系統層安全風險分析

　　系統級的安全風險分析主要針對電子政務專用網絡采用的操作系統、數據庫、及相關商用產品的安全漏洞和病毒威脅進行分析。電子政務專用網絡通常采用的操作系統本身在安全方面考慮較少，服務器、數據庫的安全級別較低，存在一些安全隱患。同時病毒也是系統安全的主要威脅，所有這些都造成了系統安全的脆弱性。

　　應用層安全風險分析

　　電子政務專用網絡應用系統中主要存在以下安全風險：對政務系統的非法訪問；用戶提交的業務信息被監聽或修改；用戶對成功提交的業務進行事后抵賴；服務系統偽裝，騙取用戶口令。 由于電子政務專用網絡對外提供WWW服務、E-MAIL服務、DNS服務等，因此存在外網非法用戶對服務器攻擊。

　　Ø身份認證漏洞

　　服務系統登錄和主機登錄使用的是靜態口令，口令在一定時間內是不變的，且在數據庫中有存儲記錄，可重復使用。這樣非法用戶通過網絡竊聽，非法數據庫訪問，窮舉攻擊，重放攻擊等手段很容易得到這種靜態口令，然后，利用口令，可對資源非法訪問和越權操作。

　　Øwww服務漏洞

　　Web Server是政府對外宣傳、開展業務的重要基地，也是國家政府上網工程的重要組成部分。由于其重要性，理所當然的成為Hacker攻擊的首選目標之一。Web Server經常成為Internet用戶訪問政府內部資源的通道之一，如Web server通過中間件訪問主機系統，通過數據庫連接部件訪問數據庫，利用CGI訪問本地文件系統或網絡系統中其??漏洞越來越多。

　　Ø電子郵件系統漏洞

　　電子郵件為網系統用戶提供電子郵件應用。內部網用戶可夠通過拔號或其它方式進行電子郵件發送和接收這就存在被黑客跟蹤或收到一些惡意程序（如，特洛伊木馬、蠕蟲等）、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機會，給系統帶來不安全因至素。

　　管理層安全風險分析

　　再安全的網絡設備離不開人的管理，再好的安全策略最終要靠人來實現，因此管理是整個網絡安全中最為重要的一環，尤其是對于一個比較龐大和復雜的網絡，更是如此。因此我們有必要認真的分析管理所帶來的安全風險，并采取相應的安全措施。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。責權不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應制度來約束。 當網絡出現攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。建立全新網絡安全機制，必須深刻理解網絡并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結合。

　　電子政務安全保障體系

　　電子政務的安全目標是：保護政務信息資源價值不受侵犯，保證信息資產的擁有者面臨最小的風險和獲取最大的安全利益，使政務的信息基礎設施、信息應用服務和信息內容為抵御上述威脅而具有保密性、完整性、真實性、可用性和可控性的能力。

　　鑒于電子政務的信息安全面臨的是一場高技術的對抗，涉及法律、規章、標準、技術、產品服務和基礎設施諸多領域。根據近年的工作實踐，結合目前電子政務網絡結構特點，建議采用如下電子政務網絡安全解決方案：