電子政務(wù)第八章電子政務(wù)的安全管理

第8章

電子政務(wù)的安全管理目錄8.1電子政務(wù)的安全需求8.2電子政務(wù)安全管理8.3

電子政務(wù)安全管理實施8.4安全保障技術(shù)8.5安全防御體系的建立8.1電子政務(wù)的安全需求什么是電子政務(wù)安全需求？答：電子政務(wù)的安全需求，是指在信息化環(huán)境下，政務(wù)活動對信息安全的基本需求和要求。電子政務(wù)的安全需求來自于電子政務(wù)的外部環(huán)境，也取決于信息化背景下政務(wù)活動的特點和方式。8.1.1電子政務(wù)的安全環(huán)境與安全威脅電子政務(wù)是基于網(wǎng)絡(luò)技術(shù)運行的，因此，電子政務(wù)的安全環(huán)境涵蓋了與社會普遍相關(guān)的基礎(chǔ)信息網(wǎng)絡(luò)安全的基本要素。電子政務(wù)的安全實質(zhì)上關(guān)系到國家安全、公共利益和社會穩(wěn)定。電子政務(wù)環(huán)境中的安全威脅包括以下幾個方面：1.人為因素：支撐電子政務(wù)運行的各類信息系統(tǒng)，是為人服務(wù)，由人來操控的，因此，人的因素成為造成電子政務(wù)不安全的最為主要的因素。2.技術(shù)系統(tǒng)因素：由于電子政務(wù)系統(tǒng)是由各種類型的信息技術(shù)構(gòu)成的，技術(shù)的復(fù)雜性、解決技術(shù)問題的復(fù)雜性，或者系統(tǒng)構(gòu)建的健全性、匹配性都可能引起安全問題。3.安全管理因素：政府機(jī)構(gòu)在安全管理的法律、政策、安全制度和安全管理措施方面都可能造成安全管理障礙，從而引起安全管理問題。4.自然因素：自然災(zāi)害對電子政務(wù)構(gòu)成的威脅也是現(xiàn)實存在的。8.1.1電子政務(wù)的安全環(huán)境與安全威脅電子政務(wù)安全威脅案例2001年中美黑客大戰(zhàn)中美黑客事件是由中美撞機(jī)事件直接引發(fā)的。據(jù)外電報道，首先是一些美國國內(nèi)的黑客對部分中國網(wǎng)站進(jìn)行了攻擊，從而激怒了中國黑客，雙方遂在互聯(lián)網(wǎng)上展開了一場黑客大戰(zhàn)。之后，中國黑客在一個名為“中國紅客聯(lián)盟”的黑客組織領(lǐng)導(dǎo)下，計劃展開“第六次網(wǎng)絡(luò)衛(wèi)國戰(zhàn)爭”，在“五一”期間發(fā)動一次七日戰(zhàn)役，全面襲擊美國網(wǎng)站。此事經(jīng)國內(nèi)各媒體大加宣傳，迅速成為一場轟轟烈烈的黑客事件。5月4日晚，“中國紅客同盟”的行動達(dá)到首個高潮，出現(xiàn)了“八萬中國紅客攻打白宮”的場面，并迫使白宮網(wǎng)頁一度癱瘓。預(yù)計“中國紅客聯(lián)盟”的下一次行動高潮將在5月8日到來。中美黑客大戰(zhàn)美國白宮飄起紅旗

美國安全專家表示，美中黑客之間的網(wǎng)絡(luò)大戰(zhàn)在當(dāng)?shù)貢r間4月30日(北京時間5月1日)愈加升級，其中美國白宮的官方網(wǎng)站遭到電子郵件“炸彈”的攻擊，同時若干個美國和中國網(wǎng)站頁面均被改得面目全非。

除了美國白宮的網(wǎng)站之外，其他被中國黑客列為攻擊目標(biāo)的網(wǎng)站還包括美國聯(lián)邦調(diào)查局(FBI)、美國航空航天局(NASA)、美國國會、《紐約時報》、《洛杉磯時報》以及美國有線新聞網(wǎng)(CNN)的網(wǎng)站。中美黑客大戰(zhàn)&中伊黑客大戰(zhàn)中美黑客大戰(zhàn)&中伊黑客大戰(zhàn)8.1.2電子政務(wù)安全方面的需要和要求需要和要求：1、保障電子政務(wù)整體有效運行和行政秩序的需求。2、保障基礎(chǔ)設(shè)施安全的需求。3、保障電子政務(wù)系統(tǒng)運行安全的需求。4、保障政務(wù)信息資源安全的需求。8.2電子政務(wù)務(wù)安全管管理1電子政務(wù)務(wù)安全目標(biāo)2電子政務(wù)務(wù)安全管管理體系3電子政務(wù)務(wù)安全管管理策略電子政務(wù)務(wù)安全目標(biāo)電子政務(wù)務(wù)安全目目標(biāo)概括括：保護(hù)政務(wù)信息息資源價值值不受侵侵犯，保保證政務(wù)務(wù)活動主主體面臨臨最小的的風(fēng)險和和獲取最最大的安全利益益，使政務(wù)務(wù)的信息息基礎(chǔ)設(shè)設(shè)施、政政務(wù)信息息應(yīng)用和和政務(wù)服服務(wù)體系系能夠抵抵御侵害害，并具具有保密性、完整性、真實性、可用性和可控性等安全能能力，保保障政務(wù)務(wù)活動安安全。電子政務(wù)務(wù)安全目目標(biāo)分解1.通過技術(shù)術(shù)自主化化保障安安全2.保護(hù)信息息資源3.持續(xù)安全全保障4電子政務(wù)務(wù)功能指標(biāo)電子政務(wù)務(wù)安全管管理體系電子政務(wù)務(wù)的安全全管理需需建立下下述管理理體系：：一、通過過建設(shè)電電子政務(wù)務(wù)的安全全基礎(chǔ)措措施來保保障電子子政務(wù)的的安全。。二、建立立電子政政務(wù)的技技術(shù)保障障體系，，通過安安全技術(shù)術(shù)的應(yīng)用用和維護(hù)護(hù)來保障障電子政政務(wù)系統(tǒng)統(tǒng)的安全全。三、對電電子政務(wù)務(wù)系統(tǒng)的的運行進(jìn)進(jìn)行安全全管理四、建立立社會服服務(wù)體系系以實現(xiàn)現(xiàn)電子政政務(wù)的安全電子政務(wù)務(wù)安全管管理策略總體策略略：1.國家主導(dǎo)、社社會參與與：電子政務(wù)務(wù)安全關(guān)關(guān)系到政政府決策策、行政政監(jiān)管和和公共服服務(wù)質(zhì)量量的大事事，必須須由國家家統(tǒng)籌規(guī)規(guī)劃、社社會積極極參與，，才能建建立起切切實有效效的保障障。2.全局治理、積積極防御御：電子政務(wù)務(wù)安全必必須采用用法律威威懾、管管理制約約、技術(shù)術(shù)保障和和安全基基礎(chǔ)設(shè)施施支撐的的全局治治理措施施，并且且實施防防護(hù)、檢檢測、恢恢復(fù)和反反制的積積極防御御手段。。3.等級保護(hù)、保保障發(fā)展展：根據(jù)信息息資產(chǎn)的的價值等等級、所所面臨的的威脅等等級來選選擇適度度的安全全機(jī)制強(qiáng)強(qiáng)度等級級和安全全技術(shù)保保障強(qiáng)壯壯性等級級，尋求求一個投投入和風(fēng)風(fēng)險承受受能力間間的平衡衡點，保保障電子子政務(wù)系系統(tǒng)健康康、積極極發(fā)展。我國電子子政務(wù)信信息安全全保護(hù)等等級：1.第一級為自自主保護(hù)護(hù)級:適用于一般信息息和信息息系統(tǒng)，，其收到到破壞后后，會對對公民、、法人和和其他組織的權(quán)益有有一定的的影響，，但不會危害害國家安全全、社會秩序序、經(jīng)濟(jì)建設(shè)設(shè)和公共共利益2.第二級為指導(dǎo)導(dǎo)保護(hù)級:適用于一定程度上涉涉及國家家安全、、社會秩秩序、經(jīng)經(jīng)濟(jì)建設(shè)設(shè)和公共共利益的的一般信信息和信信息系統(tǒng)統(tǒng)，其受受到破壞壞后，會會對國家家安全、、社會秩秩序、經(jīng)經(jīng)濟(jì)建設(shè)設(shè)和公共共利益造造成一定損害。3.第三級為監(jiān)督督保護(hù)級:適用于涉及國家家安全、、社會秩秩序、經(jīng)經(jīng)濟(jì)建設(shè)設(shè)和公共共利益的的信息和和信息系系統(tǒng)，其其受到破破壞后，，會對國國家安全全、社會會秩序、、經(jīng)濟(jì)建建設(shè)和公公共利益益造成較大損害。。我國電電子政政務(wù)信信息安安全保保護(hù)等等級：：4.第四級為強(qiáng)強(qiáng)制保保護(hù)級：適用于于涉及國國家安安全、、社會會秩序序、經(jīng)經(jīng)濟(jì)建建設(shè)和和公共共利益益的信信息和和信息息系統(tǒng)統(tǒng)，其其受到到破壞壞后，，會對對國家家安全全、社社會秩秩序、、經(jīng)濟(jì)濟(jì)建設(shè)設(shè)和公公共利利益造造成嚴(yán)重?fù)p害。5.第五級為專?？乇１Ｗo(hù)級：適用于于涉及國國家安安全、、社會會秩序序、經(jīng)經(jīng)濟(jì)建建設(shè)和和公共共利益益的信信息和和信息息系統(tǒng)統(tǒng)，其其受到到破壞壞后，，會對對國家家安全全、社社會秩秩序、、經(jīng)濟(jì)濟(jì)建設(shè)設(shè)和公公共利利益造造成特別嚴(yán)嚴(yán)重?fù)p害。。8.3電子政政務(wù)安安全管管理實實施一.電子政政務(wù)安安全管管理的的行政管管理二.電子政政務(wù)安安全管管理的的技術(shù)術(shù)管理三.電子政政務(wù)安安全管管理的的風(fēng)險險管理一.電子政政務(wù)安安全的的行政政管理理1.安全組組織機(jī)機(jī)構(gòu)（1）明確確本單位位電子子政務(wù)務(wù)系統(tǒng)統(tǒng)的安全目目標(biāo)，根據(jù)據(jù)安全全目標(biāo)標(biāo)來制制定整整體的的安全全策略略。（2）根據(jù)據(jù)電子子政務(wù)務(wù)的安安全策策略制制定并并實施施各項項安全措措施。（3）制定定明確確的規(guī)規(guī)章制制度（4）制定定安全全規(guī)劃劃和應(yīng)應(yīng)急方案（5）制定敏敏感信信息和保密信信息的安全全策略略，劃劃分需需要保保護(hù)的的數(shù)據(jù)據(jù)的范范疇、、密級級或保保護(hù)等等級，，根據(jù)據(jù)現(xiàn)實實需要要和客客觀條條件確確定存存取控控制方方法和和加密密手段段。一.電子政務(wù)務(wù)安全的的行政管管理2.安全人事事管理主要包括括：認(rèn)識識審查與與錄用，，崗位與與責(zé)任范范圍的確確定，工工作評價價，人事事檔案管管理，提提升、調(diào)調(diào)動與免免職‘基基礎(chǔ)培訓(xùn)訓(xùn)等。3.安全責(zé)任任制度制度體系系由以下下幾個部部分組成成：（1）系統(tǒng)運運行維護(hù)護(hù)管理制度（4）操作和和管理人人員管理理制度（2）計算機(jī)機(jī)處理控控制管理理制度（5）機(jī)房安安全管理理制度（3）文檔資資料管理理制度（（6）定期檢檢查與監(jiān)監(jiān)督制度一.電子政務(wù)務(wù)安全的的行政管管理4.安全教育育培訓(xùn)“兩個方方面”：一方面需要專業(yè)的信息安安全人才才另一方面面要求非專業(yè)人人士也應(yīng)具備備相應(yīng)的的信息安安全素養(yǎng)養(yǎng)。“多個層層次”：專業(yè)的的信息安安全人才才隊伍應(yīng)應(yīng)包括多多種層次次的人才才，如專業(yè)技術(shù)術(shù)人員、安全管理理人員、專業(yè)研究究人員和高級戰(zhàn)略略人員等。二.電子政務(wù)務(wù)安全的的技術(shù)管管理1.實體安全管理理（1）環(huán)境安全（2）設(shè)備安全（3）存儲媒媒體安全2.軟件系統(tǒng)統(tǒng)管理（1）保護(hù)軟軟件系統(tǒng)統(tǒng)的完整整性（2）保證軟軟件系統(tǒng)統(tǒng)的存儲儲安全（3）保障軟軟件的通通信安全全（4）保障軟軟件的使使用安全3.密鑰管理理（1）保證密密鑰難以以竊?。?）密鑰有有使用范范圍和使使用時間間的限制制（3）密鑰的的分配和和更換過過程對用用戶透明明，而用用戶不需需要親自自掌管密鑰三.電子政務(wù)務(wù)安全的的風(fēng)險管管理1.安全風(fēng)險險評估（1）要識別風(fēng)險（2）應(yīng)進(jìn)行行風(fēng)險度量，即確定風(fēng)險險對組織織或系統(tǒng)統(tǒng)的影響響程度（3）要確定風(fēng)險級別別（4）制定相應(yīng)的風(fēng)風(fēng)險管理理策略2.安全風(fēng)險險控制（1）選擇風(fēng)險控制制手段（2）采取風(fēng)險規(guī)避避措施（3）必要的風(fēng)險轉(zhuǎn)轉(zhuǎn)移措施施（4）盡可能能降低威威脅的影響程程度（5）對剩余余風(fēng)險的的接受三.電子政務(wù)務(wù)安全的的風(fēng)險管管理3.應(yīng)急響應(yīng)應(yīng)（1）要有必必要的事事前準(zhǔn)備備，包括括異常信信息的檢測工具具和技術(shù)，以及應(yīng)應(yīng)對突發(fā)發(fā)事件的的行動策策略。（2）要經(jīng)常常地甚至至是持續(xù)續(xù)地對防火墻日日志、IDS日志及其他可可能的信信息源進(jìn)進(jìn)行異常檢測測，以保證證及早發(fā)發(fā)現(xiàn)突發(fā)發(fā)事件。。（3）對初現(xiàn)現(xiàn)的突發(fā)發(fā)事件應(yīng)應(yīng)能予以以初始響響應(yīng)，包包括確認(rèn)認(rèn)事件是是否真正正發(fā)生、、組織有有關(guān)救援援人員收集易失失證據(jù)等。（4）須及時時制定響響應(yīng)戰(zhàn)略略，并報請相相關(guān)管理理部門以以獲得批批準(zhǔn)。（5）積極實實現(xiàn)有關(guān)關(guān)安全急急救措施施，包括括將尚未被被破壞的的系統(tǒng)隔隔離出去去，對已遭破破壞的部部分采取取補(bǔ)救等。（6）應(yīng)盡可可能將受受害系統(tǒng)統(tǒng)恢復(fù)到到安全、、正常運運轉(zhuǎn)的狀狀態(tài)。（7）還需將將整個事事件的過過程及響響應(yīng)行為為詳細(xì)準(zhǔn)確確地記入入文檔。8.4安全保障障技術(shù)電子政務(wù)安全保護(hù)技術(shù)電子政務(wù)安全防范技術(shù)安全保障技術(shù)電子政務(wù)務(wù)安全保保護(hù)技術(shù)術(shù)1.數(shù)據(jù)加密密技術(shù)：：是把有意意義的信信息編碼碼為偽隨隨機(jī)性的的亂碼，，以以實現(xiàn)對對信息保保護(hù)的技技術(shù)方法法。它是是各種現(xiàn)現(xiàn)代安全全保護(hù)技技術(shù)或安安全防范范系統(tǒng)的的技術(shù)核心2.信息隱藏藏技術(shù)：：是利用信信息本身身存在的的冗余性性和人的的感官對對一些信信息的掩掩蔽效應(yīng)應(yīng)而形成成的。3.安全認(rèn)證證技術(shù)：：當(dāng)前的認(rèn)認(rèn)證主要要采用數(shù)字簽名技術(shù)和身份認(rèn)證技術(shù)。電子政務(wù)安全全防范技術(shù)反病毒系統(tǒng)：：反病毒技術(shù)是是防范病毒的的主要工具，，通常是一種種軟件系統(tǒng)。防火墻系統(tǒng)：防火墻實際上上是一種由軟軟件或硬件設(shè)設(shè)備組合而成成的網(wǎng)絡(luò)安全全防范系統(tǒng)。虛擬專用網(wǎng)絡(luò)：VPN是指以公用開放放的網(wǎng)絡(luò)作為為基本傳輸媒媒介，通過附附加的多種技技術(shù)而構(gòu)建出出的，具有專專用網(wǎng)絡(luò)性能能的邏輯網(wǎng)絡(luò)絡(luò)。入侵檢測系統(tǒng)：IDS用于檢測各種形式式的入侵行為為，是安全防防御體系的一一個重要組成成部分。流量、內(nèi)容。。物理隔離系統(tǒng)：使兩個系統(tǒng)在在空間上物理理隔離，就可可以使它們的的安全性相互互獨立。防火墻及黑客客攻擊手段黑客攻擊手手段：1.后門程序2.信息炸彈3.拒絕服務(wù)4.網(wǎng)絡(luò)監(jiān)聽5.密碼破解DDOS攻擊如果說計算算機(jī)與網(wǎng)絡(luò)絡(luò)的處理能能力加大了了10倍，用1臺攻擊機(jī)來攻攻擊不再能能起作用的的話，攻擊擊者使用10臺攻擊機(jī)同同時攻擊呢呢？用100臺呢？DDoS就是利用更更多的傀儡儡機(jī)來發(fā)起起進(jìn)攻，以以比從前更更大的規(guī)模模來進(jìn)攻受受害者。防火墻及黑黑客攻擊手手段8.5安全防御體系的的建立安全防御體體系的建立電子政務(wù)系系統(tǒng)安全管管理的實施施步驟安全防御體系的的建立（1）電子政務(wù)務(wù)系統(tǒng)監(jiān)測測。一旦電子政政務(wù)系統(tǒng)選選用相關(guān)的的安全產(chǎn)品品、安全技技術(shù)并開始始運轉(zhuǎn)后，，相關(guān)使用用人員就應(yīng)應(yīng)該執(zhí)行安安全制度，，按照安全全實施與管管理的流程程進(jìn)行操作作。電子政務(wù)事事故響應(yīng)：：響應(yīng)與恢恢復(fù)是保障障網(wǎng)絡(luò)安全全性的重要步驟。響應(yīng)應(yīng)是指發(fā)生生安全事故故后的緊急急處理程序。。安全防御體系的的建立安全防御體系的的建立（2）電子政務(wù)務(wù)安全管理理中心：領(lǐng)領(lǐng)導(dǎo)整個安安全隊伍，，分配任務(wù)務(wù)并審計執(zhí)執(zhí)行情況，，負(fù)責(zé)上報報安全狀況況或進(jìn)一步步向其他組組織尋求援援助和咨詢詢；（3）入侵預(yù)警警和跟蹤小小組：重點點預(yù)防網(wǎng)絡(luò)絡(luò)入侵；（4）病毒預(yù)警警和防護(hù)小小組：重點點進(jìn)行各種種病毒的防防護(hù)；（5）漏洞掃描描小組：通通過各種工工具進(jìn)行系系統(tǒng)漏洞掃掃描，包括括操作系統(tǒng)統(tǒng)漏洞和數(shù)數(shù)據(jù)庫漏洞洞以及應(yīng)用用系統(tǒng)的漏漏洞；（6）跟跟蹤蹤小小組組：：對對入入侵侵者者進(jìn)進(jìn)行行跟跟蹤蹤，，取取得得入入侵侵證證據(jù)據(jù)；；安全全管管理理的實實施施步步驟驟（7）其其他他安安全全響響應(yīng)應(yīng)小小組組：：電電子子政政務(wù)務(wù)系系統(tǒng)統(tǒng)恢恢復(fù)復(fù)是是指指將將受受損損失失的的系系統(tǒng)統(tǒng)復(fù)復(fù)原原到到發(fā)發(fā)生生安安全全事事故故以以前前的的狀狀態(tài)態(tài)安全全管管理理的實實施施步步驟驟電子子政政務(wù)務(wù)系系統(tǒng)統(tǒng)安安全全管管理理的的實實施施步步驟驟（1）確確定定面面臨臨的的各各種種攻攻擊擊和和風(fēng)風(fēng)險險電子子政政務(wù)務(wù)系系統(tǒng)統(tǒng)安安全全的的設(shè)設(shè)計計和和實實現(xiàn)現(xiàn)必必須須根根據(jù)據(jù)具具體體的的系系統(tǒng)統(tǒng)和和環(huán)環(huán)境境，，考考察察、、分分析析、、評評估估、、檢檢測測（（包包括括模模擬擬攻攻擊擊））和和確確定定系系統(tǒng)統(tǒng)存存在在的的安安全全漏漏洞洞和和安安全全威威脅脅；；（2）明明確確安安全全策策略略安全全策策略略是是電電子子政政務(wù)務(wù)系系統(tǒng)統(tǒng)安安全全設(shè)設(shè)計計的的目目標(biāo)標(biāo)和和原原則則，，是是對對應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)完完整整的的安安全全解解決決方方案案。。安安全全策策略略要要綜綜合合以以下下幾幾方方面面優(yōu)優(yōu)化化確確定定：：安全全管管理理的實實施施步步驟驟系統(tǒng)統(tǒng)整整體體安安全全性性，，由由應(yīng)應(yīng)用用環(huán)環(huán)境境和和用用戶戶需需求求決決定定，，包包括括各各個個安安全全機(jī)機(jī)制制的的子子系系統(tǒng)統(tǒng)的的安安全全目目標(biāo)標(biāo)和和性性能能指指標(biāo)標(biāo)：：對原原系系統(tǒng)統(tǒng)的的運運行行造造成成的的負(fù)