_第九章电子政务信息安全.ppt

第九章电子政务信息安全 目录 第一节 电子政务信息安全需求与策略 第二节 电子政务信息安全整体解决方案 第三节　我国电子政务信息安全管理组织 第一节 电子政务信息安全需求与策略 电子政务安全的宗旨：在电子政务系统建设和实施过程中充分考虑各种风险，最大限度地保护硬件、软件、信息和网络的安全，核心是保护电子政务信息安全，以确保电子政府能够有效行使政府职能。 一、电子政务信息安全基本需求 信息安全：包含信息系统的安全和信息的安全。 计算机安全：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露。这一定义也同样适用于电子政务信息安全。（国际标准化组织ISO） 电子政务信息安全的基本需求：可用性、完整性、保密性、不可否认性和可控性（保障性）。 电子政务的安全目标有以下三方面： 一是保护政务信息资源价值不受侵犯。 二是保证信息资源的拥有者（政务主体）面临最小的风险和获取最大的安全利益。 三是使政务的信息基础设施、信息应用服务和信息内容具有可用性、完整性、保密性、不可否认性和可控性的能力。 国家计算机网络与信息安全管理中心提供的资料 政府网站成为重点攻击对象。 2001年中美黑客大战期间，在遭受美国黑客攻击的我国大陆网站中，政府网站占了41.5%。 对照安全标准来衡量，中央国家部委的涉密网络有一半以上未达到安全保密要求。 “9.11”恐怖袭击事件后，美国政府提出建立独立于Internet的政府专用网GOVNET 微软公司一个员工把工作电脑带回家，为了获得更快的运行效率，部分关闭了防病毒软件的功能，使得木马程序植入他的电脑，最后又被植入到微软公司内部网系统，导致源代码的泄露。 美国国家安全协会统计数据 98%的企业都曾遇过病毒感染问题 63%的企业都曾因感染病毒失去文件资料 80%的Web服务器受到过黑客攻击 82%以上的企业建成内部网； 50%以上的CIO认为网络安全是最头疼的问题； 80%的国内网站存在安全隐患； FBI调查表明，95%的网络入侵未被发现。 五个“不知道” 不知道采取什么措施有效地保护信息安全； 面对众多的网络安全产品，不知道如何合理选择； 购买产品后，不知道如何正确使用； 在使用过程中，不知道怎样制订安全管理机制； 出现问题，不知道怎么办。 投入对比 在国外企业IT投资中，网络安全投资占20－30%； 在国内企业IT投资中，网络安全投资仅占5%左右； 第一节 电子政务信息安全需求与策略 二、电子政务信息安全威胁 一般主要来自技术和管理方面。 ㈠技术风险 技术方面的安全风险主要包括物理安全风险、链路安全风险、网络安全风险、系统安全风险和应用安全风险等5个方面。 = 第一节 电子政务信息安全需求与策略 ⒈物理安全风险 ⑴各种自然灾害、物理设备老化等环境事故可能导致整个系统毁灭； ⑵电源故障造成设备断电，造成信息的毁坏或丢失； ⑶设备被盗、被毁造成数据丢失或信息泄漏； ⑷电磁辐射可能造成数据信息被窃取或偷阅； ⑸报警系统的设计不足或故障可能造成误报或漏报。 2　链路安全威胁 入侵者传输线路上安装窃听装置，窃取你在网上传输的重要数据，再通过一些技术读出数据信息，造成泄密或者做一些篡改来破坏数据的完整性 布什栽进“窃听门” 美国《今日美国报》2006年05月11日再爆“猛料”：美国国家安全局从2001年“9·11”事件后开始通过一些电信服务商秘密收集数千万美国人的电话记录。 有分析人士指出，这样做显然侵犯了公民的隐私权。而参议院司法委员会已计划召开听证会，要求对参与此事的电信公司进行质询。 　　据《今日美国报》报道，“9?11”事件后不久，美国国家安全局以查找和追踪恐怖分子为由，与美国电话电报公司、韦里孙通讯公司和贝尔南方公司等3大电信服务商签署合同，通过这些电信商收集美国各地的家用和商用电话记录，并收入一个专用数据库。国家安全局在向各大电信运营商提出合作申请时说，“国家现在正处在危险中，我们需要你们的帮助来保护我们的国家免受恐怖袭击”，并表示愿意为此支付一定的费用。在这种情况下，ＡＴ＆Ｔ、韦里逊通信公司、和西南贝尔通信公司选择了与国家安全局合作，并为国家安全局“提供了2亿份私人通话记录”。 　　针对这则报道，布什当天通过白宫发表声明说，有关窃听和收集行动针对的是“基地”组织及其支持者，而且美国情报部门并没有未经法庭允许就监听美国境内的电话。此外，他所授权的窃听活动都是符合法律的，而且也向有关国会议员作了汇报。声明还说，在政府从事的所有活动中，美国普通民众的隐私权都得到了充分保护，情报部门并没有对那些无辜的美国人的私生活进行窥探和调查。 窃听丑闻震动韩国政坛 涉案高官自杀未遂 2005年7月26日，涉案的前“安企部