信息化是提高政府工作效率、改善政府決策過程、提升政府管理案，從各方面推進信息化化的建設。目前，以北京、上海和各省省會信息化和電子政務的核心內容是通過現代網絡通信設施和應用系信息化和自動化政務辦公系統的建立，必然將使許多政府機密的某市機要局在充分調研某市現有信息網絡現狀的情況下，基于國實現某市政務電子化，推進某市政府信息化的建設。為此，某市政府某市政府的電子政務應用系統建設可以歸結為“一個中心三個體辦公自動化系統是某市電子政務應用系統的核心所在，通過辦公統一用戶認證系統建立在PKI技術的基礎之上。為了計算機系統資源、用戶行為、網絡資源、外設資源和移動存儲設備的戶認證系統一樣，按照統一的規范建立，各部門分級管理。網絡信息信息安全保密系統建立在用戶身份認證系統之上，而且要求和網密手段，防止機要信息被有意和無意泄漏出去，事關國家安全，所以必須采取有效和嚴格的保密控制技術。同時，出于國家安全考慮，信在信息化建設的過程中以及信息化之后的應用中，在信息網絡中據的完整性、保密性和可信性，是信息化中面臨的重大挑戰。進一步說，只有將這些問題解決了，才能真正推動信息化的發展。信息安全信息化過程中存在的最大障礙，在于兩個方面：一是網絡用戶身得的信息本身的可信性和合法性的確認將是進行信息交互尤其是有某市政府的網絡是一個大型的網絡，上面連接著數以千計的計算管理、用戶行為的管理、網絡資源管理、外設資源管理和審計等內容制，從而能夠實現對整個大型信息網絡的有效管理，提高管理效率，機要信息的保密是國家安全的重要組成部分，也是政府部門非常絡信息的保密性已經成為一個迫切需要解決的問題。據美國FBI和施，更缺乏有效的管理工具和系統。而信息保密是一個整體的工程，敗。所以，某市政府政務網絡急需建立統一的信息安全保密體系，?；赑KI技術的認證系統要采用安全的證書和私鑰存儲方式，使用戶名和密碼方式的身份認證應該作為可選的認證方式同時存在。對于計算機使用授權的用戶身份認證系統，應該支持可以靈活定認證系統應該還可以結合用戶的身份，提供經過認證的安全加密身份認證系統要求是基于統一的認證中心的發放用戶令牌，并且身份認證系統可以是各個部門單位自己維護和認證，而不需要統一到相同的一臺服務器認證；但是，在必要的情況下，也可以進行集沒用經過認證授權的用戶，不能授予其使用該計算機設備的權限認證系統必須是可以和其它管理體系無縫結合的，比如網絡信息建立某市政府整個網絡統一的網絡信息安全管理標準規范，使得實現網絡信息安全管理系統根據計算機網絡狀態提供聯網和離網策略還必須跟認證系統緊密結合，相同用戶在同一個計算機也可可以設定禁止用戶使用的應用程序或者服務的名單；可以禁止用可以對用戶進行實時的屏幕監控和鍵盤信息的獲取，也可以實時可以對用戶當前打開的窗口和程序進行實時管理，比如遠程關閉實現遠程對桌面計算機服務的管理，啟動、停止或者設置服務啟實現對計算機網絡資源的控制，并且區分計算機處于管理系統的聯網狀態和離網狀態。下面描述的所有需求都應該支持聯網/離網策實現基于目標郵件地址的控制策略，提供黑白名單兩種方式的支計算機對計算機常用外設資源的實時控制，并且區分計算機處于跟隨移動辦公的需要，便攜式筆記本電腦的使用越來越普遍，而實現對筆記本脫離辦公網絡后的持續管理，啟用離網策略，根據管理制度需要實現對筆記本的數據輸出途徑和用戶行為的延續性管實現對筆記本脫離辦公網絡后的持續審計，在筆記本再次接入辦實現對筆記本丟失后的數據保護管理，使得未授權人員難以從丟在政府的機要機構，通常并存兩套網絡，一個為外網，可以接入嚴禁接入到外網中去的。但是，很多時候，內部職員可能由于無意識動泄漏出去，或者受到來自外部網絡的攻擊。所以，網絡信息安全管實現內網計算機只能在內網使用，外網計算機只能在外網使用，。實現主動提示使用者計算機網絡使用不當，及時糾正錯誤的行為。數據信息保密是政府網絡中最關鍵的問題，而在目前計算機應用實現的信息安全保密系統是一個全面綜合的系統，需要從數據信息格式、數據存儲位置、數據傳輸途徑、設備的安全管理、用戶身份實現的信息安全保密系統必須與某市政府統一身份認證體系、網實現既可以對各部門需要保密的統一文件進行保護，也可以提供實現的所有功能要求是透明化的，即在不違反規則的條件下，對可以將政府內部的信息網絡根據保密級別或者工作性質等需要劃不同保密子網之間的計算機要進行數據交換，必須通過主管領導實現對所有存儲設備信息交換的保密性。移動存儲設備，包括目實現對存儲設備的認證，沒有經過認證的設備不能在政府網絡系實現對存儲設備采用不同的控制策略，包括只讀策略、安全讀寫實現安全讀寫操作的透明化，實現通過存儲設備的數據安全共享。不同安全子域（虛擬保密子網）之間可以安全交換機密信息，但實現上述所有功能都是以策略的方式來實現，即對用戶來說是可實現網絡傳輸的加密，所有計算機相互之間傳遞的信息是加密的,可以防止非授權計算機或者不在同一個保密子網的計算機的竊聽。計算機用戶個人可能有自己的私人信息需要存放在計算機中，實用戶可以根據需要創建一個或者多個保密磁盤，進入該安全保密安全保密磁盤認證打開后，對該磁盤的讀寫操作都是進行了加密和解密處理的，并且是透明化的，對于用戶來說是不可見的，不影響移動存儲設備和筆記本電腦因為其便攜性，也使得其更容易丟失實現經過認證的存儲設備丟失后，或者筆記本電腦丟失后，沒有授權的用戶不能登陸系統或者以其他方式從設備中獲取有用的數據實現對所有機要信息的文件存儲格式都是經過特殊加密和轉換的,離開政府特定區域的信息安全保密系統就無法獲取其中的信息。實現對所有涉及信息安全保密的行為的審計。包括對網絡違規活動的審計、文件違規讀寫操作的審計、外設使用違規活動的審計。實3.1某市電子政務應用及其安全保障系統建設總體架構在市機要局，將建立電子政務應用中心和安全保障管理中心，建市政府將根據各個部門的職能，按照部門為原則劃分成不同的虛在下屬各區縣機要局，同樣設立電子政務應用中心和安全保障管各個區縣的安全保障系統是相互獨立的系統，但是按照某市指定),結合用戶身份認證系統進行安全管理。在區縣和市之間的鏈路上，采用密碼設備進行鏈路加密，確保信用層。早期的產品主要集中在下層，包括傳輸層和網絡層。但是，隨可見，這些產品主要是部署在網關或者外網中，而不涉及到內網，因型產品的實現手段是多樣化的，在鏈路層、傳輸層、網絡層和應用層綜合網絡邊界產品和網絡傳輸安全產品，可以總結外網安全產品數據安全產品這里指的主要是數據保密安全產品，其目標主要是確保計算機內部網絡中的機密信息不會被有意識或者無意識從各種所以，要真正確保數據保密的安全，其需要考慮的范圍和因素是全性、外部設備尤其存儲設備的安全性、網絡數據傳輸控制、用戶身數據安全產品不管是基于網絡的集中式控制還是基于單獨主機的控制代理軟件。這樣的模式必然會對主機的運行造成影響，所以，數;控制，對提供了外設、網絡以及用戶等相關的管理控制，提供外網安全和內網安全并不矛盾，從理論上說，內網安全理論包括技術上，外網安全將給內網安全提供很好的積累和借鑒，并且在在實際的安全產品中，內網安全產品開發過程中會考慮跟現有的所謂威脅模型，是指網絡安全理論構建的假設前提。威脅模型需外網安全的威脅模型是假設外部網絡的所有數據和連接動作都是在可能的安全威脅，包括內網的所有用戶、主機、行為和數據?？梢运^控制粒度，是指控制對象的細致程度，比如將一個網絡當成個控制對象，那么其粒度就是文件，相比網絡當然細致的多?？刂屏６仍郊殻到y的行為和狀態就更加清晰和可控，其不確定性就越小，外網安全由于關注的是網絡邊界和數據在外網傳輸的安全性，所,對內網的用戶、計算機、行為和數據等威脅起源都進行考慮和關注,所以其控制粒度能夠突破網絡大系統，做到更加細致。例如，內網目的地的安全性?？傊?，與外網安全比較，內網安全能夠做到文件級安全防范有效性是指安裝部署網絡安全系統之后，是否能夠有效外網安全由于其僅關注來自外網的安全事件，并且對內網缺乏細,或者保護經過外網傳輸的數據的安全性。但是，根據美國FBI/CSI的損失也是占絕大部分的比重。所以，僅僅依靠外網安全系統，安全數據安全包括完整性、可信性和保密性。而數據保密性則指防止外網安全僅對網絡傳輸中的數據信息提供保護，使用密碼算法確保數據的完整性、可信性和保密性。但是，目前數據傳輸的信息多種端口，外網安全產品缺乏對這些多變途徑的數據保密能力。此外，對理，達不到數據信息保密的要求。外網安全的這種缺點，是由于其理系統安全將安全研究的對象作為一個整體來看待，而不關心其內系統安全關注的重點是系統運行的穩定性和可靠性，其基本出發安全的。系統安全是網絡早期發展的產物，在信息網絡發展早期，由基于系統安開發的產品已經比較豐富，如防火墻，其保護的就是。系統安全由于將保護對象當成一個整體進行研究和保護，考慮的但在簡化模型的同時，也會帶來一些不足。系統安全在對系統內數據安全的提出是隨著信息化程度的增高出現的，因為信息化程,這就使得對數據本身的安全越來越重視。數據安全包括數據的完整性、可信性和保密性。數據的完整性含數據的可信性即數據的不可抵賴性，數據的接受者要求能夠證明數據安全的保密性是確保信息數據在其生成、存儲、傳輸和使用數據安全關心的數據本身的安全，其通過構造每個具體數據對象另一方面，數據安全的實現也是一個綜合的工程，要求對數據格式本身、數據存儲、數據傳輸和數據使用各個方面都進行研究，最終事實上，系統安全和數據安全是在信息化過程中不同的階段提出在信息化的早期階段，信息基礎系統和網絡系統的建立是最主要隨著信息化程度的提高，信息系統和網絡系統的建設日趨成熟，系統安全的安全目標是確保網絡系統、主機系統或者其他應用系數據安全的安全目標是確保受保護數據對象的完整性、保密性和系統安全因為安全目標是整個系統，將系統作為一個研究的整體數據安全從具體的數據對象（數據文件、存儲區域等）出發，能安全審計是網絡安全重要的組成部分，通過盡可能全面記錄發生安全審計即可以作為通常的網絡安全系統的一部分，也可以根據安全防范從更加深入的層面來達到安全目標，跟安全審計不一樣,安全防范要求根據對安全威脅模型的分析和安全管理策略的制定，安全防范包括傳統網絡途徑的安全防范，也包括主機上的各種安全防范規則，如網絡使用規則、外設使用規則、文件讀寫規則和存儲。安全防范和安全審計是安全的兩個不同角度，在實際的產品中，安全審計的目標是在安全事件發生的時候記錄安全事件發生的時間、地點、對象和內容等要素，從而可以在事發后追蹤安全事情的發安全防范的目標則是預先制定安全規則，禁止可能威脅安全的事安全審計由于不能組織安全威脅事件的發生，僅僅對其進行記錄,雖然提供可追查的審計信息，但是畢竟安全破壞事件已經發生，所安全防范通過分析安全威脅模型，制定出符合管理制度的安全策略，有效防止了安全事件的發生，達到了安全防范的最高目標，其安安全審計技術的實現因為只要記錄安全事件發生的要素，不需要安全防范技術的實現需要分析安全威脅模型，建立安全規則，通3.8信息安全保障技術體系選擇某市信息網絡目前基礎比較薄弱，作為某市網絡信息安全保障體非常復雜，同時，該網絡也是某市政府的政務辦公網絡，有著公共網絡，成為某市的基礎通信設施之一。為此，基于目前的技術和現狀的分析，結合某市信息網絡的實際情況和需求，將選用以數據安全為核心，以安全防范為目標，基于網絡進行3.9某市電子政務應用及其安全保障系統的設計某市電子政務應用系統是本次建設的核心內容，該系統依托某市某市信息安全保障體系將以保障電子政務應用系統為目標，依托某市的信息安全保障系統包括統一的用戶認證系統、信息安全管市政府直屬單位計算機接受市機要局的信息安全保障中心的統一3.10某市電子政務應用及其安全保障系統的某市市直屬單位電子政務應用及其安全保障系統客戶端數量如下:職能部門職能部門用戶認證系統安全管理終端數據保密終端市府辦公室市委機要局某市XX縣直屬單位電子政務應用及其安全保障系統客戶端數量職能部門職能部門用戶認證系統安全管理終端數據保密終端縣府辦公室縣府辦公室縣委機要局某市YY縣直屬單位電子政務應用及其安全保障系統客戶端數量職能部門職能部門用戶認證系統安全管理終端數據保密終端縣府辦公室縣委機要局各區縣網絡跟市政府網絡需要鏈路加密設備一套，共計M套。某市電子政務應用及其信息安全保障系統建設共計需要以下設備/系統名稱高性能應用服務器2普通應用服務器2×區縣數量辦公自動化系統用戶身份認證系統信息安全管理系統信息安全保密系統鏈路加密設備和系統用戶認證令牌本項目所采用的所有設備僅消耗較低的電能，不存在高能耗設備,因此不涉及到節約能源問題