導語：電子政務信息安全解決方案論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要:作為未來最適應時代要求的政府工作形態，電子政務建設是我國當前信息化工作的重，點，未來政府辦會發展的趨勢。本文探論了綜合電子政務平臺的棍念、結構和相關技術，分析了電子政務所面臨的安全威脅，并提出了相應的解決方案。

關鍵詞:電子政務信息安全PKI

一、綜合電子政務平臺概述

電子政務是指政府機構應用信息技術提高政府事務處理的信息流效率，對政府機構和職能進行優化，改善政府組織和公共管理能力。通常由核心網絡、接人網絡及訪問網絡三部分組成。建設內容一般包括:電子政務網絡平臺、政府門戶網站、電子政務主站點、“一站式”行政審批系統、視頻會議系統、公文交換和信息報送系統、電子郵件系統、辦公自動化系統等。

電子政務網絡平臺網絡結構中，核心網絡擁有重要的信息資源，并處理政府部門間的核心業務。政府部門間的數據交換流程是閉環的，即任何一個節點既是用戶又是數據源。因此，核心網絡節點之間的業務流程應該是高速、嚴密、安全的，并且有嚴格的審核機制。核心網絡與接人網絡形成上下級關系的協同工作平臺，進行信息、數據的交換。它們之間的信息往來必須具備信任安全體系。政府核心網絡面向社會公眾提供信息服務，對外宣傳政府信息，與訪問網絡建立連接。

二、綜合電子政務平臺的安全風險

2.1網絡安全域的劃分和控制問題

電子政務中的信息涉及國家秘密、國家安全，因此它需要絕對的安全。但是同時電子政務現在很重要的發展方向是要為社會提供行政監管的渠道，為社會提供公共服務，如社保醫保、大量的公眾咨詢、投訴等等，它同時又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。

2.2內部監控、審核問題

目前絕大部分單位都沒有系統可以實時地對內部人員除個人隱私以外的各項具體操作進行監控和記錄，更不用談對一些非法操作進行屏蔽和阻斷了。

2.3電子政務的信任體系問題

電子政務要做到比較完善的安全保障體系，第三方認證是必不可少的。只有通過一定級別的第三方認證，才能說建立了一套完善的信任體系。

2.4數字簽名(簽發)問題

在電子政務中，要真正實行無紙化辦公，很重要的一點是實現電子公文的流轉，而在這之中，數字簽名(簽發)問題又是重中之重。

2.5電子政務的災難響應和應急處理問題

很多單位在進行網絡規劃的時候，沒有考慮到作為系統核心部分一一數據庫本身的安全問題，完全依賴干整個網絡的防護能力，一旦網絡的安全體系被穿破或者直接由內部人員利用內網用戶的優勢進行破壞，“數據”可以說無任何招架之力。

三、綜合電子政務平臺安全體系建設方案

3.1技術保障體系

技術保障體系是安全管理體系的重要組成部分。它涉及兩個層面的問題，一是信息安全的核心技術和基本理論的研究與開發，二是信息安全產品和系統構建綜合防護系統。

信息安全技術。信息安全的核心技術主要包括數據加密技術、信息隱藏技術和信息認證技術。數據加密是把有意義的信息編碼為偽隨機性的亂碼，以實現信息保護的目的。數字簽名是指只有發送者才能產生的別人無法偽造的一段數字串，這段數字串同時也是對發送者信息真實性的證明。

信息安全防護體系。目前，主要的信息安全的產品和系統包括防病毒軟件、防火墻、入侵檢測系統、漏洞掃描、安全審計系統、物理隔離系統等。我們可采用屏蔽子網體系結構保證核心網絡的安全。屏蔽子網體系結構通過添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步地把內部網絡與Internet隔離開。在這種結構下，即使攻破了堡壘主機，也不能直接侵人內部網絡，它將仍然必須通過內部路由器。

3.2運行管理體系

安全行政管理。電子政務的安全行政管理應包括建立安全組織機構、安全人事管理、制定和落實安全制度。

安全技術管理。電子政務的安全技術管理可以從三個方面著手:硬件實體、軟件系統、密鑰。

風險管理。風險管理是對項目風險的識別、分析和應對過程。它包括對正面事件效果的最大化及對負面事件影響的最小化。

3.3社會服務體系

安全管理服務。目前，一些信息安全管理服務提供商(ManagedSecurityServiceProviders,MSSP)正在逐步形成，它們有的是專門從事安全管理服務達到增值目的的，有的是一些軟件廠商為彌補其軟件系統的不足而附加一些服務的，有的是一些從IT集成或咨詢商發展而來提供信息安全咨詢的。

安全測評服務。測評認證的實質是由一個中立的權威機構，通過科學、規范、公正的測試和評估向消費者、購買者即需方，證實生產者或供方所提供的產品和服務，符合公開、客觀和先進的標準。

應急響應服務。應急響應是計算機或網絡系統遇到安全事件如黑客人侵、網絡惡意攻擊、病毒感染和破壞等時，所能夠提供的緊急的響應和快速的救援與恢復服務。公務員之家:

3.4基礎設施平臺

法規基礎建設。主要有以下幾方面:在國家憲法和各部門法中對各類法律主體的有關信息活動涉及國家安全的權利和義務進行規范，形成國家關于信息及信息安全的總則性、普適性的法規體系;針對各類計算機和網絡犯罪，制訂直接約束各社會成員的信息活動的行為規范，形成計算機、網絡犯罪監察嶼防范體系;對信息安全技術、信息安全產品(系統)的授權審批應制訂相應的規定，形成信息安全審批與監控體系;針對信息內容的安全與保密問題，制訂相應規定，形成信息內容的審批、監控、保密體系;從國家安全的角度，制訂網絡信息預警與反擊體系等。

標準基礎建設。隨著我國信息安全測評認證制度的建立與推進，以及有關主管部門管理力度的加大，信息安全標準化建設任務將更為艱巨。需盡快完成信息系統安全性評價準則及測試規范、商用密碼產品安全技術要求、信息安全服務評估準則、信息安全工程質量管理要求、交換機安全技術要求、PBX安全技術要求、電子商務產品安全測評規范、電子商務認證中心(CA)安全評估要求等應用急需的標準，井進一步完善國家信息安全標準體系。

PKI認證平臺。PKI是公鑰基礎設施(PublicKeyInfrastructure)的簡稱，是一個用非對稱密碼算法原理和技術來實現并提供安全服務的、具有通用性的安全基礎設施。在電子政務和電子商務的建設中，PKI實際上是提供了一整套的、遵循標準的密鑰管理基礎平臺。用戶可以利用PKI平臺進行安全通信，因為PKI旨夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理。