8章节EG信息安全体系.ppt

;8.1 电子政务信息安全的需求;我国电子政务安全的现状 ;电子政务安全问题产生的原因 ;信息安全的定义： 国际标准化组织对信息安全的定义是：“在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。;;;威胁;物理安全风险 链路安全风险 网络安全风险 系统安全风险 应用安全风险; 物理安全涉及的风险主要有： 1)对信息化基础设施的直接破坏，如切断通信电缆、损毁通信设备和存储设备。 2)对电子供应设施的破坏，如切断电源、电源故障、电压不稳、电力供应不足等，造成设备断电，造成信息的毁坏或丢失。 3)各种自然灾害(如水灾、火灾、地震、台风、雷电等)、物理设备(如计算机设备、网络设备、存储介质等)自身的老化和损坏等环境事故可能导致的整个系统的毁灭。 4)设备被盗、被毁造成数据丢失或信息泄露。 5)静电、强磁场、电磁辐射可能带来的破坏，如设备短路、存储介质毁坏，可能造成数据信息毁坏、被窃取或偷阅。 6)报警系统的设计不足或故障可能造成误报或漏报。; 入侵者可在传输链路上利用搭线窃听等方式截获机密信息，再通过一些技术手段读出信息；或通过对信息流向、流量、通信频度和长度等参数的分析，推导出有用信息，如用户口令、账号等；或进行一些篡改来破坏数据的完整性。; 一般来说，网络安全威胁主要有： 1)非授权访问：没有预先经过同意就使用网络资源被看做非授权访问。 2)信息泄漏：指敏感数据在有意或无意中被泄露或透露给某个非授权的人或实体。 3)破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插人或重发某些重要信息，以取得有益于攻击者的响应；或恶意添加、修改数据，损害数据的一致性，以干扰用户的正常使用。 4)拒绝服务攻击：拒绝服务攻击可以阻止用户对部分或全部计算机系统的访问。 5)传播病毒：通过网络传播计算机病毒，其破坏性远大于单机系统，而且用户很难防范。; 很多系统有漏洞和“后门”，即在各种软硬件中有意或无意间留下的特殊代码，公司通过这些代码可以获得软硬件设备的标识信息或操作系统特权控制的信息。 2000年《信息产业部负责人评奔腾Ⅲ序列码事件》； 2006年《以危及国家安全为由 美国务院撤换900台联想电脑》； 2007年中华网上《大家注意了：微软窃取我国家机密》； ;从应用安全的角度考虑，主要是应用系统自身的安全和数据信息的安全。其内容包括： 1)合法性。一方面是指对信息系统操作的合法性，另一方面是指信息系统用户身份的合法性。 2)规范性。在应用、操作和维护上必须遵守一定的技术规范。 3)安全性。信息系统和应用程序自身不能存在安全漏洞，应用过程中所处理的各类信息不被泄露、篡改、假冒或抵赖等。 4)兼容性。不同的信息系统和应用程序之间应具有良好的信息交换能力。 ;“三分技术，七分管理”，而管理方面主要是来自于内部的威胁。主要有： 内部人员故意泄漏网络结构； 安全管理员有意透露其用户名及口令； 内部不怀好意的员工编些破坏程序在内网上传播； 内部人员通过各种方式盗取他人的涉密信息并传播出去；;8.2 电子政务信息安全的策略; 信息安全包括信息传输安全、信息存储安全、信息访问安全等多项内容。 一方面，在技术体系上要有良好保障的防火墙技术、防病毒技术、入侵检测与漏洞扫描技术、认证与加密技术； 另一方面，要提高核心技术的国产化和自主开发能力，同时对应用于政府网络中的所有设备、软件必须进行严格的安全检测。; 管理安全是从管理的层面上制定统一的安全管理规范和相关的法律保障，实现电子政务安全管理的制度化、法律化。 是依靠严格的安全管理制度、监督约束机制来提高管理者的安全意识和堵塞各种安全管理漏洞。 为实现电子政务信息安全目标，当前政府采取的技术和管理方面的综合策略主要包括： 第一，国家主导、社会参与。 第二，全局治理、积极防御。 第三，等级保护、保障发展。 ;安全分级原则。不同密级的加密技术。只要信息被截取破译的成本超过信息的价值或是被截取破译的时间超过信息的保密期限，我们就认为它是安全可靠的。 同步性原则。在任何情况下，如果没有安全保护措施，那么政务信息就不能进行传输、存储和访问等操作。 多重防护原则。在政务系统的不同层次要采用不同的安全产品、安全技术和安全策略。 合法性原则。 ;8.2.2 电子政务信息安全的针对性策略;（1）物理安全 环境安全 设备安全 媒体安全 为保证物理安全，一方面，可以通过建立备用系统、双机热备、故障隔离机制、电磁波