电子政务的安全

1电子政务的安全分四个部分·电子政务安全概述·电子政务安全风险分析·电子政务安全的技术对策·电子政务安全的管理对策。2第一部分电子政务安全概述电子政务的重要性和特殊性必然会招致各种势力的关注和攻击。因此，电子政务的实施在带来高效率和便利的同时也存在许多风险。我们必须清醒地认识到这一点。3国家计算机网络与信息安全管理中心提供的资料显示2001年中美黑客大战期间，在遭受美国黑客攻击的我国大陆网站中，政府网站占了41.5%。也就是说政府网站成为重点攻击对象。对照安全标准来衡量，中央国家部委的涉密网络有一半以上未达到安全保密要求。4再比如：XX公司一个员工把工作电脑带回家，为了获得更快的运行效率，部分关闭了防病毒软件的功能，使得木马程序植入他的电脑，最后又被植入到XX公司内部网系统，导致源代码的泄露。5第二部分电子政务的安全风险下面我们基于风险产生的原因,把电子政务安全风险分为5类：一是物理风险—比如自然灾害，电力供应突然中断，静电、强磁场破坏硬件设备以及设备老化等引起的风险。二是无意错误风险---是指由于人为或系统错误而影响信息的完整性、机密性和可用性。6三是有意破坏指内部和外部人员有意通过物理手段破坏信息系统而影响信息的机密性、完整性、可用性和可控性。比如：有意破坏基础设施、扩散计算机病毒、电子欺骗等。这种风险带来的破坏一般而言是巨大的。严重时会引起整个系统的瘫痪和不可恢复。7四是管理风险它是指因为口令和密钥管理不当、制度遗漏，岗位、职责设置不全面等因素引起信息泄露、系统无序运行等。8五是其它风险是指除上述所列举的一些风险外，一切可能危及信息系统的机密性、完整性、可用性、可控性和系统正常运行的风险。正是存在上述诸多风险，电子政务的安全体系建设显得忧为重要。9基于此我们确定电子政务系统信息安全的宗旨是在实现电子政务信息系统时充分考虑信息风险，从而确保政府部门能够有效地完成法律所赋予的政府职能。10电子政务的安全目标有以下三方面一是保护政务信息资源价值不受侵犯。二是保证信息资产的拥有者（政务主体）面临最小的风险和获取最大的安全利益。三是使政务的信息基础设施、信息应用服务和信息内容具有保密性、完整性、真实性、可用性和可控性的能力。11那么，我们如何实现电子政务的安全目标呢答案是构建一个电子政务综合安全体系。这种安全体系应该包括风险评估、策略制定、技术实现、制度建立、流程保障、人员培训等一系列内容。12电子政务的安全措施包括三个方面一是物理层的安全防护措施。主要通过制定物理层面的管理规范和措施来保证计算机网络设备、设施及数据信息免遭自然灾害、人为操作失误或错误、计算机犯罪行为导致的物理实体被破坏、服务中断、数据遗失。比如上海财税局系统容灾、数据集中备份项目就是针对上海市财税系统迫切需要解决的安全性需求而建设的。13二是技术措施。它是利用计算机网络产品和技术服务实现的，包括技术规范、技术方案、技术实施等内容。三是管理措施。包括管理体系,管理制度和法律保障。其中，管理和技术的有效结合是保证电子政务系统的安全的必备手段。下面进行详细介绍14第三部分电子政务安全的技术对策首先是网络层的安全大家知道网络的组成包括客户机—信道----服务器三个方面，因此，安全对策也有三个方面。1客户机（用户终端）安全的对策就是保护客户机免受网上下载软件和数据的威胁，方法有数字证书、浏览器内置的安全特性和使用防病毒软件。153.3.1---2.通讯信道的安全保护通讯信道的安全就是要保证通讯的保密性、传输信息的完整性和信道的可用性。保密性和完整性主要通过各种加密的方式来实现。163.3.1---3电子政务服务器的安全一是访问控制和认证二是操作系统控制-------大家最常见的就是用户名+口令的认证方式。173.3.2电子政务服务应用层安全策略建立完整的公钥基础设施（PublicKeyInfrastructure，PKI）,它是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务的具有普适性的安全基础设施。18建立这套基础设施的目的是解决网络空间的身份认证与信任问题193.3.3-1电子政务中的内外网隔离三网隔离关系示意图政务内网政府和行业部门公众服务网站（政务外网）互联网物理隔离逻辑隔离203.3.3—1物理隔离是指将两个网络完全断开，使之不发生实际的物理连接。这样一来，网络黑客便无法进入内网。“9.11”恐怖袭击事件后，美国政府提出建立独立于Internet的政府专用网GOVNET。我国电子政务的内网与外网之间采取的是物理隔离。213.3.3—2逻辑隔离是指两个网络之间通过专用的计算机设备连接，这个计算机通过执行一定的安全策略，从而控制两个网络之间信息包的流入和流出。最常用的设备是防火墙。电子政务中的外网与互联网之间即采取逻辑隔离。223.3.4其它安全技术包括1.虚拟专用网络(VPN)2.入侵检测系统（IDS）3.漏洞扫描系统这里不展开讲.23第四部分电子政务安全的管理对策首先是部署完善的电子政务安全管理体系请看示意图24电子政务安全管理体系社会服务体系运行管理体系技术保障体系基础设施平台技术研发防护系统行政管理技术管理安全管理测评认证应急响应教育培训风险管理PKI认证平台法规建设标准建设253.4.2建立安全管理制度用书面的形式对各项要求做出明文规定。包括人员管理、保密、跟踪审计、系统维护、数据备份、病毒定期清理等一系列制度。这些制度是保证电子政务系统正常有序运行的基础，是电子政务人员必须遵守的工作守则。26这里强调一下关于人员管理的四项基本原则1、多人负责原则----每一项与安全有关的活动，都必须有两人或多人在场。2、任期有限原则——任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久的。273是最小权限原则——每个人只负责一种事务，只有一种权限。4、职责分离原则——在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。283.4.3电子政务安全的法律保障电子政务安全的法律保障包括基础性法规建设和标准性法规建设。信息安全法规是信息资源安全管理走向成熟化、正规化和法制化的表现。政务信息公开法的出台说明了我国在电子政务安全管理上正逐渐走向成熟。29近年来，我国信息安全标准化工作发展较快，在国家质量技术监督局的领导下，全国信息化标准委员会及其下属的信息安全分技术委员会在制订我国信息安全标准方面做了大量的工作。30思考题1.电子政务的安全目标是什么？2.完整的电子政务综合安全体系包括哪些内容？当前我国电子政务安全存在的问题主要有哪些？3.简述电子政务的安全威胁的几种类型？4.电子政务服务器的安全问题及对策？5.电子政务内网、外网与互联网之间的隔离关系？316.电子政务中的内网和外网大致包括什么内容？7.简述电子政务安全管理体系的组成？8.简述电子政务安全运作的基本原则？9.电子政务安全管理制度的包括哪些方面？