4电子政务息安全保障.docVIP

第 四 章 电子政务信息安全保障 学习目标：掌握基本概念并了解电子政务信息安全威胁评估及保障体系 学习重点及难点：电子政务信息安全保障体系 4.1信息安全及安全保障概述 4.1.1 信息安全内涵 信息安全就是包含了信息环境、信息网络和通信基础设施、数据、信息内容、媒体、信息应用等多个方面的安全。 4.1.2 信息安全基本特征 （1）真实性（2）可靠性（3）完整性（4）保密性（5）可用性（6）不可篡改性 4.1.3 信息安全的目标 信息安全的目标就是要通过技术手段和有效的管理来确保政务信息系统的安全性，集中表现为对信息安全的保护以及对系统安全的保护。 可用性目标 完整性目标 保密性目标 可记账性目标 保障性目标 4.1.4 信息安全建设原则 （1）先进性原则（2）可扩展原则（3）可行性原则（4）标准化原则 （5）技术管理与管理相结合原则 4.1.5 信息安全保障体系架构 电子政务安全管理的两个层次： 国家层面的管理，就是立法和制定相关的技术标准，由执法机关来监督实施 电子政务系统使用单位的安全管理，过程为安全风险评估→建立管理体系 管理体系具体内容： 1、建立电子政务的技术保障体系 2、建立电子政务运行管理体系 3、建立社会服务体系 4、建设电子政务基础设施体系 加里·麦金农 “史上最黑黑客” 2001年至2002年一年间，英国人加里·麦金农非法侵入美国军方及宇航局的53处电脑网络， 令美国军方电脑网络遭受到有史以来最严重的侵入，他也因此成为“世界头号军事黑客”。在两年间，麦金农利用黑客技术侵入了美国五角大楼、美宇航局、约翰逊航天中心以及美陆、海、空三军网络系统。 江西40家网站2007年遭黑客攻击 七成为政府网站 江西省计算机用户协会向社会发布公告，2007年1?a8月份，江西至少有40家网站遭黑客恶意入侵与攻击。据了解，40家被黑客入侵的网站中，七成为各级政府所属的相关部门网站，计算机用户协会因此希望各用户单位采取措施及时防范。 　记者看到，这些被黑客入侵的网站七成以上是各级政府部门的，这些网站要么被黑客篡改首页，要么被增加了页面。比如，宜春政务信息网被黑客篡改首页，新余市环境保护局被黑客增加了页面。江西省计算机用户协会的秘书长刘斌告诉记者，一旦被篡改了首页，网站就有可能打不开，或者出现大量的错误，甚至机密资料都会被盗走；如果被增加了页面，黑客则会利用网站做广告或搞其他非法活动。刘斌说，这些被黑客入侵的网站大都是长期没有更新页面，无人管理的网站，有的网站甚至处于休克状态，且大多数没安装黑客入侵系统软件（信息日报） 域名根服务器全球分布图 根域名服务器是互联网域名解析系统（DNS）中最高级别的域名服务器，全球仅有13台根服务器。目前的分布是：主根服务器（A）美国1个，设置在弗吉尼亚州的杜勒斯；辅根服务器（B至M）美国9个，瑞典、荷兰、日本各1个。 4.2 电子政务信息安全风险评估体系 4.2.1 电子政务信息安全风险评估框架与流程 1、电子政务信息安全风险评估原理 2、电子政务信息安全风险评估的准备 （1）确定风险评估的范围（2）确定风险评估的目标（3）建立适当的组织机构 （4）建立系统性的风险评估方法 （5）获得最高管理者对风险评估策划的批准 3、资产识别及其赋值 资产：政府部门直接赋予了价值因而需要保护的东西，其存在形式可能是多种多样的，在电子政务中通常表现出来的是各种信息资产。 （1）资产分类：数据 软件 硬件 服务 文档 设备 人员 （2）资产赋值表：极高 高 中 低 可忽略 4、威胁识别及其赋值 信息安全威胁及其赋值 信息安全威胁是一种对组织及其资产构成潜在破坏的可能性因素或者事件。 （1）威胁分类 环境因素、意外事件、无恶意的内部人员、恶意的内部人员、第三方、外部人员攻击 （2）威胁赋值 影响因素：资产的吸引力 资产转化成报仇的容易程度 威胁的技术力量 脆弱性被利用的难易程度 1-5等级数值越高 威胁性越大 5、脆弱性识别及其赋值 又称弱点评估，弱点是资产自身所固有的，本身不会造成损失，但可以被威胁利用引起资产损害，弱点包括物理环境、组织、过程、人员等各种资产的脆弱性。 （1）脆弱性分类：技术脆弱型 管理脆弱型 （2）脆弱性赋值：很高 高 中 低 很低 美国一家权威机构2002年1月28日发布的安全调查报告称，去年下半年，电力与能源企业平均每家遭到700次网络攻击。电力和能源企业受到的网络攻击次数是所有其它企业的两倍以上。 4.2.2 电子政务信息安全风险的确认 1、风险等级的划分 2、控制措施的选择 方式：回避风险 降低风险 转移风险 接受风险 3、风险评估文件的形成 风险评估过程计划 信息资产识别清单 重要信息资产清单 威