政府工作证网络安全问题

‘壹’ 如何提高政府电子政务网的安全性

提高政府电子政务网的安全性的方法：
1.加强政府网站安全工作组织领导，提高责任意识

从哈尔滨市每年开展的政府网站绩效考核工作可以看出，有相当数量部门领导没有把政府网站建设和安全管理工作作为一项重要工作来抓，存在重建设轻管理的问题。借鉴全国其他省（市）的先进经验，一是建议市政府将政府网站纳入地方政府和部门绩效考核体系，作为领导班子综合考核评价的内容之一，作为领导干部选拔任用的依据。二是要按照谁主管谁负责、谁运行谁负责的原则，强化管理和明确责任，确保政府网站安全管理工作落实到人，一层抓一层，做到网站管理不缺位，信息安全有保障。
2.建立健全政府网站安全管理制度，认真贯彻执行。
一是建立政府网站的安全管理制度体系，指导和制约网站安全建设和管理工作。网站出现相关问题时，工作人员要快速向网站相关负责人反映，以便及时得到处理；二是建立网站日常巡检制度，指定人员每日检查网站运行情况，及时发现并妥善解决存在的问题；三是建立具体负责人制度，对网站的网络管理、数据库服务维护、信息处理等实行谁主管谁负责；四是建立节假日值班制度，做到信息及时更新，保证网站不间断运行；建立日志记录备案制度，对网站日常工作要如实记录，并作为技术管理档案保存。
3.加强人才队伍的培养，统筹建立哈尔滨市应急处理体系
一是加强政府网站安全管理培训。通过参加信息安全、信息技术、信息管理等方面的培训，进一步提高网站工作人员整体建设网站、管理网站的能力。二是强化技术支撑保障工作。成立哈尔滨市信息安全测评中心，为哈尔滨市党政机关、企事业单位网站提供技术保障和技术支撑服务。三是建立政府网站专项应急预案，以保证政府网站在事故发生时得到快速、及时处理。四是建立信息安全检查监督机制。依据已确立的技术法规、标准与制度,定期开展信息安全检查工作,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改。
4.统筹规划政府网站群建设，实施集约化管理。
积极推进云模式下政府网站群的集约化建设。一是按照哈尔滨市电子政务建设的总体要求，进行统筹规划，统一网站运行载体，避免分散、重复建设，即：利用哈尔滨市信息中心平台的基础环境作为哈尔滨市政府网站运行载体；由哈尔滨市信息中心平台的技术队伍，承担哈尔滨市政府网站的建设及日常运行的技术维护工作；对于缺乏建设、维护网站能力的单位或部门，不再建设独立网站，由哈尔滨市信息中心平台代为承载其应向社会公众提供的政府信息公开等政务公共服务功能。二是确立统一标准，完善政府信息公开和政务信息资源共享机制，规划“中国哈尔滨”门户网站群及内容管理系统建设，进一步整合各部门政府网站，按照统一规划、分步实施的原则，建立统一的站群管理平台，将哈尔滨市各政府机构网站整合到站群平台上运行，形成以市政府门户网站为核心，以政府机构网站为群体的，资源共享、协调联动的网站群体系，全面提高政府网站公共服务水平。三是加强网站群建设管理，强化安全保障，建立应急响应机制，依托由哈尔滨市信息中心平台现有技术、人才优势，为哈尔滨市政府网站建设单位提供安全技术支持、信息技术培训、网络安全风险评估等服务。
5.加大安全技术体系建设
技术防护是确保网站信息安全的有力措施，在技术防护上，主要做好以下几方面工作。
一是要加强网络环境安全。首先要安装网站防火墙（WAF）、网站防篡改系统、网络防火墙和入侵检测系统等，在传统的网络防火墙基础上，网站防火墙（WAF）从网络的应用层面提高网站安全防护能力，利用入侵检测系统识别黑客非法入侵、恶意攻击以及异常数据流量, 通过对网站防火墙（WAF）和网络防火墙进一步优化配置来阻断黑客非法入侵、恶意攻击。网站防篡改系统是网站最后一道防护屏障，一旦防护失效时，网站首页或内容被篡改，防篡改系统可立即恢复网站被篡改的内容，不至于造成政治事件和影响，同时给网站管理人员短暂喘息时间，及时修改和完善网站安全配置文件，确保网站安全稳定运行。
二是加强网站平台安全管理。在现有中心平台的基础上，进一步优化完善网络结构、合理配置网络资源，配置下一代防火墙、病毒防护体系、网络安全检测扫描设备和网络安全集中审计系统等设备，从边界防护、访问控制、入侵检测、行为审计、防毒防护、安全保护等方面不断完善哈尔滨市信息化中心平台的安全体系建设，确保在哈尔滨市信息中心平台基础环境下，大数据平台、大工业体系信息化辅助决策平台和云模式下政府网站群平台安全稳定建设运行。
三是加强网站代码安全。一个安全的网站，不但要有良好的网络环境，更要有高质量的应用系统，现时期由于网站代码不严密、安全性差引起的网络安全事件屡见不鲜，这就要求网站技术开发人员在开发应用系统过程中，要养成良好的代码编写习惯，尽量不要使用来历不明的代码和插件，编写程序时要严格过滤敏感的字符，并且在系统开发完成后，要有相应的代码检测机制和手段，及时更新漏洞补丁，从源头上遏制网站挂马、SQL注入和跨站点脚本攻击等行为。要部署网页防篡改系统，网页防篡改系统具备实时阻断非法修改和对非法修改的文件进行恢复的能力，在其他防护措施失效的情况下，能够有效地解决网页被篡改的问题，实现针对网站信息的保护。
四是加强数据安全。要加强数据库的安全，采用正版数据库系统，通过网络安全域划分,数据库被隐藏在安全区域,同时通过安全加固服务对数据库进行安全配置,并对数据库的访问权限做最为严格的设定,最大限定保证数据库安全；部署数据灾备系统，对网站和关键应用系统数据进行定期备份，利用市政府大楼机房环境，将这些数据进行异地备份，确保关键数据安全，防止造成无法挽回的损失。
随着信息技术的飞跃发展，黑客、木马等攻击和入侵手段也随之变化多样且层出不穷，给政府网站的安全管理带来极大的威胁，各级政府、各部门要切实增强政府网站安全责任意识，加强对政府网站安全工作的领导，进一步强化监督管理，明确责任分工，加强安全防范措施，以安全为己任，为哈尔滨市政府网站和重要信息系统安全稳定运行创造一个良好的环境。

‘贰’ 政务一网通办如何应对网络安全挑战

2022年底前，以国家政务服务平台为总枢纽的全国一体化在线政务服务平台更加完善，全国范围内政务服务事项基本做到标准统一、整体联动、业务协同，除法律法规另有规定或涉及国家秘密等外，政务服务事项全部纳入平台办理，全面实现“一网通办”。

《意见》也就此提出要求，要加强政务大数据安全管理，制定平台数据安全管理办法，加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理。

北京邮电大学副教授、大数据安全专家辛阳给出了对策：可以依据数据的整个生命周期，从安全认证、身份鉴权、传输安全、共享安全、存储安全、安全管理、安全媒介、安全运行和安全审计九大方面进行安全防护。他说，在线政务服务平台的安全问题是一个全面和体系化的工程，其关键数据安全防护需要从各个层面进行整体设计，在政策法规、标准设计、管理规范、技术支撑等方面全盘布局，保障在线政务服务平台在提高政府管理能力和便民服务的同时，能够应对诸多安全挑战。

‘叁’ 为保证政府政务网安全,采取了哪些防范措施

电子政务网建设原则

为达到电子政务网络的目标要求，华为公司建议在电子政务建设过程中坚持以下建网原则：从政府的需求出发，建设高安全、高可靠、可管理的电子政务体系!

统一的网络规划

建议电于政务的建设按照国家信息化领导小组的统一部署，制定总体的网络规划，分层推进，分步实施，避免重复建设。

完善的安全体系

网络安全核心理念在于技术与管理并重。建议遵循信息安全管理标准－ISO17799，安全管理是信息安全的关键，人员管理是安全管理的核心，安全策略是安全管理的依据，安全工具是安全管理的保证。

严格的设备选型

在电子政务网建设的过程中，网络设备选择除了要考虑满足业务的需求和发展、技术的可实施性等因素之外，同时为了杜绝网络后门的出现，在满足功能、性能要求的前提下，建议优先选用具备自主知识产权的国内民族厂商产品，从设备选型上保证电子政务网络的安全性。

集成的信息管理

信息管理的核心理念是统一管理，分散控制。制定IT的年度规划，提供IT的运作支持和问题管理，管理用户服务水平，管理用户满意度，配置管理，可用性管理，支持IT设施的管理，安全性管理，管理IT的库存和资产，性能和容量管理，备份和恢复管理。提高系统的利用价值，降低管理成本。

电子政务网体系架构

《国家信息化领导小组关于我国电子政务建设的指导意见》中明确了电子政务网络的体系架构：电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。政务内网主要是传送涉密政务信息，所以为保证党政核心机密的安全性，内网必须与外网物理隔离。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务，外网与互联网之间逻辑隔离。而从网络规模来说，政务内网和政务外网都可以按照局域网、城域网、广域网的模式进行建设；从网络层次来说，内网和外网也可以按照骨干层、汇聚层和接入层的模式有规划地进行建设。

图1：电子政务网络的体系架构

根据电子政务设计思想及应用需求，鉴于政府各部门的特殊安全性要求，严格遵循《国家信息化领导小组关于我国电子政务建设的指导意见》，在电子政务内、外网在总体建设上采用业务与网络分层构建、逐层保护的指导原则，在逻辑层次及业务上，网络的构建实施如下分配：

图2：电子政务内、外网逻辑层次

互联支撑层是电子政务网络的基础，由网络中心统一规划、构建及管理，支撑层利用宽带IP技术，保证网络的互联互通性，提供具有一定QOS的带宽保证，并提供各部门、系统网络间的逻辑隔离(VPN)，保证互访的安全控制；

安全保障系统是指通过认证、加密、权限控制等技术对电子政务网上的用户访问及数据实施安全保障的监控系统，它与互联支撑层相对独立，由网络中心与各部门单位共同规划，分布构建。

业务应用层就是在安全互联的基础上实施政务网的各种应用，由网络中心与各系统单位统一规划，分别实施。

华为公司电子政务解决方案的核心理念

全面的网络安全

建设安全的电子政务网络是电子政务建设的关键。电子政务的安全建设需要管理与技术并重。在技术层面，华为公司提供防御、隔离、认证、授权、策略等多种手段为网络安全提供保证；在设备层面，华为公司自主开发的系列化路由器、交换机、防火墙设备、CAMS综合安全管理系统和统一的网络操作系统VRP可以保证电子政务网络安全。

针对于政府系统的网络华为公司提供了i3安全三维度端到端集成安全体系架构，在该架构中，除了可以从熟悉的网络层次视角来看待安全问题，同时还可以从时间及空间的角度来审视安全问题，从而大大拓展了安全的思路与视角，具备全面考虑与实施安全防护的模型与能力。

图3：华为公司i3 安全 三维度端到端集成安全体系架构

（1）华为公司i3安全三维度端到端集成安全体系架构

i－intelligence(智能)，integrated(集成)，indiviality(个性化)；
3－时间、空间及网络层次三个维度的端到端( End to End)；
安全－所有IP信息网络的安全架构。

（2）网络层次(网络层、用户层、业务层)端到端安全理念

网络的各层次均存在安全威胁的可能，华为的集成安全架构充分体现了网络安全防范的分层思想，根据不同网络层次的特点进行有针对性的防范。

网络层：保障网络路由、网络设备等基础网络的安全；
用户接入层：确保合法的用户接入，访问合法的网络范围，并保障用户信息的隔离等用户接入网络的安全；
业务层：保证用户访问内容的合法性与安全性。
华为公司的i3安全集成安全架构针对传统网络在用户层防范比较薄弱的缺陷，采取了大量的增强措施，如用户接入认证、地址防盗用、访问控制等能力。

（3）时间(事前、事后)端到端安全理念

以前政府行业更关注网络的事前防范能力，往往在网络的用户认证、入侵检测、防DOS攻击、防火墙等方面投入力量较多，对事后跟踪能力实施的有效措施不多。而在安全事件发生前后，要求网络所能提供的支持也是不同的，其花费的代价与技术实现难度有非常大的差别：

事前防范：主要通过数据隔离、加密、过滤、管理等技术，加强整个网络的健壮性；
事后跟踪：华为公司的“i3安全”架构提供在网络级做日志记录的能力，通过对用户上网端口、时间、访问地的记录，全面提供用户上网的追溯能力，从而为后期的分析提供第一手的资料。
（4）空间(外网、内网)端到端安全理念

外网：通过VPN、加密等保证信息安全，通过网络防火墙、病毒防火墙等防范网络攻击，侧重的是防范；
内网：通过对用户的识别，保证合法的用户访问合法的网络范围，并做好访问记录，侧重的是监控。
目前政府内网即涉秘网、政府外网即办公专网，两张网按照17号文件要求严格的物理隔离分别进行建设，保证政府网络的安全。

华为公司三纬度集成安全架构提供端到端集成安全服务：

图4：华为公司i3安全三维度端到端集成安全体系架构

随着政府网络网上应用的进一步增多，随着网络进一步深入人们的生活，入侵与反入侵、盗用与反盗用的斗争也必将升级。而政府网络的安全防护作为一个系统工程，只有从网络管理、用户管理、业务管理及管理制度等多层次、多方位地多管齐下才能做到“天网恢恢，疏而不漏”。

完善的端到端的可靠性

网络可靠性主要是指当设备或网络出现故障时，网络提供服务的不间断性。可靠性一般通过设备本身的可靠性和组网设计的可靠性来实现。包括以下内容：

（1）设备可靠性

华为公司的全系列数据产品均采用电信级的可靠性设计。华为公司高端路由器和交换机产品采用分布式体系结构，不存在单点故障；采用无源背板，支持真正热插拔、热备份，同时设备的交换网络、路由处理系统等所有关键部件采用冗余热备份设计，能充分满足电子政务网络对设备高可靠性的要求。

（2）组网设计的可靠性

在控制投资的前提下，在电子政务网络的部分省地骨干节点，可采取VRRP双机备份方式或采取RPR方式进行环网自愈保护，接入骨干传输网的链路可采取双归链路设计或采取RPR方式进行环网自愈保护，从组网角度避免单点故障。

另外，可采用备份中心技术，为路由器上的任意接口提供备份接口；路由器上的任一接口可以作为其它接口(或逻辑链路)的备份接口；可对接口上的某条逻辑链路提供备份。

通过灵活的备份机制及完善的技术，可以充分利用备份资源，确保网络互联互通的可靠性。

简单高效的维护和管理

政府网络信息点数量众多，而且较为稠密，所以网络设备数量众多，特别是接入最终用户的楼层交换机。华为公司的网络管理系统在支持全网设备统一管理、实现拓扑管理、图形化操作界面、实时声光报警、中文操作系统的同时，利用华为组管理协议HGMP可以实现对数量庞大的楼层交换机的动态发现、动态拓扑生成、自动配置的功能，降低网络管理人员的工作量，提高效率。

丰富的业务承载能力

政府信息化的一个重要特点是以业务牵引网络需求，应用不断更新，对网络设备的需求不断提高，在这样的一个动态网络中，网络设备本身的业务承载能力就显得非常重要。因此，华为公司提出了第5代基于网络处理器技术，可以保证在后续新增业务对网络平台有特殊要求时，实现快速定制、快速支持，保证对网络设备投资的连续性。

利用MPLS VPN表现出强大的扩展性和前所未见的高性能，电子政务网可任由业务的增长和变化，网络可以平滑地扩充和升级，可最大程度的减少对网络架构和设备的调整。作为少数能提供整网MPLS技术的厂家，华为公司致力于为政府提供基于先进的MPLS VPN技术的数据、语音和视讯的三网合一技术。

‘肆’ 电子政务信息安全管理机制存在哪些问题

我国电子政务信息安全存在的问题
1、法律问题
尽管近年来我国已出台了一系列与网络信息安全相关的法律法规，并取得了一定的成绩，但这
些法律法规尚未形成体系。随着信息技术的发展，信息安全问题越来越复杂，现有的信息安全法律框架已经难以适应电子政务信息化模式的发展需求。因此加快电子政务信息化的法律法规建设以成为一项非常急迫的任务。
2、技术问题
（1）网络安全规划与网络结构的不合理性。
由于信息技术发展尚不完善的众多原因，我国电子政务网络的建设在规划上经常缺少前瞻性的安全规划，如：IP 地址缺乏统一规划，广播流量可控性差，子网故障隔离性差，重要流量缺乏带宽管理和服务质量优先保证等问题显现明显。
（2）电子政务信息化建设技术人员相对缺乏，技术等素质不过硬。
我国信息化建设相对国对发达国家的信息设备和信息技术有很大的差异，技术人员培养力度也比发达国家相对来说不足，信息化核心设备严重依赖国外，对引进的技术和设备缺乏必要的信息管理和技术改造。尤其是在系统安全和安全协议的研究和应用方面与发达国家的差距很大。 （3）网络技术与网络设置的不科学，造成了大量的网络安全隐患。
电子政务本身所具有的特点决定了它很容易招致来自外部或内部的各种攻击。同时，网络化政务办公导致了政府工作对网络依赖性的增强，而依赖性必然产生脆弱性，包括技术的脆弱性、社会
的脆弱性、人的脆弱性等等。由于网络技术不够成熟，网络设置不够科学，目前大部分电子政务选用的系统本身存在着安全弱点或隐患，其中包括网络硬件设备的弱点、操作平台的弱点等各种安全问题。由于电子政务在很大程度上要依赖因特网，而因特网的全球性、开放性在为我们提供极大的便利的同时，也给信息安全带来了极大的威胁，这就需要我们努力的利用先进的网络技术来减少或消除这些威胁。
3、管理问题
（1）政府工作人员思想观念陈旧，安全意识淡薄。
我国电子政务建设起点低，时间短，至今仍未成熟。几十年来，政府工作人员已经习惯了手工作业，不容易适应信息化办公，对电子政务没有一个正确的认识，仍保留着陈旧的管理理念。另外，对于工作人员，在电子政务信息的安全问题上还存在不少认知盲区和制约因素。网络是新生事物，许多人一接触它就忙着用于学习、工作和娱乐等，对网络信息的安全性无暇顾及，安全意识相当淡薄，对网络信息不安全的事实认识不足。虽然政府已经采取了很多措施来提高工作人员的安全意识，但就其效果而言并不是很理想。
（2）管理体制问题突出，网络安全管理混乱，规范化的管理制度相对滞后，造成了很多管理安全漏洞。
一直以来，各级政府为了保证信息安全，只在技术上采取了相应的保障措施，却忽略了更重要的管理体制的建设，未把保障电子政务安全的“软措施”做细做实，未从管理体制上落实安全责任制，未建立完备的信息安全管理和认证机制等。这使电子政务系统存在很多管理安全漏洞，很难做到安全管理的统一协调性，一旦发生安全事件，故障定位不准，追查事故源困难，责任问题牵扯不清，从而造成事件的破坏性后果更为严重。

‘伍’ 电子政务安全问题的实质涉及哪些方面

(1)建设和整合统一的电子政务网络

从业务发展和安全保密的要求出发，电子政务网络由政务内网和政务外网构成，政务内网与政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。政务内网主要是副省级以上政务部门的办公网，与省以下的办公网物理隔离。要根据决策和业务需求，统一标准，加快信息资源的开发和整合，按照密级与授权对内网进行科学管理。政务外网是政府的业务专网，主要进行政务部门面向社会的专业性服务业务和不宜在内网上运行的业务。要统一标准、利用统一平台，促进各个业务系统的互联互通，资源共享。约用一年左右的时间，基本形成统一的电子政务内外网络平台，在运行中逐步完善。(2)建设和完善重点业务系统为了提高服务、决策和监管水平，逐步规范政府业务流程，维护社会稳定，要加快十二个重要业务系统建设：继续完善以取得初步成效的办公业务资源系统、金关、金税和金融监管四个工程，促进业务协同、资源整合;启动和加快建设宏观经济管理、金财、金盾、金审、社会保障、金农、金质、金水等八个业务系统工程建设。业务系统建设要统一规划，分工负责，分阶段推进。

(3)规划和开发重要政务信息资源为了满足对政务信息资源的迫切需求，国家要组织编制政务信息资源建设专项规划，设计电子政务信息资源目录体系与交换体系。启动人口基础信息库、法人单位基础信息库、自然资源和空间地理基础信息库、宏观经济数据库的建设。

(4)积极推进部门与地方的公共服务建设要加快各部门和各级地方政府公开政务和政府信息的步伐，在内部业务网络化的基础上，充分发挥部门和地方政府的积极性，推动各级政府开展对企业和公众的服务，逐步增加服务内容、扩大服务范围、提高服务质量。近两年重点建设中央和地方的综合门户网站，促进并整合政务公开、行政审批、社会保障、教育文化、环境保护、防伪打假、扫黄打非等服务。

(5)基本建立电子政务安全保障体系

要组织制定我国电子政务安全保障体系框架，逐步完善管理体制，建立电子政务信任体系，加强关键性安全技术产品的研究和开发，建立应急支援中心和数据灾难备份基础设施。

(6)完善电子政务标准化体系逐步制定电子政务建设所需的标准和规范。今年要优先制定业务协同、信息共享和信息安全的标准，加快建立和健全电子政务标准实施机制。

(7)加强公务员信息化培训和考核

要发挥各级各类教育培训机构的作用，切实有效的开展公务员的电子政务知识与技能培训，制定考核标准和制度。今年要制定公务员信息技术知识预计能的培训标准和培训计划，编制培训教材，落实培训机构，金鹏信息网格化软件公司。

(8)建立并完善电子政务法律法规和制度

制定和完善配套的法律规范。加快研究和制定电子签章、政府信息公开及信息安全、电子政务项目管理等方面的法律法规和规章。基本形成电子政务建设、运行维护和管理等方面有效的激励约束机制。

‘陆’ 电子政务安全问题产生的原因有哪些

电子政务安全问题产生的原因可能有后门的隐患；安全漏洞的问题；人为地无意疏忽；人为地恶意攻击等。
一、电子政务网络安全现状分析
“十三五”期间，以北京市，上海市、浙江省为代表的政府全面推进以数据为核心的新型“智慧城市”和“城市大脑”建设。电子政务系统已成为城市建设、运营、管理、服务、安全和应急的重要基础，涉及国家安全、经济命脉、社会秩序和公共利益。电子政务系统的安全稳定运行已成为保障城市正常运行的重要基础，对保障城市安全和社会稳定具有重要意义。多年来，随着网络安全等级保护的推进，许多重要的电子政务系统被定义为安全等级保护三级系统，并开展了信息安全分级与备案、安全评估等工作。然而，仍然存在许多安全风险。
二、电子政务的发展趋势
电子政务信息化快速发展。电子政务建设是我国政府部门提高履职能力和水平的重要手段，也是深化行政管理体制改革、建设人民满意的服务型政府的战略举措。在电子政务发展的前二三十年，出现了大量带有“金字头”的电子政务应用系统，如金融工程、金关工程、金税工程等。在以行业为代表的电子政务体系建设方面取得了重要突破，发挥了日益显着的作用。政府公务人员的工作理念、行政管理行为发生了重大变化，社会公众受电子政务发展的影响带动作用明显。
综上所述，各行业、区域分类分级都要建立网络安全态势感知预警监控能力，包括电子政务也要收集各类安全产品的告警和日志信息，实现多源监测数据的融合，提升关键信息系统的网络安全监测能力，强化先进的持续威胁监测能力。

‘柒’ 电子政务的网络安全管理体现在哪些方面

针对智慧政务平台的安全隐患金鹏信息智慧政务专家小组提出建议，一方面要看到移动互联网时代给我们政府提供了更好更快捷的公众服务手段，另一方面也要清醒地意识到快捷服务必须是基于政府自身的服务平台而不是第三方企业或机构的社会公共服务平台。政府完全可以借鉴商业领域的服务模式，在中国智慧政务战略框架内建设政府自身的在线服务平台，构建一套以微博、微信为前台，以政务移动应用中心为运行的微政务应用体系。

一 、要将信息公开和政务应用相剥离

可以将微博、微信等平台作为基于互联网的宣传和吸引公众流量的平台，而不能作为业务交互办理的平台。通过此类平台将用户吸引回流到政府自身的移动App上。政府要建立自己的移动应用中心，根据业务需求提供便捷的移动互联网服务App，确保政务数据能集中收集在政府内部的数据中心。从三个层次上确保政务服务：

1、政府自身建设移动应用中心和App，保障政府服务提供的可持续性;

2、保障政务数据的安全性;

3、保障政务数据的完整性。

政府各个业务数据完整地收集汇总，可以较好地实现跨部门的数据开放和业务协同，也为进一步的大数据分析支撑决策提供良好基础。

二、要把业务应用和数据标准相剥离

政府可借鉴成功的商业模式，如在前端的交互设计和应用规范上参考商业标准。但在网络和数据安全上一定要坚持已有的安全体系。

三、应制定合理的标准规范，完善信息化建设体制

中国智慧政务建设的实际情况是“一把手”工程，信息化建设的决策权在各级单位的“信息化领导小组”，而具体的建设和安全保障落在了信息中心或智慧政务处等技术部门。“一把手”精通业务，但对于信息技术尤其是网络安全等方面不一定很熟悉，很容易被误导进入“重业务轻安全”的误区。事实上在基层单位的微博、微信热潮中，就出现过领导“强压”的局面。对此，有必要明确信息中心在政府信息化建设中安全保障的“领导”地位，确保相关标准规范的切实应用。

党的十八届四中全会公报明确提出了“全面推进政务公开”的指导意见，这为“政务信息和应用开放”提供了更大的动力，更大规模、更大范围的政务数据面临着“社会化”的考验。政府应该保持清醒的头脑，让市场与政府各自归位，避免政府“媒体化”和“被动开放”。

金鹏信息智慧政务软件

‘捌’ 怎么样做到政府信息安全

如何有效构建信息安全保障体系？通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。

构建第一步 确定信息安全管理体系建设具体目标

信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分，通过信息安全治理来达到具体的建设目标。信息安全的组织体系：是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构，其中包括：决策、管理、执行和监管机构四部分组成。信息安全的策略体系：是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次：

第一层 策略总纲策略总纲是该团体组织内信息安全方面的基本制度，是组织内任何部门和人不能违反的，说明了信息安全工作的总体要求。

第二层 技术指南和管理规定遵循策略总纲的原则，结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分：技术指南：从技术角度提出要求和方法；管理规定：侧重组织和管理，明确职责和要求，并提供考核依据。

第三层 操作手册、工作细则、实施流程遵循策略总纲的原则和技术指南和管理规定，结合实际工作，针对具体系统，对第二层的技术指南和管理规定进行细化，形成可指导和规范具体工作的操作手册及工作流程，保证安全工作的制度化、日常化。

构建第二步 确定适合的信息安全建设方法论

多年信息安全建设积累的信息安全保障体系建设方法论，也称“1-5-4-3-4”。即：运用1个基础理论，参照5个标准，围绕4个体系，形成3道防线，最终实现4个目标。

一、风险管理基础理论信息系统风险管理方法论就是建立统一安全保障体系，建立有效的应用控制机制，实现应用系统与安全系统全面集成，形成完备的信息系统流程控制体系，确保信息系统的效率与效果。

二、遵循五个相关国内国际标准在信息安全保障体系的建立过程中我们充分遵循国内国际的相关标准:ISO 27001标准等级保护建设分级保护建设IT流程控制管理（COBIT）IT流程与服务管理（ITIL/ISO20000）

三、建立四个信息安全保障体系信息安全组织保障体系：建立信息安全决策、管理、执行以及监管的机构，明确各级机构的角色与职责，完善信息安全管理与控制的流程。信息安全管理保障体系：是信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定。信息安全技术保障体系：综合利用各种成熟的信息安全技术与产品，实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能。信息安全运维保障体系：在信息安全管理体系规范和指导下，通过安全运行管理，规范运行管理、安全监控、事件处理、变更管理过程，及时、准确、快速地处理安全问题，保障业务平台系统和应用系统的稳定可靠运行。

四、三道防线第一道防线：由管理体系、组织体系、技术保系构成完备的安全管理体制与基础安全设施，形成对安全苗头进行事前防范的第一道防线，为业务运行安全打下良好的基础。第二道防线：由技术体系、运维体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警，及时排除安全隐患，确保业务系统持续、可靠地运行。第三道防线：由技术体系构成事后控制的第三道防线。针对各种突发灾难事件，对重要信息系统建立灾备系统，定期进行应急演练，形成快速响应、快速恢复的机制，将灾难造成的损失降到组织可以接受的程度。

五、四大保障目标信息安全：保护政府或企业业务数据和信息的机密性、完整性和可用性。系统安全：确保政府或企业网络系统、主机操作系统、中间件系统、数据库系统及应用系统的安全。物理安全：使业务和管理信息系统相关的环境安全、设备安全及存储介质安全的需要得到必要的保证。运行安全：确保业务和管理信息系统的各种运行操作、日常监控、变更维护符合规范操作的要求，保证系统运行稳定可靠。构建第三步 充分的现状调研和风险评估过程在现状调研阶段，我们要充分了解政府或企业的组织架构、业务环境、信息系统流程等实际情况。只有了解政府或企业的组织架构和性质，才能确定该组织信息安 全保障体系所遵循的标准，另外，还要充分了解政府或企业的文化，保证管理体系与相关文化的融合性，以便于后期的推广、宣贯和实施。在调研时，采用“假设为 导向，事实为基础”的方法，假定该政府或企业满足相关标准的所有控制要求，那么将通过人工访谈、调查问卷等等各种方式和手段去收集信息，证明或者证伪该组 织的控制措施符合所有标准的要求，然后在此基础上，对比现状和标准要求进行差距分析。在风险评估阶段，首先对于信息系统的风险评估．其中涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：对资产进行识别，并对资产的价值进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。其次，进行信息系统流程的风险评估。根据“国际知名咨询机构Gartner的调查结果”以及我们在实践中证实发现，要减少信息系统故障最有效的方式之 一，就是进行有效的流程管理。因此需要在保证“静态资产”安全的基础上，对IT相关业务流程进行有效管理，以保护业务流程这类“动态资产”的安全。

构建第四步 设计建立信息安全保障体系总体框架

在充分进行现状调研、风险分析与评估的基础上，建立组织的信息安全保障体系总纲，总纲将全面覆盖该组织的信息安全方针、策略、框架、计划、执行、检查和 改进所有环节，并对未来3-5年信息安全建设提出了明确的安全目标和规范。信息安全体系框架设计在综合了现状调研、风险评估、组织架构和信息安全总纲后， 还需要综合考虑了风险管理、监管机构的法律法规、国内国际相关标准的符合性。为确保信息安全建设目标的实现，导出该组织未来信息安全任务，信息安全保障体 系总体框架设计文件（一级文件）将包括：信息安全保障体系总体框架设计报告；信息安全保障体系建设规划报告；信息安全保障体系将依据信息安全保障体系模型，从安全组织、安全管理、安全技术和安全运维四个方面展开而得到。对展开的四个方面再做进一步的分解和比较详细的规定将得到整个政府部门或企业信息安全保障体系的二级文件。具体二级文件包括：信息安全组织体系：组织架构、角色责任、教育与培训、合作与沟通信息安全管理体系：信息资产管理；人力资源安全；物理与环境安全；通信与操作管理；访问控制；信息系统获取与维护；业务连续性管理；符合性；信息安全技术体系：物理层、网络层、系统层、应用层、终端层技术规范；信息安全运维体系：日常运维层面的相关工作方式、流程、管理等。包括：事件管理、问题管理、配置管理、变更管理、发布管理，服务台。

构建第五步 设计建立信息安全保障体系

组织架构信息安全组织体系是信息安全管理工作的保障，以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。我们根据该组织的信息安全总体框架结合实际情况，确定该组织信息安全管理组织架构。信息安全组织架构：针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果。?信息安全角色和职责：主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责。

安全教育与培训：主要包括对安全意识与认知，安全技能培训，安全专业教育等几个方面的要求。?合作与沟通：与上级监管部门，同级兄弟单位，本单位内部，供应商，安全业界专家等各方的沟通与合作。

构建第六步 设计建立信息安全保障体系

管理体系根据信息安全总体框架设计，结合风险评估的结果以及该组织的信息系统建设的实际情况，参照相关标准建立信息安全管理体系的三、四级文件，具体包括：资产管理：信息系统敏感性分类与标识实施规范与对应表单、信息系统分类控制实规范与对应表单。

人力资源安全：内部员工信息安全守则、第三方人员安全管理规范与对应表单、保密协议

物理与环境安全：物理安全区域划分与标识规范以及对应表单、机房安全管理规范与对应表单、门禁系统安全管理规范与对应表单?访问控制：用户访问管理规范及对应表单、网络访问控制规范与对应表单、操作系统访问控制规范及对应表单、应用及信息访问规；通信与操作管理：网络安全管理规范与对应表单、In；信息系统获取与维护：信息安全项目立项管理规范及对；业务连续性管理：业务连续性管理过程规范及对应表单；符合性：行业适用法律法规跟踪管理规范及对应表单；最终形成整体的信息安全管理体系，务必要符合整个组；操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单。

通信与操作管理：网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单。

信息系统获取与维护：信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单、软件系统漏洞管理规范及对应表单?业务连续性管理：业务连续性管理过程规范及对应表单、业务影响分析规范及对应表单?符合性：行业适用法律法规跟踪管理规范及对应表单。

最终形成整体的信息安全管理体系，务必要符合整个组织的战略目标、远景、组织文化和实际情况并做相应融合，在整个实施过程还需要进行全程的贯穿性培训。 将整体信息安全保障体系建设的意义传递给组织的每个角落，提高整体的信息安全意识。这样几方面的结合才能使建设更有效。

希望可以帮到您，谢谢！

本回答由网友推荐

‘玖’ 中国政府哪个部门负责管理网络安全的

不清楚你指什么程度的安全
工信部——工业和信息化部，网站备案之类的一系列问题都管
公安局也有网警
国安局负责国家安全，如有涉及，肯定管

‘拾’ 政府信息安全如何保障

信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。
信息安全学科可分为狭义安全与广义安全两个层次，狭义的安全是建立在以密码论为基础的计算机安全领域，早期中国信息安全专业通常以此为基准，辅以计算机技术、通信网络技术与编程等方面的内容；广义的信息安全是一门综合性学科，从传统的计算机安全到信息安全，不但是名称的变更也是对安全发展的延伸，安全再是单纯的技术问题，而是将管理、技术、法律等问题相结合的产物。本专业培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。