電子政務(wù)安全管理課件

第8章

電子政務(wù)的安全管理PPTPPT修改：李政演講：李政王世杰論文撰寫：郭曉天李政目錄8.1電子政務(wù)的安全需求8.2電子政務(wù)安全管理8.3電子政務(wù)安全管理實(shí)施8.4安全保障技術(shù)8.1電子政務(wù)的安全需求什么事電子政務(wù)安全需求？答：電子政務(wù)的安全需求，是指在信息化環(huán)境下，政務(wù)活動(dòng)對(duì)信息安全的基本需求和要求。電子政務(wù)的安全需求來自于電子政務(wù)的外部環(huán)境，也取決于信息化背景下政務(wù)活動(dòng)的特點(diǎn)和方式。電子政務(wù)環(huán)境中的安全威脅包括以下幾個(gè)方面：1.人為因素：支撐電子政務(wù)運(yùn)行的各類信息系統(tǒng)，是為人服務(wù)，由人來操控的，因此，人的因素成為造成電子政務(wù)不安全的最為主要的因素。2.技術(shù)系統(tǒng)因素：由于電子政務(wù)系統(tǒng)是由各種類型的信息技術(shù)構(gòu)成的，技術(shù)的復(fù)雜性、解決技術(shù)問題的復(fù)雜性，或者系統(tǒng)構(gòu)建的健全性、匹配性都可能引起安全問題。3.安全管理因素：政府機(jī)構(gòu)在安全管理的法律、政策、安全制度和安全管理措施方面都可能造成安全管理障礙，從而引起安全管理問題。4.自然因素：自然災(zāi)害對(duì)電子政務(wù)構(gòu)成的威脅也是現(xiàn)實(shí)存在的。8.1.1電子政務(wù)的安全環(huán)境與安全威脅電子政務(wù)安全威脅案例2001年中美黑客大戰(zhàn)中美黑客事件是由中美撞機(jī)事件直接引發(fā)的。據(jù)外電報(bào)道，首先是一些美國國內(nèi)的黑客對(duì)部分中國網(wǎng)站進(jìn)行了攻擊，從而激怒了中國黑客，雙方遂在互聯(lián)網(wǎng)上展開了一場(chǎng)黑客大戰(zhàn)。之后，中國黑客在一個(gè)名為“中國紅客聯(lián)盟”的黑客組織領(lǐng)導(dǎo)下，計(jì)劃展開“第六次網(wǎng)絡(luò)衛(wèi)國戰(zhàn)爭(zhēng)”，在“五一”期間發(fā)動(dòng)一次七日戰(zhàn)役，全面襲擊美國網(wǎng)站。此事經(jīng)國內(nèi)各媒體大加宣傳，迅速成為一場(chǎng)轟轟烈烈的黑客事件。5月4日晚，“中國紅客同盟”的行動(dòng)達(dá)到首個(gè)高潮，出現(xiàn)了“八萬中國紅客攻打白宮”的場(chǎng)面，并迫使白宮網(wǎng)頁一度癱瘓。預(yù)計(jì)“中國紅客聯(lián)盟”的下一次行動(dòng)高潮將在5月8日到來。中美黑客大戰(zhàn)美國白宮飄起紅旗美國安全專家表示，美中黑客之間的網(wǎng)絡(luò)大戰(zhàn)在當(dāng)?shù)貢r(shí)間4月30日(北京時(shí)間5月1日)愈加升級(jí)，其中美國白宮的官方網(wǎng)站遭到電子郵件“炸彈”的攻擊，同時(shí)若干個(gè)美國和中國網(wǎng)站頁面均被改得面目全非。除了美國白宮的網(wǎng)站之外，其他被中國黑客列為攻擊目標(biāo)的網(wǎng)站還包括美國聯(lián)邦調(diào)查局(FBI)、美國航空航天局(NASA)、美國國會(huì)、《紐約時(shí)報(bào)》、《洛杉磯時(shí)報(bào)》以及美國有線新聞網(wǎng)(CNN)的網(wǎng)站。中美黑客大戰(zhàn)&中伊黑客大戰(zhàn)8.1.2電子政務(wù)安全方面的需要和要求需要和要求：1、保障電子政務(wù)整體有效運(yùn)行和行政秩序的需求。2、保障基礎(chǔ)設(shè)施安全的需求。3、保障電子政務(wù)系統(tǒng)運(yùn)行安全的需求。4、保障政務(wù)信息資源安全的需求。8.2電子政務(wù)安全管理1電子政務(wù)安全目標(biāo)2電子政務(wù)安全管理體系3電子政務(wù)安全管理策略電子政務(wù)安全目標(biāo)分解1.通過技術(shù)自主化保障安全2.保護(hù)信息資源3.持續(xù)安全保障4電子政務(wù)功能指標(biāo)8.2.2電子政務(wù)安全管理體系電子政務(wù)的安全管理需建立下述管理體系：一、通過建設(shè)電子政務(wù)的安全基礎(chǔ)措施來保障電子政務(wù)的安全。二、建立電子政務(wù)的技術(shù)保障體系，通過安全技術(shù)的應(yīng)用和維護(hù)來保障電子政務(wù)系統(tǒng)的安全。三、對(duì)電子政務(wù)系統(tǒng)的運(yùn)行進(jìn)行安全管理四、建立社會(huì)服務(wù)體系以實(shí)現(xiàn)電子政務(wù)的安全8.2.3電子政務(wù)安全管理策略總體策略：1.國家主導(dǎo)、社會(huì)參與：電子政務(wù)安全關(guān)系到政府決策、行政監(jiān)管和公共服務(wù)質(zhì)量的大事，必須由國家統(tǒng)籌規(guī)劃、社會(huì)積極參與，才能建立起切實(shí)有效的保障。2.全局治理、積極防御：電子政務(wù)安全必須采用法律威懾、管理制約、技術(shù)保障和安全基礎(chǔ)設(shè)施支撐的全局治理措施，并且實(shí)施防護(hù)、檢測(cè)、恢復(fù)和反制的積極防御手段。3.等級(jí)保護(hù)、保障發(fā)展：根據(jù)信息資產(chǎn)的價(jià)值等級(jí)、所面臨的威脅等級(jí)來選擇適度的安全機(jī)制強(qiáng)度等級(jí)和安全技術(shù)保障強(qiáng)壯性等級(jí)，尋求一個(gè)投入和風(fēng)險(xiǎn)承受能力間的平衡點(diǎn)，保障電子政務(wù)系統(tǒng)健康、積極發(fā)展。我國電子政務(wù)信息安全保護(hù)等級(jí)：4.第四級(jí)為強(qiáng)制保護(hù)級(jí)：適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。5.第五級(jí)為?？乇Ｗo(hù)級(jí)：適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。8.3電子政務(wù)安全管理實(shí)施一.電子政務(wù)安全管理的行政管理二.電子政務(wù)安全管理的技術(shù)管理三.電子政務(wù)安全管理的風(fēng)險(xiǎn)管理一.電子政務(wù)安全的行政管理1.安全組織機(jī)構(gòu)（1）明確本單位電子政務(wù)系統(tǒng)的安全目標(biāo)，根據(jù)安全目標(biāo)來制定整體的安全策略。（2）根據(jù)電子政務(wù)的安全策略制定并實(shí)施各項(xiàng)安全措施。（3）制定明確的規(guī)章制度（4）制定安全規(guī)劃和應(yīng)急方案（5）制定敏感信息和保密信息的安全策略，劃分需要保護(hù)的數(shù)據(jù)的范疇、密級(jí)或保護(hù)等級(jí)，根據(jù)現(xiàn)實(shí)需要和客觀條件確定存取控制方法和加密手段。一.電子政務(wù)安全的行政管理4.安全教育培訓(xùn)“兩個(gè)方面”：一方面需要專業(yè)的信息安全人才另一方面要求非專業(yè)人士也應(yīng)具備相應(yīng)的信息安全素養(yǎng)?！岸鄠€(gè)層次”：專業(yè)的信息安全人才隊(duì)伍應(yīng)包括多種層次的人才，如專業(yè)技術(shù)人員、安全管理人員、專業(yè)研究人員和高級(jí)戰(zhàn)略人員等。二.電子政務(wù)安全的技術(shù)管理1.實(shí)體安全管理（1）環(huán)境安全（2）設(shè)備安全（3）存儲(chǔ)媒體安全2.軟件系統(tǒng)管理（1）保護(hù)軟件系統(tǒng)的完整性（2）保證軟件系統(tǒng)的存儲(chǔ)安全（3）保障軟件的通信安全（4）保障軟件的使用安全3.密鑰管理（1）保證密鑰難以竊?。?）密鑰有使用范圍和使用時(shí)間的限制（3）密鑰的分配和更換過程對(duì)用戶透明，而用戶不需要親自掌管密鑰三.電子政務(wù)安全的風(fēng)險(xiǎn)管理1.安全風(fēng)險(xiǎn)評(píng)估（1）要識(shí)別風(fēng)險(xiǎn)（2）應(yīng)進(jìn)行風(fēng)險(xiǎn)度量，即確定風(fēng)險(xiǎn)對(duì)組織或系統(tǒng)的影響程度（3）要確定風(fēng)險(xiǎn)級(jí)別（4）制定相應(yīng)的風(fēng)險(xiǎn)管理策略2.安全風(fēng)險(xiǎn)控制（1）選擇風(fēng)險(xiǎn)控制手段（2）采取風(fēng)險(xiǎn)規(guī)避措施（3）必要的風(fēng)險(xiǎn)轉(zhuǎn)移措施（4）盡可能降低威脅的影響程度（5）對(duì)剩余風(fēng)險(xiǎn)的接受8.4安全保障技術(shù)電子政務(wù)安全保護(hù)技術(shù)1.數(shù)據(jù)加密技術(shù)：是把有意義的信息編碼為偽隨機(jī)性的亂碼，以實(shí)現(xiàn)對(duì)信息保護(hù)的技術(shù)方法。它是各種現(xiàn)代安全保護(hù)技術(shù)或安全防范系統(tǒng)的技術(shù)核心2.信息隱藏技術(shù)：是利用信息本身存在的冗余性和人的感官對(duì)一些信息的掩蔽效應(yīng)而形成的。3.安全認(rèn)證技術(shù)：當(dāng)前的認(rèn)證主要采用數(shù)字簽名技術(shù)和身份認(rèn)證技術(shù)。DDOS攻擊如果說計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了1