電子政務(wù)的安全

第3章電子政務(wù)的平安分四個(gè)局部·電子政務(wù)平安概述·電子政務(wù)平安風(fēng)險(xiǎn)分析·電子政務(wù)平安的技術(shù)對策·電子政務(wù)平安的管理對策。12/27/20231電子政務(wù)的平安第一局部

電子政務(wù)平安概述電子政務(wù)的重要性和特殊性必然會招致各種勢力的關(guān)注和攻擊。因此，電子政務(wù)的實(shí)施在帶來高效率和便利的同時(shí)也存在許多風(fēng)險(xiǎn)。我們必須清醒地認(rèn)識到這一點(diǎn)。12/27/20232電子政務(wù)的平安國家計(jì)算機(jī)網(wǎng)絡(luò)與信息平安

管理中心提供的資料顯示2001年中美黑客大戰(zhàn)期間，在遭受美國黑客攻擊的我國大陸網(wǎng)站中，政府網(wǎng)站占了41.5%。也就是說政府網(wǎng)站成為重點(diǎn)攻擊對象。對照平安標(biāo)準(zhǔn)來衡量，中央國家部委的涉密網(wǎng)絡(luò)有一半以上未到達(dá)平安保密要求。

12/27/20233電子政務(wù)的平安再比方：微軟公司一個(gè)員工把工作電腦帶回家，為了獲得更快的運(yùn)行效率，局部關(guān)閉了防病毒軟件的功能，使得木馬程序植入他的電腦，最后又被植入到微軟公司內(nèi)部網(wǎng)系統(tǒng)，導(dǎo)致源代碼的泄露。12/27/20234電子政務(wù)的平安第二局部電子政務(wù)的平安風(fēng)險(xiǎn)

下面我們基于風(fēng)險(xiǎn)產(chǎn)生的原因,把電子政務(wù)平安風(fēng)險(xiǎn)分為5類：一是物理風(fēng)險(xiǎn)—比方自然災(zāi)害，電力供給突然中斷，靜電、強(qiáng)磁場破壞硬件設(shè)備以及設(shè)備老化等引起的風(fēng)險(xiǎn)。二是無意錯(cuò)誤風(fēng)險(xiǎn)---是指由于人為或系統(tǒng)錯(cuò)誤而影響信息的完整性、機(jī)密性和可用性。12/27/20235電子政務(wù)的平安三是有意破壞指內(nèi)部和外部人員有意通過物理手段破壞信息系統(tǒng)而影響信息的機(jī)密性、完整性、可用性和可控性。比方：有意破壞根底設(shè)施、擴(kuò)散計(jì)算機(jī)病毒、電子欺騙等。這種風(fēng)險(xiǎn)帶來的破壞一般而言是巨大的。嚴(yán)重時(shí)會引起整個(gè)系統(tǒng)的癱瘓和不可恢復(fù)。12/27/20236電子政務(wù)的平安四是管理風(fēng)險(xiǎn)它是指因?yàn)榭诹詈兔荑€管理不當(dāng)、制度遺漏，崗位、職責(zé)設(shè)置不全面等因素引起信息泄露、系統(tǒng)無序運(yùn)行等。12/27/20237電子政務(wù)的平安五是其它風(fēng)險(xiǎn)是指除上述所列舉的一些風(fēng)險(xiǎn)外，一切可能危及信息系統(tǒng)的機(jī)密性、完整性、可用性、可控性和系統(tǒng)正常運(yùn)行的風(fēng)險(xiǎn)。正是存在上述諸多風(fēng)險(xiǎn)，電子政務(wù)的平安體系建設(shè)顯得憂為重要。12/27/20238電子政務(wù)的平安基于此我們確定

電子政務(wù)系統(tǒng)信息平安的宗旨是在實(shí)現(xiàn)電子政務(wù)信息系統(tǒng)時(shí)充分考慮信息風(fēng)險(xiǎn)，從而確保政府部門能夠有效地完成法律所賦予的政府職能。12/27/20239電子政務(wù)的平安電子政務(wù)的平安目標(biāo)

有以下三方面一是保護(hù)政務(wù)信息資源價(jià)值不受侵犯。二是保證信息資產(chǎn)的擁有者〔政務(wù)主體〕面臨最小的風(fēng)險(xiǎn)和獲取最大的平安利益。三是使政務(wù)的信息根底設(shè)施、信息應(yīng)用效勞和信息內(nèi)容具有保密性、完整性、真實(shí)性、可用性和可控性的能力。12/27/202310電子政務(wù)的平安那么，我們?nèi)绾?/p>

實(shí)現(xiàn)電子政務(wù)的平安目標(biāo)呢答案是構(gòu)建一個(gè)電子政務(wù)綜合平安體系。這種平安體系應(yīng)該包括風(fēng)險(xiǎn)評估、策略制定、技術(shù)實(shí)現(xiàn)、制度建立、流程保障、人員培訓(xùn)等一系列內(nèi)容。12/27/202311電子政務(wù)的平安電子政務(wù)的平安措施包括三個(gè)方面一是物理層的平安防護(hù)措施。主要通過制定物理層面的管理標(biāo)準(zhǔn)和措施來保證計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施及數(shù)據(jù)信息免遭自然災(zāi)害、人為操作失誤或錯(cuò)誤、計(jì)算機(jī)犯罪行為導(dǎo)致的物理實(shí)體被破壞、效勞中斷、數(shù)據(jù)遺失。比方上海財(cái)稅局系統(tǒng)容災(zāi)、數(shù)據(jù)集中備份工程就是針對上海市財(cái)稅系統(tǒng)迫切需要解決的平安性需求而建設(shè)的。12/27/202312電子政務(wù)的平安二是技術(shù)措施。它是利用計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)品和技術(shù)效勞實(shí)現(xiàn)的，包括技術(shù)標(biāo)準(zhǔn)、技術(shù)方案、技術(shù)實(shí)施等內(nèi)容。三是管理措施。包括管理體系,管理制度和法律保障。其中，管理和技術(shù)的有效結(jié)合是保證電子政務(wù)系統(tǒng)的平安的必備手段。下面進(jìn)行詳細(xì)介紹12/27/202313電子政務(wù)的平安第三局部

電子政務(wù)平安的技術(shù)對策首先是網(wǎng)絡(luò)層的平安大家知道網(wǎng)絡(luò)的組成包括客戶機(jī)—信道----效勞器三個(gè)方面，因此，平安對策也有三個(gè)方面。1客戶機(jī)〔用戶終端〕平安的對策就是保護(hù)客戶機(jī)免受網(wǎng)上下載軟件和數(shù)據(jù)的威脅，方法有數(shù)字證書、瀏覽器內(nèi)置的平安特性和使用防病毒軟件。12/27/202314電子政務(wù)的平安3.3.1---2.通訊信道的平安保護(hù)通訊信道的平安就是要保證通訊的保密性、傳輸信息的完整性和信道的可用性。保密性和完整性主要通過各種加密的方式來實(shí)現(xiàn)。12/27/202315電子政務(wù)的平安3.3.1---3電子政務(wù)效勞器的平安一是訪問控制和認(rèn)證二是操作系統(tǒng)控制-------大家最常見的就是用戶名+口令的認(rèn)證方式。12/27/202316電子政務(wù)的平安電子政務(wù)效勞應(yīng)用層

平安策略建立完整的公鑰根底設(shè)施〔PublicKeyInfrastructure，PKI〕,它是基于公開密鑰理論和技術(shù)建立起來的平安體系，是提供信息平安效勞的具有普適性的平安根底設(shè)施。12/27/202317電子政務(wù)的平安建立這套根底設(shè)施的目的是解決網(wǎng)絡(luò)空間的身份認(rèn)證與信任問題12/27/202318電子政務(wù)的平安3.3.3-1電子政務(wù)中的內(nèi)外網(wǎng)隔離三網(wǎng)隔離關(guān)系示意圖12/27/202319電子政務(wù)的平安3.3.3—1物理隔離是指將兩個(gè)網(wǎng)絡(luò)完全斷開，使之不發(fā)生實(shí)際的物理連接。這樣一來，網(wǎng)絡(luò)黑客便無法進(jìn)入內(nèi)網(wǎng)?！?.11〞恐怖襲擊事件后，美國政府提出建立獨(dú)立于Internet的政府專用網(wǎng)GOVNET。我國電子政務(wù)的內(nèi)網(wǎng)與外網(wǎng)之間采取的是物理隔離。12/27/202320電子政務(wù)的平安3.3.3—2邏輯隔離是指兩個(gè)網(wǎng)絡(luò)之間通過專用的計(jì)算機(jī)設(shè)備連接，這個(gè)計(jì)算機(jī)通過執(zhí)行一定的平安策略，從而控制兩個(gè)網(wǎng)絡(luò)之間信息包的流入和流出。最常用的設(shè)備是防火墻。電子政務(wù)中的外網(wǎng)與互聯(lián)網(wǎng)之間即采取邏輯隔離。12/27/202321電子政務(wù)的平安3.3.4其它平安技術(shù)

包括1.虛擬專用網(wǎng)絡(luò)(VPN)2.入侵檢測系統(tǒng)〔IDS〕3.漏洞掃描系統(tǒng)這里不展開講.12/27/202322電子政務(wù)的平安第四局部

電子政務(wù)平安的管理對策首先是部署完善的電子政務(wù)平安管理體系請看示意圖12/27/202323電子政務(wù)的平安12/27/202324電子政務(wù)的平安建立平安管理制度用書面的形式對各項(xiàng)要求做出明文規(guī)定。包括人員管理、保密、跟蹤審計(jì)、系統(tǒng)維護(hù)、數(shù)據(jù)備份、病毒定期清理等一系列制度。這些制度是保證電子政務(wù)系統(tǒng)正常有序運(yùn)行的根底，是電子政務(wù)人員必須遵守的工作守那么。12/27/202325電子政務(wù)的平安這里強(qiáng)調(diào)一下

關(guān)于人員管理的四項(xiàng)根本原那么1、多人負(fù)責(zé)原那么----每一項(xiàng)與平安有關(guān)的活動(dòng)，都必須有兩人或多人在場。2、任期有限原那么——任何人最好不要長期擔(dān)任與平安有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久的。12/27/202326電子政務(wù)的平安3是最小權(quán)限原那么——每個(gè)人只負(fù)責(zé)一種事務(wù)，只有一種權(quán)限。4、職責(zé)別離原那么——在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與平安有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。12/27/202327電子政務(wù)的平安3.4.3電子政務(wù)平安的法律保障電子政務(wù)平安的法律保障包括根底性法規(guī)建設(shè)和標(biāo)準(zhǔn)性法規(guī)建設(shè)。信息平安法規(guī)是信息資源平安管理走向成熟化、正規(guī)化和法制化的表現(xiàn)。政務(wù)信息公開法的出臺說明了我國在電子政務(wù)平安管理上正逐漸走向成熟。12/27/202328電子政務(wù)的平安近年來，我國信息平安標(biāo)準(zhǔn)化工作開展較快，在國家質(zhì)量技術(shù)監(jiān)督局的領(lǐng)導(dǎo)下，全國信息化標(biāo)準(zhǔn)委員會及其下屬的信息平安分技術(shù)委員會在制訂我國信息平安標(biāo)準(zhǔn)方面做了大量的工作。12/27/202329電子政務(wù)的平安思考題1.電子政務(wù)的平安目標(biāo)是什么？2.完整的電子政務(wù)綜合平安體系包括哪些內(nèi)容？當(dāng)前我國電子政務(wù)平安存在的問題主要有哪些？3.簡述電子政務(wù)的平安威脅的幾種