第8章电子政务安全管理课件

第8章电子政务安全管理2023/8/14第8章电子政务安全管理第8章电子政务安全管理2023/8/1第8章电子政务安全管理11、电子政务的安全概述1.1电子政务安全的重要性保护国家信息安全的需要。保护个人信息特别是私密信息的需要保护信息系统和政务网站不被侵入的需要第8章电子政务安全管理1、电子政务的安全概述1.1电子政务安全的重要性第8章电子政2第8章电子政务安全管理第8章电子政务安全管理3第8章电子政务安全管理第8章电子政务安全管理4第8章电子政务安全管理第8章电子政务安全管理5面临的主要安全问题：黑客入侵和犯罪病毒泛滥和蔓延信息间谍的潜入和窃密内部人员的违规和违法操作电子政府第8章电子政务安全管理面临的主要安全问题：信息间谍的潜入和窃密内部人员的违规和违法61.2我国电子政务安全的现状缺乏安全意识信息与网络安全防护能力较弱缺乏一系列的网络安全标准第8章电子政务安全管理1.2我国电子政务安全的现状缺乏安全意识第8章电子政务安全管7电子政务安全问题产生的原因电子政务系统对网络的高度依赖安全技术的缺陷（股票系统、千年虫问题）网络的开放性管理的漏洞第8章电子政务安全管理电子政务安全问题产生的原因电子政务系统对网安全技术的缺陷网81.3电子政务安全分类技术风险管理风险信息的可用性信息的完整性信息的保密性信息的可控性信息的不可抵赖性第8章电子政务安全管理1.3电子政务安全分类技术风险第8章电子政务安全管理9按攻击手段分类

系统穿透

指未经授权人通过一定手段对认证系统进行攻击，假冒合法用户接入政府内部系统，实现对文件进行篡改、窃取机密信息、非法使用资源等违反授权植入通信监视通信串扰中断拒绝服务否认指入侵者要在系统中设置一种能力，为以后攻击提供方便条件。植入一般在系统穿透或违反授权攻击成功后，采取向系统中注入病毒等

指授权进入系统做某件事的用户，在系统中进行未经授权的其他事情指攻击者对系统可用性进行攻击，使系统不能正常工作指在通信过程中从信道进行搭线窃听

指攻击者对通信数据或通信过程进行干预，对完整性进行攻击，篡改系统中数据的内容，修正消息次序、时间，注入伪造消息

指合法接入者所进行的正当行为无辜受阻

指一个实体进行某种通信或交易活动后否认曾进行过这一活动

（1）技术风险第8章电子政务安全管理按系统穿透指未经授权人通过一定手段对认证系统进行攻击，假冒10组织及人员风险管理制度不完善安全策略有漏洞缺乏应急体系（2）管理风险一些安全保密管理制度第8章电子政务安全管理组织及人员风险管理制度不完善安全策略有漏洞缺乏应急体系112.电子政务安全管理体系电子政务安全管理体系技术支撑体系物理安全网络安全系统及应用安全运行管理体系行政管理安全策略管理风险管理基础保障体系第三方安全服务提供商PKI认证平台电子政务安全法规电子政务安全标准第8章电子政务安全管理2.电子政务安全管理体系电子政务安全管理体系技术支撑体系物理122.1电子政务技术支撑体系1物理安全2网络安全3.系统和应用安全第8章电子政务安全管理2.1电子政务技术支撑体系1物理安全第8章电子政务安全管理131.物理安全：就是保证对物理设施的合法访问，避免人为破坏，并将自然灾难的影响降到最低。物理安全线路设备安全

环境安全

存储媒体安全

第8章电子政务安全管理1.物理安全：就是保证对物理设施的合法访问，避免人为破141）隔离技术：政府内网政府外网互联网网络安全指网络通信的安全性，政府内网、外网和公网之间的隔离，界定访问权限等。物理隔离，采用隔离网闸技术逻辑隔离，包括VLAN、访问控制、VPN、防火墙、身份识别、代理服务器2.网络安全：网络安全指网络通信的安全性，政府内网、外网和公网之间的隔离，界定访问权限等。第8章电子政务安全管理1）隔离技术：政府内网政府外网互联网网络安全指网络通信的安全15源文件（明文）解密后的信息（明文）加密后的信息（密文）加密后的信息（密文）密钥加密因特网密钥解密数据加密过程

加密技术第8章电子政务安全管理源文件解密后的信息（明文）加密后的信息（密文）加密后的信息（16对称密钥加密技术不对称密钥加密技术对称加密，是指使用同一把密钥对信息加密、信息解密。一个加密系统的加密密钥和解密密钥相同，或者虽然不同，但可以由其中一个推导另一个，则为对称密钥密码体制。加密和解密的速度很快，效率也很高，但需要仔细保存密钥，其保密性主要取决于密钥本身的保密强度和密钥传送通道的安全性。

加密技术第8章电子政务安全管理对称密钥加密技术不对称密钥加密技术加密技术第8章电子政务安全17对称密钥加密技术不对称密钥加密技术不对称加密又称为公开密钥加密，是1976年由斯坦福大学提出来的。与对称密钥系统相比，公开密钥加密技术需要使用一对相关的密钥：一个用来加密，另一个用来解密。该技术的设想是，密钥对是与相应的系统联系在一起的，其中私有密钥是由系统所保密持有的，而公开密钥则是公开的，但知道公开密钥是不能推导出私有密钥的。加密技术第8章电子政务安全管理对称密钥加密技术不对称密钥加密技术加密技术第8章电子政务安全18防火墙防火墙（firewall）是指一个由软件和硬件设备组合而成，处于组织内网和外网的通道之间，用来加强互联网与内部网络之间安全防范的一个或一组系统。它具有限制外界用户对组织内部网络访问及管理内部用户访问外部服务。第8章电子政务安全管理防火墙19一切未被允许的都是禁止的防火墙的安全策略

一切未被禁止的都是允许的防火墙第8章电子政务安全管理一切未被允许的都是禁止的防火墙的安全策略一切未被禁止的都是20防火墙的分类共同缺点：依赖特定的逻辑判断是否允许数据包通过，这不利于抗击非法访问和攻击。这是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。数据包过滤防火墙代理服务器型防火墙应用级网关型防火墙防火墙第8章电子政务安全管理防火墙的分类共同缺点：依赖特定的逻辑判断是否允许数据包通过21防火墙的局限性

有OS和软件，就有漏洞很难防护新出现的病毒安全性和速度成反比无法阻止病毒在内部传播防火墙第8章电子政务安全管理防火墙的局限性有OS和软件，就有漏洞很难防护新出现的病毒安223.OS系统和应用安全防病毒系统漏洞扫描系统

安全认证

入侵检测系统入侵检测系统（IntrusionDetectionSystems,IDS）是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。第8章电子政务安全管理3.OS系统和应用安全防病毒系统漏洞扫描系统安全认证入侵23防病毒系统漏洞扫描系统

安全认证

入侵检测系统计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒有主动传染性、隐藏性、欺骗性、破坏性、衍生性等特点。第8章电子政务安全管理防病毒系统漏洞扫描系统安全认证入侵检测系统计算机病毒是指24防病毒系统漏洞扫描系统

安全认证

入侵检测系统防病毒技术分为主机防病毒和网络防病毒。主机防病毒主要是安装防病毒软件，对电脑文件访问实时监测，发现病毒就立即清除或修复。网络防病毒通常由安全提供商提供一整套的解决方案，进行全面的防护。第8章电子政务安全管理防病毒系统漏洞扫描系统安全认证入侵检测系统防病毒技术分为25防病毒系统漏洞扫描系统

安全认证

入侵检测系统漏洞扫描系统的功能：动态分析系统的安全漏洞，检查用户网络中的安全隐患，发布检测报告、提供有关漏洞的详细信息和最佳解决对策。案例12：微软的漏洞

第8章电子政务安全管理防病毒系统漏洞扫描系统安全认证入侵检测系统漏洞扫描系统的26防病毒系统漏洞扫描系统

安全认证

入侵检测系统用户访问系统之前必须经过身份认证，系统根据用户身份和授权决定用户能否访问某个资源。第8章电子政务安全管理防病毒系统漏洞扫描系统安全认证入侵检测系统用户访问系统之272.2电子政务安全运营管理体系1安全运营组织结构2安全运营规章制度3安全运营的内容第8章电子政务安全管理2.2电子政务安全运营管理体系1安全运营组织结构第8章电子政28安全领导小组安全专家小组日常信息安全管理办公室日常安全维护工作小组决策组织制定工作方案，下达具体工作，监督管理下级工作日常安全维护工作单位，完成具体的安全维护工作应急响应工作小组处理突发事件，实施应急响应方案，恢复系统正常运行信息应急响应管理办公室1.安全组织机构第8章电子政务安全管理安全领导小组安全专家小组日常信息安全日常安全维护决策组织制定29安全机构的职责：（1）对整个电子政务系统进行整体的安全规划，制定整体的安全解决方案。（2）制定安全管理制度、安全策略、应急方策略等；（3）监控网络的安全性，监督安全方案的实施情况；（4）评估风险，及时提出修改、弥补方案。第8章电子政务安全管理安全机构的职责：（1）对整个电子政务系统进行整体的安全规划，302.安全管理制度安全人员管理制度；系统安全运行维护管理制度；密钥管理制度；保密制度；访问控制管理制度等。第8章电子政务安全管理2.安全管理制度安全人员管理制度；第8章电子政务安全管理31（1）实体的安全管理（2）密钥的安全管理（3）风险管理（4）应急管理3.安全运营管理的内容第8章电子政务安全管理（1）实体的安全管理3.安全运营管理的内容第8章电子政务安全322.3电子政务安全的基础保障体系1法律法规2安全标准3PKI认证平台4.PMI第8章电子政务安全管理2.3电子政务安全的基础保障体系1法律法规第8章电子政务安全332.电子政务安全标准建设电子政务安全标准规范：电子文档密级及标记格式密码算法标准、密钥管理标准PKI/CA标准、PMI标准、信息系统安全评估标准和网络安全产品测评标准第8章电子政务安全管理2.电子政务安全标准建设电子政务安全标准规范：第8章电子政343.公钥基础认证平台PKI（PublicKeyInfrastructure）公钥基础平台采用数字证书，通过第三方的可信任机构——认证中心CA（CertificationAuthority），将用户公钥和用户标识捆绑，提供身份验证的机制。第8章电子政务安全管理3.公钥基础认证平台PKI（PublicKeyInfra35PKI的基本组成数字证书库密钥备份及恢复系统证书管理系统应用接口（API）公钥基础认证平台第8章电子政务安全管理PKI的基本组成数字证书库密钥备份及恢复系统证书管理系统应用364.特权管理认证平台PMI:PriviliegeManagementInfrastructure特权管理基础平台，建立在PKI基础上，接受用户的委托对终端用户实施权限控制，实现用户身份到应用授权的映射功能。第8章电子政务安全管理4.特权管理认证平台PMI:PriviliegeManag37PKI与PMI之间的比较第8章电子政务安全管理PKI与PMI之间的比较第8章电子政务安全管理38PKI（构建信息安全平台，提供智能化的信任服务）PMI（构建授权管理平台，在PKI信息安全平台的基础上提供智能化的授权服务）DMS（目录管理体系：提供政务信息资源发现、定位功能、及相关应用的系统。）国家信息安全基础设施（NISI）