1、1第第8 8章章 电子政务安全管理电子政务安全管理28.1 8.1 电子政务的安全需求电子政务的安全需求一、电子政务的安全环境与安全威胁一、电子政务的安全环境与安全威胁电子政务的安全环境涵盖了与社会普遍相关的电子政务的安全环境涵盖了与社会普遍相关的基础信息网络安全的基本要素。基础信息网络安全的基本要素。电子政务安全威胁来源:电子政务安全威胁来源:1 1、人为因素人为因素2 2、技术系统因素、技术系统因素3 3、安全管理因素、安全管理因素4 4、自然因素、自然因素3黑客入侵黑客入侵1995.71995.7,黑客,黑客“闯入闯入”法国海军参谋部的计算法国海军参谋部的计算机系统,窃走包括几百艘军舰的
2、声音识别码及机系统,窃走包括几百艘军舰的声音识别码及舰只航行图等军事机密。舰只航行图等军事机密。1999.21999.2,一些手段高明的电脑黑客侵入了英国,一些手段高明的电脑黑客侵入了英国的军事卫星通信系统,并通过该系统操纵了的军事卫星通信系统,并通过该系统操纵了4 4颗军用卫星中的一颗,修改了这颗卫星的正常颗军用卫星中的一颗,修改了这颗卫星的正常工作内容。工作内容。4网络攻击网络攻击20102010年年1 1月月1212日早上,搜索引擎网站百度被发日早上,搜索引擎网站百度被发现无法打开,网站处于无法访问状态,未出现现无法打开,网站处于无法访问状态,未出现任何提示消息。早任何提示消息。早8 8
3、点多,点多,被定被定向到一个向到一个“Iranian Cyber ArmyIranian Cyber Army”(伊朗网军(伊朗网军)网页上。)网页上。5网络间谍网络间谍在多国谍报机构中,纷纷成立了在多国谍报机构中,纷纷成立了“公开信息中公开信息中心心”,其任务就是每天在全球各个网站、论坛,其任务就是每天在全球各个网站、论坛里搜集各种军事情报。某国谍报机构声称,在里搜集各种军事情报。某国谍报机构声称,在该国获得的情报中,约该国获得的情报中,约80%80%来自公开信息,而来自公开信息,而起中又有近一半信息来自互联网。起中又有近一半信息来自互联网。6管理人员操作疏忽管理人员操作疏忽某大学网络故障,
4、不能连接外网,学生们于是某大学网络故障,不能连接外网,学生们于是转向内部网络访问,学生们忽然在内部网上发转向内部网络访问,学生们忽然在内部网上发现某部门将某文件共享并未设置密码,学生将现某部门将某文件共享并未设置密码,学生将它贴到学生它贴到学生BBSBBS网站上,虽网站上,虽2020分钟后就被删除分钟后就被删除,由于信息过于敏感成为当天最热门的信息,由于信息过于敏感成为当天最热门的信息,并迅速传播。并迅速传播。7二、电子政务安全方面的需要和要求二、电子政务安全方面的需要和要求1 1、保障电子政务整体有效运行和行政秩序的、保障电子政务整体有效运行和行政秩序的需求。需求。2 2、保障基础设施安全的
5、需求。、保障基础设施安全的需求。3 3、保障电子政务系统运行安全的需求。、保障电子政务系统运行安全的需求。4 4、保障政务信息资源安全的需求。、保障政务信息资源安全的需求。88.2 8.2 电子政务安全管理电子政务安全管理一、电子政务安全目标一、电子政务安全目标保护政务信息资源价值不受侵犯,保证政务活保护政务信息资源价值不受侵犯,保证政务活动主体面临最小的风险和获取最大的安全利益动主体面临最小的风险和获取最大的安全利益,使政务的信息基础设施、政务信息应用与政,使政务的信息基础设施、政务信息应用与政务服务体系能够抵御侵害,并具有保密性、完务服务体系能够抵御侵害,并具有保密性、完整性、真实性、可用
6、性和可控性等安全能力,整性、真实性、可用性和可控性等安全能力,保障政务活动安全。保障政务活动安全。91 1、通过技术自主化保障安全、通过技术自主化保障安全2 2、保护信息资源、保护信息资源3 3、持续安全保障、持续安全保障4 4、电子政务功能指标、电子政务功能指标10二、电子政务的安全管理体系二、电子政务的安全管理体系电子政务的安全管理体系是一项系统工程,保电子政务的安全管理体系是一项系统工程,保障电子政务的安全不是障电子政务的安全不是仅仅依靠技术,关键在仅仅依靠技术,关键在于管理于管理。国家层面的安全管理国家层面的安全管理使用单位的安全管理使用单位的安全管理11管理体系:管理体系:1 1)
7、通过建设电子政务的安全基础设施来保障通过建设电子政务的安全基础设施来保障电子政务的安全。电子政务的安全。2 2)建立电子政务的技术保障体系,通过安全)建立电子政务的技术保障体系,通过安全技术的应用和维护来保障电子政务系统的安全技术的应用和维护来保障电子政务系统的安全。3 3)对电子政务系统的运行进行安全管理。)对电子政务系统的运行进行安全管理。4 4)建立社会服务体系以实现电子政务的安全)建立社会服务体系以实现电子政务的安全。12三、电子政务安全管理策略三、电子政务安全管理策略电子政务安全的总体策略是:电子政务安全的总体策略是:国家主导、社会国家主导、社会参与,全局治理、积极防御,等级保护、保
8、障参与,全局治理、积极防御,等级保护、保障发展。发展。13我国电子政务信息安全保护等级我国电子政务信息安全保护等级自主保护级自主保护级指导保护级指导保护级监督保护级监督保护级强制保护级强制保护级专控保护级专控保护级148.3 8.3 电子政务安全管理实施电子政务安全管理实施一、电子政务安全的行政管理一、电子政务安全的行政管理1 1、安全组织机构、安全组织机构2 2、安全人事管理、安全人事管理3 3、安全责任制度、安全责任制度4 4、安全教育培训、安全教育培训15二、电子政务安全的技术管理二、电子政务安全的技术管理1 1、实体安全管理、实体安全管理2 2、软件系统管理、软件系统管理3 3、密钥管
9、理、密钥管理16三、电子政务安全的风险管理三、电子政务安全的风险管理目的目的:保障政府组织活动的正常运转,而非仅:保障政府组织活动的正常运转,而非仅仅保证其中的仅保证其中的ITIT资产的安全。资产的安全。风险管理风险管理:以可接受的费用识别、控制、降低:以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。或消除可能影响信息系统的安全风险的过程。包括包括风险评估、风险控制风险评估、风险控制两个阶段。两个阶段。17一、安全风险评估一、安全风险评估是确定电子政务系统面临的风险级别的过程,是确定电子政务系统面临的风险级别的过程,是风险控制的前提和基础。是风险控制的前提和基础。识别风险
10、识别风险风险度量风险度量风险级别风险级别管理策略管理策略18二、风险控制二、风险控制采用一定的方法和手段将电子政务系统的安全采用一定的方法和手段将电子政务系统的安全风险降低到可接受的水平。风险降低到可接受的水平。三、应急响应三、应急响应是计算机或网络系统遇到突发性安全事件时所是计算机或网络系统遇到突发性安全事件时所能够提供的紧急响应、快速救援与恢复服务。能够提供的紧急响应、快速救援与恢复服务。198.4 8.4 安全保障技术安全保障技术安全保障技术主要包括安全保障技术主要包括电子政务安全保护电子政务安全保护和和电子政务安全防范电子政务安全防范两大技术。两大技术。一、电子政务安全保护技术一、电子
11、政务安全保护技术数据加密技术数据加密技术信息隐藏技术信息隐藏技术安全认证技术安全认证技术202122二、电子政务安全防范技术二、电子政务安全防范技术反病毒系统反病毒系统防火墙系统防火墙系统虚拟专用网络虚拟专用网络入侵检测系统入侵检测系统物理隔离系统物理隔离系统2324本章小结本章小结本章介绍了电子政务活动面临的安全威胁本章介绍了电子政务活动面临的安全威胁和由此产生的安全需要,探讨了电子政务和由此产生的安全需要,探讨了电子政务安全管理的目标、管理体系和基本管理策安全管理的目标、管理体系和基本管理策略,讨论了电子政务安全管理实施的若干略,讨论了电子政务安全管理实施的若干要点,最后简要地介绍了电子政务安全管要点,最后简要地介绍了电子政务安全管理所涉及的若干技术。理所涉及的若干技术。25
