电子政务安全管理

8.2.3电子政务安全管理策略
总体策略：
1.国家主导、社会参与：电子政务安全关系到政府决策、行政监管和公 2.全局治理、积极防御：电子政务安全必须采用法律威慑、管理制约、
共服务质量的大事，必须由国家统筹规划、社会积极参与，才能建立起切实 有效的保障。 技术保障和安全基础设施支撑的全局治理措施，并且实施防护、检测、恢复 和反制的积极防御手段。
中美黑客大战
美国白宫飘起红旗
美国安全专家表示，美中黑客之间的网络大战在当地 时间4月30日(北京时间5月1日)愈加升级，其中美国白宫 的官方网站遭到电子邮件“炸弹”的攻击，同时若干个美 国和中国网站页面均被改得面目全非。 除了美国白宫的网站之外，其他被中国黑客列为攻击 目标的网站还包括美国联邦调查局(FBI)、美国航空航天局 (NASA)、美国国会、《纽约时报》、《洛杉矶时报》以及 美国有线新闻网(CNN)的网站。
5.第五级为专控保护级：适用于涉及国家安全、社会秩
8.3 电子政务安全管理实施
一.电子政务安全管理的行政管理
二.电子政务安全管理的技术管理
三.电子政务安全管理的风险管理
一.电子政务安全的行政管理
1.安全组织机构
（1）明确本单位电子政务系统的安全目标，根据安全目标来制定整体的 安全策略。 （2）根据电子政务的安全策略制定并实施各项安全措施。 （3）制定明确的规章制度 （4）制定安全规划和应急方案 （5）制定敏感信息和保密信息的安全策略，划分需要保护的数据的范畴、 密级或保护等级，根据现实需要和客观条件确定存取控制方法和加密手 段。
三.电子政务安全的风险管理
1.安全风险评估
（1）要识别风险 （2）应进行风险度量，即确 定风险对组织或系统的影响程 度 （3）要确定风险级别 （4）制定相应的风险管理策 略
2.安全风险控制
（1）选择风险控制手段 （2）采取风险规避措施 （3）必要的风险转移措施 （4）尽可能降低威胁的影响 程度 （5）对剩余风险的接受
3.等级保护、保障发展：根据信息资产的价值等级、所面临的威 胁等级来选择适度的安全机制强度等级和安全技术保障强壮性等 级，寻求一个投入和风险承受能力间的平衡点，保障电子政务系 统健康、积极发展。
我国电子政务信息安全保护等级：
1.第一级为自主保护级:适用于一般信息和信息系统，其收到破坏
后，会对公民、法人和其他组织的权益有一定的影响，但不会危害国 家安全、社会秩序、经济建设和公共利益
三.电子政务安全的风险管理
3.应急响应
（1）要有必要的事前准备，包括异常信息的检测工具和技术，以及应对突发事件的行动策略。 （2）要经常地甚至是持续地对防火墙日志、IDS日志及其他可能的信息源进行异常检测，以保证及 早发现突发事件。 （3）对初现的突发事件应能予以初始响应，包括确认事件是否真正发生、组织有关救援人员收集 易失证据等。 （4）须及时制定响应战略，并报请相关管理部门以获得批准。 （5）积极实现有关安全急救措施，包括将尚未被破坏的系统隔离出去，对已遭破坏的部分采取补 救等。 （6）应尽可能将受害系统恢复到安全、正常运转的状态。 （7）还需将整个事件的过程及响应行为详细准确地记入文档。
电子政务安全目标分解
1.通过技术自主化保障安全 2.保护信息资源 3.持续安全保障 4电子政务功能指标
8.2.2 电子政务安全管理体系
电子政务的安全管理需建立下述管理体系： 一、通过建设电子政务的安全基础措施来保障电子政务的 安全。 二、建立电子政务的技术保障体系，通过安全技术的应用 和维护来保障电子政务系统的安全。 三、对电子政务系统的运行进行安全管理 四、建立社会服务体系以实现电子政务的安全
中美黑客大战&中伊黑客大战
中美黑客大战&中伊黑客大战
8.1.2 电子政务安全方面的需要和要求
需要和要求：
1、保障电子政务整体有效运行和行政秩序的需求。 2、保障基础设施安全的需求。 3、保障电子政务系统运行安全的需求。 4、保障政务信息资源安全的需求。
8.2 电子政务安全管理
1 电子政务安全目标
序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会 对国家安全、社会秩序、经济建设和公共利益造成一定损害。 设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社 会秩序、经济建设和公共利益造成较大损害。
2.第二级为指导保护级:适用于一定程度上涉及国家安全、社会秩 3.第三级为监督保护级:适用于涉及国家安全、社会秩序、经济建
电子政务安全威胁案例
2001年中美黑客大战
中美黑客事件是由中美撞机事件直接引发的。据外电报道，首先是 一些美国国内的黑客对部分中国网站进行了攻击，从而激怒了中国 黑客，双方遂在互联网上展开了一场黑客大战。 之后，中国黑客在一个名为“中国红客联盟”的黑客组织领导下， 计划展开“第六次网络卫国战争”，在“五一”期间发动一次七日 战役，全面袭击美国网站。此事经国内各媒体大加宣传，迅速成为 一场轰轰烈烈的黑客事件。 5月4日晚，“中国红客同盟”的行动达到首个高潮，出现了“八万 中国红客攻打白宫”的场面，并迫使白宫网页一度瘫痪。预计“中 国红客联盟”的下一次行动高潮将在5月8日到来。
Thanks
组员：江雪灵 欧阳怡佩 陆晓路 陈晓彤 李政 王世杰 郭晓天
的，因此，人的因素成为造成电子政务不安全的最为主要的因素。
的复杂性、解决技术问题的复杂性，或者系统构建的健全性、匹配性都可能引起 安全问题。
2.技术系统因素：由于电子政务系统是由各种类型的信息技术构成的，技术
方面都可能造成安全管理障碍，从而引起安全管理问题。
3.安全管理因素：政府机构在安全管理的法律、政策、安全制度和安全管理措施 4.自然因素：自然灾害对电子政务构成的威胁也是现实存在的。
一.电子政务安全的行政管理
4.安全教育培训 “两个方面”：一方面需要专业的信息安全人才 另一方面要求非专业人士也应具备相应的信息安 全素养。 “多个层次”：专业的信息安全人才队伍应包括 多种层次的人才，如专业技术人员、安全管理人 员、专业研究人员和高级战略人员等。
二.电子政务安全的技术管理
1.实体安全管理
2 电子政务安全管理体系
3电子政务安全管理策略
8.2.1 电子政务安全目标
电子政务安全目标概括： 保护政务信息资源价值不受侵犯，保证政务活动主体 面临最小的风险和获取最大的安全利益，使政务的信 息基础设施、政务信息应用和政务服务体系能够抵御 侵害，并具有保密性、完整性、真实性、可用性和可 控性等安全能力，保障政务活动安全。
8.1.1 电子政务的安全环境与安全威胁
电子政务是基于网络技术 运行的，因此，电子政务 的安全环境涵盖了与社会 普遍相关的基础信息网络 安全的基本要素。电子政 务的安全实质上关系到国 家安全、公共利益和社会 稳定。
8.1.1 电子政务的安全环境与安全威胁
电子政务环境中的安全威胁包括以下几个方面： 1.人为因素 ：支撑电子政务运行的各类信息系统，是为人服务，由人来操控
一.电子政务安全的行政管理
2.安全人事管理
主要包括：认识审查与录用，岗位与责任范围的确定，工作评价，人事档案管理， 提升、调动与免职‘基础培训等。
3.安全责任制度
制度体系由以下几个部分组成： （1）系统运行维护管理制度 （2）计算机处理控制管理制度 （3）文档资料管理制度 （4）操作和管理人员管理制度 （5）机房安全管理制度 （6）定期检查与监督制度
电子政务安全防范技术
反病毒系统：反病毒技术是防范病毒的主要工具，通常是一种软 件系统。 防火墙系统：防火墙实际上是一种由软件或硬件设备组合而成的 网络安全防范系统。 虚拟专用网络：VPN是指以公用开放的网络作为基本传输媒介， 通过附加的多种技术而构建出的，具有专用网络性能的逻辑网络。 入侵检测系统：IDS用于检测各种形式的入侵行为，是安全防御 体系的一个重要组成部分。流量、内容。 物理隔离系统：使两个系统在空间上物理隔离，就可以使它们的 安全性相互独立。
我国电子政务信息安全保护等级：
序、经济建设和公共利益的信息和信息系统，其受到破坏 后，会对国家安全、社会秩序、经济建设和公共利益造成 严重损害。 序、经济建设和公共利益的信息和信息系统，其受到破坏 后，会对国家安全、社会秩序、经济建设和公共利益造成 特别严重损害。
4.第四级为强制保护级：适用于涉及国家安全、社会秩
（1）环境安全 （2）设备安全 （3）存储媒体安全
3.密钥管理 （1）保证密钥难以窃取 （2）密钥有使用范围和使用时 间的限制 （3）密钥的分配和更换过程对 用户透明，而用户不需要亲自掌 管密钥
2.软件系统管理
（1）保护软件系统的完整性 （2）保证软件系统的存储安全 （3）保障软件的通信安全 （4）保障软件的使用安全
Fra Baidu bibliotek
防火墙及黑客攻击手段
黑客攻击手段： 1.后门程序 2.信息炸弹 3.拒绝服务 4.网络监听 5.密码破解
防火墙及黑客攻击手段
DDOS攻击 如果说计算机与网络的处理 能力加大了10倍，用1台攻 击机来攻击不再能起作用的 话，攻击者使用10台攻击机 同时攻击呢？用100台呢？ DDoS就是利用更多的傀儡 机来发起进攻，以比从前更 大的规模来进攻受害者。
8.4安全保障技术
电子政务 安全保护 技术
安全保 障技术
电子政务 安全防范 技术
电子政务安全保护技术
1.数据加密技术：是把有意义的信息编码为伪随机性的
乱码， 以实现对信息保护的技术方法。它是各种现代安 全保护技术或安全防范系统的技术核心 感官对一些信息的掩蔽效应而形成的。 身份认证技术。
2.信息隐藏技术：是利用信息本身存在的冗余性和人的 3.安全认证技术：当前的认证主要采用数字签名技术和
第8章 电子政务的安全管理
PPT制作：江雪灵 欧阳怡佩 陆晓路 陈晓彤 PPT修改：李政 演讲：李政 王世杰 论文撰写：郭晓天 李政
目录
8.1 电子政务的安全需求 8.2 电子政务安全管理 8.3 电子政务安全管理实施 8.4 安全保障技术
8.1 电子政务的安全需求
什么事电子政务安全需求？ 答：电子政务的安全需求，是指在信息化环境下，政务活 动对信息安全的基本需求和要求。 电子政务的安全需求来自于电子政务的外部环境，也取决 于信息化背景下政务活动的特点和方式。