吉林大学工商管理博士学位授权一级学科点复审答辩材料.ppt

行政学院 行政学院 行政学院 行政学院 行政学院 在电子政务规划过程中，制定科学、合理的安全体系框架，明确安全需求是一项极为重要的工作。在此基础上，充分考虑管理、技术等多方面因素，预先研究和制定电子政务总体解决方案，是电子政务工程得以顺利、有效实施的重要保障。 简单理解，解决方案是解决问题的方案。 基本的方式是等到“问题实际发生”，才会产生对应的解决方案。 但是在更为先进的理念来看，应该在问题的萌芽状态，当问题体现出端倪，或者有明显的恶化趋势，在可以预期的情况下解决。把问题导致的不良影响，压制在最低限度。　　事实上，这也涉及到解决方案的成本问题。简而言之，如果能够及时发现，那么较为简单的措施，以及较少的人力和资源投入，就可以解决问题。与此相对，如果问题已经造成相当的影响，这时候的解决方案涉及到更多的要素，例如损伤控制，危机公关，善后处理等等，在成本投入上也更多。 主要策略和方案 接入设备认证 用户、设备身份认证 互联网接入控制 移动介质使用管理策略和技术方案 采用安全的信息加解密机制 加强人员、组织的安全教育，提高安全意识 制定全面的安全跟踪、审计技术方案和安全管理策略 采取技术和管理的手段，加强系统管理员的监督和管理 第9章 电子政务信息安全体系 主讲人：于秀峰 目录 9.1 电子政务信息安全的需求 9.2 电子政务信息安全的策略 9.3 电子政务技术安全体系设计 9.4 电子政务信息安全整体解决方案 9.4电子政务信息安全整体解决方案 电子政务规划过程中，在制定电子政务总体业务解决方案的同时，以业务解决方案为基础，制定电子政务信息安全整体解决方案，是电子政务工程得以安全、有效实施的重要保证。 9.4电子政务信息安全整体解决方案 9.4.1 电子政务信息安全整体解决方案制定的准备 9.4.2 电子政务信息安全整体解决方案的内容 9.4.1 电子政务信息安全整体解决方案制定的准备 定义：解决方案（Solution）就是针对某些已经体现出的，或者可以预期的问题，不足，缺陷，需求等等，所提出的一个解决问题的方案，同时能够确保方案有效执行。 9.4.1 电子政务信息安全整体解决方案制定的准备 不同的解决方案，准备的工作内容和侧重点有所差别，包括： 组织人员准备（建立专门的组织、技术管理队伍） 业务准备（熟悉业务需求和方案） 目标确定（制定安全总体目标、原则、范围） 评估信息安全威胁和风险 明确信息安全需求 制定技术安全和管理安全策略 形成信息安全体系框架 9.4.1 电子政务信息安全整体解决方案制定的准备 具体工作包括： 信息分类，访问权限划分原则 信息传输、存储、处理中的加密、签名机制确定 用户分类，角色定义原则 用户身份认证与鉴别 其他资源分类，访问控制策略 明确信息安全防御手段、检测手段、响应机制 包括那些系统，确定系统操作记录与跟踪机制 9.4.2 电子政务信息安全整体解决方案的内容 电子政务系统分类： 对内实现行政办公、行政决策 对外实现社会管理和公共服务 为保证电子政务内外两个职能有效实施，《国家信息化领导小组关于我国电子政务建设指导意见》（2002）中明确： 整个电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离 国家电子政务网络规划不仅体现了电子政务网络划分，更反映出电子政务整体业务的需求和安全特性 内外网划分 政务内外网的差别 信息密级不同：内网运行政府核心业务，信息是涉密信息； 产品密级不同：内网普密级产品； 适用级别不同：内网适用于副省级以上的政府部门； 主要的服务对象不同：内网服务于政府工作人员（包括公务员）； 主要功能不同，内网侧重于政府内部办公、管理和决策功能。 政府内外网在实际应用过程中，存在业务交互和信息交换的需求。 内外网在物理隔离的基础上，需要解决信息安全交换的问题。 网络拓扑结构 政务内网安全 政务内网与外网及互联网物理隔离，直接受到外界人为网络攻击的几率相对较低。 内网中的用户主体类别相对单一，主体的行政可控性、可鉴别性以及可审计性和可跟踪性较强，由于风险的原因，在用户主体授权范围内主观攻击或危害信息安全的意愿或可能性相对较低。 主要风险包括： 外来终端非法接入 部门内部、部门之间非授权访问 非法接入外部网络 移动介质的使用（病毒侵入、泄密） 保密信息明文存储 人员安全意识薄弱，不按安全规范执行 安全审计、检查不彻底，尤其是对系统管理员的监督、管理 政务外网安全 外部攻击和破坏风险 攻击的主体、动机多种多样； 网络受到外来攻击的风险很高，存在网络局部或全部瘫痪的可能性，连续的业务支撑和服务能力受到威胁； 网络信息传输过程中需要安全机制保护，以免造成信息失真或内容遭到破坏； 不同安全域之间应该实现安全交换，避免未经授权导致的信息泄露和破坏；