政府公用网络安全

A. 政务一网通办如何应对网络安全挑战

2022年底前，以国家政务服务平台为总枢纽的全国一体化在线政务服务平台更加完善，全国范围内政务服务事项基本做到标准统一、整体联动、业务协同，除法律法规另有规定或涉及国家秘密等外，政务服务事项全部纳入平台办理，全面实现“一网通办”。

《意见》也就此提出要求，要加强政务大数据安全管理，制定平台数据安全管理办法，加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理。

北京邮电大学副教授、大数据安全专家辛阳给出了对策：可以依据数据的整个生命周期，从安全认证、身份鉴权、传输安全、共享安全、存储安全、安全管理、安全媒介、安全运行和安全审计九大方面进行安全防护。他说，在线政务服务平台的安全问题是一个全面和体系化的工程，其关键数据安全防护需要从各个层面进行整体设计，在政策法规、标准设计、管理规范、技术支撑等方面全盘布局，保障在线政务服务平台在提高政府管理能力和便民服务的同时，能够应对诸多安全挑战。

B. 什么是公共信息网络安全

可以将它分成两个部分来理解：
1、什么是公共信息网络：顾名思义，公众使用的网络，其实就是互联网及其上的各种应用。
2、什么是信息网络安全：它可从两个角度考察，一是技术角度，二是安全问题对受众（广大用户、网友）的影响。
公共信息网络安全十分重要，不仅涉及公众对网络的正常使用，而且关系到信息对公众的影响、导向，涉及身心健康、社会稳定等等。
我讲的可能太简略了一点，对非专业人员来讲可能更好理解，不知道是否对你的理解有帮助，如有疑问，欢迎追问。

C. 怎么样做到政府信息安全

如何有效构建信息安全保障体系？通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。

构建第一步 确定信息安全管理体系建设具体目标

信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分，通过信息安全治理来达到具体的建设目标。信息安全的组织体系：是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构，其中包括：决策、管理、执行和监管机构四部分组成。信息安全的策略体系：是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次：

第一层 策略总纲策略总纲是该团体组织内信息安全方面的基本制度，是组织内任何部门和人不能违反的，说明了信息安全工作的总体要求。

第二层 技术指南和管理规定遵循策略总纲的原则，结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分：技术指南：从技术角度提出要求和方法；管理规定：侧重组织和管理，明确职责和要求，并提供考核依据。

第三层 操作手册、工作细则、实施流程遵循策略总纲的原则和技术指南和管理规定，结合实际工作，针对具体系统，对第二层的技术指南和管理规定进行细化，形成可指导和规范具体工作的操作手册及工作流程，保证安全工作的制度化、日常化。

构建第二步 确定适合的信息安全建设方法论

多年信息安全建设积累的信息安全保障体系建设方法论，也称“1-5-4-3-4”。即：运用1个基础理论，参照5个标准，围绕4个体系，形成3道防线，最终实现4个目标。

一、风险管理基础理论信息系统风险管理方法论就是建立统一安全保障体系，建立有效的应用控制机制，实现应用系统与安全系统全面集成，形成完备的信息系统流程控制体系，确保信息系统的效率与效果。

二、遵循五个相关国内国际标准在信息安全保障体系的建立过程中我们充分遵循国内国际的相关标准:ISO 27001标准等级保护建设分级保护建设IT流程控制管理（COBIT）IT流程与服务管理（ITIL/ISO20000）

三、建立四个信息安全保障体系信息安全组织保障体系：建立信息安全决策、管理、执行以及监管的机构，明确各级机构的角色与职责，完善信息安全管理与控制的流程。信息安全管理保障体系：是信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定。信息安全技术保障体系：综合利用各种成熟的信息安全技术与产品，实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能。信息安全运维保障体系：在信息安全管理体系规范和指导下，通过安全运行管理，规范运行管理、安全监控、事件处理、变更管理过程，及时、准确、快速地处理安全问题，保障业务平台系统和应用系统的稳定可靠运行。

四、三道防线第一道防线：由管理体系、组织体系、技术保系构成完备的安全管理体制与基础安全设施，形成对安全苗头进行事前防范的第一道防线，为业务运行安全打下良好的基础。第二道防线：由技术体系、运维体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警，及时排除安全隐患，确保业务系统持续、可靠地运行。第三道防线：由技术体系构成事后控制的第三道防线。针对各种突发灾难事件，对重要信息系统建立灾备系统，定期进行应急演练，形成快速响应、快速恢复的机制，将灾难造成的损失降到组织可以接受的程度。

五、四大保障目标信息安全：保护政府或企业业务数据和信息的机密性、完整性和可用性。系统安全：确保政府或企业网络系统、主机操作系统、中间件系统、数据库系统及应用系统的安全。物理安全：使业务和管理信息系统相关的环境安全、设备安全及存储介质安全的需要得到必要的保证。运行安全：确保业务和管理信息系统的各种运行操作、日常监控、变更维护符合规范操作的要求，保证系统运行稳定可靠。构建第三步 充分的现状调研和风险评估过程在现状调研阶段，我们要充分了解政府或企业的组织架构、业务环境、信息系统流程等实际情况。只有了解政府或企业的组织架构和性质，才能确定该组织信息安 全保障体系所遵循的标准，另外，还要充分了解政府或企业的文化，保证管理体系与相关文化的融合性，以便于后期的推广、宣贯和实施。在调研时，采用“假设为 导向，事实为基础”的方法，假定该政府或企业满足相关标准的所有控制要求，那么将通过人工访谈、调查问卷等等各种方式和手段去收集信息，证明或者证伪该组 织的控制措施符合所有标准的要求，然后在此基础上，对比现状和标准要求进行差距分析。在风险评估阶段，首先对于信息系统的风险评估．其中涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：对资产进行识别，并对资产的价值进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。其次，进行信息系统流程的风险评估。根据“国际知名咨询机构Gartner的调查结果”以及我们在实践中证实发现，要减少信息系统故障最有效的方式之 一，就是进行有效的流程管理。因此需要在保证“静态资产”安全的基础上，对IT相关业务流程进行有效管理，以保护业务流程这类“动态资产”的安全。

构建第四步 设计建立信息安全保障体系总体框架

在充分进行现状调研、风险分析与评估的基础上，建立组织的信息安全保障体系总纲，总纲将全面覆盖该组织的信息安全方针、策略、框架、计划、执行、检查和 改进所有环节，并对未来3-5年信息安全建设提出了明确的安全目标和规范。信息安全体系框架设计在综合了现状调研、风险评估、组织架构和信息安全总纲后， 还需要综合考虑了风险管理、监管机构的法律法规、国内国际相关标准的符合性。为确保信息安全建设目标的实现，导出该组织未来信息安全任务，信息安全保障体 系总体框架设计文件（一级文件）将包括：信息安全保障体系总体框架设计报告；信息安全保障体系建设规划报告；信息安全保障体系将依据信息安全保障体系模型，从安全组织、安全管理、安全技术和安全运维四个方面展开而得到。对展开的四个方面再做进一步的分解和比较详细的规定将得到整个政府部门或企业信息安全保障体系的二级文件。具体二级文件包括：信息安全组织体系：组织架构、角色责任、教育与培训、合作与沟通信息安全管理体系：信息资产管理；人力资源安全；物理与环境安全；通信与操作管理；访问控制；信息系统获取与维护；业务连续性管理；符合性；信息安全技术体系：物理层、网络层、系统层、应用层、终端层技术规范；信息安全运维体系：日常运维层面的相关工作方式、流程、管理等。包括：事件管理、问题管理、配置管理、变更管理、发布管理，服务台。

构建第五步 设计建立信息安全保障体系

组织架构信息安全组织体系是信息安全管理工作的保障，以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。我们根据该组织的信息安全总体框架结合实际情况，确定该组织信息安全管理组织架构。信息安全组织架构：针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果。?信息安全角色和职责：主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责。

安全教育与培训：主要包括对安全意识与认知，安全技能培训，安全专业教育等几个方面的要求。?合作与沟通：与上级监管部门，同级兄弟单位，本单位内部，供应商，安全业界专家等各方的沟通与合作。

构建第六步 设计建立信息安全保障体系

管理体系根据信息安全总体框架设计，结合风险评估的结果以及该组织的信息系统建设的实际情况，参照相关标准建立信息安全管理体系的三、四级文件，具体包括：资产管理：信息系统敏感性分类与标识实施规范与对应表单、信息系统分类控制实规范与对应表单。

人力资源安全：内部员工信息安全守则、第三方人员安全管理规范与对应表单、保密协议

物理与环境安全：物理安全区域划分与标识规范以及对应表单、机房安全管理规范与对应表单、门禁系统安全管理规范与对应表单?访问控制：用户访问管理规范及对应表单、网络访问控制规范与对应表单、操作系统访问控制规范及对应表单、应用及信息访问规；通信与操作管理：网络安全管理规范与对应表单、In；信息系统获取与维护：信息安全项目立项管理规范及对；业务连续性管理：业务连续性管理过程规范及对应表单；符合性：行业适用法律法规跟踪管理规范及对应表单；最终形成整体的信息安全管理体系，务必要符合整个组；操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单。

通信与操作管理：网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单。

信息系统获取与维护：信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单、软件系统漏洞管理规范及对应表单?业务连续性管理：业务连续性管理过程规范及对应表单、业务影响分析规范及对应表单?符合性：行业适用法律法规跟踪管理规范及对应表单。

最终形成整体的信息安全管理体系，务必要符合整个组织的战略目标、远景、组织文化和实际情况并做相应融合，在整个实施过程还需要进行全程的贯穿性培训。 将整体信息安全保障体系建设的意义传递给组织的每个角落，提高整体的信息安全意识。这样几方面的结合才能使建设更有效。

希望可以帮到您，谢谢！

本回答由网友推荐

D. 网络安全涉及哪几个方面.

网络安全主要有系统安全、网络的安全、信息传播安全、信息内容安全。具体如下：

1、系统安全

运行系统安全即保证信息处理和传输系统的安全，侧重于保证系统正常运行。避免因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻，产生信息泄露，干扰他人或受他人干扰。

2、网络的安全

网络上系统信息的安全，包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计。安全问题跟踩。计算机病毒防治，数据加密等。

3、信息传播安全

网络上信息传播安全，即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果，避免公用网络上大云自由传翰的信息失控。

4、信息内容安全

网络上信息内容的安全侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。其本质是保护用户的利益和隐私。

(4)政府公用网络安全扩展阅读：

维护网络安全的工具有VIEID、数字证书、数字签名和基于本地或云端的杀毒软体等构成。

1、Internet防火墙

它能增强机构内部网络的安全性。Internet防火墙负责管理Internet和机构内部网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给Internet上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。

2、VIEID

在这个网络生态系统内，每个网络用户都可以相互信任彼此的身份，网络用户也可以自主选择是否拥有电子标识。除了能够增加网络安全，电子标识还可以让网络用户通过创建和应用更多可信的虚拟身份，让网络用户少记甚至完全不用去记那些烦人的密码。

3、数字证书

CA中心采用的是以数字加密技术为核心的数字证书认证技术，通过数字证书，CA中心可以对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证等各种处理，同时也能保障在数字传输的过程中不被不法分子所侵入，或者即使受到侵入也无法查看其中的内容。

E. 为了确保政务网络安全以下什么做法是正确的

我们需要确保政务网络安全。
这主要是关系到涉密的问题。一定要高度重视。

F. 为保证政府政务网安全,采取了哪些防范措施

电子政务网建设原则

为达到电子政务网络的目标要求，华为公司建议在电子政务建设过程中坚持以下建网原则：从政府的需求出发，建设高安全、高可靠、可管理的电子政务体系!

统一的网络规划

建议电于政务的建设按照国家信息化领导小组的统一部署，制定总体的网络规划，分层推进，分步实施，避免重复建设。

完善的安全体系

网络安全核心理念在于技术与管理并重。建议遵循信息安全管理标准－ISO17799，安全管理是信息安全的关键，人员管理是安全管理的核心，安全策略是安全管理的依据，安全工具是安全管理的保证。

严格的设备选型

在电子政务网建设的过程中，网络设备选择除了要考虑满足业务的需求和发展、技术的可实施性等因素之外，同时为了杜绝网络后门的出现，在满足功能、性能要求的前提下，建议优先选用具备自主知识产权的国内民族厂商产品，从设备选型上保证电子政务网络的安全性。

集成的信息管理

信息管理的核心理念是统一管理，分散控制。制定IT的年度规划，提供IT的运作支持和问题管理，管理用户服务水平，管理用户满意度，配置管理，可用性管理，支持IT设施的管理，安全性管理，管理IT的库存和资产，性能和容量管理，备份和恢复管理。提高系统的利用价值，降低管理成本。

电子政务网体系架构

《国家信息化领导小组关于我国电子政务建设的指导意见》中明确了电子政务网络的体系架构：电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。政务内网主要是传送涉密政务信息，所以为保证党政核心机密的安全性，内网必须与外网物理隔离。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务，外网与互联网之间逻辑隔离。而从网络规模来说，政务内网和政务外网都可以按照局域网、城域网、广域网的模式进行建设；从网络层次来说，内网和外网也可以按照骨干层、汇聚层和接入层的模式有规划地进行建设。

图1：电子政务网络的体系架构

根据电子政务设计思想及应用需求，鉴于政府各部门的特殊安全性要求，严格遵循《国家信息化领导小组关于我国电子政务建设的指导意见》，在电子政务内、外网在总体建设上采用业务与网络分层构建、逐层保护的指导原则，在逻辑层次及业务上，网络的构建实施如下分配：

图2：电子政务内、外网逻辑层次

互联支撑层是电子政务网络的基础，由网络中心统一规划、构建及管理，支撑层利用宽带IP技术，保证网络的互联互通性，提供具有一定QOS的带宽保证，并提供各部门、系统网络间的逻辑隔离(VPN)，保证互访的安全控制；

安全保障系统是指通过认证、加密、权限控制等技术对电子政务网上的用户访问及数据实施安全保障的监控系统，它与互联支撑层相对独立，由网络中心与各部门单位共同规划，分布构建。

业务应用层就是在安全互联的基础上实施政务网的各种应用，由网络中心与各系统单位统一规划，分别实施。

华为公司电子政务解决方案的核心理念

全面的网络安全

建设安全的电子政务网络是电子政务建设的关键。电子政务的安全建设需要管理与技术并重。在技术层面，华为公司提供防御、隔离、认证、授权、策略等多种手段为网络安全提供保证；在设备层面，华为公司自主开发的系列化路由器、交换机、防火墙设备、CAMS综合安全管理系统和统一的网络操作系统VRP可以保证电子政务网络安全。

针对于政府系统的网络华为公司提供了i3安全三维度端到端集成安全体系架构，在该架构中，除了可以从熟悉的网络层次视角来看待安全问题，同时还可以从时间及空间的角度来审视安全问题，从而大大拓展了安全的思路与视角，具备全面考虑与实施安全防护的模型与能力。

图3：华为公司i3 安全 三维度端到端集成安全体系架构

（1）华为公司i3安全三维度端到端集成安全体系架构

i－intelligence(智能)，integrated(集成)，indiviality(个性化)；
3－时间、空间及网络层次三个维度的端到端( End to End)；
安全－所有IP信息网络的安全架构。

（2）网络层次(网络层、用户层、业务层)端到端安全理念

网络的各层次均存在安全威胁的可能，华为的集成安全架构充分体现了网络安全防范的分层思想，根据不同网络层次的特点进行有针对性的防范。

网络层：保障网络路由、网络设备等基础网络的安全；
用户接入层：确保合法的用户接入，访问合法的网络范围，并保障用户信息的隔离等用户接入网络的安全；
业务层：保证用户访问内容的合法性与安全性。
华为公司的i3安全集成安全架构针对传统网络在用户层防范比较薄弱的缺陷，采取了大量的增强措施，如用户接入认证、地址防盗用、访问控制等能力。

（3）时间(事前、事后)端到端安全理念

以前政府行业更关注网络的事前防范能力，往往在网络的用户认证、入侵检测、防DOS攻击、防火墙等方面投入力量较多，对事后跟踪能力实施的有效措施不多。而在安全事件发生前后，要求网络所能提供的支持也是不同的，其花费的代价与技术实现难度有非常大的差别：

事前防范：主要通过数据隔离、加密、过滤、管理等技术，加强整个网络的健壮性；
事后跟踪：华为公司的“i3安全”架构提供在网络级做日志记录的能力，通过对用户上网端口、时间、访问地的记录，全面提供用户上网的追溯能力，从而为后期的分析提供第一手的资料。
（4）空间(外网、内网)端到端安全理念

外网：通过VPN、加密等保证信息安全，通过网络防火墙、病毒防火墙等防范网络攻击，侧重的是防范；
内网：通过对用户的识别，保证合法的用户访问合法的网络范围，并做好访问记录，侧重的是监控。
目前政府内网即涉秘网、政府外网即办公专网，两张网按照17号文件要求严格的物理隔离分别进行建设，保证政府网络的安全。

华为公司三纬度集成安全架构提供端到端集成安全服务：

图4：华为公司i3安全三维度端到端集成安全体系架构

随着政府网络网上应用的进一步增多，随着网络进一步深入人们的生活，入侵与反入侵、盗用与反盗用的斗争也必将升级。而政府网络的安全防护作为一个系统工程，只有从网络管理、用户管理、业务管理及管理制度等多层次、多方位地多管齐下才能做到“天网恢恢，疏而不漏”。

完善的端到端的可靠性

网络可靠性主要是指当设备或网络出现故障时，网络提供服务的不间断性。可靠性一般通过设备本身的可靠性和组网设计的可靠性来实现。包括以下内容：

（1）设备可靠性

华为公司的全系列数据产品均采用电信级的可靠性设计。华为公司高端路由器和交换机产品采用分布式体系结构，不存在单点故障；采用无源背板，支持真正热插拔、热备份，同时设备的交换网络、路由处理系统等所有关键部件采用冗余热备份设计，能充分满足电子政务网络对设备高可靠性的要求。

（2）组网设计的可靠性

在控制投资的前提下，在电子政务网络的部分省地骨干节点，可采取VRRP双机备份方式或采取RPR方式进行环网自愈保护，接入骨干传输网的链路可采取双归链路设计或采取RPR方式进行环网自愈保护，从组网角度避免单点故障。

另外，可采用备份中心技术，为路由器上的任意接口提供备份接口；路由器上的任一接口可以作为其它接口(或逻辑链路)的备份接口；可对接口上的某条逻辑链路提供备份。

通过灵活的备份机制及完善的技术，可以充分利用备份资源，确保网络互联互通的可靠性。

简单高效的维护和管理

政府网络信息点数量众多，而且较为稠密，所以网络设备数量众多，特别是接入最终用户的楼层交换机。华为公司的网络管理系统在支持全网设备统一管理、实现拓扑管理、图形化操作界面、实时声光报警、中文操作系统的同时，利用华为组管理协议HGMP可以实现对数量庞大的楼层交换机的动态发现、动态拓扑生成、自动配置的功能，降低网络管理人员的工作量，提高效率。

丰富的业务承载能力

政府信息化的一个重要特点是以业务牵引网络需求，应用不断更新，对网络设备的需求不断提高，在这样的一个动态网络中，网络设备本身的业务承载能力就显得非常重要。因此，华为公司提出了第5代基于网络处理器技术，可以保证在后续新增业务对网络平台有特殊要求时，实现快速定制、快速支持，保证对网络设备投资的连续性。

利用MPLS VPN表现出强大的扩展性和前所未见的高性能，电子政务网可任由业务的增长和变化，网络可以平滑地扩充和升级，可最大程度的减少对网络架构和设备的调整。作为少数能提供整网MPLS技术的厂家，华为公司致力于为政府提供基于先进的MPLS VPN技术的数据、语音和视讯的三网合一技术。

G. 如何提高政府电子政务网的安全性

提高政府电子政务网的安全性的方法：
1.加强政府网站安全工作组织领导，提高责任意识

从哈尔滨市每年开展的政府网站绩效考核工作可以看出，有相当数量部门领导没有把政府网站建设和安全管理工作作为一项重要工作来抓，存在重建设轻管理的问题。借鉴全国其他省（市）的先进经验，一是建议市政府将政府网站纳入地方政府和部门绩效考核体系，作为领导班子综合考核评价的内容之一，作为领导干部选拔任用的依据。二是要按照谁主管谁负责、谁运行谁负责的原则，强化管理和明确责任，确保政府网站安全管理工作落实到人，一层抓一层，做到网站管理不缺位，信息安全有保障。
2.建立健全政府网站安全管理制度，认真贯彻执行。
一是建立政府网站的安全管理制度体系，指导和制约网站安全建设和管理工作。网站出现相关问题时，工作人员要快速向网站相关负责人反映，以便及时得到处理；二是建立网站日常巡检制度，指定人员每日检查网站运行情况，及时发现并妥善解决存在的问题；三是建立具体负责人制度，对网站的网络管理、数据库服务维护、信息处理等实行谁主管谁负责；四是建立节假日值班制度，做到信息及时更新，保证网站不间断运行；建立日志记录备案制度，对网站日常工作要如实记录，并作为技术管理档案保存。
3.加强人才队伍的培养，统筹建立哈尔滨市应急处理体系
一是加强政府网站安全管理培训。通过参加信息安全、信息技术、信息管理等方面的培训，进一步提高网站工作人员整体建设网站、管理网站的能力。二是强化技术支撑保障工作。成立哈尔滨市信息安全测评中心，为哈尔滨市党政机关、企事业单位网站提供技术保障和技术支撑服务。三是建立政府网站专项应急预案，以保证政府网站在事故发生时得到快速、及时处理。四是建立信息安全检查监督机制。依据已确立的技术法规、标准与制度,定期开展信息安全检查工作,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改。
4.统筹规划政府网站群建设，实施集约化管理。
积极推进云模式下政府网站群的集约化建设。一是按照哈尔滨市电子政务建设的总体要求，进行统筹规划，统一网站运行载体，避免分散、重复建设，即：利用哈尔滨市信息中心平台的基础环境作为哈尔滨市政府网站运行载体；由哈尔滨市信息中心平台的技术队伍，承担哈尔滨市政府网站的建设及日常运行的技术维护工作；对于缺乏建设、维护网站能力的单位或部门，不再建设独立网站，由哈尔滨市信息中心平台代为承载其应向社会公众提供的政府信息公开等政务公共服务功能。二是确立统一标准，完善政府信息公开和政务信息资源共享机制，规划“中国哈尔滨”门户网站群及内容管理系统建设，进一步整合各部门政府网站，按照统一规划、分步实施的原则，建立统一的站群管理平台，将哈尔滨市各政府机构网站整合到站群平台上运行，形成以市政府门户网站为核心，以政府机构网站为群体的，资源共享、协调联动的网站群体系，全面提高政府网站公共服务水平。三是加强网站群建设管理，强化安全保障，建立应急响应机制，依托由哈尔滨市信息中心平台现有技术、人才优势，为哈尔滨市政府网站建设单位提供安全技术支持、信息技术培训、网络安全风险评估等服务。
5.加大安全技术体系建设
技术防护是确保网站信息安全的有力措施，在技术防护上，主要做好以下几方面工作。
一是要加强网络环境安全。首先要安装网站防火墙（WAF）、网站防篡改系统、网络防火墙和入侵检测系统等，在传统的网络防火墙基础上，网站防火墙（WAF）从网络的应用层面提高网站安全防护能力，利用入侵检测系统识别黑客非法入侵、恶意攻击以及异常数据流量, 通过对网站防火墙（WAF）和网络防火墙进一步优化配置来阻断黑客非法入侵、恶意攻击。网站防篡改系统是网站最后一道防护屏障，一旦防护失效时，网站首页或内容被篡改，防篡改系统可立即恢复网站被篡改的内容，不至于造成政治事件和影响，同时给网站管理人员短暂喘息时间，及时修改和完善网站安全配置文件，确保网站安全稳定运行。
二是加强网站平台安全管理。在现有中心平台的基础上，进一步优化完善网络结构、合理配置网络资源，配置下一代防火墙、病毒防护体系、网络安全检测扫描设备和网络安全集中审计系统等设备，从边界防护、访问控制、入侵检测、行为审计、防毒防护、安全保护等方面不断完善哈尔滨市信息化中心平台的安全体系建设，确保在哈尔滨市信息中心平台基础环境下，大数据平台、大工业体系信息化辅助决策平台和云模式下政府网站群平台安全稳定建设运行。
三是加强网站代码安全。一个安全的网站，不但要有良好的网络环境，更要有高质量的应用系统，现时期由于网站代码不严密、安全性差引起的网络安全事件屡见不鲜，这就要求网站技术开发人员在开发应用系统过程中，要养成良好的代码编写习惯，尽量不要使用来历不明的代码和插件，编写程序时要严格过滤敏感的字符，并且在系统开发完成后，要有相应的代码检测机制和手段，及时更新漏洞补丁，从源头上遏制网站挂马、SQL注入和跨站点脚本攻击等行为。要部署网页防篡改系统，网页防篡改系统具备实时阻断非法修改和对非法修改的文件进行恢复的能力，在其他防护措施失效的情况下，能够有效地解决网页被篡改的问题，实现针对网站信息的保护。
四是加强数据安全。要加强数据库的安全，采用正版数据库系统，通过网络安全域划分,数据库被隐藏在安全区域,同时通过安全加固服务对数据库进行安全配置,并对数据库的访问权限做最为严格的设定,最大限定保证数据库安全；部署数据灾备系统，对网站和关键应用系统数据进行定期备份，利用市政府大楼机房环境，将这些数据进行异地备份，确保关键数据安全，防止造成无法挽回的损失。
随着信息技术的飞跃发展，黑客、木马等攻击和入侵手段也随之变化多样且层出不穷，给政府网站的安全管理带来极大的威胁，各级政府、各部门要切实增强政府网站安全责任意识，加强对政府网站安全工作的领导，进一步强化监督管理，明确责任分工，加强安全防范措施，以安全为己任，为哈尔滨市政府网站和重要信息系统安全稳定运行创造一个良好的环境。

H. 中国政府哪个部门负责管理网络安全的

不清楚你指什么程度的安全
工信部——工业和信息化部，网站备案之类的一系列问题都管
公安局也有网警
国安局负责国家安全，如有涉及，肯定管

I. 电子政务的网络安全管理体现在哪些方面

针对智慧政务平台的安全隐患金鹏信息智慧政务专家小组提出建议，一方面要看到移动互联网时代给我们政府提供了更好更快捷的公众服务手段，另一方面也要清醒地意识到快捷服务必须是基于政府自身的服务平台而不是第三方企业或机构的社会公共服务平台。政府完全可以借鉴商业领域的服务模式，在中国智慧政务战略框架内建设政府自身的在线服务平台，构建一套以微博、微信为前台，以政务移动应用中心为运行的微政务应用体系。

一 、要将信息公开和政务应用相剥离

可以将微博、微信等平台作为基于互联网的宣传和吸引公众流量的平台，而不能作为业务交互办理的平台。通过此类平台将用户吸引回流到政府自身的移动App上。政府要建立自己的移动应用中心，根据业务需求提供便捷的移动互联网服务App，确保政务数据能集中收集在政府内部的数据中心。从三个层次上确保政务服务：

1、政府自身建设移动应用中心和App，保障政府服务提供的可持续性;

2、保障政务数据的安全性;

3、保障政务数据的完整性。

政府各个业务数据完整地收集汇总，可以较好地实现跨部门的数据开放和业务协同，也为进一步的大数据分析支撑决策提供良好基础。

二、要把业务应用和数据标准相剥离

政府可借鉴成功的商业模式，如在前端的交互设计和应用规范上参考商业标准。但在网络和数据安全上一定要坚持已有的安全体系。

三、应制定合理的标准规范，完善信息化建设体制

中国智慧政务建设的实际情况是“一把手”工程，信息化建设的决策权在各级单位的“信息化领导小组”，而具体的建设和安全保障落在了信息中心或智慧政务处等技术部门。“一把手”精通业务，但对于信息技术尤其是网络安全等方面不一定很熟悉，很容易被误导进入“重业务轻安全”的误区。事实上在基层单位的微博、微信热潮中，就出现过领导“强压”的局面。对此，有必要明确信息中心在政府信息化建设中安全保障的“领导”地位，确保相关标准规范的切实应用。

党的十八届四中全会公报明确提出了“全面推进政务公开”的指导意见，这为“政务信息和应用开放”提供了更大的动力，更大规模、更大范围的政务数据面临着“社会化”的考验。政府应该保持清醒的头脑，让市场与政府各自归位，避免政府“媒体化”和“被动开放”。

金鹏信息智慧政务软件

J. 北京市公共服务网络与信息系统安全管理规定

第一条为加强本市公共服务网络与信息系统（以下简称网络与信息系统）的安全管理，根据国家有关规定，结合本市实际情况，制定本规定。第二条本市网络与信息系统的建设和运行维护单位（以下简称运营单位）应当做好网络与信息系统安全工作，保障网络与信息系统安全可靠运营。
本规定所称公共服务网络与信息系统，是指由本市行政机关和企事业单位为社会提供的政务、交通、医疗卫生、供水、供电、供气、供热、通信、广播电视以及其他公共服务的网络与信息系统。第三条市和区、县信息化主管部门对本行政区域内的网络与信息系统安全工作负责综合协调和监督管理。
公安、国家安全和质量技术监督等政府有关部门，按照各自职责分工，依法对网络与信息系统安全相关工作实施监督管理。第四条运营单位应当加强对本单位网络与信息系统的安全管理，做好下列工作：
（一）明确网络与信息系统安全工作的主管负责人和主管机构，并配备具有相应能力的工作人员；
（二）建立健全网络与信息系统安全管理责任制，制定管理制度和操作规程，并定期检查落实情况；
（三）保障网络与信息系统安全的资金投入；
（四）定期进行网络与信息系统安全教育和培训。第五条市信息化主管部门应当会同政府有关部门统一规划和组织建设本市网络与信息系统的安全测评、电子认证、灾难备份和应急处理等安全基础设施。第六条本市对网络与信息系统实行安全等级保护。
网络与信息系统安全等级分为五级：
（一）第一级为自主保护级，由运营单位进行自主保护；
（二）第二级为指导保护级，由运营单位在有关主管部门的指导下进行保护；
（三）第三级为监督保护级，由运营单位在备案监督部门的监督下进行保护；
（四）第四级为强制保护级，由运营单位在备案监督部门的强制下进行保护；
（五）第五级为专控保护级，由运营单位在备案监督部门的专控下进行保护。第七条运营单位应当按照安全等级保护制度的管理规范和技术标准确定本单位网络与信息系统的安全等级，并根据安全等级保护制度的要求进行建设。
网络与信息系统安全等级确定为第三级、第四级、第五级的，运营单位应当将安全等级确定情况报送备案。其中，涉及电子政务的网络与信息系统运营单位，应当报市信息化主管部门备案；其他的运营单位应当报市公安部门备案。
市信息化主管部门、市公安部门应当在30日内对备案单位的网络与信息系统安全等级确定情况进行评估，并提出审查意见。第八条运营单位选用网络与信息系统相关安全产品或者选择安全测评、电子认证等服务时，应当符合国家和本市有关网络与信息系统安全管理的技术规范。
使用财政资金投资建设的网络与信息系统选用安全产品和服务时，应当依法实行政府采购。第九条运营单位应当依据网络与信息系统安全管理要求，对信息系统和信息数据进行备份。第十条运营单位应当制定网络与信息系统安全事件应急预案，并定期进行演练。
市和区、县人民政府有关行政主管部门应当组织制定相关行业的网络与信息系统安全事件应急预案，组织、协调有关单位做好应急预案的落实工作。第十一条发生网络与信息系统安全事件后，运营单位应当迅速采取措施降低损害程度，防止事件扩大，保存相关记录，并按规定要求及时向同级信息化主管部门报告。第十二条本市组建信息安全应急救援服务体系，为发生信息安全事件的单位提供救援服务。信息安全应急救援服务组织应当公布救援电话，在接到救援请求时，及时提供救援服务。第十三条运营单位违反本规定，有下列情形之一的，由市或者区、县信息化主管部门责令限期改正，给予警告，视情节轻重处3万元以下罚款：
（一）违反本规定第四条规定，未按要求建立并落实安全管理制度的；
（二）违反本规定第九条规定，未按要求对信息系统和信息数据进行备份的；
（三）违反本规定第十条第一款规定，未按要求制定网络与信息系统安全事件应急预案的；
（四）违反本规定第十一条规定，对网络与信息系统安全事件情况隐瞒不报、谎报或者拖延不报的。
行政机关违反前款规定的，市或者区、县信息化主管部门可以对责任单位给予通报批评；造成重大损失的，由上级主管部门或者监察机关依法追究责任单位主要负责人和有关责任人员的行政责任。