电子政务安全保障方案.docx

电子政务安全保障方案售前支持部 喻超方正国际软件有限公司目 录一、概述21.1、背景说明21.2、电子政务信息安全面临的挑战21.2.1 恶意程序与黑客21.2.2 网络信息污染31.2.3 程序缺陷和漏洞41.3、电子政务信息安全目标41.3.1可用性目标41.3.2完整性目标51.3.3保密性目标51.3.4可记账性目标51.3.5保障性目标5二、电子政务信息安全保障对策62.1建立电子政务的信息安全机制62.1.1 支撑机制62.1.2 防护机制62.1.3 检测和恢复机制62.1.4 遵循国际通用准则CC72.1.5 中国信息安全等级保护准则72.2 电子政务安全的基本对策7三、电子政务信息安全保障的主要措施93.1网络安全性93.2应用系统安全性113.3数据传输的安全性143.4数据存储的保护143.5应用服务的控制与保护143.6安全攻击的检测和反应143.7偶然事故的防备143.8事故恢复计划的制定153.9物理安全的保护153.10灾难防备计划163.11全程文档归档管理173.12安全保障管理制度17一、概述1.1、背景说明随着信息技术的飞速发展，电子政务在政府实际工作中发挥了越来越重要的作用。电子政务所涵盖的信息系统是政府机构用于执行政府职能的信息系统。政府机构从事的行业性质跟国家紧密联系，所涉及的众多信息都带有保密性，所以信息安全问题尤其重要。例如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等，都将对电子政务系统的正常运行构成威胁。如果因为安全问题导致电子政务系统无法正常运行，大量的政府部门将完全无法进行正常工作。为保证电子政务的信息安全，有必要对其信息和网络系统进行专门的安全设计。1.2、电子政务信息安全面临的挑战1.2.1 恶意程序与黑客任何计算机系统都有安全性问题。绝对安全的计算机系统几乎是不存在的。只要使用，就或多或少地存在安全问题。计算机网络的安全问题要比一台单机严重得多，特别是Internet显得更为脆弱，它随时会受到以下几方面的攻击和威胁。身份攻击：用户身份在通信时被截取； 中继攻击：非法用户截取数据后延迟发送； 数据截取（窃听）； 数据修改：非法用户对数据进行替换、更改、插入、重排等； 服务拒绝：正当的申请被拒绝、延迟、更改等； 伪装：非法用户假冒合法用户身份获取敏感信息； 否认：否认自己做过的事情； 不良信息侵入 …… 这些攻击和威胁，有的来自病毒，有的来自黑客（Hacker），也有来自内部的攻击。以下是网络攻击的发展趋势：（1）攻击工具的简单化：目前，黑客工具的技术性越来越高，使用越来越简单，并且大多是图形化界面，容易操作。 （2）攻击目标针对化：黑客攻击的目标越来越有针对性，并主要是针对意识形态和商业活动。 （3）攻击方式系统化：黑客在攻击方式、时间、规模等方面一般都进行了长时间的准备和部署，系统地进行攻击。 （4）攻击时间的持续化：由于网络协议的漏洞和追踪力量的薄弱，黑客肆无忌惮地对目标进行长时间的攻击。 （5）黑客技术与病毒技术结合。1.2.2 网络信息污染信息污染主要是指由非法信息、有害信息、无用信息或计算机病毒对网络或网络用户造成的危害信息。一般分为：制造社会混乱、危害国家安全的信息。破坏经济、商业秩序的信息。威胁网络安全的信息。人身攻击、骚扰，侵犯他人利益的信息。对人的身心健康造成不良影响的信息 。……1.2.3 程序缺陷和漏洞“堡垒是最容易从内部功破的。”外部的攻击往往是从系统内部的缺陷或漏洞（bug）开始的。所谓漏洞，主要包括软件缺陷、硬件缺陷、网络协议缺陷和人为的失误等。1.3、电子政务信息安全目标电子政务信息安全的宗旨是通过在实现信息系统时充分考虑信息风险，确保一个政府部门能够有效地完成法律所赋予的政府职能。为此，电子政务系统必须实现如下的信息安全目标： 1.3.1可用性目标 可用性目标是确保电子政务系统有效率地运转，并使授权用户得到所需信息服务。简单地说，可用性目标就是系统能运转，用户可以得到服务。1.3.2完整性目标 完整性目标包括数据在多个地方存储时，同一个数据要相同。例如关于一个地区的人口统计数据分别存储在不同地方时，要一致。要对某个数据进行修改，必须同时修改保存在每个地方的数据。1.3.3保密性目标保密性目标是指不向非授权个人和部门暴露私有或者保密信息。简单地说，就是除了让该知道的人知道，其他人不能知道。通常，对于大多数电子政务系统而言，保密性目标在信息安全的重要程度排序中仅次于可用性目标和完整性目标。然而，对于某些特定的电子政务系统和数据，保密性目标是最重要的信息安全目标。 1.3.4可记账性目标可记账性目标是指电子政务系统能够如实记录一个实体的全部行为。通常，可记账性目标是政府部门的一种策略需求。可记账性目标可以为拒绝否认、威慑违规