电子政务第七讲 电子政务安全管理
《电子政务讲义高级教程》课件7
• 使系统管理员能够及时了解系统中存在的安全漏洞,并采取相应防范 措施,从而降低系统的安全风险。
• 网络远程安全扫描 • 防火墙系统扫描 • Web网站扫描 • 系统安全扫描
4
《电子政务高级教程》
公共管理硕士(MPA)系列教材
电子政务安全技术
三、入侵检测技术 • 通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵
• PKI的主要目的是通过自动管理密钥和证书,可以为用户建立起一个 安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密 和数字签名技术,从而保证网上数据的机密性、完整性、不可否认性。
• • PKI由公开密钥密码技术、数字证书、证书发放机构(证书认证中心)
和关于公开密钥的安全策略等基本成分共同组成的。
全问题,带来的经济损失和社会负面影响会非常大。
• 在电子政务网络安全体系中,首先要健全网络安全的法律法规。而目 前我国缺乏电子政务信息安全方面的专门法规。
• 我国信息安全技术和产品比较薄弱,网络安全基础设施建设还处于初 级阶段 。
• 在电子政务信息安全建设中,还要权衡考虑安全、成本、效率三者的 关系。
关键词:数据加密、安全扫描、入侵检测、黑客诱骗、身份认证、访问控制、 信息伪装、公钥基础设施、授权管理基础设施、密钥管理基础设施
2
《电子政务高级教程》
公共管理硕士(MPA)系列教材
电子政务“安全第一”
• 电子政务涉及很多党政机关的机要文件,其中有些还涉及到国家安全 问题。
• • 政府社会的管理和服务机构,如果某个部门电子政务系统出现信息安
网络交换,把文件与预存的病毒特征码相比对,发现病毒就通过删除
病毒特征串实现解毒,或把文件隔离成非执行文件的方式,保护电脑 主机不受侵害。
电子政务安全管理概述(PPT 25页)
17
一、安全风险评估
☆是确定电子政务系统面临的风险级别的过程, 是风险控制的前提和基础。 ☆识别风险
☆风险度量
☆风险级别 ☆管理策略
18
二、风险控制
☆采用一定的方法和手段将电子政务系统的安全 风险降低到可接受的水平。
三、应急响应
☆是计算机或网络系统遇到突发性安全事件时所
能够提供的紧急响应、快速救援与恢复服务。 19
☆1999.2,一些手段高明的电脑黑客侵入了英国 的军事卫星通信系统,并通过该系统操纵了4 颗军用卫星中的一颗,修改了这颗卫星的正常 工作内容。 4
网络攻击
未出现 任何提示消息。早8点多,被定 向到一个“Iranian Cyber Army”(伊朗网军 )网页上。
并迅速传播。 7
二、电子政务安全方面的需要和要求
☆1、保障电子政务整体有效运行和行政秩序的 需求。 ☆2、保障基础设施安全的需求。 ☆3、保障电子政务系统运行安全的需求。
☆4、保障政务信息资源安全的需求。 8
8.2 电子政务安全管理
一、电子政务安全目标
☆保护政务信息资源价值不受侵犯,保证政务活 动主体面临最小的风险和获取最大的安全利益 ,使政务的信息基础设施、政务信息应用与政 务服务体系能够抵御侵害,并具有保密性、完 整性、真实性、可用性和可控性等安全能力, 保障政务活动安全。
8.4 安全保障技术
安全保障技术主要包括电子政务安全保护 和电子政务安全防范两大技术。 一、电子政务安全保护技术
☆数据加密技术
☆信息隐藏技术
☆安全认证技术 20
21
22
二、电子政务安全防范技术
☆反病毒系统 ☆防火墙系统
☆虚拟专用网络
7-4-电子政务安全风险管理
第四单元电子政务安全风险管理第七讲电子政务的安全管理电子政务安全风险管理电子政务安全风险管理是指:在电子政务的运行过程中,按照一定的流程、采用合理的方法以达到发现、控制、降低或消除可能影响系统安全的风险。
电子政务安全风险管理过程主要包括:风险管理的风险评估风险处置准备风险管理的准备制定沟通协商计划建立风险管理环境制定沟通协商计划沟通协商的目的▪由于利益相关方基于对风险的感知,做出对风险的判断,因此通过沟通协商记录利益相关方的这些风险感知是非常重要和有必要的;制定沟通协商计划沟通协商的目的(续)▪为确保风险管理过程中的职责分明,以及让利益相关方了解决策的基础和某些特定措施的缘由,也要求与利益相关方进行有效的沟通与协商。
制定沟通协商计划沟通协商的作用▪适当地帮助明确当下的风险状况;▪确保利益相关方的利益被了解和考虑;▪帮助确保风险充分地被发现;制定沟通协商计划沟通协商的作用(续)▪将不同方向的专业知识一并用于风险分析;▪保证在界定风险准则和评定风险时,不同的观点被恰当地考虑;▪保证组织认可和支持处理风险的方案。
制定沟通协商计划注意事项:▪尽早制定沟通和协商计划;▪计划应涵盖外部和内部的沟通与协商;▪计划应当针对风险本身、风险成因、风险后果以及风险处理的措施等相关问题。
建立风险管理环境明确外部和内部状况明确风险管理过程状况确定风险评定准则风险评估电子政务风险评估是依据国家有关的政策法规及信息技术标准,对政务活动及由其处理、传输和存储的信息的可用性、完整性、真实性、机密性、不可否认性、可控性、可靠性等安全属性进行科学、公正的综合评估的活动过程。
风险评估风险评估工作的主要内容风险识别风险分析风险评定风险识别资产识别威胁识别脆弱性识别已有安全措施识别风险识别资产识别▪电子政务风险评估的对象是该政务所涉范围内所有资产;▪根据电子政务的业务流程,列出政务系统中全部的资产,包括硬件、软件、数据、服务、人员以及其他等6类资产;▪在识别出所有信息资产后,接着是为每项资产赋予价值,根据其价值确定资产的影响等级。
第07章 电子政务系统的运行维护与安全管理
E-Government
孙宝文 王天梅 主编
电子政务
中央财经大学©2007年8月
第七章
电子政务系统的运行维护与安全管理
第七章 电子政务系统的运行维护与安全管理
学习目标 了解电子政务系统日常运行管理工作的 主要内容 掌握电子政务系统维护的特点和主要工 作程序 重点掌握电子政务系统安全管理工作的 目标、措施,以及安全管理体系
电子政务
孙宝文 王天梅 主编
7
第七章 电子政务系统的运行维护与安全管理
二、系统运行情况的记录
(1)工作数量 工作数量主要包括:开机的时间,每天、每周、 每月提供的报表的数量,每天、每周、每月的数 据录入的数量,系统中存储的数据量,修改程序 的数量,数据使用的频率,以及满足用户临时要 求的数量等基本的数据。 (2)工作效率 工作效率主要指系统为了完成所规定的工作,耗 费的人力、物力及时间等情况。例如,完成千次 公众查询服务,用了多长时间、多少人力才完成 所要数据的查询;系统例行操作所花费的人力、 消耗材料的数量等。
电子政务 孙宝文 王天梅 主编
15
第七章 电子政务系统的运行维护与安全管理
一、电子政务系统维护的内容和特点
(二)电子政务系统的可维护性 2.可测试性 可测试性表现为对系统进行诊断和测试的难易程 度。良好的系统文档、可用的测试工具和调试手 段是十分重要的,特别是在开发阶段的测试方案 尤为重要,是进行回归测试和证明修改正确性的 基础。 3.可修改性 可修改性表现为对系统各部分进行修改的难易程 度。系统的模块化程度,模块之间的耦合度、内 聚度,控制域与作用域的关系以及数据结构的设 计等问题都将直接影响系统的可修改性。
电子政务 孙宝文 王天梅 主编
07电子政务安全-79页文档资料
❖ 数字签名主要的功能是:保证信息传输的 完整性、发送者的身份认证、防止交易中 的抵赖发生。
❖ baike./view/105146.htm?fr=ala0_1_1
❖ 身份认证技术如静态密码、智能卡(IC 卡) 、短信密码、动态口令牌 、USB KEY、 生物识别技术、双因素身份认证
目前使用最为广泛的双因素有:动态口令牌 + 静态密码、USB KEY + 静态密码、二层静 态密码 等等。
❖ 3.安全认证技术
❖ 安全认证是保证信息安全的一项重要技术, 防止信息被篡改、伪造或信息接收方事后 否认
❖ 安全认证技术主要采用数字签名技术和身 份认证技术
❖ 数字签名在ISO7498-2标准中定义为:"附 加在数据单元上的一些数据,或是对数据 单元所作的密码变换,这种数据和变换允 许数据单元的接收者用以确认数据单元来 源和数据单元的完整性,并保护数据,防 止被人(例如接收者)进行伪造"。美国电 子签名标准(DSS,FIPS186-2)对数字 签名作了如下解释:"利用一套规则和一个 参数对数据计算所得的结果,用此结果能 够确认签名者的身份和数据的完整性"。
❖ 2.内部威胁
❖ 恶意破坏、意识不强、软硬件漏洞、内外 勾结、滥用职权、管理疏漏、操作不当、 自然灾害
❖ 信息战争以大量使用信息技术和信息化的 武器装备为其物质基础和技术基础,以信 息与能量相结合为其基本的能量释放形态, 以信息网络化战场为其活动舞台。
❖ 信息战争的基本特征是:①信息技术在战争中大量应 用。战场透明度空前提高,信息流量大幅猛增,信息 处理效率高,决策谋略增加可选性和科学性。②信息 与能量相结合形成信息武器系统。提高了近远程精确 打击能力和快速投送能力,形成新型的战斗力,采用 新的作战方法,可以缩短战争的进程。③构成信息网 络化战场。一般由情报侦察监视系统、通信传递系统、 信息处理决策系统、行动打击系统、保障供应系统共 同构成网络化战场。④进行全时空的制信息权斗争。 在信息战争的三个基本环节(信息获取、信息传递、 信息处理和利用)中以五种基本手段(侦察反侦察、干 扰反干扰、破坏反破坏、摧毁反摧毁、控制反控制) 进行反复较量,夺取制信息权。信息战争是不同于火 力战争的一种新型的战争形态。
浅析电子政务的安全管理问题
浅析电子政务的安全管理问题浅析电子政务的安全管理问题1、电子政务安全管理的意义电子政务的最终目标是建设政府办公自动化、面向决策支持、面向公众服务的综合平台。
它作为信息网络的一个特殊的应用领域,不但运行着大量数据和信息,同时信息内容又具有高保密性、高敏感度。
因此电子政务系统一方面要求考虑政府内部网络的安全,另一方面要求考虑面向公众服务的网络安全。
所以,电子政务网络安全保障体系有很高的安全需求。
主要是基于如下几点基本需求:1.维护政府形象需求;2.信息机密需求;3.身份认证需求;4.权限控制需求;5.信息存储安全需求;6.信息传输安全需求。
2、我国电子政务进程中存在的安全问题(1)信息基础设施建设面临挑战。
电子商务和电子政务的进行需要支付与结算的手段,需要有高质、高效的金融服务及其电子化的配合,目前我国金融服务的水平和电子化程度不高,网上支付问题很大程度上阻碍了我国电子商务和电子政务发展的进程,中国金融业亟需适应全球一体化进程并加快变革步伐,改变现有的支付方式,并保证网上支付的安全。
(2)缺乏自主开发的电子政务软硬件产品,给电子政务长期发展埋下安全隐患。
我国对于电子政务建设所使用的软硬件产品很少是我国自主知识产权开发的产品,一些涉及国家机密的信息网络过度依赖外国的安全产品和技术。
(3)电子政务管理上薄弱。
1993年,国务院成立了国家经济信息化联席会议,正式启动国民经济信息化工程,开始实施“三金工程”,即金桥工程、金关工程和金卡工程。
按照机关部门的办公自动化——管理部门的电子化工程(三金工程)——政府全面上网工程模式展开,经过这些年的建设,建成了一定的规模,但是也给电子政务的安全管理带来一定的难度,很多机关管理部门忽略其安全防范,放松安全意识,将给我国电子政务带来一定的损失。
(4)有关电子政务安全的立法滞后。
由于我国电子政务的发展较晚,目前只是由行政机关对互联网管理出台了一些限制性的行政法规,而对于如何促进电子交易、使用电子签名和电子支付还没有制定相关的详细的法律,在一定程度上阻碍了我国电子政务安全的发展。
电子政务安全技术管理
第七讲电子政务的安全管理第三单元电子政务安全技术管理主讲:钟毅数据安全技术管理数据静态安全数据动态安全防止存储设备内的数据被盗窃、修改、删除和破坏。
在数据处理、加工、使用、传输过程中,防止被截获或篡改。
数据安全技术管理数据静态安全管理技术重点采取的措施:▪合理选择数据编码标准▪严格控制文件操作权限▪采用多种方式备份数据▪针对机密数据进行加密数据安全技术管理数据动态安全管理技术重点采取的措施:▪数据传输中的加密▪数据使用中的身份认证和访问控制载体安全技术管理存储介质安全传输介质安全采取相应的安全保障措施来防止存储介质的损坏、被盗和滥用保障数据传输通道的安全,防止在传输过程中造成数据丢失和数据泄漏载体安全技术管理存储介质安全采取的技术措施:▪存储介质防震设计与故障检测▪移动存储介质的安全使用▪完善存储载体维修和销毁的渠道▪对载体进行定期杀毒载体安全技术管理传输介质安全采取的技术措施:▪防止因电磁辐射造成的数据泄漏▪特别注意无线网络设备的使用环境安全技术管理物理环境安全逻辑环境安全确保物理网络、计算资源、基础性支持设施、计算所在的物理平台、以及监督和监控系统等的安全防止运行于物理平台上的网络系统、处理信息的系统、支撑性系统和平台被破坏物理环境安全可采取的措施包括:▪机房安全管理▪主机安全维护逻辑环境安全可采取的措施包括:▪漏洞管理▪安全审计▪加强攻击监控和病毒防范▪安全编码漏洞管理漏洞会很大范围地影响软件和硬件设备,包括操作系统本身以及其支撑的应用软件、网络路由器及防火墙等; 利用安全漏洞扫描工具对电子政务服务器进行安全漏洞的扫描;根据扫描发现的安全漏洞,以及漏洞的具体情况和类型,采取对应的措施来弥补漏洞带来的风险。
安全审计在电子政务应用中很可能出现系统被破坏、被入侵的行为,对应这些问题的解决关键是进行安全审计;对与系统有关的用户活动或者系统所产生的一系列安全事件进行分析和记录。
加强攻击监控和病毒防范为避免电子政务信息数据受到攻击或者病毒入侵,要及时对网络设备、重要服务器和重要网段建立监控体系,实时对网络攻击行为检测、建立全方位病毒的防范体系。
电子政务安全行政管理
第七讲电子政务的安全管理第二单元电子政务安全行政管理主讲:钟毅电子政务安全行政管理电子政务安全组织机构管理电子政务安全人事管理电子政务安全组织机构管理安全管理组织机构的作用▪统一规划网络系统的安全策略和措施▪处理紧急安全事件▪减小风险和损失▪协调各方面的安全事宜电子政务安全组织机构管理•信息安全领导小组•信息安全领导小组办公室•信息安全工作的岗位安全机构设置电子政务安全组织机构管理领导小组领导小组办公室信息安全工作岗位各安全机构责任机制联动关系图电子政务安全组织机构管理领导小组领导小组办公室信息安全工作岗位各安全机构责任机制联动关系图电子政务安全组织机构管理领导小组领导小组办公室信息安全工作岗位各安全机构责任机制联动关系图电子政务安全组织机构管理领导小组领导小组办公室信息安全工作岗位各安全机构责任机制联动关系图电子政务安全组织机构管理领导小组领导小组办公室信息安全工作岗位各安全机构责任机制联动关系图电子政务安全组织机构管理领导小组领导小组办公室信息安全工作岗位各安全机构责任机制联动关系图电子政务安全组织机构管理信息安全领导小组主要职责▪制定电子政务信息安全相关的长远规划、建设;▪研究电子政务信息安全工作的资金投入、安全战略、资源利用;电子政务安全组织机构管理信息安全领导小组主要职责(续)▪处理电子政务信息安全的重大事故;▪决定电子政务应用系统信息安全的人事问题。
电子政务安全组织机构管理领导小组领导小组办公室信息安全工作岗位各安全机构责任机制联动关系图电子政务安全组织机构管理信息安全领导小组办公室主要职责▪处理与电子政务信息安全工作相关的日常工作,定期向电子政务信息安全领导汇报工作以及工作计划;▪制定本系统相关的信息安全工作制度及安全操作规程;电子政务安全组织机构管理信息安全领导小组办公室主要职责(续)▪负责进行安全事故的调查,并起草安全事故报告,最后提出处理意见;▪对本级或者本级所属安全人员的工作业绩进行考核;▪起草年度电子政务信息安全工作报告以及有关信息安全的宣传、教育和培训计划。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子政务安全管理体系
第二节 电子政务安全基础设施
PKI平台---公钥基础设施 非对称密码算法 认证机构CA 证书库 密钥备份及恢复系统 证书撤销处理系统 认证、完整、保密 服务
电子政A认证体系的规范化 数字签名的立法 电子文档的立法 政府信息的保密与公开的立法
电子政务安全标准
联合统一 分级保护
第三节 电子政务安全管理
安全总体策略:国家主导、全员参与、全局治理、 积极防御、等级保护、保障发展 电子政务安全的行政管理
安全组织机构 安全人事管理 安全责任制度
电子政务安全的风险管理
电子政务安全的技术管理
实体安全管理 软件系统管理 密钥管理(密钥的生成、分发、验证、保存、销毁)
网关过滤
服务器保护 管理平台 邮件系统
客户端保护
电子政务安全保障技术
电子政务安全技术 数据加密技术 信息隐藏技术 安全认证技术---数字签名和身份认证技术
反病毒系统 防火墙 虚拟专用网VPN 入侵检测系统IDS 物理隔离系统
电子政务安全防范技术
案例分析
电子政务内外网之间应采取什么安全原则保障政务网络 的安全?
电子政务安全保障的内容:
政务信息安全问题 安全管理问题 运行环境的安全问题 基础设施的安全问题(网络安全、物理安全、软件系统安全)
电子政务的安全需求
从电子政务功能的角度 从安全技术应用层次的角度
电子政务实现的安全目标
通过技术自主化保障安全 保护信息资源 持续安全保障 电子政务功能指标 建设电子政务的安全基础设施 建立电子政务的技术保障体系 运行管理体系 建立社会服务体系
电子政务安全的风险管理
风险评估(识别、度量、分级达到风险认知并制定策略) 风险控制(风险规避、转移、降低等达到可接受水平)
信息安全的社会服务管理
信息安全的社会服务管理
安全管理服务 安全测评服务 应急响应服务 安全培训服务 ---两个方面,多个层次
第四节 电子政务安全保障技术
第七章 电子政务安全管理
第一节 电子政务的安全需求 • 平台的开放性导致被侵害的可能性增大
Internet
NT W2K
Novell
DB
LINUX
Notes
Exchange
一台染毒的主机拖跨整个网络!!
Network Jammed
电子政务的威胁来源
电子政务安全因素:
内部威胁:恶意破坏、内外勾结、操作不当等 外部威胁:病毒传染、黑客攻击、信息间谍等