4电子政务信息安全保障

第四章电子政务信息安全保障

学习目标：掌握基本概念并了解电子政务信息安全威胁评估及保障体系

学习重点及难点：电子政务信息安全保障体系

4.1信息安全及安全保障概述

4.1.1 信息安全内涵

信息安全就是包含了信息环境、信息网络和通信基础设施、数据、信息内容、媒体、信息应用等多个方面的安全。

4.1.2 信息安全基本特征

（1）真实性（2）可靠性（3）完整性（4）保密性（5）可用性（6）不可篡改性4.1.3 信息安全的目标

信息安全的目标就是要通过技术手段和有效的管理来确保政务信息系统的安全性，集中表现为对信息安全的保护以及对系统安全的保护。

可用性目标完整性目标保密性目标可记账性目标保障性目标

4.1.4 信息安全建设原则

（1）先进性原则（2）可扩展原则（3）可行性原则（4）标准化原则

（5）技术管理与管理相结合原则

4.1.5 信息安全保障体系架构

电子政务安全管理的两个层次：

国家层面的管理，就是立法和制定相关的技术标准，由执法机关来监督实施

电子政务系统使用单位的安全管理，过程为安全风险评估→建立管理体系

管理体系具体内容：

1、建立电子政务的技术保障体系

2、建立电子政务运行管理体系

3、建立社会服务体系

4、建设电子政务基础设施体系

加里〃麦金农

“史上最黑黑客” 2001年至2002年一年间，英国人加里〃麦金农非法侵入美国军方及宇航局的53处电脑网络，令美国军方电脑网络遭受到有史以来最严重的侵入，他也因此成为“世界头号军事黑客”。在两年间，麦金农利用黑客技术侵入了美国五角大楼、美宇航局、约翰逊航天中心以及美陆、海、空三军网络系统。

江西40家网站2007年遭黑客攻击七成为政府网站

江西省计算机用户协会向社会发布公告，2007年1¡ª8月份，江西至少有40家网站遭黑客恶意入侵与攻击。据了解，40家被黑客入侵的网站中，七成为各级政府所属的相关部门网站，计算机用户协会因此希望各用户单位采取措施及时防范。

记者看到，这些被黑客入侵的网站七成以上是各级政府部门的，这些网站要么被黑客篡改首页，要么被增加了页面。比如，宜春政务信息网被黑客篡改首页，新余市环境保护局被黑客增加了页面。江西省计算机用户协会的秘书长刘斌告诉记者，一旦被篡改了首页，网站就有可能打不开，或者出现大量的错误，甚至机密资料都

会被盗走；如果被增加了页面，黑客则会利用网站做广告或搞其他非法活动。刘斌说，这些被黑客入侵的网站大都是长期没有更新页面，无人管理的网站，有的网站甚至处于休克状态，且大多数没安装黑客入侵系统软件（信息日报）

域名根服务器全球分布图

根域名服务器是互联网域名解析系统（DNS）中最高级别的域名服务器，全球仅有13台根服务器。目前的分布是：主根服务器（A）美国1个，设臵在弗吉尼亚州的杜勒斯；辅根服务器（B至M）美国9个，瑞典、荷兰、日本各1个。

4.2 电子政务信息安全风险评估体系

4.2.1 电子政务信息安全风险评估框架与流程

1、电子政务信息安全风险评估原理

2、电子政务信息安全风险评估的准备

（1）确定风险评估的范围（2）确定风险评估的目标（3）建立适当的组织机构（4）建立系统性的风险评估方法

（5）获得最高管理者对风险评估策划的批准

3、资产识别及其赋值

资产：政府部门直接赋予了价值因而需要保护的东西，其存在形式可能是多种多样的，在电子政务中通常表现出来的是各种信息资产。

（1）资产分类：数据软件硬件服务文档设备人员

（2）资产赋值表：极高高中低可忽略

4、威胁识别及其赋值

信息安全威胁及其赋值

信息安全威胁是一种对组织及其资产构成潜在破坏的可能性因素或者事件。

（1）威胁分类

环境因素、意外事件、无恶意的内部人员、恶意的内部人员、第三方、外部人员攻击

（2）威胁赋值

影响因素：资产的吸引力资产转化成报仇的容易程度威胁的技术力量脆弱性被利用的难易程度

1-5等级数值越高威胁性越大

5、脆弱性识别及其赋值

又称弱点评估，弱点是资产自身所固有的，本身不会造成损失，但可以被威胁利用引起资产损害，弱点包括物理环境、组织、过程、人员等各种资产的脆弱性。（1）脆弱性分类：技术脆弱型管理脆弱型

（2）脆弱性赋值：很高高中低很低

美国一家权威机构2002年1月28日发布的安全调查报告称，去年下半年，电力与能源企业平均每家遭到700次网络攻击。电力和能源企业受到的网络攻击次数是所有其它企业的两倍以上。

4.2.2 电子政务信息安全风险的确认

1、风险等级的划分

2、控制措施的选择

方式：回避风险降低风险转移风险接受风险

3、风险评估文件的形成

风险评估过程计划信息资产识别清单

重要信息资产清单威胁参考表

脆弱性参考表风险评估记录

风险处理计划风险评估报告

1991年的海湾战争。

开战前，美国中央情报局获悉，伊拉克从法国采购了供防空系统使用的新型打印机，准备通过约旦首都安曼偷运到巴格达。

美国随即派特工在安曼机场偷偷用一块固化病毒芯片与打印机中的同类芯片调了包。

美军在战略空袭发起前，以遥控手段激活病毒，使其从打印机窜入主机，造成伊拉克防空指挥中心主计算机系统程序发生错乱、工作失灵，致使防空体系中的预警系统瘫痪，为美军顺利实施空袭创造了有利条件。

“911事件”中，世贸中心最大的主顾之一摩根斯坦利由于精心构造了远程防灾系统，双子楼的倒塌并没有给公司和客户的关键数据带来重大损失，几天后在新泽西州恢复营业

其它无灾备能力的企业损失惨重，很多企业由于无法恢复对其业务至关重要的数据而被迫倒闭。

4.3 电子政务信息安全技术

4.3.1 物理层面安全技术

环境安全设备安全存储安全

4.3.2网络层面安全技术

网络层面安全主要是指网络通信的安全，及政府内网、外网、公网之间通信是安全的。

1、数据加密技术

2、防火墙技术

3、交换机及路由器的安全策略配置

4.3.3 系统及应用层面安全技术

系统及应用层面保障主要是保证操作系统和应用服务的安全性。

1、防病毒技术

2、入侵检测系统技术

3、安全认证技术

数字签名

在我国大陆，数字签名是具法律效力的，正在被普遍使用。2000年，中华人民共和国的新《合同法》首次确认了电子合同、电子签名的法律效力。2005年4月1日起，中华人民共和国首部《电子签名法》正式实施。

口令认证

4.4 信息安全运行管理体系

4.4.1 人员管理

人员管理主要是指对电子政务系统中从事计算机信息系统工作有关人员的管理。（1）人员审查（2）人员培训（3）人员考核（4）人员调离

（5）人员管理原则（多人负责责任分散限制期限）（6）岗位人选