电子政务安全体系课件.ppt

信息安全 保障信息的机密性、完整性、可用性、可控性和不可否认性等几个方面。 1、机密性：保证信息不泄露给未经授权的人。 2、完整性：信息无失真地传达到目的地。 3、可用性：授权人使用时不能出现系统拒绝服务的情况。 4、可控性：对信息及信息系统实施安全监控管理。 5、不可否认性：信息行为可安全管理。 计算机安全和网络安全都是信息安全。 计算机安全是指计算机系统资源和信息资源不受自然和人为的威胁与损坏。计算机安全更关心信息的存储和处理的安全。 网络安全是指网络系统的硬件、软件及系统中的数据受保护，系统能可靠连续地运行。网络安全更关系的是信息在网络传播过程中所涉及的各种安全问题。 电子政务安全问题就是一种信息安全问题。 电子政务的安全需求 身份认证服务：为政务实体定义唯一的电子身份标识，并通过该标识进行身份认证，保证身份的真实性。 权限控制服务：把信息资源划分成不同级别，并把使用信息资源的用户划分成不同类型，实现不同类型人员对不同级别信息访问的控制策略。 信息保密服务：对于传输中需要保密的信息，采用密码技术进行加解密处理，防止信息的非授权泄漏。 数据完整性服务：保证收发双方数据的一致性，防止信息被非授权修改。 不可否认服务：为第三方验证信息源的真实性和信息的完整性提供证据，它有助于责任机制的建立，为解决电子政务中的争议提供法律证据。 国内电子政务安全存在的一些问题 大部分的政府机构都没有精力对网络安全进行必要的人力投入；很多重要站点的管理员都是Internet的新手，很多服务器存在的漏洞可以使入侵者获取系统的最高控制权。我国现有信息安全专业人才少，有必要采取措施来逐步改善目前安全人才极为缺乏的状况。 2、缺乏整体安全方案 在大多数人的眼中，在服务器前加一个防火墙就解决了安全问题，这是一种很狭隘的安全思路。防火墙仅仅是一个访问控制、内外隔离的安全设备，在底层包过滤、IP伪装、碎片攻击，端口控制等方面的确有着不可替代的作用，但它在应用层的控制和检测能力是很有限的。 另外，没有设置好密码策略、没有设置安全日志策略或没有定期分析日志发现异常现象等等。说到底就是缺乏一套整体安全方案，一个没有整体安全规划的系统，安全是肯定没有保障的。 3、系统本身不安全 没有对用户和目录权限进行设置及建立适当的安全策略； 没有打安全补丁； 安装时为方便使用简单口令而后来又不更改； 没有进行适当的目录和文件权限设置； 没有进行适当的用户权限设置，打开了不必要的服务； 没有对自己的应用系统进行安全检测等等。 事实上系统和应用大多是由系统集成商来完成的，其做法往往是最大化安装，以方便安装调试，把整个系统调通就算完成了任务，遗憾的是留下很多的安全隐患；而安全却恰恰相反，遵循最小化原则，要求没必要的东西一定不要。 4、没有安全管理机制 安全和管理是分不开的，有好的安全设备和系统还不够，还必须有一套好的安全管理方法，并贯彻实施。 建立定期的安全检测、口令管理、人员管理、策略管理、备份管理、日志管理等一系列管理方法和制度是非常必要的。 5、不理解安全的相对性未持续提高系统安全能力 需要指出的是安全是相对的，主要因为： 操作系统和应用系统漏洞的不断发现 新的黑客技术 所以，安全是相对的，是动态的，只有及时对系统安全问题进行跟 踪处理，定期进行整体安全评估，及时发现问题并加以解决，才能确保系统具有良好的安全性。 数据加密技术 对称密码技术：加解密的密钥相同，不能公开。DES、IDEA算法。 非对称密码技术：两个不同的密钥，一个用于加密，一个用于解密，公钥加密技术。RSA算法。 防病毒系统 单机版杀毒软件 网络版杀毒软件一般采用B/S架构，具有“染毒电脑隔离”“文件自动分发”“全网漏洞管理”等众多功能，并具有详尽的病毒疫情分析、IT资产管理等创新功能，为企业用户提供了更加强大的网络安全管理利器。全网安全主动管理：网络管理员通过此设置页面就可以实现对整个网络客户端的集中管理，对全网客户端进行统一或个性化设置，清楚地掌握整个网络环境中各个节点的病毒状态。既方便管理员管理，又可以有效地减少网络安全风险，为用户的网络系统提供了可靠的安全解决方案。 防毒墙（网关） 物理隔离系统 内外网的安全隔离。 服务保障 安全管理的概念解析 安全管理，可以从IT治理的层面看，也可以从IT运行的层面看。在不同的层面，安全管理有着不同的内涵和外延。并可作为落实IT治理的技术手段。 安全管理的目标是要以业务安全需求为导向，以保证政府业务连续性为目的，通过对业务信息系统的运行状态、安全事件、资产、漏洞、威胁、风险、预警、安全策略、安全知识等安全要素进行收集、分析