中央财经 电子政务第7章 电子政务系统的运行维护与安全管理.pptVIP

第七章电子政务系统的运行维护与安全管理*二、电子政务安全管理措施（一）安全技术管理2．保密设备与密钥的安全管理（3）密钥的存储。密钥应该以密文的形式存储在密码装置中，至少主密钥应该如此存储。对密钥存储的保护措施有：由密码操作员掌握加/解密的操作口令、密码装置应有掉电保护功能、拆开装置时密钥会自动消失、非法使用装置时会自动审计等。（4）密钥的更换。采用键盘、软盘、磁卡、磁条等密钥更换时，更换应该正确、可靠且要防止泄露。第七章电子政务系统的运行维护与安全管理*二、电子政务安全管理措施（一）安全技术管理2．保密设备与密钥的安全管理（5）密钥的销毁密钥的泄露或丢失必然损害系统的安全，因此必须具备在紧急情况下销毁密钥的手段和措施。（6）密钥的连通和分割。在网络环境下，密钥的连通和分割能力是实现信息保密和资源共享的重要途径。互通能力可以达到网络拓扑结构的地址极限，但是为了安全起见，应通过分割来限制连通范围，使信息保密和资源共享达到最佳状态。第七章电子政务系统的运行维护与安全管理*二、电子政务安全管理措施（一）安全技术管理3．软件管理软件管理的范围包括对操作系统、应用软件、数据库、安全软件、工具软件的采购、安装、使用、更新、维护、防病毒的管理。（1）软件的采购、安装和测试（2）软件的登记和保管（3）软件的使用和维护（4）应用软件开发管理（5）软件的防病毒管理第七章电子政务系统的运行维护与安全管理*二、电子政务安全管理措施（二）安全行政管理行政安全管理的重点是：安全组织机构的设立、安全人事管理、安全责任与监督等。1．安全组织机构是否拥有健全的安全管理组织机构与网络信息的安全与保密密切相关。安全组织机构的设立可视电子政务系统的规模而定。安全组织机构的任务是：统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜等。第七章电子政务系统的运行维护与安全管理*二、电子政务安全管理措施（二）安全行政管理安全组织机构内需要多方面的人才，比如：需要有人负责确定安全措施，制定方针、政策、策略，并协调、监督、检查安全措施的实施；还需要有人进行具体的管理系统安全工作，包括：保安员（负责非技术的、常规的安全工作）、安全管理员（负责软硬件的安装、维护、日常操作的监视，应急条件下的安全恢复等）、安全审计员（负责监视系统的运行情况，收集对系统资源的各种非法访问事件并进行记录，然后进行分析、处理。必要时，还要将审计的事件及时上报主管领导）、系统管理员（负责安装系统、控制系统操作，维护、管理系统等）。第七章电子政务系统的运行维护与安全管理*二、电子政务安全管理措施（二）安全行政管理安全组织机构还应该有一个全面负责人，负责整个网络信息系统的安全与保密，主要任务包括：对系统修改的授权、对特权和口令的授权、审阅违章报告、审计记录和报警记录、制定安全人员的培训计划并加以实施、遇到重大安全问题时及时报告主要领导等。安全组织机构不应该隶属于网络运行和应用部门，应该由管辖网络系统的单位的主要领导主管，保持相对的独立性和一定的权威性。安全组织机构制定的安全政策应该指出每个工作人员的责任，并明确安全目标。对各级安全组织机构，应明确其责任和监督功能，负责安全政策的贯彻，安全措施的执行和检查，严格管理。第七章电子政务系统的运行维护与安全管理*二、电子政务安全管理措施（二）安全行政管理安全组织机构制定的规章制度应作为日常安全工作应遵守的行为规范。安全组织机构还要制定安全规划和应急方案。安全组织机构还要制定信息保护策略，确定需要保护的数据的范畴、密级或保护等级，根据需要和客观条件确定存取控制方法和加密手段。第七章电子政务系统的运行维护与安全管理*二、电子政务安全管理措施（二）安全行政管理2．安全人事管理对人员的安全管理主要有：人事审查和录用、岗位和责任范围的确定、工作评价、人事档案管理、提升、调动和免职、基础培训等。第七章电子政务系统的运行维护与安全管理*二、电子政务安全管理措施（二）安全行政管理电子政务的安全人事管理主要应遵守以下三个原则：（1）多人负责原则每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的、能胜任此项工作的、忠诚可靠的员工。他们需要签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关的活动：访问控制使用证件的发放与回收；信息处理系统使用的媒介发放与回收；处理保密信息；硬件和软件的维护；系统软件的设计、实现和修改；重要程序和数据的删除和销毁等。第七章电子政务系统的运行维护与安全管理