电子政务及安全
电子政务及安全
- 通过微信读书、cnki、密码行业标准化技术委员会网站等途径查找电子政务及安全相关内容,列出你查找的资料
- 综述解电子政务的内容和网络规范的内容
- 综述政务应急平台的内容
- 综述子政务安全的内容
- 综述电子政务安全管理的内容
- 综述电子政务信息安全等级保护、电子政务认证和权限管理的应用、政务信息交换的安全机制的相关内容
- 提交上述内容研究报告
- 提交PPT(加分项)
- 提交PPT的讲解视频(加分项)
一、电子政务
1. 电子政务的定义
电子政务是指国家机关在政务活动中,全面应用现代信息技术、网络技术以及办公自动化技术等进行办公、管理和为社会提供公共服务的一种全新的管理模式。电子政务是政府在国民经济和社会信息化的背景下,以提高政府办公效率,改善决策和投资环境为目标,将政府的信息发布、管理、服务、沟通功能向互联网上迁移的系统解决方案。同时也提供了结合振幅管理流程再造,构建和优化政府内部管理系统、决策支持系统、办公自动化系统,为政府信息管理、服务水平的提高提供强大的技术和咨询支持。
与传统政府的公共服务相比,电子政务除了具有公共物品属性,如广泛性、公开性、非排他性等本质属性外,还具有直接性、便捷性、低成本性以及更好的平等性等特征。
2. 电子政务的内容
1.政府从网上获取信息,推进网络信息化
2.加强政府的信息服务,在网上设有政府自己的网站和主页,向公众提供可能的信息服务,实现政务公开
3.建立网上服务体系,使政务在网上与公众互动处理,即“电子政务”
4.将电子商业用于政府,即“政府采购电子化”。
\5. 充分利用政务网络,实现政府“无纸化办公”。
\6. 政府知识库。
3. 网络规范
网络结构
国家电子政务网络由基于国家电子政务传输网的政务内网和政务外网组成。统一的国家电子政务传输骨干网由各级电子政务传输骨干网共同形成。政务内网和政务外网都是电子政务的业务网络。政务内网与政务外网之间不连接,政务内网与互联网之间不连接;政务外网是电子政务的专用业务网络,政务外网可与互联网之间安全连接。
网络安全
- 环境和设备安全
- 传输骨干网网络安全
- 业务网络网络安全
电子政务外网安全管理规范
政务外网省至地(市)广域网和省级、地(市)级城域网应达到安全等级保护第三级要求,地(市)级至区县广域网和地(市)以下城域网应至少达到安全等级保护第三级的要求。政务在省、市(地)分别建设两级安全接入平台,形成政务外网安全接入体系。县级可通过市级平台接入。
- IPSecVPN隧道接入:主要应用于非专线接入政务外网的单位,采用网关对网关接入进行组网以及远程终端接入进行长时间连接、数据上报、视频会议等非WEB方式访问的业务。对于专线接入单位,当专线发生故障时,应急情况下也可采用网关对网关接入方式,通过Internet或移动通信网的VPDN实现业务的不中断传输。
- SSL VPN安全接入:主要应用于接入终端WEB方式接入政务外网,访问业务系统、远程桌面管理、远程办公等。
- VPDN接入:专线接入用户可使用智能终端通过VPDN专线接入,VPDN专线接入和Internet接入类似,统一从政务外网安全接入平台入口进入。各级安全接入平台依据用户所要访问的业务应用系统的安全情况应采取IPSec VPN或SSL VPN网关对传输链路进行加密。
二、政务应急平台
政府应急平台综合应用系统(简称综合应用系统)要求满足日常应急值守和处置突发事件的需要,系统以计算机网络、主机存储、支撑软件等基础支撑系统为软硬件平台,以数据库系统为运行基础,提供强大的数据和业务管理能力。主要由面向业务应用的应急值守、综合业务管理、预案管理、应急资源管理、一张图辅助决策、一张图监测预警、一张图应急处置、一张图协同会商、应急评估、手机工作平台后台管理系统及后台智能服务助手等11个业务应用系统组成;专题应用系统、在线会商系统、风险隐患监控分析系统及数据交换与共享系统等5个系统/产品作为辅助应用部分。
三、政务安全
1. 电子政务安全
电子政务安全是指保护电子政务网络及其服务不受未经授权的修改、破坏或泄漏,防止电子政务系统资源和信息资源受自然和人为有害因素的威胁和危害,电子政务安全就是电子政务的系统安全和信息安全。由于电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、安全和公众利益,所以电子政务安全的实施和保障是非常重要的。
电子政务安全的目标是满足政务业务的安全需要—电子政务系统的功能性安全要求和应对信息技术带来的信息安全威肋、—电子政务系统的自身安全要求。也就是保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容为抵御上述威肋、而具有保密性、完整性、真实性、可用性和可控性的能力。
2. 电子政务的安全威胁
目前大部分的网络都遭受过来自内部和外部的双重攻击,包括对网络中数据信息的危害和对网络设备的危害。威肋、电子政务安全的因素有非人为和人为的两个方面。非人为的威肋、主要是如地震、火灾等的自然灾难和由于技术的局限性造成的破坏,如操作系统的安全隐患、硬件设备的设计漏洞等。人为的威肋、主要有内部人员安全威肋、被动攻击、主动攻击、邻近攻击和分发攻击等5类。据统计,75%以上的安全问题是由内部人员引起的,已成为最大的安全隐患。内部人员安全威肋、分为恶意和非恶意两种。恶意攻击是指内部人员出于某种目的对所使用的政务系统实施的攻击。无意的攻击是指操作者由于误操作,对重要数据、文件等发送或存储到不安全的设备上,以及对数据造成严重的损害。
- 被动攻击:主要包括被动攻击者监视、接收、记录开放的通信信道上的信息传送。
- 主动攻击:指攻击者主动对信息系统所实施的攻击,包括企图避开安全保护、引入恶意代码,及破坏数据和系统的完整性。如破坏数据的完整性、越权访问、冒充合法用户、插入和利用恶意代码、拒绝服务攻击等。
- 邻近攻击:指攻击者试图在地理上尽可能接近被攻击的网络、系统和设备,目的是修改、收集信息,或者破坏系统。
- 分发攻击:是指攻击者在电子政务软件和硬件的开发、生产、运输和安装阶段,恶意修改设计、配置的行为。
四、电子政务安全管理
1. 电子政务的安全目标
- 保障物理安全。
- 保障信息安全。
- 保障技术安全。
- 保障管理安全。
- 保障政治安全。
2.电子政务安全管理问题
根据电子政务的典型业务模型,我们需要考虑电子政务安全管理的如下问题:
办公环境的安全问题
为了保障电子政务安全,首先需要考虑办公环境的安全问题,即电子化的办公系统在运行过程中的安全问题。 其中包括办公人员的身份确认问题,不同级别的政府官员和办公人员的权限控制问题,办公系统中的数据安全使用和存储问题,日常的病毒防范问题,对付网络攻击的问题,以及物理环境安全问题等。
内部网络的安全问题
电子政务系统是在网络环境下运行的,因此,网络安全是安全保障的重要内容之一,它具体包括不同政府部门或不同级别的机构之间广域网数据传输的机密性和完整性问题,上下级之间网络互访的可控性问题,及广域网有效带宽的可用性问题等。 此外,还包括政府移动办公的安全问题,如政府官员移动办公的身份确认、权限控制和数据通信加密等问题。
五、电子政务信息安全等级保护
1. 电子政务信息安全等级保护的原则
- 重点保护原则
电子政务等级保护要突出重点。对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统,应集中资源优先建设。 - “谁主管谁负责、谁运营谁负责”原则
电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。 - 分区域保护原则
电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。 - 同步建设原则
电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。 - 动态调整原则
由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。
2. 电子政务安全等级的层级划分
- 第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。
- 第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
- 第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
- 第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
- 第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
六、电子政务认证和权限管理的应用
1. 电子政务电子认证
电子认证服务是保障电子政务电子签名安全可靠和信息系统安全运行的重要基础性服务。
- 规范性引用文件
- 公钥基础设施(PKI)
基于公钥密码技术实施的具有普适性的基础设施,可用于提供机密性、完整性、真实性及抗抵赖性等安全服务。 - 加密
- 加密证书
- 密码模块
实现密码运算功能的、相对独立的软件、硬件、固件或其组合。 - 密码算法
- 密钥key
- 证书更新
- 密钥更新
- 密钥恢复
- 签名证书
用于证明签名公钥的数字证书。 - 身份鉴别/实体鉴别
- 数字签名
签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果,该结果只能用签名者的公钥进行验证,用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。 - 数字证书
也称公钥证书,由证书认证机构CA起那么的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。 - 私钥
- SM2算法
一种椭圆曲线公钥密码算法,密钥长度为256比特。 - 证书撤销列表CRL
- 证书认证机构CA
- 证书注册机构RA
- 证书依赖方
2. 电子政务权限管理
依赖于证书真实性的实体。在电子签名应用中,即为电子签名依赖方。可以是也可以不是一个证书持有者。
授权及访问控制机制是电子政务信息安全的重要内容之一。
传统的权限管理机制主要有:
- 基于用户名和口令的权限管理
- 基于公钥证书的权限管理
基于用户名和口令的权限管理方式将网络用户及系统权限存储在用户权限数据库中,通过查找用户权限表来验证用户的权限:基于公钥证书的权限管理方式利用了公钥证书扩展项功能,将用户权限信息存储在公钥证书的扩展项中,在身份认证的同时完成权限认证。
七、政务信息交换的安全机制
政务信息资源是国家数据资源的重要组成,是支撑国家治理体系和治理能力现代化的重要基础。由于政府各部门的政务信息数据安全保护机制不尽相同包括不同的身份认证机制、访问控制机制、数据加密机制等。这种现象导致政务信息共享平台在整合各个系统的数据访问时面临困难,导致数据采集、数据获取、数据交换中发生迟滞和偏差。
标准核心从政务信息共享模型中所涉及的三方(共享数据提供方、共享数据交换服务方与共享数据使用方)及三阶段(共享数据准备、共享交换和共享数据使用)分析政务数据在共享流转过程中所存在的安全风险,并基于安全风险提出了 144 项安全技术要求,覆盖政务信息共享数据安全技术要求框架,共享数据准备、共享数据交换、共享数据使用阶段及相关基础设施的安全技术要求。
- 政务信息共享数据安全技术要求框架
- 政务信息共享交换业务模型
共享数据准备安全技术要求
括共享数据归集、数据分级分类、资源目录安全管理、共享数据维护等环节的安全技术要求。其中共享数据归集主要包括数据源鉴别的安全技术要求;共享数据维护主要包括数据质量控制、数据存储加密、数据存储隔离、数据召回及销毁等方面的安全技术要求。
共享数据交换安全技术要求
包括身份管理、授权管理、审验审核、数据导出、数据交换、数据导入等环节的安全技术要求。其中数据导出包括数据脱敏、数据加密、数据标记、安全策略检查等方面的安全技术要求;数据交换包括身份鉴别、访问控制、安全传输、操作抗抵赖、过程追溯、级联接口安全等方面的安全技术要求;数据导入包括故障保护、质量认定、数据分责等方面的安全技术要求。
共享数据使用安全技术要求
包括数据处理、数据存储、数据备份、数据销毁、数据监管等环节的安全技术要求。其中数据处理包括身份鉴别、访问控制、授权管理、数据脱敏、数据加密、数据防泄露、分布处理安全、数据处理溯源、数据分析安全、安全审计等方面的安全技术要求;数据存储包括存储安全、数据防护、数据加密、安全审计等方面的安全技术要求;数据备份包括备份方式、备份频度、保存与恢复等方面的安全技术要求;数据销毁包括销毁授权、审计、销毁方式等要求;数据监管包括数据使用行为记录、行为分析、安全策略匹配、监管反馈等技术要求。基础设施安全要求。包括针对政务信息共享交换云平台、前缀交换系统、基础网络环境、资源共享网站的安全技术要求。
基础设施安全要求
包括针对政务信息共享交换云平台、前缀交换系统、基础网络环境、资源共享网站的安全技术要求。
- 政务信息共享模式下的业务审批流程模型
参考资料:
电子政务百度百科
电子政务及其信息安全
GB/T 21061-2007国家电子政务网络技术和运行管理规范
电子政务安全管理.pdf
《关于信息安全等级保护工作的实施意见》
电子政务网络安全等级保护
电子政务系统权限管理机制及实现
电子政务电子认证服务业务规则规范
政务信息共享数据安全国家标准
