第8章 电子政务安全管理.ppt

安全机构的职责： （1）对整个电子政务系统进行整体的安全规划，制定整体的安全解决方案。 （2）制定安全管理制度、安全策略、应急方策略等； （3）监控网络的安全性，监督安全方案的实施情况； （4）评估风险，及时提出修改、弥补方案。 2.安全管理制度 安全人员管理制度； 系统安全运行维护管理制度； 密钥管理制度； 保密制度； 访问控制管理制度等。 第*页 * 80%的风险来自管理的风险， * 第8章 电子政务的安全 1、电子政务的安全概述 2、电子政务的安全体系框架 3、电子政务的安全实现 1、电子政务的安全概述 1.1电子政务安全的重要性 保护国家信息安全的需要。 保护个人信息特别是私密信息的需要 保护信息系统和政务网站不被侵入的需要 面临的主要安全问题： 黑客入侵和犯罪 病毒泛滥和蔓延 信息间谍的潜入和窃密 内部人员的违规和违法操作 电子 政府 1.2我国电子政务安全的现状 缺乏安全意识 信息与网络安全防护能力较弱 缺乏一系列的网络安全标准 电子政务安全问题产生的原因 电子政务系统对网 络的高度依赖 安全技术的缺陷 （股票系统、千年虫问题） 网络的开放性 管理的漏洞 1.3电子政务安全分类 技术风险 管理风险 信息的可用性 信息的完整性 信息的保密性 信息的可控性 信息的不可抵赖性 按 攻击 手段 分类 系统穿透 指未经授权人通过一定手段对认证系统进行攻击，假冒合法用户接入政 府内部系统，实现对文件进行篡改、窃取机密信息、非法使用资源等 违反授权 植入 通信监视 通信串扰 中断 拒绝服务 否认 指入侵者要在系统中设置一种能力，为以后攻击提供方便条件。植入 一般在系统穿透或违反授权攻击成功后，采取向系统中注入病毒等 指授权进入系统做某件事的用户，在系统中进行未经授权的其他事情 指攻击者对系统可用性进行攻击，使系统不能正常工作 指在通信过程中从信道进行搭线窃听 指攻击者对通信数据或通信过程进行干预，对完整性进行攻击，篡改 系统中数据的内容，修正消息次序、时间，注入伪造消息 指合法接入者所进行的正当行为无辜受阻 指一个实体进行某种通信或交易活动后否认曾进行过这一活动 （1）技术风险 组织及人员风险 管理制度不完善 安全策略有漏洞 缺乏应急体系 （2）管理风险 一些安全保密管理制度 2.电子政务安全管理体系 电子政务安全管理体系 技术支撑体系 物理安全 网络安全 系统及应用安全 运行管理体系 行政管理 安全策略管理 风险管理 基础保障体系 第三方安全服务提供商 PK I 认证平台 电子政务安全法规 电子政务安全标准 2.1电子政务技术支撑体系 1物理安全 2网络安全 3.系统和应用安全 1.物理安全：就是保证对物理设施的合法访问，避免人为破坏， 并将自然灾难的影响降到最低。 物理安全 线路设备安全 环境安全 存储媒体安全 1）隔离技术： 政府内网 政府外网 互联网 网络安全指网络通信的安全性，政府内网、外网和公网之间的隔离，界定访问权限等。 物理隔离，采用隔离网闸技术 逻辑隔离，包括VLAN、访问控制、VPN、防火墙、身份识别、代理服务器 2.网络安全：网络安全指网络通信的安全性，政府内网、 外网和公网之间的隔离，界定访问权限等。 源文件 （明文 ） 解密后的信息（明文） 加密后的信息（密文） 加密后的信息（密文） 密钥加密 因特网 密钥解密 数据加密过程 加密技术 对称密钥加密技术 不对称密钥加密技术 对称加密，是指使用同一把密钥对信息加密、信息解密。一个加密系统的加密密钥和解密密钥相同，或者虽然不同，但可以由其中一个推导另一个，则为对称密钥密码体制。 加密和解密的速度很快，效率也很高，但需要仔细保存密钥，其保密性主要取决于密钥本身的保密强度和密钥传送通道的安全性。 加密技术 对称密钥加密技术 不对称密钥加密技术 不对称加密又称为公开密钥加密，是1976年由斯坦福 大学提出来的。与对称密钥系统相比，公开密钥加密 技术需要使用一对相关的密钥：一个用来加密，另一 个用来解密。该技术的设想是，密钥对是与相应的系 统联系在一起的，其中私有密钥是由系统所保密持有 的，而公开密钥则是公开的，但知道公开密钥是不能 推导出私有密钥的。 加密技术 防火墙 防火墙（firewall）是指一个由软件和硬件设备组合而成，处于组织内网和外网的通道之间，用来加强互联网与内部网络之间安全防范的一个或一组系统。它具有限制外界用户对组织内部网络访问及管理内部用户访问外部服务。 一切未被允许的都是禁止的 防火墙的安全策略 一切未被禁止的都是允许的 防火墙 防火墙的分类 共同缺点：依赖特定的逻辑判断是否允许数据包通过，这不利于抗击非法访问和攻击。 这是针对数据包