电子政务在我国的国民经济生活中正在越来越发挥着重要的作用。以 “金锐工程”为例，从1997年实施金税工程后，每年的净增税收，第一年800亿，后来1000亿，两三年以后达到了1500亿。据估计，有三分之一是靠信息系统堵住管理的漏洞收进来的。国家在今年启动的“金财工程”的综合性、复杂性、可控性和覆盖范围都将大大超过“金关”和“金税”工程。金财系统将覆盖GDP 20％的资金流动，对国家经济的运转也将产生重大影响。

电子政务的重要性使得其信息价值倍增，但它本身存在着管理和技术实现的脆弱性，因此电子政务系统容易受到敌对国家和国内外组织、敌对个人犯罪分子以及黑客的攻击，造成政府财政预算、决策信息、关系国计民生的基础数据等机密信息的泄漏、破坏甚至被恶意的篡改，对我国的国家安全造成严重威胁。

可以毫不夸张地说，信息安全技术和信息安全管理人员就是保护电子政务系统的军队和长城，是保护国家机密的大堤和大坝！

我们来看一个现实的例子：前苏联黑客范德米尔·列文于1994年利用网络入侵了美国著名的花旗银行电脑系统，更改银行账户的存款数目，窃走了1200万美元。花旗银行与FBI及国际刑警联合对此案展开调查，3年以后列文在伦敦被捕，并于1998年被判3年徒刑，于佛罗里达州服刑。

有人可能会说，在花旗银行那样一个保护严密的系统中，还会有黑客入侵成功，说明信息安全技术起不了什么作用。恰恰相反，这个案例表明，信息安全技术和信息安全管理人员对于关键系统是至关重要的！

　　NetEye VPN方案的部署示意图

如果没有信息安全管理人员，没有采用信息安全技术保护银行的业务系统，那么任何一个稍具黑客知识的人就可以很容易入侵到银行的最核心的业务区域中，那么花旗银行也许会损失120亿美元！而如果没有信息安全系统提供的证据和线索，那么破获这一案件将有如大海捞针，它将永远成为一个悬案！

对于电子政务系统来说，信息安全的重要意义是显尔易见的。如果将电子政务的核心系统比做人的心脏，通信网络比做人的动脉，那么信息安全管理人员和信息安全技术及产品就相当于人的免疫系统，防范和阻挡着形形色色的威胁和破坏。如果没有管理人员采用安全技术对系统进行保护，那么就如同人失去了免疫系统的保护，系统只能在没有病毒、没有入侵、没有任何破坏和意外的环境中才能维持运行。没有信息安全的坚实保障，电子政务就无法推进与前行。信息安全技术的应用，推动并保证电子政务建设步入一个更成熟的阶段。

那么，电子政务中的安全技术包括哪些方面呢？归纳起来，包括以下几个方面：PKI技术、防火墙与VPN技术、身份认证与权限管理、入侵检测、防病毒、备份与容灾。其中，最核心的安全技术是PKI和以此为基础的PMI和VPN技术。

PKI技术信任的基础

电子政务系统是一个涉及到纵向、横向数百个政府部门，连接数千个政府机关及相关单位的系统，如果没有一套强健完善的信任体系，那么系统运行过程中，重要文件、敏感信息的失密、伪造、篡改将泛滥成灾，从而严重影响系统的正常稳定运行，甚至造成难以估计的严重后果。因此，有必要采用PKI技术建立一套高可信度的政务信任体系，也就是建立电子政务的PKI系统。

电子政务的PKI系统是电子政务安全系统的核心。它通过数字证书的颁发和管理，为上层应用提供了完善的密钥和证书管理机制，具有用户管理、密钥管理、证书管理等功能，可保证各种基于公开密钥密码体制的安全机制在系统中的实现。

PKI提供的证书服务主要有两个功能，即证实用户身份的功能及保证信息机密性和完整性的功能。它最主要的组件就是CA，也就是人们常说的认证中心。

　机密信息图只能在核心安全域内传输

CA颁发的证书可以作为验证用户身份的标识。CA颁发的证书内容包括证书持有人相关的身份信息，如姓名、所就职的单位、通信地址，甚至可以通过扩展属性包含证书持有人的职务信息。由于证书的权威性与可信性，因此，证书可以有效解决网络中的信任问题。它是电子政务网络中信任的基础。

在CA颁发的证书基础上，可以实现数字信封、数字签名、抗否认等功能，提供数据机密性、数据完整性等电子政务系统中所必需的安全服务。电子政务系统中的办公自动化软件、工作流软件、中间件等均可以集成CA系统颁发的数字证书，保证应用系统的信息安全。

PMI技术身份认证与授权管理

在PKI系统的基础上，可以进一步构建电子政务系统的PMI系统，基于PMI（Privilege Management Infrastructure）的集中授权系统采用基于属性证书（AC）的授权模式，向应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能。

基于PMI的集中授权系统可提供与实际应用处理模式相应的、与具体应用系统开发和管理无关的授权和访问控制机制，可以简化具体应用系统的开发与维护。PMI可以有效实现用户的身份验证、身份的证实与访问控制：由于电子证书是电子政务系统主体（用户、主机、应用程序）的证实自己身份的唯一标识，因此用户或应用程序在访问相关密级的电子文档、表格、文件时，必须由系统验证用户所持有的电子证书，并检查证书持有者的身份、权限或保密级别等信息，并与电子文档中的密文标记匹配，只有用户的权限或保密级别高于电子文档的密级标记时，才允许用户访问所请求的文档。如果用户的权限或保密级别较低，则拒绝用户的访问请求，并将被拒绝的访问的详细信息记录到审计日志中去。

电子政务系统一般采用严格的三层体系结构，即数据库服务器、应用服务器、客户机。以CA提供的证书服务为基础，应用服务器可以很容易实现双向认证、访问控制、访问过滤等应用级安全机制。基于PKI的PMI系统为电子政务系统构建了一个严密的安全体系，充分保证敏感资源访问的可控性与可审计性。

VPN机密传输与信息流向控制

VPN己经被证明是一种成熟的网络安全互联技术，可以有效地保证信息传输的安全和内部网络的安全。但由于电子政务的特殊性，传统的VPN技术无法解决电子政务对信息流向控制与监控、审计、内网保护、强认证等方面的特殊要求。因此有必须采用一种更高层次的VPN技术，为电子政务系统构建出一个严密的保密通信平台。

东软针对电子政务系统的特殊的需求，在传统的VPN技术基础上，强化了信息流向控制功能和审计功能，并将流过滤防火墙技术、认证接口技术集成到了VPN产品中来，提出了Super-VPN技术。Super-VPN技术超越了VPN仅用于信息加密的局限性，通过各种技术的综合，使重VPN在整个电子政务信息安全框架中处于一个核心的位置。东软的Super-VPN技术可以有效保证机密信息（如政府预算报表）只能在受限的安全域内传输，防止信息通过网络泄密。

东软的VPN产品包括VPN网关、灵巧网关、VPN安全客户端和密钥管理中心四个组件。NetEye VPN网关可以制定安全策略，对于敏感信息（如特定类型或名称的文件、表格、报表、数据），只允许在指定的安全域内传输，如果信息的发送的主体（人、应用程序等）试图向安全域之外发送信息，那么发送请求将被拒绝，同时，这种破坏安全策略的行为将会被记录到系统日志中。

NetEye VPN方案的部署示意图如左下图所示，在上级机构部署千兆VPN网关（网络密码机）；在下级单位部署百兆VPN网关；基层单位采用部署灵活、成本低廉的VPN灵巧网关或VPN安全客户端。各级机构分别部署密钥管理中心，负责下一级机构VPN网关的公钥证书管理。VPN网关之间、VPN网关与灵巧网关之间、灵巧网关与安全客户端之间可以建立加密隧道，采用我国自主研制的加密算法和硬件加密卡保证信息传输的机密性和不可篡改性。集成了防火墙功能的VPN网关可以方便地进行双机热备或集群，以便为电子政务系统提供更高的可用性和稳定性。

东软的NetEye灵巧网关是一个经济易用边界VPN网关产品，它将艰深难懂的概念和复杂的配置完全屏蔽起来，用户面对的是一个与Windows向导类似的、直观清楚操作界面。管理员不需要具有任何网络和安全方面的知识，只要按照界面提示逐步操作，即可完成VPN网络的配置。既便于管理，又极大地降低了VPN的部署成本。灵巧网关支持DDN、ADSL、ISDN、电话拨号、以太网等多种接入方式，可以节省路由器的投资，特别适合大规模VPN方案的部署。

东软的VPN的审计系统为管理员监控网络行为与安全事件提供了强大的技术手段。对于电子政务系统来说，监控各类主体（用户、程序）对关键业务信息的存取是至关重要的。NetEye VPN具有功能强大的审计系统，可以记录关键业务主机之间传递信息的流向，以及对关键业务主机的所有访问（源IP、用户、时间、访问的服务），确保系统的可审计性和可追查性。在发生违反安全策略的事件时，可采用多种方式实时发出报警。

综上所述，PKI、PMI和VPN是电子政务安全的技术基石，在这三种核心技术的基础上，综合采用其它的安全手段和安全管理措施，才能够为电子政务提供一个可信、保密、稳定的业务环境。东软作为国内著名的安全厂商和防火墙、VPN技术的领先者，将以自己优秀的技术和产品，专业及时的服务能力为电子政务建设保驾护航！