電子政務的安全

1、1,電子政務的安全,分四個部分 ·電子政務安全概述·電子政務安全風險分析·電子政務安全的技術對策·電子政務安全的管理對策。,2,第一部分電子政務安全概述,電子政務的重要性和特殊性必然會招致各種勢力的關注和攻擊。因此，電子政務的實施在帶來高效率和便利的同時也存在許多風險。我們必須清醒地認識到這一點。,3,國家計算機網(wǎng)絡與信息安全管理中心提供的資料顯示,2001年中美黑客大戰(zhàn)期間，

2、在遭受美國黑客攻擊的我國大陸網(wǎng)站中，政府網(wǎng)站占了41.5%。 也就是說政府網(wǎng)站成為重點攻擊對象。對照安全標準來衡量，中央國家部委的涉密網(wǎng)絡有一半以上未達到安全保密要求。,4,再比如：XX公司一個員工把工作電腦帶回家，為了獲得更快的運行效率，部分關閉了防病毒軟件的功能，使得木馬程序植入他的電腦，最后又被植入到XX公司內部網(wǎng)系統(tǒng)，導致源代碼的泄露。,5,第二部分 電子政務的安全風險,下面我們基于風險產生的原因, 把電子政務安全風險

3、分為5類：一是 物理風險—比如自然災害，電力供應突然中斷，靜電、強磁場破壞硬件設備以及設備老化等引起的風險。二是無意錯誤風險---是指由于人為或系統(tǒng)錯誤而影響信息的完整性、機密性和可用性。,6,三是有意破壞,指內部和外部人員有意通過物理手段破壞信息系統(tǒng)而影響信息的機密性、完整性、可用性和可控性。比如：有意破壞基礎設施、擴散計算機病毒、電子欺騙等。 這種風險帶來的破壞一般而言是巨大的。 嚴重時會引起整個系統(tǒng)的癱瘓和不可恢復。,7

4、,四是管理風險,它是指因為口令和密鑰管理不當、制度遺漏，崗位、職責設置不全面等因素引起信息泄露、系統(tǒng)無序運行等。,8,五是其它風險,是指除上述所列舉的一些風險外，一切可能危及信息系統(tǒng)的機密性、完整性、可用性、可控性和系統(tǒng)正常運行的風險。 正是存在上述諸多風險，電子政務的安全體系建設顯得憂為重要。,9,基于此我們確定電子政務系統(tǒng)信息安全的宗旨,是在實現(xiàn)電子政務信息系統(tǒng)時充分考慮信息風險，從而確保政府部門能夠有效地完成法律所賦予的政府職

5、能。,10,電子政務的安全目標有以下三方面,一是保護政務信息資源價值不受侵犯。二是保證信息資產的擁有者（政務主體）面臨最小的風險和獲取最大的安全利益。三是使政務的信息基礎設施、信息應用服務和信息內容具有保密性、完整性、真實性、可用性和可控性的能力。,11,那么，我們如何實現(xiàn)電子政務的安全目標呢,答案是構建一個電子政務綜合安全體系。這種安全體系應該包括風險評估、策略制定、技術實現(xiàn)、制度建立、流程保障、人員培訓等一系列內容。,12

6、,電子政務的安全措施包括三個方面,一是物理層的安全防護措施。主要通過制定物理層面的管理規(guī)范和措施來保證計算機網(wǎng)絡設備、設施及數(shù)據(jù)信息免遭自然災害、人為操作失誤或錯誤、計算機犯罪行為導致的物理實體被破壞、服務中斷、數(shù)據(jù)遺失。比如上海財稅局系統(tǒng)容災、數(shù)據(jù)集中備份項目就是針對上海市財稅系統(tǒng)迫切需要解決的安全性需求而建設的。,13,,二是技術措施。它是利用計算機網(wǎng)絡產品和技術服務實現(xiàn)的，包括技術規(guī)范、技術方案、技術實施等內容。

7、 三是管理措施。包括管理體系,管理制度和法律保障。 其中，管理和技術的有效結合是保證電子政務系統(tǒng)的安全的必備手段。下面進行詳細介紹,14,第三部分電子政務安全的技術對策,首先是 網(wǎng)絡層的安全 大家知道網(wǎng)絡的組成包括 客戶機—信道----服務器三個方面，因此，安全對策也有三個方面。1 客戶機（用戶終端）安全的對策就是保護客戶機免受網(wǎng)上下載軟件和數(shù)據(jù)的威脅，方法有數(shù)字證書、瀏覽器內置的安全特性和使用防病毒軟件。,15,3

8、.3.1---2. 通訊信道的安全,保護通訊信道的安全就是要保證通訊的保密性、傳輸信息的完整性和信道的可用性。 保密性和完整性主要通過各種加密的方式來實現(xiàn)。,16,3.3.1---3 電子政務服務器的安全,一是訪問控制和認證二是操作系統(tǒng)控制-------大家最常見的就是 用戶名+口令 的認證方式。,17,3.3.2電子政務服務應用層安全策略,建立完整的公鑰基礎設施（Public Key Infrastructure，P

9、KI）,它是基于公開密鑰理論和技術建立起來的安全體系，是提供信息安全服務的具有普適性的安全基礎設施。,18,建立這套基礎設施,的目的是解決網(wǎng)絡空間的身份認證與信任問題,19,3.3.3-1電子政務中的內外網(wǎng)隔離,三網(wǎng)隔離關系示意圖,20,3.3.3—1 物理隔離,是指將兩個網(wǎng)絡完全斷開，使之不發(fā)生實際的物理連接。這樣一來，網(wǎng)絡黑客便無法進入內網(wǎng)。 “9.11”恐怖襲擊事件后，美國政府提出建立獨立于Internet的政府專用網(wǎng)GOVNE

10、T。我國電子政務的內網(wǎng)與外網(wǎng)之間采取的是物理隔離 。,21,3.3.3—2 邏輯隔離,是指兩個網(wǎng)絡之間通過專用的計算機設備連接，這個計算機通過執(zhí)行一定的安全策略，從而控制兩個網(wǎng)絡之間信息包的流入和流出。最常用的設備是防火墻。電子政務中的外網(wǎng)與互聯(lián)網(wǎng)之間即采取邏輯隔離。,22,3.3.4 其它安全技術包括,1. 虛擬專用網(wǎng)絡(VPN)2. 入侵檢測系統(tǒng)（IDS）3. 漏洞掃描系統(tǒng)這里不展開講.,23,第四部分電子政務安全的管

11、理對策,首先是 部署完善的電子政務安全管理體系請看示意圖,24,,25,3.4.2建立安全管理制度,用書面的形式對各項要求做出明文規(guī)定。包括人員管理、保密、跟蹤審計、系統(tǒng)維護、數(shù)據(jù)備份、病毒定期清理等一系列制度。 這些制度是保證電子政務系統(tǒng)正常有序運行的基礎，是電子政務人員必須遵守的工作守則。,26,這里強調一下關于人員管理的四項基本原則,1、多人負責原則----每一項與安全有關的活動，都必須有兩人或多人

12、在場。 2、任期有限原則 ——任何人最好不要長期擔任與安全有關的職務，以免使他認為這個職務是專有的或永久的。,27,3是 最小權限原則 ——每個人只負責一種事務，只有一種權限。 4、職責分離原則——在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情，除非系統(tǒng)主管領導批準。,28,3.4.3 電子政務安全的法律保障,電子政務安全的法律保障包括基礎性法規(guī)建設和標準性法規(guī)建設。 信息安全法規(guī)是信息資源安全管理走

13、向成熟化、正規(guī)化和法制化的表現(xiàn)。 政務信息公開法的出臺說明了我國在電子政務安全管理上正逐漸走向成熟。,29,近年來，我國信息安全標準化工作發(fā)展較快，在國家質量技術監(jiān)督局的領導下，全國信息化標準委員會及其下屬的信息安全分技術委員會在制訂我國信息安全標準方面做了大量的工作。,30,思考題,1. 電子政務的安全目標是什么？2. 完整的電子政務綜合安全體系包括哪些內容？ 當前我國電子政務安全存在的問題主要有哪些？3. 簡述電子政務的