—电子政务安全体系解读.ppt

欢迎交流！ * 本章的主要内容： 电子政务安全概述 电子政务安全体系框架 中国电子政务标准体系结构框架 中国电子政务标准的主要内容 第八章 安全体系及标准体系 8.1 电子政务安全概述 系统建设的基本原则： 安全第一 电子政务安全： 涉及对国家秘密信息和高度敏感的核心政务的保护； 涉及维护公共秩序和行政监督的准确实施； 涉及为社会提供公共服务的质量保证。 黑客入侵和犯罪 病毒泛滥和蔓延 信息间谍的潜入和窃密 内部人员的违规和违法操作 电子 政府 8.1.1 电子政务安全现状 1）构建电子政务安全管理体系的重要性 取决于 最薄弱环节的 安全强度 电子政务系统 安全强度 木桶原理 缺乏统一的信息安全保障体系，电子政务系统安全存在着严重隐患。 我国电子政务安全现状 主要表现： 信息与网络安全防护能力较弱 国内IT厂商在自由知识产权、研发方面能力弱，对引进的技术设备依赖性强（漏洞、后门） 相关人员的安全意识不强 缺乏一系列的网络安全标准 网络安全相关的法律法规不健全 8.1.2 电子政务安全问题产生的原因 1）技术保障措施不完善 2）管理体系不健全 3）基础设施建设不健全 1）技术保障措施不完善 （1）计算机系统本身的脆弱性 （2）软件系统存在缺陷 系统软件本身缺乏安全性 应用系统中的安全隐患 （3）网络的开放性 互联网本身的不安全因素 通信线路的开放性 网络资源共享存在的安全隐患 病毒侵害 2）管理体系不健全 （1）组织及人员风险 （2）管理制度不完善 （3）安全策略有漏洞 （4）缺乏应急体系 3）基础设施建设不健全 （1）法律体系不健全 （2）安全标准体系不完整 标准的制定水平较低 缺乏与的实际情况的结合 使用单位对执行标准的认识不足 （3）电子政务的信任体系问题 （4）社会服务体系问题 8.1.3 电子政务安全分类 电子政务面临的安全威胁 非人为的安全威胁 人为的安全威胁 自然灾害 信息技术的漏洞和局限性 内部人员安全威胁 外部人员安全威胁 恶意安全威胁 非恶意安全威胁 被动攻击 主动攻击 邻近攻击 分发攻击 政务信息关系到党政部门、乃至整个国家的利益，比个人或商务信息更为敏感，需要更高的安全性。 电子政务行使政府职能的特点导致更容易受到来自外部或内部的攻击 。 电子政务信息对安全性要求比较高 8.2.1 电子政务的安全需求—1 of 4 电子政务的安全需求： 保护政务信息资源价值不受侵犯； 保证信息资产的拥有者面临最小的风险和获取最大的安全利益； 政务的信息基础设施、信息应用服务和信息内容应具有保密性、完整性、真实性、可用性和可控性的能力； 确保一个政府部门能够有效地完成法律所赋予的政府职能。 安全需求的具体表现 1）信息的真实性 保证接收方获得的信息是从发送方发出的真实信息，即对信息的来源进行判断，能对伪造来源的信息予以鉴别。 3）信息的保密性 信息不泄露给非授权的用户、实体或过程，或供其利用的特性，即只有那些被授予特定权限的人才能够访问信息。 2）信息的完整性 指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 4）信息的不可否认性 信息的发送者和接收者无法否认自己发送或接收信息的行为，即对出现的网络安全问题能提供调查的依据和手段。 5）信息的可用性 是指可被授权实体访问并按需求使用的特性，即当已被授权的用户需要时，应能存取所需的信息。 8.2.2 电子政务安全管理体系框架 电子政务安全管理体系 技术保障体系 系统及应用安全 运行管理体系 行 政 管 理 安全技术管理 风 险 管 理 安全法规建设 网 络 安 全 基础设施平台 社会服务体系 教 育 培 训 应 急 响 应 测 评 认 证 安 全 管 理 安全标准建设 PKI认证平台 物 理 安 全 存储媒体安全 线路设备安全 环境安全 漏洞扫描系统 防病毒系统 入侵检测系统 安全认证 建立安全组织机构 安全人事管理 制定和落实安全管理制度 安全行政管理 行政管理 安全领导小组 安全专家小组 日常网络安全 管理办公室 日常安全维护 工作小组 管理层 日常安全维护单位，完成具体的安全维护工作 应急响应 工作小组 处理突发事件，实施应急响应方案，恢复系统运行 网络应急响应 管理办公室 执行层 决策层 电子政务的安全必须由特定的安全组织进行管理。这种安全组织机构应该独立于信息部门，直接隶属于各地方的最高政府机关。 安全组织机构的主要职责： 对整个电子政务系统进行整体的安全规划，制定整体的安全解决方案； 制定安全管理制度，权责分明； 实时监控网络的安全性，监督安全方案实施