电子政务系统安全风险pdf

  该【电子政务系统安全风险 】是由【迎春文档】上传分享，文档一共【6】页，该文档可以不要钱在线阅读，有必要了解更多关于【电子政务系统安全风险 】的内容，能够正常的使用淘豆网的站内搜索功能，选择自身适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。《电子政务》

  【摘要】:针对电子政务系统中的安全风险进行了科学的分析,并进行了电子政

  务系统安全风险评估的流程及实施和采用一定的方法和手段,对已标识的风险采

  取相应的措施进行风险控制,将电子政务系统的安全风险降到可接受的水平,并

  基础,一定要通过Internet等公网实现通信,具有开放性、网络化等特点。政务

  网上传递的数据及后台数据库较多地涉及机密信息、敏感数据等。这一些信息涉及

  到政府各部门,关系到整个国家的利益。因此,电子政务系统面临着巨大的网络

  难直接破坏政务信息系统中的各种基础设施以及备份数据的存储介质;静电、强

  磁场可能会破坏硬件设备,毁坏存储介质;存储介质、计算机设备、网络设备、

  因造成的错误影响到信息的完整性、机密性和可用性。常见的错误包括:在数据

  输入和文档编排过程中工作人员出现了操作失误,而应用软件又缺乏必要的输人

  数据合法性和有效性检查机制。因此导致处理结果的错误;数据在传输过程中出

  现错误,例如传输数据中途被篡改或传输的目的地错误,可能会引起信息完整性遭

  到破坏或将信息传输给未授权者;信息存储时出现错误,例如将不同密级的数据

  结构和信息进行更改、移动和销毁等,直接危及信息的机密性、完整性、可用性

  和可控性,严重时会引起总系统的瘫痪和不可恢复。由于进行有意破坏的人员

  特别是内部人员可能熟悉总系统的情况并拥有某些操作权限和信任关系,因此

  来保护其安全外,重要的还是要对其进行相对有效的管理。如果管理不当,再好的安

  全措施也形同虚设。例如就操作系统而言,即使其安全特性再好,但如果相应的

  安全管理不善,其运行时的安全性能也会大幅度的降低。常见的管理不当和失控包括:

  对口令、密钥的管理不严格或保管不妥当,而造成其直接丢失、泄露给未授权者

  或易被猜测等安全风险隐患;管理制度的相关联的内容缺乏、制度遗漏,而造成信息系统

  机密性、完整性、可用性、可控性和系统正常运行的风险,如对信息安全的战略

  风险因素。电子政务系统的风险因索包括来源于社会环境的威胁、技术环境的脆

  弱和物理自然环境的恶化。其中社会环境威胁当面的主体是个人、组织和国家三

  个层次,不健全的信息安全法制和不完游的信息安全管理制度也使系统安全存在

  潜在的威胁,具体攻击手段主要有中断、删改、窃取、伪造;技术环境前脆弱性

  来源学信息系统技术上和管理上的缺陷,典型的缺陷和安全风险隐患有系统缺陷或漏

  洞、系统***;物理自然环境的恶化,如自然灾害和灾难牲事故,这些通常都是

  境特性评估、资产识别与评价、威胁和弱点评估、控制措施评估、风险认定等在

  外,选择合理的方法也很重要。为了使风险评估全面、准确、真实地反映系统的

  安全状态,在实施风险评估过程中需要采用多种方法。评估流程实施过程如信息

  网络安全技术测评是电子政务系统安全测评的重要手段,许多安全控制项都必须

  借助于技术方法来实现,但是单独依靠技术测评还不能全面系统的分析电子政务

  系统的安全。实践经验证明,仅有安全技术防范,而无严格的安全管理体系是难

  以保障系统的安全的。因此在测评中我们一定要对被测评方制订的一系列安全管理

  制度进行测评。信息安全管理的测评可以单独进行也可以穿插到技术测评当中。

  随着信息技术的发展,信息安全测评工程师面临慢慢的变多的挑战,为提高测评能

  力和效率,应充分的发挥主观能动性,利用各种现有的各种安全测试工具,开发

  安全测试工具、报告生成工具等。信息安全测评机构以及电子政务系统的运行、

  息系统内部,亲自参与系统的运行,并运用观察、操作等方法直接从信息系统中

  信息系统有关人员回答有关问题而获取信息的一种有效方式。现在的信息获取经

  常利用这样的形式,它具有实施方便,操作便捷,所需费用少,分析简洁、明快等

  特点,所以得到了广泛的应用。但是它的灵活性较少,得到的信息有时不太清楚,

  借助优秀的网络和系统检测工具来监测。辅助工具能发现系统的某些内在的弱

  点,以及在配置上有几率存在的威胁系统安全的错误,这一些因素很可能就是破坏目

  标主机安全性的关键性因素。辅助工具能帮助发现系统中的安全风险隐患,但并不能

  的查阅,能获取比较完整的系统信息,获得系统的历史经验。在风险评估过程

  标识的风险采取对应的措施,将电子政务系统的安全风险降到可接受的水平,并

  段:将威胁的影响限制在一些范围之内;检测响应手段:主动进行入侵检测并积

  意软件控制程序,以减少系统受恶意攻击的机会;通过教育和培训来强化工作人

  审计、分析,实现对不同安全设备的统一管理和控制,采用信息融合技术对各种

  安全信息进行集中的分析处理,发现潜在的攻击征兆和安全发展的新趋势。按照系统

  研究也在不断地深入。风险评估是一个从理论到实践,再从实践到理论的过程,

  在不断的往复循环中得以逐步完善。经过几年的探索,我国有关方面已经在信息

  安全风险评估方面做了大量工作,积累了一些宝贵的经验,然而由于起步晚,也

  存在以下一些亟待解决的问题:内外风险评估方法的研究有待于在实践中检验;

  全过程角度考虑物理层、网络层、系统层、应用层、管理层五个层次的弱点、威

  胁、风险、对策等安全问题。二是节约的观点。要合理使用多种信息安全策略,

  力争在有限的投入下最大限度地降低安全风险。三是技术保障与信息安全教育相

  结合的观点。技术是基础,教育是根本。只有信息安全技术与安全教育有机结合,