电子政务的安全 电子政务的安全 电子政务的安全 分四个部分 ·电子政务安全概述 ·电子政务安全风险分析 ·电子政务安全的技术对策 ·电子政务安全的管理对策。 第一部分 电子政务安全概述 电子政务的重要性和特殊性必然会招致各种势力的关注和攻击。 因此,电子政务的实施在带来高效率和便利的同时也存在许多风险。 我们一定要清醒地认识到这一点。 国家计算机网络与信息安全 管理中心提供的资料显示 2001年中美黑客大战期间,在遭受美国黑客攻击的我国大陆网站中,政府网站占了41.5%。 也就是说政府网站成为重点攻击对象。 对照安全标准来衡量,中央国家部委的涉密网络有一半以上未抵达安全保密要求。 再比如: XX公司一个员工把工作电脑带回家,为了获得更快的运行效率,部分关闭了防病毒软件的功能,使得木马程序植入他的电脑,最后又被植入到XX公司内部网系统,导致源代码的泄露。 第二部分 电子政务的安全风险 下面我们基于风险产生的原因, 把电子政务安全风险分为5类: 一是 物理风险—比如自然灾害,电力供应突然中断,静电、强磁场破坏硬件设备和设备老化等引起的风险。 二是无意错误风险---是指由于人为或系统错误而影响信息的完整性、机密性和可用性。 三是有意破坏 指内部和外部人员有意通过物理手段破坏信息系统而影响信息的机密性、完整性、可用性和可控性。比如:有意破坏基础设施、扩散计算机病毒、电子欺骗等。 这种风险带来的破坏一般而言是巨大的。 严重时会引起总系统的瘫痪和不可恢复。 四是管理风险 它是指因为口令和密钥管理不当、制度遗漏,岗位、职责设置不全面等因素引起信息泄露、系统无序运行等。 五是其它风险 是指除上述所列举的一些风险外,一切可能危及信息系统的机密性、完整性、可用性、可控性和系统正常运行的风险。 正是存在上述诸多风险,电子政务的安全体系建设显得忧为重要。 基于此我们确定 电子政务系统信息安全的宗旨 是在实现电子政务信息系统时最大限度地考虑信息风险,从而确保政府部门可以有明显效果地地完成法律所赋予的政府职能。 电子政务的安全目标 有以下三方面 那么,我们如何 实现电子政务的安全目标呢 答案是构建一个电子政务综合安全体系。 这种安全体系应该包括风险评估、策略制定、技术实现、制度建立、流程保障、人员培训等一系列内容。 电子政务的安全措施包括三个方面 一是物理层的安全保护措施。主要是通过制定物理层面的管理规范和措施来保证计算机网络设备、设施及数据信息免遭自然灾害、人为操作失误或错误、计算机犯罪行为导致的物理实体被破坏、服务中断、数据遗失。 比如上海财税局系统容灾、数据集中备份项目就是针对上海市财税系统迫切地需要解决的安全性需求而建设的。 二是技术措施。它是利用计算机网络产品和技术服务实现的,包括技术规范、技术方案、技术实施等内容。 三是管理措施。包括管理体系,管理制度和法律保障。 其中,管理和技术的有效结合是保证电子政务系统的安全的必备手段。下面进行详细介绍 第三部分 电子政务安全的技术对策 首先是 网络层的安全 各位明白网络的组成包括 客户机—信道----服务器三个方面,因此,安全对策也有三个方面。 1 客户机(用户终端)安全的对策 就是保护客户机免受网上下载软件和数据的威胁,方法有数字证书、浏览器内置的安全特性和使用防病毒软件。 3.3.1---2. 通讯信道的安全 保护通讯信道的安全就是要保证通讯的保密性、传输信息的完整性和信道的可用性。 保密性和完整性主要是通过各种加密的方式来实现。 3.3.1---3 电子政务服务器的安全 一是访问控制和认证 二是操作系统控制 -------大家最常见的就是 用户名+口令 的认证方式。 3.3.2电子政务服务应用层 安全策略 建立完整的公钥基础设施(Public Key Infrastructure,PKI),它是基于公开密钥理论和技术建立起来的安全体系,是提供信息安全服务的具有普适性的安全基础设施。 建立这套基础设施 的目的是解决互联网空间的身份认证与信任问题 3.3.3-1电子政务中的内外网隔离 三网隔离关系示意图 3.3.3—1 物理隔离 是指将两个网络完全断开,使之不发生实际的物理连接。这样一来,网络黑客便没办法进入内网。 “9.11”事件后,美国政府提出建立独立于Internet的政府专用网GOVNET。 我国电子政务的内网与外网之间采取的是物理隔离 。 3.3.3—2 逻辑隔离 是指两个网络之间通过专用的计算机设备连接,这个计算机通过执行一定的安全策略,从而控制两个网络之间信息包的流入和流出。最常用的设备是防火墙。 电子政务中的外网与互联网之间即采取逻辑隔离。 3.3.4 其它安全技术 包括 1. 虚拟专用网络(VPN) 2. 入侵检测系统(IDS) 3. 漏洞扫描系统 这里不展开讲. 第四部分 电子政务安全的管理对策 首先是 部署完善的电子政务安全管理体系 请看示意图 3.4.2建立安全管理制度 用书面的形式对各项要求做出明文规定。包括人员管理、保密、跟踪审计、系统维护、数据备份、病毒定期清理等一系列制度。 这些制度是保证电子政务系统正常有序运行的基础,是电子政务人员一定遵守的工作守则。 这里强调一下 关于人员管理的四项根本原则 1、多人负责原则----每一项与安全有关的活动,都必须有两人或多人在场。 2、任期有限原则 ——任何人建议还是不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久的。 3是 最小权限原则 ——每个人只负责一种事务,只有一种权限。 4、职责分离原则——在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。 3.4.3 电子政务安全的法律保障 电子政务安全的法律保障包括基础性法规建设和标准性法规建设。 信息安全法规是信息资源安全管理走向成熟化、正规化和法制化的表现。 政务信息公开法的出台说明了我国在电子政务安全管理上正逐渐走向成熟。 近年来,我国信息安全标准化工作发展较快,在国家质量技术监督局的领导下,全国信息化标准委员会和他的下属的信息安全分技术委员会在制订我国信息安全标准方面做了大量的工作。 思考题 1. 电子政务的安全目标是什么? 2. 完整的电子政务综合安全体系包括哪些内容? 当前我国电子政务安全存在的问题主要有哪些? 3. 简述电子政务的安全威胁的几种类型? 4. 电子政务服务器的安全问题及对策? 5. 电子政务内网、外网与互联网之间的隔离关系? 一是保护政务信息资源价值不受侵犯。 二是保证信息资产的拥有者(政务主体)面临最小的风险和获取最大的安全利益。 三是使政务的信息基础设施、信息应用服务和内容信息具有保密性、完整性、真实性、可用性和可控性的能力。
2024年广东省普通高中学业水平合格性考试数学模拟卷(二)老于选编.docx
高数简单学——一元函数微分学智慧树知到答案章节测试2023年青岛大学.docx
人教PEP版英语六年级上册Unit5 What does he do A Lets talk课件.pptx
原创力文档创建于2008年,本站为文档C2C交易模式,即用户上传的文档直接分享给其他用户(可下载、阅读),本站只是中间服务平台,本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方,若您的权利被侵害,请发链接和相关诉求至 电线) ,上传者