电子政务的安全保障
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
27
3.4.3 电子政务安全的法律保障
电子政务安全的法律保障包括基础性 法规建设和标准性法规建设。
信息安全法规是信息资源安全管理走 向成熟化、正规化和法制化的表现。
政务信息公开法的出台说明了我国在 电子政务安全管理上正逐渐走向成熟。
28
近年来,我国信息安全标准 化工作发展较快,在国家质 量技术监督局的领导下,全 国信息化标准委员会及其下 属的信息安全分技术委员会 在制订我国信息安全标准方 面做了大量的工作。
国家计算机网络与信息安全 管理中心提供的资料显示
2001年中美黑客大战期间,在遭受美国黑 客攻击的我国大陆网站中,政府网站占了 41.5%。 也就是说政府网站成为重点攻击对象。
对照安全标准来衡量,中央国家部委的涉 密网络有一半以上未达到安全保密要求。
3
再比如:
XX公司一个员工把工作电脑带回家, 为了获得更快的运行效率,部分关 闭了防病毒软件的功能,使得木马 程序植入他的电脑,最后又被植入 到XX公司内部网系统,导致源代码 的泄露。
建立完整的公钥基础设施 (Public Key Infrastructure, PKI),它是基于公开密钥理 论和技术建立起来的安全体 系,是提供信息安全服务的 具有普适性的安全基础设施。
17
建立这套基础设施
的目的是解决网络空间 的身份认证与信任问题
18
3.3.3-1电子政务中的内外网隔离
三网隔离关系示意图
20
3.3.3—2 逻辑隔离
是指两个网络之间通过专用的计算机 设备连接,这个计算机通过执行一定 的安全策略,从而控制两个网络之间 信息包的流入和流出。最常用的设备 是防火墙。
电子政务中的外网与互联网之间即采 取逻辑隔离。
21
3.3.4 其它安全技术 包括
1. 虚拟专用网络(VPN) 2. 入侵检测系统(IDS) 3. 漏洞扫描系统 这里不展开讲.
比如上海财税局系统容灾、数据集中备份项目就 是针对上海市财税系统迫切需要解决的安全性需 求而建设的。
12
二是技术措施。它是利用计算机网 络产品和技术服务实现的,包括技术规 范、技术方案、技术实施等内容。
三是管理措施。包括管理体系,管理 制度和法律保障。
其中,管理和技术的有效结合是保证 电子政务系统的安全的必备手段。下面 进行详细介绍
政
物
务
理
内
隔
网
离
政府和行
逻
业部门公 众服务网
辑 隔
站(政务外
离
互 联 网
网)
19
3.3.3—1 物理隔离
是指将两个网络完全断开,使之不发生实 际的物理连接。这样一来,网络黑客便无 法进入内网。
“9.11”恐怖袭击事件后,美国政府提出建 立独立于Internet的政府专用网GOVNET。
我国电子政务的内网与外网之间采取的是 物理隔离 。
指内部和外部人员有意通过物理手段 破坏信息系统而影响信息的机密性、 完整性、可用性和可控性。比如:有 意破坏基础设施、扩散计算机病毒、 电子欺骗等。 这种风险带来的破坏一般而言是巨大 的。 严重时会引起整个系统的瘫痪和 不可恢复。
6
四是管理风险
它是指因为口令和密钥管理不当、 制度遗漏,岗位、职责设置不全 面等因素引起信息泄露、系统无 序运行等。
扩展市场,开发未来,实现现在。202 0年12 月10日 星期四 下午8时 27分37 秒20:2 7:3720. 12.10
做专业的企业,做专业的事情,让自 己专业 起来。2 020年1 2月下 午8时27 分20.1 2.1020:27December 10, 2020
时间是人类发展的空间。2020年12月1 0日星 期四8时 27分37 秒20:2 7:3710 December 2020
答案是构建一个电子政务综合安 全体系。
这种安全体系应该包括风险评估、 策略制定、技术实现、制度建立、 流程保障、人员培训等一系列内 容。
11
电子政务的安全措施包括三个方面
一是物理层的安全防护措施。主要通过制定物理 层面的管理规范和措施来保证计算机网络设备、 设施及数据信息免遭自然灾害、人为操作失误或 错误、计算机犯罪行为导致的物理实体被破坏、 服务中断、数据遗失。
科学,你是国力的灵魂;同时又是社 会发展 的标志 。下午8 时27分 37秒下 午8时2 7分20:27:3720 .12.10
每天都是美好的一天,新的一天开启 。20.12. 1020.1 2.1020:2720:27 :3720:2 7:37De c-20
人生不是自发的自我发展,而是一长 串机缘 。事件 和决定 ,这些 机缘、 事件和 决定在 它们实 现的当 时是取 决于我 们的意 志的。2 020年1 2月10 日星期 四8时27 分37秒 Thursd ay , December 10, 2020
13
第三部分 电子政务安全的技术对策
首先是 网络层的安全 大家知道网络的组 成包括 客户机—信道----服务器三个方面, 因此,安全对策也有三个方面。
1 客户机(用户终端)安全的对策 就是保护客户机免受网上下载软件和数据
的威胁,方法有数字证书、浏览器内置的 安全特性和使用防病毒软件。
14
3.3.1---2. 通讯信道的安全
用书面的形式对各项要求做出明文规 定。包括人员管理、保密、跟踪审计、系 统维护、数据备份、病毒定期清理等一系 列制度。 这些制度是保证电子政务系统正常有 序运行的基础,是电子政务人员必须遵守 的工作守则。
25
这里强调一下 关于人员管理的四项基本原则
1、多人负责原则----每一项与安全有关 的活动,都必须有两人或多人在场。
2、任期有限原则 ——任何人最好不要长 期担任与安全有关的职务,以免使他认 为这个职务是专有的或永久的。
26
3是 最小权限原则 ——每个 人只负责一种事务,只有一 种权限。
4、职责分离原则——在信息 处理系统工作的人员不要打 听、了解或参与职责以外的 任何与安全有关的事情,除 非系统主管领导批准。
31
每一次的加油,每一次的努力都是为 了下一 次更好 的自己 。20.12. 1020.1 2.10Th ursday , December 10, 2020
天生我材必有用,千金散尽还复来。2 0:27:37 20:27:3 720:27 12/10/2 020 8:27:37 PM
安全象只弓,不拉它就松,要想保安 全,常 把弓弦 绷。20. 12.1020 :27:372 0:27De c-2010 -Dec-2 0
29
思考题
1. 电子政务的安全目标是什么? 2. 完整的电子政务综合安全体系包括哪些
内容? 当前我国电子政务安全存在的问 题主要有哪些? 3. 简述电子政务的安全威胁的几种类型? 4. 电子政务服务器的安全问题及对策? 5. 电子政务内网、外网与互联网之间的隔 离关系?
30
6. 电子政务中的内网和外网大致包括什 么内容? 7. 简述电子政务安全管理体系的组成? 8. 简述电子政务安全运作的基本原则? 9. 电子政务安全管理制度的包括哪些方 面?
电子政务的安全
分四个部分 ·电子政务安全概述 ·电子政务安全风险分析 ·电子政务安全的技术对策 ·电子政务安全的管理对策。
1
第一部分 电子政务安全概述
电子政务的重要性和特殊性必然会 招致各种势力的关注和攻击。
因此,电子政务的实施在带来高效 率和便利的同时也存在许多风险。
我们必须清醒地认识到这一点。2
得道多助失道寡助,掌控人心方位上 。20:27:3720:2 7:3720:27Thur sday , December 10, 2020
安全在于心细,事故出在麻痹。20.12. 1020.1 2.1020:27:3720 :27:37 December 10, 2020
加强自身建设,增强个人的休养。202 0年12 月10日 下午8时 27分20 .12.102 0.12.10
感情上的亲密,发展友谊;钱财上的 亲密, 破坏友 谊。20. 12.1020 20年12 月10日 星期四 8时27 分37秒2 0.12.10
谢谢大家!风险外, 一切可能危及信息系统的机密性、 完整性、可用性、可控性和系统 正常运行的风险。
正是存在上述诸多风险,电子政务 的安全体系建设显得忧为重要。
8
基于此我们确定 电子政务系统信息安全的宗旨
是在实现电子政务信息系 统时充分考虑信息风险, 从而确保政府部门能够有 效地完成法律所赋予的政 府职能。
9
电子政务的安全目标 有以下三方面
一是保护政务信息资源价值不受侵犯。 二是保证信息资产的拥有者(政务主
体)面临最小的风险和获取最大的安 全利益。 三是使政务的信息基础设施、信息应 用服务和信息内容具有保密性、完整 性、真实性、可用性和可控性的能力。
10
那么,我们如何 实现电子政务的安全目标呢
保护通讯信道的安全就是要保证 通讯的保密性、传输信息的完整 性和信道的可用性。 保密性和完整性主要通过各种加 密的方式来实现。
15
3.3.1---3 电子政务服务器的安全
一是访问控制和认证 二是操作系统控制 -------大家最常见的就是
用户名+口令 的认证方式。
16
3.3.2电子政务服务应用层 安全策略
4
第二部分 电子政务的安全风险
下面我们基于风险产生的原因, 把电子 政务安全风险分为5类:
一是 物理风险—比如自然灾害,电 力供应突然中断,静电、强磁场破 坏硬件设备以及设备老化等引起的 风险。
二是无意错误风险---是指由于人为 或系统错误而影响信息的完整性、 机密性和可用性。
5
三是有意破坏
22
第四部分 电子政务安全的管理对策
首先是 部署完善的电子政务安 全管理体系
请看示意图
23
电子政务安全管理体系
技术保障体系
运行管理体系
社会服务体系
技术研发 防护系统
行政管理 技术管理 风险管理
安全管理 测评认证 应急响应 教育培训
基础设施平台 PKI 认证平台 法规建设 标准建设
24
3.4.2建立安全管理制度
3.4.3 电子政务安全的法律保障
电子政务安全的法律保障包括基础性 法规建设和标准性法规建设。
信息安全法规是信息资源安全管理走 向成熟化、正规化和法制化的表现。
政务信息公开法的出台说明了我国在 电子政务安全管理上正逐渐走向成熟。
28
近年来,我国信息安全标准 化工作发展较快,在国家质 量技术监督局的领导下,全 国信息化标准委员会及其下 属的信息安全分技术委员会 在制订我国信息安全标准方 面做了大量的工作。
国家计算机网络与信息安全 管理中心提供的资料显示
2001年中美黑客大战期间,在遭受美国黑 客攻击的我国大陆网站中,政府网站占了 41.5%。 也就是说政府网站成为重点攻击对象。
对照安全标准来衡量,中央国家部委的涉 密网络有一半以上未达到安全保密要求。
3
再比如:
XX公司一个员工把工作电脑带回家, 为了获得更快的运行效率,部分关 闭了防病毒软件的功能,使得木马 程序植入他的电脑,最后又被植入 到XX公司内部网系统,导致源代码 的泄露。
建立完整的公钥基础设施 (Public Key Infrastructure, PKI),它是基于公开密钥理 论和技术建立起来的安全体 系,是提供信息安全服务的 具有普适性的安全基础设施。
17
建立这套基础设施
的目的是解决网络空间 的身份认证与信任问题
18
3.3.3-1电子政务中的内外网隔离
三网隔离关系示意图
20
3.3.3—2 逻辑隔离
是指两个网络之间通过专用的计算机 设备连接,这个计算机通过执行一定 的安全策略,从而控制两个网络之间 信息包的流入和流出。最常用的设备 是防火墙。
电子政务中的外网与互联网之间即采 取逻辑隔离。
21
3.3.4 其它安全技术 包括
1. 虚拟专用网络(VPN) 2. 入侵检测系统(IDS) 3. 漏洞扫描系统 这里不展开讲.
比如上海财税局系统容灾、数据集中备份项目就 是针对上海市财税系统迫切需要解决的安全性需 求而建设的。
12
二是技术措施。它是利用计算机网 络产品和技术服务实现的,包括技术规 范、技术方案、技术实施等内容。
三是管理措施。包括管理体系,管理 制度和法律保障。
其中,管理和技术的有效结合是保证 电子政务系统的安全的必备手段。下面 进行详细介绍
政
物
务
理
内
隔
网
离
政府和行
逻
业部门公 众服务网
辑 隔
站(政务外
离
互 联 网
网)
19
3.3.3—1 物理隔离
是指将两个网络完全断开,使之不发生实 际的物理连接。这样一来,网络黑客便无 法进入内网。
“9.11”恐怖袭击事件后,美国政府提出建 立独立于Internet的政府专用网GOVNET。
我国电子政务的内网与外网之间采取的是 物理隔离 。
指内部和外部人员有意通过物理手段 破坏信息系统而影响信息的机密性、 完整性、可用性和可控性。比如:有 意破坏基础设施、扩散计算机病毒、 电子欺骗等。 这种风险带来的破坏一般而言是巨大 的。 严重时会引起整个系统的瘫痪和 不可恢复。
6
四是管理风险
它是指因为口令和密钥管理不当、 制度遗漏,岗位、职责设置不全 面等因素引起信息泄露、系统无 序运行等。
扩展市场,开发未来,实现现在。202 0年12 月10日 星期四 下午8时 27分37 秒20:2 7:3720. 12.10
做专业的企业,做专业的事情,让自 己专业 起来。2 020年1 2月下 午8时27 分20.1 2.1020:27December 10, 2020
时间是人类发展的空间。2020年12月1 0日星 期四8时 27分37 秒20:2 7:3710 December 2020
答案是构建一个电子政务综合安 全体系。
这种安全体系应该包括风险评估、 策略制定、技术实现、制度建立、 流程保障、人员培训等一系列内 容。
11
电子政务的安全措施包括三个方面
一是物理层的安全防护措施。主要通过制定物理 层面的管理规范和措施来保证计算机网络设备、 设施及数据信息免遭自然灾害、人为操作失误或 错误、计算机犯罪行为导致的物理实体被破坏、 服务中断、数据遗失。
科学,你是国力的灵魂;同时又是社 会发展 的标志 。下午8 时27分 37秒下 午8时2 7分20:27:3720 .12.10
每天都是美好的一天,新的一天开启 。20.12. 1020.1 2.1020:2720:27 :3720:2 7:37De c-20
人生不是自发的自我发展,而是一长 串机缘 。事件 和决定 ,这些 机缘、 事件和 决定在 它们实 现的当 时是取 决于我 们的意 志的。2 020年1 2月10 日星期 四8时27 分37秒 Thursd ay , December 10, 2020
13
第三部分 电子政务安全的技术对策
首先是 网络层的安全 大家知道网络的组 成包括 客户机—信道----服务器三个方面, 因此,安全对策也有三个方面。
1 客户机(用户终端)安全的对策 就是保护客户机免受网上下载软件和数据
的威胁,方法有数字证书、浏览器内置的 安全特性和使用防病毒软件。
14
3.3.1---2. 通讯信道的安全
用书面的形式对各项要求做出明文规 定。包括人员管理、保密、跟踪审计、系 统维护、数据备份、病毒定期清理等一系 列制度。 这些制度是保证电子政务系统正常有 序运行的基础,是电子政务人员必须遵守 的工作守则。
25
这里强调一下 关于人员管理的四项基本原则
1、多人负责原则----每一项与安全有关 的活动,都必须有两人或多人在场。
2、任期有限原则 ——任何人最好不要长 期担任与安全有关的职务,以免使他认 为这个职务是专有的或永久的。
26
3是 最小权限原则 ——每个 人只负责一种事务,只有一 种权限。
4、职责分离原则——在信息 处理系统工作的人员不要打 听、了解或参与职责以外的 任何与安全有关的事情,除 非系统主管领导批准。
31
每一次的加油,每一次的努力都是为 了下一 次更好 的自己 。20.12. 1020.1 2.10Th ursday , December 10, 2020
天生我材必有用,千金散尽还复来。2 0:27:37 20:27:3 720:27 12/10/2 020 8:27:37 PM
安全象只弓,不拉它就松,要想保安 全,常 把弓弦 绷。20. 12.1020 :27:372 0:27De c-2010 -Dec-2 0
29
思考题
1. 电子政务的安全目标是什么? 2. 完整的电子政务综合安全体系包括哪些
内容? 当前我国电子政务安全存在的问 题主要有哪些? 3. 简述电子政务的安全威胁的几种类型? 4. 电子政务服务器的安全问题及对策? 5. 电子政务内网、外网与互联网之间的隔 离关系?
30
6. 电子政务中的内网和外网大致包括什 么内容? 7. 简述电子政务安全管理体系的组成? 8. 简述电子政务安全运作的基本原则? 9. 电子政务安全管理制度的包括哪些方 面?
电子政务的安全
分四个部分 ·电子政务安全概述 ·电子政务安全风险分析 ·电子政务安全的技术对策 ·电子政务安全的管理对策。
1
第一部分 电子政务安全概述
电子政务的重要性和特殊性必然会 招致各种势力的关注和攻击。
因此,电子政务的实施在带来高效 率和便利的同时也存在许多风险。
我们必须清醒地认识到这一点。2
得道多助失道寡助,掌控人心方位上 。20:27:3720:2 7:3720:27Thur sday , December 10, 2020
安全在于心细,事故出在麻痹。20.12. 1020.1 2.1020:27:3720 :27:37 December 10, 2020
加强自身建设,增强个人的休养。202 0年12 月10日 下午8时 27分20 .12.102 0.12.10
感情上的亲密,发展友谊;钱财上的 亲密, 破坏友 谊。20. 12.1020 20年12 月10日 星期四 8时27 分37秒2 0.12.10
谢谢大家!风险外, 一切可能危及信息系统的机密性、 完整性、可用性、可控性和系统 正常运行的风险。
正是存在上述诸多风险,电子政务 的安全体系建设显得忧为重要。
8
基于此我们确定 电子政务系统信息安全的宗旨
是在实现电子政务信息系 统时充分考虑信息风险, 从而确保政府部门能够有 效地完成法律所赋予的政 府职能。
9
电子政务的安全目标 有以下三方面
一是保护政务信息资源价值不受侵犯。 二是保证信息资产的拥有者(政务主
体)面临最小的风险和获取最大的安 全利益。 三是使政务的信息基础设施、信息应 用服务和信息内容具有保密性、完整 性、真实性、可用性和可控性的能力。
10
那么,我们如何 实现电子政务的安全目标呢
保护通讯信道的安全就是要保证 通讯的保密性、传输信息的完整 性和信道的可用性。 保密性和完整性主要通过各种加 密的方式来实现。
15
3.3.1---3 电子政务服务器的安全
一是访问控制和认证 二是操作系统控制 -------大家最常见的就是
用户名+口令 的认证方式。
16
3.3.2电子政务服务应用层 安全策略
4
第二部分 电子政务的安全风险
下面我们基于风险产生的原因, 把电子 政务安全风险分为5类:
一是 物理风险—比如自然灾害,电 力供应突然中断,静电、强磁场破 坏硬件设备以及设备老化等引起的 风险。
二是无意错误风险---是指由于人为 或系统错误而影响信息的完整性、 机密性和可用性。
5
三是有意破坏
22
第四部分 电子政务安全的管理对策
首先是 部署完善的电子政务安 全管理体系
请看示意图
23
电子政务安全管理体系
技术保障体系
运行管理体系
社会服务体系
技术研发 防护系统
行政管理 技术管理 风险管理
安全管理 测评认证 应急响应 教育培训
基础设施平台 PKI 认证平台 法规建设 标准建设
24
3.4.2建立安全管理制度