第8章电子政务安全管理
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第8页
(1)技术风险
按 攻击 手段 分类
第9页
系统穿透 违反授权
植入 通信监视
通信串扰 中断
指未经授权人通过一定手段对认证系统进行攻击,假冒合法用户接入政 府内部系统,实现对文件进行篡改、窃取机密信息、非法使用资源等
指授权进入系统做某件事的用户,在系统中进行未经授权的其他事情
指入侵者要在系统中设置一种能力,为以后攻击提供方便条件。植入 一般在系统穿透或违反授权攻击成功后,采取向系统中注入病毒等
第36页
PKI与PMI之间的比较
第37页
国家信息安全基础设施(NISI)
第38页
PKI
(构建信息安 全平台,提供 智能化的信任
服务 )
PMI
(构建授权管理平台, 在PKI信息安全平台的 基础上提供智能化的
授权服务 )
DMS (目录管理体系:提供 政务信息资源发现、定 位功能、及相关应用的
系统。)
第16页
加密技术
对称密钥加密技术
不对称密钥加密技术
不对称加密又称为公开密钥加密,是1976年由斯坦福 大学提出来的。与对称密钥系统相比,公开密钥加密 技术需要使用一对相关的密钥:一个用来加密,另一 个用来解密。该技术的设想是,密钥对是与相应的系 统联系在一起的,其中私有密钥是由系统所保密持有 的,而公开密钥则是公开的,但知道公开密钥是不能 推导出私有密钥的。
认政
证务
平 台
安
政 务 安
务
全全
提
法标
供
规准
商
2.1电子政务技术支撑体系
▪ 1物理安全 ▪ 2网络安全 ▪ 3.系统和应用安全
第12页
1.物理安全:就是保证对物理设施的合法访问,避免人为破坏, 并将自然灾难的影响降到最低。
环境安全
线路设备安全 第13页
物理安全
存储媒体安全
2.网络安全:网络安全指网络通信的安全性,政府内网、 外网和公网之间的隔离,界定访问权限等。
入侵检测系 统
第26页
防病毒系统
漏洞扫描系 统
安全认证
2.2电子政务安全运营管理体系
▪ 1安全运营组织结构 ▪ 2安全运营规章制度 ▪ 3安全运营的内容
第27页
1.安全组织机构
安全领导小组
安全专家小组
决策组织
日常信息安全 管理办公室
日常安全维护 工作小组
信息应急响应 管理办公室
应急响应 工作小组
(2)管理风险 组织及人员风险 管理制度不完善 安全策略有漏洞
缺乏应急体系
一些安全保密管理制度
2.电子政务安全管理体系
电子政务安全管理体系
技术支撑体系
运行管理体系
基础保障体系
物网系 理络统 安安及 全全应
用 安 全
第11页
行安风 政全险 管策管 理略理
管 理
第 PK 电 电
三
I 子子
方 安 全 服
一切未被禁止 的都是允许的
防 火 墙 的 分 类
第20页
防火墙
数据包过滤防火墙 应用级网关型防火墙 代理服务器型防火墙
共同缺点: 依赖特定的 逻辑判断是 否允许数据 包通过,这 不利于抗击 非法访问和
攻击。
这是针对数据包过滤和应用网关技术存在的 缺点而引入的防火墙技术,其特点是将所有
跨越防火墙的网络通信链路分为两段。
指在通信过程中从信道进行搭线窃听
指攻击者对通信数据或通信过程进行干预,对完整性进行攻击,篡改 系统中数据的内容,修正消息次序、时间,注入伪造消息
指攻击者对系统可用性进行攻击,使系统不能正常工作
拒绝服务
指合法接入者所进行的正当行为无辜受阻
否认
指一个实体进行某种通信或交易活动后否认曾进行过这一活动
第10页
▪ 1)隔离技术:
政府内网
网络安全指网络通信的安全性, 政府内网、外网和公网之间的隔 离,界定访问权限等。
互联网
第14页
物理隔离, 采用隔离网
闸技术
政府外网
逻辑隔离,包括VLAN、 访问控制、VPN、防 火墙、身份识别、代
理服务器
加密技术
源文件 (明文 )
密钥加密
加密后的信息(密文)
第15页
因特网 密钥解密 数据加密过程
入侵检测系 统
第24页
防病毒系统
漏洞扫描系 统
安全认证
漏洞扫描系统的功能:动态分析系统的安全 漏洞,检查用户网络中的安全隐患,发布检 测报告、提供有关漏洞的详细信息和最佳解 决对策。
案例12:微软的漏洞
入侵检测系 统
第25页
防病毒系统
漏洞扫描系 统
安全认证
用户访问系统之前必须经过身 份认证,系统根据用户身份和 授权决定用户能否访问某个资 源。
防火墙
第21页
有OS和软件, 就有漏洞
很难防护新出现的 病毒
防火墙的局限性
安全性和速度成 反比
无法阻止病毒 在内部传播
3.OS系统和应用安全
入侵检测系统 防病毒系统 漏洞扫描系统
入侵检测系统(Intrusion Detection Systems, IDS)是依照一定的安全策略, 对网络、系统的运行状况进行监视,尽 可能发现各种攻击企图、攻击行为或者 攻击结果,以保证网络系统资源的机密 性、完整性和可用性。
第33页
3.公钥基础认证平台
▪ PKI(Public Key Infrastructure) ▪ 公钥基础平台采用数字证书,通过第三方
的可信任机构——认证中心CA (Certification Authority),将用户公钥和 用户标识捆绑,提供身份验证的机制。
第34页
PKI 的 基 本 组 成
1、电子政务的安全概述
▪ 1.1电子政务安全的重要性
➢ 保护国家信息安全的需要。 ➢ 保护个人信息特别是私密信息的需要 ➢ 保护信息系统和政务网站不被侵入的需要
第1页
第2页
第3页
第4页
面临的主要安全问题:
黑客入侵和犯罪
电子 政府 信息间谍的潜入和 窃密
第5页
病毒泛滥和蔓延
内部人员的违规和违 法操作
第17页
第18页
防火墙
防火墙(firewall)是指一个由软件 和硬件设备组合而成,处于组织内 网和外网的通道之间,用来加强互 联网与内部网络之间安全防范的一 个或一组系统。它具有限制外界用 户对组织内部网络访问及管理内部 用户访问外部服务。
防 火 墙 的 安 全 策 略
第19页
防火墙
一切未被允许 的都是禁止的
加密后的信息(密文) 解密后的信息(明文)
加密技术
对称密钥加密技术
不对称密钥加密技术
对称加密,是指使用同一把密钥对信息加密、信息解密。一个 加密系统的加密密钥和解密密钥相同,或者虽然不同,但可以 由其中一个推导另一个,则为对称密钥密码体制。
加密和解密的速度很快,效率也很高,但需要仔细保存密钥,其 保密性主要取决于密钥本身的保密强度和密钥传送通道的安全性。
第35页
公钥基础认证平台
数字证书库 密钥备份及恢复系统
证书管理系统 应用接口(API)
4.特权管理认证平台
▪ PMI:Priviliege Management Infrastructure ▪ 特权管理基础平台,建立在PKI基础上,接
受用户的委托对终端用户实施权限控制, 实现用户身份到应用授权的映射功能。
安全认证 第22页
计算机病毒是指编制或在计算机程序中插 入的破坏计算机功能或者毁坏数据,影响 计算机使用,并能自我复制的一组计算机 指令或者程序代码。
计算机病毒有主动传染性、隐藏性、欺骗性、破坏 性、衍生性等特点。
入侵检测系 统
第23页
防病毒系统
漏洞扫描系 统
安全认证
防病毒技术分为主机防病毒和网络防病 毒。主机防病毒主要是安装防病毒软件, 对电脑文件访问实时监测,发现病 毒就立即清除或修复。网络防病毒通常 由安全提供商提供一整套的解决方案, 进行全面的防护。
制定工作方案, 下达具体工作, 监督管理下级工 作
第28页
日常安全维护工作单位, 完成具体的安全维护工 作
处理突发事件,实施应急 响应方案,恢复系统正常 运行
安全机构的职责:
▪ (1)对整个电子政务系统进行整体的安全 规划,制定整体的安全解决方案。
▪ (2)制定安全管理制度、安全策略、应急 方策略等;
▪ (3)监控网络的安全性,监督安全方案的 实施情况;
▪ (4)评估风险,及时提出修改、弥补方案。
第29页
2.安全管理制度
▪ 安全人员管理制度; ▪ 系统安全运行维护管理制度; ▪ 密钥管理制度; ▪ 保密制度; ▪ 访问控制管理制度等。
第30页
3.安全运营管理的内容
(1)实体的安全管理 (2)密钥的安全管理 (3)风险管理 (4)应急管理
3.电子政务安全的实施
第页
本章小结
▪ 电子政务安全的概述 ▪ 电子政务的安全体系
➢ 技术安全体系 ➢ 管理安全体系 ➢ 基础平台体系
第40页
谢谢!
第41页
1.2我国电子政务安全的现状 ▪ 缺乏安全意识 ▪ 信息与网络安全防护能力较弱 ▪ 缺乏一系列的网络安全标准
第6页
电子政务系统对网 络的高度依赖
网络的开放性
电子政务安全问题产生的原因
安全技术的缺陷 (股票系统、千年虫问题)
第7页
管理的漏洞
1.3电子政务安全分类
▪ 技术风险 ▪ 管理风险
➢ 信息的可用性 ➢ 信息的完整性 ➢ 信息的保密性 ➢ 信息的可控性 ➢ 信息的不可抵赖性
第31页
2.3电子政务安全的基础保障体系
▪ 1法律法规 ▪ 2安全标准 ▪ 3PKI认证平台 ▪ 4.PMI
第32页
2.电子政务安全标准建设
▪ 电子政务安全标准规范:
➢ 电子文档密级及标记格式 ➢ 密码算法标准、密钥管理标准 ➢ PKI/CA标准、 ➢ PMI标准、 ➢ 信息系统安全评估标准 ➢ 和网络安全产品测评标准
(1)技术风险
按 攻击 手段 分类
第9页
系统穿透 违反授权
植入 通信监视
通信串扰 中断
指未经授权人通过一定手段对认证系统进行攻击,假冒合法用户接入政 府内部系统,实现对文件进行篡改、窃取机密信息、非法使用资源等
指授权进入系统做某件事的用户,在系统中进行未经授权的其他事情
指入侵者要在系统中设置一种能力,为以后攻击提供方便条件。植入 一般在系统穿透或违反授权攻击成功后,采取向系统中注入病毒等
第36页
PKI与PMI之间的比较
第37页
国家信息安全基础设施(NISI)
第38页
PKI
(构建信息安 全平台,提供 智能化的信任
服务 )
PMI
(构建授权管理平台, 在PKI信息安全平台的 基础上提供智能化的
授权服务 )
DMS (目录管理体系:提供 政务信息资源发现、定 位功能、及相关应用的
系统。)
第16页
加密技术
对称密钥加密技术
不对称密钥加密技术
不对称加密又称为公开密钥加密,是1976年由斯坦福 大学提出来的。与对称密钥系统相比,公开密钥加密 技术需要使用一对相关的密钥:一个用来加密,另一 个用来解密。该技术的设想是,密钥对是与相应的系 统联系在一起的,其中私有密钥是由系统所保密持有 的,而公开密钥则是公开的,但知道公开密钥是不能 推导出私有密钥的。
认政
证务
平 台
安
政 务 安
务
全全
提
法标
供
规准
商
2.1电子政务技术支撑体系
▪ 1物理安全 ▪ 2网络安全 ▪ 3.系统和应用安全
第12页
1.物理安全:就是保证对物理设施的合法访问,避免人为破坏, 并将自然灾难的影响降到最低。
环境安全
线路设备安全 第13页
物理安全
存储媒体安全
2.网络安全:网络安全指网络通信的安全性,政府内网、 外网和公网之间的隔离,界定访问权限等。
入侵检测系 统
第26页
防病毒系统
漏洞扫描系 统
安全认证
2.2电子政务安全运营管理体系
▪ 1安全运营组织结构 ▪ 2安全运营规章制度 ▪ 3安全运营的内容
第27页
1.安全组织机构
安全领导小组
安全专家小组
决策组织
日常信息安全 管理办公室
日常安全维护 工作小组
信息应急响应 管理办公室
应急响应 工作小组
(2)管理风险 组织及人员风险 管理制度不完善 安全策略有漏洞
缺乏应急体系
一些安全保密管理制度
2.电子政务安全管理体系
电子政务安全管理体系
技术支撑体系
运行管理体系
基础保障体系
物网系 理络统 安安及 全全应
用 安 全
第11页
行安风 政全险 管策管 理略理
管 理
第 PK 电 电
三
I 子子
方 安 全 服
一切未被禁止 的都是允许的
防 火 墙 的 分 类
第20页
防火墙
数据包过滤防火墙 应用级网关型防火墙 代理服务器型防火墙
共同缺点: 依赖特定的 逻辑判断是 否允许数据 包通过,这 不利于抗击 非法访问和
攻击。
这是针对数据包过滤和应用网关技术存在的 缺点而引入的防火墙技术,其特点是将所有
跨越防火墙的网络通信链路分为两段。
指在通信过程中从信道进行搭线窃听
指攻击者对通信数据或通信过程进行干预,对完整性进行攻击,篡改 系统中数据的内容,修正消息次序、时间,注入伪造消息
指攻击者对系统可用性进行攻击,使系统不能正常工作
拒绝服务
指合法接入者所进行的正当行为无辜受阻
否认
指一个实体进行某种通信或交易活动后否认曾进行过这一活动
第10页
▪ 1)隔离技术:
政府内网
网络安全指网络通信的安全性, 政府内网、外网和公网之间的隔 离,界定访问权限等。
互联网
第14页
物理隔离, 采用隔离网
闸技术
政府外网
逻辑隔离,包括VLAN、 访问控制、VPN、防 火墙、身份识别、代
理服务器
加密技术
源文件 (明文 )
密钥加密
加密后的信息(密文)
第15页
因特网 密钥解密 数据加密过程
入侵检测系 统
第24页
防病毒系统
漏洞扫描系 统
安全认证
漏洞扫描系统的功能:动态分析系统的安全 漏洞,检查用户网络中的安全隐患,发布检 测报告、提供有关漏洞的详细信息和最佳解 决对策。
案例12:微软的漏洞
入侵检测系 统
第25页
防病毒系统
漏洞扫描系 统
安全认证
用户访问系统之前必须经过身 份认证,系统根据用户身份和 授权决定用户能否访问某个资 源。
防火墙
第21页
有OS和软件, 就有漏洞
很难防护新出现的 病毒
防火墙的局限性
安全性和速度成 反比
无法阻止病毒 在内部传播
3.OS系统和应用安全
入侵检测系统 防病毒系统 漏洞扫描系统
入侵检测系统(Intrusion Detection Systems, IDS)是依照一定的安全策略, 对网络、系统的运行状况进行监视,尽 可能发现各种攻击企图、攻击行为或者 攻击结果,以保证网络系统资源的机密 性、完整性和可用性。
第33页
3.公钥基础认证平台
▪ PKI(Public Key Infrastructure) ▪ 公钥基础平台采用数字证书,通过第三方
的可信任机构——认证中心CA (Certification Authority),将用户公钥和 用户标识捆绑,提供身份验证的机制。
第34页
PKI 的 基 本 组 成
1、电子政务的安全概述
▪ 1.1电子政务安全的重要性
➢ 保护国家信息安全的需要。 ➢ 保护个人信息特别是私密信息的需要 ➢ 保护信息系统和政务网站不被侵入的需要
第1页
第2页
第3页
第4页
面临的主要安全问题:
黑客入侵和犯罪
电子 政府 信息间谍的潜入和 窃密
第5页
病毒泛滥和蔓延
内部人员的违规和违 法操作
第17页
第18页
防火墙
防火墙(firewall)是指一个由软件 和硬件设备组合而成,处于组织内 网和外网的通道之间,用来加强互 联网与内部网络之间安全防范的一 个或一组系统。它具有限制外界用 户对组织内部网络访问及管理内部 用户访问外部服务。
防 火 墙 的 安 全 策 略
第19页
防火墙
一切未被允许 的都是禁止的
加密后的信息(密文) 解密后的信息(明文)
加密技术
对称密钥加密技术
不对称密钥加密技术
对称加密,是指使用同一把密钥对信息加密、信息解密。一个 加密系统的加密密钥和解密密钥相同,或者虽然不同,但可以 由其中一个推导另一个,则为对称密钥密码体制。
加密和解密的速度很快,效率也很高,但需要仔细保存密钥,其 保密性主要取决于密钥本身的保密强度和密钥传送通道的安全性。
第35页
公钥基础认证平台
数字证书库 密钥备份及恢复系统
证书管理系统 应用接口(API)
4.特权管理认证平台
▪ PMI:Priviliege Management Infrastructure ▪ 特权管理基础平台,建立在PKI基础上,接
受用户的委托对终端用户实施权限控制, 实现用户身份到应用授权的映射功能。
安全认证 第22页
计算机病毒是指编制或在计算机程序中插 入的破坏计算机功能或者毁坏数据,影响 计算机使用,并能自我复制的一组计算机 指令或者程序代码。
计算机病毒有主动传染性、隐藏性、欺骗性、破坏 性、衍生性等特点。
入侵检测系 统
第23页
防病毒系统
漏洞扫描系 统
安全认证
防病毒技术分为主机防病毒和网络防病 毒。主机防病毒主要是安装防病毒软件, 对电脑文件访问实时监测,发现病 毒就立即清除或修复。网络防病毒通常 由安全提供商提供一整套的解决方案, 进行全面的防护。
制定工作方案, 下达具体工作, 监督管理下级工 作
第28页
日常安全维护工作单位, 完成具体的安全维护工 作
处理突发事件,实施应急 响应方案,恢复系统正常 运行
安全机构的职责:
▪ (1)对整个电子政务系统进行整体的安全 规划,制定整体的安全解决方案。
▪ (2)制定安全管理制度、安全策略、应急 方策略等;
▪ (3)监控网络的安全性,监督安全方案的 实施情况;
▪ (4)评估风险,及时提出修改、弥补方案。
第29页
2.安全管理制度
▪ 安全人员管理制度; ▪ 系统安全运行维护管理制度; ▪ 密钥管理制度; ▪ 保密制度; ▪ 访问控制管理制度等。
第30页
3.安全运营管理的内容
(1)实体的安全管理 (2)密钥的安全管理 (3)风险管理 (4)应急管理
3.电子政务安全的实施
第页
本章小结
▪ 电子政务安全的概述 ▪ 电子政务的安全体系
➢ 技术安全体系 ➢ 管理安全体系 ➢ 基础平台体系
第40页
谢谢!
第41页
1.2我国电子政务安全的现状 ▪ 缺乏安全意识 ▪ 信息与网络安全防护能力较弱 ▪ 缺乏一系列的网络安全标准
第6页
电子政务系统对网 络的高度依赖
网络的开放性
电子政务安全问题产生的原因
安全技术的缺陷 (股票系统、千年虫问题)
第7页
管理的漏洞
1.3电子政务安全分类
▪ 技术风险 ▪ 管理风险
➢ 信息的可用性 ➢ 信息的完整性 ➢ 信息的保密性 ➢ 信息的可控性 ➢ 信息的不可抵赖性
第31页
2.3电子政务安全的基础保障体系
▪ 1法律法规 ▪ 2安全标准 ▪ 3PKI认证平台 ▪ 4.PMI
第32页
2.电子政务安全标准建设
▪ 电子政务安全标准规范:
➢ 电子文档密级及标记格式 ➢ 密码算法标准、密钥管理标准 ➢ PKI/CA标准、 ➢ PMI标准、 ➢ 信息系统安全评估标准 ➢ 和网络安全产品测评标准