电子政务及安全研究报告

电子政务综述

概述

电子政务是指国家机关在政务活动中，全面应用现代信息技术、网络技术以及办公自动化技术等进行办公、管理和为社会提供公共服务的一种全新的管理模式。广义电子政务的范畴，应包括所有国家机构在内； 而狭义的电子政务主要包括直接承担管理国家公共事务、社会事务的各级行政机关。

主要内容

• 政府从网上获取信息，推进网络信息化
• 加强政府的信息服务，在网上设有政府自己的网站和主页，向公众提供可能的信息服务，实现政务公开
• 建立网上服务体系，使政务在网上与公众互动处理，即“电子政务”
• 将电子商业用于政府，即“政府采购电子化”。
• 充分利用政务网络，实现政府“无纸化办公”。
• 政府知识库。

电子政务模型

或者叫模式，或者叫内容，可简单概括为两方面：

• 政府部门内部利用先进的网络信息技术实现办公自动化、管理信息化、决策科学化；
• 政府部门与社会各界用户（企业和公众）利用网络信息平台充分进行信息共享与服务、加强群众监督、提高办事效率及促进政务公开等等。

发展阶段

从政府工作形式看，分为四个方面，也体现电子政务的四个发展阶段：

• 公文电子化；
• 内部办公自动化，建立政府部门内部办公自动化系统，应用计算机辅助行文、汇报、报表及管理业务，达到业务流程化；
• 行政管理网络化，实现在线信息交互和网上交互式办公；
• 部门间协同工作，以业务（项目）为中心，多个政府机构利用网络平台协同工作。

网络规范

主要特性

网络安全应具有以下五个方面的特征

• 保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。
• 完整性：数据信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
• 可控性：对信息的传播及内容具有控制能力。
• 可审查性：出现的安全问题时提供依据与手段
• 可用性：当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；

网络安全与性能和功能的关系

• 系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务（断开），外界是不可能构成安全威胁的。但是，企业接入国际互连网络，提供网上商店和电子商务等服务，等于将一个内部封闭的网络建成了一个开放的网络环境，各种安全包括系统级的安全问题也随之产生。网络安全是首先要解决的问题。

政务应急平台

应急管理

应急管理指由政府应急主管部门主导，关注公共突发事件全过程的整体管理，以及针对重大突发事件，在必要时接管下级部门的应急指挥所涉及到的所有管理活动和相关工作。

建设需求

• 应急联动体系建设
• 应急联动指挥中心
• 移动指挥中心（可另行考虑）
• 制定互联互通的标准规范，连通各指挥中心和省应急中心
• 应急平台体系的公共基础设施建设包括
  • 开发应急管理指挥系统软件
  • 整合构建：网络基础设施、视频基础设施（大屏、视频会议等）
  • 安全保障系统的建设

电子政务安全

概述

• 电子政务安全是指保护电子政务网络及其服务不受未经授权的修改、破坏或泄漏，防止电子政务系统资源和信息资源受自然和人为有害因素的威胁和危害，电子政务安全就是电子政务的系统安全和信息安全。由于电子政务的工作内容和工作流程涉及到国家秘密与核心政务，它的安全关系到国家的主权、安全和公众利益，所以电子政务安全的实施和保障是非常重要的。
• 电子政务安全的目标是满足政务业务的安全需要—电子政务系统的功能性安全要求和应对信息技术带来的信息安全威肋、—电子政务系统的自身安全要求。也就是保护政务信息资源价值不受侵犯，保证信息资产的拥有者面临最小的风险和获取最大的安全利益，使政务的信息基础设施、信息应用服务和信息内容为抵御上述威肋、而具有保密性、完整性、真实性、可用性和可控性的能力。

电子政务的安全威胁

目前大部分的网络都遭受过来自内部和外部的双重攻击，包括对网络中数据信息的危害和对网络设备的危害。威肋、电子政务安全的因素有非人为和人为的两个方面。非人为的威肋、主要是如地震、火灾等的自然灾难和由于技术的局限性造成的破坏，如操作系统的安全隐患、硬件设备的设计漏洞等。人为的威肋、主要有内部人员安全威肋、被动攻击、主动攻击、邻近攻击和分发攻击等5类。据统计，75%以上的安全问题是由内部人员引起的，已成为最大的安全隐患。内部人员安全威肋、分为恶意和非恶意两种。恶意攻击是指内部人员出于某种目的对所使用的政务系统实施的攻击。无意的攻击是指操作者由于误操作，对重要数据、文件等发送或存储到不安全的设备上，以及对数据造成严重的损害。

• 被动攻击，主要包括被动攻击者监视、接收、记录开放的通信信道上的信息传送。
• 主动攻击，指攻击者主动对信息系统所实施的攻击，包括企图避开安全保护、引入恶意代码，及破坏数据和系统的完整性。如破坏数据的完整性、越权访问、冒充合法用户、插入和利用恶意代码、拒绝服务攻击等。
• 邻近攻击，指攻击者试图在地理上尽可能接近被攻击的网络、系统和设备，目的是修改、收集信息，或者破坏系统。
• 分发攻击，是指攻击者在电子政务软件和硬件的开发、生产、运输和安装阶段，恶意修改设计、配置的行为。

这些安全隐患不可能依靠某种单一的安全技术就能得到解决，必须在综合分析电子政务整体安全需求的基础上构筑一个完整的安全保障体系。

电子政务安全管理

概述

电子政务的安全需求，是指在信息化环境下，政务活动对信息安全的基本需求和要求。
电子政务的安全需求来自于电子政务的外部环境，也取决于信息化背景下政务活动的特点和方式。

电子政务的安全环境与安全威胁

电子政务是基于网络技术运行的，因此，电子政务的安全环境涵盖了与社会普遍相关的基础信息网络安全的基本要素。电子政务的安全实质上关系到国家安全、公共利益和社会稳定。

电子政务信息安全等级保护、电子政务认证和权限管理的应用、政务信息交换的安全机制

电子政务信息安全等级保护

• 电子政务信息安全等级保护是指根据信息系统的安全需求，将其分为不同的安全等级，按照相应的安全要求进行保护，以确保信息系统的保密性、完整性和可用性。
• 等级划分：信息系统的安全等级通常分为五级，分别是：第一级（用户自主保护级）、第二级（系统审计保护级）、第三级（安全标记保护级）、第四级（结构化保护级）和第五级（访问验证保护级）。
• 保护措施：不同等级的信息系统需要采取不同的保护措施。例如，一级系统需要基本的安全防护措施，而五级系统则需要高级的加密和身份验证技术。

电子政务认证和权限管理的应用

电子政务认证和权限管理是确保电子政务系统安全和有效运行的重要手段。认证和权限管理系统的主要功能包括用户身份认证、权限分配和访问控制。

• 用户身份认证：通过对用户的身份进行验证，确保只有合法用户才能访问系统。常用的认证方式包括用户名密码、数字证书和生物识别等。
• 权限分配：根据用户的角色和职责，分配相应的访问权限，确保用户只能访问其工作所需的信息和功能。
• 访问控制：通过访问控制策略，控制用户对系统资源的访问，防止未经授权的操作。常用的访问控制模型包括基于角色的访问控制（RBAC）和基于属性的访问控制（ABAC）。

政务信息交换的安全机制

政务信息交换的安全机制是指通过技术手段和管理措施，确保政务信息在不同系统之间安全、可靠地传输和共享。

• 数据加密：在信息传输过程中，通过数据加密技术保护信息的机密性和完整性。常用的加密技术包括对称加密（如AES）和非对称加密（如RSA）。
• 数字签名：通过数字签名技术，确保信息的真实性和不可否认性。数字签名可以验证信息的发送者身份，并确保信息在传输过程中未被篡改。
• 安全传输协议：采用安全传输协议（如HTTPS、SSL/TLS）确保数据在传输过程中的安全。通过这些协议，可以防止数据在传输过程中被窃取和篡改。
• 防火墙和入侵检测：通过部署防火墙和入侵检测系统（IDS），保护信息交换系统免受网络攻击和非法访问。防火墙可以过滤不安全的网络流量，而IDS可以实时监控网络活动，发现并阻止潜在的安全威胁。
  

参考文献

• [1]艳清.基于PKI技术的电子政务网身份认证系统的设计与实现[D].长春:吉林大学,2019(1):78-79.
• [2]毕翔，唐存琛.基于影像识别技术的电子签名认证研究[J].计算机与数字工程,2019,47(12):56-57.
• [3]高峰，张翼，赵烨昕.快速身份认证系统CFCAFIDO+[J].信息安全与技术,2019,10(2):101-107.
• [4]胡永涛，胡善学.基于人脸识别的单因子认证安全分析[C]//2019互联网安全与治理论坛论文集,2019(2):45-46.
• [5]佚名.基于大容量指纹识别的实时身份认证系统[J].中国科技信息,2019,556(7):5-6.
• 中国电子政务网 http://www.e-gov.org.cn/cat-124.html
• 如何共建电子政务信息资源共享机制？ http://www.dianliang.com/hr/cio/zhengwu/200607/hr_127110.html
• 信息安全等级保护网http://www.djbh.net/webdev/web/PolicyStandardsAction.do;jsessionid=989661851BEA8011CEAACCDBC2EAE323?p=init
• 密码行业标准化技术委员会网站GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》