第六章电子政务与安全保密

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第六章 电子政务与安全保密,2007年江西40家网站遭黑客攻击 七成为政府网站,江西省计算机用户协会向社会发布公告，2007年18月份，江西至少有40家网站遭黑客恶意入侵与攻击。,这些被黑客入侵的网站七成以上是各级政府部门的，这些网站要么被黑客篡改首页，要么被增加了页面。,一旦被篡改了首页，网站就有可能打不开，或者出现大量的错误，甚至机密资料都会被盗走；,如果被增加了页面，黑客则会利用网站做广告或搞其他非法活动。,这些被黑客入侵的网站大都是长期没有更新页面，无人管理的网站，有的网站甚至处于“休克”状态，且大多数没安装黑客入侵系统软件，所以极容易被黑客攻击。,中美五一黑客大战,2001年中美黑客大战,中美黑客事件是由中美撞机事件直接引发的。据外电报道，首先是一些美国国内的黑客对部分中国网站进行了攻击，从而激怒了中国黑客，双方遂在互联网上展开了一场黑客大战。,之后，中国黑客在一个名为“中国红客联盟”的黑客组织领导下，计划展开“第六次网络卫国战争”，在“五一”期间发动一次七日战役，全面袭击美国网站。此事经国内各媒体大加宣传，迅速成为一场轰轰烈烈的黑客事件。,5月4日晚，“中国红客同盟”的行动达到首个高潮，出现了“八万中国红客攻打白宫”的场面，并迫使白宫网页一度瘫痪。,美国白宫飘起红旗,美国安全专家表示，美中黑客之间的网络大战在当地时间4月30日(北京时间5月1日)愈加升级，其中美国白宫的官方网站遭到电子邮件“炸弹”的攻击，同时若干个美国和中国网站页面均被改得面目全非。,除了美国白宫的网站之外，其他被中国黑客列为攻击目标的网站还包括美国联邦调查局(FBI)、美国航空航天局(NASA)、美国国会、纽约时报、洛杉矶时报以及美国有线新闻网(CNN)的网站。,国内网站遭攻击的分布,数据存储及备份问题,“911事件”中，世贸中心最大的主顾之一,摩根斯坦利,由于精心构造了远程防灾系统，双子楼的倒塌并没有给公司和客户的关键数据带来重大损失，几天后在新泽西州恢复营业,其它无灾备能力的企业损失惨重，很多企业由于无法恢复对其业务至关重要的数据而被迫倒闭。,信息内容存储解决方案所依托的主要存储设备均为国外厂商的产品，缺少自主知识产权，等于把自己的信息存储在别人的“口袋”里。,信息泄密失控的问题,涉密信息系统目前对内部人员和管理的漏洞导致的泄密防护不足。针对信息流和用户行为缺乏有效的技术监控措施，也缺乏先进管理技术的应用,美国CIA监控互联网获取伊朗核情报,美国中央情报局成立专门部门，通过监控国际互联网，获取了伊朗研发核武器的大量图片，其中甚至包括核工厂内部的清晰图片，使得掌握了第一手资料及证据”。,关于计算机病毒,“计算机病毒”为什么叫做病毒。首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。,一组具有能够进行自我传播的破坏性代码或程序。,关于“特洛伊木马”,希腊人攻打特洛伊城十年，始终未获成功，后来建造了一个大木马，并假装撤退，希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来打开城门，希腊将士里应外合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马,来源于希腊神话中的特洛伊战争,莫,里,里,斯,斯,蠕,蠕,虫,虫,（,（MorrisWorm,）,）,时,间,间,1988,年,年,肇,事,事,者,者,-RobertT.Morris,美,美,国,国,康,康,奈,奈,尔,尔,大,大,学,学,学,学,生,生,，,，,其,其,父,父,是,是,美,美,国,国,国,国,家,家,安,安,全,全,局,局,安,安,全,全,专,专,家,家,机,理,理,-,利,利,用,用sendmail,finger,等,等,服,服,务,务,的,的,漏,漏,洞,洞,，,，,消,消,耗,耗CPU,资,资,源,源,，,，,拒,拒,绝,绝,服,服,务,务,影,响,响,-Internet,上,上,大,大,约,约6000,台,台,计,计,算,算,机,机,感,感,染,染,，,，,占,占,当,当,时,时Internet,联,联,网,网,主,主,机,机,总,总,数,数,的,的10%,，,，,造,造,成,成9600,万,万,美,美,元,元,的,的,损,损,失,失,CERT/CC,的,的,诞,诞,生,生,-DARPA,成,成,立,立CERT,（,（ComputerEmergencyResponseTeam,）,）,，,，,以,以,应,应,付,付,类,类,似,似,“,“,蠕,蠕,虫,虫,（,（MorrisWorm,）,）,”,”,事,事,件,件,红,色,色,代,代,码,码,第,一,一,节,节,电,电,子,子,政,政,务,务,安,安,全,全,与,与,保,保,障,障,一,、,、,电,电,子,子,政,政,务,务,安,安,全,全,的,的,概,概,念,念,在,电,电,子,子,政,政,务,务,系,系,统,统,的,的,整,整,个,个,生,生,命,命,周,周,期,期,中,中,，,，,通,通,过,过,对,对,电,电,子,子,政,政,务,务,系,系,统,统,的,的,风,风,险,险,分,分,析,析,，,，,制,制,定,定,并,并,执,执,行,行,相,相,应,应,的,的,安,安,全,全,保,保,障,障,策,策,略,略,，,，,从,从,技,技,术,术,、,、,管,管,理,理,、,、,过,过,程,程,和,和,人,人,员,员,等,等,方,方,面,面,提,提,出,出,安,安,全,全,保,保,障,障,要,要,求,求,，,，,确,确,保,保,电,电,子,子,政,政,务,务,系,系,统,统,的,的,保,保,密,密,性,性,、,、,完,完,整,整,性,性,和,和,可,可,用,用,性,性,，,，,降,降,低,低,安,安,全,全,风,风,险,险,到,到,可,可,接,接,受,受,的,的,程,程,度,度,，,，,从,从,而,而,保,保,障,障,电,电,子,子,政,政,务,务,系,系,统,统,实,实,现,现,组,组,织,织,机,机,构,构,使,使,命,命,的,的,相,相,关,关,工,工,作,作,。,。,计,算,算,机,机,安,安,全,全,网,络,络,安,安,全,全,信,息,息,安,安,全,全,二,、,、,电,电,子,子,政,政,务,务,的,的,安,安,全,全,需,需,求,求,1、维护电,子,子政府的良,好,好形象,2、保证政,务,务系统的稳,定,定运行,3、保护涉,密,密政务信息,的,的安全,4、控制政,务,务系统中的,权,权限,5、认证政,务,务活动中的,身,身份,6、确保政,务,务信息传输,安,安全,7、保障政,务,务信息存储,安,安全,8、系统的,安,安全备份与,恢,恢复机制,三、电子政,务,务安全概况,（一）美国,1998.5关键基,础,础设施保护,2000.1信息系,统,统保护国家,计,计划V1.0,2001.10信息,时,时代的关键,基,基础设施保,护,护,2003.2保护网,络,络空间的国,家,家战略,2008.1国家网络,安,安全综合计,划,划（CNCI）,美国信息安,全,全管理部门,包,包括：国土,安,安全局、国,家,家安全局、,国,国防局、联,邦,邦调查局、,中,中央情报局,、,、国家标准,技,技术研究所,（二）我国,信,信息安全保,障,障发展情况,启动阶段：,2001年,成,成立网络与,信,信息安全协,调,调小组,展开与推进,阶,阶段：,2003.7关于加,强,强信息安全,保,保障工作的,意,意见,深化落实阶,段,段：2006年至今,，,，信息安全,基,基础设施和,工,工程建设进,一,一步完善，,信,信息安全等,级,级保护盒风,险,险评估取得,新,新进展，加,强,强了互联网,信,信息安全内,容,容管理。,第二节 电,子,子政务安全,策,策略,一、我国电,子,子政务安全,的,的总体策略,国家主导、,社,社会参与，,全,全局治理、,积,积极防御，,等,等级保护、,保,保障发展。,二、电子政,务,务隐患分析,自然风险,技术风险,管理风险,社会风险,三、电子政,务,务安全对策,1、制定国,家,家信息安全,战,战略,2、制定与,完,完善相关的,法,法律法规,3、统一信,息,息安全管理,机,机构,4、加强标,准,准的制定和,核,核心技术的,研,研发,5、加强信,息,息安全基础,设,设施建设,6、加大信,息,息安全投入,我国网络安,全,全立法体系,框,框架,我国的网络,安,安全立法体,系,系框架分为,四,四个层面,一,一、法,律,律法律,是,是指由全国,人,人民代表大,会,会及其常委,会,会通过的法,律,律规范。目,前,前我国与网,络,络安全相关,的,的法律主要,有,有：1、,宪法2、人,民,民警察法,第,第六条,第,第十二款明,确,确规定，公,安,安机关的人,民,民警察依法,“,“履行监督,管,管理计算机,信,信息系统的,安,安全保护工,作,作”职责。3、刑,法,法1997年,刑,刑法修改,后,后，除了分,则,则规定的大,多,多数犯罪罪,种,种（包括危,害,害国家安全,罪,罪，危害公,共,共安全罪、,破,破坏社会主,义,义市场经济,秩,秩序罪，侵,犯,犯公民人身,权,权利、民主,权,权利罪、侵,犯,犯财产罪，,妨,妨害社会管,理,理秩序罪）,都,都适用于利,用,用计算机网,络,络实施的犯,罪,罪以外，还,专,专门在第285条和第286条分,别,别规定了非,法,法入侵计算,机,机信息系统,罪,罪和破坏计,算,算机信息系,统,统罪，共两,条,条四款。4、全国,人,人大常委会,关,关于维护互,联,联网安全的,决,决定,这,这是我国第,一,一部关于互,联,联网安全的,法,法律。该法,分,分别从,（1）保障,互,互联网的运,行,行安全；,（,（2）维,护,护国家安全,和,和社会稳定,；,；（3,）,）维护社会,主,主义市场经,济,济秩序和社,会,会管理秩序,；,；（4,）,）保护个人,、,、法人和其,他,他组织的人,身,身、财产等,合,合法权利等,四,四个方面，,共,共15款，,明,明确规定了,对,对构成犯罪,的,的行为，依,照,照刑法有关,规,规定追究刑,事,事责任。5、其他,还,还有治安,管,管理处罚条,例,例 刑,事,事诉讼法,国家,安,安全法,保守国,家,家秘密法,行政,处,处罚法,行政诉,讼,讼法,行政复议,法,法 国,家,家赔偿法,立法法,中华,人,人民共和国,电,电子签名法,等。,二、行政,法,法规1,、,、中华人,民,民共和国计,算,算机信息系,统,统安全保护,条,条例（1994年2,月,月18日）,这,这是我国第,一,一部涉及计,算,算机信息系,统,统安全的行,政,政法规。,条,条例赋予,“,“公安部主,管,管全国计算,机,机信息系统,安,安全保护工,作,作”的职能,。,。主管权体,现,现在：,（,（1）监督,、,、检查、指,导,导权；,（,（2）计算,机,机违法犯罪,案,案件查处权,；,；（3,）,）其他监督,职,职权。2,、,、中华人,民,民共和国计,算,算机信息网,络,络国际联网,管,管理暂行规,定,定,计,计算机信息,网,网络进行国,际,际联网的原,则,则：1、必须使,用,用邮电部国,家,家公用电信,网,网提供的国,际,际出入口信,道,道。2、接入网,络,络必须通过,互,互联网络进,行,行国际联网,。,。3,、,、用户的计,算,算机或计算,机,机信息网络,必,必须通过接,入,入网络进行,国,国际联网。,规定,对互联网,接,接入单位实,行,行国际联网,经,经营许可证,制,制度（经营,性,性）和审批,制,制度（非经,营,营性），限,定,定了接入单,位,位的资质条,件,件、服务能,力,力及其法律,责,责任。,对,对违反,规,规定第六,条,条、第八条,