第8章 电子政务信息安全体系[31页]
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
特性。 真实性,指信息所反映的内容与客观事物主体一致的特性。
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.1.2 电子政务信息安全面临的威胁
电子政务信息安全威胁是指对电子政务信息的机密性、完整性、不可否
认性、可用性、可控性、真实性的破坏,或对其合法使用所造成的风险
技术方面 电子政府行使政府职能的特点会导致来自外部或内部的各种攻击,包括 黑客组织、犯罪集团或某些国家行为的攻击。 物理安全风险、链路安全风险、网络安全风险、系统安全风险和应用 安全风险
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
电子政务信息安全建设原则 ① 安全分级原则 ② 同步性原则 ③ 多重防护原则 ④ 合法性原则
电子政务安全策略实施工作 ① 安全保障体系建设 ② 安全与应用并行 ③ 信息安全体系建设 ④ 支撑平台与安全产品选择 ⑤ 技术产品安全评估和信息安全评估工作同时进行,并以此为基础,对 政务信息进行严格分类,明确各种信息的访问权限和信息加密强度
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
电子政务网络的安全保护的三个阶段 事前:发现网络潜在的安全问题或者是潜在的弱点、隐患并加以弥补 扫描系统 事中:对正在运行的系统采取保护措施,防止黑客攻击 防火墙和入侵检测技术 事后:取证 审计系统
结合电子政务应用特点和重要性,在安全法律、法规、政策的支持与指导 下,政府可以通过采用成熟、先进的安全技术产品,再辅以必要的安全管理 措施,来制定合理的应对策略,对电子政务信息安全进行全局统一规划并制 定信息安全整体解决方案。
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.2.2 电子政务信息安全的针对性策略
电子政务信息安全的针对性策略 1. 进不来 2. 拿不走 3. 看不懂 4. 改不了 5. 走不脱
针对电子政务信息安全威胁的策略
物理安全(实体安全:环境安全、设备安全和媒体安全) 建立备用系统、双机热备、故障隔离机制、电磁波干扰或屏蔽,以及机房 的防火、防盗措施等;对主机房和重要信息的存储、收发部门进行必要 的安全保护设计
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
2. 数据加密机制 包括传输加密和文件加密 数据加密机制是信息安全的核心,利用数据加密机制可以实现身份鉴别、
数据安全存储和转发、通信加密、高强度的隔离和访问控制等 相关概念
明文和密文 加密和解密 算法和密钥 密码体系(对称密钥加密体制 非对称密钥加密体制)
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.2.1 电子政务信息安全的目标和原则
目标 保护政务信息资源不受侵犯,面临最小的安全风险和获得最大的安全利益
技术安全
管理安全
综合策略 第一,国家主导、社会参与。 第二,全局治理、积极防御。采用法律威慑、管理制约、技术保障和安全 基础设施支撑的全局治理措施,并且实施防护、检测、恢复和反攻击的积 极防御手段。 第三,等级保护、保障发展。电子政务建设要根据信息的密级及所面临的 威胁等级,确定满足需求的安全策略,选择合适的安全技术产品,达到要求的 安全强度,以保障电子政务系统的健康发展。
电子政务信息安全整体解决方案
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.1 电子政务信息安全的需求
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.1.1 电子政务信息安全的基本需求
信息安全的定义 在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件 和数据不因偶然和恶意的原因而遭到破坏、更改和泄露
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.3 电子政务技术安全体系设计
电子政府与电子政务(第二版)
8.3.1 常用的电子政务信息安全机制
新编21世纪公共管理系列教材
1. 访问控制机制 是网络安全防范和保护的主要策略;主要任务是保证网络资源不被非 法使用和非常访问;主要利用操作系统设置和专用的设备,是维护网络 系统安全、保护网络资源的重要手段。 ① 权限管理和口令设置 ② 防火墙技术 ③ 入侵检测系统 ④ 漏洞扫描技术
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
链路安全 • 要求数据在链路上传输必须加密
网络安全 • 通过网络安全检测、网络监控与入侵防范等手段,防止非法用户穿过系 统的访问控制进行特权数据的读取或对系统进行破坏
系统安全 • 指网络操作系统、数据库系统以及其他底层支撑系统的安全,目的是建 立一个可信的安全操作环境
机密性,也称保密性,要求信息不为非法用户所知、所用。 完整性,指未经授权不能对信息进行修改的特性。 可用性,软件或系统的最基本特性,是指被授权用户或实体访问并按需求使
用的特性 不可否认性,指证实行为已经发生的特性,以保证行为不能抵赖。 可控性,指对信息的访问、传播方式以及信息的内容具有控制能力的一种
应用安全 • 指为保障应用系统功能的安全实现,提供包括风险分析、权限管理、访 问控制、审计跟踪、备份与恢复等在内的一系列安全措施,来保护信息
处理过程的安全 管理安全
• 指通过有关的法律法规、政策制度以及安全管理手段等来确保系统的 安全运行
• 采取安全评估、安全政策、安全标准、安全制度和安全审计等策略
管理方面 网络系统的安全问题绝大部分都是来自内部。 主要有:内部人员故意泄露网络结构;安全管理员有意透露其用户名及口 令;内部不怀好意的员工编写破坏程序在内网上传播;内部人员通过各种 方式盗取他人的涉密信息并传播出去;等等。
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.2 电子政务信息安全的策略
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
电子政府与电子政务
(第二版)
张锐昕主编
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
第8章
电子政务信息安全体系
电子政府与电子政务(第二版)
电子政务信息安Leabharlann Baidu体系
新编21世纪公共管理系列教材
电子政务信息安全的需求 电子政务信息安全的策略
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.1.2 电子政务信息安全面临的威胁
电子政务信息安全威胁是指对电子政务信息的机密性、完整性、不可否
认性、可用性、可控性、真实性的破坏,或对其合法使用所造成的风险
技术方面 电子政府行使政府职能的特点会导致来自外部或内部的各种攻击,包括 黑客组织、犯罪集团或某些国家行为的攻击。 物理安全风险、链路安全风险、网络安全风险、系统安全风险和应用 安全风险
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
电子政务信息安全建设原则 ① 安全分级原则 ② 同步性原则 ③ 多重防护原则 ④ 合法性原则
电子政务安全策略实施工作 ① 安全保障体系建设 ② 安全与应用并行 ③ 信息安全体系建设 ④ 支撑平台与安全产品选择 ⑤ 技术产品安全评估和信息安全评估工作同时进行,并以此为基础,对 政务信息进行严格分类,明确各种信息的访问权限和信息加密强度
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
电子政务网络的安全保护的三个阶段 事前:发现网络潜在的安全问题或者是潜在的弱点、隐患并加以弥补 扫描系统 事中:对正在运行的系统采取保护措施,防止黑客攻击 防火墙和入侵检测技术 事后:取证 审计系统
结合电子政务应用特点和重要性,在安全法律、法规、政策的支持与指导 下,政府可以通过采用成熟、先进的安全技术产品,再辅以必要的安全管理 措施,来制定合理的应对策略,对电子政务信息安全进行全局统一规划并制 定信息安全整体解决方案。
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.2.2 电子政务信息安全的针对性策略
电子政务信息安全的针对性策略 1. 进不来 2. 拿不走 3. 看不懂 4. 改不了 5. 走不脱
针对电子政务信息安全威胁的策略
物理安全(实体安全:环境安全、设备安全和媒体安全) 建立备用系统、双机热备、故障隔离机制、电磁波干扰或屏蔽,以及机房 的防火、防盗措施等;对主机房和重要信息的存储、收发部门进行必要 的安全保护设计
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
2. 数据加密机制 包括传输加密和文件加密 数据加密机制是信息安全的核心,利用数据加密机制可以实现身份鉴别、
数据安全存储和转发、通信加密、高强度的隔离和访问控制等 相关概念
明文和密文 加密和解密 算法和密钥 密码体系(对称密钥加密体制 非对称密钥加密体制)
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.2.1 电子政务信息安全的目标和原则
目标 保护政务信息资源不受侵犯,面临最小的安全风险和获得最大的安全利益
技术安全
管理安全
综合策略 第一,国家主导、社会参与。 第二,全局治理、积极防御。采用法律威慑、管理制约、技术保障和安全 基础设施支撑的全局治理措施,并且实施防护、检测、恢复和反攻击的积 极防御手段。 第三,等级保护、保障发展。电子政务建设要根据信息的密级及所面临的 威胁等级,确定满足需求的安全策略,选择合适的安全技术产品,达到要求的 安全强度,以保障电子政务系统的健康发展。
电子政务信息安全整体解决方案
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.1 电子政务信息安全的需求
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.1.1 电子政务信息安全的基本需求
信息安全的定义 在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件 和数据不因偶然和恶意的原因而遭到破坏、更改和泄露
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.3 电子政务技术安全体系设计
电子政府与电子政务(第二版)
8.3.1 常用的电子政务信息安全机制
新编21世纪公共管理系列教材
1. 访问控制机制 是网络安全防范和保护的主要策略;主要任务是保证网络资源不被非 法使用和非常访问;主要利用操作系统设置和专用的设备,是维护网络 系统安全、保护网络资源的重要手段。 ① 权限管理和口令设置 ② 防火墙技术 ③ 入侵检测系统 ④ 漏洞扫描技术
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
链路安全 • 要求数据在链路上传输必须加密
网络安全 • 通过网络安全检测、网络监控与入侵防范等手段,防止非法用户穿过系 统的访问控制进行特权数据的读取或对系统进行破坏
系统安全 • 指网络操作系统、数据库系统以及其他底层支撑系统的安全,目的是建 立一个可信的安全操作环境
机密性,也称保密性,要求信息不为非法用户所知、所用。 完整性,指未经授权不能对信息进行修改的特性。 可用性,软件或系统的最基本特性,是指被授权用户或实体访问并按需求使
用的特性 不可否认性,指证实行为已经发生的特性,以保证行为不能抵赖。 可控性,指对信息的访问、传播方式以及信息的内容具有控制能力的一种
应用安全 • 指为保障应用系统功能的安全实现,提供包括风险分析、权限管理、访 问控制、审计跟踪、备份与恢复等在内的一系列安全措施,来保护信息
处理过程的安全 管理安全
• 指通过有关的法律法规、政策制度以及安全管理手段等来确保系统的 安全运行
• 采取安全评估、安全政策、安全标准、安全制度和安全审计等策略
管理方面 网络系统的安全问题绝大部分都是来自内部。 主要有:内部人员故意泄露网络结构;安全管理员有意透露其用户名及口 令;内部不怀好意的员工编写破坏程序在内网上传播;内部人员通过各种 方式盗取他人的涉密信息并传播出去;等等。
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
8.2 电子政务信息安全的策略
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
电子政府与电子政务
(第二版)
张锐昕主编
电子政府与电子政务(第二版)
新编21世纪公共管理系列教材
第8章
电子政务信息安全体系
电子政府与电子政务(第二版)
电子政务信息安Leabharlann Baidu体系
新编21世纪公共管理系列教材
电子政务信息安全的需求 电子政务信息安全的策略