电子政务第八章电子政务的安全管理

第8章

电子政务的安全管理目录8.1电子政务的安全需求8.2电子政务安全管理8.3

电子政务安全管理实施8.4安全保障技术8.5安全防御体系的建立8.1电子政务的安全需求什么是电子政务安全需求？答：电子政务的安全需求，是指在信息化环境下，政务活动对信息安全的基本需求和要求。电子政务的安全需求来自于电子政务的外部环境，也取决于信息化背景下政务活动的特点和方式。8.1.1电子政务的安全环境与安全威胁电子政务是基于网络技术运行的，因此，电子政务的安全环境涵盖了与社会普遍相关的基础信息网络安全的基本要素。电子政务的安全实质上关系到国家安全、公共利益和社会稳定。电子政务环境中的安全威胁包括以下几个方面：1.人为因素：支撑电子政务运行的各类信息系统，是为人服务，由人来操控的，因此，人的因素成为造成电子政务不安全的最为主要的因素。2.技术系统因素：由于电子政务系统是由各种类型的信息技术构成的，技术的复杂性、解决技术问题的复杂性，或者系统构建的健全性、匹配性都可能引起安全问题。3.安全管理因素：政府机构在安全管理的法律、政策、安全制度和安全管理措施方面都可能造成安全管理障碍，从而引起安全管理问题。4.自然因素：自然灾害对电子政务构成的威胁也是现实存在的。8.1.1电子政务的安全环境与安全威胁电子政务安全威胁案例2001年中美黑客大战中美黑客事件是由中美撞机事件直接引发的。据外电报道，首先是一些美国国内的黑客对部分中国网站进行了攻击，从而激怒了中国黑客，双方遂在互联网上展开了一场黑客大战。之后，中国黑客在一个名为“中国红客联盟”的黑客组织领导下，计划展开“第六次网络卫国战争”，在“五一”期间发动一次七日战役，全面袭击美国网站。此事经国内各媒体大加宣传，迅速成为一场轰轰烈烈的黑客事件。5月4日晚，“中国红客同盟”的行动达到首个高潮，出现了“八万中国红客攻打白宫”的场面，并迫使白宫网页一度瘫痪。预计“中国红客联盟”的下一次行动高潮将在5月8日到来。中美黑客大战美国白宫飘起红旗

美国安全专家表示，美中黑客之间的网络大战在当地时间4月30日(北京时间5月1日)愈加升级，其中美国白宫的官方网站遭到电子邮件“炸弹”的攻击，同时若干个美国和中国网站页面均被改得面目全非。

除了美国白宫的网站之外，其他被中国黑客列为攻击目标的网站还包括美国联邦调查局(FBI)、美国航空航天局(NASA)、美国国会、《纽约时报》、《洛杉矶时报》以及美国有线新闻网(CNN)的网站。中美黑客大战&中伊黑客大战中美黑客大战&中伊黑客大战8.1.2电子政务安全方面的需要和要求需要和要求：1、保障电子政务整体有效运行和行政秩序的需求。2、保障基础设施安全的需求。3、保障电子政务系统运行安全的需求。4、保障政务信息资源安全的需求。8.2电子政务务安全管管理1电子政务务安全目标2电子政务务安全管管理体系3电子政务务安全管管理策略电子政务务安全目标电子政务务安全目目标概括括：保护政务信息息资源价值值不受侵侵犯，保保证政务务活动主主体面临临最小的的风险和和获取最最大的安全利益益，使政务务的信息息基础设设施、政政务信息息应用和和政务服服务体系系能够抵抵御侵害害，并具具有保密性、完整性、真实性、可用性和可控性等安全能能力，保保障政务务活动安安全。电子政务务安全目目标分解1.通过技术术自主化化保障安安全2.保护信息息资源3.持续安全全保障4电子政务务功能指标电子政务务安全管管理体系电子政务务的安全全管理需需建立下下述管理理体系：：一、通过过建设电电子政务务的安全全基础措措施来保保障电子子政务的的安全。。二、建立立电子政政务的技技术保障障体系，，通过安安全技术术的应用用和维护护来保障障电子政政务系统统的安全全。三、对电电子政务务系统的的运行进进行安全全管理四、建立立社会服服务体系系以实现现电子政政务的安全电子政务务安全管管理策略总体策略略：1.国家主导、社社会参与与：电子政务务安全关关系到政政府决策策、行政政监管和和公共服服务质量量的大事事，必须须由国家家统筹规规划、社社会积极极参与，，才能建建立起切切实有效效的保障障。2.全局治理、积积极防御御：电子政务务安全必必须采用用法律威威慑、管管理制约约、技术术保障和和安全基基础设施施支撑的的全局治治理措施施，并且且实施防防护、检检测、恢恢复和反反制的积积极防御御手段。。3.等级保护、保保障发展展：根据信息息资产的的价值等等级、所所面临的的威胁等等级来选选择适度度的安全全机制强强度等级级和安全全技术保保障强壮壮性等级级，寻求求一个投投入和风风险承受受能力间间的平衡衡点，保保障电子子政务系系统健康康、积极极发展。我国电子子政务信信息安全全保护等等级：1.第一级为自自主保护护级:适用于一般信息息和信息息系统，，其收到到破坏后后，会对对公民、、法人和和其他组织的权益有有一定的的影响，，但不会危害害国家安全全、社会秩序序、经济建设设和公共共利益2.第二级为指导导保护级:适用于一定程度上涉涉及国家家安全、、社会秩秩序、经经济建设设和公共共利益的的一般信信息和信信息系统统，其受受到破坏坏后，会会对国家家安全、、社会秩秩序、经经济建设设和公共共利益造造成一定损害。3.第三级为监督督保护级:适用于涉及国家家安全、、社会秩秩序、经经济建设设和公共共利益的的信息和和信息系系统，其其受到破破坏后，，会对国国家安全全、社会会秩序、、经济建建设和公公共利益益造成较大损害。。我国电电子政政务信信息安安全保保护等等级：：4.第四级为强强制保保护级：适用于于涉及国国家安安全、、社会会秩序序、经经济建建设和和公共共利益益的信信息和和信息息系统统，其其受到到破坏坏后，，会对对国家家安全全、社社会秩秩序、、经济济建设设和公公共利利益造造成严重损害。5.第五级为专专控保保护级：适用于于涉及国国家安安全、、社会会秩序序、经经济建建设和和公共共利益益的信信息和和信息息系统统，其其受到到破坏坏后，，会对对国家家安全全、社社会秩秩序、、经济济建设设和公公共利利益造造成特别严严重损害。。8.3电子政政务安安全管管理实实施一.电子政政务安安全管管理的的行政管管理二.电子政政务安安全管管理的的技术术管理三.电子政政务安安全管管理的的风险险管理一.电子政政务安安全的的行政政管理理1.安全组组织机机构（1）明确确本单位位电子子政务务系统统的安全目目标，根据据安全全目标标来制制定整整体的的安全全策略略。（2）根据据电子子政务务的安安全策策略制制定并并实施施各项项安全措措施。（3）制定定明确确的规规章制制度（4）制定定安全全规划划和应应急方案（5）制定敏敏感信信息和保密信信息的安全全策略略，划划分需需要保保护的的数据据的范范畴、、密级级或保保护等等级，，根据据现实实需要要和客客观条条件确确定存存取控控制方方法和和加密密手段段。一.电子政务务安全的的行政管管理2.安全人事事管理主要包括括：认识识审查与与录用，，岗位与与责任范范围的确确定，工工作评价价，人事事档案管管理，提提升、调调动与免免职‘基基础培训训等。3.安全责任任制度制度体系系由以下下几个部部分组成成：（1）系统运运行维护护管理制度（4）操作和和管理人人员管理理制度（2）计算机机处理控控制管理理制度（5）机房安安全管理理制度（3）文档资资料管理理制度（（6）定期检检查与监监督制度一.电子政务务安全的的行政管管理4.安全教育育培训“两个方方面”：一方面需要专业的信息安安全人才才另一方面面要求非专业人人士也应具备备相应的的信息安安全素养养。“多个层层次”：专业的的信息安安全人才才队伍应应包括多多种层次次的人才才，如专业技术术人员、安全管理理人员、专业研究究人员和高级战略略人员等。二.电子政务务安全的的技术管管理1.实体安全管理理（1）环境安全（2）设备安全（3）存储媒媒体安全2.软件系统统管理（1）保护软软件系统统的完整整性（2）保证软软件系统统的存储储安全（3）保障软软件的通通信安全全（4）保障软软件的使使用安全3.密钥管理理（1）保证密密钥难以以窃取（2）密钥有有使用范范围和使使用时间间的限制制（3）密钥的的分配和和更换过过程对用用户透明明，而用用户不需需要亲自自掌管密钥三.电子政务务安全的的风险管管理1.安全风险险评估（1）要识别风险（2）应进行行风险度量，即确定风险险对组织织或系统统的影响响程度（3）要确定风险级别别（4）制定相应的风风险管理理策略2.安全风险险控制（1）选择风险控制制手段（2）采取风险规避避措施（3）必要的风险转转移措施施（4）尽可能能降低威威胁的影响程程度（5）对剩余余风险的的接受三.电子政务务安全的的风险管管理3.应急响应应（1）要有必必要的事事前准备备，包括括异常信信息的检测工具具和技术，以及应应对突发发事件的的行动策策略。（2）要经常常地甚至至是持续续地对防火墙日日志、IDS日志及其他可可能的信信息源进进行异常检测测，以保证证及早发发现突发发事件。。（3）对初现现的突发发事件应应能予以以初始响响应，包包括确认认事件是是否真正正发生、、组织有有关救援援人员收集易失失证据等。（4）须及时时制定响响应战略略，并报请相相关管理理部门以以获得批批准。（5）积极实实现有关关安全急急救措施施，包括括将尚未被被破坏的的系统隔隔离出去去，对已遭破破坏的部部分采取取补救等。（6）应尽可可能将受受害系统统恢复到到安全、、正常运运转的状状态。（7）还需将将整个事事件的过过程及响响应行为为详细准确确地记入入文档。8.4安全保障障技术电子政务安全保护技术电子政务安全防范技术安全保障技术电子政务务安全保保护技术术1.数据加密密技术：：是把有意意义的信信息编码码为伪随随机性的的乱码，，以以实现对对信息保保护的技技术方法法。它是是各种现现代安全全保护技技术或安安全防范范系统的的技术核心2.信息隐藏藏技术：：是利用信信息本身身存在的的冗余性性和人的的感官对对一些信信息的掩掩蔽效应应而形成成的。3.安全认证证技术：：当前的认认证主要要采用数字签名技术和身份认证技术。电子政务安全全防范技术反病毒系统：：反病毒技术是是防范病毒的的主要工具，，通常是一种种软件系统。防火墙系统：防火墙实际上上是一种由软软件或硬件设设备组合而成成的网络安全全防范系统。虚拟专用网络：VPN是指以公用开放放的网络作为为基本传输媒媒介，通过附附加的多种技技术而构建出出的，具有专专用网络性能能的逻辑网络络。入侵检测系统：IDS用于检测各种形式式的入侵行为为，是安全防防御体系的一一个重要组成成部分。流量、内容。。物理隔离系统：使两个系统在在空间上物理理隔离，就可可以使它们的的安全性相互互独立。防火墙及黑客客攻击手段黑客攻击手手段：1.后门程序2.信息炸弹3.拒绝服务4.网络监听5.密码破解DDOS攻击如果说计算算机与网络络的处理能能力加大了了10倍，用1台攻击机来攻攻击不再能能起作用的的话，攻击击者使用10台攻击机同同时攻击呢呢？用100台呢？DDoS就是利用更更多的傀儡儡机来发起起进攻，以以比从前更更大的规模模来进攻受受害者。防火墙及黑黑客攻击手手段8.5安全防御体系的的建立安全防御体体系的建立电子政务系系统安全管管理的实施施步骤安全防御体系的的建立（1）电子政务务系统监测测。一旦电子政政务系统选选用相关的的安全产品品、安全技技术并开始始运转后，，相关使用用人员就应应该执行安安全制度，，按照安全全实施与管管理的流程程进行操作作。电子政务事事故响应：：响应与恢恢复是保障障网络安全全性的重要步骤。响应应是指发生生安全事故故后的紧急急处理程序。。安全防御体系的的建立安全防御体系的的建立（2）电子政务务安全管理理中心：领领导整个安安全队伍，，分配任务务并审计执执行情况，，负责上报报安全状况况或进一步步向其他组组织寻求援援助和咨询询；（3）入侵预警警和跟踪小小组：重点点预防网络络入侵；（4）病毒预警警和防护小小组：重点点进行各种种病毒的防防护；（5）漏洞扫描描小组：通通过各种工工具进行系系统漏洞扫扫描，包括括操作系统统漏洞和数数据库漏洞洞以及应用用系统的漏漏洞；（6）跟跟踪踪小小组组：：对对入入侵侵者者进进行行跟跟踪踪，，取取得得入入侵侵证证据据；；安全全管管理理的实实施施步步骤骤（7）其其他他安安全全响响应应小小组组：：电电子子政政务务系系统统恢恢复复是是指指将将受受损损失失的的系系统统复复原原到到发发生生安安全全事事故故以以前前的的状状态态安全全管管理理的实实施施步步骤骤电子子政政务务系系统统安安全全管管理理的的实实施施步步骤骤（1）确确定定面面临临的的各各种种攻攻击击和和风风险险电子子政政务务系系统统安安全全的的设设计计和和实实现现必必须须根根据据具具体体的的系系统统和和环环境境，，考考察察、、分分析析、、评评估估、、检检测测（（包包括括模模拟拟攻攻击击））和和确确定定系系统统存存在在的的安安全全漏漏洞洞和和安安全全威威胁胁；；（2）明明确确安安全全策策略略安全全策策略略是是电电子子政政务务系系统统安安全全设设计计的的目目标标和和原原则则，，是是对对应应用用系系统统完完整整的的安安全全解解决决方方案案。。安安全全策策略略要要综综合合以以下下几几方方面面优优化化确确定定：：安全全管管理理的实实施施步步骤骤系统统整整体体安安全全性性，，由由应应用用环环境境和和用用户户需需求求决决定定，，包包括括各各个个安安全全机机制制的的子子系系统统的的安安全全目目标标和和性性能能指指标标：：对原原系系统统的的运运行行造造成成的的负