电子政务安全体系PPT课件

资源描述

电子政务机械工业出版社n本章的主要内容：本章的主要内容：l电子政务安全概述；电子政务安全概述；l电子政务安全体系框架。电子政务安全体系框架。n本章的学习目标：本章的学习目标：l了解电子政务安全发展的现状了解电子政务安全发展的现状；l了解电子政务面临的安全问题了解电子政务面临的安全问题；l掌握电子政务安全管理体系框架组成；掌握电子政务安全管理体系框架组成；l理解加密技术、防火墙技术、身份认证等安全技术理解加密技术、防火墙技术、身份认证等安全技术。第八章第八章电子政务安全体系电子政务安全体系电子政务安全概述电子政务安全概述安全现状安全现状产生的原因产生的原因电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系安全分类安全分类8.1 电子政务安全概述电子政务安全概述安全第一安全第一电子政务安全：电子政务安全：l涉及对国家秘密信息和高度敏感的核心政务涉及对国家秘密信息和高度敏感的核心政务的保护；的保护；l涉及维护公共秩序和行政监督的准确实施；涉及维护公共秩序和行政监督的准确实施；l涉及为社会提供公共服务的质量保证。涉及为社会提供公共服务的质量保证。电子政务安全概述电子政务安全概述安全现状安全现状产生的原因产生的原因电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系安全分类安全分类黑客入侵黑客入侵和犯罪和犯罪病毒泛滥病毒泛滥和蔓延和蔓延信息间谍的信息间谍的潜入和窃密潜入和窃密内部人员内部人员的违规和的违规和违法操作违法操作电子政府8.1.1 电子政务安全现状电子政务安全现状1）构建电子政务安全管理体系的重要性构建电子政务安全管理体系的重要性电子政务安全概述电子政务安全概述安全现状安全现状产生的原因产生的原因电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系安全分类安全分类取决于取决于最薄弱环节的最薄弱环节的安全强度安全强度电子政务系统电子政务系统安全强度安全强度木桶原理木桶原理电子政务安全概述电子政务安全概述安全现状安全现状产生的原因产生的原因电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系安全分类安全分类2 2）国内外电子政务安全现状）国内外电子政务安全现状国外国外电子政务安全现状电子政务安全现状安全组织机构的建设安全组织机构的建设重视对网络安全基础设施建设和安全技术重视对网络安全基础设施建设和安全技术研发的投入研发的投入制定及时、统一的法规政策和标准体系制定及时、统一的法规政策和标准体系电子政务安全概述电子政务安全概述安全现状安全现状产生的原因产生的原因电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系安全分类安全分类主要表现主要表现缺乏信息安全保障体系缺乏信息安全保障体系缺乏关键网络安全产品的自主知识产权缺乏关键网络安全产品的自主知识产权网络安全管理相对落后网络安全管理相对落后缺乏统一的信息安全保障体系，电子政务系缺乏统一的信息安全保障体系，电子政务系统安全存在着严重隐患。统安全存在着严重隐患。国内电子政务安全现状国内电子政务安全现状电子政务安全概述电子政务安全概述安全现状安全现状产生的原因产生的原因电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系安全分类安全分类8.1.2 电子政务安全问题产生的原因电子政务安全问题产生的原因1 1）技术保障措施不完善）技术保障措施不完善 2 2）管理体系不健全）管理体系不健全 3 3）基础设施建设不健全）基础设施建设不健全电子政务安全概述电子政务安全概述安全现状安全现状产生的原因产生的原因电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系安全分类安全分类1）技术保障措施不完善）技术保障措施不完善（1 1）计算机系统本身的脆弱性）计算机系统本身的脆弱性（2 2）软件系统存在缺陷）软件系统存在缺陷 l系统软件本身缺乏安全性系统软件本身缺乏安全性 l应用系统中的安全隐患应用系统中的安全隐患（3 3）网络的开放性）网络的开放性 l互联网本身的不安全因素互联网本身的不安全因素 l通信线路的开放性通信线路的开放性 l网络资源共享存在的安全隐患网络资源共享存在的安全隐患 l病毒侵害病毒侵害电子政务安全概述电子政务安全概述安全现状安全现状产生的原因产生的原因电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系安全分类安全分类2）管理体系不健全）管理体系不健全（1 1）组织及人员风险）组织及人员风险（2 2）管理制度不完善）管理制度不完善（3 3）安全策略有漏洞）安全策略有漏洞（4 4）缺乏应急体系）缺乏应急体系电子政务安全概述电子政务安全概述安全现状安全现状产生的原因产生的原因电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系安全分类安全分类3）基础设施建设不健全）基础设施建设不健全（1 1）法律体系不健全）法律体系不健全（2 2）安全标准体系不完整）安全标准体系不完整 l标准的制定水平较低标准的制定水平较低 l缺乏与的实际情况的结合缺乏与的实际情况的结合 l使用单位对执行标准的认识不足使用单位对执行标准的认识不足（3 3）电子政务的信任体系问题）电子政务的信任体系问题（4 4）社会服务体系问题）社会服务体系问题电子政务安全概述电子政务安全概述安全现状安全现状产生的原因产生的原因电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系安全分类安全分类8.1.3 电子政务安全分类电子政务安全分类1 of 2电子政务面临的安全威胁电子政务面临的安全威胁非人为的安全威胁非人为的安全威胁人为的安全威胁人为的安全威胁自然灾害自然灾害信息技术的漏洞信息技术的漏洞和局限性和局限性内部人员安全威胁内部人员安全威胁外部人员安全威胁外部人员安全威胁电子政务安全概述电子政务安全概述安全现状安全现状产生的原因产生的原因电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系安全分类安全分类8.1.3 电子政务安全分类电子政务安全分类2of 2恶意安全威胁恶意安全威胁内部人员安全威胁内部人员安全威胁外部人员安全威胁外部人员安全威胁非恶意安全威胁非恶意安全威胁被动攻击被动攻击主动攻击主动攻击邻近攻击邻近攻击分发攻击分发攻击安全需求安全需求电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体电子政务安全体系框架系框架安全管理体系框架安全管理体系框架电子政务安全技术电子政务安全技术保障体系保障体系政务信息关系到党政部门、乃至整个国家的利政务信息关系到党政部门、乃至整个国家的利益，比个人或商务信息更为敏感，需要更高的益，比个人或商务信息更为敏感，需要更高的安全性。安全性。电子政务行使政府职能的特点导致电子政务行使政府职能的特点导致更容易更容易受到受到来自外部或内部的攻击来自外部或内部的攻击。电子政务信息对电子政务信息对安全性安全性要求比较高要求比较高 8.2.1 电子政务的安全需求电子政务的安全需求1 of 4电子政务安全概述电子政务安全概述安全需求安全需求电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架安全管理体系框架安全管理体系框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述电子政务的安全需求：电子政务的安全需求：l保护政务信息资源价值不受侵犯；保护政务信息资源价值不受侵犯；l保证信息资产的拥有者面临最小的风险和获保证信息资产的拥有者面临最小的风险和获取最大的安全利益；取最大的安全利益；l政务的信息基础设施、信息应用服务和信息政务的信息基础设施、信息应用服务和信息内容应具有保密性、完整性、真实性、可用性内容应具有保密性、完整性、真实性、可用性和可控性的能力；和可控性的能力；l确保一个政府部门能够有效地完成法律所赋确保一个政府部门能够有效地完成法律所赋予的政府职能。予的政府职能。8.2.1 电子政务的安全需求电子政务的安全需求2 of 4安全需求安全需求电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架安全管理体系框架安全管理体系框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述 8.2.1 电子政务的安全需求电子政务的安全需求3of 4安全需求的具体表现安全需求的具体表现 1 1）信息的真实性）信息的真实性保证接收方获得的信息是从发送方发出的真实保证接收方获得的信息是从发送方发出的真实信息，即对信息的来源进行判断，能对伪造来信息，即对信息的来源进行判断，能对伪造来源的信息予以鉴别。源的信息予以鉴别。2 2）信息的保密性）信息的保密性信息不泄露给非授权的用户、实体或过程，或信息不泄露给非授权的用户、实体或过程，或供其利用的特性，即只有那些被授予特定权限供其利用的特性，即只有那些被授予特定权限的人才能够访问信息。的人才能够访问信息。安全需求安全需求电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架安全管理体系框架安全管理体系框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述 8.2.1 电子政务的安全需求电子政务的安全需求4 of 43 3）信息的完整性）信息的完整性指数据未经授权不能进行改变的特性，即信息在指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢存储或传输过程中保持不被修改、不被破坏和丢失的特性。失的特性。4 4）信息的不可否认性）信息的不可否认性信息的发送者和接收者无法否认自己发送或接收信息的发送者和接收者无法否认自己发送或接收信息的行为，即对出现的网络安全问题能提供调信息的行为，即对出现的网络安全问题能提供调查的依据和手段。查的依据和手段。5 5）信息的可用性）信息的可用性是指可被授权实体访问并按需求使用的特性，即是指可被授权实体访问并按需求使用的特性，即当已被授权的用户需要时，应能存取所需的信息。当已被授权的用户需要时，应能存取所需的信息。安全需求安全需求电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架安全管理体系框架安全管理体系框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述 8.2.2 电子政务安全管理体系框架电子政务安全管理体系框架电子政务安全管理体系电子政务安全管理体系技术保障体系技术保障体系系统及应用安全系统及应用安全运行管理体系运行管理体系行行政政管管理理安全技术管理安全技术管理风风险险管管理理安全法规建设安全法规建设网网络络安安全全基础设施平台基础设施平台社会服务体系社会服务体系教教育育培培训训应应急急响响应应测测评评认认证证安安全全管管理理安全标准建设安全标准建设PKIPKI认证平台认证平台物物理理安安全全电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 8.3 电子政务安全技术保障体系电子政务安全技术保障体系物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全技术保障体系技术保障体系电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 8.3.1 物理安全物理安全物理安全物理安全线路设备安全线路设备安全环境安全环境安全存储媒体安全存储媒体安全物理安全物理安全是指保证对物理设施的合法访问，避免人为破坏，是指保证对物理设施的合法访问，避免人为破坏，并将自然灾难的影响降到最低。并将自然灾难的影响降到最低。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 8.3.2 网络安全网络安全 1 1）逻辑隔离和物理隔离）逻辑隔离和物理隔离2 2）加密系统）加密系统 3 3）防火墙）防火墙 4 4）交换机、路由器安全）交换机、路由器安全网络安全网络安全指网络通信的安全性，政府内网、外网和公网之间指网络通信的安全性，政府内网、外网和公网之间的隔离，界定访问权限等。的隔离，界定访问权限等。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全物理隔离物理隔离政府内网政府外网互联网逻辑隔离逻辑隔离1）逻辑隔离和物理隔离）逻辑隔离和物理隔离电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 2）加密系统）加密系统1 of 3源文件（明文）解密后的信息（明文）加密后的信息（密文）加密后的信息（密文）密钥加密因特网密钥解密数据加密过程数据加密过程加密技术加密技术是最基本的安全技术，是实现信息保密性是最基本的安全技术，是实现信息保密性的一种重要手段，的一种重要手段，其目的是其目的是为了防止非法用户获取为了防止非法用户获取信息系统中的机密信息。信息系统中的机密信息。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 2）加密系统）加密系统2of 3加密系统两种基本的形式：加密系统两种基本的形式：l对称密钥加密技术对称密钥加密技术l非对称密钥加密技术非对称密钥加密技术（1 1）对称密钥加密技术）对称密钥加密技术对称加密系统，也称为私有密钥加密系统。对称对称加密系统，也称为私有密钥加密系统。对称加密，是指使用同一把密钥对信息加密、解密。加密，是指使用同一把密钥对信息加密、解密。常用的私钥密码技术：常用的私钥密码技术：l流密码技术流密码技术 l分组密码技术分组密码技术电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 2）加密系统）加密系统3of 3（2 2）对称密钥加密技术）对称密钥加密技术非对称加密又称为公开密钥加密，与对称密钥非对称加密又称为公开密钥加密，与对称密钥系统相比，公开密钥加密技术需要使用一对相系统相比，公开密钥加密技术需要使用一对相关的密钥：一个用来加密，另一个用来解密。关的密钥：一个用来加密，另一个用来解密。公开密钥系统两种基本的模式：公开密钥系统两种基本的模式：l加密模式加密模式l验证模式验证模式电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 3）防火墙）防火墙1of 4防火墙（防火墙（firewallfirewall）是指一个由软件或软件和硬件是指一个由软件或软件和硬件设备组合而成，处于内网与外网之间，用来加强设备组合而成，处于内网与外网之间，用来加强互联网与内部网络之间安全防范的一个或一组系互联网与内部网络之间安全防范的一个或一组系统。统。作用：作用：限制外界用户对企业内部网络访问及管理限制外界用户对企业内部网络访问及管理内部用户访问外部服务。内部用户访问外部服务。防火墙的安全策略防火墙的安全策略l一切未被允许的都是禁止的一切未被允许的都是禁止的 l一切未被禁止的都是允许的一切未被禁止的都是允许的电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 3）防火墙）防火墙2of4防防火火墙墙的的分分类类共同缺点共同缺点：依：依赖特定的逻辑赖特定的逻辑判断是否允许判断是否允许数据包通过，数据包通过，不利于抗击非不利于抗击非法访问和攻击。法访问和攻击。针对数据包过滤和应用网关技术存在的缺针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，点而引入的防火墙技术，其特点是其特点是将所有将所有跨越防火墙的网络通信链路分为两段。跨越防火墙的网络通信链路分为两段。数据包过滤防火墙数据包过滤防火墙代理服务器型防火墙代理服务器型防火墙应用级网关型防火墙应用级网关型防火墙电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 3）防火墙）防火墙3of 4客户机服务器应答请求转发应答转发请求防火墙代理代理服务器代理客户机代理获得客户机和服务器之间通信的全部控制权代理服务器的工作原理代理服务器的工作原理电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 3）防火墙）防火墙4of 4防火墙的局限性防火墙的局限性不能阻止来自不能阻止来自内部的破坏内部的破坏不能保护绕过不能保护绕过它的连接它的连接不能防止病毒不能防止病毒无法完全防止新无法完全防止新出现的网络威胁出现的网络威胁电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 4）交换机、路由器安全）交换机、路由器安全交换机交换机是第二层设备，用于连接局域网分段，利是第二层设备，用于连接局域网分段，利用用MACMAC地址表来转发数据帧。交换机安全包括端地址表来转发数据帧。交换机安全包括端口安全、专用口安全、专用VLANVLAN安全等。安全等。路由器路由器工作在第三层，是广域网互联设备。路由工作在第三层，是广域网互联设备。路由器提供的安全功能更多也更复杂，包括访问控制、器提供的安全功能更多也更复杂，包括访问控制、网络地址转换、身份验证、流量过滤、配置网络地址转换、身份验证、流量过滤、配置VPNVPN、日志功能等。日志功能等。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 8.3.3 系统及应用安全系统及应用安全系统及应用安全系统及应用安全主要是要保证操作系统和应用服务的安全性。主要是要保证操作系统和应用服务的安全性。保障系统及应用安全的方法和技术主要有：保障系统及应用安全的方法和技术主要有：l入侵检测系统入侵检测系统l防病毒系统防病毒系统l漏洞扫描系统漏洞扫描系统l安全认证安全认证电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 1）入侵检测系统）入侵检测系统1of 2入侵检测系统（入侵检测系统（Intrusion Detection Systems，IDS）是依照一定的安全策略，对网络、系统的运行状况是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整者攻击结果，以保证网络系统资源的机密性、完整性和可用性性和可用性。分布式入侵检测系统分布式入侵检测系统入入侵侵检检测测系系统统的的类类型型基于网络的入侵检测系统基于网络的入侵检测系统基于主机的入侵检测系统基于主机的入侵检测系统电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全完整性校验完整性校验基于异常的检测基于异常的检测基于特征的检测基于特征的检测1）入侵检测系统）入侵检测系统2of 2入侵检测系统的主要功能入侵检测系统的主要功能 l监测并分析用户和系统的活动监测并分析用户和系统的活动 l核查系统配置和漏洞核查系统配置和漏洞 l评估系统关键资源和数据文件的完整性评估系统关键资源和数据文件的完整性 l识别已知的攻击行为识别已知的攻击行为 l统计分析异常行为统计分析异常行为 l操作系统日志管理操作系统日志管理入侵检测的方法入侵检测的方法电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 2）防病毒系统）防病毒系统1of 2防病毒技术分为防病毒技术分为主机防病毒主机防病毒和和网络防病毒网络防病毒：l主机防病毒主机防病毒主要是安装防病毒软件，对电脑文件访问实时主要是安装防病毒软件，对电脑文件访问实时监测，发现病毒就立即清除或修复。监测，发现病毒就立即清除或修复。l网络防病毒网络防病毒通常由安全提供商提供一整套的解决方案，针通常由安全提供商提供一整套的解决方案，针对网络进行全面的防护。对网络进行全面的防护。计算机病毒计算机病毒是指编制或在计算机程序中插入的破坏计算机功是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。制的一组计算机指令或者程序代码。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 2）防病毒系统）防病毒系统2of 2计算机病毒的特点：计算机病毒的特点：主动传染性、隐藏性、欺骗性、破坏性、衍生性。主动传染性、隐藏性、欺骗性、破坏性、衍生性。计算机病毒的计算机病毒的防治方法防治方法：l构建综合的安全体系构建综合的安全体系 l采用多层防御体系采用多层防御体系 l防毒与网络管理集成防毒与网络管理集成 l在网关、服务器上防毒在网关、服务器上防毒 l及时更新防毒软件及时更新防毒软件电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全漏洞扫描系统漏洞扫描系统能够帮助了解系统存在的安全漏洞，能够帮助了解系统存在的安全漏洞，采取相应的防范措施，从而降低安全风险。采取相应的防范措施，从而降低安全风险。3）漏洞扫描系统）漏洞扫描系统漏洞扫描系统的功能：漏洞扫描系统的功能：l动态分析系统的安全漏洞；动态分析系统的安全漏洞；l检查用户网络中的安全隐患，发布检测报告；检查用户网络中的安全隐患，发布检测报告；l提供有关漏洞的详细信息和最佳解决对策；提供有关漏洞的详细信息和最佳解决对策；l杜绝漏洞、降低风险，防患于未然。杜绝漏洞、降低风险，防患于未然。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全用户访问系统之前经过用户访问系统之前经过身份认证系统身份认证系统，监控器根据，监控器根据用户身份和授权数据库决定用户能否访问某个资源。用户身份和授权数据库决定用户能否访问某个资源。4）安全认证）安全认证1of 4电子政务系统电子政务系统必须建立必须建立基于基于CA认证体制认证体制的身份认证系统。的身份认证系统。数字证书的概念：数字证书的概念：由权威公正的第三方机构即由权威公正的第三方机构即CA中心签发的包含公开中心签发的包含公开密钥拥有者信息以及公开密钥的文件，可以用来证密钥拥有者信息以及公开密钥的文件，可以用来证明数字证书持有者的真实身份。明数字证书持有者的真实身份。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 4）安全认证）安全认证2of 4数字证书的格式数字证书的格式遵循遵循ITU-T X.509标准。该标准是为标准。该标准是为了保证使用数字证书的系统间的互操作性而制定的。了保证使用数字证书的系统间的互操作性而制定的。数字证书的作用：数字证书的作用：l信息除发送方和接收方外不被其他人窃取；信息除发送方和接收方外不被其他人窃取；l信息在传输过程中不被篡改信息在传输过程中不被篡改；l发送方能通过数字证书来确认接收方的身份；发送方能通过数字证书来确认接收方的身份；l发送方对于自己的信息不能抵赖；发送方对于自己的信息不能抵赖；l信息自数字签名后到收到为止，未曾作过任何信息自数字签名后到收到为止，未曾作过任何修改，签发的文件是真实文件。修改，签发的文件是真实文件。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 4）安全认证）安全认证3of 4数字证书的类型：数字证书的类型：l个人数字证书个人数字证书l服务器证书服务器证书 l开发者证书开发者证书数字证书生成的一般步骤数字证书生成的一般步骤信息检索信息检索信息验证信息验证证书生成证书生成证书公布证书公布证书发放证书发放电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全 4）安全认证）安全认证4of 4认证中心概念：认证中心概念：认证中心认证中心CA又称认证机构，是承担网上认证服务，又称认证机构，是承担网上认证服务，能签发数字证书并能确认用户身份的受大家信任的能签发数字证书并能确认用户身份的受大家信任的第三方机构。第三方机构。CA的主要任务的主要任务:受理数字证书的申请、签发及对数字证书进行管理。受理数字证书的申请、签发及对数字证书进行管理。CA的功能：的功能：证书的颁发、证书的更新、证书的查询、证书的证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档。作废、证书的归档。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述行政管理行政管理安全技术管理安全技术管理风险管理风险管理 8.4 电子政务安全运行管理体系电子政务安全运行管理体系行政管理行政管理安全技术管理安全技术管理风险管理风险管理运行管理体系运行管理体系电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述行政管理行政管理安全技术管理安全技术管理风险管理风险管理建立安全组织机构建立安全组织机构安全人事管理安全人事管理制定和落实安全管理制度制定和落实安全管理制度安全行政管理安全行政管理8.4.1 行政管理行政管理电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述行政管理行政管理安全技术管理安全技术管理风险管理风险管理 1）建立安全组织机构）建立安全组织机构1of 2 电子政务的安全必须电子政务的安全必须由特定的安全组织由特定的安全组织进行管理。进行管理。这种安全组织机构应该独立于信息部门，直接隶属这种安全组织机构应该独立于信息部门，直接隶属于各地方的最高政府机关。于各地方的最高政府机关。安全组织机构的主要职责：安全组织机构的主要职责：l对整个电子政务系统进行整体的安全规划，制对整个电子政务系统进行整体的安全规划，制定整体的安全解决方案；定整体的安全解决方案；l制定安全管理制度，权责分明；制定安全管理制度，权责分明；l实时监控网络的安全性，监督安全方案实施情实时监控网络的安全性，监督安全方案实施情况，根据出现的问题漏洞，及时修改、补充安全况，根据出现的问题漏洞，及时修改、补充安全方案。方案。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述行政管理行政管理安全技术管理安全技术管理风险管理风险管理 1）建立安全组织机构）建立安全组织机构2of 2 安全领导小组安全领导小组安全专家小组安全专家小组日常网络安全日常网络安全管理办公室管理办公室日常安全维护日常安全维护工作小组工作小组管理层管理层日常安全维护单位，完日常安全维护单位，完成具体的安全维护工作成具体的安全维护工作应急响应应急响应工作小组工作小组处理突发事件，实施处理突发事件，实施应急响应方案，恢复应急响应方案，恢复系统运行系统运行网络应急响应网络应急响应管理办公室管理办公室执行层执行层决策层决策层电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述行政管理行政管理安全技术管理安全技术管理风险管理风险管理 2）安全人事管理）安全人事管理安全人事管理安全人事管理安全人事管理就是对组织人员进行管理。安全人事管理就是对组织人员进行管理。安全人事管理的主要内容安全人事管理的主要内容:人事审查与录用、岗位与责任范围的确定、工作人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础评价、人事档案管理、提升、调动与免职、基础培训等。培训等。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述行政管理行政管理安全技术管理安全技术管理风险管理风险管理 3）制定和落实安全管理制度）制定和落实安全管理制度安全管理制度安全管理制度保障安全管理的有效实施，规范安全管理人员的行保障安全管理的有效实施，规范安全管理人员的行为，降低人为因素造成的安全隐患。为，降低人为因素造成的安全隐患。安全管理制度包括安全管理制度包括:系统运行维护管理制度、计算机处理控制管理制度、系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度，以及对外合作制度制度、对外交流安全维护制度，以及对外合作制度等。等。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述行政管理行政管理安全技术管理安全技术管理风险管理风险管理 8.4.2 安全技术管理安全技术管理1of 3 （1）硬件实体的安全管理）硬件实体的安全管理目的：目的：保护计算机和网络设备、设施免遭地震、保护计算机和网络设备、设施免遭地震、水灾、火灾以及人为等因素的破坏。水灾、火灾以及人为等因素的破坏。主要涉及：主要涉及：l环境安全环境安全l设备安全设备安全l存储媒体安全存储媒体安全电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述行政管理行政管理安全技术管理安全技术管理风险管理风险管理 8.4.2 安全技术管理安全技术管理2of 3 （2 2）软件系统的安全管理包括：）软件系统的安全管理包括：l保护软件系统的完整性，防止软件丢失、被破保护软件系统的完整性，防止软件丢失、被破坏、被篡改、被伪造；坏、被篡改、被伪造；l保证软件的存储安全，保障软件的安全传输、保证软件的存储安全，保障软件的安全传输、加密传输、安全下载、用户识别等要素；加密传输、安全下载、用户识别等要素；l保障软件的合法使用和合理使用、用户合法性保障软件的合法使用和合理使用、用户合法性的管理、授权访问、系统的访问控制、防止软件的管理、授权访问、系统的访问控制、防止软件滥用、防止被窃取被非法复制、按规程操作等。滥用、防止被窃取被非法复制、按规程操作等。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述行政管理行政管理安全技术管理安全技术管理风险管理风险管理 8.4.2 安全技术管理安全技术管理3of 3 （3 3）密钥管理包括：）密钥管理包括：系统的初始化、密钥的产生、存储、备份系统的初始化、密钥的产生、存储、备份/恢复、恢复、装入、分配、保护、更新、控制、丢失、吊销、装入、分配、保护、更新、控制、丢失、吊销、销毁等内容。销毁等内容。安全的密钥管理要求：安全的密钥管理要求：l密钥难以窃取；密钥难以窃取；l密钥有使用范围和使用时间的限制；密钥有使用范围和使用时间的限制；l密钥的分配和更换过程对用户透明，而用户不密钥的分配和更换过程对用户透明，而用户不需要亲自掌管密钥。需要亲自掌管密钥。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述行政管理行政管理安全技术管理安全技术管理风险管理风险管理 8.4.3 风险管理风险管理安全风险管理安全风险管理包括的阶段包括的阶段：l安全风险评估安全风险评估l安全风险控制安全风险控制风险管理（风险管理（Risk Management）是指以可接受的费用识别、控制、降低或消除可能是指以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。影响信息系统安全风险的过程。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述行政管理行政管理安全技术管理安全技术管理风险管理风险管理安全风险评估安全风险评估安全风险评估是确定电子政务系统面临的风险级安全风险评估是确定电子政务系统面临的风险级别的过程，是风险控制的前提和基础。别的过程，是风险控制的前提和基础。风险评估阶段的基本实施步骤风险评估阶段的基本实施步骤：l识别风险识别风险 l进行风险度量进行风险度量 l确定风险级别确定风险级别 l制定相应的风险管理策略制定相应的风险管理策略 1）安全风险评估）安全风险评估电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述行政管理行政管理安全技术管理安全技术管理风险管理风险管理安全风险控制安全风险控制安全风险控制是根据风险评估阶段的结果，采取规安全风险控制是根据风险评估阶段的结果，采取规避、转移和降低等手段，对已标识的风险采取相应避、转移和降低等手段，对已标识的风险采取相应的措施，将电子政务系统的安全风险降低到可接受的措施，将电子政务系统的安全风险降低到可接受的水平，并保持对系统其他功能的影响最低。的水平，并保持对系统其他功能的影响最低。安全风险控制的主要步骤安全风险控制的主要步骤：l选择风险控制手段选择风险控制手段 l风险规避风险规避 l实施必要的风险转移措施实施必要的风险转移措施 l尽可能降低威胁的影响程度尽可能降低威胁的影响程度 l对剩余风险的接受对剩余风险的接受 2）安全风险控制）安全风险控制电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述法规基础设施法规基础设施安全标准建设安全标准建设 PKI/PMI认证平台认证平台法规基础设施法规基础设施安全标准建设安全标准建设 PKI/PMI认证平台认证平台基础设施平台基础设施平台8.5 基础设施平台基础设施平台电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述法规基础设施法规基础设施安全标准建设安全标准建设 PKI/PMI认证平台认证平台 8.5.1 法规基础设施法规基础设施世界上很多国家制定了与网络安全相关的法律法世界上很多国家制定了与网络安全相关的法律法规，如英国的规，如英国的官方信息保护法官方信息保护法等。等。中国颁发了一些与网络安全有关的法律法规，如中国颁发了一些与网络安全有关的法律法规，如计算机信息系统安全保护条例计算机信息系统安全保护条例、计算机信计算机信息系统保密管理暂行规定息系统保密管理暂行规定等。在完善法律法规等。在完善法律法规的同时，还应该加大执法力度，严格执法。的同时，还应该加大执法力度，严格执法。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述法规基础设施法规基础设施安全标准建设安全标准建设 PKI/PMI认证平台认证平台（1 1）对各类法律主体的有关信息活动涉及国家安全的）对各类法律主体的有关信息活动涉及国家安全的权利和义务进行规范，形成国家关于信息及信息安全的权利和义务进行规范，形成国家关于信息及信息安全的总则性、普适性的法规体系。总则性、普适性的法规体系。（2 2）针对各类计算机和网络犯罪，制订直接约束各社）针对各类计算机和网络犯罪，制订直接约束各社会成员的信息活动的行为规范，形成计算机、网络犯罪会成员的信息活动的行为规范，形成计算机、网络犯罪监察与防范体系。监察与防范体系。（3 3）对信息安全技术、信息安全产品（系统）的授权）对信息安全技术、信息安全产品（系统）的授权审批应制订相应的规定，形成信息安全审批与监控体系。审批应制订相应的规定，形成信息安全审批与监控体系。（4 4）针对信息内容的安全与保密问题，制订相应规定，）针对信息内容的安全与保密问题，制订相应规定，形成信息内容的审批、监控、保密体系。形成信息内容的审批、监控、保密体系。（5 5）从国家安全的角度，制订网络信息预警与反击体）从国家安全的角度，制订网络信息预警与反击体系等。系等。法规建设的几个主要方面：法规建设的几个主要方面：电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述法规基础设施法规基础设施安全标准建设安全标准建设 PKI/PMI认证平台认证平台 8.5.2 安全标准建设安全标准建设中国信息安全标准化工作起步较晚，但是近中国信息安全标准化工作起步较晚，但是近1010年年来发展较快，在国家质量技术监督局领导下，全来发展较快，在国家质量技术监督局领导下，全国信息化标准委员会及其下属的信息安全分技术国信息化标准委员会及其下属的信息安全分技术委员会在制订中国信息安全标准方面做了大量的委员会在制订中国信息安全标准方面做了大量的工作，国标、国军标、行业标准对信息安全领域工作，国标、国军标、行业标准对信息安全领域均有涉及，均有涉及，初步形成了初步形成了中国信息安全测评认证的中国信息安全测评认证的基础。基础。电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述法规基础设施法规基础设施安全标准建设安全标准建设 PKI/PMI认证平台认证平台 8.5.3 PKI/PMI认证平台认证平台 PKIPKI提供智能化的信任服务；提供智能化的信任服务；PMIPMI构成授权管理平台，在构成授权管理平台，在PKIPKI信息安全平台的信息安全平台的基础上提供智能化的授权服务。基础上提供智能化的授权服务。PKI/PMIPKI/PMI认证平台认证平台为电子政务提供了一整套的、为电子政务提供了一整套的、遵循标准的密钥管理基础平台，为用户安全访遵循标准的密钥管理基础平台，为用户安全访问电子政务系统提供了可靠的保证。问电子政务系统提供了可靠的保证。国家信息安全基础设施（国家信息安全基础设施（NISI）的组成：）的组成：l公开密钥基础设施（公开密钥基础设施（PKIPKI）l授权管理基础设施（授权管理基础设施（PMIPMI）电子政务安全运行电子政务安全运行管理体系管理体系基础设施平台基础设施平台社会服务体系社会服务体系电子政务安全体系电子政务安全体系框架框架电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全概述电子政务安全概述法规基础设施法规基础设施安全标准建设安全标准建设 PKI/PMI认证平台认证平台 1）公开密钥基础设施）公开密钥基础设施（PKI）1 of 3（1 1）公钥基础设施（）公钥基础设施（Public Key InfrastructurePublic Key Infrastructure，PKIPKI）又叫公钥体系，是一种利用公钥加密技术为电子商又叫公钥体系，是一种利用公钥加密技术为电子商务、电子政务提供一套安全基础平台的技术和规范。务、电子政务提供一套安全基础平台的技术和规范。PKIPKI基础设施采用数字证书来管理公钥，通过第三方基础设施采用数字证书来管理公钥，通过第三方的可信任机构的可信任机构认证机构（认证机构（CACA），把用户的公钥），把用户的公钥和用户的其他标识信息捆绑在一起，提供身份

展开阅读全文

电子政务安全体系PPT课件

最新文档