本站小編為你精心準備了淮北電視臺新聞非編制作網搭建參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要:長期以來，在電子政務信息安全建設方面，存在著重技術輕管理的問題。信息安全并不是技術過程，而是一個綜合防范的過程，安全技術應由適當的安全管理體系來支持。在信息安全保障工作中必須管理與技術并重，進行綜合防范，才能有效保障安全。本文旨在提出了一種電子政務安全解決方案。首先，分析了電子政務面臨的威脅和挑戰;其次，對電子政務安全保障體系進行探討;再次，討論了電子政務安全等級保護思想和風險評估方法。

關鍵詞:電子政務信息安全

0引言

隨著電子政務不斷推進，社會各階層對電子政務的依賴程度越來越高，信息安全的重要性日益突出，在電子政務的信息安全管理問題中，基于現實特點的電子政務信息安全體系設計和風險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。

1電子政務信息安全的總體要求

隨著電子政務應用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務，迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行，另一方面要保護運行在內部網上的敏感數據與信息的安全，因此應充分保證以下幾點：

1.1基礎設施的可用性：運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵，網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。

1.2數據機密性：對于內部網絡，保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。

1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下，只有經過認證的設備可以訪問網絡，并且能明確地限定其訪問范圍，這對于電子政務的網絡安全十分重要。

1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失，硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此，在電子政務安全體系中必須包括數據的容災與備份，并且最好是異地備份。

2電子政務信息安全體系模型設計

完整的電子政務安全保障體系從技術層面上來講，必須建立在一個強大的技術支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數據存儲安全，數據傳輸安全和應用安全制定完善的安全策略

在技術支撐平臺方面，核心是要解決好權限控制問題。為了解決授權訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結合起來進行安全性設計，然而由于一個終端用戶可以有許多權限，許多用戶也可能有相同的權限集，這些權限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復雜性和存儲空間，從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題，作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成，在該模型中：

2.1終端用戶：向驗證服務器發送請求和證書，并與服務器雙向驗證。

2.2驗證服務器：由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制，是安全模型的關鍵部分。

2.3應用服務器：與資源數據庫連接，根據驗證通過的用戶請求，對資源數據庫的數據進行處理，并把處理結果通過驗證服務器返回給用戶以響應用戶請求。

2.4LDAP目錄服務器：該模型中采用兩個LDAP目錄服務器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理，安全技術實際上只是實現管理的一種手段，再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實；安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。

3電子政務信息安全管理體系中的風險評估

電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析，構建電子政務系統的風險因素集。

3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義，結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素，采取相應的安全保護措施以保障信息和信息系統的安全。

3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產的評估主要是對資產進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應確定接受風險的準則，識別可接受的風險級別。

4結語

電子政務與傳統政務相比有顯著區別，包括:辦公手段不同，信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同，實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務的目的之一，也是與傳統政務的重要區別。在電子政務的信息安全管理中，要抓住其特點，從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.

[2]李波杰，張緒國，張世永.一種多層取證的電子商務安全審計系統微型電腦應用.2007年05期.

[3]趙暉.網絡安全中的安全審計技術.集團經濟研究.2006年23期