《电子政务的安全》由会员分享,可在线阅读,更多相关《电子政务的安全(31页珍藏版)》请在金锄头文库上搜索。
1、电子政务的安全 分四个部分 电子政务安全概述 电子政务安全风险分析 电子政务安全的技术对策 电子政务安全的管理对策。 1第一部分 电子政务安全概述l电子政务的重要性和特殊性必然会 招致各种势力的关注和攻击。l因此,电子政务的实施在带来高效 率和便利的同时也存在许多风险。l我们必须清醒地认识到这一点。2国家计算机网络与信息安全 管理中心提供的资料显示l2001年中美黑客大战期间,在遭受美国黑 客攻击的我国大陆网站中,政府网站占了 41.5%。也就是说政府网站成为重点攻击对象。l对照安全标准来衡量,中央国家部委的涉 密网络有一半以上未达到安全保密要求。 3l再比如:lXX公司一个员工把工作电脑带回
2、家 ,为了获得更快的运行效率,部分 关闭了防病毒软件的功能,使得木 马程序植入他的电脑,最后又被植 入到XX公司内部网系统,导致源代 码的泄露。 4第二部分 电子政务的安全风险 下面我们基于风险产生的原因, 把电子 政务安全风险分为5类:l一是 物理风险比如自然灾害,电 力供应突然中断,静电、强磁场破 坏硬件设备以及设备老化等引起的 风险。l二是无意错误风险-是指由于人为 或系统错误而影响信息的完整性、 机密性和可用性。5三是有意破坏l指内部和外部人员有意通过物理手段 破坏信息系统而影响信息的机密性、 完整性、可用性和可控性。比如:有 意破坏基础设施、扩散计算机病毒、 电子欺骗等。这种风险带来
3、的破坏一般而言是巨大 的。 严重时会引起整个系统的瘫痪和 不可恢复。6四是管理风险l它是指因为口令和密钥管理不当 、制度遗漏,岗位、职责设置不 全面等因素引起信息泄露、系统 无序运行等。7五是其它风险l是指除上述所列举的一些风险外 ,一切可能危及信息系统的机密 性、完整性、可用性、可控性和 系统正常运行的风险。 l正是存在上述诸多风险,电子政务 的安全体系建设显得忧为重要。8基于此我们确定 电子政务系统信息安全的宗旨l是在实现电子政务信息系 统时充分考虑信息风险, 从而确保政府部门能够有 效地完成法律所赋予的政 府职能。9电子政务的安全目标 有以下三方面l一是保护政务信息资源价值不受侵犯 。l
4、二是保证信息资产的拥有者(政务主 体)面临最小的风险和获取最大的安 全利益。l三是使政务的信息基础设施、信息应 用服务和信息内容具有保密性、完整 性、真实性、可用性和可控性的能力 。 10那么,我们如何 实现电子政务的安全目标呢l答案是构建一个电子政务综合安 全体系。l这种安全体系应该包括风险评估 、策略制定、技术实现、制度建 立、流程保障、人员培训等一系 列内容。11电子政务的安全措施包括三个方面l一是物理层的安全防护措施。主要通过制定物理 层面的管理规范和措施来保证计算机网络设备、 设施及数据信息免遭自然灾害、人为操作失误或 错误、计算机犯罪行为导致的物理实体被破坏、 服务中断、数据遗失。
5、l比如上海财税局系统容灾、数据集中备份项目就 是针对上海市财税系统迫切需要解决的安全性需 求而建设的。 12二是技术措施。它是利用计算机网 络产品和技术服务实现的,包括技术规 范、技术方案、技术实施等内容。三是管理措施。包括管理体系,管理 制度和法律保障。其中,管理和技术的有效结合是保证 电子政务系统的安全的必备手段。下面 进行详细介绍13第三部分 电子政务安全的技术对策 l首先是 网络层的安全 大家知道网络的组 成包括 客户机信道-服务器三个方面 ,因此,安全对策也有三个方面。l1 客户机(用户终端)安全的对策l就是保护客户机免受网上下载软件和数据 的威胁,方法有数字证书、浏览器内置的 安全
6、特性和使用防病毒软件。 143.3.1-2. 通讯信道的安全l保护通讯信道的安全就是要保证 通讯的保密性、传输信息的完整 性和信道的可用性。保密性和完整性主要通过各种加 密的方式来实现。 153.3.1-3 电子政务服务器的安全l一是访问控制和认证l二是操作系统控制l-大家最常见的就是用户名+口令 的认证方式 。 163.3.2电子政务服务应用层 安全策略l建立完整的公钥基础设施( Public Key Infrastructure, PKI),它是基于公开密钥理 论和技术建立起来的安全体 系,是提供信息安全服务的 具有普适性的安全基础设施 。17建立这套基础设施l的目的是解决网络空间 的身份
7、认证与信任问题183.3.3-1电子政务中的内外网隔离三网隔离关系示意图193.3.31 物理隔离l是指将两个网络完全断开,使之不发生实 际的物理连接。这样一来,网络黑客便无 法进入内网。 l“9.11”恐怖袭击事件后,美国政府提出建立 独立于Internet的政府专用网GOVNET。l我国电子政务的内网与外网之间采取的是 物理隔离 。203.3.32 逻辑隔离l是指两个网络之间通过专用的计算机 设备连接,这个计算机通过执行一定 的安全策略,从而控制两个网络之间 信息包的流入和流出。最常用的设备 是防火墙。l电子政务中的外网与互联网之间即采 取逻辑隔离。 213.3.4 其它安全技术 包括l1
8、. 虚拟专用网络(VPN)l2. 入侵检测系统(IDS)l3. 漏洞扫描系统 这里不展开讲.22第四部分 电子政务安全的管理对策 l首先是 部署完善的电子政务安 全管理体系l请看示意图23243.4.2建立安全管理制度l 用书面的形式对各项要求做出明文规 定。包括人员管理、保密、跟踪审计、系 统维护、数据备份、病毒定期清理等一系 列制度。这些制度是保证电子政务系统正常有 序运行的基础,是电子政务人员必须遵守 的工作守则。25这里强调一下 关于人员管理的四项基本原则l1、多人负责原则-每一项与安全有关的 活动,都必须有两人或多人在场。 l2、任期有限原则 任何人最好不要长 期担任与安全有关的职务
9、,以免使他认 为这个职务是专有的或永久的。 26l3是 最小权限原则 每个 人只负责一种事务,只有一 种权限。 l4、职责分离原则在信息 处理系统工作的人员不要打 听、了解或参与职责以外的 任何与安全有关的事情,除 非系统主管领导批准。 273.4.3 电子政务安全的法律保障 l电子政务安全的法律保障包括基础性 法规建设和标准性法规建设。 l信息安全法规是信息资源安全管理走 向成熟化、正规化和法制化的表现。 l政务信息公开法的出台说明了我国在 电子政务安全管理上正逐渐走向成熟 。28l近年来,我国信息安全标准 化工作发展较快,在国家质 量技术监督局的领导下,全 国信息化标准委员会及其下 属的信息安全分技术委员会 在制订我国信息安全标准方 面做了大量的工作。29思考题l1. 电子政务的安全目标是什么?l2. 完整的电子政务综合安全体系包括哪些 内容? 当前我国电子政务安全存在的问 题主要有哪些?l3. 简述电子政务的安全威胁的几种类型?l4. 电子政务服务器的安全问题及对策?l5. 电子政务内网、外网与互联网之间的隔 离关系? 30w6. 电子政务中的内网和外网大致包括什 么内容?w7. 简述电子政务安全管理体系的组成?w8. 简述电子政务安全运作的基本原则?w9. 电子政务安全管理制度的包括哪些方 面?31
