《电子政务信息安全》由会员分享,可在线阅读,更多相关《电子政务信息安全(139页珍藏版)》请在金锄头文库上搜索。
1、电子政务信息安全q第一节 电子政务信息安全需求与策略q第二节 电子政务信息安全整体解决方案q第三节 我国电子政务信息安全管理组织目录第一节 电子政务信息安全需求与策略 电子政务安全的宗旨:在电子政务系统建设和 实施过程中充分考虑各种风险,最大限度地保护硬 件、软件、信息和网络的安全,核心是保护电子政 务信息安全,以确保电子政府能够有效行使政府职 能。 一、电子政务信息安全基本需求 信息安全:包含信息系统的安全和信息的安全 。 计算机安全:为数据处理系统建立和采取的技 术和管理的安全保护,保护计算机硬件、软件和数 据不因偶然和恶意的原因而遭到破坏、更改和显露。 这一定义也同样适用于电子政务信息安
2、全。(国际 标准化组织ISO) 电子政务信息安全的基本需求:可用性、完整 性、保密性、不可否认性和可控性(保障性)。 电子政务的安全目标有以下三方面:一是保护政务信息资源价值不受侵犯 。 二是保证信息资源的拥有者(政务主 体)面临最小的风险和获取最大的安全利 益。 三是使政务的信息基础设施、信息应 用服务和信息内容具有可用性、完整性、 保密性、不可否认性和可控性的能力。国家计算机网络与信息安全管理中心提供的资料n政府网站成为重点攻击对象。 2001年中美黑客 大战期间,在遭受美国黑客攻击的我国大陆网站中, 政府网站占了41.5%。n对照安全标准来衡量,中央国家部委的涉密网络 有一半以上未达到安
3、全保密要求。 n“9.11”恐怖袭击事件后,美国政府提出建立独立 于Internet的政府专用网GOVNETn微软公司一个员工把工作电脑带回家,为了获得 更快的运行效率,部分关闭了防病毒软件的功能,使 得木马程序植入他的电脑,最后又被植入到微软公司 内部网系统,导致源代码的泄露。美国国家安全协会统计数据l98%的企业都曾遇过病毒感染问题l63%的企业都曾因感染病毒失去文件资料l80%的Web服务器受到过黑客攻击l82%以上的企业建成内部网;l50%以上的CIO认为网络安全是最头疼的问题;l80%的国内网站存在安全隐患;lFBI调查表明,95%的网络入侵未被发现。五个“不知道”l不知道采取什么措
4、施有效地保护信息安全;l面对众多的网络安全产品,不知道如何合理选 择;l购买产品后,不知道如何正确使用;l在使用过程中,不知道怎样制订安全管理机制 ;l出现问题,不知道怎么办。投入对比l在国外企业IT投资中,网络安全投 资占2030%;l在国内企业IT投资中,网络安全投 资仅占5%左右;第一节 电子政务信息安全需求与策略 二、电子政务信息安全威胁 一般主要来自技术和管理方面。 技术风险技术方面的安全风险主要包括物理安全 风险、链路安全风险、网络安全风险、系统 安全风险和应用安全风险等5个方面。 PKI体系(公钥加密技术) CA中心- 数字证书- 标准接口- 电力基础设施(输电线路等) 发电站-
5、 电子(电压 )- 电源插座 电器设备(电视、电饭锅、电冰箱 )应用系统(MIS系统、信息发布系统 )防火墙简介防火墙的概念是借用了建筑学上的一个 术语。在建筑学中的防火墙是用来防止大火 从建筑物的一部分蔓延到另一部分而设置的 阻挡机构。防火墙简介作用 它将提供给外部使用的服务器通过一定技术和设备隔离开 来,让那些设备形成一个保护区,我们一般称之为防火区 。它隔离内部网与外部网,并提供存取控制与保密服务, 使内部网有选择地与外部网进行信息交换。 对内部网络与外部网络的相互访问进行控制,包括统计流 量、控制访问等方面,有效对访问内容根据需要进行把关 。 内部网络与通过防火墙,使外部的网段得到隔离
6、,内部网 络的IP地址范围就不会受到外部网络的IP地址的影响,保 证了内部网络的独立性和可扩展性。在电子政府建设中,防火墙是用于隔离Intranet与Extranet、 Intranet与Internet,保障网络信息安全的重要技术手段。防火墙是一个或多个设置了访问策略的系统,通常放在两个网络之 间,可以检查控制通过的数据,允许授权的信息通过,限制非法的入侵和 窃取。简单的防火墙可以只用路由器实现,复杂的可以用主机甚至一个子 网来实现。它可以在IP层设置屏障,也可以用应用层软件来阻止外来攻击 。但无论如何配置,设置防火墙都是为了在内部网与外部网之间设立惟一 的通道。它简化了网络的安全管理。归纳
7、起来,防火墙的功能有:p控制不安全的服务,防止用户的非法访问和非法用户 的访问;p控制对特殊站点的访问;p某些防火墙提供内容过滤功能;可以完成病毒过滤功 能;p集成了入侵检测功能;p集中安全保护,提供了监视Internet安全和预警的方 便端点;p提供网络连接的日志记录及使用统计。 防火墙根据不同的标准有不同的分类。从技术实现角度,防火墙可 分为数据包过滤、应用级网关和复合型防火墙等三种类型。数据包过滤(Packet Filtering) 数据包过滤技术是在网络层对数据包进行选 择,选择的依据是系统内设置的过滤逻辑,被称 为访问控制表(Access Control Table)。通过检查 数据
8、流中每个数据包的源地址、目的地址、所用 的端口号、协议状态等因素,或它们的组合来确 定是否允许该数据包通过。 数据包过滤防火墙逻 辑简单,价格便宜,易于安装和使用,网络性能 和透明性好,传输性能和可扩展能力强。它通常 安装在路由器上。路由器是内部网络与Internet连 接必不可少的设备,因此在原有网络上增加这样 的防火墙几乎不需要任何额外的费用。 应用级网关(Application Gateway) 应用级网关也常常称为代理服务器,是在网络应用层 上建立协议过滤和转发功能。应用型防火墙的物理位置与包 过滤路由器一样,但它的逻辑位置在应用层上,所以主要采 用协议代理服务(Proxy Servi
9、ces)。就是在运行防火墙软件的 堡垒主机(Bastion host)上运行代理服务程序Proxy。应用 型防火墙不允许网络间的直接业务联系,而是以堡垒主机作 为数据转发的中转站。堡垒主机是一个具有两个网络界面的 主机,每一个网络截面与它所对应的网络进行通信。既能作 为服务器接收外来请求,又能作为客户转发请求。如果认为 信息是安全的,那么代理就会将信息转发到相应的主机上, 用户只能够使用代理服务器支持的服务。在业务进行时,堡 垒主机监控全过程并完成详细的日志(log)和审计(audit ),这就大大地提高了网络的安全性。应用型防火墙易于建 立和维护,造价较低,比包过滤路由器更安全,但缺少透明
10、性,效率相对较低。 复合型防火墙 包过滤路由器虽有较好的透明性,但无 法有效地区分同一IP地址的不同用户;应用 型防火墙可以提供详细的日志及身份验证, 但又缺少透明性。因此,在实际应用中,往 往将两种防火墙技术结合起来,以取长补短,形成复合型防火墙。 防火墙软件 + 防火墙简介实质防火墙是一种安全有效的防范技术,是访问控制机制、安全策 略和防入侵措施。狭义上:防火墙是指安装了防火墙软件的主机或路由器系统;广义上:防火墙还包括了整个网络的安全策略和安全行为。它 是通过在网络边界上建立起来的相应网络安全监测系统来隔 离内部和外部网络,以确定哪些内部服务允许外部访问,以 及允许哪些外部服务访问内部服
11、务,阻挡外部网络的入侵;防火墙软件 + 安全策略 + 安全行为 + 政务信息化网络总体安全14防病毒数据交换内部网络INTERNET外部网络专用网络防黑客物理隔离访问控制访问控制应用系统安全应用系 统安全应用系 统安全n电子政务应用系统解决方案n 电子政务应用系统的层次结构图 应用支撑层业务应用层外网 门户 网站 公共 行政 系统 政务公开专网 信息 发布 网站多媒 体传 输系 统信息共享公文 处理 系统办公 自动 化系 统领导 决策 支持 系统其 他 应 用 系 统政府办公安全 Web 服务数据 交换 服务电子 邮件 服务流程 控制 服务密 码 服 务认 证 服 务时间 戳服 务授 权 服
12、务业务支撑安全支撑其他 业务 服务其他 安全 服务返回nInternet基本结构 骨干网区域骨干网区域骨干网用户接入网用户接入网用户接入网用户接入网第二节 电子政务信息安全整体解决方案 返回数据库管理员(DBA)数据库硬件操作系统数据库管理系统应用系统用户图 数据库系统n返 回n 网络反病毒技术包括预防病毒、检测病毒和消毒三种技术 。n 预防病毒技术:它通过自身常驻系统内存,优先获得系统 的控制权,监视和判断系统中是否有病毒存在,进而阻止病毒进入计算 机系统和对系统进行破坏。这类技术有:加密可执行程序、引导区保护 、系统监控与读写控制(如防病毒卡等)。n 检测病毒技术:它是通过对病毒的静态或者
13、动态特征进行 判断的技术,如自身校验、关键字、文件长度的变化等。n 消毒技术:它通过对计算机病毒的分析,开发出具有删 除病毒程序并恢复原文件的软件。网络反病毒技术的具体实现方法包括 对网络服务器中的文件进行频繁地扫描和监测;在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。 返回附件:电子政务建设的组织管理一、电子政务建设的管理体制 (一)信息化进程中电子政务建设的管理体制演变 1993年我国信息化建设基本起步,之后党和国家领导人江泽民、 李鹏、朱镕基、李岚清等相继提出了信息化建设的任务,启动了“金卡 ”、“金桥”、“金关”等重大信息化工程,拉开了国民经济信息化的 序幕。 1993年12
14、月,成立了以国务院副总理邹家华为主席的国家经济信 息化联席会议,以加强统一领导。 1994年5月,成立了国家信息化专家组,作为国家信息化建设的决 策参谋机构,为建设国家信息化体系,推动国家信息化进程提出了许多 重要建议。 1996年1月,国务院信息化工作领导小组成立,由国务院副总理邹 家华任组长、由20多个部委领导组成国务院信息化工作领导小组,统一 领导和组织协调全国的信息化工作,并提出了信息化建设必须坚持“统 筹规划,国家主导;统一标准,联合建设;互联互通,资源共享”的24 字指导方针。此后的两年中,中央和地方都确立了信息化在国民经济和 社会发展中的重要地位,符合我国国情的信息化发展思路初步
15、形成。 附件:电子政务建设的组织管理1998年3月,组建信息产业部。随着国务院机构的新一轮改革,将 原国务院信息化工作领导小组办公室整建制并入新组建的信息产业部, 负责推进国民经济和社会服务信息化的工作。在信息产业部内部机构设 置上,设立了信息化推进司(国家信息化办公室)。 1999年2月,国家信息化领导小组变更为国家信息化办公室专家委 员会。 1999年12月,恢复国务院信息化工作领导小组。为了加强对国家 信息化工作的领导,决定成立由国务院副总理吴邦国任组长的国家信息 化工作领导小组,并将国家信息化办公室改名为国家信息化推进工作办 公室。此间,信息产业部努力推动电信体制改革,初步形成了中国电
16、信 、中国移动、中国联通、中国网通、中国铁通等多家电信运营公司开展 市场竞争的格局。与此同时,会同有关部门,积极推动政府信息化、企业信息化和电子商务,在国民经济信息化方面做了大量工作。 附件:电子政务建设的组织管理2001年8月,国家信息化工作办办公室成立。党中央、国务务院在原有 的基础础上成立了由朱镕镕基任组长组长 ,胡锦锦涛、李岚岚清、丁关根、吴邦国、 曾培炎等同志任副组长组长 ,相关党政军军等部门门的领导领导 同志为为成员员的国家信 息化领导领导 小组组(高规规格的领导领导 机构)。同时时它的办办事机构国务务院信 息化工作办办公室也正式成立,由国家发发展计计划委员员会主任、国家信息化 领导领导 小组组副组长组长 曾培炎兼任国务务院信息化工作办办公室主任,并将原由信 息产业产业 部承担的国家信息化工作推进进的办办公室的职职能、国家计计算机网络络 与信息安全管理工作办办公室的职职能,一并转转入国务务院信息化工作办办公室 。在此阶阶段,中国的电电信基础设础设
