电子政务的安全论文

电子政务的安全论文（精选7篇）

电子政务的安全论文 篇1

电子政务，即各级机关在实践管理工作开展过程中需借助电子信息技术，打造分层结构、集中管理网络管理环境，且推进电子政务系统由“功能单一”向“综合政务网”转变，从而提升整体政府服务水平，同时借助网络平台加强与公众间的互动性，并营造双向信息交流环境，有效应对计算机病毒、黑客攻击、木马程序等网络安全问题。以下就是对电子政务系统网络安全问题的详细阐述，望其能为当前政府机构职能效用的有效发挥提供有利参考。

1.电子政务系统网络安全研究

1.1网络安全需求

就当前的现状来看，电子政务系统网络在运行过程中基于垃圾邮件攻击、网络蠕虫、黑客攻击、网络安全威胁等因素的影响下，降低了服务质量。为此，当代政务系统针对网络安全问题提出了相应的网络安全需求：第一，网络信息安全，即在电子政务系统操控过程中为了规避政务信息丢失等问题的凸显，要求管理人员在实践信息管理过程中应从信息分级保护、信息保密、身份鉴别、网络信息访问权限控制等角度出发，对可用性网络信息实施管理，打造良好的网络信息使用环境;第二，管理控制安全。即由于电子政务网络系统需与Internet连接，因而在内部局域网、外部局域网管理过程中，应设置隔离措施，同时针对每个局域网用户设定访问限定资源，并针对用户身份进行双向认证，由此规避黑客攻击等问题的凸显。而在信息传输过程中，亦需针对关键应用信息进行加密，且配置网络监控中心，实时掌控恶意攻击现象，并做出及时响应;第三，统一管理全网，即为了降低网络安全风险问题，要求当代电子政务网络系统在开发过程中应制定VLAN划分计划，且针对通信线路、访问控制体系、网络功能模块等实施统一管理，规避非法截获等安全问题[1]。

1.2网络安全风险

(1)系统安全风险。就当前的现状来看，我国UNIX、Windows、NETWARE等操作系统本身存有安全隐患问题，因而网络侵袭者在对系统进行操控过程中，可借助系统漏洞，登录服务器或破解静态口令身份验证密码，访问服务器信息，造成政务信息泄露问题。同时，在电子政务系统网络管理过程中，部分管理人员缺乏安全管理意识，从而未及时修补系统漏洞，且缺乏硬件服务器等安全评定环节，继而诱发了系统安全风险。此外，基于电子政务网络系统运行的基础上，侵袭者通常在公用网上搭线窃取口令字，同时冒充管理人员，向系统内部局域网直入嗅探程序，从而截获口令字，获取网络管理权限，造成电子政务系统信息损失。为此，为了规避信息截获等网络安全问题的凸显，要求管理人员在实践管理工作开展过程中应针对操作系统、硬件平台安全性进行检测，且健全登录过程认证环节，打造良好的电子政务系统服务空间，满足系统运行条件，同时实现对登陆者操作的严格把控。(2)应用安全风险。电子政务系统网络运行中应用安全风险主要体现在以下几个方面：第一，网络资源共享风险，即各级政府机构在网络办公环境下，为了提升整体工作效率，注重运用网络平台共享机关机构组成、政务新闻、政务管理程序等信息。而若某工作人员将政务信息存储于硬盘中，将基于缺少访问控制手段的基础上，造成信息窃取行为;第二，电子邮件风险，即某些不法分子为了获取政务信息，将特洛伊木马、病毒等程序植入到邮件中，并发送至电子政务系统，从而通过程序跟踪，威胁电子政务系统网络安全性。为此，管理人员在对电子政务系统进行操控过程中应提高对此问题的重视程度，同时强调对垃圾邮件的及时清理[2];第三，用户使用风险，即在电子政务系统平台建构过程中，为了规避网络安全风险问题，设置了“用户名+口令”身份认证，但由于部分用户缺乏安全意识，继而将生日、身份证号、电话号码等作为口令字，从而遭到非法用户窃取，引发政务信息泄露或攻击事件。为此，在系统操控过程中应针对此问题展开行之有效的处理。

2.电子政务系统网络安全设计应用

2.1系统安全

在电子政务系统应用过程中，为了打造良好的`网络运行空间，在系统设计过程中应融合防火墙隔离、VLAN划分、HA和负载均衡、动态路由等技术，并在电子政务网络结构部署过程中，将功能区域划分为若干个子网结构，同时合理布设出入口，并实时清理故障清单，从根本上规避网络安全风险问题。同时，在操作系统安全设置过程中，应针对安全配置安全性进行检测，并限定etc/host、passwd、shadow、group、SAM、LMHOST等关键文件使用权限，且加强“用户名+口令”身份认证设置的复杂性，避免操作风险的凸显[3]。此外，在电子政务系统操控过程中，为了确保系统安全性，亦应针对系统运行状况做好打补丁操作环节，并及时升级网络配置，营造安全、稳定的系统运行空间。

2.2访问控制

在电子政务系统网络安全应用过程中加强访问控制工作的开展是非常必要的，为此，首先要求管理人员在系统操控过程中应结合政务信息的特殊性，建构《用户授权实施细则》、《口令字及账户管理规范》等条例，并严格遵从管理制度要求，实现对网络环境的有效操控。同时，在网络出入口等网络内部环境操控过程中，应设置防火墙设备。例如，在Switch、Router安全网络域连接过程中，即需在二者间设置防火墙，继而利用防火墙IP、TCP信息过滤功能，如，拒绝、允许、监测等，对政务信息形成保护，同时在网络入侵行为发生时，及时发出警告信号，且针对用户身份进行S/Key的验证，达到网络访问控制目的[4]。其次，在网络访问控制作业环节开展过程中，为了规避电子政务网内部服务器、WWW、Mail等攻击现象，应注重应用防火墙应用代理功能，对安全问题进行有效防控。

2.3数据保护

电子政务数据属于机密性信息，因而在此基础上，为了规避数据泄露问题的凸显影响到社会的发展，要求我国政府部门在电子政务系统运行过程中，应扩大对《上网数据的审批规定》、《数据管理管理办法》等制度的宣传，同时在PC机管理过程中，增设文件加密系统，并对访问者进行限制，最终实现对数据的高效保护。其次，在对SYBASE等通用数据库进行保护过程中，应增设访问/存取控制手段，同时完善身份验证、访问控制、密码机制、文件管理等功能模块，从而通过角色控制、强制控制等方法，对数据形成双层保护，并加强假冒、泄露、篡改等现象的管理，保障系统网络安全性[5]。再次，在政务数据使用、传输过程中，应定期检测服务器内容完整性，例如，WWW服务器、FTP、DNS服务器等发布信息，满足政务信息使用需求，同时提升政府服务水平。

3.结论

综上可知，传统电子政务系统网络管理工作实施过程中逐渐凸显出信息截获、信息泄露等问题，影响到了各级政府机关服务水平。因而在此基础上，为了实现对网络安全风险问题的有效处理，要求管理人员在实际工作开展过程中应注重加强安全管理工作，同时从数据保护、访问控制、系统安全等角度入手，对政务系统网络环境形成保护，满足电子政务网络系统应用需求。

参考文献:

[1]王淼,凌捷,郝彦军.电子政务系统安全域划分技术的研究与应用[J].计算机工程与科学,,12(8):52-55.

[2]魏武华.电子政务系统的网络架构及其应用研究[J].计算机时代,2013,12(7):13-16.

[3]唐志豪,郝振平.我国电子政务审计的现实模式——基于本土环境和国际经验借鉴的研究[J].审计研究,2014,15(3):38-44.

[4]冯巧玲.云安全技术在电子政务系统安全防范中的应用[J].辽宁高职学报,2015,11(2):92-94.

[5]于雪莲.电子政务系统中信息安全技术研究与应用[J].信息系统工程,2015,13(6):57.

电子政务的安全论文 篇2

电子政务指政府机构应用现代信息技术和网络技术, 将管理和服务通过网络技术进行集成, 在互联网上实现政府组织结构和工作流程的优化重组, 超越时间和空间及部门之间的分隔限制, 向社会提供优质和全方位的、规范而透明的、符合国际水准的管理和服务。[1]

电子政务包括三层基本含义:第一层, 它必须利用信息技术和网络技术, 如果不用信息技术或者网络技术, 就不是电子政务, 可能是传统政务;第二层含义就是电子政务总是与公共事务的管理、公共权力的行使相联系, 如果不是管理公共事务, 不是行使公共权力, 就不属于电子政务的范围, 可能属于电子商务, 可能属于电子事务;第三层含义, 电子政务不意味着我们对传统的政务过程进行一个信息化的复制, 而是对传统的政务活动, 传统的政务过程进行信息化的改造。[2]

电子政务网络不但需满足各级政务部门内部办公、管理、协调、监督和决策的需要, 同时需满足各级政务部门进行社会管理、公共服务等面向社会服务的需要。但是在为用户提供方便的同时, Internet上的安全性问题却日益严重, 我们必须保证电子政务系统的安全性。该文通过分析电子政务系统网络安全层次的安全需求, 制定相应的安全策略, 结合目前常用的安全解决的手段和产品, 提供一个满足地方政府电子政务网络安全需求的技术解决方案。

2 网络安全需求分析

2.1 安全层次与需求的对应关系

一个系统的安全层次主要包括物理安全、网络安全、数据安全和应用安全, 系统的安全需求主要有网络隔离、抵御非法攻击、数据加密、身份认证、不可抵赖、访问控制、安全审计等。

系统的安全层次和需求的对应关系如图1所示。

2.2 安全需求分析

电子政务系统的安全性是一个复杂的问题。目前, 对系统威胁最大的是非法用户的外部攻击, 对电子政务的网络和数据的非法渗透、窃取和破坏, 因此我们需要优先实现网络层和数据层的安全, 在此基础上实现应用层的安全才有意义。

对于物理层和网络层的安全来讲, 安全需求的变化不多, 主要是新的黑客攻击手段和病毒的产生。电子政务系统的安全需求和风险主要集中在网络安全和应用安全方面, 重点被保护对象是应用服务器和数据库服务器。尽量将应用服务器系统和数据库系统进行网络隔离, 这样, 即使应用服务器被破坏, 数据库系统也能保证安全。

根据以上分析, 下面对电子政务系统的网络安全方面进行技术方案设计。

3 技术解决方案

3.1 二级安全层方式设计

目前成熟的网络安全的手段很多, 我们采用二级安全层方式来保证网络安全, 其中包括防火墙、防病毒和入侵检测3种安全防护措施。

总体方案设计如图2所示, 说明如下:

第一安全层的功能包括防火墙、VPN、入侵检测和防病毒网关, 主要用于保护Web服务器, 第二层包括防火墙和入侵检测, 用于防护应用服务器和数据库服务器。负载均衡器在本方案中实现对Web服务器和应用服务器的负载均衡。

方案采用了包括防火墙、防病毒和入侵检测这3种重要的安全防护措施, 重点防范非法入侵, 黑客攻击和网络病毒攻击, 形成多级防护体系, 解决所有主要的网络安全问题。同时, 采用负载均衡技术, 全面实施高可靠性解决方案和动态负载均衡, 使整个系统具有极高的可靠性和扩展性, 负载均衡器可以硬件和软件两种方式实现, 如果用硬件实现, 则性能较高, 如果用软件实现, 则性能较低, 但经济性好。需要说明的是应用服务器本身必须支持Cluster集群技术, 该方案中没有隔离应用服务器和数据库服务器, 故性能较高。

3.2 二级安全层方式简化设计

如果我们简化上一个方案, 则可以只在重负载设备前使用负载均衡器, 方案图3如下所示:

3.3 网络隔离方案

由于网络隔离可以使数据库服务器更安全, 实际上就是指逻辑隔离, 实现逻辑隔离的方法通常采用VLAN技术, 通过划分为不同的子网实现隔离, 如果将应用服务器和数据库服务器部署在不同的子网, 则应用服务器和数据库服务器之间必须通过隔离网关进行访问, 如图4如下:

关键是隔离网关具体如何实现, 如果使用支持VLAN的交换机作隔离网关 (也可以使用支持VLAN的网卡) , 实现网络层交换, 有安全隐患, 可能会招致非法用户的网络攻击。但是性能较高。

如果考虑更高等级的安全, 我们可以将隔离网关实现为应用层交换, 网络层不通, 阻断了网络攻击。但是需要开发应用程序支持应用层交换, 工作量较大, 性能也会受到影响。

由于前端有二级防火墙保护, 被黑客攻破而到达这里的可能性很小, 故网络隔离方案可以先实现简单隔离网关, 即用硬件实现的隔离网关, 实现对数据库服务器的三级保护。

4 小结与展望

本文所介绍的基于二级安全层方式的网络安全技术方案, 经实际应用后, 能够很好地保障电子政务网络不受攻击并稳定运行。但是, 系统的安全性是一个复杂的问题, 不仅仅是技术问题, 也是一系列安全制度和策略问题等方面的问题, 其难点往往不是在技术上, 而是在于实施一个完整的安全保障体系。只有在安全策略、管理制度、用户责任和保密教育等方面不断地改进和完善, 建立起完善的信息安全保障体系, 才能促进电子政务健康、稳步地发展。

参考文献

[1]什么是“电子政务”[EB/OL].<http://www.china.com.cn/chinese/zhuanti/356328.htm>.

电子政务的安全之道 篇3

本期“电子政务”专题邀请来了金山、江民、瑞星、天融信、F5、CA等信息安全公司的高管，共同探讨“电子政务”与“信息安全”之间的互动关系，分析目前我国电子政务在安全方面存在的问题、解决途径和产业机会。

构筑安全的电子政务

《互联网周刊》：同其他行业相比，中国电子政务对信息安全的需求有什么特点？这块市场的规模有多大？

雷军（金山软件公司总裁兼CEO）：因为电子政务涉及政府办公、行使政府职能，所以整个系统应该具有高度的保密性，严格控制信息的访问权限，保证信息的完整性。另外还应该有好的容灾与恢复系统。我认为整个电子政务的市场规模应该在几百亿元。

王江民（江民公司总裁）：与其他行业相比，电子政务系统的部分内容涉及到国家政府机密和敏感信息的安全，所以除了保证网络基本设施安全之外，“防黑”是首要任务。

毛一丁（瑞星公司副总裁）：由于这个市场的用户主要是国家机关，可能涉及到国家政务的正常运行，如果安全产品存在后门或漏洞，可能造成国家机密泄漏。因此，对厂商提供的产品的安全性能，对源代码的掌握、自主知识产权的研发等要求特别高。

从公开的统计资料来看，中国电子政务的总体规模在450亿～500亿元人民币之间，但在信息安全方面的投入比例并不大。随着网络和电子政务的发展，这个市场未来的潜力很大。

贺卫东（北京天融信网络安全技术有限公司董事长兼总裁）：中国电子政务的特点在于各地区、各部门的发展不平衡，对安全的要求也随之不同。所以评估安全风险，要在投资、收益方面做一个权衡。一个电子政务系统安全保密性能超出管理要求不但没有必要，而且还会造成资金上的浪费。这块市场的规模在整个安全市场中所占的比例在15%以上。

柯文（美国F5公司(中国)区市场渠道总监）：电子政务本身的特点包括开放性、虚拟性、网络化，这就对电子政务系统的安全性提出了严格的要求。而对中国电子政务，如何解决开放性与安全性的矛盾则是最重要的问题。这个市场有巨大的潜力。

谢春颖（CA(中国)有限公司产品市场经理）：在电子政务领域，信息安全是行业关注的重点之一。这块市场目前的规模大致在30亿～40亿元人民币。我们了解到，过去政府的应用系统是内部应用，不具备Web访问能力，现在要加入Web访问如公众访问，就需要好的授权和访问的安全管理解决方案，这是电子政务的信息安全需求重点之一。

《互联网周刊》：当前中国的电子政务建设，在信息安全方面还有哪些亟待解决的问题？

雷军：主要问题在于构建一个完整的电子政务安全体系，它包括四部分：可信的基础安全设施、安全技术支撑平台、容灾与恢复系统和安全管理体系。

王江民：现在防病毒技术多采取被动防毒方式，这方面针对已知病毒有效，但对于未知病毒的防护上有难度。解决这些问题，防病毒技术需要变被动为主动，加强系统的自身防护和免疫能力。

毛一丁：国内的IT厂商，在自有知识产权、研发能力等方面，跟国际先进水平还存在一定差距。一些政务网的基础设施如网络硬件、电脑操作系统、办公软件等不得不采用国外的产品，这些产品由于核心技术掌握在国外厂商手中，如果有后门或漏洞的话，就可能会对我国政务网络的安全运行产生重大影响，造成政府机密信息泄露。

贺卫东：电子政务安全是一个复杂的系统工程。仅从安全威胁的来源看，可以分为内、外两部分。来自于外部的威胁有病毒传染、黑客攻击、信息间谍、信息恐怖活动、信息战争、自然灾害等，而来自内部的威胁则包括内部人员恶意破坏、管理人员滥用职权、执行人员操作不当、内部管理疏漏、软硬件缺陷等。这些安全问题都急需解决。

柯文：政府部门设置多、部门之间的职能交叉以及政府职能转变迟缓等，都为电子政务系统的安全构建带来了困难。而部门设置越细，部门之间的职能交叉的概率越高，电子政务信息安全的控制难度越大。

谢春颖：在中国电子政务市场，机会正在不断涌现，并且对信息安全的投入越来越大。目前对中国政府而言，完善相关信息安全的法律法规被摆在了一个重要的位置，而且政府也正在研究确切可行的办法。面对2008年北京奥运会，对主办方北京市来说，信息安全技术也非常重要，因为到时要在很短的时间里应对世界各地巨大的人流、物流、资金流和信息流，而且很多人员和信息都是临时性的，所以从身份识别和认证方面来说是一个非常大的挑战。

信息安全的双向选择

《互联网周刊》：政府采购在电子政务信息安全市场的比例比较大，如何看待这种政府行为？

雷军：实施电子政务建设，政府采购成为了重要的实施手段。这两项工作其实都是由一个实体展开，即政府。政府采购应该以《政府采购法》为原则，切实为政府、企业服务。

王江民：政府采购对于电子政务软件市场的影响将逐渐扩大。国产软件在与国外软件厂商争夺政府采购大单的战斗中，电子政务是突破口，与国外软件相比，国产软件在很多方面是存在优势的。政府部门对安全要求的特殊性更为中国软件企业的发展提供了一个难得的机遇。

毛一丁：构建电子政务所需要的软硬件设施，都应通过政府采购进行。政府采购的原则和政策，直接影响到电子政务网络建成后的安全运行。要想保证电子政务的信息安全，就需要在建设初期即确定产品应满足的安全规范，并且要求产品厂商对产品提供后期的安全保证和技术支持。

贺卫东：政府采购在整个国内安全市场占有率中占15%～35%的份额，所以政府采购对于电子政务建设的影响巨大。天融信对政府采购非常重视，在公司的组织结构中，专设了服务于政府采购的政府事业部以处理相关事务。

柯文：政府采购意味着政府牵头推动这一市场，这对于企业和用户来说都起了带头作用，有利于让更多用户重视信息的安全性。

谢春颖：对于电子政务市场而言，政府采购的要求比较高，对信息安全厂商的影响也很大。比如密码加密必须用国产技术，电子政务的安全软件必须经过中国信息安全产品测评中心的认证等，这些是由电子政务信息安全市场的特殊性决定的。所以CA凡是涉及加密技术的产品，目前在中国地区就不进行销售。另外我们和一些国内公司进行合作，在其解决方案中把CA的身份管理功能发挥出来，再比如CA在中国的合资公司冠群金辰可以为政府单位提供防病毒软件，这样我们就可以更好地配合政府采购工作。

《互联网周刊》：面向政府提供信息安全服务方面，贵公司的独特优势何在？

雷军：金山公司是国内最大也是历史最悠久的通用软件提供商之一，我们不仅有专业完整的电子政务解决方案，也有面向政府、企业、行业等各个方面的信息安全解决方案。所以金山公司作为国内的自主研发公司可以更好地了解用户需求，从自身做到完整的整合，提供全面、综合的支持与服务。

王江民：江民公司是中国最早、最大的信息安全技术和服务提供商，拥有一支快速反应的技术队伍、覆盖全国的销售服务网络，并建立了24小时险情救助和灾难恢复体系，从而可以用本地化的服务，为企业的信息安全提供专家级的保护。

毛一丁：瑞星是全球仅有的几家拥有全系列信息安全产品的厂商，并且，这些产品瑞星拥有全部的知识产权，可以更好地保护电子政务的安全。我们的另外一个优势就是对本地化需求的了解，可以对产品提供及时快速的支持服务。这些都是国外对手所不能比拟的。

贺卫东：天融信长期以来在政府客户群中建立的良好信誉、积累的大客户优势、覆盖全国29个省市的销售体系、本地化的服务网络以及相对较低的产品价格，是我们面向政府提供信息安全服务方面的独特优势。

柯文：作为智能负载平衡领域的领先厂商，F5持之以恒的产品创新可帮助组织优化并保护其IT投资，同时确保IT资源和应用具备出色的可用性、可扩充性、卓越性能和强大的安全性，进而推动组织取得成功。

这方面我们可以举一个例子，在国家税务局电子报税系统中，内网系统的核心系统采用了F5公司的IP应用交换机，它能够充分利用所有的服务器资源，将所有的流量均衡的分配到各个服务器，这样就有效地避免了“不平衡”现象的发生。

谢春颖：CA目前在全球身份认证和访问管理软件市场中处于第一位，份额是19.7%，并且连续四年蝉联第一。但CA 中国的收入在CA全球份额中所占比率还不高，CA总部更看好中国未来几年的增长。

电子商务的安全 篇4

摘要：随着互联网的迅猛发展,网上交易日益成为新的商务模式，基于网络资源的电子商务交易已为大众接受。在享受网上交易带来的便捷的同时，交易的安全性备受关注,网络所固有的开放性与资源共享性导致网上交易的安全性受到严重威胁。因此，网络信息安全性就成了电子商务成功发展的关键因素，下面从电子商务中存在的安全问题、电子商务的安全要素以及安全技术等方面对电子商务交易中的安全问题进行分析。

从消费者得角度出发，消费者在网上订购并确认了向某个商家购买某一个产品，在支付环节会存在如下一些问题：

（1）例如，消费者在网上订购了某件商品，他之所以付款，是相信网上商城的信誉，但如果出现经济纠纷，谁知道我付了款呢？凭证在哪？怎么打官司？给了钱，没凭证，支付后一直担忧。

（2）消费者没拿到货，就找商家，商家给了答复：“我们却是知道你要买某个商品，但是我们没有收到钱，怎么给你发货呢？”给了钱，商家说没收到，消费者去找谁呢？在支付过程中，钱的去向无法确认。

（3）消费者找到开户银行，经过查找，银行说：“你的账户上却是扣除了商品价值的金额，不是实时发生的，划出去了，但我方也无法证明这笔划出的钱就是用于购买该商品的钱。”给了钱在账户划付过程中，款项用途不清，就存在划出去的这笔资金丢失的风险。

（4）消费者无权查看商家的开户行，因为与之无业务往来，但是还是去问了，当然，商家的开户行不予理睬。给了钱，四处奔波，比传统购物花费的时间更多。

（5）后来一直是没收到货，消费者哑巴吃黄连，自认倒霉。给了钱，花了时间和精力，却什么也没得到。消费者最后的选择结果很可能是，再也不上网购物了！

消费者可能遇到的这些问题，却是是网上购买实物商品过程中常常会出现的问题。这些问题产生的原因可能是:网上支付的实时问题，交易过程凭证的产生和法律保证问题，款付货到期限的商业信用无法建立的问题，网上交易消费者的权益保护问题等。因此网上支付的安全问题的解决可以从三个方面入手：一是实施技术保障，而是加强制度管理，三是，加强法律社会保障。只有解决了这三个层面的问题，才能侧地解决支付安全的问题。而这其中消费者最熟知和最信任的关键部门就是银行了。

商家角度上的安全问题，在网上购物刚兴起的一段时间里，通过网络销售的商品主要以家庭日用品，图书，音像制品为主，这样商品可以通过信息加以详尽的描述，但是现在，随着网上购物的不断发展，通讯商品，电子产品及其其他各种能够想到的东西基本上都能在网上找到，但这时，过去那样的简单描述已经不能适应整个网络市场的发展了。一些不法商家也就正是盯上了网上购物的这种潜在缺陷，肆意的夸大产品功能，或是直接作虚假广告，用不切合实际的产品描述来引诱购买者。很多消费者也常会因为刚刚接触网上购物而无辜的上当受骗。除此之外，也有一部分蓄意欺骗的商家收到了购买者汇来的钱而故意不发货，私吞下这笔资金。对于这类情况，淘宝和易趣网都采取了通过一系列的信用等级评价机制透明地如实反映卖家的信用额度以及过去的每一笔交易的明细的方法来减少这种不安全性，买家可以参考这些信息，甚至与曾经与此卖家交易过的买家沟通。但这些方式都只能降低商家网上欺骗成功的概率，不能从根本上减少这种事件的发生。要想彻底根治，还是要从商家本身以及交易平台的总体设计入手。

在电子商务中主要表现为商业机密的泄露，包括两个方面:一是交易双方进行交易的内容被第三方窃取；二是交易一方提供给另一方使用的文件被第三方非法使用。2.信息被篡改。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或被多次使用，这样就使信息失去了真实性和完整性。3.身份识别。身份识别在电子商务中涉及两个方面的问题：一是如果不进行身份识别，第三方就有可能假冒交易一方的身份，破坏交易、败坏被假冒一方的信誉或盗取交易成果；二是不可抵赖性，交易双方对自己的行为应负有一定的责任，信息发送者和接受者都不能对此予以否认。进行身份识别就是防止电子商务活动中的假冒行为和交易被否认的行为。4.信息破坏。一是网络传输的可靠性，网络的硬件或软件可能会出现问题而导致交易信息丢失与谬误；二是恶意破坏，计算机网络本身遭到一些恶意程序的破坏，例如 病毒破坏、黑客入侵等。

电子商务信息的安全规范 篇5

电子商务信息的安全规范

电子商务规范为电子商务提供了最基本的安全保护.通过相关安全规范的制订,可以预先把那些对电子商务活动安全可能产生不利影响的`潜在因素加以防范,起到安全屏障作用,为电子商务活动提供最基本的安全保障.

作 者：李贤民 作者单位：广东技术师范学院,广州,510262刊 名：现代情报 PKU英文刊名：MODERN INFORMATION年，卷(期)：27(10)分类号：X913.2关键词：电子商务 安全 规范

构建电子政务安全体系的研究 篇6

随着我国电子政务的广泛应用,安全问题也日渐突出,遗憾的是,虽然安全专家针对这些问题提出了不少解决办法,但在实施过程中,电子政务尤其是省市级以下电子政务的开发商们对电子政务安全问题的解决仅限于一些安全技术产品的简单堆砌。

本文将把政务安全作为一项典型的系统工程来看待,在阐述电子政务系统安全体系模型的基础上,对完善的电子政务安全体系进行说明。本解决方案主要适用于目前状态下副省级以下电子政务安全体系的设计。

1副省级以下电子政务的体系结构

电子政务的体系结构正处在由“三网一库”结构向内外网结构转变的过渡期。在这期间,由于国家的电子政务建设存在以下问题:①政务信息具有时政特点,而且“信息公开法”还处在摸索阶段,导致对信息的保密性界定没有一个明确的标准;②传统的体制分割模式,使得各级政府自成一体、各自为政,相互之间信息交流很少,很难实现信息共享。以上问题,在副省级以下的电子政务建设过程中,尤为突出,造成他们在进行电子政务建设时,按照信息的涉密程度直接进行内外网结果规划,有很大困难。为了使这一转变期平稳过渡,目前副省级以下电子政务的网络体系结构仍旧采用“三网一库”结构。

“三网”是指:机关内部的办公业务网(简称“内网”)、政府部门之间内网互联涉密的业务网(简称“专网”)和政府以互联网为依托的公众信息网(简称“外网”);“一库”是指:政府系统共建共享的“信息资源数据库”。

2电子政务安全体系设计

2.1电子政务的安全体系模型

本文参照ISO7498-2给出的信息安全体系结构,并根据电子政务体系结构的特点,构建电子政务安全体系模型,该模型应该包括以下几个构成部分:安全管理保障体系、安全技术支撑平台、响应与恢复机制。如图1所示:

结构图表明:整个安全体系必须置于统一的安全管理保障体系之下,而安全技术支撑体系由物理安全、网络安全、应用安全和数据安全四层组成。其中下层为上层的基础,只有保证了以下各层的安全,才能在真正意义上谈论上层的安全,进而才能保证整个电子政务系统的安全。响应与恢复机制保证电子政务系统能从意外事故中恢复并持续运行。

2.2电子政务安全体系结构设计

电子政务的安全隐患可能存在于构成电子政务系统的各个要素上,根据安全体系模型,进行电子政务安全体系的详细设计。

2.2.1 安全管理规范

建立完善的安全管理制度,应从以下几个方面着手进行:

1) 组织管理

信息安全管理工作应当指定专人负责。制定专门的制度,保障能定期检查系统的执行情况;定期进行全网统一杀毒;定期进行系统漏洞扫描;统一进行系统升级和漏洞补丁;制定相应的安全培训计划。

2) 人员管理

各级机关工作人员即是信息系统安全的主体,也是系统安全管理的对象。所以,要确保系统的安全,首先应加强人员安全管理。

具体内容如下:①程序员、系统管理员、操作员岗位分离。②只授予用户和系统管理员执行任务所需要的最基本的权限。③对于涉及敏感信息的重要任务应该需要两人以上完成。责任分离,以减少潜在的损失。④对人员录用要经过人事组织技术部门的考核,对新雇员进行与信息安全有关岗前培训。⑤对员工定期以多种形式进行计算机安全法律教育、职业道德教育和计算机安全技术教育。对关键岗位的人员进行定期考核。

3) 技术安全管理

技术安全管理主要包括:

· 软件的管理:包括对操作系统、数据库管理系统和原始数据、安全软件工具的采购、安装、使用、更新、维护和防病毒的管理。

· 机房管理:包括对机房使用、准入等管理。

· 设备管理:包括设备的购置、使用、维修、保管等管理行为。

· 帐户及口令管理:包括移动、添加和变更系统中的用户账户和管理员账户及对各帐户的权限分配,并要求对这些操作记录归档。

2.2.2 网络层安全防护方法

网络安全主要是防止网络入侵者通过网络攻击对整个政务体系造成破坏,它所针对和防范的对象为网络层上的攻击行为。解决网络层的安全问题可采用的方法包括:

1) 采用隔离网闸技术,隔离政务内外网,确保内网的安全。

2) 合理划分网段。

3) 采用虚拟网VLAN技术,实现物理网络的逻辑分组。

4) 采用网络防火墙技术,对不同的安全域进行逻辑隔离。

5) 应用网络入侵检测系统,实时监控网络的安全。

6) 采用安全传输协议,实现数据的安全传输。

目前网络层安全的保障大多都是通过成熟的网络产品来完成。对这些产品的使用主要考虑的就是选购的原则:

· 产品自身的安全性。

· 优先采用国内的成熟产品,尤其是具有独立自主知识产权的产品。这一点电子政务网络尤为重要。

· 产品的稳定性和配置的方便性。

· 充分考虑产品的可扩展、可升级性。

2.2.3 应用层安全防范方法

应用层的安全防范主要就是建立安全的认证体系,对应用系统实施严格的访问权限控制,以及应用层的病毒防范体系等。

1) 建立身份认证体系

用户身份认证根据电子政务系统是否部署认证中心CA可以划分为如下两种情形:当电子政务系统中没有部署认证中心CA时,一般采用用户名称、密码、附加验证码的形式进行用户身份认证。

如果电子政务系统部署了认证中心CA,每个电子政务系统用户首先向CA申请数字证书并以此作为用户参与电子政务系统的合法身份。当用户需要访问电子政务系统时,除了采用用户名称、密码、附件验证码认证用户身份之外,还需要对用户持有的数字证书进行认证,从更高的层次上保证访问系统的用户身份合法性。

2) 严格控制访问权限

访问控制一般与应用系统有机的结合在一起,目前常用的访问控制是基于角色的访问控制方法。这种方法的实施应充分考虑系统中角色的设置以及对角色的权限分配。其实现方法一般是建立角色分配表及访问控制表。

3) 建立病毒防范体系

病毒的防范是一个立体的、多层面的体系。在应用层上防范病毒的措施主要有:

在网络中所有可能的病毒攻击点或通道中布置相应的防病毒软件,通过这种全方位、多层次的防毒系统配置,使政务网络免遭病毒的入侵和危害。

在升级病毒库方面,外网在防火墙的控制下通过Internet自动升级,然后对外网所有机器进行统一自动升级;内网在物理隔离器的严格控制下升级政务机关内网病毒服务器,再对政务机关内网进行统一的自动升级。

2.2.4 分级进行数据安全防护

根据数据的保密性、完整性和可用性三个特性,可将数据分为一般数据、重要数据和关键数据三个等级,根据数据的处理形式不同,安全体系之数据安全可以分为数据传输安全、数据存储安全、数据库安全三个方面。

1) 数据传输安全

一般数据,可以采用时间戳加盖与验证、数据摘要与验证等措施保证传输数据的完整性;对于重要数据,需要增加数字签名与验证、签名回执、数据加密与解密等保证数据的安全;对于关键数据,可以考虑增加交叉认证保证更高的安全性。

2) 数据存储安全

数据存储安全除了采用数据库管理系统本身提供的数据库加密存储、权限控制等安全机制之外,一般数据可以直接采用明文存储或者明文加上验证码存储,对于重要数据和关键数据则除了附加验证码之外,还需要先加密后存储以防止数据被非法窃取或篡改。

3) 数据库安全

电子政务系统的许多业务系统均是运行在相应的数据库平台上,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。可利用数据库系统本身的安全管理机制加强数据安全性管理。同时也可使用数据库扫描服务产品扫描数据库,检查数据库的安全漏洞,保护数据库系统的安全。

2.2.5 响应与恢复方法

系统的响应与恢复主要有两项任务:1) 使系统所遭受的破坏最小化;2) 尽快恢复系统的正常运转。通常把应急响应分成几个阶段的工作:

1) 准备阶段:准备阶段的主要工作包括建立合理的防御/控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。

2) 抑制阶段:采用的抑制策略一般包括:关闭所有的系统;从网络上断开相关系统;修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号等。

3) 根除阶段:在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源并彻底清除。

4) 恢复阶段:恢复阶段的目标是把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心,避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。

3小结

电子政务安全体系是一个多维、多层次、多因素、多目标的体系, 需要在网络硬件及环境、软件和数据等不同层次上实施一系列的保护措施。才能最大限度地保障政务信息的机密性、完整性、可用性、可控性和可靠性。

参考文献

[1]季金奎,宋玲,李明树,等.中国电子政务领导干部知识读本[M].北京:中共中央党校出版社,2002.11.

[2]陈兵.电子政务技术与安全[M].北京大学出版社,2003.5.

[3]曲成义.基于互联网的电子政务安全保障[J].中国电子政务网,2003(12).

电子政务网络安全体系的设计探讨 篇7

【关键词】政府；电子政务；网络安全系统；设计

电子政务网络安全体系的设计对政府工作的信息化，促进政务信息公开、提高政府办公效率以及构建和谐社会等都具有十分重要的作用和价值，特别是近年来，随着政务信息化的快速发展，政府管理工作和政府信息化系统的日益复杂化，给政务网络的安全性带来了诸多的挑战，加强电子政务网络安全体系的设计和建设，对推动电子政务的发展具有重要的意义。

一、电子政务网络安全的重要性

电子政务是政府管理和服务的重要手段，如果电子政务网络的安全度不高，引起信息的泄密或者网络的瘫痪，不仅会给政府日常管理工作和社会的稳定带来影响，严重的还会给国家安全带来危害。所以必须重视对承载着政务信息的电子政务网络安全体系的设计。

电子政务网络信息安全不仅能保证政务信息化建设工作的顺利开展，还是抵抗信息侵略和霸权主义的重要举措，目前电子政务网络安全已经成为影响经济竞争力和综合国力以及生存能力的重要的组成部分[1]。

二、影响电子政务网络安全的重要因素

首先分析影响电子政务网路安全的几个重要要因素，然后针对问题提出设计电子政务网络安全体系的关键点，以期提高电子政务网络的安全性、可靠性和稳定性。

影响电子政务网络安全的重要因素有以下几点：

(1)政务网络硬件设备的软件系统出现漏洞

任何一个网络设备软件系统或网络上的终端设备如计算机操作系统和都具有或多或少的缺陷，需要进行及时的补丁以及更新程序操作，特别是对于一些用非正版软件和操作系统建立起来的电子政务网络系统，将会存在更大的风险和漏洞。在电子政务网络系统中，一些信息的泄露主要由软件的进程或者是操作系统的漏洞造成的。所以在建立电子政务网络系统时，应该选择正版的操作系统和应用软件，保证电子政务系统健康完善[2]。

(2)黑客和病毒的入侵

在电子政务网络系统中，黑客和病毒是目前最常见且最大的网络安全风险，病毒的种类随着计算机、电子和网络技术的发展而变化，如蠕虫以及变异性病毒等严重威胁着电子政务网络系统的安全，所以在进行电子政务网络安全体系设计时，应该注意防黑客和防病毒体系的设计。

(3)管理人员和工作人员的问题

电子政务网络安全不仅与硬件设备的软件系统有着很大的关联，而且与管理人员和工作人员也有着非常大的联系，主要表现在：一是电子政务网络安全管理人员没有根据政务信息化发展的趋势及时控制网络中存在的安全隐患；二是工作人员缺乏对网络及信息安全方面更多知识的了解，以及对电子政务网络的管理混乱、责权不明确和制度不完善等。以上这些都是造成电子政务网路不安全的重要因素。

三、电子政务网络安全体系的设计

(1)电子政务网络硬件系统的安全设计

虽然有很多的电子政务网络硬件设备以及计算机系统存在较多的漏洞和缺陷，但是只要保持对网络设备软件系统的更新、安装最新的安全补丁以及在电子政务网络系统中设置较高的安全级别，并且定期或者不定期地变换口令和检查安全日志，这都可以大大提高电子政务网络系统的安全性。

(2)入侵监测和防火墙设备的设计

在电子政务网络系统中，入侵监测设备的配置主要是为了防止外部人员（即黑客）的非法入侵，防火墙的配置主要是为了能够加强对网络的访问控制，防火墙能够对两个或者两个以上网络之间传输的数据的安全性根据一定的安全策略进行检查，并具有监视网络是否安全运行的作用，两者结合能够有效的防止外部人员采用不正当的手段访问网络系统中的资源和信息。从而保护政务网络系统中信息以及资源的安全。入侵监测和防火墙设备都是保护网络安全环境的特殊设备。

在电子政务网络系统中，防火墙是网络安全体系中最根本的措施，防火墙处于电子政务网络层的安全技术的最低层，网络之间的通信以及相互访问等都要通过防火墙进行安全认证。随着科学技术的进步，网络安全技术的发展，防火墙系统逐渐向网络层之外的安全层次进行发展，并且还能够为网络的应用提供安全服务，因此在电子政务网络安全体系设计中，防火墙是必不可少的一种技术[3]。

(3)计算机病毒的防护设计

计算机病毒对网络具有灾难性的影响，为了防止计算机病毒对电子政务网络系统造成损害，应该在电子政务网络系统中建立病毒防护体系，不仅应该在客户机中安装防病毒软件，在网关中安装防病毒软件，而且应该在服务器中安装防病毒软件。良好的杀毒软件不仅能够有效的查杀病毒，而且可以实时监控网络端口，对网络攻击、木马程序以及非法进程的阻挡等具有非常好的作用。

(4)应用层信息安全设计

①身份验证是最常用的一种网络安全防范措施，通过在电子政务中设定网络用户名和密码，这样不仅能够防止无关人员的登陆，而且能够阻止对电子政务信息的访问。但是由于黑客的技术水平也在不断地提高，所以在电子政务网络安全体系设计中不仅应该使用最新的口令技术，还应该结合其他的先进技术和科学手段一起来保护电子政务网络系统的安全性。

②采用权限矩阵措施。对于电子政务网络系统的登陆一般分为管理人员和普通人员两种登陆方式，不同的身份对应电子政务系统中不同的内容，具有不同的访问权限。所以在进入系统后，管理人员可以在权限之内对电子政务网络系统中的内容进行访问、修改以及删除等操作，负责对电子政务系统的日常管理和维护，而普通人员只能够对系统中的信息和内容查看，没有对信息进行修改或者其他操作的权力[4]。在电子政务系统中使用这种管理能够很大程度保障信息以及数据的安全性。

(5)建立安全管理策略

电子政务网络系统的安全关系到国家的安全、主权以及公众的利益。因此电子政务网络的安全性设计和建设必须考虑以下几方面的事项：一是参照国家法律法规，成为电子政务网络安全设计建设和运行的重要准则；二是为了保证电子政务网络系统的安全性，应该建立完善的政务网络安全管理制度；三是加大对电子政务网络系统安全运行的管理措施；四是必须明确电子政务网络日常运行维护部门和应用系统使用部门人员的责任和权力；五是应该在电子政务网络系统安全体系设计时，完善涉及资源以及信息的安全管理规定；六是对信息的产生、储存、传输以及处理等各个环节进行控制管理，从而保证信息的安全性。

(6)提高人员的综合素质和业务能力

在电子政务网络安全设计和建设中，应该建立对网络安全管理人员和使用人员的培训和考核制度，培训内容包括网络日常使用维护知识、风险检测分析技术、紧急事件的处理能力等，通过培训提高网络安全管理人员和工作人员的综合素质和业务水平，从而保证电子政务网络系统的安全性和可靠性。

四、总结

电子政务网络安全体系设计是一项复杂并且涉及面广的综合性的系统工程，况且网络的安全事关国家经济、政治、文化和军事的安全，对社会稳定也具有重要的作用，因此必须加强对电子政务网络安全体系设计的研究，不断建立健全网络安全体系，提高管理人员和工作人员的综合素质和业务能力，这对保障政务网络安全和高效地运行起着重要的作用，对促进社会和谐发展也具有重大的意义。

参考文献

[1]张达旭.构建网络安全体系,保障电子政务畅通[J].北方交通,2008(5):228-229.

[2]梁明君.浅谈电子政务网络安全体系的建设[J].网络与信息,2007(8):2-3.

[3]陈颖一.政府电子政务系统安全体系构建研究[J].现代经济信息,2009(11):297.

[4]陈世文.政府电子政务网络系统安全体系的设计与实现[J].山东大学,2008:1-75.