电子政务的安全保障20311.pptx

《电子政务的安全保障20311.pptx》由会员分享，可在线阅读，更多相关《电子政务的安全保障20311.pptx（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电子政务的安全 分四个部分 电子政务安全概述 电子政务安全风险分析 电子政务安全的技术对策 电子政务安全的管理对策。1第一部分电子政务安全概述l 电子政务的重要性和特殊性必然会招致各种势力的关注和攻击。l 因此，电子政务的实施在带来高效率和便利的同时也存在许多风险。l 我们必须清醒地认识到这一点。2国家计算机网络与信息安全管理中心提供的资料显示l 2001年中美黑客大战期间，在遭受美国黑客攻击的我国大陆网站中，政府网站占了41.5%。也就是说政府网站成为重点攻击对象。l 对照安全标准来衡量，中央国家部委的涉密网络有一半以上未达到安全保密要求。3l 再比如：l XX 公司一个员工把工作电脑带回家

2、，为了获得更快的运行效率，部分关闭了防病毒软件的功能，使得木马程序植入他的电脑，最后又被植入到XX 公司内部网系统，导致源代码的泄露。4第二部分 电子政务的安全风险 下面我们基于风险产生的原因,把电子政务安全风险分为5类：l 一 是 物 理 风 险比 如 自 然 灾 害，电力 供 应 突 然 中 断，静 电、强 磁 场 破坏 硬 件 设 备 以 及 设 备 老 化 等 引 起 的风险。l 二 是 无 意 错 误 风 险-是 指 由 于 人 为或 系 统 错 误 而 影 响 信 息 的 完 整 性、机密性和可用性。5三是有意破坏l 指 内 部 和 外 部 人 员 有 意 通 过 物 理 手 段破

3、 坏 信 息 系 统 而 影 响 信 息 的 机 密 性、完 整 性、可 用 性 和 可 控 性。比 如：有意 破 坏 基 础 设 施、扩 散 计 算 机 病 毒、电子欺骗等。这 种 风 险 带 来 的 破 坏 一 般 而 言 是 巨 大的。严 重 时 会 引 起 整 个 系 统 的 瘫 痪 和不可恢复。6四是管理风险l 它 是 指 因 为 口 令 和 密 钥 管 理 不 当、制 度 遗 漏，岗 位、职 责 设 置 不 全面 等 因 素 引 起 信 息 泄 露、系 统 无序运行等。7五是其它风险l 是指除上述所列举的一些风险外，一切可能危及信息系统的机密性、完整性、可用性、可控性和系统正常运行

4、的风险。l 正是存在上述诸多风险，电子政务的安全体系建设显得忧为重要。8基于此我们确定电子政务系统信息安全的宗旨l 是在实现电子政务信息系统时充分考虑信息风险，从而确保政府部门能够有效地完成法律所赋予的政府职能。9电子政务的安全目标有以下三方面l 一是保护政务信息资源价值不受侵犯。l 二是保证信息资产的拥有者（政务主体）面临最小的风险和获取最大的安全利益。l 三是使政务的信息基础设施、信息应用服务和信息内容具有保密性、完整性、真实性、可用性和可控性的能力。10那么，我们如何实现电子政务的安全目标呢l 答 案 是 构 建 一 个 电 子 政 务 综 合 安全体系。l 这 种 安 全 体 系 应

5、该 包 括 风 险 评 估、策 略 制 定、技 术 实 现、制 度 建 立、流 程 保 障、人 员 培 训 等 一 系 列 内容。11电子政务的安全措施包括三个方面l 一是物理层的安全防护措施。主要通过制定物理层面的管理规范和措施来保证计算机网络设备、设施及数据信息免遭自然灾害、人为操作失误或错误、计算机犯罪行为导致的物理实体被破坏、服务中断、数据遗失。l 比如上海财税局系统容灾、数据集中备份项目就是针对上海市财税系统迫切需要解决的安全性需求而建设的。12 二是技术措施。它是利用计算机网络产品和技术服务实现的，包括技术规范、技术方案、技术实施等内容。三是管理措施。包括管理体系,管理制度和法律保

6、障。其中，管理和技术的有效结合是保证电子政务系统的安全的必备手段。下面进行详细介绍13第三部分电子政务安全的技术对策 l 首先是 网络层的安全 大家知道网络的组成包括 客户机信道-服务器三个方面，因此，安全对策也有三个方面。l 1 客户机（用户终端）安全的对策l 就是保护客户机免受网上下载软件和数据的威胁，方法有数字证书、浏览器内置的安全特性和使用防病毒软件。143.3.1-2.通讯信道的安全l 保护通讯信道的安全就是要保证通讯的保密性、传输信息的完整性和信道的可用性。保密性和完整性主要通过各种加密的方式来实现。153.3.1-3 电子政务服务器的安全l 一是访问控制和认证l 二是操作系统控制

7、l-大家最常见的就是 用户名+口令 的认证方式。163.3.2 电子政务服务应用层安全策略l 建立完整的公钥基础设施（Public Key Infrastructure，PKI）,它是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务的具有普适性的安全基础设施。17建立这套基础设施l 的目的是解决网络空间的身份认证与信任问题183.3.3-1 电子政务中的内外网隔离三网隔离关系示意图193.3.31 物理隔离l 是 指 将 两 个 网 络 完 全 断 开，使 之 不 发 生 实际 的 物 理 连 接。这 样 一 来，网 络 黑 客 便 无法进入内网。l“9.11”恐 怖 袭 击 事

8、件 后，美 国 政 府 提 出建立独立于Internet 的政府专用网GOVNET。l 我 国 电 子 政 务 的 内 网 与 外 网 之 间 采 取 的 是物理隔离。203.3.32 逻辑隔离l 是 指 两 个 网 络 之 间 通 过 专 用 的 计 算 机设 备 连 接，这 个 计 算 机 通 过 执 行 一 定的 安 全 策 略，从 而 控 制 两 个 网 络 之 间信 息 包 的 流 入 和 流 出。最 常 用 的 设 备是防火墙。l 电 子 政 务 中 的 外 网 与 互 联 网 之 间 即 采取逻辑隔离。213.3.4 其它安全技术包括l1.虚拟专用网络(VPN)l2.入侵检测系统

9、（IDS）l3.漏洞扫描系统这里不展开讲.22第四部分电子政务安全的管理对策 l 首 先 是 部 署 完 善 的 电 子 政 务 安全管理体系l 请看示意图23243.4.2 建立安全管理制度l 用书面的形式对各项要求做出明文规定。包括人员管理、保密、跟踪审计、系统维护、数据备份、病毒定期清理等一系列制度。这些制度是保证电子政务系统正常有序运行的基础，是电子政务人员必须遵守的工作守则。25这里强调一下关于人员管理的四项基本原则l 1、多人负责原则-每一项与安全有关的活动，都必须有两人或多人在场。l 2、任期有限原则 任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久的。

10、26l3是 最小权限原则 每个人只负责一种事务，只有一种权限。l4、职责分离原则在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。273.4.3 电子政务安全的法律保障 l 电子政务安全的法律保障包括基础性法规建设和标准性法规建设。l 信息安全法规是信息资源安全管理走向成熟化、正规化和法制化的表现。l 政 务 信 息 公 开 法 的 出 台 说 明 了 我 国 在电子政务安全管理上正逐渐走向成熟。28l 近年来，我国信息安全标准化工作发展较快，在国家质量技术监督局的领导下，全国信息化标准委员会及其下属的信息安全分技术委员会在制订我国信息安全标准方面做了大量的工作。29思考题l 1.电子政务的安全目标是什么？l 2.完 整 的 电 子 政 务 综 合 安 全 体 系 包 括 哪 些内 容？当 前 我 国 电 子 政 务 安 全 存 在 的 问题主要有哪些？l 3.简述电子政务的安全威胁的几种类型？l 4.电子政务服务器的安全问题及对策？l 5.电 子 政 务 内 网、外 网 与 互 联 网 之 间 的 隔离关系？30w6.电子政务中的内网和外网大致包括什么内容？w7.简述电子政务安全管理体系的组成？w8.简述电子政务安全运作的基本原则？w9.电子政务安全管理制度的包括哪些方面？31