课件第4章.ppt

第4章 电子政务信息安全保障 关键术语 信息安全 安全风险 安全风险评估 信息安全技术 信息安全制度 4.1信息安全及安全保障概述 4.1.1信息安全内涵 狭义的信息安全是指信息不受威胁和危害，包括信息系统的安全、信息数据的安全和信息内容的安全。 广义的信息安全是指在一定范围内的社会环境下，由信息和网络技术与国家安全因素的相关性所构成的国家安全的一种态势，这种态势描述了国家免受国外信息威胁的能力和以信息手段维护国家综合安全的能力。 4.1.2信息安全基本特征 真实信 可靠性 完整性 保密性 可用性 不可篡改性 4.1.3信息安全的目标 1.可用性目标 2.完整性目标 3.保密性目标 4.可记账性目标 5.保障性目标 4.1.4信息安全建设原则 1.先进性原则 2.可扩展原则 3.可行性原则 4.标准化原则 5.技术与管理相结合的原则 4.1.5信息安全保障体系架构 电子政务安全保障体系 电子政务信息安全风险评估体系 电子政务信息安全技术 信息安全运行管理体系 信息安全保障社会服务体系 基础设施体系 4.2电子政务信息安全风险评估体系 4.2.1电子政务安全风险分析 开放式系统互联 OSI(open system interconnection) 4.2电子政务信息安全风险评估体系 4.2.2电子政务信息安全风险评估框架与流程 1.电子政务信息安全风险评估原理 威胁识别 脆弱性识别 资产识别 威胁出现的频率 风险值 安全事件造成的损失 安全事件的可能性 脆弱性的严重程度 资产价值 2.电子政务信息安全风险评估的准备 （1）确定风险评估的范围 （2）确定风险评估的目标 （3）建立适当的组织结构 （4）建立系统性的风险评估方法 （5）获得最高管理者对风险评估策划的批准 3.资产识别及其赋值 （1）资产分类 分类 示例 数据 源代码、数据库数据、资料、系统文档、运行管理规程、计划、报告、用户手册等 软件 应用软件、系统软件、开发工具和资源库等 硬件 计算机硬件、路由器、交换机、防火墙、布线、备份存储设备等 服务 www、smtp、pop3、Ftp、呼叫中心、内部文件服务、网络连接、网络隔离、网络管理入侵检测等 文档 纸质的各种文件、传真、电报、财务报告、发展计划等 设备 电源、空调、保险柜、文件柜、门禁、消防设施等 人员 各级工作人员以及合同制雇员等 （2）资产赋值 赋值 标识 定义 5 极高 组织最重要的机密，对组织根本利益有着决定性影响，如果泄露会造成灾难性的影响 4 高 组织的重要秘密，若泄露会使得组织的安全和利益遭受严重损害 3 中 组织一般性秘密，若泄露会使组织的安全和利益受到损害 2 低 在组织内部公开，但向外扩散有可能对组织的利益造成损害 1 可忽略 对社会公开的信息，公用的信息处理设备和系统资源等信息资产 4.威胁识别及其赋值 （1）威胁分类 （2）威胁赋值 5.脆弱性识别及其赋值 （1）脆弱性分类 （2）脆弱性赋值 4.2.3 电子政务信息安全风险的确认 1.风险等级的划分 很高 高 中 低 很低 2.控制措施的选择 3.风险评估文件的形成 （1）风险评估过程计划 （2）风险评估程序 （3）信息资产识别清单 （4）重要信息资产清单 （5）威胁参考表 （6）脆弱性参考表 （7）风险评估记录 （8）风险处理计划 （9）风险评估报告 4.3 电子政务信息安全技术 4.3.1 物理层面安全技术 环境安全 设备安全 存储安全 4.3 电子政务信息安全技术 4.3.2 网络层面安全技术 1.数据加密技术 数据加（解）密过程示意图 （1）对称加密技术 （2）非对称加密技术 源文件 （明文） 解密后信息（明文） 加密算法 解密算法 加密后信息（密文） 密钥 密钥 2．防火墙技术 （1）定义 防火墙技术指的是一种由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障技术。 （2）分类 数据包过滤型防火墙 应用级网关型防火墙 代理服务器型防火墙 （3）作用 （4）弊端 3．交换机及路由器的安全策略配置 4.3.3 系统及应用层面安全技术 1.防病毒技术 （1）防病毒技术分类