电子政务的安全 电子政务的安全 分四个部分 ·电子政务安全概述 ·电子政务安全风险分析 ·电子政务安全的技术对策 ·电子政务安全的管理对策。 1 第一部分 第一部分 电子政务安全概述 电子政务安全概述 电子政务的重要性和特殊性必然会 招致各种势力的关注和攻击。 因此,电子政务的实施在带来高效 率和便利的同时也存在许多风险。 我们一定要清醒地认识到这一点。2 国家计算机网络与信息安全 国家计算机网络与信息安全 管理中心提供的资料显示 管理中心提供的资料显示 2001年中美黑客大战期间,在遭受美国黑 客攻击的我国大陆网站中,政府网站占了 41.5% 。 也就是说政府网站成为重点攻击对象。 对照安全标准来衡量,中央国家部委的涉 密网络有一半以上未抵达安全保密要求。 3 再比如: XX公司一个员工把工作电脑带回 家,为了获得更快的运行效率,部 分关闭了防病毒软件的功能,使得 木马程序植入他的电脑,最后又被 植入到XX公司内部网系统,导致源 代码的泄露。 4 第二部分 电子政务的安全风险 第二部分 电子政务的安全风险 下面我们基于风险产生的原因, 把电子 政务安全风险分为5类: 一是 物理风险— 比如自然灾害,电 力供应突然中断,静电、强磁场破 坏硬件设备和设备老化等引起的 风险。 二是无意错误风险 是指由于人为 或系统错误而影响信息的完整性、 机密性和可用性。 5 三是有意破坏 三是有意破坏 指内部和外部人员有意通过物理手段 破坏信息系统而影响信息的机密性、 完整性、可用性和可控性。比如:有 意破坏基础设施、扩散计算机病毒、 电子欺骗等。 这种风险带来的破坏一般而言是巨大 的。 严重时会引起总系统的瘫痪和 不可恢复。 6 四是管理风险 四是管理风险 它是指因为口令和密钥管理不 当、制度遗漏,岗位、职责设置 不全面等因素引起信息泄露、系 统无序运行等。 7 五是其它风险 五是其它风险 是指除上述所列举的一些风险 外,一切可能危及信息系统的机 密性、完整性、可用性、可控性 和系统正常运行的风险。 正是存在上述诸多风险,电子政务 的安全体系建设显得忧为重要。 8 基于此我们确定 基于此我们确定 电子政务系统信息安全的宗旨 电子政务系统信息安全的宗旨 是在实现电子政务信息系 统时最大限度地考虑信息风险, 从而确保政府部门能够有 效地完成法律所赋予的政 府职能。 9 电子政务的安全目标 电子政务的安全目标 有以下三方面 有以下三方面 一是保护政务信息资源价值不受侵 犯。 二是保证信息资产的拥有者(政务主 体)面临最小的风险和获取最大的安 全利益。 三是使政务的信息基础设施、信息应 用服务和内容信息具有保密性、完整 性、真实性、可用性和可控性的能 力。 10 那么,我们如何 那么,我们如何 实现电子政务的安全目标呢 实现电子政务的安全目标呢 答案是构建一个电子政务综合安 全体系。 这种安全体系应该包括风险评 估、策略制定、技术实现、制度 建立、流程保障、人员培训等一 系列内容。 11 电子政务的安全措施包括三个方面 一是物理层的安全保护措施。主要是通过制定物理 层面的管理规范和措施来保证计算机网络设备、 设施及数据信息免遭自然灾害、人为操作失误或 错误、计算机犯罪行为导致的物理实体被破坏、 服务中断、数据遗失。 比如上海财税局系统容灾、数据集中备份项目就 是针对上海市财税系统迫切地需要解决的安全性需 求而建设的。 12 二是技术措施。它是利用计算机网 络产品和技术服务实现的,包括技术规 范、技术方案、技术实施等内容。 三是管理措施。包括管理体系,管理 制度和法律保障。 其中,管理和技术的有效结合是保证 电子政务系统的安全的必备手段。下面 进行详细介绍 13 第三部分 第三部分 电子政务安全的技术对策 电子政务安全的技术对策 首先是 网络层的安全 各位明白网络的组 成包括 客户机—信道服务器三个方 面,因此,安全对策也有三个方面。 1 客户机(用户终端)安全的对策 就是保护客户机免受网上下载软件和数据 的威胁,方法有数字证书、浏览器内置的 安全特性和使用防病毒软件。 14 3.3.12. 通讯信道的安全 3.3.12. 通讯信道的安全 保护通讯信道的安全就是要保证 通讯的保密性、传输信息的完整 性和信道的可用性。 保密性和完整性主要是通过各种加 密的方式来实现。 15 3.3.13 电子政务服务器的安全 一是访问控制和认证 二是操作系统控制 大家最常见的就是 用户名+ 口令的认证方 式。 16 3.3.2 电子政务服务应用层 3.3.2 电子政务服务应用层 安全策略 安全策略 建立完整的公钥基础设施 (Public Key Infrastructure,PKI ),它是 基于公开密钥理论和技术建 立起来的安全体系,是提供 信息安全服务的具有普适性 的安全基础设施。 17 建立这套基础设施 建立这套基础设施 的目的是解决互联网空间 的身份认证与信任问题 18 3.3.3-1电子政务中的内外网隔离 3.3.3-1电子政务中的内外网隔离 三网隔离关系示意图 政 物 政府和行 逻 互 务 理 业部门公 辑 联 众服务网 内 隔 隔 网 网 离 站(政务外 离 网) 19 3.3.3— 1 物理隔离 3.3.3— 1 物理隔离 是指将两个网络完全断开,使之不发生实 际的物理连接。这样一来,网络黑客便无 法进入内网。 “9.11”事件后,美国政府提出建立 独立于Internet 的政府专用网GOVNET 。 我国电子政务的内网与外网之间采取的是 物理隔离。 20 3.3.3—2 逻辑隔离 3.3.3—2 逻辑隔离 是指两个网络之间通过专用的计算机 设备连接,这个计算机通过执行一定 的安全策略,从而控制两个网络之间 信息包的流入和流出。最常用的设备 是防火墙。 电子政务中的外网与互联网之间即采 取逻辑隔离。 21 3.3.4 其它安全技术 3.3.4 其它安全技术 包括 包括 1. 虚拟专用网络(VPN) 2. 入侵检测系统(IDS ) 3. 漏洞扫描系统 这里不展开讲. 22 第四部分 电子政务安全的管理对策 首先是 部署完善的电子政务安 全管理体系 请看示意图 23 电子政务安全管理体系 技术保障体系 运行管理体系 社会服务体系 基础设施平台 研发技术 行政管理 安全管理 PKI 认证平台 防护系统 技术管理 测评认证 法规建设 风险管理 应急响应 标准建设 教育培训 24 3.4.2建立安全管理制度 3.4.2建立安全管理制度 用书面的形式对各项要求做出明文规 定。包括人员管理、保密、跟踪审计、系 统维护、数据备份、病毒定期清理等一系 列制度。 这些制度是保证电子政务系统正常有 序运行的基础,是电子政务人员一定遵守 的工作守则。 25 这里强调一下 这里强调一下 关于人员管理的四项根本原则 关于人员管理的四项根本原则 1、多人负责原则每一项与安全有关的 活动,都必须有两人或多人在场。 2、任期有限原则——任何人建议还是不要长 期担任与安全有关的职务,以免使他认 为这个职务是专有的或永久的。 26 3是最小权限原则——每个 人只负责一种事务,只有一 种权限。 4、职责分离原则——在信息 处理系统工作的人员不要打 听、了解或参与职责以外的 任何与安全有关的事情,除 非系统主管领导批准。 27 3.4.3 电子政务安全的法律保障 3.4.3 电子政务安全的法律保障 电子政务安全的法律保障包括基础性 法规建设和标准性法规建设。 信息安全法规是信息资源安全管理走 向成熟化、正规化和法制化的表现。 政务信息公开法的出台说明了我国在 电子政务安全管理上正逐渐走向成 熟。 28 近年来,我国信息安全标准 化工作发展较快,在国家质 量技术监督局的领导下,全 国信息化标准委员会及其下 属的信息安全分技术委员会 在制订我国信息安全标准方 面做了大量的工作。 29 思考题 思考题 1. 电子政务的安全目标是什么? 2. 完整的电子政务综合安全体系包括哪些 内容? 当前我国电子政务安全存在的问 题主要有哪些? 3. 简述电子政务的安全威胁的几种类型? 4. 电子政务服务器的安全问题及对策? 5. 电子政务内网、外网与互联网之间的隔 离关系? 30 6. 电子政务中的内网和外网大致包括什 么内容? 7. 简述电子政务安全管理体系的组成? 8. 简述电子政务安全运作的根本原则? 9. 电子政务安全管理制度的包括哪些方 面? 31
2024年广东省普通高中学业水平合格性考试数学模拟卷(二)老于选编.docx
高数简单学——一元函数微分学智慧树知到答案章节测试2023年青岛大学.docx
人教PEP版英语六年级上册Unit5 What does he do A Lets talk课件.pptx
原创力文档创建于2008年,本站为文档C2C交易模式,即用户上传的文档直接分享给其他用户(可下载、阅读),本站只是中间服务平台,本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方,若您的权利被侵害,请发链接和相关诉求至 电线) ,上传者