電子政務(wù)的安全

1、1,電子政務(wù)的安全,分四個(gè)部分 ·電子政務(wù)安全概述·電子政務(wù)安全風(fēng)險(xiǎn)分析·電子政務(wù)安全的技術(shù)對(duì)策·電子政務(wù)安全的管理對(duì)策。,2,第一部分電子政務(wù)安全概述,電子政務(wù)的重要性和特殊性必然會(huì)招致各種勢(shì)力的關(guān)注和攻擊。因此，電子政務(wù)的實(shí)施在帶來(lái)高效率和便利的同時(shí)也存在許多風(fēng)險(xiǎn)。我們必須清醒地認(rèn)識(shí)到這一點(diǎn)。,3,國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心提供的資料顯示,2001年中美黑客大戰(zhàn)期間，

2、在遭受美國(guó)黑客攻擊的我國(guó)大陸網(wǎng)站中，政府網(wǎng)站占了41.5%。 也就是說(shuō)政府網(wǎng)站成為重點(diǎn)攻擊對(duì)象。對(duì)照安全標(biāo)準(zhǔn)來(lái)衡量，中央國(guó)家部委的涉密網(wǎng)絡(luò)有一半以上未達(dá)到安全保密要求。,4,再比如：XX公司一個(gè)員工把工作電腦帶回家，為了獲得更快的運(yùn)行效率，部分關(guān)閉了防病毒軟件的功能，使得木馬程序植入他的電腦，最后又被植入到XX公司內(nèi)部網(wǎng)系統(tǒng)，導(dǎo)致源代碼的泄露。,5,第二部分 電子政務(wù)的安全風(fēng)險(xiǎn),下面我們基于風(fēng)險(xiǎn)產(chǎn)生的原因, 把電子政務(wù)安全風(fēng)險(xiǎn)

3、分為5類：一是 物理風(fēng)險(xiǎn)—比如自然災(zāi)害，電力供應(yīng)突然中斷，靜電、強(qiáng)磁場(chǎng)破壞硬件設(shè)備以及設(shè)備老化等引起的風(fēng)險(xiǎn)。二是無(wú)意錯(cuò)誤風(fēng)險(xiǎn)---是指由于人為或系統(tǒng)錯(cuò)誤而影響信息的完整性、機(jī)密性和可用性。,6,三是有意破壞,指內(nèi)部和外部人員有意通過(guò)物理手段破壞信息系統(tǒng)而影響信息的機(jī)密性、完整性、可用性和可控性。比如：有意破壞基礎(chǔ)設(shè)施、擴(kuò)散計(jì)算機(jī)病毒、電子欺騙等。 這種風(fēng)險(xiǎn)帶來(lái)的破壞一般而言是巨大的。 嚴(yán)重時(shí)會(huì)引起整個(gè)系統(tǒng)的癱瘓和不可恢復(fù)。,7

4、,四是管理風(fēng)險(xiǎn),它是指因?yàn)榭诹詈兔荑€管理不當(dāng)、制度遺漏，崗位、職責(zé)設(shè)置不全面等因素引起信息泄露、系統(tǒng)無(wú)序運(yùn)行等。,8,五是其它風(fēng)險(xiǎn),是指除上述所列舉的一些風(fēng)險(xiǎn)外，一切可能危及信息系統(tǒng)的機(jī)密性、完整性、可用性、可控性和系統(tǒng)正常運(yùn)行的風(fēng)險(xiǎn)。 正是存在上述諸多風(fēng)險(xiǎn)，電子政務(wù)的安全體系建設(shè)顯得憂為重要。,9,基于此我們確定電子政務(wù)系統(tǒng)信息安全的宗旨,是在實(shí)現(xiàn)電子政務(wù)信息系統(tǒng)時(shí)充分考慮信息風(fēng)險(xiǎn)，從而確保政府部門(mén)能夠有效地完成法律所賦予的政府職

5、能。,10,電子政務(wù)的安全目標(biāo)有以下三方面,一是保護(hù)政務(wù)信息資源價(jià)值不受侵犯。二是保證信息資產(chǎn)的擁有者（政務(wù)主體）面臨最小的風(fēng)險(xiǎn)和獲取最大的安全利益。三是使政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容具有保密性、完整性、真實(shí)性、可用性和可控性的能力。,11,那么，我們?nèi)绾螌?shí)現(xiàn)電子政務(wù)的安全目標(biāo)呢,答案是構(gòu)建一個(gè)電子政務(wù)綜合安全體系。這種安全體系應(yīng)該包括風(fēng)險(xiǎn)評(píng)估、策略制定、技術(shù)實(shí)現(xiàn)、制度建立、流程保障、人員培訓(xùn)等一系列內(nèi)容。,12

6、,電子政務(wù)的安全措施包括三個(gè)方面,一是物理層的安全防護(hù)措施。主要通過(guò)制定物理層面的管理規(guī)范和措施來(lái)保證計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施及數(shù)據(jù)信息免遭自然災(zāi)害、人為操作失誤或錯(cuò)誤、計(jì)算機(jī)犯罪行為導(dǎo)致的物理實(shí)體被破壞、服務(wù)中斷、數(shù)據(jù)遺失。比如上海財(cái)稅局系統(tǒng)容災(zāi)、數(shù)據(jù)集中備份項(xiàng)目就是針對(duì)上海市財(cái)稅系統(tǒng)迫切需要解決的安全性需求而建設(shè)的。,13,,二是技術(shù)措施。它是利用計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)品和技術(shù)服務(wù)實(shí)現(xiàn)的，包括技術(shù)規(guī)范、技術(shù)方案、技術(shù)實(shí)施等內(nèi)容。

7、 三是管理措施。包括管理體系,管理制度和法律保障。 其中，管理和技術(shù)的有效結(jié)合是保證電子政務(wù)系統(tǒng)的安全的必備手段。下面進(jìn)行詳細(xì)介紹,14,第三部分電子政務(wù)安全的技術(shù)對(duì)策,首先是 網(wǎng)絡(luò)層的安全 大家知道網(wǎng)絡(luò)的組成包括 客戶機(jī)—信道----服務(wù)器三個(gè)方面，因此，安全對(duì)策也有三個(gè)方面。1 客戶機(jī)（用戶終端）安全的對(duì)策就是保護(hù)客戶機(jī)免受網(wǎng)上下載軟件和數(shù)據(jù)的威脅，方法有數(shù)字證書(shū)、瀏覽器內(nèi)置的安全特性和使用防病毒軟件。,15,3

8、.3.1---2. 通訊信道的安全,保護(hù)通訊信道的安全就是要保證通訊的保密性、傳輸信息的完整性和信道的可用性。 保密性和完整性主要通過(guò)各種加密的方式來(lái)實(shí)現(xiàn)。,16,3.3.1---3 電子政務(wù)服務(wù)器的安全,一是訪問(wèn)控制和認(rèn)證二是操作系統(tǒng)控制-------大家最常見(jiàn)的就是 用戶名+口令 的認(rèn)證方式。,17,3.3.2電子政務(wù)服務(wù)應(yīng)用層安全策略,建立完整的公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，P

9、KI）,它是基于公開(kāi)密鑰理論和技術(shù)建立起來(lái)的安全體系，是提供信息安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。,18,建立這套基礎(chǔ)設(shè)施,的目的是解決網(wǎng)絡(luò)空間的身份認(rèn)證與信任問(wèn)題,19,3.3.3-1電子政務(wù)中的內(nèi)外網(wǎng)隔離,三網(wǎng)隔離關(guān)系示意圖,20,3.3.3—1 物理隔離,是指將兩個(gè)網(wǎng)絡(luò)完全斷開(kāi)，使之不發(fā)生實(shí)際的物理連接。這樣一來(lái)，網(wǎng)絡(luò)黑客便無(wú)法進(jìn)入內(nèi)網(wǎng)。 “9.11”恐怖襲擊事件后，美國(guó)政府提出建立獨(dú)立于Internet的政府專用網(wǎng)GOVNE

10、T。我國(guó)電子政務(wù)的內(nèi)網(wǎng)與外網(wǎng)之間采取的是物理隔離 。,21,3.3.3—2 邏輯隔離,是指兩個(gè)網(wǎng)絡(luò)之間通過(guò)專用的計(jì)算機(jī)設(shè)備連接，這個(gè)計(jì)算機(jī)通過(guò)執(zhí)行一定的安全策略，從而控制兩個(gè)網(wǎng)絡(luò)之間信息包的流入和流出。最常用的設(shè)備是防火墻。電子政務(wù)中的外網(wǎng)與互聯(lián)網(wǎng)之間即采取邏輯隔離。,22,3.3.4 其它安全技術(shù)包括,1. 虛擬專用網(wǎng)絡(luò)(VPN)2. 入侵檢測(cè)系統(tǒng)（IDS）3. 漏洞掃描系統(tǒng)這里不展開(kāi)講.,23,第四部分電子政務(wù)安全的管

11、理對(duì)策,首先是 部署完善的電子政務(wù)安全管理體系請(qǐng)看示意圖,24,,25,3.4.2建立安全管理制度,用書(shū)面的形式對(duì)各項(xiàng)要求做出明文規(guī)定。包括人員管理、保密、跟蹤審計(jì)、系統(tǒng)維護(hù)、數(shù)據(jù)備份、病毒定期清理等一系列制度。 這些制度是保證電子政務(wù)系統(tǒng)正常有序運(yùn)行的基礎(chǔ)，是電子政務(wù)人員必須遵守的工作守則。,26,這里強(qiáng)調(diào)一下關(guān)于人員管理的四項(xiàng)基本原則,1、多人負(fù)責(zé)原則----每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人

12、在場(chǎng)。 2、任期有限原則 ——任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久的。,27,3是 最小權(quán)限原則 ——每個(gè)人只負(fù)責(zé)一種事務(wù)，只有一種權(quán)限。 4、職責(zé)分離原則——在信息處理系統(tǒng)工作的人員不要打聽(tīng)、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。,28,3.4.3 電子政務(wù)安全的法律保障,電子政務(wù)安全的法律保障包括基礎(chǔ)性法規(guī)建設(shè)和標(biāo)準(zhǔn)性法規(guī)建設(shè)。 信息安全法規(guī)是信息資源安全管理走

13、向成熟化、正規(guī)化和法制化的表現(xiàn)。 政務(wù)信息公開(kāi)法的出臺(tái)說(shuō)明了我國(guó)在電子政務(wù)安全管理上正逐漸走向成熟。,29,近年來(lái)，我國(guó)信息安全標(biāo)準(zhǔn)化工作發(fā)展較快，在國(guó)家質(zhì)量技術(shù)監(jiān)督局的領(lǐng)導(dǎo)下，全國(guó)信息化標(biāo)準(zhǔn)委員會(huì)及其下屬的信息安全分技術(shù)委員會(huì)在制訂我國(guó)信息安全標(biāo)準(zhǔn)方面做了大量的工作。,30,思考題,1. 電子政務(wù)的安全目標(biāo)是什么？2. 完整的電子政務(wù)綜合安全體系包括哪些內(nèi)容？ 當(dāng)前我國(guó)電子政務(wù)安全存在的問(wèn)題主要有哪些？3. 簡(jiǎn)述電子政務(wù)的