隨著電子政務應用的逐步深入，人們對電子政務的依賴程度也是不斷提高，電子政務信息的安全防護問題日益突出。為了保證電子政務網絡的安全運行，我們迫切需要做好網絡安全防護工作。某市電子政務網絡平臺是該市電子政務的基礎設施，是連接各個縣(市、區)以及市直各單位辦公系統和電子政務的橋梁和紐帶，為它們提供行政權力網上公開透明運行的“高速公路”;此外，該網絡平臺還通過千兆寬帶光纖線路與省電子政務網絡直接連接。為了保證該市各級黨政機關、部門的行政權力能夠安全、穩定、透明地在電子政務網絡上運行，該市對電子政務的安全防護進行了專業保護設計。

設計要求

在設計安全防護方案時，既要考慮日常辦公系統和行政權力在網上的穩定運行，又要考慮運行在電子政務內部網絡平臺中的重要隱私數據與信息的安全，為此設計方案必須達到以下幾個要求：

1、設施有效性

運行在電子政務內部網絡的任何主機系統、數據庫以及應用服務器系統，它們的安全性能都是非常重要，網絡安全防護設施一定要確保這些重要系統不會輕易受到來自外部網絡的惡意入侵、訪問和攻擊。

2、數據保密性

由于運行在電子政務內部網絡的數據信息都非常重要，這些數據信息一旦對外泄密，可能會給各級黨政機關甚至國家利益帶來直接損失，因此網絡安全防護系統必須確保電子政務內部網絡重要隱私信息在存儲與傳輸時的保密性。

3、網絡可控性

電子政務網絡的運行維護必須處于非常嚴格的管理、控制之下，只有那些已經經過安全認證的終端設備能夠訪問電子政務內部網絡，同時要能十分明確地限定終端設備的訪問范圍，這能有效避免電子政務網絡受到非法入侵和攻擊。

4、數據安全性

任何的安全防范技術都不能確保重要數據信息的萬無一失，瘋狂肆虐的網絡病毒、硬件設備的意外故障、不可抗拒的自然災害等等，都有可能造成那些重要數據信息的丟失。為此，在電子政務安全防范方案中一定要有數據的容災與備份，最好能夠進行異地備份。

設計原則

在設計電子政務網絡的安全方案時，必須堅持網絡分段原則、多重保護原則、最小授權原則、綜合性原則、多個安全單元原則、多層次原則。

安全設計

為了符合電子政務內網安全防護要求，針對該市電子政務中心已有網絡結構和應用，該市決定從兩個方面對電子政務網絡的安全防護方案進行設計：管理安全和技術安全。管理安全主要是根據電子政務內網管理體系，同時依照各個接入部門的實際情況，設計一套核心網的安全管理系統，包括職能管理、組織管理、專職管理、責任管理、安全管理制度以及綜合管理系統等設計和建設。技術安全主要就是安全保密系統的防護和防范的技術基礎，技術安全主要包括：身份認證、物理與環境安全、入侵監測系統、授權管理、病毒防殺系統、防火墻系統、安全審計、漏洞掃描等。

1、身份認證

身份認證技術是在計算機網絡中確認用戶身份的過程而產生的解決方法，該市電子政務系統將統一使用全省電子政務CA認證系統，對用戶的身份進行識別認證。

2、物理與環境安全

物理和環境安全設施主要用來保護電子政務網絡中心機房以及其他相關建筑、設施、設備、網絡的工作狀態，避免遭遇環境事故和自然災害造成不同程度的的毀壞;防止采用各種物理和環境因素進行的干擾、破壞、竊取和盜用;防火、防竊、防盜;防止因一切物理和環境因素出現可能的不安全隱患。電子政務網的物理和環境安全建設方案包括：各接入單位在連接電子政務內網時，必須要求與國際互聯網進行嚴格的物理隔離;各部門如有其它類型的網絡需要接入時，須要經過電子政務中心的嚴格審批。為了實現防火、防竊、防盜目的，需要對電子政務中心機房加強安防、消防和機房監視。此外，還要加強對存儲介質的安全防范，類似光盤、軟盤、硬盤和磁帶等存儲介質都必須落實專人負責管理。

3、入侵檢測系統

在電子政務內網中部署入侵檢測系統(IDS)，對網絡數據傳輸進行即時監視，在發現可疑傳輸或惡意攻擊時，及時發出警報或者采取主動反應措施，甚至可以調整防火墻的配置策略，與其進行聯動，阻斷惡意的入侵。

4、授權管理

電子政務內網統一建立授權管理系統,對各個終端用戶的屬性信息進行管理維護，例如增加、刪除、登記、修改、維護、審核等，同時建立屬性庫，用LDAP來管理所有終端用戶的屬性信息。終端用戶通過嚴格的身份認證系統登錄電子政務內網后，從屬性庫中獲得屬性證書，依照屬性證書對數據資源進行有針對性訪問，終端用戶不需要對身份進行再次認證。此外，依照用戶部門、職位、工作的不同，設置不同的訪問權限。

5、防殺病毒系統

針對電子政務內網中可能存在的網絡病毒攻擊點，部署安裝對應的防病毒軟件，通過多層次、全方位的防毒系統配置，使電子政務網絡避免遭遇網絡病毒的非法入侵和惡意攻擊。目前已經接入電子政務內網的單位已經達到20家,估計接入數量最多能達到120家，考慮到公文傳輸、人大政協提案系統、財政集中支付系統、行政權力陽光運行系統等業務的不同，統一采購趨勢網絡版殺毒軟件，包含200個用戶、1臺病毒服務器。

6、防火墻系統

為了保障電子政務內網服務器群的安全運行，服務器群通過一臺性能較高的接入交換機與電子政務中心機房的匯聚層設備連接，并在它們之間部署一臺天融信硬件防火墻，利用防火墻的安全管理機制，能夠有效防止來自外網的惡意攻擊，保證各服務器的穩定運行。各單位不同類型的業務員網絡接入電子政務內網時，也通過設置防火墻來加強對電子政務內網的安全保護。

7、安全審計

安全審計系統主要實現以下功能：收集網絡設備、安全設備、操作系統內部所產生的審計數據;記錄所有用戶對重要設備、數據庫的操作行為;采用數據挖掘技術對收集到的數據進行智能分析，對安全隱患做出預測，并能采取相應的防范措施。

審計跟蹤也是電子政務系統安全解決方案中重要的組成部分。審計是記錄用戶使用計算機網絡系統進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統，還能指出系統被怎樣地使用。對于確定是否有網絡攻擊的情況，審計信息對于確定問題和攻擊源很重要，并且它是后面階段事故處理的重要依據，為網絡犯罪行為及泄密行為提供取證基礎。另外，通過對安全事件的不斷收集與積累并加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便為發現可能產生的破壞性行為提供有力的依據。

8、漏洞掃描

漏洞掃描系統就是對電子政務內網系統進行檢查，找到其中是否有可被惡意攻擊者利用的安全漏洞，對內網系統安全狀況進行正確的分析、評估，同時對發現的問題提出合理的解決修補建議，從而提高電子政務內網系統安全性能的過程。為了便于管理，在電子政務中心機房集中部署安裝一套漏洞掃描系統，對整個電子政務內網系統進行不定期地掃描。