毕业设计（论文）-基于互联网的电子政务等级保护研究.doc

密级： 页数：信息工程大学毕业实习（论文）题目：基于互联网的电子政务等级保护研究 学员姓名 *学号 所在单位指导教师 郭义喜技术职务 副教授完成日期 2010年5月摘 要随着这几年计算机网络技术的发展，网络信息安全成为了人们越来越关注的问题，也同时成为了威胁计算机网络之间信息传播的最大障碍。为此，国家已经在2007年7月26日发出了关于开展全国重要信息系统安全等级保护定级工作的通知，电子政务工程建设办公室在2007年11月启动了中央级政务外网定级专项工作，成立了等级保护定级工作组，根据政务外网实际情况和特点，经过多伦内部讨论和专家征求意见后，基本完成了政务外网安全等级保护定级工作，为后续备案和全面开展、实施等级保护整改和测评工作奠定了坚实基础。由此可见，当今社会中，电子政务等级的保护研究已经是一个非常重要的课题。本文从电子政务等级保护的研究方法、电子政务等级保护出现问题时的解决办法、电子政务等级保护的整体安全解决方案、基于互联网的电子政务的优点以及如何有效的保护电子政务的安全等方面来阐述电子政务等级保护问题。1目 录第一章 概述11.1 选题背景与研究现状11.2 研究内容与论文组织结构11.4 论文组织结构2第二章 信息化与电子政务32.1 我国信息化进程的回顾32.2 我国电子政务发展计划42.3 我国电子政务的保障措施52.4 电子政务的优势6第三章 电子政务信息安全与等级保护83.1 电子政务信息安全内涵83.2 等级保护在电子政务中的应用83.3 电子政务安全管理和技术层面9第四章 基于互联网的电子政务等级保护的建设124.1 信息安全等级保护实施过程124.2 电子政务等级保护实施措施15第五章 基于等级保护的电子政务安全度量175.1 信息安全度量现状175.2 基于等级保护的安全管理度量方法的设计18第六章 总结21参考文献221第一章 概述1.1 选题背景与研究现状以Internet为代表的全球性信息化浪潮日益涌起，网络技术的应用层次不断深入、应用领域日益广泛，逐步由传统的、小型业务系统向大型的、关键性的业务系统扩展，目前基于互联网技术的网络平台已经在电子政务中得到了广泛的应用，使政府以最快的方式与市民进行沟通，市民也能方便快捷地参与政府工作。但是，由于电子政务同时涉及到对国家秘密信息和高敏感度核心政务的保护，涉及到维护公共秩序和行政监管，从而使这种快捷和方便给政府网络的安全造成了一定的威胁，使基于互联网技术的电子政务面临着严峻的挑战。因此，运用网络安全技术，建立实用可靠的安全策略体系，实施等级保护，已经成为电子政务能否得到真正应用的关键。目前，我国建立了与电子政务发展水平相适应的安全保障措施，并且结合实际需要，制定了一批具有实际指导意义的信息安全法规制度和工作机制。我国开始从整体安全体系出发来进行信息安全建设。分级分域防护的基本思路正在逐步得到贯彻。1.2 研究内容与论文组织结构本课题选择了基于互联网的电子政务等级保护作为研究重点，讨论了基于互联网的电子政务等级保护的安全目标以及为实现上述目标应采取积极的安全策略，尤其对电子政务安全保障体系框架做了进一步分析，对基于互联网的电子政务等级保护提出了自己的观点。主要内容包括:(l)电子政务的安全目标及其应对策略；(2)电子政务安全保障体系框架；(3)电子政务等级保护当前的主要问题；(4)对于基于互联网的电子政务等级保护建设的自我观点。由于国内的基于互联网的电子政务等级保护的标准和规范不太明确，所以本课题将对电子政务做进一步的分析，提出自己的一些观点和看法，希望通过自己的努力对电子政务等级保护问题有着推进意义。1.4 论文组织结构共分五章，第一章对我国基于互联网的电子政务等级保护的现状以及研究内容做一简要介绍，第二章主要概述了信息化与电子政务的发展史，第三章重点讨论了电子政务信息安全与等级保护的关系问题，第四章主要介绍了基于互联网的电子政务等级保护建设问题，第五章讨论了电子政务等级保护安全度量方法，第六章是总结及展望。第二章 信息化与电子政务中国的信息化建设起步于20世纪80年代初期，从国家大力推动电子信息技术应用开始，大致经历了四个阶段，而我国的电子政务建设是中国信息化建设发展的一个新阶段，它以我国前期信息化建设的成果为基础。2.1 我国信息化进程的回顾 （1）准备阶段（1993年以前）20世纪80年代初期，在我国国民经济进行调整的情况下，计算机工业界认识到发展我国计算机工业，应该从过去的一研究制造计算机硬件设备为中心，迅速的转向以普及应用为重点，以此带动研究开发、生产制造、外围配套、应用开发、技术服务和产品销售等工作。1982年10月4日，国务院成立了计算机与超大规模集成电路领导小组。下设计算机和集成电路两个顾问小组，聘请有理论水平、有实践经验的科学家、经济学家和工程技术人员参加，负责规划、决策和技术经济咨询。 1984年，为了研究我国新技术革命的对策，国务院成立了新技术革命对策小组，组织了计算集专项和光纤通信专项研究。1984年9月15日，计算机与大型集成电路领导小组改为电子振兴领导小组。1986年3月，“863”计划启动。该计划投资100亿元，其中，信息技术相关项目的投资约占投资总额的三分之二。 1988年5月，根据国务院机构改革方案，成立机械电子工业部，并将振兴电子产业的任务交机械电子工业部承担。随后，国务院常务会议决定，国务院电子振兴领导小组办公室更名为国务院电子信息系统推广应用办公室，继续支持各行各业应用电子信息技术。从1988年至1992年，国家发展计划委员会、机械电子工业部、国家科学技术委员会和电子信息技术推广应用办公室，在传统产业技术改造、EDI技术、CAD/CAM以及MIS等领域，做了大量工作，不断推动电子信息技术应用向纵深发展。 （2）启动阶段（1993年3月至1997年4月） 1993年，成立国家经济信息化联席会议。我国信息化基本上正式起步于1993年，党和国家领导人江泽民、李鹏、朱镕基、李岚清等相继提出了信息化建设的任务，启动了“金卡”、“金桥”、“金关”等重大信息化工程，拉开了国民经济信息化的序幕。同年12月，成立了以国务院副总理邹家华为主席的国家经济信息化联席会议，确立了“推进信息化工程实施、以信息化带动产业发展”的指导思想。1996年1月，国务院信息化工作领导小组成立。国务院信息化工作领导小组由国务院副总理邹家华任组长，由20多个部委领导组成的国务院信息化工作领导小组，统一领导和组织协调全国地信息化工作。1996年以后，中央和地方都确立了信息化在国民经济和社会发展中的重要地位，信息化在各领域、各地区形成了强劲的发展潮流。 （3）展开阶段（1997年4月至2000年10月） 经过19931997年的建设和发展，符合我国国情的信息化发展思路初步形成。国务院信息化工作领导小组确立了国家信息化的定义和国家信息化体系六要素，进一步充实和丰富了我国信息化建设的内涵；提出了信息化建设“统筹计划，国家主导；统一标准，联合建设；互联互通，资源共享”的二十四字指导方针。1997年4月1821日，经国务院批准，国务院信息化工作领导小组在深圳召开了首次全国信息化工作会议，会议全面部署了国家信息化工作，通过了国家信息化“九五”规划和2010年远景目标，成为我国信息化建设的里程碑。此后，全国地信息化工作从解决应急性的热点问题，步入了为经济发展和社会全面进步服务，有组织、有计划的发展轨道。 1998年3月，组建信息产业部。随着国务院机构的新一轮改革，将原国务院信息化工作领导小组办公室整建制并入新组建的信息产业部，负责推进国民经济和社会服务信息化的工作。在信息产业部内部机构设置上，设立了信息化推进司（国家信息化办公室）。 1999年12月，恢复国务院信息化工作领导小组。根据国务院关于恢复国务院信息化工作领导小组的批示，为了加强国家信息化工作的领导，决定成立由国务院副总理吴邦国任组长的国家信息化工作领导小组，并将国家信息化办公室改名为国家信息化推进工作办公室。 （4）发展阶段（2000年10月至今） 2001年8月，国家信息化工作办公室成立。党中央、国务院在原有基础上成立了由朱镕基任组长，胡锦涛、李岚清、丁关根、吴邦国、曾培炎为成员的国家信息化领导小组，这样高规格的领导机构，充分反映出党中央、国务院加强中国信息化建设的决心和力度。同时它的办事机构国务院信息化工作办公室也正式成立，由国家发展计划委员会主任、国家信息化领导小组副组长曾培炎兼任国务院信息化工作办公室主任。 2.2 我国电子政务发展计划 国务院信息化办公室组织了上百位专家对国家电子政务进行研究，形成一套电子政务发展战略框架，电子政务已经被列为中国信息化建设的重点任务。 一是建立两个统一的电子政务平台，即连接副省级以上部门办公业务的“政务内网”和面向公众、企业以及连接政府间业务的“政务外网”；其中，外网将与互联网相连接。 二是建设和推进十二项重点工程，包括为各级领导决策服务的“办公业务资源系统”和“宏观政策管理系统”，目标将所有税务机关和税种扩展成为全方位的税收电子化系统的“金税工程”，将完整的通关业务电子化的“金关工程”，为国家预算编制和预算执行提供网络化、数字化服务的“金财工程”，对银行、信托、证券、保险进行有效监管“金融监管工程”、实现审计工作数字化的“金审工程”。另外，还有包括保障社会稳定、安全的“金盾工程”和“社会保障工程”、防伪打假的“金质工程”、应对水旱灾情的“金水工程”和为农业现代化服务的“金农工程”。 三是信息资源建设，包括两个信息体系和人口库、法人库、信息资源和空间地域库、宏观经济库等四个数据库，为政府部门提供最基础的数据资源。 2.3 我国电子政务的保障措施 1、标准先行 为贯彻落实国家信息化领导小组推进国家信息化工作的五项方针和统一标准的具体要求，进一步推动我国电子政务顺利发展，国家标准化管理委员会和国务院信息化工作办公室批准成立了“国家电子政务标准化总体组”。 我国电子政务标准化工作的开展是在国家标准化管理委员会和国务院信息化办公室的统一领导下，由国家电子政务标准化总体组组织实施。总体组的主要工作是积极研究跟进国内外与电子政务有关的标准的发展动态，及时调整工作思路及方向，与国内各政府部门、技术专家及开发商一起研究制定中国电子政务标准，推动我国电子政务健康、有序的建设。总体组花费近半年的时间完成了电子政务标准化指南（第一版）。电子政务标准化指南（第一版）在电子政务标准化工作的指导思想、工作原则的基础上，确定了电子政务标准化的总体目标和工作任务并对电子政务标准体系和电子政务标准化管理机制等多方面的内容进行了阐述。 电子政务标准化指南共分为以下六个部分： 第一部分：总则。 第二部分：工程管理。 第三部分：网络建设。 第四部分：信息共享。 第五部分：支撑技术。 第六部分：信息安全。 电子政务标准化指南第一部分：总则（第一版）已于2002年正式发布。 2、实施监理制度 信息产业部为了规范信息系统工程建设市场，保证国家电子政务工程的质量，2002年11月28日发布了信息系统工程监理暂行规定，明确指出下列信息工程应当实施监理： 国家级、省部级、地市级的大中型信息系统工程项目； 国家政策性银行或者国有商业银行规定使用贷款需要实施监理的项目； 涉及国家安全、生产安全的信息系统工程项目； 国家法律、行政法规及行政规章规定应当实施监理的其他信息系统工程项目。 监理的主要内容是对信息系统工程项目的质量、进度和投资进行监督，对项目合同和文档资料进行管理，协调有关单位间的工作关系。监理制度的引入从组织结构上和管理上，保证了电子政务工程的质量。2.4 电子政务的优势（1）办公透明，利于监督政府上网以后，可以在网上向所有公众公开政府本门的名称、职能、机构组织、办事章程及各项公开文件等，可以让公众迅速了解政府机构的组成、只能和办事章程、各项证词法规，增加办事的透明度，并自觉接受公众的监督。除政府行政部门之外，人大、政协上网可以让公众了解到人大立法和提出议案的过程，促进人格各项立法更完善合理，通过网络使个向法律更加迅速的传递到民众手上。事实上，在欧洲，已经有虚拟议会，人们足不出户就可以积极参与国家事物核对法律的考核，促进社会民主的进步与发展，市政府管理更加直接、有效。（2）提高工作效率“电子政府”建设完成并全达到普及后，公众可以通过网络与政府机关打交道。配合数字签名和网络身份认证的的建立，公众可以直接通过网络向政府机关申请服务，政府可以通过网络提供服务，例如，工商管理、缴纳税金、海关报关验关等，可以大大提高政府的工作效率。（3）增加跨时间、快地域服务“电子政府”可以为群众提供全天候的服务，网络上的政府是“数字化”的政府，政府可以无所不在，群众可以在任何地点，只要是因特网可以触及的地方，都可以与政府服务网建立连接，随时随地获得服务。（4）文档管理负担大幅度减轻政府各部门每年要向群众和企事业单位发送各种待填写的单据，数量相当庞大。设立了“电子政府”后，用户可以在政府的网页上找到相应的填写表单、申报的应用程序，通过这一服务可以实现整个表单处理过程的自动化。（5）资料上网，社会共享政府部门的许多资料档案对公众是很有用处的，要充分挖掘其内在的潜力，为社会服务。例如，如果把个城市所有注册公司单位的情况在网上公布，供公众查询，这样公司在进行商业交往的时候，通过Internet查询，就可以方便迅速的了解到对方的资信情况。可以有效的避免商业诈骗活动，保护商业者的利益。教育部门可以把全国各大专院校的情况上网，工考上在报考时查询选择等等，这些都是政府对公众服务的一个重要内容。政府部门的日常活动也可以上网，公开政府部门的各项活动，可以使政府部门受到的公众监督，这对于发扬民主，搞好政府部门的廉政建设有很大意义。（6）加强政府与群众间的双向沟通利用网络可以建立起更加有效的、快捷的政府与公众之间的相互交流的渠道，为公众与政府部门实时、双向地沟通提供方便。为了更好的利用网络与民众进行沟通交流，并对民众建设和意见作出及时有效的处理，政府部门应设有一个电子信息处理中心，处理群众意见，并及时转发到相关部门，督促和监督问题的解决，这比过去的上访、市长信箱、市长热线等等更加方便、有效、及时。总之，加强政府与公众之间的双向沟通对于政府更及时、更有效地接纳公众意见，更有效地为人民服务，树立政府形象十分重要。第三章 电子政务信息安全与等级保护3.1 电子政务信息安全内涵电子政务作为国家信息化战略重要组成部分，具有先导和示范作用，其信息安全保障事关经济发展、国家安全、社会稳定、公众利益和社会主义精神文明建设。实行电子政务信息安全等级保护是我国信息安全保护的基本制度和重点任务之一，本章制着重讨论等级保护制度如何保护电子政务的信息安全。电子政务市政府管理方式的革命，它是运用信息以及通信技术打破行政机关的组织界限，构建一个电子化的虚拟机关，使公众摆脱传统的层层关卡以及书面审核的作业方式，并依据人们的需求、人们可以获取的方式、人们要求的时间及地点，高效快捷的向人们提供了各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通，电子政务的建立将使政府成为一个更符合环保精神的政府，一个更开放透明的政府，一个更有效率的政府，一个更廉洁勤政的政府。然而，电子政务的只能与优势得以实现的一个根本前提是信息安全的有效保障。因为电子政务信息网络上有相当多的政府公文在流转，其中不乏重要信息，内部网络上有着大量高度机密的数据和信息，直接涉及政府的核心政务，它关系到政府部门、各大系统乃至整个国家的利益，有的甚至涉及国家安全。如果电子政务信息安全得不到保障，电子政务的便利与效率便无从保证，对国家利益将带来严重威胁。电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题。电子政务的信息安全可以理解为：1、从新的层次看，包括信息的完整性（保证新的来源，去向、内容真实无误）、保密性（保证信息不会被非法泄露扩散）、不可否认性（保证信息的发送和接受着无法否认自己所做过的操作行为）等。2、从网络层次看，包括可靠性（保证网络和信息系统随时可用，运行过程中不出现故障，与意外事故能够尽量减少损失并尽早 恢复正常）、可控性（保证营运者对网络和信息系统有足够的控制额管理能力）、互操作性（保证协议和系统那个能互相连接）、可计算性（保证准确跟踪实体运行达到审计知识的目的）等。3、从设备层次看，包括质量保证、设备备份、物理安全等。4、从管理层次看，包括人员可靠、规章制度完整等。3.2 等级保护在电子政务中的应用1、电子政务等级保护的基本原则（1）重点保护原则电子政务等级保护应突出重点，重点保护关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统，集中资源首先确保重点系统那个安全。（2）自主保护原则电子政务等级保护药贯彻“谁主管谁负责，谁运营谁负责”的原则，由个主管部门能和运营单位依照国家相关法规和标准，自主确定电子政务系统的安全等级并组织实施安全防护。（3）分区域保护原则电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点政务系统的重要程度、业务特点和不同发展水平，分类、分级、分阶段进行实施，铜鼓划分不同安全保护等级的区域，实现不同强度的安全保护。（4）同步建设、动态调整原则电子政务系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当重新确定系统的安全保护等级。3.3 电子政务安全管理和技术层面政府部门通过全面推行信息安全等级保护制度，逐步将信息安全等级保护制度，逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节，根据电子政务信息系统的实际情况，应从技术体系和管理体系两方面来找开说明，结合等级保护的制度来构建电子政务系统的信息安全体系。根据等级保护的思想并结合安全域的原则，根据电子政务系统的实际情况，电子政务系统安全体系建设流程如下图所示：1、安全管理体系安全管理贯穿整个电子政务安全防护体系，对电子政务安全实施起指导作用。安全管理体系包括：法律政策、规章制度和标准规范。安全管理体系的建立应符合组织使命，符合组织利益。电子政务的工作内容和工作流程涉及到国家秘密与核心政务它的安全关系到国家的主权、国家的安全和公众利益，所以电子政务的安全实施和保障，必须以国家法规形式将其固化，形成全国共同遵守的规约。目前，世界上很多国家制订了与网络安全相关的法律法规，如英国的官方信息保护法等。我国虽然颁发了一些与网络安全有关的法律法规，如计算机信息系统安全保护条例、计算机信息系统保密管理暂行规定等等，但显得很零散，在完善法律法规的同时，还应该加大执法力度，严格执法，这一目标的实现不仅需要政府的努力，更要国家立法机构的参与和支持。信息安全标准有利于安全产品规范化，有利于保证产品安全可信性、实现产品的互联和互操作性、更新和可扩展性，支持系统安全的测评预评估，保障电子政务系统的安全可靠。电子政务网络安全标准规范包括电子文档秘密划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和网络安全产品测评标准等方面的内容。电子政务信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险，其安全为威胁无时无处不再。对于电子政务信息系统的安全问题，不能企图单凭利用一些集成了信息安全技术的安全产品来解决，而必须建立电子政务信息系统安全管理体系，全方位地，综合解决系统安全问题。2、安全技术体系安全技术体系包括网络安全体系和数据安全传输与存储体系，功能主要是通过各种技术手段实现技术层次的安全保护。网络安全体系包括网闸、日勤检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等；数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等，拓扑图如下图所示。根据电子政务系统的情况，我们应以等级保护为基本的指导原则，并结合安全域的理念来进行，首先我们应对电子政务的信息系统进行系统等级的划分，在我们得到了相应的系统等级之后，再根据各应用系统的等级情况来涉及安全规划和建设方案，真正的将等级保护制度落实到实处，如下图所示。根据上述的相应流程，最后我们的到得电子政务系统可操作的解决方案。电子政务系统应根据自己的安全等级来制定相应的安全措施和安全规则，具体过程如下图。第四章 基于互联网的电子政务等级保护的建设电子政务外网是政府部门之间由于协同办公的需要而建立的专用网络。它同政府内网物理隔离，同Internet网逻辑隔离，它同其他网络逻辑隔离。电子政务外网系统是由相关的和配套的设备、设施按照电子政务平台信息系统的一个应用目标和规则组合而成的有形实体。它是各级政府对外沟通的门户系统，为用户提供查阅信息，办理相关业务（公民、企业可以通过政府外网办理各种手需、证书、执照等，享受到政府所提供的各种服务）、沟通交流的网络平台。它的内部人物是OA、邮件、简报、公文交换、会议管理，还包含通过互联网的办公数据交互等。各级政府的信息委的信息委是各级政府外网系统的唯一安全责任单位、安全建设、运行维护、物理环境安全等，系统承担全部安全保护责任。4.1 信息安全等级保护实施过程各级政府的电子政务外网具有较高的相似性，机构、规模、功能已经承载业务等都有很多相似性。根据这写相似性，上海三零为是信息安全有限公司从所有参与建设的电子政务外网项目中进行抽象、总结，基于信息安全等级保护管理办法、信息系统安全等级保护基本要求、信息安全技术 信息系统安全等级保护定级指南和信息系统安全等级保护实施指南设计了完整的电子政务外网整体安全解决方案。该解决方案按照实施过程分为三个阶段五个模块。如下图所示：在系统出示化阶段中，按照信息系统安全等级保护定级指南制定如下流程：信息定级模块的最终交付成果为某政务外网信息系统等级保护定级报告，共分3个章节，两份附件表进行编写：第一章，信息系统描述：第二章，信息系统安全保护等级确定；第三章，安全保护等级的确定；附件表一，政务外网系统业务信息安全等级确定工作表；附件表二，政务外网系统服务安全等级确定工作表。在信息系统描述中，需要确认政务外网系统具有唯一确定的安全责任单位，详细说明该单位的名称与职责；需要明确政务外网系统具备的信息系统基本要素，详细描述系统拓扑图和系统硬件设备配置；需要描述政务外网系统承载的单一或相对独立的业务应用，相信分析应用专业数据应用流程。在信息系统安全保护等级确定中需要完成对业务信息安全保护等级的确定和系统服务安全保护等级的确定。包括：业务信息/系统服务描述、业务信息/系统服务受到破坏时所侵害客体的侵害程度的确定。根据等级保护的标准信息安全技术 信息系统安全等级保护定级指南的要求，政务外网系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，并最终决定该政务外网系统的安全保护等级。在系统建设试用阶段包括：基于等级保护的安全保护题写的整体设计、建设、运行、维护分阶段，是整个体系的主体部分。下面的方案以最常见的定级为二级的系统进行详细叙述。基于等级保护的安全防护体系方案一般可分为9个章节，其中包括：前沿、方案概况、安全需求分析、总体安全设计、安全建设项目规划、安全方案详细设计、系统产品性能要求及选型、项目实施与工程管理、安全运行维护与服务。第一章，前言。在本章中主要介绍用户电子政务外网的业务情况，其中包括系统的背景叙述。第二章，方案概述。在本章中主要阐述方案的背景、设计目标、设计原则和设计思想、说明对等级保护的需求，安全保护体系的主要建设内容等。第三章，安全需求分析。本章包括技术层次面安全需求分析和管理层面安全需求分析。根据等级保护的基本要求，技术层面安全需求分析。根据等级保护基本要求，技术层面安全需求分析按照五个方面：物理安全、网络安全、主机安全、应用安全、数据安全和数据恢复。管理层面的安全需求分析按照安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理方面进行分析。第四章，总体安全设计。对一个组织的任务、业务运作异常关键的信息都是由信息基础设施负责处理、存储和传输。信息基础设施对这些信息的保护需要通过“信息保障”完成。信息保障提出了目前信息基础设施的整套安全要求。信息保障依赖人、操作和技术来实现组织任务、业务运作。稳定的信息保证体系意味着信息保证的政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均得以实施。在制定安全策略中，依据的IATF信息保障技术框架定义了对该电子政务外网系统进行信息保障的过程，以及该系统中硬件和软件部件的安全要求。遵循这些原则就可以对信息基础设施进行名为“深度防御战略”的多层防护。信息安全可用性策略是用户电子政务外网信息系统安全保护体系的核心。根据实际情况提出恰当得安全策略。一个全面的安全策略将有助于方案的设计，实施和执行。在本章节中首先完成等级化安全模型、总体安全策略，进而完成核心的安全技术策略设计、安全管理策略设计。第五章，安全建设项目规划。在本章主要完成整个用户电子政务外网安全保护体系建设项目的整体进度计划以及各自项目的时间安排。第六章，安全方案详细设计。本章为安全技术措施设计和安全管理措施设计两部分，并最终形成安全保护体系实施的预期效果（蜘蛛图）。在安全技术措施设计中包括：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。第七章，系统产品性能要求及选型。在本章中对用户电子政务外网安全保护体系中选用的产品按照实际需要完成对性能指标的定量要求以及选型定型。第八章，项目实施与工程管理。采取工程化的项目管理方法进行严格、科学和有效的项目控制和管理。从组织管理和技术管理两个方面对项目实施严格规范和有效管理。在项目实施中按照SSE-CMM的要求，即系统按安全工程能力成熟模型，精心工程实施。不断提高工程的质量与可用性，降低工程的实施成本。SSE-CMM给出了信息系统工程建设需要考虑的关键过程保障域，可能知道工程从单一的安全设备设置转向系统的剞劂整个工程的分先评估、安全策略形成、安全方案提出、实施和生命期控制等问题。根据SSE-CMM，将整个项目所做的工作分为项目启动准备、项目实施改进、项目完成跟踪，时需审核和改进以确保建设的项目能符合设计的方案。第九章，安全运行维护与服务。主张为用户电子政务外网系统提供生名周期的服务。电子政务外网信息系统的整体性进行考虑，以营运的业务流程为眼点，运用信息系统安全工程技术理论、工具和方法，通过专业，客观的风险分析，在保证电子政务外网信息系统应用效率和投资收益比例恰当的前提下，降低客户的信息系统运行风险，确保客户信息系统发挥其价值。严格遵循国家网络安全主管部门有关规定以及国际安全服务标准，以ITSM为目标、ITIL为指导，由专业从事网络服务和安全服务的专家小组提供服务，同时对安全管理员进行安全培训。在系统种植阶段遵照以下流程：“信息转移、暂存和清除过程”是在信息系统中止处理过程中，对于可能会在另外的信息系统中使用的信息采取适当的方法将其安全的转移或暂存到可以恢复的介质中，确保将来可继续使用，同时采用安全的方法清除要终止的信息系统的信息。“设备迁移或废弃过程”是确保信息系统中之后，迁移或废弃的设备内不包括敏感信息，对设备的处理方式应符合国家相关部门的要求。“存储介质的清除或销毁过程”是通过采用合理的方式计算机介质（包括磁带、磁盘、打印结果和文档）进行信息清除或销毁处理，防止介质内的敏感信息泄露。通过讲不同的电子政务外网系统进行的个性处理，导入上述三个基本等级保护的安全保护体系建设过程，将可以得到完整的安全基于等级保护的安全体系建设方案，并指导基于等级保护的安全的电子政务外网系统。4.2 电子政务等级保护实施措施1、周密部署，精心组织为有效贯彻落实国家信息安全等级保护制度，在总基础调查和试点工作基础上，根据关于开展全国重要信息系统安全等级保护定级工作的通知等相关规定，2007年11月13日，电子政务外网工程办召开等级工作启动会，正式启动国家电子政务外网安全等级的定级保护工作。为确保信息系统等级保护工作顺利进行，外网工程办领导高度重视，专门成立了有个主要业务部门负责人为成员的等级保护工作小组，全面负责工作的规划、协调和指导，确定了外网工程版安全组为等级保护工作的牵头部门，各部门分工协作。同时，为确保系统划分和定级工作的准确性，2007年11月22日外网工程办专门邀请专家，对定级工作进行专项指导。2、积极做好定级各项工作信息安全等级保护工作政策性强、技术要求高，时间有非常紧迫，为此，政务外网工程办从3个方面抓好等级保护前期准备工作：一是积极参加公安部组织的等级保护培训，领会与理解开展信息等级保护目的、意义与技术要求，系统的掌握信息安全等级保护的基础知识、实施过程、顶级方法步骤和备案流程。二是多次组织人员开展内部讨论和交流，使人员较全面的了解等级保护的意义、基础知识核定级方法。三是开展工程办各组的业务应用摸底调查，摸清系统的系统机构、业务类型和应用范围，并汇总整理政务外网各组成域的相关概况。3、科学准确定级在开展政务外网定级工作的过程中突出重点，全面分析政务外网网络基础平台的特点，力求准确划定定级范围和定级对象。在此基础上，依据信息安全等级保护管理办法，确定政务外网各组成组子系统（网络域）的安全保护等级。划定定级对象。根据信息系统安全等级保护定级指南，外网工程办多次组织技术和业务骨干召开专题会议讨论信息系统划分问题，提出了较为科学合理的信息系统划分方案。组织专家自评把关。根据等级保护评审的标准与要求，专家们对信息系统划分和定级报告进行内部评审，并给出了内部评审意见。根据专家意见重新修订并整理了等级保护定级报告及其相关材料。此外，在顶级过程中，外网工程办积极与公安部门等级保护主管部门进行沟通，并竟由相关专家确定定级对象与等级保护方案后，整理好了所有定级材料，准备下一步的正式评审。4、定级对象和结果根据政务外网作为基础网络平台的特性，以及其接入系统的不同业务类型，政务外网按管理边界划分为中央政务外网、地方政务外网两类管理域。中央政务外网按业务边界划分功能区，即公用网络平台区、专用VPN网络区以及互联网接入区，在各功能区内又根据业务类型和系统服务的不同，确定了多个业务系统，主要有安全管理系统、应用平台系统、网络管理系统、邮件系统、VPN业务、互联网数据中心等六个系统作为本次等级保护定级工作的定级对象，分别予以定级（确定等级结果如下表所示）。表 国家电子政务外网业务信息系统定级对象和结果第五章 基于等级保护的电子政务安全度量本章针对安全管理的量化问题，建立了信息安全管理度量的层次结构模型，确定了信息安全管理度量要素及度量指标，设计了相应的度量方法及辅助调查工具度量核查表。5.1 信息安全度量现状信息安全“三分技术，七分管理”的思想目前已经被广泛接受，然而，在实际的安全实践中，安全管理依然被人们忽视。导致这种局面的一个重要原因是安全管理的有效型难以度量。相对于安全技术，安全管理涉及到更多的领域，包含众多的非量化的难以测量的因素，如规章制度度的制定和培训、管理措施的落实、财政预算的支持等。因此，信息安全管理有效的度量繁杂乃至琐碎，难度很大。具体实施过程中，对安全管理的度量主要依靠操作人员进行，度量的准确性往往依赖于操作人员的实践经验、对相关标准的理解程度等。这些主观因素往往导致度量结果不够准确，不能真实反映安全管理上的弱点，也就不能有针对性的进行改进，从而降低了度量结果的可信度，进而影响甚至误导信息安全的改进过程。管理学上有如下原则：不能被测量的行为是不能被管理的。如何对安全管理进行有效的量化度量，根据量化的度量结果进一步指导安全管理，提高信息安全能力和水平，目前已经成为信息安全领域的一个研究热点。2003年7月，NIST发布了SP800-55信息技术系统安全度量指南。该标准对安全管理度量定义如下：一种工具，被设计用来通过收集、分析和报告与性能相关的数据，以辅助决策、改善性能和可审计性。信息技术系统安全度量指南中结合NIST SP800-26信息技术系统安全自我评估导则中的安全控制目标和技术方法，对角色责任、度量定义、度量类型、度量开发和实施方法、度量项目的实施过程都做了描述，同时以附件形式给出了17种度量的模板。SC27N4474:WD 27004(ISO/IEC27004草案)信息安全管理度量机制和测量措施中规定了测量项以及组织可能用于促进对ISMS管理的测量技术，该模型使用客观信息来监督和评审ISMS以及孔子措施的性能。我国信息安全管理标准的研究比较落后。不仅已经制定的少量标准大多沿用国际标准，而且很少直接参与到国际信息安全标准的制定当中，致使无法在国际标准的制定中体现我国国家利益，也只能加了参照国际标准制定相应国内标准是的困难。目前在信息安全管理度量标准方面的主要工作向是积极跟踪国际信息安全管理度量方法和技术标准化的动态，系统研究信息安全度量方法和测量技术，抓紧制定相应的国内安全管理度量标准，为我国信息安全管理体系建设提供基础技术保障。5.2 基于等级保护的安全管理度量方法的设计安全管理度量的成功实施需要解决若干个关键问题。（1）度量要素、度量指标的选取（2）度量结果的量化度量要素是评判信息安全管理是否有效的组成因素，所有度量要素的合理表现，就能构呈现出信息安全管理的效果。度量指标是为考察各个度量要素而设计的核查项，单个的度量指标是安全管理的最小度量单位。通过对某度量要素所包含的若干指标的核查结果，能够对该度量要素进行评估。度量要素、度量指标的选取时前提条件，它为安全管理度量的实施准备工具。如果度量要素、度量指标集合不完备、不合理，将导致度量结果出现较大的偏差，进而影响信息安全管理目标的实现;而量化则是对安全管理度量的进一步加工处理，以便从中发现问题，总计规律。1、国家计算机等级保护标准GB17859根据计算机信息系统安全保护等级划分准则（GB17859），我国的信息安全划分为五个级别，即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。五个级别以第一级用户自主保护级为基础，每级对信息安全的保护方法一步增强，保护范围进一步扩大。GB17859给出了对计算机信息系统实施五级保护的原则，并对各个级别的具体实施要求进行了目标上的阐述，但其本身并没有提供如何评估某级别安全保护目标是否现得定量化指标。所以根据GB17859的实施要求有针对性的提出一个安全管理度量方法十分必要。2、度量要素的选取ISO/IEC17799确立的信息安全管理体系目前在国际上已经成为通行的信息安全管理体系，它包含了安全方针的拟定、安全责任的归属、风险的评估与确定、强化安全参数及存取的控制，提供了10大管理方面，36个管理目标，127重安全控制供用户选择和使用。标准自公布以来，被多个国家政府机构及其他单位组织采用，受到良好的效果。为保证度量的全面性与合理性，以ISO/IEC17799中的安全控制措施作为安全管理的度量要素，以保证能够完成整覆盖信息安全管理的各个环节。同时为每个度量要素设计了相应的度量指标（核查问题）集合，这样就首先构造了一个安全管理度量要素的全集，以及一个度量指标的全集，其中，单个的度量指标是安全管理的最小度量单位。但在实际操作中，由于各个信息系统对于安全的要求不同，需要对个度量要素全集和度量指标全集进一步裁剪以符合实际情况。以国家计算机等级保护标准G17859为依据，根据组织的信息系统所划分的安全等级，从度量要素全集合度量指标全集中提取相应的度量要素子集、度量指标子集。安全管理度量的层次结构如下图所示：如上图所示，度量要素包含若干个度量指标，即度量该要素的核查问题。度量指标是最小的测量单位，可以分别从规章制度、落实证据两个方面进行设计。（1）管理制度包括技术开发文档、管理制度、操作规程以及其他与系统运行、维护、安全相关的所有文档。（2）落实证据包括会议纪要、各种登记表、值班日志、故障记录、出入登记表等纸当文件，也包括对安全管理负责人、系统维护者、企业关公等的调查询问结果。对照ISO/IEC17799的章节结构设计安全管理度量核查表，如下表所示：表 安全管理度量核查表表中控制措施即为度量要素，核查问题即为度量标准。度量指标的安全类别划分为与GB17859相对应的5级，如果待度量的信息系统的安全等级被划分为二级，则表1中于每个度量要素对应的所有安全类别为二级以及以下的度量指标都应被提取出来，构成给度量要素的度量指标集合，进而构成此次度量的度量指标集合。3、度量结果的量化与分析显然，定量化的数据及图表在描述安全控制目标实现程度的变化趋势，证明安全投资合理性方面比非量化的描述更具有优势。因此，试图从度量要素和度量指标的量化工作出发，最后给出定量化的安全管理度量结果。在度量要素集合中，各个度量要素对于信息系统安全的影响是不同。为是度量结果更真的反应安全管理的各个环节，需要为各个度量要素赋予不同的权重。类似的，每个度量要素的各指标也应该赋予不同的权重。在统计信息系统安全管理度量的得分时，首先根据各个度量指标的得分统计加权得出每个度量要素的得分，然后再由各个度量要素得分的统计加权得出该组织的安全管理度量最后得分。如上表所示，度量要素的各个度量指标（核查问题）的设计应该标准化，如均为单选选择题，并知道那个简单明确、无歧义的评分规则，如选答案“是”应得满分M，选答案“否”为0分，选答案“一部分”得5分等。度量指标谁的标准优化可保证度量结构不受度量实施人员主观因素的干扰，维持客观性。安全管理度量应该定期进行。一段时间（如一年或一季度）内的几次安全管理度量的量化结果能够表现安全控制目标实现程度随时时间的变化趋势（如下图所示），帮助管理者识别抵消的安全控制，引导安全投资，提高安全管理水平，实现组织的信息安全目标。第六章 总结本论文主要研究的是基于互联网的电子政务等级保护，首先讨论了电子政务的现状和主要问题，叙述了基于互联网的电子政务等级保护的建设和研究。主旨是通过对此项问题的研究，对基于互联网的电子政务等级保护有更深刻的了解，并且加深印象，对此项问题的研究起到推动作用。随着社会的发展，政府的网络化越来越重要，使人民的政府成为一个民主的政府，透明的政府，是越来越需要的。总结近年来的电子政务的发展，总体来说是相当不错的，国家对此也十分注重，多次制定法律法规规范电子政务的发展以及应用，为电子政务在我国普及、发展提供了必要的条件，同时，也是人们对电子政务的重要性有了新的认识。在未来的时间里，电子政务无疑会成为社会的主流，无论是政府还是企业，都会把发展电子政务作为首要问题。电子政务无疑已经成为了一个成熟的企业、一个发达的国家的象征。参考文献 马作者：燕曹，周湛信息安全法规与标准北京：机械工业出版社， 罗海宁 郭红 吴亚飞 国家电子政务外网安全等级保护定级工作基本完成 刘学忠 刘增良 余达太 基于等级保护的安全管理度量方法研究 孟源 杨宏 基于等级保护的电子政务外网整体安全解决方案 吴海波 有效保障电子政务安全38参考：毕业论文（设计）工作记录及成绩评定册题 目： 学生姓名： 学 号： 专 业： 班 级： 指 导 教 师： 职称： 助理指导教师： 职称： 年 月 日实验中心制使 用 说 明一、此册中各项内容为对学生毕业论文（设计）的工作和成绩评定记录，请各环节记录人用黑色或蓝色钢笔（签字笔）认真填写（建议填写前先写出相应草稿，以避免填错），并妥善保存。二、此册于学院组织对各专业题目审查完成后，各教研室汇编选题指南，经学生自由选题后，由实验中心组织发给学生。三、学生如实填好本册封面上的各项内容和选题审批表的相应内容，经指导教师和学院领导小组批准后，交指导教师；指导老师填好毕业论文（设计）任务书的各项内容，经教研室审核后交学生签名确认其毕业论文（设计）工作任务。四、学生在指导老师的指导下填好毕业论文（设计）开题报告各项内容，由指导教师和教研室审核通过后，确定其开题，并将此册交指导老师保存。五、指导老师原则上每周至少保证一次对学生的指导，如实按时填好毕业论文（设计）指导教师工