系统层安全风险分析

　　系统级的安全风险分析主要针对电子政务专用网络采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。电子政务专用网络通常采用的操作系统本身在安全方面考虑较少，服务器、数据库的安全级别较低，存在一些安全隐患。同时病毒也是系统安全的主要威胁，所有这些都造成了系统安全的脆弱性。

　　应用层安全风险分析

　　电子政务专用网络应用系统中主要存在以下安全风险：对政务系统的非法访问；用户提交的业务信息被监听或修改；用户对成功提交的业务进行事后抵赖；服务系统伪装，骗取用户口令。 由于电子政务专用网络对外提供WWW服务、E-MAIL服务、DNS服务等，因此存在外网非法用户对服务器攻击。

　　Ø身份认证漏洞

　　服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的，且在数据库中有存储记录，可重复使用。这样非法用户通过网络窃听，非法数据库访问，穷举攻击，重放攻击等手段很容易得到这种静态口令，然后，利用口令，可对资源非法访问和越权操作。

　　Øwww服务漏洞

　　Web Server是政府对外宣传、开展业务的重要基地，也是国家政府上网工程的重要组成部分。由于其重要性，理所当然的成为Hacker攻击的首选目标之一。Web Server经常成为Internet用户访问政府内部资源的通道之一，如Web server通过中间件访问主机系统，通过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其??漏洞越来越多。

　　Ø电子邮件系统漏洞

　　电子邮件为网系统用户提供电子邮件应用。内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些恶意程序（如，特洛伊木马、蠕虫等）、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因至素。

　　管理层安全风险分析

　　再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络，更是如此。因此我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。 当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。

　　电子政务安全保障体系

　　电子政务的安全目标是：保护政务信息资源价值不受侵犯，保证信息资产的拥有者面临最小的风险和获取最大的安全利益，使政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力。

　　鉴于电子政务的信息安全面临的是一场高技术的对抗，涉及法律、规章、标准、技术、产品服务和基础设施诸多领域。根据近年的工作实践，结合目前电子政务网络结构特点，建议采用如下电子政务网络安全解决方案：