6、第六章电子政务与安全保密

第六章电子政务与安全保密2007年江西40家网站遭黑客攻击七成为政府网站江西省计算机用户协会向社会发布公告，2007年1—8月份，江西至少有40家网站遭黑客恶意入侵与攻击。这些被黑客入侵的网站七成以上是各级政府部门的，这些网站要么被黑客篡改首页，要么被增加了页面。＊一旦被篡改了首页，网站就有可能打不开，或者出现大量的错误，甚至机密资料都会被盗走；＊如果被增加了页面，黑客则会利用网站做广告或搞其他非法活动。＊这些被黑客入侵的网站大都是长期没有更新页面，无人管理的网站，有的网站甚至处于“休克”状态，且大多数没安装黑客入侵系统软件，所以极容易被黑客攻击。中美五一黑客大战2001年中美黑客大战中美黑客事件是由中美撞机事件直接引发的。据外电报道，首先是一些美国国内的黑客对部分中国网站进行了攻击，从而激怒了中国黑客，双方遂在互联网上展开了一场黑客大战。之后，中国黑客在一个名为“中国红客联盟”的黑客组织领导下，计划展开“第六次网络卫国战争”，在“五一”期间发动一次七日战役，全面袭击美国网站。此事经国内各媒体大加宣传，迅速成为一场轰轰烈烈的黑客事件。5月4日晚，“中国红客同盟”的行动达到首个高潮，出现了“八万中国红客攻打白宫”的场面，并迫使白宫网页一度瘫痪。美国白宫飘起红旗美国安全专家表示，美中黑客之间的网络大战在当地时间4月30日(北京时间5月1日)愈加升级，其中美国白宫的官方网站遭到电子邮件“炸弹”的攻击，同时若干个美国和中国网站页面均被改得面目全非。除了美国白宫的网站之外，其他被中国黑客列为攻击目标的网站还包括美国联邦调查局(FBI)、美国航空航天局(NASA)、美国国会、《纽约时报》、《洛杉矶时报》以及美国有线新闻网(CNN)的网站。国内网站遭攻击的分布其它12%网络服务6%军事网站2%教育网站4%机构网站6%商业网站65%政府网站5%数据存储及备份问题“911事件”中，世贸中心最大的主顾之一摩根斯坦利由于精心构造了远程防灾系统，双子楼的倒塌并没有给公司和客户的关键数据带来重大损失，几天后在新泽西州恢复营业其它无灾备能力的企业损失惨重，很多企业由于无法恢复对其业务至关重要的数据而被迫倒闭。信息内容存储解决方案所依托的主要存储设备均为国外厂商的产品，缺少自主知识产权，等于把自己的信息存储在别人的“口袋”里。信息泄密失控的问题涉密信息系统目前对内部人员和管理的漏洞导致的泄密防护不足。针对信息流和用户行为缺乏有效的技术监控措施，也缺乏先进管理技术的应用美国CIA监控互联网获取伊朗核情报美国中央情报局成立专门部门，通过监控国际互联网，获取了伊朗研发核武器的大量图片，其中甚至包括核工厂内部的清晰图片，使得掌握了第一手资料及证据”。关于计算机病毒“计算机病毒”为什么叫做病毒。首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。一组具有能够进行自我传播的破坏性代码或程序。关于“特洛伊木马”希腊人攻打特洛伊城十年，始终未获成功，后来建造了一个大木马，并假装撤退，希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来打开城门，希腊将士里应外合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马来源于希腊神话中的特洛伊战争莫里斯蠕虫（MorrisWorm）时间1988年肇事者-RobertT.Morris,美国康奈尔大学学生，其父是美国国家安全局安全专家机理-利用sendmail,finger等服务的漏洞，消耗CPU资源，拒绝服务影响-Internet上大约6000台计算机感染，占当时Internet联网主机总数的10%，造成9600万美元的损失CERT/CC的诞生-DARPA成立CERT（ComputerEmergencyResponseTeam），以应付类似“蠕虫（MorrisWorm）”事件红色代码–2001年7月19日，全球的入侵检测系统(IDS)几乎同时报告遭到不名蠕虫攻击–在红色代码首次爆发的短短9小时内，以迅雷不及掩耳之势迅速感染了250,000台服务器–最初发现的红色代码蠕虫只是篡改英文站点主页，显示“Welcometo!HackedbyChinese!”–随后的红色代码蠕虫便如同洪水般在互联网上泛滥，发动拒绝服务(DoS)攻击以及格式化目标系统硬盘，并会在每月20日～28日对白宫的WWW站点的IP地址发动DoS攻击，使白宫的WWW站点不得不全部更改自己的IP地址。第一节电子政务安全与保障一、电子政务安全的概念在电子政务系统的整个生命周期中，通过对电子政务系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、过程和人员等方面提出安全保障要求，确保电子政务系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障电子政务系统实现组织机构使命的相关工作。计算机安全网络安全信息安全二、电子政务的安全需求1、维护电子政府的良好形象2、保证政务系统的稳定运行3、保护涉密政务信息的安全4、控制政务系统中的权限5、认证政务活动中的身份6、确保政务信息传输安全7、保障政务信息存储安全8、系统的安全备份与恢复机制三、电子政务安全概况（一）美国1998.5《关键基础设施保护》2000.1《信息系统保护国家计划V1.0》2001.10《信息时代的关键基础设施保护》2003.2《保护网络空间的国家战略》2008.1国家网络安全综合计划（CNCI）美国信息安全管理部门包括：国土安全局、国家安全局、国防局、联邦调查局、中央情报局、国家标准技术研究所（二）我国信息安全保障发展情况启动阶段：2001年成立网络与信息安全协调小组展开与推进阶段：2003.7《关于加强信息安全保障工作的意见》深化落实阶段：2006年至今，信息安全基础设施和工程建设进一步完善，信息安全等级保护盒风险评估取得新进展，加强了互联网信息安全内容管理。第二节电子政务安全策略一、我国电子政务安全的总体策略国家主导、社会参与，全局治理、积极防御，等级保护、保障发展。二、电子政务隐患分析自然风险技术风险管理风险社会风险三、电子政务安全对策1、制定国家信息安全战略2、制定与完善相关的法律法规3、统一信息安全管理机构4、加强标准的制定和核心技术的研发5、加强信息安全基础设施建设6、加大信息安全投入我国网络安全立法体系框架我国的网络安全立法体系框架分为四个层面一、法律法律是指由全国人民代表大会及其常委会通过的法律规范。目前我国与网络安全相关的法律主要有：1、《宪法》2、《人民警察法》第六条第十二款明确规定，公安机关的人民警察依法“履行监督管理计算机信息系统的安全保护工作”职责。3、《刑法》1997年《刑法》修改后，除了分则规定的大多数犯罪罪种（包括危害国家安全罪，危害公共安全罪、破坏社会主义市场经济秩序罪，侵犯公民人身权利、民主权利罪、侵犯财产罪，妨害社会管理秩序罪）都适用于利用计算机网络实施的犯罪以外，还专门在第285条和第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪，共两条四款。4、《全国人大常委会关于维护互联网安全的决定》这是我国第一部关于互联网安全的法律。该法分别从（1）保障互联网的运行安全；（2）维护国家安全和社会稳定；（3）维护社会主义市场经济秩序和社会管理秩序；（4）保护个人、法人和其他组织的人身、财产等合法权利等四个方面，共15款，明确规定了对构成犯罪的行为，依照刑法有关规定追究刑事责任。5、其他还有《治安管理处罚条例》《刑事诉讼法》《国家安全法》《保守国家秘密法》《行政处罚法》《行政诉讼法》《行政复议法》《国家赔偿法》《立法法》《中华人民共和国电子签名法》等。二、行政法规1、《中华人民共和国计算机信息系统安全保护条例》（1994年2月18日）这是我国第一部涉及计算机信息系统安全的行政法规。《条例》赋予“公安部主管全国计算机信息系统安全保护工作”的职能。主管权体现在：（1）监督、检查、指导权；（2）计算机违法犯罪案件查处权；（3）其他监督职权。2、《中华人民共和国计算机信息网络国际联网管理暂行规定》计算机信息网络进行国际联网的原则：1、必须使用邮电部国家公用电信网提供的国际出入口信道。2、接入网络必须通过互联网络进行国际联网。3、用户的计算机或计算机信息网络必须通过接入网络进行国际联网。《规定》对互联网接入单位实行国际联网经营许可证制度（经营性）和审批制度（非经营性），限定了接入单位的资质条件、服务能力及其法律责任。对违反《规定》第六条、第八条和第十条的行为，即：（1）自行建立或者使用其他信道进行国际联网的；（2）未按规定通过互联网络进行国际联网的；（3）未按规定通过接入网络进行国际联网；（4）未经许可和审批从事国际联网经营业务的。由公安机关责令停止联网，给予警告，可以并处15000元以下的罚款；有违法所得的，没收违法所得。3、《计算机信息网络国际联网安全保护管理办法》（公安部令33号）1997年12月11日国务院批准、1997年12月30日公安部第33号令发布，是我国第一部全面调整互联网络安全的行政法规，不仅对我国互联网的初期发展起到了重要的保障作用，而且为后续有关网络安全的法规、规章的出台起到了重要的指导作用。三、规范性文件、规章规章是指国务院各部、委根据法律和国务院行政法规，在本部门的权限范围内制定的法律规范，以及省、自治区、直辖市和较大的市的人民政府根据法律、行政法规和本省、自治区、直辖市的地方性法规制定的法律规范。规范性文件：俗称“红头文件”与信息安全相关的部门规章和规范性文件：1、公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》《计算机病毒防治管理办法》《金融机构计算机信息系统安全保护工作暂行规定》《关于开展计算机安全员培训工作的通知》等。2、工信部《互联网电子公告服务管理规定》《软件产品管理办法》《计算机信息系统集成资质管理办法》《国际通信出入口局管理办法》《国际通信设施建设管理规定》《中国互联网络域名管理办法》《电信网间互联管理暂行规定》3、国务院新闻办《互联网站从事登载新闻业务管理暂行规定》4、教育部《中国教育和科研计算机网暂行管理办法》《教育网站和网校暂行管理办法》5、新闻出版署《电子出版物管理规定》6、国家保密局《计算机信息系统保密管理暂行规定》《计算机信息系统国际联网保密管理规定》《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》《涉密计算机信息系统建设资质审查和管理暂行办法》《关于加强政府上网信息保密管理的通知》7、中国证监会《网上证券委托暂行管理办法》8、国家广播电影电视总局《关于加强通过信息网络向公众传播广播电影电视类节目管理的通告》9、国家药品监督管理局《互联网药品信息服务管理暂行规定》四、地方性法规1、《广东省计算机信息系统安全保护管理规定》（2003年3月31日广东省人民政府第十届4次常务会议通过，2003年6月1日起实施）2、《广东省计算机信息系统安全保护管理规定实施细则》（2003年7月1日起实施）3、《四川省计算机信息系统安全保护管理办法》（1996年3月28日四川省人民政府令第79号发布自1996年5月1施行）四、电子政务安全管理1、电子政务安全管理体系电子政务安全基础设施、电子政务技术保障体系、电子政务系统运行安全管理、社会服务体系2、电子政务安全管理实施电子政务管理部门如何通过管理和技术手段实现电子政务的安全可靠。（1）建立健全安全责任制度：系统运行维护和管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度（2）加强电子政务