电子政务信息安全标准从总体上划分为四大类

8.4.3　信息安全标准

电子政务信息安全标准从总体上划分为四大类:基础标准、技术与机制标准、管理标准和应用标准。在每一大类的基础上，按照标准所涉及的主要内容可以再进行细分。

基础标准分为安全术语、安全体系与模型标准、保密标准和密码技术标准4类。基础标准主要对信息安全领域最基本的内容进行约定，是其他信息安全标准制定、使用的基础。

技术与机制类标准分为标识与鉴别、授权与访问、管理技术、物理安全4类标准。技术与机制类标准通过规定信息安全相关技术领域的基本技术机制，为不同安全产品和系统的互操作性、兼容性、一致性奠定基础。技术与机制类标准一般不涉及具体的实现细节，而集中于对通用的、基础性的安全机制进行规定。

管理标准主要是对信息安全涉及的管理方面的安全措施进行规定。

评估标准则是根据安全产业的需求，针对安全产品与系统的技术要求与测评准则制定的标准。评估标准分为基础评估标准、安全产品评估标准和系统安全评估标准。

1.国家保密标准

国家保密标准用于指导涉及国家秘密的信息系统中处理信息的安全保密所制定的保密防范和保密检查标准。所有涉及国家秘密的电子政务信息系统建设都必须按照国家保密标准的要求进行建设。

国家秘密信息对于国家安全和利益具有极端重要的意义，是国家信息安全保护的核心。涉密信息系统是处理国家秘密的信息系统，是关系到国家安全和利益的信息系统，是国家信息安全工作的重中之重。

国家保密标准分为技术标准和管理标准，技术标准主要包括电磁泄露发射防护和检测、涉密信息系统技术要求和测评、安全保密产品技术要求和测试方法、涉密信息消除和介质销毁、其他技术标准(包括保密会议移动通信干扰器技术要求和测试方法、保密会议电子系统安全技术要求和测试方法等)，管理标准主要包括电子文件管理、涉密信息系统管理、实验室要求等标准。现有的国家保密标准从技术和管理两方面涵盖了保密防范和保密检查工作所需，既包括了传统保密工作所需要的标准(如保密会议的安全要求、涉密信息消除和介质销毁、电子文件保密管理等)，也包括了信息化和高技术发展条件下保密工作所需要的标准(如涉密信息系统技术要求和测评、信息安全保密产品技术要求和测试方法、涉密信息系统管理、TEMPEST防护和检测等)。

2.密码技术标准

(1)对称密钥加密技术标准

对称密钥加密也叫秘密/专用密钥加密，即发送和接收数据的双方必须使用相同的密钥对明文(原始的未作处理的文件)进行加密和对密文(加密后获得的文件)进行解密运算。最著名的对称密钥加密标准是数据加密标准(DES，Data Encryption Standard)。DES是一种使用56个数据位的密钥来操作64位数据块的块加密算法，由IBM公司推出，可同时对大量数据进行快速加密。

(2)非对称密钥加密技术标准

非对称密钥加密也叫公开密钥加密(Public Key Encryption)，由美国斯坦福大学赫尔曼教授于1977年提出。它主要指每个人都有一对唯一对应的密钥:公开密钥和私有密钥。公钥对外公开，私钥由个人秘密保存在使用过程中，用公钥进行加密，用私钥进行解密。公开密钥加密技术解决了密钥的发布和管理问题，公开密钥体制的建设是开展电子政务的前提。

(3)报文摘要算法

报文摘要算法(Message Digest Algorithm)是指采用单向HASH函数对需要加密的明文提取摘要，产生具有固定长度的单向散列(HASH)值的一种算法。其中，散列函数是将一个不同长度的报文转换成一个数字串(即报文摘要)的公式，该函数不需要密钥，公式决定了报文摘要的长度。

(4)加密通信协议

安全套接层协议SSL是一种保护Web通信的工业标准，主要目的是提供因特网上的安全通信服务。SSL基于强公钥加密技术以及RSA的专用密钥序列密码，能够对信用卡和个人信息、电子商务和电子政务提供较强的加密保护。SSL在建立连接过程中采用公开密钥，在会话过程中使用私有密钥。在每个SSL会话(其中客户机和服务器都要被证实身份)中，要求服务器完成一次使用服务器专用密钥的操作和一次使用客户机公开密钥的操作。