电子政务的安全演示模板课件.ppt

1、分四个部分 电子政务安全概述电子政务安全风险分析电子政务安全的技术对策电子政务安全的管理对策。1第一部分电子l电子政务的重要性和特殊性必然会招致各种势力的关注和攻击。l因此，电子政务的实施在带来高效率和便利的同时也存在许多风险。l我们必须清醒地认识到这一点。2l2001年中美黑客大战期间，在遭受美国黑年中美黑客大战期间，在遭受美国黑客攻击的我国大陆网站中，政府网站占了客攻击的我国大陆网站中，政府网站占了41.5%。也就是说政府网站成为重点攻击对象。也就是说政府网站成为重点攻击对象。l对照安全标准来衡量，中央国家部委的涉对照安全标准来衡量，中央国家部委的涉密网络有一半以上未达到安全保密要求。密网

2、络有一半以上未达到安全保密要求。3l再比如：再比如：lXX公司一个员工把工作电脑带回家，公司一个员工把工作电脑带回家，为了获得更快的运行效率，部分关为了获得更快的运行效率，部分关闭了防病毒软件的功能，使得木马闭了防病毒软件的功能，使得木马程序植入他的电脑，最后又被植入程序植入他的电脑，最后又被植入到到XX公司内部网系统，导致源代码公司内部网系统，导致源代码的泄露。的泄露。4下面我们基于风险产生的原因下面我们基于风险产生的原因,把电子把电子政务安全风险分为政务安全风险分为5类：类：l一是一是 物理风险物理风险比如自然灾害，电比如自然灾害，电力供应突然中断，静电、强磁场破力供应突然中断，静电、强磁

3、场破坏硬件设备以及设备老化等引起的坏硬件设备以及设备老化等引起的风险。风险。l二是无意错误风险二是无意错误风险-是指由于人为是指由于人为或系统错误而影响信息的完整性、或系统错误而影响信息的完整性、机密性和可用性。机密性和可用性。5l指内部和外部人员有意通过物理手段指内部和外部人员有意通过物理手段破坏信息系统而影响信息的机密性、破坏信息系统而影响信息的机密性、完整性、可用性和可控性。比如：有完整性、可用性和可控性。比如：有意破坏基础设施、扩散计算机病毒、意破坏基础设施、扩散计算机病毒、电子欺骗等。电子欺骗等。这种风险带来的破坏一般而言是巨大这种风险带来的破坏一般而言是巨大的。的。严重时会引起整个

4、系统的瘫痪和严重时会引起整个系统的瘫痪和不可恢复。不可恢复。6四是管l它是指因为口令和密钥管理不当、它是指因为口令和密钥管理不当、制度遗漏，岗位、职责设置不全制度遗漏，岗位、职责设置不全面等因素引起信息泄露、系统无面等因素引起信息泄露、系统无序运行等。序运行等。7五是其l是指除上述所列举的一些风险外，是指除上述所列举的一些风险外，一切可能危及信息系统的机密性、一切可能危及信息系统的机密性、完整性、可用性、可控性和系统完整性、可用性、可控性和系统正常运行的风险。正常运行的风险。l正是存在上述诸多风险，电子政务正是存在上述诸多风险，电子政务的安全体系建设显得忧为重要。的安全体系建设显得忧为重要。8

5、基基于于此此我我们们确确定定电电子子政政l是在实现电子政务信息系是在实现电子政务信息系统时充分考虑信息风险，统时充分考虑信息风险，从而确保政府部门能够有从而确保政府部门能够有效地完成法律所赋予的政效地完成法律所赋予的政府职能。府职能。9电子政务的安全l一是保护政务信息资源价值不受侵犯。一是保护政务信息资源价值不受侵犯。l二是保证信息资产的拥有者（政务主二是保证信息资产的拥有者（政务主体）面临最小的风险和获取最大的安体）面临最小的风险和获取最大的安全利益。全利益。l三是使政务的信息基础设施、信息应三是使政务的信息基础设施、信息应用服务和信息内容具有保密性、完整用服务和信息内容具有保密性、完整性、

6、真实性、可用性和可控性的能力。性、真实性、可用性和可控性的能力。10那那么，么，我我们们如如何何实实现现电电l答案是构建一个电子政务综合安答案是构建一个电子政务综合安全体系。全体系。l这种安全体系应该包括风险评估、这种安全体系应该包括风险评估、策略制定、技术实现、制度建立、策略制定、技术实现、制度建立、流程保障、人员培训等一系列内流程保障、人员培训等一系列内容。容。11l一是物理层的安全防护措施。主要通过制定物理一是物理层的安全防护措施。主要通过制定物理层面的管理规范和措施来保证计算机网络设备、层面的管理规范和措施来保证计算机网络设备、设施及数据信息免遭自然灾害、人为操作失误或设施及数据信息免

7、遭自然灾害、人为操作失误或错误、计算机犯罪行为导致的物理实体被破坏、错误、计算机犯罪行为导致的物理实体被破坏、服务中断、数据遗失。服务中断、数据遗失。l比如上海财税局系统容灾、数据集中备份项目就比如上海财税局系统容灾、数据集中备份项目就是针对上海市财税系统迫切需要解决的安全性需是针对上海市财税系统迫切需要解决的安全性需求而建设的。求而建设的。12 二是技术措施。它是利用计算机网二是技术措施。它是利用计算机网络产品和技术服务实现的，包括技术规络产品和技术服务实现的，包括技术规范、技术方案、技术实施等内容。范、技术方案、技术实施等内容。三是管理措施。包括管理体系三是管理措施。包括管理体系,管理管理

8、制度和法律保障。制度和法律保障。其中，管理和技术的有效结合是保证其中，管理和技术的有效结合是保证电子政务系统的安全的必备手段。下面电子政务系统的安全的必备手段。下面进行详细介绍进行详细介绍13第第三三部部分分电电子子政政l首先是首先是 网络层的安全网络层的安全 大家知道网络的组大家知道网络的组成包括成包括 客户机客户机信道信道-服务器三个方面，服务器三个方面，因此，安全对策也有三个方面。因此，安全对策也有三个方面。l1 客户机（用户终端）安全的对策客户机（用户终端）安全的对策l就是保护客户机免受网上下载软件和数据就是保护客户机免受网上下载软件和数据的威胁，方法有数字证书、浏览器内置的的威胁，方

9、法有数字证书、浏览器内置的安全特性和使用防病毒软件。安全特性和使用防病毒软件。143.3.1-2.l保护通讯信道的安全就是要保证保护通讯信道的安全就是要保证通讯的保密性、传输信息的完整通讯的保密性、传输信息的完整性和信道的可用性。性和信道的可用性。保密性和完整性主要通过各种加保密性和完整性主要通过各种加密的方式来实现。密的方式来实现。15l一是访问控制和认证一是访问控制和认证l二是操作系统控制二是操作系统控制l-大家最常见的就是大家最常见的就是 用户名用户名+口令口令 的认证方式。的认证方式。163.3.2电子政务服l建立完整的公钥基础设施建立完整的公钥基础设施（Public Key Infr

10、astructure，PKI）,它是基于公开密钥理它是基于公开密钥理论和技术建立起来的安全体论和技术建立起来的安全体系，是提供信息安全服务的系，是提供信息安全服务的具有普适性的安全基础设施。具有普适性的安全基础设施。17建建立立这这套套l的目的是解决网络空间的目的是解决网络空间的身份认证与信任问题的身份认证与信任问题183.3.3-1电子政三网隔离关系示意图 政 务 内 网 政府和行业部门公众服务网站（政 务外网）互 联 网 物 理 隔 离 逻辑 隔 离 193.3.3l是指将两个网络完全断开，使之不发生实是指将两个网络完全断开，使之不发生实际的物理连接。这样一来，网络黑客便无际的物理连接。这

11、样一来，网络黑客便无法进入内网。法进入内网。l“9.11”恐怖袭击事件后，美国政府提出建恐怖袭击事件后，美国政府提出建立独立于立独立于Internet的政府专用网的政府专用网GOVNET。l我国电子政务的内网与外网之间采取的是我国电子政务的内网与外网之间采取的是物理隔离物理隔离。203.3.3l是指两个网络之间通过专用的计算机是指两个网络之间通过专用的计算机设备连接，这个计算机通过执行一定设备连接，这个计算机通过执行一定的安全策略，从而控制两个网络之间的安全策略，从而控制两个网络之间信息包的流入和流出。最常用的设备信息包的流入和流出。最常用的设备是防火墙。是防火墙。l电子政务中的外网与互联网之

12、间即采电子政务中的外网与互联网之间即采取逻辑隔离。取逻辑隔离。213.3.4 其它l1.虚拟专用网络(VPN)l2.入侵检测系统（IDS）l3.漏洞扫描系统这里不展开讲.22l首先是首先是 部署完善的电子政务安部署完善的电子政务安全管理体系全管理体系l请看示意图请看示意图23电子政务安全管理体系社会服务体系运行管理体系技术保障体系基础设施平台技术研发防护系统行政管理技术管理安全管理测评认证应急响应教育培训风险管理PKI认证平台法规建设标准建设243.4.2建建立立l 用书面的形式对各项要求做出明文规用书面的形式对各项要求做出明文规定。包括人员管理、保密、跟踪审计、系定。包括人员管理、保密、跟踪

13、审计、系统维护、数据备份、病毒定期清理等一系统维护、数据备份、病毒定期清理等一系列制度。列制度。这些制度是保证电子政务系统正常有这些制度是保证电子政务系统正常有序运行的基础，是电子政务人员必须遵守序运行的基础，是电子政务人员必须遵守的工作守则。的工作守则。25这里强调一下关于人l1、多人负责原则、多人负责原则-每一项与安全有关每一项与安全有关的活动，都必须有两人或多人在场。的活动，都必须有两人或多人在场。l2、任期有限原则、任期有限原则 任何人最好不要长任何人最好不要长期担任与安全有关的职务，以免使他认期担任与安全有关的职务，以免使他认为这个职务是专有的或永久的。为这个职务是专有的或永久的。2

14、6l3是是 最小权限原则最小权限原则 每个每个人只负责一种事务，只有一人只负责一种事务，只有一种权限。种权限。l4、职责分离原则、职责分离原则在信息在信息处理系统工作的人员不要打处理系统工作的人员不要打听、了解或参与职责以外的听、了解或参与职责以外的任何与安全有关的事情，除任何与安全有关的事情，除非系统主管领导批准。非系统主管领导批准。273.4.3 电电子子政政务务l电子政务安全的法律保障包括基础性电子政务安全的法律保障包括基础性法规建设和标准性法规建设。法规建设和标准性法规建设。l信息安全法规是信息资源安全管理走信息安全法规是信息资源安全管理走向成熟化、正规化和法制化的表现。向成熟化、正规

15、化和法制化的表现。l政务信息公开法的出台说明了我国在政务信息公开法的出台说明了我国在电子政务安全管理上正逐渐走向成熟。电子政务安全管理上正逐渐走向成熟。28l近年来，我国信息安全标准近年来，我国信息安全标准化工作发展较快，在国家质化工作发展较快，在国家质量技术监督局的领导下，全量技术监督局的领导下，全国信息化标准委员会及其下国信息化标准委员会及其下属的信息安全分技术委员会属的信息安全分技术委员会在制订我国信息安全标准方在制订我国信息安全标准方面做了大量的工作。面做了大量的工作。29思l1.电子政务的安全目标是什么？l2.完整的电子政务综合安全体系包括哪些内容？当前我国电子政务安全存在的问题主要有哪些？l3.简述电子政务的安全威胁的几种类型？l4.电子政务服务器的安全问题及对策？l5.电子政务内网、外网与互联网之间的隔离关系？30w6.电子政务中的内网和外网大致包括什么内容？w7.简述电子政务安全管理体系的组成？w8.简述电子政务安全运作的基本原则？w9.电子政务安全管理制度的包括哪些方面？31