第08章—电子政务安全体系.ppt

本章的主要内容：电子政务安全概述电子政务安全体系框架中国电子政务标准体系结构框架中国电子政务标准的主要内容,第八章安全体系及标准体系,8.1电子政务安全概述,系统建设的基本原则：安全第一,电子政务安全：涉及对国家秘密信息和高度敏感的核心政务的保护；涉及维护公共秩序和行政监督的准确实施；涉及为社会提供公共服务的质量保证。,黑客入侵和犯罪,病毒泛滥和蔓延,信息间谍的潜入和窃密,内部人员的违规和违法操作,电子政府,8.1.1电子政务安全现状,1）构建电子政务安全管理体系的重要性,取决于,最薄弱环节的安全强度,电子政务系统安全强度,木桶原理,缺乏统一的信息安全保障体系，电子政务系统安全存在着严重隐患。,我国电子政务安全现状,主要表现：信息与网络安全防护能力较弱国内IT厂商在自由知识产权、研发方面能力弱，对引进的技术设备依赖性强（漏洞、后门）相关人员的安全意识不强缺乏一系列的网络安全标准网络安全相关的法律法规不健全,8.1.2电子政务安全问题产生的原因,1）技术保障措施不完善,2）管理体系不健全,3）基础设施建设不健全,1）技术保障措施不完善,（1）计算机系统本身的脆弱性（2）软件系统存在缺陷系统软件本身缺乏安全性应用系统中的安全隐患（3）网络的开放性互联网本身的不安全因素通信线路的开放性网络资源共享存在的安全隐患病毒侵害,2）管理体系不健全,（1）组织及人员风险（2）管理制度不完善（3）安全策略有漏洞（4）缺乏应急体系,3）基础设施建设不健全,（1）法律体系不健全（2）安全标准体系不完整标准的制定水平较低缺乏与的实际情况的结合使用单位对执行标准的认识不足（3）电子政务的信任体系问题（4）社会服务体系问题,8.1.3电子政务安全分类,电子政务面临的安全威胁,非人为的安全威胁,人为的安全威胁,自然灾害,信息技术的漏洞和局限性,内部人员安全威胁,外部人员安全威胁,恶意安全威胁,非恶意安全威胁,被动攻击,主动攻击,邻近攻击,分发攻击,政务信息关系到党政部门、乃至整个国家的利益，比个人或商务信息更为敏感，需要更高的安全性。电子政务行使政府职能的特点导致更容易受到来自外部或内部的攻击。,电子政务信息对安全性要求比较高,8.2.1电子政务的安全需求1of4,电子政务的安全需求：保护政务信息资源价值不受侵犯；保证信息资产的拥有者面临最小的风险和获取最大的安全利益；政务的信息基础设施、信息应用服务和信息内容应具有保密性、完整性、真实性、可用性和可控性的能力；确保一个政府部门能够有效地完成法律所赋予的政府职能。,安全需求的具体表现,1）信息的真实性保证接收方获得的信息是从发送方发出的真实信息，即对信息的来源进行判断，能对伪造来源的信息予以鉴别。,3）信息的保密性信息不泄露给非授权的用户、实体或过程，或供其利用的特性，即只有那些被授予特定权限的人才能够访问信息。,2）信息的完整性指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。,4）信息的不可否认性信息的发送者和接收者无法否认自己发送或接收信息的行为，即对出现的网络安全问题能提供调查的依据和手段。,5）信息的可用性是指可被授权实体访问并按需求使用的特性，即当已被授权的用户需要时，应能存取所需的信息。,8.2.2电子政务安全管理体系框架,电子政务安全管理体系,技术保障体系,系统及应用安全,运行管理体系,行政管理,安全技术管理,风险管理,安全法规建设,网络安全,基础设施平台,社会服务体系,教育培训,应急响应,测评认证,安全管理,安全标准建设,PKI认证平台,物理安全,存储媒体安全,线路设备安全,环境安全,漏洞扫描系统,防病毒系统,入侵检测系统,安全认证,建立安全组织机构,安全人事管理,制定和落实安全管理制度,安全行政管理,行政管理,电子政务的安全必须由特定的安全组织进行管理。这种安全组织机构应该独立于信息部门，直接隶属于各地方的最高政府机关。安全组织机构的主要职责：对整个电子政务系统进行整体的安全规划，制定整体的安全解决方案；制定安全管理制度，权责分明；实时监控网络的安全性，监督安全方案实施情况，根据出现的问题漏洞，及时修改、补充安全方案。,安全技术管理,（1）硬件实体的安全管理目的：保护计算机和网络设备、设施免遭地震、水灾、火灾以及人为等因素的破坏。主要涉及：环境安全;设备安全;存储媒体安全,（2）软件系统的安全管理包括：保护软件系统的完整性，防止软件丢失、被破坏、被篡改、被伪造；保证软件的存储安全，保障软件的安全传输、加密传输、安全下载、用户识别等要素；保障软件的合法使用和合理使用、用户合法性的管理、授权访问、系统的访问控制、防止软件滥用、防止被窃取被非法复制、按规程操作等。,（3）密钥管理包括：系统的初始化、密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销、销毁等内容。安全的密钥管理要求：密钥难以窃取；密钥有使用范围和使用时间的限制；密钥的分配和更换过程对用户透明，而用户不需要亲自掌管密钥。,风险管理,安全风险管理包括的阶段：安全风险评估:确定电子政务系统面临的风险级别的过程，是风险控制的前提和基础。安全风险控制:根据风险评估阶段的结果，采取规避、转移和降低等手段，对已标识的风险采取相应的措施，将电子政务系统的安全风险降低到可接受的水平，并保持对系统其他功能的影响最低。,风险管理（RiskManagement）是指以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,安全管理服务,安全测评服务,应急响应服务,安全教育培训服务,安全管理服务,安全测评服务,应急响应服务,社会服务体系,8.6社会服务体系,安全教育培训服务,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,安全管理服务,安全测评服务,应急响应服务,安全教育培训服务,8.6.1安全管理服务,安全管理服务提供商（MSSP）提供由网络安全专家、专业的网络安全工具和安全管理策略组成的完整的安全解决方案。（1）MSSP服务的内容：安全咨询服务安全技术管理服务数据安全分析服务安全管理评估服务（2）MSSP的特点：是介于客户与产品之间的桥梁最终目的是让客户的成功最大化提供的是本地化的安全产品全系列的服务,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,安全管理服务,安全测评服务,应急响应服务,安全教育培训服务,8.6.2安全测评服务,测评认证：由一个中立的权威机构，通过科学、规范、公正的测试和评估向消费者、购买者即需方，证实生产者或供方所提供的产品和服务，符合公开、客观和先进的标准。政府对测评认证的控制：市场准入控制安全产品认证核心技术控制管理体制建设,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,安全管理服务,安全测评服务,应急响应服务,安全教育培训服务,应急响应服务是计算机或网络系统遇到突发性安全事件（如黑客入侵、网络恶意攻击、病毒感染和破坏等）时，所能够提供的紧急的响应和快速的救援与恢复服务。,（1）应急管理的步骤：,监测,响应,恢复,8.6.3应急响应服务1of2,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,安全管理服务,安全测评服务,应急响应服务,安全教育培训服务,8.6.3应急响应服务2of2,（2）应急管理体系的建设,国家计算机网络应急技术处理协调中心（CNCERT/CC）简称“国家互联网应急中心”，负责协调我国各计算机网络安全事件应急小组共同处理国家公共互联网上的安全紧急事件，为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网安全的权威性信息，组织国内计算机网络安全应急组织进行国际合作和交流。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,安全管理服务,安全测评服务,应急响应服务,安全教育培训服务,8.6.4安全教育培训服务,专业型教育专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。,应用型教育以从事现代信息管理工作的人作为对象，培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。,安全素养教育面向所有的社会成员，通过课程、讲座、宣传等多种形式，达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。,小结,由于电子政务安全的重要性，电子政务必须建立在一个完整的、多层次的安全体系之上，那么构建一个合理的电子政务安全管理体系尤为重要。电子政务安全问题产生的原因：技术保障措施不完善、管理体系不健全、基础设施建设不健全、社会服务体系问题。电子政务面临的安全威胁分为两类：非人为的安全威胁和人为产生的安全威胁。电子政务安全需求的具体表现：信息的真实性、信息的保密性、信息的完整性、信息的不可否认性和信息的可用性。电子政务安全管理体系框架包括技术保障体系、运行管理体系、基础设施平台和社会服务体系四个方面。,小结,技术保障体系涉及：物理安全、网络安全和系统及应用安全。物理安全包括：环境安全、线路设备安全和存储媒体安全。网络安全指网络通信的安全性，政府内网、外网和公网之间的隔离，界定访问权限等。系统及应用安全要