电子政务安全管理.ppt

第8章 电子政务的安全,1、电子政务的安全概述2、电子政务的安全体系框架 3、电子政务的安全实现,1、电子政务的安全概述,1.1电子政务安全的重要性保护国家信息安全的需要。保护个人信息特别是私密信息的需要保护信息系统和政务网站不被侵入的需要,面临的主要安全问题：,黑客入侵和犯罪,病毒泛滥和蔓延,信息间谍的潜入和窃密,内部人员的违规和违法操作,电子 政府,1.2我国电子政务安全的现状,缺乏安全意识信息与网络安全防护能力较弱缺乏一系列的网络安全标准,电子政务安全问题产生的原因,电子政务系统对网络的高度依赖,安全技术的缺陷（股票系统、千年虫问题）,网络的开放性,管理的漏洞,1.3电子政务安全分类,技术风险管理风险信息的可用性信息的完整性信息的保密性信息的可控性信息的不可抵赖性,按攻击手段分类,系统穿透,指未经授权人通过一定手段对认证系统进行攻击，假冒合法用户接入政府内部系统，实现对文件进行篡改、窃取机密信息、非法使用资源等,违反授权,植入,通信监视,通信串扰,中断,拒绝服务,否认,指入侵者要在系统中设置一种能力，为以后攻击提供方便条件。植入一般在系统穿透或违反授权攻击成功后，采取向系统中注入病毒等,指授权进入系统做某件事的用户，在系统中进行未经授权的其他事情,指攻击者对系统可用性进行攻击，使系统不能正常工作,指在通信过程中从信道进行搭线窃听,指攻击者对通信数据或通信过程进行干预，对完整性进行攻击，篡改系统中数据的内容，修正消息次序、时间，注入伪造消息,指合法接入者所进行的正当行为无辜受阻,指一个实体进行某种通信或交易活动后否认曾进行过这一活动,（1）技术风险,组织及人员风险,管理制度不完善,安全策略有漏洞,缺乏应急体系,（2）管理风险,一些安全保密管理制度,2.电子政务安全管理体系,2.1电子政务技术支撑体系,1物理安全2网络安全3.系统和应用安全,1.物理安全：就是保证对物理设施的合法访问，避免人为破坏，并将自然灾难的影响降到最低。,1）隔离技术：,政府内网,政府外网,互联网,网络安全指网络通信的安全性，政府内网、外网和公网之间的隔离，界定访问权限等。,物理隔离，采用隔离网闸技术,逻辑隔离，包括VLAN、访问控制、VPN、防火墙、身份识别、代理服务器,2.网络安全：网络安全指网络通信的安全性，政府内网、外网和公网之间的隔离，界定访问权限等。,源文件（明文）,解密后的信息（明文）,加密后的信息（密文）,加密后的信息（密文）,密钥加密,因特网,密钥解密,数据加密过程,加密技术,对称密钥加密技术,不对称密钥加密技术,对称加密，是指使用同一把密钥对信息加密、信息解密。一个加密系统的加密密钥和解密密钥相同，或者虽然不同，但可以由其中一个推导另一个，则为对称密钥密码体制。,加密和解密的速度很快，效率也很高，但需要仔细保存密钥，其保密性主要取决于密钥本身的保密强度和密钥传送通道的安全性。,加密技术,对称密钥加密技术,不对称密钥加密技术,不对称加密又称为公开密钥加密，是1976年由斯坦福大学提出来的。与对称密钥系统相比，公开密钥加密技术需要使用一对相关的密钥：一个用来加密，另一个用来解密。该技术的设想是，密钥对是与相应的系统联系在一起的，其中私有密钥是由系统所保密持有的，而公开密钥则是公开的，但知道公开密钥是不能推导出私有密钥的。,加密技术,防火墙,防火墙（firewall）是指一个由软件和硬件设备组合而成，处于组织内网和外网的通道之间，用来加强互联网与内部网络之间安全防范的一个或一组系统。它具有限制外界用户对组织内部网络访问及管理内部用户访问外部服务。,一切未被允许的都是禁止的,防火墙的安全策略,一切未被禁止的都是允许的,防火墙,防火墙,防火墙的局限性,有OS和软件，就有漏洞,很难防护新出现的病毒,安全性和速度成反比,无法阻止病毒在内部传播,防火墙,3.OS系统和应用安全,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,入侵检测系统（Intrusion Detection Systems,IDS）是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,计算机病毒有主动传染性、隐藏性、欺骗性、破坏性、衍生性等特点。,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,防病毒技术分为主机防病毒和网络防病毒。主机防病毒主要是安装防病毒软件，对电脑文件访问实时监测，发现病毒就立即清除或修复。网络防病毒通常由安全提供商提供一整套的解决方案，进行全面的防护。,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,漏洞扫描系统的功能：动态分析系统的安全漏洞，检查用户网络中的安全隐患，发布检测报告、提供有关漏洞的详细信息和最佳解决对策。,案例12：微软的漏洞,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,用户访问系统之前必须经过身份认证，系统根据用户身份和授权决定用户能否访问某个资源。,2.2电子政务安全运营管理体系,1安全运营组织结构2安全运营规章制度3安全运营的内容,1.安全组织机构,安全机构的职责：,（1）对整个电子政务系统进行整体的安全规划，制定整体的安全解决方案。（2）制定安全管理制度、安全策略、应急方策略等；（3）监控网络的安全性，监督安全方案的实施情况；（4）评估风险，及时提出修改、弥补方案。,2.安全管理制度,安全人员管理制度；系统安全运行维护管理制度；密钥管理制度；保密制度；访问控制管理制度等。,（1）实体的安全管理（2）密钥的安全管理（3）风险管理（4）应急管理,3.安全运营管理的内容,2.3电子政务安全的基础保障体系,1法律法规2安全标准3PKI认证平台4.PMI,2.电子政务安全标准建设,电子政务安全标准规范：电子文档密级及标记格式密码算法标准、密钥管理标准PKI/CA标准、PMI标准、信息系统安全评估标准和网络安全产品测评标准,3.公钥基础认证平台,PKI（Public Key Infrastructure）公钥基础平台采用数字证书，通过第三方的可信任机构认证中心CA（Certification Authority），将用户公钥和用户标识捆绑，提供身份验证的机制。,PKI的基本组成,数字证书库,密钥备份及恢复系统,证书管理系统,应用接口（API）,公钥基础认证平台,4.特权管理认证平台,PMI:Priviliege Management Infrastructure特权管理基础平台，建立在PKI基础上，接受用户的委托对终端用户实施权限控制，实现用户身份到应用授权的映射功能。,PKI与PMI之间的比较,PKI（构建信息安全平台，提供智能化的信任服务）,PMI（构建授权管理平台，在PKI信息安全平台的基础上提供智能化的授权服务）,DMS（目录管理体系：提供政务信息资源发现、定位功能、及相关应用的系统。）,国家信息安全基础设施（NISI）,3.电子政务安全的实施,本章小结,电子政务安全的概述电子政务的安全体系技术安全体系管理安全体系基础平台体系,谢谢！,