电子政务信息安全标准包括的主要内容

5.3.5　电子政务信息安全标准

信息安全标准包括信息安全总体标准、密码算法标准、密钥管理标准、防信息泄漏标准、信息安全产品标准、系统与网络安全标准、信息安全评估标准和信息安全管理标准。

1. 密码算法标准

密码技术是保护信息安全的主要手段之一，交互双方可根据需要在信息交换阶段使用。密码技术是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科，不仅具有保证信息机密性的信息加密功能，而且具有数字签名、身份验证、秘密分存、系统安全等功能。

密码算法实际上是一些公式和法则，它规定了明文和密文之间的变换方法。常用的算法有对称算法和非对称算法。对称算法是指加密和解密的过程使用同一个密钥。它的特点是运算速度非常快，适合用于对数据量较大的数据进行加、解密。目前最常见的对称算法产品是DES。非对称算法是指在加密和解密过程中使用了两个不同的密钥，一个叫公钥，另一个叫私钥。公钥可以公开，任人使用；私钥则由自己专用。若别人用公钥加密信息，自己则可以用私钥解密，反之亦然。RSA算法是最常见的非对称算法产品。非对称算法的运算速度比对称算法要慢得多，但它从根本上解决了在公共网络上安全地传递密钥和管理密钥的问题，弥补了对称算法在这两个问题上的缺陷。在实际应用中常常将两种算法结合起来，形成一系列的认证技术。

2. 密钥管理标准

密码系统的两个基本要素是加密算法和密钥管理。由于密码系统的反复使用，仅靠加密算法已难以保证信息的安全了。事实上，加密信息的安全可靠依赖于密钥系统，密钥是控制加密算法和解密算法的关键要素，它的产生、传输、存储等工作是十分重要的。

目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会（JTC1）已经制定了关于密钥管理的国际标准规范ISO/IECll770系列。该规范主要由三部分组成：第一部分是密钥管理框架；第二部分是采用对称技术的机制；第三部分是采用非对称技术的机制。

在因特网上涌现出的许多安全技术和规范有：公开密钥基础设施（PKI）、特权管理基础设施（PMI）等。

公开密钥基础设施（PKI，Public Key Infrastructure），是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI的基础是X.509标准。X.509是采用公钥基础结构设施的认证协议，对通信双方按所用密码体制规定了几种认证识别方法。它发表于1988年，经多次修改，1993年又公布了新的版本。X.509对具体加密、数字签名、公用密钥以及Hash算法未作限制，有广泛的应用。国际标准组织CCITF建议以X.509作为X.500目录检索的一个组成部分，提供安全目录检索服务。X.500是CCITT建议的、用于分布网络中存储用户信息的数据库的目录检索服务的协议标准。

特权管理基础设施（PMI，Privilege Management Infrastructure）解决了每个独立的PKI系统之间存在的信任关系问题，对信任进行一定程度的管理。

电子政务的密钥管理标准可参考目前已经为大家共同遵循的国际标准，还要考虑到PKI，PMI，KMI等相关标准。

电子政务和其他网上交互活动，如电子商务等一样，都可能要求参与方提供法定的身份证明。数字签名作为认证技术之一，是最基本的信息可靠性保障手段，因此制定专门的数字签名规范也是完全必要的。

3. 防信息泄漏标准

计算机网络给人们提供的各种服务，最终体现在网络中所存储的数据上。这些数据一方面为使用者提供各种信息，一方面也支撑着整个网络和系统的正常运转。从安全的角度来说，存在专门针对网络和系统中的数据进行的窃取、篡改、假冒、抵赖等破坏行为，对网络和用户自身都带来巨大威胁。

目前国际上已经制定了一些标准，如电磁兼容方面的防信息泄漏标准等。我国及有关安全部门还制定了一系列可操作性很强的防信息泄漏标准或规定，如计算机场地安全要求、计算机信息系统设备电磁泄漏发射限值、电话机电磁泄漏发射限值、信息设备电磁泄漏发射限值、密码设备电磁泄漏发射限值等等。这些都是电子政务建设过程中应该遵循的。

4. 信息安全产品标准

要保证电子政务的信息安全，必然涉及很多信息安全产品和服务，如防火墙、安全操作系统、相应的信息安全软件等。信息安全产品和信息系统固有的敏感性和特殊性，直接影响着国家的安全利益和经济利益。如果在信息安全产品和技术方面没有统一的标准的话，那么将无从度量和测评各种信息安全产品和技术。由于我国信息基础设施中的大部分设备依赖进口，信息安全产业刚刚起步，对各种安全产品的测试和对信息系统的安全评估尚是空白，致使国外信息安全产品未经检验就进入我国。例如，我国目前大面积使用国外的CPU和操作系统，类似Intel芯片奔腾III的序列号问题、微软公司视窗系统的“NSA密钥”就可能直接威胁我国经济安全和信息安全，严重制约我国信息安全产业的发展，这是与我国政治经济发展极不相称的。

在建设电子政务系统、选择安全产品时产品的安全性必须放在首位。安全产品的提供商必须具有持续的研发能力，同时可靠性也是选择安全产品时应考虑的重要因素，如安全产品不应该成为系统的故障隐患等。此外，安全产品还要容易维护，电子政务系统是由若干巨大而复杂的网络构成的，广泛的地域分布性要求网络安全系统必须能够适应大规模部署的特点，要求其使用的逻辑要简单。

因此，信息安全产品应该包括电子政务中所选用的信息安全产品的技术要求标准，如：网络代理服务器的安全技术要求、路由器安全技术要求、防火墙安全技术要求、计算机病毒防治产品评级准则等标准。

5. 信息安全评估标准

当前，各国政府纷纷采取颁布标准、实行测评和认证制度等方式，对信息技术和安全产品的研制、生产、销售、使用和进出口实行严格、有效的管理与控制。对信息安全产品的测评要比其他产品更为严格；各国政府对信息安全认证十分重视，建立了与自身的信息化发展相适应的测评认证体系。

电子政务信息系统安全的评估也应该依据有关标准进行，如有关国家标准、行业标准和认证管理委员会确认的国际标准和其他补充技术要求、技术规范等。并建立该领域中特有的评估标准，如电子政务安全级别管理规范等。

国际标准化组织推出的国际通用准则，是目前最全面的评价准则。有六个国家的七个标准组织参加。自1993年开始，1996年推出1.0版，1998年推出2.0版，到1999年正式成为国际标准ISO15408。国际通用准则充分突出用户的需求及满足需求的技术实现方法与途径，即所谓 “保护轮廓”，将评估过程分为“功能”和“保证”两部分。即规范了信息技术的安全机制所要达到的功能和目的以及确保安全功能有效并正确实现的措施与手段。国际通用准则的评估等级共分七级，每一级均需评估七个功能类。根据此国际标准，目前我国已制定了相应的国家标准。

6. 信息安全管理标准

据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达100多亿美元，还有日益增加的趋势。引起信息安全问题的因素一是技术因素，即网络系统本身存在的安全脆弱性。另外一个是管理因素，即组织内部没有建立相应的信息安全管理制度。据有关部门统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。简单归类，属于管理方面的原因比重高达70%以上，这正应了人们常说的“三分技术，七分管理”的箴言。因此，解决网络与信息安全问题，不仅应从技术方面着手，更应加强网络信息安全的管理工作。

为了系统、全面、高效地解决网络与信息安全问题，英国标准协会（BSI）于1995年制定了《信息安全管理体系标准》，并于1999年进行了修订改版，2000年12月，经包括中国在内的国际标准组织成员国投票表决，目前该标准的第一部分已正式转化成国际标准，也就是ISO/IECl7799，信息安全管理实施准则。