電子政務安全管理

第8章電子政務的平安管理PPT制作：江雪靈歐陽怡佩陸曉路陳曉彤PPT修改：李政演講：李政王世杰論文撰寫：郭曉天李政目錄8.1電子政務的平安需求8.2電子政務平安管理8.3電子政務平安管理實施8.4平安保障技術8.1電子政務的平安需求什么事電子政務平安需求？答：電子政務的平安需求，是指在信息化環(huán)境下，政務活動對信息平安的根本需求和要求。電子政務的平安需求來自于電子政務的外部環(huán)境，也取決于信息化背景下政務活動的特點和方式。8.1.1電子政務的平安環(huán)境與平安威脅電子政務是基于網(wǎng)絡技術運行的，因此，電子政務的平安環(huán)境涵蓋了與社會普遍相關的根底信息網(wǎng)絡平安的根本要素。電子政務的平安實質上關系到國家平安、公共利益和社會穩(wěn)定。電子政務環(huán)境中的平安威脅包括以下幾個方面：1.人為因素：支撐電子政務運行的各類信息系統(tǒng)，是為人效勞，由人來操控的，因此，人的因素成為造成電子政務不平安的最為主要的因素。2.技術系統(tǒng)因素：由于電子政務系統(tǒng)是由各種類型的信息技術構成的，技術的復雜性、解決技術問題的復雜性，或者系統(tǒng)構建的健全性、匹配性都可能引起平安問題。3.平安管理因素：政府機構在平安管理的法律、政策、平安制度和平安管理措施方面都可能造成平安管理障礙，從而引起平安管理問題。4.自然因素：自然災害對電子政務構成的威脅也是現(xiàn)實存在的。8.1.1電子政務的平安環(huán)境與平安威脅電子政務平安威脅案例2001年中美黑客大戰(zhàn)中美黑客事件是由中美撞機事件直接引發(fā)的。據(jù)外電報道，首先是一些美國國內的黑客對局部中國網(wǎng)站進行了攻擊，從而激怒了中國黑客，雙方遂在互聯(lián)網(wǎng)上展開了一場黑客大戰(zhàn)。之后，中國黑客在一個名為“中國紅客聯(lián)盟〞的黑客組織領導下，方案展開“第六次網(wǎng)絡衛(wèi)國戰(zhàn)爭〞，在“五一〞期間發(fā)動一次七日戰(zhàn)役，全面襲擊美國網(wǎng)站。此事經國內各媒體大加宣傳，迅速成為一場轟轟烈烈的黑客事件。5月4日晚，“中國紅客同盟〞的行動到達首個高潮，出現(xiàn)了“八萬中國紅客攻打白宮〞的場面，并迫使白宮網(wǎng)頁一度癱瘓。預計“中國紅客聯(lián)盟〞的下一次行動高潮將在5月8日到來。中美黑客大戰(zhàn)美國白宮飄起紅旗美國平安專家表示，美中黑客之間的網(wǎng)絡大戰(zhàn)在當?shù)貢r間4月30日(北京時間5月1日)愈加升級，其中美國白宮的官方網(wǎng)站遭到電子郵件“炸彈〞的攻擊，同時假設干個美國和中國網(wǎng)站頁面均被改得面目全非。除了美國白宮的網(wǎng)站之外，其他被中國黑客列為攻擊目標的網(wǎng)站還包括美國聯(lián)邦調查局(FBI)、美國航空航天局(NASA)、美國國會、《紐約時報》、《洛杉磯時報》以及美國有線新聞網(wǎng)(CNN)的網(wǎng)站。中美黑客大戰(zhàn)&中伊黑客大戰(zhàn)中美黑客大戰(zhàn)&中伊黑客大戰(zhàn)8.1.2電子政務平安方面的需要和要求需要和要求：1、保障電子政務整體有效運行和行政秩序的需求。2、保障根底設施平安的需求。3、保障電子政務系統(tǒng)運行平安的需求。4、保障政務信息資源平安的需求。8.2電子政務平安管理1電子政務平安目標2電子政務平安管理體系3電子政務平安管理策略8.2.1電子政務平安目標電子政務平安目標概括：保護政務信息資源價值不受侵犯，保證政務活動主體面臨最小的風險和獲取最大的平安利益，使政務的信息根底設施、政務信息應用和政務效勞體系能夠抵御侵害，并具有保密性、完整性、真實性、可用性和可控性等平安能力，保障政務活動平安。電子政務平安目標分解1.通過技術自主化保障平安2.保護信息資源3.持續(xù)平安保障4電子政務功能指標8.2.2電子政務平安管理體系電子政務的平安管理需建立下述管理體系：一、通過建設電子政務的平安根底措施來保障電子政務的平安。二、建立電子政務的技術保障體系，通過平安技術的應用和維護來保障電子政務系統(tǒng)的平安。三、對電子政務系統(tǒng)的運行進行平安管理四、建立社會效勞體系以實現(xiàn)電子政務的平安電子政務平安管理策略總體策略：1.國家主導、社會參與：電子政務平安關系到政府決策、行政監(jiān)管和公共效勞質量的大事，必須由國家統(tǒng)籌規(guī)劃、社會積極參與，才能建立起切實有效的保障。2.全局治理、積極防御：電子政務平安必須采用法律威懾、管理制約、技術保障和平安根底設施支撐的全局治理措施，并且實施防護、檢測、恢復和反制的積極防御手段。3.等級保護、保障開展：根據(jù)信息資產的價值等級、所面臨的威脅等級來選擇適度的平安機制強度等級和平安技術保障強壯性等級，尋求一個投入和風險承受能力間的平衡點，保障電子政務系統(tǒng)健康、積極開展。我國電子政務信息平安保護等級：1.第一級為自主保護級:適用于一般信息和信息系統(tǒng)，其收到破壞后，會對公民、法人和其他組織的權益有一定的影響，但不會危害國家平安、社會秩序、經濟建設和公共利益2.第二級為指導保護級:適用于一定程度上涉及國家平安、社會秩序、經濟建設和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會對國家平安、社會秩序、經濟建設和公共利益造成一定損害。3.第三級為監(jiān)督保護級:適用于涉及國家平安、社會秩序、經濟建設和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家平安、社會秩序、經濟建設和公共利益造成較大損害。我國電子政務信息平安保護等級：4.第四級為強制保護級：適用于涉及國家平安、社會秩序、經濟建設和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家平安、社會秩序、經濟建設和公共利益造成嚴重損害。5.第五級為?？乇Ｗo級：適用于涉及國家平安、社會秩序、經濟建設和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家平安、社會秩序、經濟建設和公共利益造成特別嚴重損害。8.3電子政務平安管理實施一.電子政務平安管理的行政管理二.電子政務平安管理的技術管理三.電子政務平安管理的風險管理一.電子政務平安的行政管理1.平安組織機構〔1〕明確本單位電子政務系統(tǒng)的平安目標，根據(jù)平安目標來制定整體的平安策略?！?〕根據(jù)電子政務的平安策略制定并實施各項平安措施?！?〕制定明確的規(guī)章制度〔4〕制定平安規(guī)劃和應急方案〔5〕制定敏感信息和保密信息的平安策略，劃分需要保護的數(shù)據(jù)的范疇、密級或保護等級，根據(jù)現(xiàn)實需要和客觀條件確定存取控制方法和加密手段。一.電子政務平安的行政管理2.平安人事管理主要包括：認識審查與錄用，崗位與責任范圍確實定，工作評價，人事檔案管理，提升、調動與免職‘根底培訓等。3.平安責任制度制度體系由以下幾個局部組成：〔1〕系統(tǒng)運行維護管理制度〔4〕操作和管理人員管理制度〔2〕計算機處理控制管理制度〔5〕機房平安管理制度〔3〕文檔資料管理制度〔6〕定期檢查與監(jiān)督制度一.電子政務平安的行政管理4.平安教育培訓“兩個方面〞：一方面需要專業(yè)的信息平安人才另一方面要求非專業(yè)人士也應具備相應的信息平安素養(yǎng)?！岸鄠€層次〞：專業(yè)的信息平安人才隊伍應包括多種層次的人才，如專業(yè)技術人員、平安管理人員、專業(yè)研究人員和高級戰(zhàn)略人員等。二.電子政務平安的技術管理1.實體平安管理〔1〕環(huán)境平安〔2〕設備平安〔3〕存儲媒體平安2.軟件系統(tǒng)管理〔1〕保護軟件系統(tǒng)的完整性〔2〕保證軟件系統(tǒng)的存儲平安〔3〕保障軟件的通信平安〔4〕保障軟件的使用平安3.密鑰管理〔1〕保證密鑰難以竊取〔2〕密鑰有使用范圍和使用時間的限制〔3〕密鑰的分配和更換過程對用戶透明，而用戶不需要親自掌管密鑰三.電子政務平安的風險管理1.平安風險評估〔1〕要識別風險〔2〕應進行風險度量，即確定風險對組織或系統(tǒng)的影響程度〔3〕要確定風險級別〔4〕制定相應的風險管理策略2.平安風險控制〔1〕選擇風險控制手段〔2〕采取風險躲避措施〔3〕必要的風險轉移措施〔4〕盡可能降低威脅的影響程度〔5〕對剩余風險的接受三.電子政務平安的風險管理3.應急響應〔1〕要有必要的事前準備，包括異常信息的檢測工具和技術，以及應對突發(fā)事件的行動策略?！?〕要經常地甚至是持續(xù)地對防火墻日志、IDS日志及其他可能的信息源進行異常檢測，以保證及早發(fā)現(xiàn)突發(fā)事件?！?〕對初現(xiàn)的突發(fā)事件應能予以初始響應，包括確認事件是否真正發(fā)生、組織有關救援人員收集易失證據(jù)等?！?〕須及時制定響應戰(zhàn)略，并報請相關管理部門以獲得批準。〔5〕積極實現(xiàn)有關平安急救措施，包括將尚未被破壞的系統(tǒng)隔離出去，對已遭破壞的局部采取補救等?！?〕應盡可能將受害系統(tǒng)恢復到平安、正常運轉的狀態(tài)?！?〕還需將整個事件的過程及響應行為詳細準確地記入文檔。8.4平安保障技術電子政務安全保護技術電子政務安全防范技術安全保障技術電子政務平安保護技術1.數(shù)據(jù)加密技術：是把有意義的信息編碼為偽隨機性的亂碼，以實現(xiàn)對信息保護的技術方法。它是各種現(xiàn)代平安保護技術或平安防范系統(tǒng)的技術核心2.信息隱藏技術：是利用信息本身存在的冗余性和人的感官對一些信息的掩蔽效應而形成的。3.平安認證技術：當前的認證主要采用數(shù)字簽名技術和身份認證技術。電子政務平安防范技術反病毒系統(tǒng)：反病毒技術是防范病毒的主要工具，通常是一種軟件系統(tǒng)。防火墻系統(tǒng)：防火墻實際上是一種由軟件或硬件設備組合而成的網(wǎng)絡平安防范系統(tǒng)。虛擬專用網(wǎng)絡：VPN是指以公用開放的網(wǎng)絡作為根本傳輸媒介，通過附加的多種技術而構建出的，具有專用網(wǎng)絡性能的邏輯網(wǎng)絡。入侵檢測系統(tǒng)：IDS用于檢測各種形式的入侵行為，是平安防御體系的一個重要組成局部。流量、內容。物理隔離系統(tǒng)：使兩個系統(tǒng)在空間上物理隔離，就可以使它們的平安性相互獨立。防火墻及黑客攻擊手段黑客攻擊手段：1.后門