《电子政务的安全保障课件》由会员分享,可在线阅读,更多相关《电子政务的安全保障课件(31页珍藏版)》请在金锄头文库上搜索。
1、电子政务的安全分四个部分电子政务安全概述电子政务安全风险分析电子政务安全的技术对策电子政务安全的管理对策。1第一部分电子政务安全概述l电子政务的重要性和特殊性必然会招致各种势力的关注和攻击。l因此,电子政务的实施在带来高效率和便利的同时也存在许多风险。l我们必须清醒地认识到这一点。2国家计算机网络与信息安全国家计算机网络与信息安全管理中心提供的资料显示管理中心提供的资料显示l2001年中美黑客大战期间,在遭受美国黑年中美黑客大战期间,在遭受美国黑客攻击的我国大陆网站中,政府网站占了客攻击的我国大陆网站中,政府网站占了41.5%。 也就是说政府网站成为重点攻击对象。也就是说政府网站成为重点攻击对
2、象。l对照安全标准来衡量,中央国家部委的涉对照安全标准来衡量,中央国家部委的涉密网络有一半以上未达到安全保密要求。密网络有一半以上未达到安全保密要求。 3l再比如:再比如:lXX公司一个员工把工作电脑带回家,公司一个员工把工作电脑带回家,为了获得更快的运行效率,部分关为了获得更快的运行效率,部分关闭了防病毒软件的功能,使得木马闭了防病毒软件的功能,使得木马程序植入他的电脑,最后又被植入程序植入他的电脑,最后又被植入到到XX公司内部网系统,导致源代码公司内部网系统,导致源代码的泄露。的泄露。 4第二部分 电子政务的安全风险 下面我们基于风险产生的原因下面我们基于风险产生的原因, 把电子把电子政务
3、安全风险分为政务安全风险分为5类:类:l一一是是 物物理理风风险险比比如如自自然然灾灾害害,电电力力供供应应突突然然中中断断,静静电电、强强磁磁场场破破坏坏硬硬件件设设备备以以及及设设备备老老化化等等引引起起的的风险。风险。l二二是是无无意意错错误误风风险险-是是指指由由于于人人为为或或系系统统错错误误而而影影响响信信息息的的完完整整性性、机密性和可用性。机密性和可用性。5三是有意破坏三是有意破坏l指指内内部部和和外外部部人人员员有有意意通通过过物物理理手手段段破破坏坏信信息息系系统统而而影影响响信信息息的的机机密密性性、完完整整性性、可可用用性性和和可可控控性性。比比如如:有有意意破破坏坏基
4、基础础设设施施、扩扩散散计计算算机机病病毒毒、电子欺骗等。电子欺骗等。 这这种种风风险险带带来来的的破破坏坏一一般般而而言言是是巨巨大大的的。 严严重重时时会会引引起起整整个个系系统统的的瘫瘫痪痪和和不可恢复。不可恢复。6四是管理风险l它它是是指指因因为为口口令令和和密密钥钥管管理理不不当当、制制度度遗遗漏漏,岗岗位位、职职责责设设置置不不全全面面等等因因素素引引起起信信息息泄泄露露、系系统统无无序运行等。序运行等。7五是其它风险l是指除上述所列举的一些风险外,是指除上述所列举的一些风险外,一切可能危及信息系统的机密性、一切可能危及信息系统的机密性、完整性、可用性、可控性和系统完整性、可用性、
5、可控性和系统正常运行的风险。正常运行的风险。 l正是存在上述诸多风险,电子政务正是存在上述诸多风险,电子政务的安全体系建设显得忧为重要。的安全体系建设显得忧为重要。8基于此我们确定基于此我们确定电子政务系统信息安全的宗旨电子政务系统信息安全的宗旨l是在实现电子政务信息系是在实现电子政务信息系统时充分考虑信息风险,统时充分考虑信息风险,从而确保政府部门能够有从而确保政府部门能够有效地完成法律所赋予的政效地完成法律所赋予的政府职能。府职能。9电子政务的安全目标有以下三方面l一是保护政务信息资源价值不受侵犯。一是保护政务信息资源价值不受侵犯。l二是保证信息资产的拥有者(政务主二是保证信息资产的拥有者
6、(政务主体)面临最小的风险和获取最大的安体)面临最小的风险和获取最大的安全利益。全利益。l三是使政务的信息基础设施、信息应三是使政务的信息基础设施、信息应用服务和信息内容具有保密性、完整用服务和信息内容具有保密性、完整性、真实性、可用性和可控性的能力。性、真实性、可用性和可控性的能力。 10那么,我们如何那么,我们如何实现电子政务的安全目标呢实现电子政务的安全目标呢l答答案案是是构构建建一一个个电电子子政政务务综综合合安安全体系。全体系。l这这种种安安全全体体系系应应该该包包括括风风险险评评估估、策策略略制制定定、技技术术实实现现、制制度度建建立立、流流程程保保障障、人人员员培培训训等等一一系
7、系列列内内容。容。11电子政务的安全措施包括三个方面电子政务的安全措施包括三个方面l一是物理层的安全防护措施。主要通过制定物理一是物理层的安全防护措施。主要通过制定物理层面的管理规范和措施来保证计算机网络设备、层面的管理规范和措施来保证计算机网络设备、设施及数据信息免遭自然灾害、人为操作失误或设施及数据信息免遭自然灾害、人为操作失误或错误、计算机犯罪行为导致的物理实体被破坏、错误、计算机犯罪行为导致的物理实体被破坏、服务中断、数据遗失。服务中断、数据遗失。l比如上海财税局系统容灾、数据集中备份项目就比如上海财税局系统容灾、数据集中备份项目就是针对上海市财税系统迫切需要解决的安全性需是针对上海市
8、财税系统迫切需要解决的安全性需求而建设的。求而建设的。 12 二是技术措施。它是利用计算机网二是技术措施。它是利用计算机网络产品和技术服务实现的,包括技术规络产品和技术服务实现的,包括技术规范、技术方案、技术实施等内容。范、技术方案、技术实施等内容。 三是管理措施。包括管理体系三是管理措施。包括管理体系,管理管理制度和法律保障。制度和法律保障。 其中,管理和技术的有效结合是保证其中,管理和技术的有效结合是保证电子政务系统的安全的必备手段。下面电子政务系统的安全的必备手段。下面进行详细介绍进行详细介绍13第三部分第三部分电子政务安全的技术对策电子政务安全的技术对策 l首先是首先是 网络层的安全网
9、络层的安全 大家知道网络的组大家知道网络的组成包括成包括 客户机客户机信道信道-服务器三个方面,服务器三个方面,因此,安全对策也有三个方面。因此,安全对策也有三个方面。l1 客户机(用户终端)安全的对策客户机(用户终端)安全的对策l就是保护客户机免受网上下载软件和数据就是保护客户机免受网上下载软件和数据的威胁,方法有数字证书、浏览器内置的的威胁,方法有数字证书、浏览器内置的安全特性和使用防病毒软件。安全特性和使用防病毒软件。 143.3.1-2. 通讯信道的安全l保护通讯信道的安全就是要保证保护通讯信道的安全就是要保证通讯的保密性、传输信息的完整通讯的保密性、传输信息的完整性和信道的可用性。性
10、和信道的可用性。 保密性和完整性主要通过各种加保密性和完整性主要通过各种加密的方式来实现。密的方式来实现。 153.3.1-3 电子政务服务器的安全电子政务服务器的安全l一是访问控制和认证一是访问控制和认证l二是操作系统控制二是操作系统控制l-大家最常见的就是大家最常见的就是 用户名用户名+口令口令 的认证方式。的认证方式。 163.3.2电子政务服务应用层安全策略l建立完整的公钥基础设施建立完整的公钥基础设施(Public Key Infrastructure,PKI),它是基于公开密钥它是基于公开密钥理论和技术建立起来的安全理论和技术建立起来的安全体系,是提供信息安全服务体系,是提供信息安
11、全服务的具有普适性的安全基础设的具有普适性的安全基础设施。施。17建立这套基础设施建立这套基础设施l的目的是解决网络空间的目的是解决网络空间的身份认证与信任问题的身份认证与信任问题183.3.3-1电子政务中的内外网隔离三网隔离关系示意图193.3.31 物理隔离物理隔离l是是指指将将两两个个网网络络完完全全断断开开,使使之之不不发发生生实实际际的的物物理理连连接接。这这样样一一来来,网网络络黑黑客客便便无无法进入内网。法进入内网。 l“9.11”恐恐怖怖袭袭击击事事件件后后,美美国国政政府府提提出出建建立立独立于独立于Internet的政府专用网的政府专用网GOVNET。l我我国国电电子子政
12、政务务的的内内网网与与外外网网之之间间采采取取的的是是物理隔离物理隔离 。203.3.32 逻辑隔离l是是指指两两个个网网络络之之间间通通过过专专用用的的计计算算机机设设备备连连接接,这这个个计计算算机机通通过过执执行行一一定定的的安安全全策策略略,从从而而控控制制两两个个网网络络之之间间信信息息包包的的流流入入和和流流出出。最最常常用用的的设设备备是防火墙。是防火墙。l电电子子政政务务中中的的外外网网与与互互联联网网之之间间即即采采取逻辑隔离。取逻辑隔离。 213.3.4 其它安全技术包括l1. 虚拟专用网络(VPN)l2. 入侵检测系统(IDS)l3. 漏洞扫描系统这里不展开讲.22第四部
13、分第四部分电子政务安全的管理对策电子政务安全的管理对策 l首首先先是是 部部署署完完善善的的电电子子政政务务安安全管理体系全管理体系l请看示意图请看示意图23243.4.2建立安全管理制度建立安全管理制度l 用书面的形式对各项要求做出明文规用书面的形式对各项要求做出明文规定。包括人员管理、保密、跟踪审计、系定。包括人员管理、保密、跟踪审计、系统维护、数据备份、病毒定期清理等一系统维护、数据备份、病毒定期清理等一系列制度。列制度。 这些制度是保证电子政务系统正常有这些制度是保证电子政务系统正常有序运行的基础,是电子政务人员必须遵守序运行的基础,是电子政务人员必须遵守的工作守则。的工作守则。25这
14、里强调一下关于人员管理的四项基本原则l1、多人负责原则、多人负责原则-每一项与安全有关的每一项与安全有关的活动,都必须有两人或多人在场。活动,都必须有两人或多人在场。 l2、任期有限原则、任期有限原则 任何人最好不要长任何人最好不要长期担任与安全有关的职务,以免使他认期担任与安全有关的职务,以免使他认为这个职务是专有的或永久的。为这个职务是专有的或永久的。 26l3是是 最小权限原则最小权限原则 每个每个人只负责一种事务,只有一人只负责一种事务,只有一种权限。种权限。 l4、职责分离原则、职责分离原则在信息在信息处理系统工作的人员不要打处理系统工作的人员不要打听、了解或参与职责以外的听、了解或
15、参与职责以外的任何与安全有关的事情,除任何与安全有关的事情,除非系统主管领导批准。非系统主管领导批准。 273.4.3 电子政务安全的法律保障电子政务安全的法律保障 l电子政务安全的法律保障包括基础性电子政务安全的法律保障包括基础性法规建设和标准性法规建设。法规建设和标准性法规建设。 l信息安全法规是信息资源安全管理走信息安全法规是信息资源安全管理走向成熟化、正规化和法制化的表现。向成熟化、正规化和法制化的表现。 l政政务务信信息息公公开开法法的的出出台台说说明明了了我我国国在在电子政务安全管理上正逐渐走向成熟。电子政务安全管理上正逐渐走向成熟。28l近年来,我国信息安全标准近年来,我国信息安
16、全标准化工作发展较快,在国家质化工作发展较快,在国家质量技术监督局的领导下,全量技术监督局的领导下,全国信息化标准委员会及其下国信息化标准委员会及其下属的信息安全分技术委员会属的信息安全分技术委员会在制订我国信息安全标准方在制订我国信息安全标准方面做了大量的工作。面做了大量的工作。29思考题l1. 电子政务的安全目标是什么?l2. 完整的电子政务综合安全体系包括哪些内容? 当前我国电子政务安全存在的问题主要有哪些?l3. 简述电子政务的安全威胁的几种类型?l4. 电子政务服务器的安全问题及对策?l5. 电子政务内网、外网与互联网之间的隔离关系?30w6. 电子政务中的内网和外网大致包括什么内容?w7. 简述电子政务安全管理体系的组成?w8. 简述电子政务安全运作的基本原则?w9. 电子政务安全管理制度的包括哪些方面?31
