电子政务内网的安全保密研究

目录/提纲：……
一、保障电子政务内_全的意义4
二、政务内_全问题分析5
三、政务内_全保密工作的目标和原则8
五、结语17
一、保障电子政务内_全的意义
二、政务内_全问题分析
三、政务内_全保密工作的目标和原则
五、结语
……
**市科技情报调研项目
调研报告
电子政务内网的安全b_m研究
——以**市科委系统电子政务网络为例
**市科技信息研究院

二零一三年十二月　

目　录

引言 4
一、保障电子政务内_全的意义 4
二、政务内_全问题分析 5
2.1. 电子政务网的安全观念 5
2.2安全风险分析 5
2.2.1.物理安全风险 6
2.2.2.网络边界安全风险 6
2.2.3.内部应用安全风险 6
2.2.4.信息安全风险 7
2.2.5.管理安全风险 8
三、政务内_全b_m工作的目标和原则 8
3.1总体目标 8
3.2安全b_m工作的基本原则 8
四，加强政务内_全工作的建议 9
4.1安全体系建设 9
4.1.1分级保护的安全规划 9
4.1.2.安全体系设计 11
4.2.电子政务内_全的实施策略建议 11
4.2.1.物理安全防护 12
4.2.2.网络边界安全防护 12
4.2.3.应用安全防护 13
4.2.4.信息安全防护 15
4.2.5.管理安全措施 16
五、结语 17
参考文献： 17

　　　　　　　　　　　　　　
　　　　　　　　　　　　　　
　　　　　　　　　　　　　　
　　　　　　　　　　　　　　
　　　　　　　　　　　　　　
引言
　　　信息安全在电子政务的建设中一直是倍受关注的问题，特别是近年来，随着社会经济的快速发展，政务信息化进程向深化发展，电子政
……（新文秘网https://www.wm114.cn省略1016字，正式会员可完整阅读）……　
还停留在“两网”的错误观念而产生的。政务内网本身存在的如下一些特点，使加强安全性和b_m性的建设显得尤为迫切和重要。
　　　（1）网络联结情况复杂。
　　　科委系统各部门和下属各单位的电子政务内网建设发展不平衡，属于不同发展阶段的网络统一接入后，整个系统网络架构情况复杂。委系统内，电子政务网络架构分为“政务内网”、“政务专网”和“政务外网”，政务内网、政务专网分别与其他网络物理隔离，政务外网与互联网逻辑隔离。而下属单位中，有些还按照“两网”概念建设，政务内网与政务专网只是逻辑隔离。
（2）工作秘密和内部敏感信息的存放情况复杂。
　　　部分单位政务专网中存储的信息种类复杂,除了一般性的工作信息外，还有较多虽不属于国家秘密，但也不宜公开的工作秘密和单位内部敏感信息，这就对信息的分类保护带来很大难度。
2.2安全风险分析
　　　网络a全具体风险层次一般可分为：物理层安全风险、网络层安全风险、系统层安全风险、应用层安全风险。[ 袁津生,吴砚农.计算机网络a全基础[M]._:人民邮电出版社,2006.]在对科委系统政务网络现状具体分析的基础上，本文从五个层面：物理安全、网络边界安全、内部应用安全、信息安全、管理安全，一一分析其存在的风险。
2.2.1.物理安全风险
　　　物理安全主要指网络运行的物理环境的安全，既包括发生自然灾害的极端情况下应急防护，此外，还包括关键部门如中心机房等，人员出入和活动的控制，服务器不间断连续运行的电力供应，空气调节和其他设施的故障修复，以保障电子政务系统持续正常运行。**市科委系统电子政务机房符合A类机房标准，供电、空调都具备冗余考虑，物理安全方面的不足主要有：
　　　在人员不足的情况下对机房无法实现全时情况监控，机房UPS故障，空调设施故障无法及时修复风险，楼内内供水设施渗漏风险。
2.2.2.网络边界安全风险
　　　网络边界一般是指内网与外网的结合部位，是内网的安全门户。
　　　政务网与外网有时要进行数据交换，由于外网连接着国际互联网，加大了对专网的威胁，包括黑客的入侵，病毒的传播等。科委电子政务系统虽然部署了网络版的防病毒及防火墙系统，但仍然面临一定的安全风险，主要存在于以下几个方面：
　　　（1）整个网络操作系统的可靠性是政务网络a全的重要基础，所有应用程序和安全措施（包括防火墙，防病毒，入侵检测，等等）都依赖于底层操作系统提供支持。而目前大多数操作系统的设计都没有把安全放在与提高信息处理效率同等重要的地位加以考虑，各种操作系统都存在种种安全隐患。
　　　（2）通信与网络设备本身的弱点。目前，大多数电子政务系统都采用的TCP / IP网络协议，通过这些网络协议进行的服务本身可能存在许多潜在安全威胁。
　　　（3）缺乏有效的攻击实时检测和病毒主动防御手段。
2.2.3.内部应用安全风险
　　　应用系统的安全性涉及到许多方面，应用类型不断扩展，与此同时，越来越复杂的系统带来了不断增加的脆弱性。在用户应用软件层面，其安全性能主要取决于开发应用软件过程中对安全问题的设计与实现，如商家提供的OA系统大都是克隆产品，功能不完善，运行中会出现数据丢失等问题。[ 李思伟,苏忠等.信息网络的安全风险分析与防范策略[J].计算机安全,2010,(6):36—37.]因此，需要随着网络的发展动态调整设置，不断完善，以保证应用系统的安全性。目前的应用系统的安全问题包括以下几个方面：
（1）访问控制
　　　身份验证和授权是确保只有授权的用户才能读取，修改或删除数据的安全技术。 科委系统18个部门专网系统中有11个在访问控制方面存在一定隐患。如有的系统内部网络使用过于简单的密码，有的系统没有严格的分级访问控制，低权限用户只要进入系统就可以任意访问敏感信息。
　　　（2）资源共享控制
　　　对共享软硬件资源的安全管理力度不够，18个部门中有7个存在这方面的漏洞，例如软件系统没有经正确流程及时升级，当一个新的攻击手段或病毒出现时，往往由于升级和补丁安装设置的滞后而造成损失。软件、设备更新频繁时，文件共享、打印机共享等缺少必要的分级访问控制，造成政务专网与应隔离的政务外网，互联网混用共享软硬件的漏洞。
　　　（3）安全规划和审计
　　　多个部门缺乏一套完整的信息安全管理规划。18个部门中有14个存在这方面的隐患，对用户上网行为缺少有效监控和事后审计手段，如某个用户由于感染木马向外部大量传输垃圾信息造成网络瘫痪，或因内部错误操作而导致重要信息丢失等，缺乏事后取证记录和应急预案。
2.2.4.信息安全风险
　　　信息或者说数据，无疑是整个政务网络应用服务的_，安全地存储与传递信息，是网络运行安全的基础，信息的安全风险主要存在于以下三个方面：
（1）信息的存储安全
　　　目前还没有具备绝对安全性的网络数据库和个人终端安全保护措施，各种对数据库及个人终端的攻击都有可能突破安全系统的抵御进入内部信息系统。一旦不法分子以非法手段窃得重要信息数据库的操作权限，对存储于网络中的信息会造成非常严重的影响和损失。
（2）信息的传输安全
　　　同级局域网和上下级网络数据传输线路之间都存在信息泄露的风险，如利用电磁泄漏建立隐蔽通道截取机密信息，或通过对信息流向、流量、通信频度等参数的 ……（未完，全文共12000字，当前仅显示2855字，请阅读下面提示信息。收藏《电子政务内网的安全b_m研究》）