电子政务系统
电子政务(e-Government affair) 是政府在其管理和服务职能中运用现代信息和通信技术,实现政府组织结构和工程流程的重组优化,超越时间、空间、和部门分割的制约,全方位地向社会提供优质、规范、透明的服务,是政府管理手段的变革。
一、电子政务系统简介 一般而言,政府的主要职能在于经济管理、市场监管、社会管理和公共服务。而电子政务就是要将这四大职能电子化网络化,利用高现代信息技术对政府进行信息化改造,以提高政府部门依法行政的水平。
电子政务的4个突出的特点:
1。电子政务将政务工作更有效、更精简
2。电子政务将政府工作更公开、更透明
3。电子政务将为企业和居民提供更好的服务
4。电子政务将重新构造政府、企业、居民之间的关系,使之比以前更加协调,使企业和居民能够更好的参与政府的管理。
二、电子政务系统安全的特殊需求
电子政务对安全的特殊需求实际上就是要合理地解决网络开放性与安全性之间的矛盾。在电子政务系统信息畅通的基础上,有效阻止非法访问和攻击对系统的破坏。 具体到技术层面,除了传统的防病毒、防火墙等安全措施以外,电子政务特殊的安全需求主要表现在以下几个方面。
1.内外网间安全的数据交换 电子政务应用中势必存在内网与专网、外网间的信息交换需求,然而基于内网数据保密性的考虑,我们又不希望内网暴露在对外环境中。解决该问题的有效方式是设置安全岛,通过安全岛来实现内外网间信息的过滤和两个网络间的物理隔离,从而在内外网间实现安全的数据交换。安全岛是独立于电子政务内、外网的一个特殊的过渡网络,它被置于内网、专网和外网相交的边界位置,一方面将内网与外网物理隔离断开防止外网中黑客利用漏洞等攻击手段进入内网,另一方面又完成数据的中转,在其安全策略的控制下安全地进行内外网间的数据交换。
隔离网闸(GAP)技术是实现安全岛的关键技术,它如同一个高速开关在内外网间来回切换,同一时刻内外网间没有连接,处于物理隔离状态。在此基础上,隔离网闸作为代理从外网的网络访问包中抽取出数据然后通过反射开关转入内网,完成数据中转。在中转过程中,隔离网闸会对抽取的数据做应用层的协议检查、内容检测,也会对IP 包地址实施过滤控制,由于隔离网闸采用了独特的开关切换机制,因此,在进行这些检查时网络实际上处于断开状态,只有通过严格检查的数据才有可能进入内网,即使黑客强行攻击了隔离网闸,由于攻击发生时内外网始终处于物理断开状态,黑客也无法进入内网。另一方面,由于隔离网闸仅抽取数据交换进内网,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换。
以隔离网闸技术为核心,通过添加VPN 通信认证、加密、入侵检测和对数据的病毒扫描,就可构成一个在物理隔离基础上实现安全数据交换的信息安全岛。
2.网络域的控制
电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全而言同样十分重要。然而目前绝大部分网络是基于TCP/IPV4网络协议的,它本身不具备这种控制能力。要加强电子政务网络的控制与管理能力,可以采用基于802.1x 带网络接入认证功能的交换机来实现。802.1x 协议能够对接入设备实现认证,从而控
制网络的设备访问,它可以利用第三方的认证系统加强认证的安全强度,如Radius 、TACACS 以及CA 等系统。协议使得电子政务网络处于中心可管理的状态,从而使得各种网络域管理策略得以实现。
3.标准可信时间源的获取 时间在电子政务安全应用上具有其特定的重要意义。政务文件上的时间标记是重要的政策执行依据和凭证,政务信息传递过程中的时间标记又是防止网络欺诈行为的重要指标,同时,时间也是政府各部门协同办公的参照物,因此,电子政务系统需要建立全系统可信、统一的时间源,这是保证电子政务系统不致出现混乱的关键因素。建立可信统一的时间源可以通过在标准时间源(如本地天文台、电视台等) 上附加数字签名的方法来获得,附加数字签名的目的是防止时间在传输途中被篡改情况的发生。
4.信息传递过程中的加密 电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面。就政府内部办公而言,电子政务系统涉及到部门与部门之间、上下级之间、地区与地区间的公文流转,这些公文的信息往往涉及到机密等级的问题,应予以严格保密。因此,在信息传递过程中,必须采取适当的加密方法对信息进行加密。基于IPsec 的加密方式正被广泛采用,其优点显而易见:IPSEC 对应用系统透明且具有极强的安全性,这一点对于要开发庞大应用的电子政务来说,就显得极有好处了,应用系统开发商不必为数据传输过程中的加密做过多的考虑。IPsec 有多种应用方式,采用IPsec 网关是比较理想的选择,它同时也易于部署和维护。
5.操作系统的安全性考虑
6.数据备份与容灾
三、电子政务系统的网络架构 电子政务网络系统可规划为一个四层的安全控制域,网络安全设计以各域的工作特点为依据进行设计。
核心层(核心数据存储与处理) :是政府信息的集中存储与处理的域,该域必须具有极其严格的安全控制策略,信息必须通过中间处理层才能获得。
办公业务层(日常办公与事务处理) :是政府内部的电子办公环境,该区域内的信息只能在内部流动。
信息交换层(友邻、上下级部门间) :一部分需要各部门交换的信息可以通过专网域进行交换。该区域负责将信息从一个内网传送到另一个内网区域,它不与外网域有任何信息交换。
公众服务层(电子窗口与信息服务) :政府部门公共信息的发布场所,实现政府与公众的互操作。该域与内网和专网物理隔离。
典型的电子政务网络架构由内网、外网和专网这三部分组成。
整个电子政务安全环境包括以下部分:基础安全服务设施、网络信任域基础设施、网络安全支撑平台产品和容灾备份系统四部分组成。
四、系统的整体框架设计
系统的整体框架设计现在的政府面对的信息资源及应用多种多样,来自有不
同的操作系统,不同的开发平台和不同的应用数据库。基于Portal 平台的政府
不同类型的信息集成提供底层支持。同时提供对所有信息资源的统一管理、统一
源展现给用户的最外层,它只关注如何展现信息,统一的视图管理使用户可以设
统间的用户口令转换的对应关系,采用不同的集成构件分别进行处理,传递给前端的展示层,由政府门户统一展示给用户
五、采购电子政务系统安全类产品的注意事项 1.产品必须具有公安部《计算机信息系统安全专用产品销售许可证》和检测报告,国家规定任何不具备许可证的安全产品不允许在中国销售。
2.如果该安全产品涉及,根据商用密码管理条例的规定,该产品的加密算法应具有国密办的批准文号。
3.在选择安全产品时,应尽量选择具有我国自主知识产权的产品,这类产品具有自主知识产权的源代码,安全性较高,而且有利于厂家对产品的升级与维护。
4.应尽量选择具有更先进技术的安全产品。在安全领域同一种安全产品往往具有几代技术,如防火墙产品就有包过滤技术、代理技术和包过滤+代理技术
三类,后一种显然技术先进一些,安全等级也更高。我们在选购之前应适当了解该产品的技术演变,选择较先进的安全产品。
5.安全产品的系统处理速度值得考虑,安全类产品由于具有复杂的分析过滤功能,因此往往成为系统的瓶颈,对于电子政务中带宽要求较高或访问量较大的应用来说(如视频服务等) ,安全产品的处理速度直接影响到应用的效果。
6.注意察看安全产品在权威机构(如公安部安全产品检测中心、信息安全的测评认证中心) 的检测报告,其各项安全功能是否达到安全要求。
电子政务系统
电子政务(e-Government affair) 是政府在其管理和服务职能中运用现代信息和通信技术,实现政府组织结构和工程流程的重组优化,超越时间、空间、和部门分割的制约,全方位地向社会提供优质、规范、透明的服务,是政府管理手段的变革。
一、电子政务系统简介 一般而言,政府的主要职能在于经济管理、市场监管、社会管理和公共服务。而电子政务就是要将这四大职能电子化网络化,利用高现代信息技术对政府进行信息化改造,以提高政府部门依法行政的水平。
电子政务的4个突出的特点:
1。电子政务将政务工作更有效、更精简
2。电子政务将政府工作更公开、更透明
3。电子政务将为企业和居民提供更好的服务
4。电子政务将重新构造政府、企业、居民之间的关系,使之比以前更加协调,使企业和居民能够更好的参与政府的管理。
二、电子政务系统安全的特殊需求
电子政务对安全的特殊需求实际上就是要合理地解决网络开放性与安全性之间的矛盾。在电子政务系统信息畅通的基础上,有效阻止非法访问和攻击对系统的破坏。 具体到技术层面,除了传统的防病毒、防火墙等安全措施以外,电子政务特殊的安全需求主要表现在以下几个方面。
1.内外网间安全的数据交换 电子政务应用中势必存在内网与专网、外网间的信息交换需求,然而基于内网数据保密性的考虑,我们又不希望内网暴露在对外环境中。解决该问题的有效方式是设置安全岛,通过安全岛来实现内外网间信息的过滤和两个网络间的物理隔离,从而在内外网间实现安全的数据交换。安全岛是独立于电子政务内、外网的一个特殊的过渡网络,它被置于内网、专网和外网相交的边界位置,一方面将内网与外网物理隔离断开防止外网中黑客利用漏洞等攻击手段进入内网,另一方面又完成数据的中转,在其安全策略的控制下安全地进行内外网间的数据交换。
隔离网闸(GAP)技术是实现安全岛的关键技术,它如同一个高速开关在内外网间来回切换,同一时刻内外网间没有连接,处于物理隔离状态。在此基础上,隔离网闸作为代理从外网的网络访问包中抽取出数据然后通过反射开关转入内网,完成数据中转。在中转过程中,隔离网闸会对抽取的数据做应用层的协议检查、内容检测,也会对IP 包地址实施过滤控制,由于隔离网闸采用了独特的开关切换机制,因此,在进行这些检查时网络实际上处于断开状态,只有通过严格检查的数据才有可能进入内网,即使黑客强行攻击了隔离网闸,由于攻击发生时内外网始终处于物理断开状态,黑客也无法进入内网。另一方面,由于隔离网闸仅抽取数据交换进内网,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换。
以隔离网闸技术为核心,通过添加VPN 通信认证、加密、入侵检测和对数据的病毒扫描,就可构成一个在物理隔离基础上实现安全数据交换的信息安全岛。
2.网络域的控制
电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全而言同样十分重要。然而目前绝大部分网络是基于TCP/IPV4网络协议的,它本身不具备这种控制能力。要加强电子政务网络的控制与管理能力,可以采用基于802.1x 带网络接入认证功能的交换机来实现。802.1x 协议能够对接入设备实现认证,从而控
制网络的设备访问,它可以利用第三方的认证系统加强认证的安全强度,如Radius 、TACACS 以及CA 等系统。协议使得电子政务网络处于中心可管理的状态,从而使得各种网络域管理策略得以实现。
3.标准可信时间源的获取 时间在电子政务安全应用上具有其特定的重要意义。政务文件上的时间标记是重要的政策执行依据和凭证,政务信息传递过程中的时间标记又是防止网络欺诈行为的重要指标,同时,时间也是政府各部门协同办公的参照物,因此,电子政务系统需要建立全系统可信、统一的时间源,这是保证电子政务系统不致出现混乱的关键因素。建立可信统一的时间源可以通过在标准时间源(如本地天文台、电视台等) 上附加数字签名的方法来获得,附加数字签名的目的是防止时间在传输途中被篡改情况的发生。
4.信息传递过程中的加密 电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面。就政府内部办公而言,电子政务系统涉及到部门与部门之间、上下级之间、地区与地区间的公文流转,这些公文的信息往往涉及到机密等级的问题,应予以严格保密。因此,在信息传递过程中,必须采取适当的加密方法对信息进行加密。基于IPsec 的加密方式正被广泛采用,其优点显而易见:IPSEC 对应用系统透明且具有极强的安全性,这一点对于要开发庞大应用的电子政务来说,就显得极有好处了,应用系统开发商不必为数据传输过程中的加密做过多的考虑。IPsec 有多种应用方式,采用IPsec 网关是比较理想的选择,它同时也易于部署和维护。
5.操作系统的安全性考虑
6.数据备份与容灾
三、电子政务系统的网络架构 电子政务网络系统可规划为一个四层的安全控制域,网络安全设计以各域的工作特点为依据进行设计。
核心层(核心数据存储与处理) :是政府信息的集中存储与处理的域,该域必须具有极其严格的安全控制策略,信息必须通过中间处理层才能获得。
办公业务层(日常办公与事务处理) :是政府内部的电子办公环境,该区域内的信息只能在内部流动。
信息交换层(友邻、上下级部门间) :一部分需要各部门交换的信息可以通过专网域进行交换。该区域负责将信息从一个内网传送到另一个内网区域,它不与外网域有任何信息交换。
公众服务层(电子窗口与信息服务) :政府部门公共信息的发布场所,实现政府与公众的互操作。该域与内网和专网物理隔离。
典型的电子政务网络架构由内网、外网和专网这三部分组成。
整个电子政务安全环境包括以下部分:基础安全服务设施、网络信任域基础设施、网络安全支撑平台产品和容灾备份系统四部分组成。
四、系统的整体框架设计
系统的整体框架设计现在的政府面对的信息资源及应用多种多样,来自有不
同的操作系统,不同的开发平台和不同的应用数据库。基于Portal 平台的政府
不同类型的信息集成提供底层支持。同时提供对所有信息资源的统一管理、统一
源展现给用户的最外层,它只关注如何展现信息,统一的视图管理使用户可以设
统间的用户口令转换的对应关系,采用不同的集成构件分别进行处理,传递给前端的展示层,由政府门户统一展示给用户
五、采购电子政务系统安全类产品的注意事项 1.产品必须具有公安部《计算机信息系统安全专用产品销售许可证》和检测报告,国家规定任何不具备许可证的安全产品不允许在中国销售。
2.如果该安全产品涉及,根据商用密码管理条例的规定,该产品的加密算法应具有国密办的批准文号。
3.在选择安全产品时,应尽量选择具有我国自主知识产权的产品,这类产品具有自主知识产权的源代码,安全性较高,而且有利于厂家对产品的升级与维护。
4.应尽量选择具有更先进技术的安全产品。在安全领域同一种安全产品往往具有几代技术,如防火墙产品就有包过滤技术、代理技术和包过滤+代理技术
三类,后一种显然技术先进一些,安全等级也更高。我们在选购之前应适当了解该产品的技术演变,选择较先进的安全产品。
5.安全产品的系统处理速度值得考虑,安全类产品由于具有复杂的分析过滤功能,因此往往成为系统的瓶颈,对于电子政务中带宽要求较高或访问量较大的应用来说(如视频服务等) ,安全产品的处理速度直接影响到应用的效果。
6.注意察看安全产品在权威机构(如公安部安全产品检测中心、信息安全的测评认证中心) 的检测报告,其各项安全功能是否达到安全要求。