电子政务安全技术-第一讲 概述.pptxVIP

第一章 安全概述;本章主要内容;1.电子政务安全问题概述;1.1 电子政务安全的重要性;回顾电子政务概念;电子政务包括内部管理和外部服务;电子政务的作用;电子政务环境分析;我国电子政务的特点;电子政务的安全性要求;电子政务的安全性要求涉及各个层面;构建电子政务的技术基础;1.2 电子政务面临的安全威胁;电子政务面临的安全威胁;电子政务的安全威胁;电子政务的安全威胁（续）;电子政务的安全威胁（续）;电子政务的安全威胁（续）;2. 电子政务网络安全和信息安全;2.1 电子政务网络安全;业务网络安全;2.2 电子政务信息安全;信息完整性;信息完整性保障办法;保密性;抗抵赖性;可靠性;可用性;可控性;3. 电子政务的安全体系;内网案例;构建电子政务安全体系的基本原则;3.1 电子政务安全体系结构;3.1.1安全体系框架;3.1.2安全体系结构模型;3.1.3安全服务模型;在不同的协议层次，实体都有主体和客体（或资源）之分。 在网络层，对主体和资源的识别以主机或协议端口为粒度，认证服务主要指主机地址的认证，网络层的访问控制主要指防火墙等过滤机制； 在应用系统中，主体的识别以用户为粒度，客体是业务信息资源，认证是指用户身份认证和应用服务的认证，访问控制的粒度可以具体到某种操作，如对数据项的追加、修改和删除。 在开放式应用环境中，主体与客体的双向认证非常重要。 从这一模型可以得出如下结论：对资源的访问控制是安全保密的核心，而对实体（用户、主机、服务）的认证是访问控制的前提。 ;3.1.4协议层次模型与相应的安全措施;3.1.5安全体系结构模型映射;基础安全服务设施（离散的）;电子政务应划分安全区域;;安全管理保障体系;安全技术支撑平台;隔离岛;响应恢复机制;4. 电子政务安全评估;4.1 安全评估概述;4.1 安全评估概述（续）;4.2 安全评估内容;安全体制;安全管理;安全审计;安全审计（续）;身份鉴别;访问控制与数据保护;抗抵赖性;4.3 安全评估标准发展概况;4.4 国际安全标准—TCSEC;TCSEC安全性评估 安全策略：必须有明确的由系统实施的安全策略； 识别：必须唯一而可靠地识别每个主体，以便检查主体/客体的访问请求； 标记：必须给每个客体（目标）作一个“标号”，指明该客体的安全级别； 可检查性：系统对影响安全的活动必须维持完整而安全的记录； 保障措施：系统必须含实施安全性的机制并能评价其有效性； 连续的保护：实现安全性的机制必须受到保护，以防止未经批准的改变 ;TCSEC安全评估标准 ;国际安全标准—通用准则CC;CC安全评估在协议国得到认可 CC的评估保证级别：7级 CC与TCSEC保障级别的对应关系 ;4.5 国内安全标准