前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇電子政務的安全范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

電子政務的安全范文第1篇

電子政務信息資源共建與共享的目標模式。分析電子政務信息資源共建與共享模式的目標取向，主要包括：政府職能社會化、效益化，管理行為民主化、法制化、服務手段自動化、網(wǎng)絡化，政務信息公開化、集約化，信息用戶大眾化、遠程化。政府部門通過網(wǎng)絡與公眾進行雙向的信息交流。

【關鍵詞】

電子政務；信息資源 安全對策

1 電子政務環(huán)境下政府信息資源開發(fā)的有利條件

信息資源處理手段現(xiàn)代化在電子政務中，政府機關信息資源的處理手段將發(fā)生根本性的變革。光盤、數(shù)據(jù)庫、辦公文件處理系統(tǒng)等各種應用系統(tǒng)，將以往束縛在公務員筆記本、各類報表和桌上電腦中的信息資源解放出來。政府公務員可根據(jù)需要隨時隨地方便地調用來自四面八方的信息。同時，借助于網(wǎng)絡這個平臺，政府的各項政策信息會變得易于存儲管理、方便檢索查詢，并能夠快速傳播，真正實現(xiàn)了政府信息資源處理手段的變革。

信息資源傳遞迅速，政府決策效率提高原來政府信息資源是根據(jù)組織結構一層一層、一級一級地傳遞。這不但會增加協(xié)調成本和控制成本，更重要的是政府會因此而無法做出快速反應從而影響政府決策。而在電子政務環(huán)境中的政府機關內部，有許多辦公軟件如文檔處理軟件、在網(wǎng)絡安全認證基礎上的電子郵件系統(tǒng)及各種專門業(yè)務處理軟件支持辦公，機關內部的辦公事務主要依靠電子郵件來傳遞信息。會議通知、信息傳達、政策宣傳、法規(guī)頒布、意見協(xié)調等均以電子郵件來處理。從而使信息在內部流通的時間和信息交流環(huán)節(jié)大大減少，加快了信息的流通速度，提高了政府的決策效率。

信息資源的準確性與時效性有保障在傳統(tǒng)政府的信息傳遞中，公文占有較大比重，都是自上而下地傳達。且各種會議通知安排往往會通過口頭或電話傳達，準確性差。同時信息的獲取主要來源于由下而上的層層上報的書面材料，而材料的形成及層層上報需要一定的時間，因而影響了信息的真實性和準確度。政府上網(wǎng)后，可以準確及時地了解公文和各種資料的來源、流程、處理等，信息的準確性和時效性大大提高，網(wǎng)絡安全可能面臨的挑戰(zhàn)。

2 計算機網(wǎng)絡面臨的主要威脅

2.1 人為的無意失誤

人為的無意失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅。

2.2 網(wǎng)絡安全維護范圍的重新界定

目前人們在家里通過寬帶接入而登錄自己單位的網(wǎng)絡系統(tǒng)已經(jīng)是一件很尋常的事情了。這種工作新方式的出現(xiàn)同樣也為網(wǎng)絡安全帶來了新問題。網(wǎng)絡安全維護范圍需要重新界定。因為他們都是遠程登錄者，并沒有納入傳統(tǒng)的單位網(wǎng)絡安全維護的“勢力范圍”之內。另外，由于來自網(wǎng)絡的攻擊越來越嚴重，許多用戶不得不將自己網(wǎng)絡系統(tǒng)內的每一臺PC機都裝上防火墻、反侵入系統(tǒng)以及反病毒軟件等一系列的網(wǎng)絡安全軟件。這同樣也改變了以往單位用戶網(wǎng)絡安全維護范圍的概念。

2.3 個人的信用資料

個人信用資料在公眾的日常生活中占據(jù)著重要的地位。以前的網(wǎng)絡犯罪者只是通過網(wǎng)絡竊取個人用戶的信用卡賬號，但隨著網(wǎng)上竊取個人信用資料的手段的提高。如網(wǎng)絡犯罪者可以對的銀行存款賬號、社會保險賬號以及最近的行蹤都能做到一覽無余。如果不能有效地遏制這種犯罪趨勢，無疑將會給人們的日常人生活帶來極大的負面影響。

2.4 人為的惡意失誤

人為的惡意攻擊：這是計算機網(wǎng)絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害，并導致機密數(shù)據(jù)的泄漏。

3 電子政務信息安全問題易發(fā)狀況

電子政務信息安全存在的問題通常，電子政務系統(tǒng)除自然災害外主要由于存在以下問題而容易受到攻擊：（l）網(wǎng)絡硬件設備的弱點如服務器、網(wǎng)絡設備等安全問題將危害網(wǎng)絡的可靠性和可用性；（2）操作平臺的弱點和漏洞可能構成系統(tǒng)隱患；（3）電子政務的網(wǎng)絡化將導致電子政務系統(tǒng)安全的脆弱性；（4）不同信任域的信息交換將導致電子政務系統(tǒng)被攻擊的風險；（5）計算機病毒正在成為導致系統(tǒng)安全問題的一個重要要因；（6）未知的因素也可能給電子政務系統(tǒng)帶來安全隱患。

4 電子政務環(huán)境下政府信息資源安全的策略

4.1 加強信息安全保密工作

政府信息有一定的保密性，關系到政府運作和國家安全，做好信息安全保密工作是進行電子政務良性運行的前提。首先，加強信息安全保密制度。據(jù)有關專家估計，信息網(wǎng)絡上的安全問題80%以上是由于制度不健全而引發(fā)的，是人為的原因。建立健全相關責任制和規(guī)范管理，是加強信息安全保密的必要手段。其次，建立安全認證中心，保證信息傳輸安全。加強安全保密技術的自主開發(fā)。建立網(wǎng)絡安全緊急反應以及處理機制，協(xié)調政府機關處理信息安全管理事件。

4.2 信息加密策略

信息加密的目的是保護網(wǎng)內的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡節(jié)點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。用戶可根據(jù)網(wǎng)絡情況酌情選擇上述加密方式。信息加密過程是由形形 的加密算法來具體實施，它以很小的代價提供很大的安全保護。在多數(shù)情況下，信息加密是保證信息機密性的唯一方法。據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。

4.3 網(wǎng)絡安全管理策略

制定網(wǎng)絡安全管理策略首先要確定網(wǎng)絡安全管理要保護什么，在這一問題上一般有兩種截然不同的描述原則。一個是“沒有明確表述為允許的都被認為是被禁止的”，另一個是“一切沒有明確表述為禁止的都被認為是允許的”。對于網(wǎng)絡安全策略，一般采用第一種原則，來加強對網(wǎng)絡安全的限制。對于少數(shù)公開的試驗性網(wǎng)絡可能會采用第二種較寬松的原則，這種情況下一般不把安全問題作為網(wǎng)絡的一個重要問題來處理。

信息網(wǎng)絡安全是一門邊緣性、交叉性學科，我國除了密碼學研究開展較早，有較好的基礎和積累外，很多方面與國際差距較大。我們要積極吸取借鑒國際上住處網(wǎng)絡安全的先進技術和經(jīng)驗，并在此基礎上不斷創(chuàng)新。因此，我們既不能行進自己無法監(jiān)控的信息網(wǎng)絡安全設備，也不能照搬照抄國外的信息網(wǎng)絡安全技術，必須把發(fā)展住處網(wǎng)絡安全放在自己的基點上。

【參考文獻】

汪玉凱.中國政府信息化與電子政務[J].新視野，2002（2）

電子政務的安全范文第2篇

1、電子政務安全業(yè)務發(fā)展面臨的問題

1方面,因為信息安全技術是從信息技術不斷發(fā)展中衍生出來的1門學科或者技術,本身的發(fā)展有必定的滯后性,遭到社會廣泛關注需要時間累積。國內雖已經(jīng)有1批專門從事信息安全基礎鉆研、技術開發(fā)與技術服務工作的鉆研機構與高科技企業(yè),但至今尚無象網(wǎng)絡通訊行業(yè)那樣呈現(xiàn)華為、華3等這樣知名并在國際上有影響力的企業(yè),以支持我省電子政務安全保障業(yè)務的發(fā)展。另外一方面,因為信息安全技術專業(yè)性太強,所需知識面無比廣,技術門坎高,致使我國專門從事信息安全工作技術人員嚴重短缺。安全產(chǎn)品的作用基本上是堵防已經(jīng)有的安全要挾而不能預防未知危險,部署安全產(chǎn)品帶來的成效患上不到顯明的體現(xiàn),乃至短期內沒法浮現(xiàn)價值,致使廠商、用戶不愿意對于信息安全過量投入,更多的是扛扛紅旗、講講理念、喊喊口號,點到為止。這兩方面緣由是客觀的,短期內沒法扭轉的。電子政務發(fā)展要在網(wǎng)絡與信息安全方面獲得必定成效,需要在多方面展開工作,尤其是在軟硬件總體部署及專業(yè)人材吸納方面多投入。

2、全面強化電子政務安全發(fā)展

人材上,要踴躍引進安全專業(yè)人材。國內目前這方面的人材比較難求,可用必定的待遇引進人材,并可嘗試與國內知名安全試驗室或者廠商合作共建,展開安全產(chǎn)品的研發(fā)利用以及安全人材的培育等,為安全發(fā)展貯備能量。思想上,加強網(wǎng)絡與信息安全首要性的學習,努力提高全省信息系統(tǒng)的安全意識,并切實落實到行為上,養(yǎng)成安全使用辦公電腦的習氣。PC機上,要加強個人辦公電腦的安全軟件安裝配置,統(tǒng)1單位個人辦公電腦的安全軟件配置。安全體門要反復實驗,舉薦出1套或者兩套機能完美的安全套餐模板,并提供上門服務匡助,加固個人辦公電腦的安全。軟硬件上,加強安全產(chǎn)品的總體以及系統(tǒng)部署,完美網(wǎng)絡與利用的分級分域維護。與國內知名安全廠商樹立緊密的聯(lián)絡、展開深刻細致的交換,要系統(tǒng)深刻的挖掘實際網(wǎng)絡、利用及系統(tǒng)安全上的軟硬件需求,防止安全產(chǎn)品盲目堆砌。部署互聯(lián)網(wǎng)出口流量節(jié)制及數(shù)據(jù)包監(jiān)控分析裝備,普及政府部門使用身份認證系統(tǒng),完美安全基礎設施建設?？傮w構建省域電子政務的網(wǎng)絡以及信息安全屏障。機制上,要樹立健全網(wǎng)絡以及信息安全規(guī)章軌制,樹立網(wǎng)絡與信息安全應急處理機制、制定全省電子政務網(wǎng)絡與信息安全事件應急處置預案,加強與政府安全及保密部門的聯(lián)絡,如有可能與之樹立會商軌制,樹立全省電子政務安全監(jiān)督檢查軌制,對于全省信息系統(tǒng)的安全工作進行按期檢查、指點、培訓,與國內知名安全廠商樹立廣泛的聯(lián)絡、展開深刻細致的交換、追求技術上的支撐以及匡助。管理上,要規(guī)范網(wǎng)絡與信息安全的管理,落實每一個崗位的具體安全保護管理權限以及職責,公道劃分網(wǎng)絡安全域、謹防網(wǎng)絡以及挪動介質泄密,對于數(shù)據(jù)以及信息按性質劃分安全等級、并履行等級維護,做到“信息不上網(wǎng),上網(wǎng)信息不”,嚴格執(zhí)行國家的安全規(guī)定,加強網(wǎng)絡與信息安全建設的規(guī)范管理,新建的信息化項目務必要斟酌網(wǎng)絡與信息安全防護措施。總之,安全體應與網(wǎng)絡部以及利用部加強溝通、相互信任,網(wǎng)絡離不開安全、安全離不開網(wǎng)絡,利用需要安全、安全需要利用。安全體、網(wǎng)絡部、利用部相輔相成,共同打造高效、安全、不亂的電子政務。

電子政務的安全范文第3篇

電子政務網(wǎng)絡數(shù)據(jù)庫是處在開放網(wǎng)絡環(huán)境中的分布式數(shù)據(jù)庫系統(tǒng)，指的是數(shù)據(jù)庫所處位置不集中，要保障系統(tǒng)的正常運行和可用性，必須將這些數(shù)據(jù)庫作為不同的邏輯單元相互連接起來，形成一個統(tǒng)一的數(shù)據(jù)庫集群，具有集中與自制相結合的控制機制、數(shù)據(jù)獨立性、適當?shù)臄?shù)據(jù)冗余度及事務分布式管理等特點，是網(wǎng)絡信息系統(tǒng)與數(shù)據(jù)庫集群的有機結合體。

1安全隱患及風險分析

文章以公式（1）為評估模型對數(shù)據(jù)庫在電子政務信息系統(tǒng)中的安全性進行分析，以測算出當一個政務信息系統(tǒng)遭到攻擊后，數(shù)據(jù)庫作為一個黑客竊取或破壞的目標，其中數(shù)據(jù)的安全系數(shù)或風險發(fā)生的概率。設電子政務信息系統(tǒng)中信息數(shù)據(jù)存儲單元的個數(shù)為n，這些存儲單元的安全級別為λN，如果λ∈R且0<λ<1，則這些存儲單元的差異系數(shù)為λ，設某政務系統(tǒng)中的所有存儲單元都是異構系統(tǒng)，λ≈0。通過公式（1）進行測算，假設系統(tǒng)的各個節(jié)點都存在入侵的風險，則系統(tǒng)中存儲單元的安全風險值為：

（1）根據(jù)公式（1），數(shù)據(jù)f的分散度由μ來表示，根據(jù)公式（1）得出，數(shù)據(jù)單元的安全級別范圍即是公式（1）推算出的安全概率值的變化范圍。QoSec∝1／λQoSec=／λ

（2）經(jīng)過推到，公式（2）變?yōu)楣剑?），即：

（3）圖1為公式推導的結果，假設系統(tǒng)中有100個應用節(jié)點發(fā)送被分解為m段的數(shù)據(jù)（橫軸），可以得到3次不同時段對這次發(fā)送數(shù)據(jù)工作的評測值。該結果表明，傳送文件隨著分解段數(shù)的遞增，數(shù)據(jù)單元的安全級別將逐漸遞減，數(shù)據(jù)單元中信息的安全概率曲線經(jīng)過第三次計算過程，即公式（3），如圖1所示。值得一提的是，該結果是進行規(guī)范后的數(shù)據(jù)處理結果，實際應用中的政務系統(tǒng)在運行中的各種情況會更為復雜多變[2]。

2防護策略的關鍵技術

2.1數(shù)據(jù)庫的配置管理

數(shù)據(jù)庫的配置管理由以下幾個方面組成：

1）使用安全的數(shù)據(jù)庫密碼和安全的用戶賬號策略：要養(yǎng)成定期更改密碼的習慣，杜絕使用空密碼，用戶應該設立不同的用戶口令驗證及用戶組來達到保護Oracle數(shù)據(jù)庫的目的，如此可以防范入侵者非法進入系統(tǒng)中的數(shù)據(jù)庫，通過授權對用戶的操作進行限制，加強對SYS和System兩個特殊賬戶的保密管理，保證數(shù)據(jù)庫的安全性。在加強數(shù)據(jù)庫在網(wǎng)絡中的安全性時,對于遠程用戶,應使用加密方式通過密碼來訪問數(shù)據(jù)庫,加強網(wǎng)絡上的DBA權限控制,如拒絕遠程的DBA訪問等，目的就是要在保證系統(tǒng)安全的前提條件下，最大限度地共享資源。

2）加強數(shù)據(jù)庫日志的記錄和建立審計機制：要定期查看數(shù)據(jù)的日志，檢查是否有可疑的登錄事件發(fā)生，要利用Oracle數(shù)據(jù)庫的審計機制，監(jiān)視用戶對數(shù)據(jù)庫的各種操作。例如應用SQL語句進行審計選擇項的選擇；通過對訪問者系統(tǒng)中所存在的圖表等信息內容的比對，實現(xiàn)對該訪問者在系統(tǒng)中成功或不成功的存取行為的審計；審計的強度必須得到控制；針對審計追蹤表傳輸數(shù)據(jù)的行為被獲準或不被批準；將系統(tǒng)中部分數(shù)據(jù)庫中的表格設為缺省選擇項等[3]。

3）數(shù)據(jù)鏡像、存儲管理、災難備份以及信息系統(tǒng)配置，如圖2。要加強對數(shù)據(jù)庫的存儲管理，刪除不必要的存儲過程，利用網(wǎng)路配置協(xié)議對數(shù)據(jù)庫進行加密操作。用戶總是期望節(jié)數(shù)據(jù)庫中的信息、數(shù)據(jù)是可信的、真實的，信息系統(tǒng)中的數(shù)據(jù)庫被用戶使用時，信息系統(tǒng)可能存在的風險和故障極有可能使得數(shù)據(jù)庫遭到嚴重損毀，怎樣保持系統(tǒng)運行的可持續(xù)性，實現(xiàn)信息數(shù)據(jù)災難備份成為信息系統(tǒng)安全保障的重中之重，假如日常工作中就做好了重要數(shù)據(jù)、信息的備份和鏡像，這樣就能在故障和災難來臨時迅速恢復數(shù)據(jù)的有效使用。圖2數(shù)據(jù)庫的鏡像與恢復

2.2數(shù)據(jù)庫技術保護

1）身份驗證。為抵御各類虛假身份攻擊行為，在合法操作行為發(fā)生時，必須要使用強加密手段在數(shù)據(jù)庫與服務器之間對交互雙方的身份實施雙向認證：合法用戶登錄數(shù)據(jù)庫之后，在正常操作前也需要通過強密碼驗明正身，完成對用戶身份的最終確認，并在此基礎之上決定該用戶的類別及訪問權限。

2）保密通信。在身份驗證成功后，即可以進行數(shù)據(jù)傳輸了，而為了對抗報文竊聽和報文重發(fā)攻擊，則需要在通訊雙方之間建立保密信道，對數(shù)據(jù)進行加密傳輸。通常身份驗證和加解密數(shù)據(jù)的過程可以結合在一起使用。保密信道可以由分布式數(shù)據(jù)庫系統(tǒng)實現(xiàn)，也可以采用底層網(wǎng)絡協(xié)議提供的安全機制來實現(xiàn)。身份認證過程結束后，接下來就是數(shù)據(jù)傳送過程，為有效防范數(shù)據(jù)包竊取和重發(fā)等攻擊行為，首先要保證交互雙方信道的安全性，一般通過加密手段進行傳輸，目前的技術手段一般是將身份驗證和內容加解密相結合使用。根據(jù)信息內容的重要程度，考慮是否采用專線連接分布式數(shù)據(jù)庫系統(tǒng)，如果是非數(shù)據(jù)，可以采用底層網(wǎng)絡協(xié)議自身提供的安全機制來實現(xiàn)。

3）訪問控制。訪問控制的主要任務是對存取訪問權限的確定、授予和實施，其目的是在保證系統(tǒng)安全為前提條件下，最大限度地共享資源。實施訪問控制就必須按照安全要求，預先標定相應的安全屬性，標識的作用就是授權，用以標明主體訪問權限即讀、寫、查詢、增加、刪除、修改等操作的組合，還有安全的訪問過程等（如圖3所示）。圖3電子政務網(wǎng)絡數(shù)據(jù)庫訪問控制通常，應用數(shù)據(jù)庫管理系統(tǒng)實施保護是大多數(shù)數(shù)據(jù)庫系統(tǒng)安全保護所依賴的手段。假如數(shù)據(jù)庫管理系統(tǒng)具有強大的安全機制，那么數(shù)據(jù)庫系統(tǒng)的安全性就有較好的保障。然而，相對于網(wǎng)絡安全風險來說，數(shù)據(jù)庫管理系統(tǒng)保障安全的功能還比較弱，這便使得數(shù)據(jù)庫系統(tǒng)存在相當大的安全風險。在操作系統(tǒng)環(huán)境下，數(shù)據(jù)庫系統(tǒng)通常以文件形式存在，因此，操作系統(tǒng)存在的漏洞就可以直接被入侵者利用，成為竊取數(shù)據(jù)庫文件的隱蔽通道。還有的入侵者利用OS工具非法篡改、偽造數(shù)據(jù)庫中的數(shù)據(jù)。此類安全風險通常很難被數(shù)據(jù)庫使用者發(fā)現(xiàn)，這便給分析和堵塞此類風險造成了一定障礙。此風險的有效解決辦法之一就是應用數(shù)據(jù)庫管理系統(tǒng)中的層次安全技術，應用此項技術，就算是之前提到的安全防范措施被黑客突破，數(shù)據(jù)庫的安全依然是有保障的。這樣一來，具有完整的安全機制和補救措施就顯得十分重要。解決這一問題的有效方法之一是數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)庫文件進行強密碼加密，這樣一來，即便重要數(shù)據(jù)被竊取或丟失，也使得真實的信息不易被人讀取[5，6]。

2.3數(shù)據(jù)庫的安全保護技術

目前用于網(wǎng)站的數(shù)據(jù)庫管理系統(tǒng)有Acess、MicorsoftSQLServer、Oracle、Sysbase、MySQL等技術。對于采用何種數(shù)據(jù)庫管理系統(tǒng)取決于網(wǎng)站的需要和所采用的服務平臺，本文以服務平臺為Windows環(huán)境下某數(shù)據(jù)庫管理系統(tǒng)為例進行討論。操作系統(tǒng)是信息系統(tǒng)的軟件環(huán)境基礎，它要達到計算機操作環(huán)境配置的基本安全要求，并對數(shù)據(jù)庫所使用軟件的安全風險進行測評和風險評估（如系統(tǒng)中的PHP及ASP腳本等），此類安全問題在眾多基于數(shù)據(jù)庫的網(wǎng)絡應用中較為常見。針對腳本的安全措施，最重要的是做好信息過濾，要將諸如“，‘；/”等字符進行過濾，禁止黑客制作出惡意程序。下載地址分別為：/sql/downloads/***/sql.asp和/sql/downloads/***/sp2.asp。

2.3.1安全的加密措施

數(shù)據(jù)庫安全配置的第一步就是采取安全加密措施。許多數(shù)據(jù)庫的帳號和密碼都非常簡單，這一使用習慣經(jīng)常導致數(shù)據(jù)庫安全風險和數(shù)據(jù)庫失泄密現(xiàn)象的發(fā)生。對此，系統(tǒng)管理員（SA）要引起足夠的重視。另外，密碼的及時更換也是安全保護很重要的一環(huán)。

2.3.2保證帳號的安全

由于SA用戶名無法用SQLServer工具修改，但對SA實施刪除也將導致系統(tǒng)出現(xiàn)問題，因此，管理員的帳號所采用的密碼強度必須達到較高強度，且數(shù)據(jù)庫管理員帳號必須在嚴格授權的情況下使用。由于操作系統(tǒng)自身存在的安全風險，有些數(shù)據(jù)庫管理員會繞過操作系統(tǒng)登入數(shù)據(jù)庫，那么就可能會選擇將系統(tǒng)帳號“BUILTIN\Administrators”刪掉。但是，這樣一來，如果數(shù)據(jù)庫管理員使用的SA帳號遺失，便難以再恢復出相關數(shù)據(jù)。從目前來看，許多將主機用于數(shù)據(jù)庫平臺的用戶只實現(xiàn)了簡單的查詢、修改數(shù)據(jù)和信息的功能，用戶應該根據(jù)現(xiàn)實要求做好帳號的分配，并為用戶設定只能滿足業(yè)務應用需求的最低權限。例如只用于信息、數(shù)據(jù)查詢的系統(tǒng)，使用具有public權限的帳號就能滿足,例如使用SQL語句對‘user’進行權限修改。sp_addrolemember‘user’,’public’

2.3.3登錄日志的審核要加強

管理員要經(jīng)常審核日志中的登錄成功和失敗的情況。定期審核SQLServer日志，及時發(fā)現(xiàn)可疑的登錄行為，鍵入命令：findstr/C:”登錄”d:\MicrosoftSQLServer\MSSQL\LOG\*.*

2.3.4擴展存儲過程要可控

在多數(shù)應用中不需要使用太多的系統(tǒng)存儲過程，過多的存儲過程可能被人用于攻擊測試和提升使用權限，用戶可根據(jù)自身需要刪除不必要的存儲過程。例如，對不需要擴展存儲過程xp_cmdshell時，使用SQL語句將其刪除。UsemasterSp_dropextendproc’xp_cmdshell’Sp_cmdshell是進入操作系統(tǒng)的最佳捷徑，是數(shù)據(jù)庫留給操作系統(tǒng)的一個大后門。當需要存儲過程時，用下面句子進行恢復：Sp_addextendeproc’xp-cmdshell’,’xp_sql70.dll’另外，還要確認相關被刪除程序的作用，否則可能會對數(shù)據(jù)庫的使用和應用程序造成損害。

2.3.5使用安全協(xié)議

當數(shù)據(jù)進行傳輸時，需要能夠對數(shù)據(jù)提供足夠的安全保護的機制，并要平衡安全性和系統(tǒng)消耗，已達到合理的數(shù)據(jù)保密性、完整性和可用性要求。根據(jù)這種要求，系統(tǒng)的使用單位要簽署一份安全協(xié)議，該協(xié)議在提供數(shù)據(jù)加密服務的同時，還應保證桌面數(shù)據(jù)和網(wǎng)格數(shù)據(jù)的分散，并為異構的存儲單元提供服務節(jié)點。舉例說明，在某數(shù)據(jù)單元中，文件f被分解成n段后，經(jīng)過簽署并發(fā)送到m個終端上，每臺終端得到一個片段，通過對任意一個片段的訪問，用戶可以重建f（m≤n）。

2.3.6數(shù)據(jù)庫防注入技術

可以通過以下方法從最大程度上防止注入的發(fā)生：

1）替換或刪除敏感字符或者字符串。可以對用戶輸入進行過濾，對單引號、雙引號以及“——”等符號進行過濾。例如：將單引號轉換為兩個單引號：aa=replace(aa“,'”“,''”)

2）對SQLServer進行必要的安全配置，在服務器正式處理之前對提交數(shù)據(jù)的合法性進行檢查。

3）改變SQLServer的端口號。目前針對SQLServer的攻擊主要掃描的是1433端口。因此可以改變其默認端口號，這樣雖然不能從根本上解決問題，但可以防止一般的端口掃描[4]。

電子政務的安全范文第4篇

關鍵詞：電子政務；云平臺；信息安全

中圖分類號：TP399 文獻標識碼：A 文章編號：1006-8937（2014）2-0074-02

電子政務云是現(xiàn)代政府辦公理念與大型計算中心系統(tǒng)有機結合的產(chǎn)物，其本質并非是“電子”而是“政務”，云計算與網(wǎng)絡技術的運用僅僅只是服務型政府精簡工作并實現(xiàn)其政務高效與系統(tǒng)化的手段。電子政務云安全性方面的目標是確保各類數(shù)據(jù)在采集、存儲、挖掘處理、共享傳播等過程中不遭到攻擊、竊取或篡改，以保證信息的完整性、真實性、可用性和可控性。

1 電子政務云技術存在的安全問題

當前我國電子政務云平臺的信息安全問題主要可以歸納為以下幾個方面：

①目前國內尚缺乏具有自主知識產(chǎn)權的基礎信息設備和技術產(chǎn)品，大量核心技術設備依賴于進口，其中絕大部分都是美國技術公司所研發(fā)生產(chǎn)的。例如：VMware“威睿”全球數(shù)據(jù)中心虛擬解決方案的領導廠商，Cisco“思科”互聯(lián)網(wǎng)解決方案領導提供者，Microsoft“微軟”世界軟件開發(fā)的先導、Intel“英特爾”全球最大的半導體制造商等。我們從硬件到軟件的諸多技術方面都受制于人，缺乏自主的設備和技術必然會給國家政務工作帶來極大的安全隱患。一旦真的受到國外的限制，則我國整體計算機系統(tǒng)隨時都可能面臨崩潰的境地。

②當前互聯(lián)網(wǎng)上違法犯罪活動和敵對勢力的破壞事件頻發(fā)，而國內相關部門網(wǎng)絡安全意識還較為淡薄，也為電子政務工作瞞下了安全隱患。政府部門僅重視了網(wǎng)絡的系統(tǒng)建設，看重網(wǎng)絡帶來的便利和高效，但往往卻忽視了信息工作的安全性。當前，電子政務云的開放程度有限，主要的行政工作還是以原始的公文形式進行處理，而且廣大民眾對網(wǎng)絡技術犯罪的認識還比較模糊，由于該類犯罪尚未造成較大損失，于是人們對之表現(xiàn)出的態(tài)度也較為“溫和”，政府工作人員和人民群眾對網(wǎng)絡數(shù)據(jù)信息安全意識還沒有上升到應有的高度。

③管理機制和相關法規(guī)的不健全也很大程度上限制了電子政務安全防范的力度。相關部門往往只將管理的重心集中在對行政人員的人力資源管理方面，而對電子政務云的技術結構管理卻存在漏洞或缺陷。云平臺的建設處于各自為政的狀態(tài)，缺少一個統(tǒng)一的管理機構，項目之間“孤島效應”明顯。這方面的工作主要依靠工程承接方來負責，且依舊存在各種全責劃分不明的問題。如果安全措施不落實到位，網(wǎng)絡安全沒有從管理制度上建立相應的防范機制，則電子政務云工作的開展將無法得到最基本的安全制度保障。

2 電子政務云平臺信息安全的影響因素分析

電子政務云平臺信息安全的影響因素可分為人為與非人為兩方面。人為原因主要是指個人或團體有規(guī)劃性的對網(wǎng)絡信息進行惡意攻擊和破壞的行為，包括有黑客對網(wǎng)絡的攻擊入侵、對機密文件的竊取、計算機病毒的傳播等；而非人為因素主要包括不可抗拒的自然災害和現(xiàn)階段受到技術局限的問題等。

2.1 影響電子政務云信息安全的人為原因

電子政務云信息安全的主要威脅來自于人為原因。系統(tǒng)的入侵者可能因為惡意報復、表現(xiàn)自我突破安全技術、敵對勢力的間諜行為或非法謀取經(jīng)濟利益等。攻擊者通過編寫病毒代碼入侵電子政務網(wǎng)絡系統(tǒng)，而后病毒代碼自我復制傳播，進而導致系統(tǒng)癱瘓或成為僵尸寄宿主機。這方面的人為原因可以從內部因素和外部因素兩個方面具體展開分析：

①內部因素主要是指內部擁有政務云的合法訪問權及管理權限的工作人員對其施予的直接影響。由內部因素引發(fā)的信息安全問題可分為惡意和無意兩種。惡意是指帶有現(xiàn)實目的有規(guī)劃的對電子政務云平臺實施的攻擊；無意指的是工作人員因疏忽大意或工作能力的欠缺而造成的危害，如未經(jīng)授權的連接、權限欺騙等情況的發(fā)生。政府重要數(shù)據(jù)泄露的隱患往往都歸結為無意的數(shù)據(jù)破壞和損壞造成的，工作人員不謹慎的操作、或因技術經(jīng)驗欠缺等原因造成的錯誤操作，都可能導致一系列的安全問題。

在電子政務云信息化的過程中，行政機構主要關注的是技術、設備的效能，但是對其安全問題影響因素進行安全管理的作用尚缺乏應有的重視。管理人員工作不嚴謹、制度法規(guī)不健全或執(zhí)行力度不夠都是電子政務安全工作中的嚴重問題。為確保電子政務信息化的和諧發(fā)展，管理部門務必要建立嚴密的制度保障體系，實時監(jiān)控檢測系統(tǒng)運行狀況，并努力提高工作人員的職業(yè)素養(yǎng)，最大限度的保障電子政務云的安全運行。

②基于網(wǎng)絡攻擊、入侵事件的報告顯示：國外政府入侵的安全風險指數(shù)為21%，黑客入侵的安全風險指數(shù)為48%，競爭對手入侵的安全風險指數(shù)為72%，對組織不滿的內部雇員入侵的安全風險指數(shù)為89%。以上數(shù)據(jù)充分說明電子政務云的安全并不僅僅表現(xiàn)為技術方面的問題。不完善的管理制度、安全檢查措施欠缺等，都可能導致看似堅固的堡壘出現(xiàn)各式各樣的問題，尤其是日常管理中的疏忽，比如，機房重地沒有設立嚴格的等級制度與劃分，而是隨意的進行操作，管理監(jiān)控人員擅離崗位或未按照標準執(zhí)行操作，機要信息隨意存放在電腦磁盤上，這都為政務云的安全埋下了隱患。如果攻擊者偽裝IP地址或者利用僵尸主機對政務云實施攻擊，篡改政務網(wǎng)站信息，勢必造成極其惡劣的社會影響。而且，在現(xiàn)實世界中，內部潛在的安全威脅更大，由于內部人員熟知系統(tǒng)的整體構造與細則，且能掌握各級人員的工作規(guī)律，可能攻擊者自己就具有管理員權限，對某些信息具有一定的操作權限，對內部系統(tǒng)能進行更深入的網(wǎng)絡刺探、暴力破解等都更為便利，于是對系統(tǒng)可能造成更加深層次的破壞。

2.2 影響電子政務信息安全的非人為因素

危害信息系統(tǒng)安全的非人為因素主要來自自然災害和技術上的局限，其中由于受到技術局限導致的漏洞所帶來的威脅表現(xiàn)得更為頻繁且嚴重，具體而言，當前物理自然環(huán)境涉及網(wǎng)絡系統(tǒng)的可用性、完整性和保密性，其對信息處理設備構成的威脅主要包括：未經(jīng)授權的訪問和資源竊取、電源干擾、電磁輻射、化學影響、爆炸、火災、灰塵、振動等。另一方面，技術受限將導致系統(tǒng)的漏洞和缺陷，如系統(tǒng)、硬件、軟件的設計等。典型的漏洞包括軟硬件的總體設計漏洞、配置漏洞、實現(xiàn)漏洞、系統(tǒng)漏洞等。

3 提升電子政務云信息安全性的對策

政務云系統(tǒng)的高度復雜性和技術的高速發(fā)展變化，決定了政務系統(tǒng)的安全技術問題必然越來越受到重視。提升電子政務信息安全性的對策好比指導進行電子政務信息安全之戰(zhàn)的戰(zhàn)略方針，需要負責組織、協(xié)調、指揮各方面的力量來共同維護電子政務信息系統(tǒng)的安全。加強網(wǎng)絡通信技術的安全性、降低政務信息系統(tǒng)的風險，需要從以下幾個方面著手。

3.1 提升電子政務工作人員信息安全意識

提高培養(yǎng)政府政務工作人員對網(wǎng)絡安全的意識，在日常工作中能自覺地按照標準政務信息安全規(guī)范的執(zhí)行各項操作，使其具備良好的信息安全意識。在培養(yǎng)過程中應注意：首先，應充分利用當前先進的科技力量，并通過各種媒介途徑媒體積極地宣傳信息安全的重要性，如報刊，雜志，網(wǎng)絡等。其次，邀請相關專業(yè)導師對工作人員加以多種形式的指導培訓。再次，制定研究周密的安全策略，使責任明確且細化，將安全工作落實到人，且做到權責清晰和權責一致。

3.2 建立健全完善的電子政務云信息安全管理機制

首先，政務云平臺應嚴格按照國家法律法規(guī)對機密事件實行分級分類保護，確保重要信息安全責任具體化、細致化，做好數(shù)據(jù)的隔離控制，進一步保障數(shù)據(jù)的完善安全。其次，為減少對電子政務信息系統(tǒng)安全構成危害的物理自然安全因素，就應當創(chuàng)造一個良好的環(huán)境，滿足系統(tǒng)適宜的物理條件，并且做好異地的容災備份工作，從而將這些危害因素降至最低。此外，還需要不斷完善加密技術，并充分利用與政務云相適應的技術（包括用戶身份的驗證、網(wǎng)絡的安全認證、主機的物理隔離、內容信息的分級管理、底層操作系統(tǒng)的安全、通訊線路的安全等），以便為政務云平臺的安全運行提供有力的保障。

3.3 大力發(fā)展擁有自主知識產(chǎn)權的安全產(chǎn)業(yè)

網(wǎng)絡通信產(chǎn)品的自主研發(fā)已成為信息安全防范的核心。目前，我國的主要軟硬件技術主要依賴西方國家，這極大的威脅了我國的信息安全利益。于是，有必要投入科技發(fā)展資金，積極推進國內軟硬件技術水平，使國內自主研發(fā)產(chǎn)品能逐步替換國外同類產(chǎn)品，信息安全產(chǎn)業(yè)的發(fā)展已成為關乎國計民生的大問題。我們可以積極朝這樣幾個方面去努力：一是能改善信息安全的現(xiàn)狀、使用大眾化的關鍵技術；二是努力增強國有創(chuàng)造性實力，從而實現(xiàn)技術上的突破；三是要能獨立研發(fā)核心戰(zhàn)略性技術設備，如CPU和數(shù)據(jù)加密芯片等。在不斷提升技術研發(fā)實力的同時，還需要做到信息技術的多元化與綜合化，以更好的保障電子政務云的安全和穩(wěn)定。

當前，我國電子政務云正以驚人的速度發(fā)展，特別是發(fā)達地區(qū)。公安、工商、物價局等多種部門對電子政務云的使用已相當普遍。電子政務云是政府信息資源建設的組成部分，是對政府信息資源進行深度開發(fā)和廣泛利用，促進政府體制改革和職能轉變的一個有效手段。于是我們應在這個過程中我們更應該注意政務信息的保密與安全問題，提升對信息安全方面的人力與財力的投入，始終堅持獨立自主的研發(fā)路線，增強國家電子政務工作的信息安全性，打造健全穩(wěn)定的電子政務云平臺，提高公眾的滿意度。

參考文獻：

[1] 劉菡.電子政務的規(guī)劃與實踐[M].北京：中國時代經(jīng)濟出版社，2006，（5）：127.

電子政務的安全范文第5篇

此次重慶試點的最大特點就是建立了數(shù)據(jù)大集中模式下的安全保障體系。正是因為其數(shù)據(jù)大集中的特點，確立了體系的思想是以安全管理為龍頭、以技術保障為支撐、以運維服務為基礎，其主要組成部分是“面向業(yè)務拓展的安全管理體系”、“面向數(shù)據(jù)安全的技術保障體系”和“面向服務連續(xù)性的安全運維體系”。

作為試點之一的重慶市工商管理局的規(guī)模大概有1萬多工作人員、44個區(qū)縣分局、400多個工商所，擁有5000多臺計算機和網(wǎng)絡設備，而數(shù)據(jù)庫是大集中、大聯(lián)網(wǎng)的。正是由于這種數(shù)據(jù)大集中所帶來的業(yè)務大輻射、大交叉，使得安全管理也呈現(xiàn)出更加復雜的結構。

所以首先就是要搞清數(shù)據(jù)資源的需求，明確各自的實施范圍。重慶市工商局在解決業(yè)務開展中遇到的問題的過程中形成了“以信息安全主管職能部門為主導、數(shù)據(jù)大集中部門為主體、專業(yè)技術機構為支撐”的安全管理模式。

其次，將數(shù)據(jù)安全保障的重點進行排序，將“數(shù)據(jù)完整性”和“數(shù)據(jù)/系統(tǒng)可用性”放在了首要的位置，然后是與試點單位“業(yè)務敏感性”相關的“數(shù)據(jù)機密性”。將這三個保障目標分別映射到“數(shù)據(jù)安全”、“應用安全”、“主機/平臺安全”、“網(wǎng)絡安全”和“物理安全”五個技術領域。

最后，就是要保障數(shù)據(jù)大集中信息系統(tǒng)提供的各項服務具有連續(xù)性。數(shù)據(jù)大集中帶來的是數(shù)據(jù)越集中，電子政務工作對信息系統(tǒng)的依賴性越強，連續(xù)工作的要求就越高，所以一定要保證它的連續(xù)性。

另外，重慶在試點中總結了一套系統(tǒng)工程實施的方法。其中“三分析一篩選”方法是為了區(qū)分同屬數(shù)據(jù)大集中模式，但處于不同發(fā)展階段的電子政務系統(tǒng)，主要方法是“依次分析數(shù)據(jù)特征、業(yè)務特征和應用需求，然后篩選安全保障措施”。

而風險評估是等級保護的起點和依據(jù)，風險評估與等級保護之間的內在聯(lián)系是重慶市試點的重要任務之一。在試點工作中將信息安全風險評估的三個流程“資產(chǎn)識別”、“安全威脅分析”和“系統(tǒng)脆弱性評估”與電子政務信息安全等級保護的三個階段“進行定級”、“規(guī)劃與設計”和“實施、驗證與運維”進行嫁接，摸索出了一條“123Y立方”工程化實施的方法。

實施效果

1．重慶工商模式

實現(xiàn)了在全市工商系統(tǒng)從市局到44個區(qū)縣分局、400多個工商所的三級聯(lián)網(wǎng)和區(qū)縣分局兩級數(shù)據(jù)庫，建成了包括辦公OA系統(tǒng)、業(yè)務管理系統(tǒng)、電子檔案查詢系統(tǒng)、12315綜合指揮調度中心、財務綜合管理系統(tǒng)和重慶工商紅盾網(wǎng)、重慶企業(yè)信用網(wǎng)兩個網(wǎng)站在內的六大網(wǎng)絡應用平臺。