(精）Lecture 4.pptVIP

电子政务与信息安全 中山大学信息科学与技术学院 周凡 2008年5月 内容 1. 电子政务安全建设中存在的问题 电子政务安全建设中存在的问题 电子政务安全建设中存在的问题 电子政务安全建设中存在的问题 电子政务安全建设中存在的问题 电子政务安全建设中存在的问题 2. 中国电子政务安全建设的对策建议 中国电子政务安全建设的对策建议 中国电子政务安全建设的对策建议 中国电子政务安全建设的对策建议 中国电子政务安全建设的对策建议 内容 1. 问题的提出 互联网的困境 2. 公钥基础设施PKI简介 PKI的基本定义与组成 典型PKI应用系统的五个组成部分 3. PKI的原理 新的问题产生了！ 问题的暂时解决——中立的仲裁机构CA * | * Zhongshan University ? Copyright Zhongshan University 2003 Zhongshan University ? Copyright Zhongshan University 2003 电子政务安全建设中的问题与对策 公钥基础设施PKI简介 目前，中国正处于电子政务建设的前期。关于电子政务的安全，政府有关部门缺少统一的建设标准和规范，电子政务建设的风险评估、效能评估也没有一个完整的依据，诸如技术对策、信息分类、安全域划分、责任主体、应急处理、工程实施等方面还存在这样或那样的问题，这些都需要我们采取必要的对策，应对电子政务安全所面临的挑战。 根据国家计算机网络与信息安全管理中心提供的资料显示，2001年中美黑客大战期间，在遭受美国黑客攻击的我国大陆网站中，政府网站占了41.5%。也就是说政府网站成为重点攻击对象。对照安全标准来衡量，中央国家部委的涉密网络有一半以上未达到安全保密要求。 1. 与电子政务安全相关的法律法规的滞后和不完善问题日益明显 电子政务的工作内容和工作流程涉及国家核心政务，其安全关系到国家的主权、国家的安全和公众利益，所以电子政务的安全实施和保障，必须以国家法规形式将其固化，形成全国共同遵守的规约，成为电子政务实施和运行的行为准则，成为电子政务国际交往的重要依据，为司法和执法者提供法律依据，对违法、犯法者形成强大的威慑。 2005年4月1日，《中华人民共和国电子签名法》正式实施，规范了电子签名行为，确立电子签名的法律效力，使得电子签名与传统的手写签名和盖章具有同等的法律效力，极大的推动了电子政务和电子商务的发展。 目前，对个人数据（自然人和法人）保护的需求随着电子政务的发展日益明显，因此，加快个人数据保护法的制定是非常必要的。 2. 电子政务安全管理体制尚待建立 建立和落实电子政务安全责任制，按照谁主管谁负责、谁运营谁负责的原则，由各主管部门和运营单位负责。 制定信息安全策略，规定电子政务系统中各种信息资产（软件、硬件、数据等）所允许的操作行为和不允许的操作行为。 建立、健全电子政务安全管理体制，制定自上而下的完善的电子政务安全管理组织体制和管理条例，从立项、招标、采购、设计、实施、运行、监理、服务、培训、管理等各环节保障电子政务系统建设过程的安全。 形成完整的、高水平的电子政务安全标准体系。 设立专业的安全工程监理单位，协助政府（即用户）与企业寻找电子政务项目建设过程中风险与安全投入的最佳平衡点。 2. 电子政务安全管理体制尚待建立（续） 进行信息安全风险评估，有助于政府确定风险状况、风险应对措施，有助于全面掌握信息系统的安全状况。 需要协调一致的采购和集成商资质管理政策，安全专用产品的采购除了必须符合国家各方面的相关规定外，还必须选择有中国自主知识产权的安全产品。 加强专业人才的培训。 建立协调和应急相应机制。 3. 电子政务安全保障技术构架尚待建立 缺少电子政务整体技术安全保障构架。技术安全保障构架包括政务内网、外网的安全控制策略；进入互联网的安全服务与控制策略；租用公网干线的安全服务与控制策略；设置政务计算环境的安全服务与机制。 缺少电子政务安全基础设施。电子政务安全基础设施包括网络信任基础设施、安全产品评估基础设施和系统安全评估基础设施。 加强安全技术和产品的自主研发和创新。由于电子政务设计国家利益，因此，电子政务系统工程的安全保障需要各种有自主知识产权的信息安全技术和产品。 3. 电子政务安全保障技术构架尚待建立（续） 网络安全域的划分和控制问题。 国务院办公厅[2002]17号文件对政务内网和政务外网进行了划分，指出：政务内网主要是副省级以上政务部门的办公网，与副省级以下的政务部门的办公网物理隔离。政务外网是政府的业务专网，主要用于运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务。 这样的划分也会