眾提供良好的信息服務(wù)，充分挖掘政務(wù)信息的最大效益，開放政務(wù)信息資源（非國家涉密和適宜公開部分）服務(wù)于民是電子政務(wù)的重要特征。盡快制訂政務(wù)信息公開法，適度的解密和規(guī)范開放的規(guī)則，保護政府部門間信息的正常交流，保護社會公眾對信息的合法享用，打破對政務(wù)信息資源的壟斷和封鎖，提高政府行政透明度和民主進程是非常有利的和必需的。

電子政務(wù)亟待電子簽章和電子文檔的立法保護，國際已有近20多個國家對數(shù)字簽名和電子文檔進行了立法，使數(shù)字簽名和電子文檔在電子政務(wù)和電子商務(wù)運行中具有法律效力。這將大大促進電子政務(wù)和電子商務(wù)的健康發(fā)展，使電子政務(wù)原來的雙軌制走向單軌制，這有利于簡化程序、降低成本，充分顯示電子政務(wù)效益是非常有利的。

個人數(shù)據(jù)保護（隱私法）的需求伴隨電子政務(wù)的發(fā)展日顯突出。電子政務(wù)在實施行政監(jiān)管和公眾服務(wù)中有大量的個人信息（自然人和法人），如戶籍、納稅、社保、信用等信息大量進入了政府網(wǎng)絡(luò)信息數(shù)據(jù)庫，它對完成電子政務(wù)職能發(fā)揮巨大作用。但是這些個人信息如果保護不力或無意被泄漏，而被非法濫用，就可能成為報復(fù)、盜竊、推銷、討債、盯梢的工具。在國外已經(jīng)出現(xiàn)將盜用的個人隱私信息作為非法商品出售，以牟取暴利的情況，這樣直接損害個人的利益，甚至危及個人的生命安危。因此加快個人數(shù)據(jù)保護法的制訂，是必要的。

還有很多法規(guī)的制訂都直接關(guān)系到電子政務(wù)的健康發(fā)展，加快制訂這些法規(guī)，勢在必行。

要素二安全組織與管理

我國信息安全管理職能的格局已經(jīng)形成，如國家安全部、國家保密局、國家密碼管理委員會、信息產(chǎn)業(yè)部、總參……分別執(zhí)行各自的安全職能，維護國家信息安全。電子政務(wù)安全管理涉及到上述眾多的國家安全職能部門，其安全管理職能的協(xié)調(diào)需要由國家信息化領(lǐng)導(dǎo)機構(gòu)，如國家信息化領(lǐng)導(dǎo)小組及其辦公室、國家電子政務(wù)協(xié)調(diào)小組、國家信息安全協(xié)調(diào)小組等來進行。各地區(qū)和部委建立相應(yīng)的信息安全管理機構(gòu)，以完成和強化信息安全的管理，形成自頂向下的信息安全管理組織體系，是電子政務(wù)安全實施的必要條件。

制訂頒發(fā)電子政務(wù)安全相關(guān)的各項管理條例，及時指導(dǎo)電子政務(wù)建設(shè)的各種行為，從立項、承包、采購、設(shè)計、實施、運行、操作、監(jiān)理、服務(wù)等各階段入手，保障電子政務(wù)系統(tǒng)建設(shè)全程的安全和安全管理工作的程序化和制度化。

電子政務(wù)信息安全域的劃分與管理是至關(guān)重要的。電子政務(wù)有辦公決策、行政監(jiān)管和公共服務(wù)等三種類型業(yè)務(wù)，其業(yè)務(wù)信息內(nèi)容涉及國家機密、部門工作秘密、內(nèi)部敏感信息和開放服務(wù)信息。既要保護國家秘密又要便于公開服務(wù)，因此對信息安全域的科學(xué)劃分和管理，將有益于電子政務(wù)網(wǎng)絡(luò)平臺的安全設(shè)計，有益于電子政務(wù)的健康和有效的實現(xiàn)。

制訂電子政務(wù)工程集成商的資質(zhì)認(rèn)證管理辦法、工程建設(shè)監(jiān)理機構(gòu)的管理辦法、工程外包商的管理機制和辦法，以確保電子政務(wù)工程建設(shè)的質(zhì)量和安全，特別是對于電子政務(wù)系統(tǒng)的外包制更要有嚴(yán)格的制約和管理手段。對于電子政務(wù)中涉密系統(tǒng)工程的承建，還必須有國家保密局頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書，其他部分應(yīng)具有國家或省市相應(yīng)的系統(tǒng)集成商的資質(zhì)證書。對于電子政務(wù)涉密部分，不允許托管和外包運行，電子政務(wù)其他部分將按相關(guān)管理條例執(zhí)行。

電子政務(wù)工程中使用的信息安全產(chǎn)品，國家將制訂相應(yīng)的采購管理政策，涉及密碼的信息安全產(chǎn)品需有國家密碼主管部門的批準(zhǔn)證書，信息安全產(chǎn)品應(yīng)有通過國家測評主管機構(gòu)的安全測評的證書，維護信息安全產(chǎn)品的可信性。

電子政務(wù)系統(tǒng)信息內(nèi)容根據(jù)管理需求，可以實施對信息內(nèi)容的安全監(jiān)控管理，以保護政務(wù)信息安全，防止由于內(nèi)部違規(guī)或外部入侵可能造成的網(wǎng)絡(luò)泄密，同時也阻止有害信息內(nèi)容在政務(wù)網(wǎng)上傳播。

制訂電子政務(wù)系統(tǒng)的人員管理、機構(gòu)管理、文檔管理、操作管理、資產(chǎn)與配置管理、介質(zhì)管理、服務(wù)管理、應(yīng)急事件管理、保密管理、故障管理、開發(fā)與維護管理、作業(yè)連續(xù)性保障管理、標(biāo)準(zhǔn)與規(guī)范遵從性管理、物理環(huán)境管理等各種條例，確保電子政務(wù)系統(tǒng)的安全運行。

要素三安全標(biāo)準(zhǔn)與規(guī)范

信息安全標(biāo)準(zhǔn)有利于安全產(chǎn)品的規(guī)范化，有利于保證產(chǎn)品安全可信性、實現(xiàn)產(chǎn)品的互聯(lián)和互操作性，以支持電子政務(wù)系統(tǒng)的互聯(lián)、更新和可擴展性，支持系統(tǒng)安全的測評與評估，保障電子政務(wù)系統(tǒng)的安全可靠。

國家已正式成立“信息安全標(biāo)準(zhǔn)化委員會”，近期成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）、內(nèi)容安全分級及標(biāo)識工作組（WG2）、密碼算法與密碼模塊/KMI/VPN工作組（WG3）、PKI/PMI工作組（WG4）、信息安全評估工作組（WG5）、操作系統(tǒng)與數(shù)據(jù)庫安全工作組（WG6）、身份標(biāo)識與鑒別協(xié)議工作組（WG9）、操作系統(tǒng)與數(shù)據(jù)庫安全工作組（WG10），以開展電子政務(wù)安全相關(guān)標(biāo)準(zhǔn)的研制工作，支撐電子政務(wù)安全對標(biāo)準(zhǔn)制訂的需求。

還將制訂下列標(biāo)準(zhǔn)：涉密電子文檔密級劃分和標(biāo)記格式、內(nèi)容健康性等級劃分與標(biāo)記、內(nèi)容敏感性等級劃分與標(biāo)記、密碼算法標(biāo)準(zhǔn)、密碼模塊標(biāo)準(zhǔn)、密鑰管理標(biāo)準(zhǔn)、PKI/CA標(biāo)準(zhǔn)、PMI標(biāo)準(zhǔn)、信息系統(tǒng)安全評估和信息安全產(chǎn)品測評標(biāo)準(zhǔn)、應(yīng)急響應(yīng)等級、保護目標(biāo)等級、應(yīng)急響應(yīng)指標(biāo)、電子證據(jù)恢復(fù)與提取、電子證據(jù)有效性界定、電子證據(jù)保護、身份標(biāo)識與鑒別、數(shù)據(jù)庫安全等級、操作系統(tǒng)安全等級、中間件安全等級、信息安全產(chǎn)品接口規(guī)范、數(shù)字簽名……。

要素四安全保障與服務(wù)

1.電子政務(wù)系統(tǒng)建設(shè)，要構(gòu)建其技術(shù)安全保障架構(gòu)，對大型電子政務(wù)系統(tǒng)要建立縱深防御體系。

·設(shè)置政務(wù)內(nèi)網(wǎng)的安全與控制策略；

·設(shè)置政務(wù)外網(wǎng)的安全與控制策略；

·設(shè)置進入互聯(lián)網(wǎng)的安全服務(wù)與控制策略；

·設(shè)置租用公網(wǎng)干線的安全服務(wù)與控制策略，包括有線通信、無線通信和衛(wèi)星通信的安全服務(wù)與控制策略；

·設(shè)置政務(wù)計算環(huán)境的安全服務(wù)與機制。

采用縱深防御和多級設(shè)防，是電子政務(wù)安全保障的重要原則，通過全局性的安全防護、安全檢測、快速響應(yīng)、集成的安全管理與安全設(shè)施的聯(lián)動控制，以達(dá)到系統(tǒng)具有防護、檢測、反應(yīng)與恢復(fù)能力。

2.推廣電子政務(wù)信息系統(tǒng)安全工程（ISSE）的控制方法，全面實現(xiàn)安全服務(wù)要求。

電子政務(wù)安全系統(tǒng)的設(shè)計，首先要做好系統(tǒng)資產(chǎn)價值的分析，如物理資產(chǎn)的價值（系統(tǒng)環(huán)境、硬件、系統(tǒng)軟件）、信息資產(chǎn)的價值、其數(shù)據(jù)與國家利益和部門利益的關(guān)聯(lián)度；其業(yè)務(wù)系統(tǒng)（模型、流程、應(yīng)用軟件）正常運行后果所產(chǎn)生的效益，從而確定系統(tǒng)安全應(yīng)保護的目標(biāo)，在上述分析的基礎(chǔ)上提出整個安全系統(tǒng)的安全需求，進一步定義達(dá)到這些安全需求所應(yīng)具有的安全功能，然后探索系統(tǒng)可能面臨的威脅類型，并找出系統(tǒng)自身的脆弱性，這些威脅和脆弱性有：

·網(wǎng)上黑客與計算機犯罪；

·網(wǎng)絡(luò)病毒的蔓延與破壞；

·機要信息流失與信息間諜潛入；

·網(wǎng)上恐怖活動與信息戰(zhàn)；

·內(nèi)部人員違規(guī)與違法；

·網(wǎng)上安全產(chǎn)品的失控；

·網(wǎng)絡(luò)與系統(tǒng)自身的漏洞與脆弱性。

在這些威脅面前，要分析哪些威脅是本系統(tǒng)主要面臨的威脅，哪些是次要的，對系統(tǒng)和任務(wù)造成的影響程度如何。進行定性和定量的分析，提出系統(tǒng)安全對策，確定承受風(fēng)險的能力，尋找投入和風(fēng)險承受能力間的平衡點，然后確定系統(tǒng)所需要的安全服務(wù)及對應(yīng)的安全機制（見表一），從而配置系統(tǒng)的安全要素。在工程的生命周期中要進行風(fēng)險管理、風(fēng)險決策流程（見圖2），這種風(fēng)險管理是要對電子政務(wù)全程進行的。

系統(tǒng)投入運行要對其安全性進行有效評估，即評估者給出的評估證據(jù)和建設(shè)者采用的技術(shù)保障設(shè)施，的確能使系統(tǒng)擁有者確信已選用技術(shù)對策，確實減少了系統(tǒng)的安全風(fēng)險，滿足必要的風(fēng)險策略（風(fēng)險策略可以是“零”風(fēng)險策略、最小風(fēng)險策略、最大可承受風(fēng)險策略或不計風(fēng)險策略），使其達(dá)到保護系統(tǒng)資產(chǎn)價值所必需的能力（見圖3）。上述有效評估過程可用安全技術(shù)保障強壯性級別（IATRn）來描述：

IATRn=f(Vn,Tn,SMLn,EALn)

Tn：威脅等級

Vn：資產(chǎn)價值等級

SMLn：安全機制強度等級

EALn：評估保障等級

要素五安全技術(shù)與產(chǎn)品

1．加強安全技術(shù)和產(chǎn)品的自主研制和創(chuàng)新。

由于電子政務(wù)的國家涉密性，電子政務(wù)系統(tǒng)工程的安全保障需要各種有自主知識產(chǎn)權(quán)的信息安全技術(shù)和產(chǎn)品，全面推動自主研發(fā)和創(chuàng)新這些技術(shù)和產(chǎn)品是電子政務(wù)安全的需要。這些產(chǎn)品和技術(shù)可以分為六大類：

·基礎(chǔ)類：風(fēng)險控制、體系結(jié)構(gòu)、協(xié)議工程、有效評估、工程方法；

·關(guān)鍵類：密碼、安全基、內(nèi)容安全、抗病毒、IDS、VPN、RBAC、強審計、邊界安全隔

離；

·系統(tǒng)類：PKI、PMI、DRI、網(wǎng)絡(luò)預(yù)警、集成管理、KMI；

·應(yīng)用類：EC、EG、NB、NS、NM、WF、XML、CSCW；

·物理與環(huán)境類：TEMPEX、物理識別；

·前瞻性：免疫技術(shù)、量子密碼、漂移技術(shù)、語義理解識別。

2．電子政務(wù)安全產(chǎn)品的選擇。

整個電子政務(wù)的安全，涉及信息安全產(chǎn)品的全局配套和科學(xué)布置，產(chǎn)品選擇應(yīng)充分考慮產(chǎn)品的自主權(quán)和自控權(quán)。

產(chǎn)品可涉及安全操作系統(tǒng)、安全硬件平臺、安全數(shù)據(jù)庫、PKI/CA、PMI、VPN、安全網(wǎng)關(guān)、防火墻、數(shù)據(jù)加密機、入侵檢測（IDS）、漏洞掃描、計算機病毒防治工具、強審計工具、安全Web、安全郵件、安全設(shè)施集成管理平臺、內(nèi)容識別和過濾產(chǎn)品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網(wǎng)閘。

要素六安全基礎(chǔ)設(shè)施

信息安全基礎(chǔ)設(shè)施是一種為信息系統(tǒng)應(yīng)用主體和信息安全執(zhí)法主體提供信息安全公共服務(wù)和支撐的社會基礎(chǔ)設(shè)施，方便信息應(yīng)用主體安全防護機制的快速配置，有利于促進信息應(yīng)用業(yè)務(wù)的健康發(fā)展，有利于信息安全技術(shù)和產(chǎn)品的標(biāo)準(zhǔn)化和促進其可信度的提高，有利于信息安全職能部門的監(jiān)督和執(zhí)法，有利于增強全社會信息安全移師和防護技能，有利于國家信息安全保障體系的建設(shè)。因此，推動電子政務(wù)的發(fā)展，應(yīng)重視相關(guān)信息安全基礎(chǔ)設(shè)施的建設(shè)。

信息安全基礎(chǔ)設(shè)施有兩大類。

1．社會公共服務(wù)類

·基于PKI/PMI數(shù)字證書的信任和授權(quán)體系；

·基于CC/TCSEC的信息安全產(chǎn)品和系統(tǒng)的測評與評估體系；

·計算機病毒防治與服務(wù)體系；

·網(wǎng)絡(luò)應(yīng)急響應(yīng)與支援體系；

·災(zāi)難恢復(fù)基礎(chǔ)設(shè)施；

·基于KMI的密鑰管理基礎(chǔ)設(shè)施。

2．行政監(jiān)管執(zhí)法類

·網(wǎng)絡(luò)信息內(nèi)容安全監(jiān)控體系；

·網(wǎng)絡(luò)犯罪監(jiān)察與防范體系；

·電子信息保密監(jiān)管體系；

·網(wǎng)絡(luò)偵控與反竊密體系；

·網(wǎng)絡(luò)監(jiān)控、預(yù)警與反擊體系。