电子政务安全保障工作新进展和发展趋势

《电子政务安全保障工作新进展和发展趋势》由会员分享，可在线阅读，更多相关《电子政务安全保障工作新进展和发展趋势（23页珍藏版）》请在金锄头文库上搜索。

1、1电子政务信息安全保障工作新进展 和发展趋势 Progress and Future of E-Government Information Assurance in China吕 欣2006.3.30国家信息中心 吕欣2报告提纲n电子政务信息安全面临的主要问题电子政务信息安全面临的主要问题n电子认证信息安全工作新进展电子认证信息安全工作新进展n发展趋势和政策建议发展趋势和政策建议国家信息中心 吕欣3一 电子政务安全面临的主要问题一 电子政务安全面临的主要问题1、安全漏洞呈上升趋势、安全漏洞呈上升趋势01000200030004000500060001995 1997 1999 2001 20

2、03 2005漏洞数量数据来源：数据来源：CC/CERT国家信息中心 吕欣42、网络攻击新手段层出不穷、网络攻击新手段层出不穷n网络钓鱼、间谍软件、垃圾邮件等威胁已经危及到电网络钓鱼、间谍软件、垃圾邮件等威胁已经危及到电 子政务系统的安全，传统的网络安全技术（如防火子政务系统的安全，传统的网络安全技术（如防火 墙、反病毒、入侵检测墙、反病毒、入侵检测/入侵防御等技术）已经不能满入侵防御等技术）已经不能满 足当前信息安全的需求，探索和研究新的安全解决方足当前信息安全的需求，探索和研究新的安全解决方 案和安全新技术是保障电子政务安全，提高网络性案和安全新技术是保障电子政务安全，提高网络性 能，维护

3、政府信誉的迫切需求。能，维护政府信誉的迫切需求。国家信息中心 吕欣53、信息新技术挑战信息安全、信息新技术挑战信息安全n未来五年通信新技术将得到快速的发展和应用；未来五年通信新技术将得到快速的发展和应用；n伴随着下一代网络、无线网络和伴随着下一代网络、无线网络和3G网络时代的到来，网络时代的到来， 信息技术将得到更广泛的应用，更多的新技术和新应信息技术将得到更广泛的应用，更多的新技术和新应 用将融入电子政务网络的建设。用将融入电子政务网络的建设。nNGI如此之高的传输速率给入侵检测、病毒识别、信息如此之高的传输速率给入侵检测、病毒识别、信息 存储和高性能计算等技术提出了更高的要求。同时，存储和

4、高性能计算等技术提出了更高的要求。同时， 无线网络和移动网络的安全问题会更加突出。无线网络和移动网络的安全问题会更加突出。国家信息中心 吕欣64、信息安全意识和观念淡薄、信息安全意识和观念淡薄n信息安全知识不足、对信息技术安全了解不够、内部信息安全知识不足、对信息技术安全了解不够、内部 管理控制不严等构成了当前电子政务面临的重要安全管理控制不严等构成了当前电子政务面临的重要安全 隐患。隐患。n2005年信息安全状况调查显示，缺乏最基本的安全防年信息安全状况调查显示，缺乏最基本的安全防 范措施，如未修补或防范软件漏洞等情况是导致安全范措施，如未修补或防范软件漏洞等情况是导致安全 事件发生最主要原

5、因，占安全事件总数的事件发生最主要原因，占安全事件总数的68。在对。在对 日常安全管理存在的主要问题的调查中，用户安全意日常安全管理存在的主要问题的调查中，用户安全意 识和观念淡薄占识和观念淡薄占58，第二位是网络安全管理人员缺，第二位是网络安全管理人员缺 乏培训，占乏培训，占39。国家信息中心 吕欣7二 电子政务安全工作新进展二 电子政务安全工作新进展n1、电子签名法、电子签名法电子签名法在法律上保障了电子商务交易的安全性，对电子签名法在法律上保障了电子商务交易的安全性，对电子政务业务具有重要的借鉴意义。电子政务业务具有重要的借鉴意义。电子认证服务管理办法电子认证服务管理办法是电子签名法授权

6、制订的、是电子签名法授权制订的、 与电子签名法配套施行的部门规章，具有重要的法律效与电子签名法配套施行的部门规章，具有重要的法律效 力和作用。力和作用。电子认证服务管理办法的实施为第三方认证服务创造了电子认证服务管理办法的实施为第三方认证服务创造了 良好的法律环境和市场监管机制，这对于电子政务网络信任良好的法律环境和市场监管机制，这对于电子政务网络信任体系的建设和引导具有重要的意义。体系的建设和引导具有重要的意义。国家信息中心 吕欣82、等级保护工作、等级保护工作n电子政务信息安全等级保护实施指南（试行）电子政务信息安全等级保护实施指南（试行） （国信办（国信办200525号，以下简称指南）发

7、布号，以下简称指南）发布给出了信息系统分级的方法：指南给出的系统给出了信息系统分级的方法：指南给出的系统 分析的方法不仅对电子政务系统具有指导意义，对分析的方法不仅对电子政务系统具有指导意义，对 整个整个IT行业信息安全等级保护的实施也具有借鉴意行业信息安全等级保护的实施也具有借鉴意 义，是我国等级保护制度推进的一项重要举措。义，是我国等级保护制度推进的一项重要举措。安全分域保护安全分域保护 ：安全域一般是指具备一定的安全功安全域一般是指具备一定的安全功 能、结构上相对独立、共享相同的安全策略的系统能、结构上相对独立、共享相同的安全策略的系统 子网或系统部件的集合。安全域划分是将电子政务子网或

8、系统部件的集合。安全域划分是将电子政务 系统划分为不同安全区域，分别进行安全保护的过系统划分为不同安全区域，分别进行安全保护的过 程。程。国家信息中心 吕欣93、风险评估工作、风险评估工作n国务院信息办信息安全风险评估课题组已经完成了国务院信息办信息安全风险评估课题组已经完成了 信息安全风险评估指南和信息安全风险管理指信息安全风险评估指南和信息安全风险管理指 南二个规范草案的制定。南二个规范草案的制定。n在包括北京市、上海市、黑龙江省、云南省、人民银在包括北京市、上海市、黑龙江省、云南省、人民银 行、国家税务总局、国家电力、国家电子政务外网开行、国家税务总局、国家电力、国家电子政务外网开 展信

9、息安全风险评估试点工作。展信息安全风险评估试点工作。n国家网络与信息安全协调领导小组于国家网络与信息安全协调领导小组于2005年年12月份通月份通 过了关于开展信息安全风险评估的若干意见。过了关于开展信息安全风险评估的若干意见。国家信息中心 吕欣104、灾难恢复工作、灾难恢复工作n灾难备份是确保电子政务系统在社会紧急状态下仍能灾难备份是确保电子政务系统在社会紧急状态下仍能 保证其主要业务健康运行的有效手段。 国家信息化保证其主要业务健康运行的有效手段。 国家信息化 领导小组关于我国电子政务建设指导意见提出了领导小组关于我国电子政务建设指导意见提出了“建建 立应急支援中心和数据灾难备份基础设施立

10、应急支援中心和数据灾难备份基础设施”的要求。的要求。n2005年年4月国务院信息化工作办公室发布重要信息系月国务院信息化工作办公室发布重要信息系 统灾难恢复规划指南（简称统灾难恢复规划指南（简称“灾难恢复指灾难恢复指 南南”）。遵从灾难恢复指南的要求，是做好电子）。遵从灾难恢复指南的要求，是做好电子 政务网络系统灾难恢复工作的基础政务网络系统灾难恢复工作的基础国家信息中心 吕欣115、电子政务安全基础设施和工程建设、电子政务安全基础设施和工程建设n2005年，信息安全基础设施建设全面展开，年，信息安全基础设施建设全面展开，“国际出入国际出入 口监控中心口监控中心”、“安全产品评测认证中心安全产

11、品评测认证中心”等已经初步建等已经初步建 成。基于密码技术的网络信任体系建设将更加成熟。成。基于密码技术的网络信任体系建设将更加成熟。 电子政务公钥基础设施建设已经起步，在国务院信息电子政务公钥基础设施建设已经起步，在国务院信息 化工作办公室领导下的国家电子政务化工作办公室领导下的国家电子政务PKI体系已经取得体系已经取得 阶段性的成果。阶段性的成果。n电子政务外网工程电子政务外网工程n“金审金审”工程工程n“金财金财”工程工程国家信息中心 吕欣12三 发展趋势和政策建议三 发展趋势和政策建议n1、加强组织领导，整合安全资源、加强组织领导，整合安全资源建设信息安全保障体系是一个全社会的系统工程

12、，只有依靠建设信息安全保障体系是一个全社会的系统工程，只有依靠 全社会的力量，加强组织领导，整合安全资源，促进电子政全社会的力量，加强组织领导，整合安全资源，促进电子政 务安全工作的可持续发展。电子政务建设不仅是信息资源和务安全工作的可持续发展。电子政务建设不仅是信息资源和 网络资源的整合，也是基础设施资源、技术资源、管理资源网络资源的整合，也是基础设施资源、技术资源、管理资源 和教育资源等的整合。和教育资源等的整合。应加快制定与电子政务安全相关的政策和管理条例，以指导应加快制定与电子政务安全相关的政策和管理条例，以指导 电子政务建设的各种行为，依据加强领导、长期规划、整合电子政务建设的各种行

13、为，依据加强领导、长期规划、整合 资源、促进合作、标准先行、分步实施的原则，保障电子政资源、促进合作、标准先行、分步实施的原则，保障电子政务建设和管理工作的制度化运作。务建设和管理工作的制度化运作。国家信息中心 吕欣132、提高自主创新能力 构建信息安全产业群、提高自主创新能力 构建信息安全产业群n培育具有自主创新能力的信息安全产业是保证电子政培育具有自主创新能力的信息安全产业是保证电子政 务信息安全工作的根本。务信息安全工作的根本。n2005年，我国对年，我国对Hash函数等信息安全基础理论的研究函数等信息安全基础理论的研究 取得了重要突破；具有自主产权的取得了重要突破；具有自主产权的“恒志

14、恒志”安全芯片在安全芯片在 防火墙、防病毒等领域得到应用；网络信息内容检测防火墙、防病毒等领域得到应用；网络信息内容检测 技术与组织体系得到了进一步发展。技术与组织体系得到了进一步发展。n2005年电子政务安全等级保护实施指南和年电子政务安全等级保护实施指南和2006年年 信息安全等级保护相关标准的出台无疑对规范信息安信息安全等级保护相关标准的出台无疑对规范信息安 全市场和服务，推动信息安全产业的发展，加大信息全市场和服务，推动信息安全产业的发展，加大信息 安全建设的投入力度具有重要作用。安全建设的投入力度具有重要作用。国家信息中心 吕欣143、强化外包管理机制、强化外包管理机制n随着社会信息

15、化程度的不断深入，政府由办公自动化随着社会信息化程度的不断深入，政府由办公自动化 发展到电子政务阶段，由于技术复杂、风险大、人员发展到电子政务阶段，由于技术复杂、风险大、人员 管理难度高、长期运维包袱重等特点，电子政务工程管理难度高、长期运维包袱重等特点，电子政务工程 外包逐步被人们所接收。外包逐步被人们所接收。n由于外包制度的不完善，外包企业人员可以随意访问由于外包制度的不完善，外包企业人员可以随意访问 政府的重要资源和敏感信息，修改信息内容。在工程政府的重要资源和敏感信息，修改信息内容。在工程 建设过程中，外包企业对政务系统的弱点和漏洞甚至建设过程中，外包企业对政务系统的弱点和漏洞甚至 比

16、政府了解的更为详细。比政府了解的更为详细。n美国标准美国标准国家信息中心 吕欣154、关注隐私安全关注隐私安全国家信息中心 吕欣16隐私威隐私威胁胁和和对对策策完善电子政务应急完善电子政务应急 处理工作，强化防处理工作，强化防 范措施，做好灾备范措施，做好灾备 工作工作电子政务系统中的个人信息被非电子政务系统中的个人信息被非 法团体和恐怖组织利用实施破坏法团体和恐怖组织利用实施破坏 公众利益，影响社会稳定和国家公众利益，影响社会稳定和国家 安全安全非法团体和恐怖非法团体和恐怖 组织组织加强技术和管理上加强技术和管理上 的防范措施的防范措施黑客非法入侵导致政务信息的外黑客非法入侵导致政务信息的外 泄、删除、篡改泄、删除、篡改黑客黑客尽快出台尽快出台“政务网络政务网络 工程外包信息安全工程外包信息安全 管理办法管理办法”在工程建设期间，访问或获取政在工程建设期间，访问或获取政 府或公民敏感信息府或公民敏感信息合同商合