電子政務(wù)的安全

1、1,電子政務(wù)的安全,分四個部分 ·電子政務(wù)安全概述·電子政務(wù)安全風(fēng)險分析·電子政務(wù)安全的技術(shù)對策·電子政務(wù)安全的管理對策。,2,第一部分電子政務(wù)安全概述,電子政務(wù)的重要性和特殊性必然會招致各種勢力的關(guān)注和攻擊。因此，電子政務(wù)的實施在帶來高效率和便利的同時也存在許多風(fēng)險。我們必須清醒地認(rèn)識到這一點。,3,國家計算機(jī)網(wǎng)絡(luò)與信息安全管理中心提供的資料顯示,2001年中美黑客大戰(zhàn)期間，

2、在遭受美國黑客攻擊的我國大陸網(wǎng)站中，政府網(wǎng)站占了41.5%。 也就是說政府網(wǎng)站成為重點攻擊對象。對照安全標(biāo)準(zhǔn)來衡量，中央國家部委的涉密網(wǎng)絡(luò)有一半以上未達(dá)到安全保密要求。,4,再比如：XX公司一個員工把工作電腦帶回家，為了獲得更快的運(yùn)行效率，部分關(guān)閉了防病毒軟件的功能，使得木馬程序植入他的電腦，最后又被植入到XX公司內(nèi)部網(wǎng)系統(tǒng)，導(dǎo)致源代碼的泄露。,5,第二部分 電子政務(wù)的安全風(fēng)險,下面我們基于風(fēng)險產(chǎn)生的原因, 把電子政務(wù)安全風(fēng)險

3、分為5類：一是 物理風(fēng)險—比如自然災(zāi)害，電力供應(yīng)突然中斷，靜電、強(qiáng)磁場破壞硬件設(shè)備以及設(shè)備老化等引起的風(fēng)險。二是無意錯誤風(fēng)險---是指由于人為或系統(tǒng)錯誤而影響信息的完整性、機(jī)密性和可用性。,6,三是有意破壞,指內(nèi)部和外部人員有意通過物理手段破壞信息系統(tǒng)而影響信息的機(jī)密性、完整性、可用性和可控性。比如：有意破壞基礎(chǔ)設(shè)施、擴(kuò)散計算機(jī)病毒、電子欺騙等。 這種風(fēng)險帶來的破壞一般而言是巨大的。 嚴(yán)重時會引起整個系統(tǒng)的癱瘓和不可恢復(fù)。,7

4、,四是管理風(fēng)險,它是指因為口令和密鑰管理不當(dāng)、制度遺漏，崗位、職責(zé)設(shè)置不全面等因素引起信息泄露、系統(tǒng)無序運(yùn)行等。,8,五是其它風(fēng)險,是指除上述所列舉的一些風(fēng)險外，一切可能危及信息系統(tǒng)的機(jī)密性、完整性、可用性、可控性和系統(tǒng)正常運(yùn)行的風(fēng)險。 正是存在上述諸多風(fēng)險，電子政務(wù)的安全體系建設(shè)顯得憂為重要。,9,基于此我們確定電子政務(wù)系統(tǒng)信息安全的宗旨,是在實現(xiàn)電子政務(wù)信息系統(tǒng)時充分考慮信息風(fēng)險，從而確保政府部門能夠有效地完成法律所賦予的政府職

5、能。,10,電子政務(wù)的安全目標(biāo)有以下三方面,一是保護(hù)政務(wù)信息資源價值不受侵犯。二是保證信息資產(chǎn)的擁有者（政務(wù)主體）面臨最小的風(fēng)險和獲取最大的安全利益。三是使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容具有保密性、完整性、真實性、可用性和可控性的能力。,11,那么，我們?nèi)绾螌崿F(xiàn)電子政務(wù)的安全目標(biāo)呢,答案是構(gòu)建一個電子政務(wù)綜合安全體系。這種安全體系應(yīng)該包括風(fēng)險評估、策略制定、技術(shù)實現(xiàn)、制度建立、流程保障、人員培訓(xùn)等一系列內(nèi)容。,12

6、,電子政務(wù)的安全措施包括三個方面,一是物理層的安全防護(hù)措施。主要通過制定物理層面的管理規(guī)范和措施來保證計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施及數(shù)據(jù)信息免遭自然災(zāi)害、人為操作失誤或錯誤、計算機(jī)犯罪行為導(dǎo)致的物理實體被破壞、服務(wù)中斷、數(shù)據(jù)遺失。比如上海財稅局系統(tǒng)容災(zāi)、數(shù)據(jù)集中備份項目就是針對上海市財稅系統(tǒng)迫切需要解決的安全性需求而建設(shè)的。,13,,二是技術(shù)措施。它是利用計算機(jī)網(wǎng)絡(luò)產(chǎn)品和技術(shù)服務(wù)實現(xiàn)的，包括技術(shù)規(guī)范、技術(shù)方案、技術(shù)實施等內(nèi)容。

7、 三是管理措施。包括管理體系,管理制度和法律保障。 其中，管理和技術(shù)的有效結(jié)合是保證電子政務(wù)系統(tǒng)的安全的必備手段。下面進(jìn)行詳細(xì)介紹,14,第三部分電子政務(wù)安全的技術(shù)對策,首先是 網(wǎng)絡(luò)層的安全 大家知道網(wǎng)絡(luò)的組成包括 客戶機(jī)—信道----服務(wù)器三個方面，因此，安全對策也有三個方面。1 客戶機(jī)（用戶終端）安全的對策就是保護(hù)客戶機(jī)免受網(wǎng)上下載軟件和數(shù)據(jù)的威脅，方法有數(shù)字證書、瀏覽器內(nèi)置的安全特性和使用防病毒軟件。,15,3

8、.3.1---2. 通訊信道的安全,保護(hù)通訊信道的安全就是要保證通訊的保密性、傳輸信息的完整性和信道的可用性。 保密性和完整性主要通過各種加密的方式來實現(xiàn)。,16,3.3.1---3 電子政務(wù)服務(wù)器的安全,一是訪問控制和認(rèn)證二是操作系統(tǒng)控制-------大家最常見的就是 用戶名+口令 的認(rèn)證方式。,17,3.3.2電子政務(wù)服務(wù)應(yīng)用層安全策略,建立完整的公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，P

9、KI）,它是基于公開密鑰理論和技術(shù)建立起來的安全體系，是提供信息安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。,18,建立這套基礎(chǔ)設(shè)施,的目的是解決網(wǎng)絡(luò)空間的身份認(rèn)證與信任問題,19,3.3.3-1電子政務(wù)中的內(nèi)外網(wǎng)隔離,三網(wǎng)隔離關(guān)系示意圖,20,3.3.3—1 物理隔離,是指將兩個網(wǎng)絡(luò)完全斷開，使之不發(fā)生實際的物理連接。這樣一來，網(wǎng)絡(luò)黑客便無法進(jìn)入內(nèi)網(wǎng)。 “9.11”恐怖襲擊事件后，美國政府提出建立獨立于Internet的政府專用網(wǎng)GOVNE

10、T。我國電子政務(wù)的內(nèi)網(wǎng)與外網(wǎng)之間采取的是物理隔離 。,21,3.3.3—2 邏輯隔離,是指兩個網(wǎng)絡(luò)之間通過專用的計算機(jī)設(shè)備連接，這個計算機(jī)通過執(zhí)行一定的安全策略，從而控制兩個網(wǎng)絡(luò)之間信息包的流入和流出。最常用的設(shè)備是防火墻。電子政務(wù)中的外網(wǎng)與互聯(lián)網(wǎng)之間即采取邏輯隔離。,22,3.3.4 其它安全技術(shù)包括,1. 虛擬專用網(wǎng)絡(luò)(VPN)2. 入侵檢測系統(tǒng)（IDS）3. 漏洞掃描系統(tǒng)這里不展開講.,23,第四部分電子政務(wù)安全的管

11、理對策,首先是 部署完善的電子政務(wù)安全管理體系請看示意圖,24,,25,3.4.2建立安全管理制度,用書面的形式對各項要求做出明文規(guī)定。包括人員管理、保密、跟蹤審計、系統(tǒng)維護(hù)、數(shù)據(jù)備份、病毒定期清理等一系列制度。 這些制度是保證電子政務(wù)系統(tǒng)正常有序運(yùn)行的基礎(chǔ)，是電子政務(wù)人員必須遵守的工作守則。,26,這里強(qiáng)調(diào)一下關(guān)于人員管理的四項基本原則,1、多人負(fù)責(zé)原則----每一項與安全有關(guān)的活動，都必須有兩人或多人

12、在場。 2、任期有限原則 ——任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個職務(wù)是專有的或永久的。,27,3是 最小權(quán)限原則 ——每個人只負(fù)責(zé)一種事務(wù)，只有一種權(quán)限。 4、職責(zé)分離原則——在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。,28,3.4.3 電子政務(wù)安全的法律保障,電子政務(wù)安全的法律保障包括基礎(chǔ)性法規(guī)建設(shè)和標(biāo)準(zhǔn)性法規(guī)建設(shè)。 信息安全法規(guī)是信息資源安全管理走

13、向成熟化、正規(guī)化和法制化的表現(xiàn)。 政務(wù)信息公開法的出臺說明了我國在電子政務(wù)安全管理上正逐漸走向成熟。,29,近年來，我國信息安全標(biāo)準(zhǔn)化工作發(fā)展較快，在國家質(zhì)量技術(shù)監(jiān)督局的領(lǐng)導(dǎo)下，全國信息化標(biāo)準(zhǔn)委員會及其下屬的信息安全分技術(shù)委員會在制訂我國信息安全標(biāo)準(zhǔn)方面做了大量的工作。,30,思考題,1. 電子政務(wù)的安全目標(biāo)是什么？2. 完整的電子政務(wù)綜合安全體系包括哪些內(nèi)容？ 當(dāng)前我國電子政務(wù)安全存在的問題主要有哪些？3. 簡述電子政務(wù)的