版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、第 四 章,電子政務(wù)信息安全保障,4.1信息安全及安全保障概述,4.1.1 信息安全內(nèi)涵 信息安全就是包含了信息環(huán)境、信息網(wǎng)絡(luò)和通信基礎(chǔ)設(shè)施、數(shù)據(jù)、信息內(nèi)容、媒體、信息應(yīng)用等多個(gè)方面的安全。,4.1.2 信息安全基本特征,(1)真實(shí)性(2)可靠性(3)完整性(4)保密性(5)可用性(6)不可篡改性,4.1.3 信息安全的目標(biāo),信息安全的目標(biāo)就是要通過(guò)技術(shù)手段和有效的管理來(lái)確保政務(wù)信息系統(tǒng)的安全性,集中表現(xiàn)為對(duì)信息安全的保
2、護(hù)以及對(duì)系統(tǒng)安全的保護(hù)。(1)可用性目標(biāo) (2)完整性目標(biāo)(3)保密性目標(biāo) (3)可記賬性目標(biāo)(5)保障性目標(biāo),4.1.4 信息安全建設(shè)原則,(1)先進(jìn)性原則(2)可擴(kuò)展原則(3)可行性原則(4)標(biāo)準(zhǔn)化原則(5)技術(shù)管理與管理相結(jié)合原則,4.1.5 信息安全保障體系架構(gòu),電子政務(wù)安全管理的兩個(gè)層次:國(guó)家層面的管理,就是立法和制定相關(guān)的技術(shù)標(biāo)準(zhǔn),由執(zhí)法機(jī)關(guān)來(lái)監(jiān)督實(shí)施電子政務(wù)系統(tǒng)使用單位的安全管理,過(guò)程為安全風(fēng)險(xiǎn)
3、評(píng)估→建立管理體系,,管理體系具體內(nèi)容:1、建立電子政務(wù)的技術(shù)保障體系2、建立電子政務(wù)運(yùn)行管理體系3、建立社會(huì)服務(wù)體系4、建設(shè)電子政務(wù)基礎(chǔ)設(shè)施體系,,,加里·麥金農(nóng) “史上最黑黑客” 2001年至2002年一年間,英國(guó)人加里·麥金農(nóng)非法侵入美國(guó)軍方及宇航局的53處電腦網(wǎng)絡(luò), 令美國(guó)軍方電腦網(wǎng)絡(luò)遭受到有史以來(lái)最嚴(yán)重的侵入,他也因此成為“世界頭號(hào)軍事黑客”。在兩年間,麥金農(nóng)利用黑客技術(shù)侵入了美國(guó)五角大樓、美宇航
4、局、約翰遜航天中心以及美陸、海、空三軍網(wǎng)絡(luò)系統(tǒng)。,江西40家網(wǎng)站2007年遭黑客攻擊 七成為政府網(wǎng)站,江西省計(jì)算機(jī)用戶協(xié)會(huì)向社會(huì)發(fā)布公告,2007年1—8月份,江西至少有40家網(wǎng)站遭黑客惡意入侵與攻擊。據(jù)了解,40家被黑客入侵的網(wǎng)站中,七成為各級(jí)政府所屬的相關(guān)部門網(wǎng)站,計(jì)算機(jī)用戶協(xié)會(huì)因此希望各用戶單位采取措施及時(shí)防范。 記者看到,這些被黑客入侵的網(wǎng)站七成以上是各級(jí)政府部門的,這些網(wǎng)站要么被黑客篡改首頁(yè),要么被增加了頁(yè)面。比如,宜春
5、政務(wù)信息網(wǎng)被黑客篡改首頁(yè),新余市環(huán)境保護(hù)局被黑客增加了頁(yè)面。江西省計(jì)算機(jī)用戶協(xié)會(huì)的秘書長(zhǎng)劉斌告訴記者,一旦被篡改了首頁(yè),網(wǎng)站就有可能打不開(kāi),或者出現(xiàn)大量的錯(cuò)誤,甚至機(jī)密資料都會(huì)被盜走;如果被增加了頁(yè)面,黑客則會(huì)利用網(wǎng)站做廣告或搞其他非法活動(dòng)。劉斌說(shuō),這些被黑客入侵的網(wǎng)站大都是長(zhǎng)期沒(méi)有更新頁(yè)面,無(wú)人管理的網(wǎng)站,有的網(wǎng)站甚至處于“休克”狀態(tài),且大多數(shù)沒(méi)安裝黑客入侵系統(tǒng)軟件(信息日?qǐng)?bào)),,域名根服務(wù)器全球分布圖,,根域名服務(wù)器是互聯(lián)網(wǎng)域名解析
6、系統(tǒng)(DNS)中最高級(jí)別的域名服務(wù)器,全球僅有13臺(tái)根服務(wù)器。目前的分布是:主根服務(wù)器(A)美國(guó)1個(gè),設(shè)置在弗吉尼亞州的杜勒斯;輔根服務(wù)器(B至M)美國(guó)9個(gè),瑞典、荷蘭、日本各1個(gè)。,,,4.2 電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估體系,4.2.1 電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估框架與流程1、電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估原理威脅識(shí)別 →威脅出現(xiàn)的頻率 ↘
7、 安全事件的可能性↘脆弱性識(shí)別 →脆弱性的嚴(yán)重程度↗ 風(fēng)險(xiǎn)值 ↘ 安全事件造成的損失↗資產(chǎn)識(shí)別 → 資產(chǎn)價(jià)值 ↗,2、電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備,(
8、1)確定風(fēng)險(xiǎn)評(píng)估的范圍(2)確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)(3)建立適當(dāng)?shù)慕M織機(jī)構(gòu)(4)建立系統(tǒng)性的風(fēng)險(xiǎn)評(píng)估方法(5)獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估策劃的批準(zhǔn),3、資產(chǎn)識(shí)別及其賦值,資產(chǎn):政府部門直接賦予了價(jià)值因而需要保護(hù)的東西,其存在形式可能是多種多樣的,在電子政務(wù)中通常表現(xiàn)出來(lái)的是各種信息資產(chǎn)。(1)資產(chǎn)分類:數(shù)據(jù) 軟件 硬件 服務(wù) 文檔 設(shè)備 人員(2)資產(chǎn)賦值表:極高 高 中 低 可忽略,4、威脅識(shí)別及其賦值,信息安全威脅及其賦值
9、信息安全威脅是一種對(duì)組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。(1)威脅分類環(huán)境因素、意外事件、無(wú)惡意的內(nèi)部人員、惡意的內(nèi)部人員、第三方、外部人員攻擊,(2)威脅賦值,影響因素:資產(chǎn)的吸引力 資產(chǎn)轉(zhuǎn)化成報(bào)仇的容易程度 威脅的技術(shù)力量 脆弱性被利用的難易程度1-5等級(jí)數(shù)值越高 威脅性越大,5、脆弱性識(shí)別及其賦值,又稱弱點(diǎn)評(píng)估,弱點(diǎn)是資產(chǎn)自身所固有的,本身不會(huì)造成損失,但可以被威脅利用引起資產(chǎn)損害,弱點(diǎn)包括物理環(huán)境、組織
10、、過(guò)程、人員等各種資產(chǎn)的脆弱性。(1)脆弱性分類:技術(shù)脆弱型 管理脆弱型(2)脆弱性賦值:很高 高 中 低 很低,,美國(guó)一家權(quán)威機(jī)構(gòu)2002年1月28日發(fā)布的安全調(diào)查報(bào)告稱,去年下半年,電力與能源企業(yè)平均每家遭到700次網(wǎng)絡(luò)攻擊。電力和能源企業(yè)受到的網(wǎng)絡(luò)攻擊次數(shù)是所有其它企業(yè)的兩倍以上。,4.2.2 電子政務(wù)信息安全風(fēng)險(xiǎn)的確認(rèn),1、風(fēng)險(xiǎn)等級(jí)的劃分,2、控制措施的選擇,方式:回避風(fēng)險(xiǎn) 降低風(fēng)險(xiǎn) 轉(zhuǎn)移風(fēng)險(xiǎn) 接受風(fēng)險(xiǎn)3、風(fēng)險(xiǎn)評(píng)估
11、文件的形成 風(fēng)險(xiǎn)評(píng)估過(guò)程計(jì)劃 信息資產(chǎn)識(shí)別清單 重要信息資產(chǎn)清單 威脅參考表 脆弱性參考表 風(fēng)險(xiǎn)評(píng)估記錄 風(fēng)險(xiǎn)處理計(jì)劃 風(fēng)險(xiǎn)評(píng)估報(bào)告,1991年的海灣戰(zhàn)爭(zhēng),。開(kāi)戰(zhàn)前,美國(guó)中央情報(bào)局獲悉,伊拉克從法國(guó)采購(gòu)了供防空系統(tǒng)使用的新型打印機(jī),準(zhǔn)備通過(guò)約旦首都安曼偷運(yùn)到巴格達(dá)。美國(guó)隨即派特工在安曼機(jī)場(chǎng)偷偷用一塊固化病毒芯片與打印機(jī)中的同類芯片調(diào)了包。美軍在戰(zhàn)略空襲發(fā)起前,以遙控
12、手段激活病毒,使其從打印機(jī)竄入主機(jī),造成伊拉克防空指揮中心主計(jì)算機(jī)系統(tǒng)程序發(fā)生錯(cuò)亂、工作失靈,致使防空體系中的預(yù)警系統(tǒng)癱瘓,為美軍順利實(shí)施空襲創(chuàng)造了有利條件。,,“911事件”中,世貿(mào)中心最大的主顧之一摩根斯坦利由于精心構(gòu)造了遠(yuǎn)程防災(zāi)系統(tǒng),雙子樓的倒塌并沒(méi)有給公司和客戶的關(guān)鍵數(shù)據(jù)帶來(lái)重大損失,幾天后在新澤西州恢復(fù)營(yíng)業(yè)其它無(wú)災(zāi)備能力的企業(yè)損失慘重,很多企業(yè)由于無(wú)法恢復(fù)對(duì)其業(yè)務(wù)至關(guān)重要的數(shù)據(jù)而被迫倒閉。,,4.3 電子政務(wù)信息安全技術(shù),4
13、.3.1 物理層面安全技術(shù)環(huán)境安全 設(shè)備安全 存儲(chǔ)安全,4.3.2網(wǎng)絡(luò)層面安全技術(shù),網(wǎng)絡(luò)層面安全主要是指網(wǎng)絡(luò)通信的安全,及政府內(nèi)網(wǎng)、外網(wǎng)、公網(wǎng)之間通信是安全的。1、數(shù)據(jù)加密技術(shù)2、防火墻技術(shù)3、交換機(jī)及路由器的安全策略配置,4.3.3 系統(tǒng)及應(yīng)用層面安全技術(shù),系統(tǒng)及應(yīng)用層面保障主要是保證操作系統(tǒng)和應(yīng)用服務(wù)的安全性。1、防病毒技術(shù)2、入侵檢測(cè)系統(tǒng)技術(shù),,,,3、安全認(rèn)證技術(shù)數(shù)字簽名 在我國(guó)大陸,數(shù)字簽名是具法
14、律效力的,正在被普遍使用。2000年,中華人民共和國(guó)的新《合同法》首次確認(rèn)了電子合同、電子簽名的法律效力。2005年4月1日起,中華人民共和國(guó)首部《電子簽名法》正式實(shí)施??诹钫J(rèn)證,,4.4 信息安全運(yùn)行管理體系,4.4.1 人員管理人員管理主要是指對(duì)電子政務(wù)系統(tǒng)中從事計(jì)算機(jī)信息系統(tǒng)工作有關(guān)人員的管理。(1)人員審查 (2)人員培訓(xùn) (3)人員考核 (4)人員調(diào)離 (5)人員管理原則(多人負(fù)責(zé) 責(zé)任分散 限制期限 )
15、(6)崗位人選 (7)簽訂保密合同,4.4.2 技術(shù)管理,技術(shù)管理主要是指對(duì)保障電子政務(wù)信息安全所涉及技術(shù)實(shí)體的管理。(1)涉密介質(zhì)管理(2)軟件管理系統(tǒng)(3)密鑰管理(4)技術(shù)檔案管理,4.4.3 制度管理,制度管理主要是指對(duì)保障電子政務(wù)信息安全的規(guī)章制度的管理。(1)機(jī)房安全管理制度(2)系統(tǒng)運(yùn)行維護(hù)管理制度(3)操作和管理人員管理制度(4)計(jì)算機(jī)處理控制管理制度(5)定期檢查與監(jiān)督制度(6)文檔資料管理制
16、度,4.5 信息安全保障社會(huì)服務(wù)體系,“社會(huì)”指承擔(dān)安全保障技術(shù)工作的社會(huì)專業(yè)機(jī)構(gòu)。4.5.1 外包管理服務(wù)1、信息安全咨詢服務(wù)2、安全管理評(píng)估服務(wù)3、數(shù)據(jù)安全分析服務(wù)4、安全技術(shù)管理服務(wù)5、應(yīng)急響應(yīng)服務(wù),(1)信息安全咨詢服務(wù):包括整個(gè)電子政務(wù)系統(tǒng)構(gòu)建和運(yùn)行前的整體安全策略、從安全需求分析和安全環(huán)境設(shè)置到安全防護(hù)系統(tǒng)的軟硬件組合的安全解決方案咨詢,以及全面地為用戶提供安全規(guī)范、安全制度等的咨詢。(2)安全技術(shù)管理服務(wù):主
17、要是對(duì)安全系統(tǒng)的管理,如對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵監(jiān)測(cè)、防火墻/VPN的監(jiān)管、防病毒、數(shù)據(jù)加密等的服務(wù)。(3)數(shù)據(jù)安全分析服務(wù):數(shù)據(jù)分析需要一定的深度,因?yàn)閿?shù)據(jù)中包含可能的攻擊。MSSP事先建立自己的知識(shí)庫(kù),通過(guò)知識(shí)庫(kù)來(lái)分析數(shù)據(jù)中是否隱藏著攻擊行為,并判斷威脅的級(jí)別。(4)安全管理評(píng)估服務(wù):根據(jù)安全管理措施的適用性和效率,要進(jìn)行定期的評(píng)估,它可以幫助用戶及時(shí)調(diào)整安全管理措施。(5)應(yīng)急響應(yīng)服務(wù):指供政府公務(wù)員中的信息系統(tǒng)人員參加電子政務(wù)信息
18、安全教育培訓(xùn)的服務(wù)。,4.5.2 教育培訓(xùn)服務(wù),信息安全教育培訓(xùn)服務(wù)主要是指供政府公務(wù)員中的信息系統(tǒng)人員參加電子政務(wù)信息安全教育培訓(xùn)的服務(wù)。有效管理、應(yīng)用和維護(hù)信息系統(tǒng)安全的重要基礎(chǔ),臺(tái)灣黑客對(duì)某政府網(wǎng)站的攻擊,1999年8月 ,當(dāng)時(shí)大陸黑客出于對(duì)李登輝“兩國(guó)論”謬論的憤慨,為譴責(zé)李登輝的分裂行徑,于8月份某日,一夜之間入侵了數(shù)十個(gè)臺(tái)灣政府站點(diǎn)。臺(tái)灣黑客采取了報(bào)復(fù)行動(dòng),替換了這個(gè)網(wǎng)站的首頁(yè)。經(jīng)技術(shù)人員分析,在該系統(tǒng)上實(shí)際存在至少
19、4個(gè)致命的弱點(diǎn)可以被黑客利用。但臺(tái)灣黑客并沒(méi)有利用這些比較高級(jí)的攻擊技巧,而是從一個(gè)最簡(jiǎn)單的錯(cuò)誤配置進(jìn)入了系統(tǒng)。原來(lái),其默認(rèn)帳號(hào)密碼與用戶名相同!這個(gè)用戶的權(quán)限足以讓臺(tái)灣黑客對(duì)web網(wǎng)站為所欲為。從這件事情可以看出,我們有部分系統(tǒng)管理員缺乏基本的安全素質(zhì),(1)教育培訓(xùn)的對(duì)象(專業(yè)人員 非專業(yè)人員)(2)教育培訓(xùn)的目標(biāo)(技術(shù)專業(yè)人員 安全管理人員 專業(yè)研究人員 高級(jí)戰(zhàn)略人員 非專業(yè)人士)(3)教育培訓(xùn)的層次(信息安全專業(yè)型教
20、育 信息安全應(yīng)用型教育 信息安全素養(yǎng)教育),4.5.3 測(cè)評(píng)認(rèn)證服務(wù),信息安全測(cè)評(píng)認(rèn)證服務(wù)主要是指對(duì)信息產(chǎn)品自身的基本安全防護(hù)性能的一種評(píng)價(jià)服務(wù)。從產(chǎn)品設(shè)計(jì)的角度和現(xiàn)實(shí)分析產(chǎn)品中存在的安全隱患、安全漏洞,并考慮采取安全防護(hù)和抵御攻擊的方法。,(1)測(cè)評(píng)認(rèn)證對(duì)象(開(kāi)發(fā)者 最終用戶)(2)測(cè)評(píng)認(rèn)證體系(國(guó)家信息安全測(cè)評(píng)認(rèn)證管理委員會(huì) 中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心 授權(quán)測(cè)(3)測(cè)評(píng)認(rèn)證要求(嚴(yán)格控制進(jìn)出口 強(qiáng)制
21、性認(rèn)證 政府直接控制信息技術(shù)和信息安全中心技術(shù))評(píng)機(jī)構(gòu)),總體策略:,1.國(guó)家主導(dǎo)、社會(huì)參與:電子政務(wù)安全關(guān)系到政府決策、行政監(jiān)管和公共服務(wù)質(zhì)量的大事,必須由國(guó)家統(tǒng)籌規(guī)劃、社會(huì)積極參與,才能建立起切實(shí)有效的保障。2.全局治理、積極防御:電子政務(wù)安全必須采用法律威懾、管理制約、技術(shù)保障和安全基礎(chǔ)設(shè)施支撐的全局治理措施,并且實(shí)施防護(hù)、檢測(cè)、恢復(fù)和反制的積極防御手段。3.等級(jí)保護(hù)、保障發(fā)展:根據(jù)信息資產(chǎn)的價(jià)值等級(jí)、所面臨的威脅等級(jí)來(lái)
22、選擇適度的安全機(jī)制強(qiáng)度等級(jí)和安全技術(shù)保障強(qiáng)壯性等級(jí),尋求一個(gè)投入和風(fēng)險(xiǎn)承受能力間的平衡點(diǎn),保障電子政務(wù)系統(tǒng)健康、積極發(fā)展。,我國(guó)電子政務(wù)信息安全保護(hù)等級(jí):,1.第一級(jí)為自主保護(hù)級(jí):適用于一般信息和信息系統(tǒng),其收到破壞后,會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定的影響,但不會(huì)危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益2.第二級(jí)為指導(dǎo)保護(hù)級(jí):適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家
23、安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。3.第三級(jí)為監(jiān)督保護(hù)級(jí):適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。,,4.第四級(jí)為強(qiáng)制保護(hù)級(jí):適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。5.第五級(jí)為??乇Wo(hù)級(jí):適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 《電子政務(wù)》-第06章_電子政務(wù)實(shí)現(xiàn)的技術(shù)支持
- 第07章—電子政務(wù)公共服務(wù)體系20110901
- 第9章 電子政務(wù)中的數(shù)據(jù)挖掘技術(shù)
- 02章—電子政務(wù)與政府創(chuàng)新
- 第九章 電子政務(wù)
- 《電子政務(wù)》-第03章_政府機(jī)關(guān)內(nèi)部公務(wù)處理電子化
- 電子政務(wù)第六章課件
- 電子政務(wù)筆記
- 電子政務(wù)印象
- usa電子政務(wù)
- 電子政務(wù)概要
- 電子政務(wù) 作業(yè)
- 電子政務(wù)原理
- 電子政務(wù)課件
- 第二章 電子政務(wù)與政府管理
- 電子政務(wù)“整合治理”
- 電子政務(wù)技術(shù)路線
- 機(jī)關(guān)電子政務(wù)講義
- 電子政務(wù)平臺(tái)培訓(xùn)
- 電子政務(wù)電大論文
評(píng)論
0/150
提交評(píng)論