第08章—电子政务安全体系20110901.ppt

资源描述

《第08章—电子政务安全体系20110901.ppt》由会员分享，可在线阅读，更多相关《第08章—电子政务安全体系20110901.ppt（73页珍藏版）》请在三一文库上搜索。

1、电子政务,机械工业出版社,本章的主要内容：电子政务安全概述；电子政务安全体系框架。本章的学习目标：了解电子政务安全发展的现状；了解电子政务面临的安全问题；掌握电子政务安全管理体系框架组成；理解加密技术、防火墙技术、身份认证等安全技术。,第八章电子政务安全体系,电子政务安全概述,安全现状,产生的原因,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,安全分类,8.1 电子政务安全概述,安全第一,电子政务安全：涉及对国家秘密信息和高度敏感的核心政务的保护；涉及维护公共秩序和行政监督的准确实施；涉及为社会提供公共服务的

2、质量保证。,电子政务安全概述,安全现状,产生的原因,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,安全分类,黑客入侵和犯罪,病毒泛滥和蔓延,信息间谍的潜入和窃密,内部人员的违规和违法操作,电子政府,8.1.1 电子政务安全现状,1）构建电子政务安全管理体系的重要性,电子政务安全概述,安全现状,产生的原因,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,安全分类,取决于,最薄弱环节的安全强度,电子政务系统安全强度,木桶原理,电子政务安全概述,安全现状,产生的原因,电子政务安全运

3、行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,安全分类,2）国内外电子政务安全现状,国外电子政务安全现状,安全组织机构的建设,重视对网络安全基础设施建设和安全技术研发的投入,制定及时、统一的法规政策和标准体系,电子政务安全概述,安全现状,产生的原因,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,安全分类,主要表现,缺乏信息安全保障体系,缺乏关键网络安全产品的自主知识产权,网络安全管理相对落后,缺乏统一的信息安全保障体系，电子政务系统安全存在着严重隐患。,国内电子政务安全现状,电子政务安全概述,

4、安全现状,产生的原因,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,安全分类,8.1.2 电子政务安全问题产生的原因,1）技术保障措施不完善,2）管理体系不健全,3）基础设施建设不健全,电子政务安全概述,安全现状,产生的原因,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,安全分类,1）技术保障措施不完善,（1）计算机系统本身的脆弱性（2）软件系统存在缺陷系统软件本身缺乏安全性应用系统中的安全隐患（3）网络的开放性互联网本身的不安全因素通信线路的开放性网络资源共享存在

5、的安全隐患病毒侵害,电子政务安全概述,安全现状,产生的原因,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,安全分类,2）管理体系不健全,（1）组织及人员风险（2）管理制度不完善（3）安全策略有漏洞（4）缺乏应急体系,电子政务安全概述,安全现状,产生的原因,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,安全分类,3）基础设施建设不健全,（1）法律体系不健全（2）安全标准体系不完整标准的制定水平较低缺乏与的实际情况的结合使用单位对执行标准的认识不足（3）电子政务的信

6、任体系问题（4）社会服务体系问题,电子政务安全概述,安全现状,产生的原因,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,安全分类,8.1.3 电子政务安全分类1 of 2,电子政务面临的安全威胁,非人为的安全威胁,人为的安全威胁,自然灾害,信息技术的漏洞和局限性,内部人员安全威胁,外部人员安全威胁,电子政务安全概述,安全现状,产生的原因,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,安全分类,8.1.3 电子政务安全分类2of 2,恶意安全威胁,内部人员安全威胁,外部人员安全威

7、胁,非恶意安全威胁,被动攻击,主动攻击,邻近攻击,分发攻击,安全需求,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,安全管理体系框架,电子政务安全技术保障体系,政务信息关系到党政部门、乃至整个国家的利益，比个人或商务信息更为敏感，需要更高的安全性。,电子政务行使政府职能的特点导致更容易受到来自外部或内部的攻击。,电子政务信息对安全性要求比较高,8.2.1 电子政务的安全需求1 of 4,电子政务安全概述,安全需求,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,安全管理体系框架,电子政务安全技术保障体系,电子政务安全概述,电子政务的

8、安全需求：保护政务信息资源价值不受侵犯；保证信息资产的拥有者面临最小的风险和获取最大的安全利益；政务的信息基础设施、信息应用服务和信息内容应具有保密性、完整性、真实性、可用性和可控性的能力；确保一个政府部门能够有效地完成法律所赋予的政府职能。,8.2.1 电子政务的安全需求2 of 4,安全需求,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,安全管理体系框架,电子政务安全技术保障体系,电子政务安全概述,8.2.1 电子政务的安全需求3of 4,安全需求的具体表现,1）信息的真实性保证接收方获得的信息是从发送方发出的真实信息，即对信息的来源进行判断，能对

9、伪造来源的信息予以鉴别。,2）信息的保密性信息不泄露给非授权的用户、实体或过程，或供其利用的特性，即只有那些被授予特定权限的人才能够访问信息。,安全需求,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,安全管理体系框架,电子政务安全技术保障体系,电子政务安全概述,8.2.1 电子政务的安全需求4 of 4,3）信息的完整性指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。,4）信息的不可否认性信息的发送者和接收者无法否认自己发送或接收信息的行为，即对出现的网络安全问题能提供调查的依据和手段。,5）信息的可用性是指

10、可被授权实体访问并按需求使用的特性，即当已被授权的用户需要时，应能存取所需的信息。,安全需求,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,安全管理体系框架,电子政务安全技术保障体系,电子政务安全概述,8.2.2 电子政务安全管理体系框架,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,8.3 电子政务安全技术保障体系,物理安全,网络安全,系统及应用安全,技术保障体系,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务

11、安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,8.3.1 物理安全,物理安全,线路设备安全,环境安全,存储媒体安全,物理安全是指保证对物理设施的合法访问，避免人为破坏，并将自然灾难的影响降到最低。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,8.3.2 网络安全,1）逻辑隔离和物理隔离,2）加密系统,3）防火墙,4）交换机、路由器安全,网络安全指网络通信的安全性，政府内网、外网和公网之间的隔离，界定访问权限等。,电子政务安全运行管理体系,基础设施平台,

12、社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,物理隔离,政府内网,政府外网,互联网,逻辑隔离,1）逻辑隔离和物理隔离,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,2）加密系统1 of 3,源文件（明文）,解密后的信息（明文）,加密后的信息（密文）,加密后的信息（密文）,密钥加密,因特网,密钥解密,数据加密过程,加密技术是最基本的安全技术，是实现信息保密性的一种重要手段，其目的是为了防止非法用户获取信息系统中

13、的机密信息。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,2）加密系统2of 3,加密系统两种基本的形式：对称密钥加密技术非对称密钥加密技术,（1）对称密钥加密技术对称加密系统，也称为私有密钥加密系统。对称加密，是指使用同一把密钥对信息加密、解密。常用的私钥密码技术：流密码技术分组密码技术,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,2）加密系统3of 3,

14、（2）对称密钥加密技术非对称加密又称为公开密钥加密，与对称密钥系统相比，公开密钥加密技术需要使用一对相关的密钥：一个用来加密，另一个用来解密。公开密钥系统两种基本的模式：加密模式验证模式,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,3）防火墙1of 4,防火墙（firewall）是指一个由软件或软件和硬件设备组合而成，处于内网与外网之间，用来加强互联网与内部网络之间安全防范的一个或一组系统。作用：限制外界用户对企业内部网络访问及管理内部用户访问外部服务。,防火墙的安全策略

15、一切未被允许的都是禁止的一切未被禁止的都是允许的,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,3）防火墙2of4,防火墙的分类,共同缺点：依赖特定的逻辑判断是否允许数据包通过，不利于抗击非法访问和攻击。,针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。,数据包过滤防火墙,代理服务器型防火墙,应用级网关型防火墙,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务

16、安全概述,物理安全,网络安全,系统及应用安全,3）防火墙3of 4,代理获得客户机和服务器之间通信的全部控制权,代理服务器的工作原理,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,3）防火墙4of 4,防火墙的局限性,不能阻止来自内部的破坏,不能保护绕过它的连接,不能防止病毒,无法完全防止新出现的网络威胁,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,4）交换机、路由器安全

17、,交换机是第二层设备，用于连接局域网分段，利用MAC地址表来转发数据帧。交换机安全包括端口安全、专用VLAN安全等。,路由器工作在第三层，是广域网互联设备。路由器提供的安全功能更多也更复杂，包括访问控制、网络地址转换、身份验证、流量过滤、配置VPN、日志功能等。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,8.3.3 系统及应用安全,系统及应用安全主要是要保证操作系统和应用服务的安全性。保障系统及应用安全的方法和技术主要有：入侵检测系统防病毒系统漏洞扫描系统安全认证,电

18、子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,1）入侵检测系统1of 2,入侵检测系统（Intrusion Detection Systems，IDS）是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。,分布式入侵检测系统,入侵检测系统的类型,基于网络的入侵检测系统,基于主机的入侵检测系统,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,

19、电子政务安全概述,物理安全,网络安全,系统及应用安全,完整性校验,基于异常的检测,基于特征的检测,1）入侵检测系统2of 2,入侵检测系统的主要功能监测并分析用户和系统的活动核查系统配置和漏洞评估系统关键资源和数据文件的完整性识别已知的攻击行为统计分析异常行为操作系统日志管理,入侵检测的方法,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,2）防病毒系统1of 2,防病毒技术分为主机防病毒和网络防病毒：主机防病毒主要是安装防病毒软件，对电脑文件访问实时监测，发现病毒就立

20、即清除或修复。网络防病毒通常由安全提供商提供一整套的解决方案，针对网络进行全面的防护。,计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,2）防病毒系统2of 2,计算机病毒的特点：主动传染性、隐藏性、欺骗性、破坏性、衍生性。,计算机病毒的防治方法：构建综合的安全体系采用多层防御体系防毒与网络管理集成在网关、服务器上防毒及时更新防毒软件,电子政

21、务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,漏洞扫描系统能够帮助了解系统存在的安全漏洞，采取相应的防范措施，从而降低安全风险。,3）漏洞扫描系统,漏洞扫描系统的功能：动态分析系统的安全漏洞；检查用户网络中的安全隐患，发布检测报告；提供有关漏洞的详细信息和最佳解决对策；杜绝漏洞、降低风险，防患于未然。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,用户访问系统之前经过身份

22、认证系统，监控器根据用户身份和授权数据库决定用户能否访问某个资源。,4）安全认证1of 4,电子政务系统必须建立基于CA认证体制的身份认证系统。,数字证书的概念：由权威公正的第三方机构即CA中心签发的包含公开密钥拥有者信息以及公开密钥的文件，可以用来证明数字证书持有者的真实身份。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,4）安全认证2of 4,数字证书的格式遵循ITU-T X.509标准。该标准是为了保证使用数字证书的系统间的互操作性而制定的。,数字证书的作用：信息除发送方

23、和接收方外不被其他人窃取；信息在传输过程中不被篡改；发送方能通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖；信息自数字签名后到收到为止，未曾作过任何修改，签发的文件是真实文件。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,4）安全认证3of 4,数字证书的类型：个人数字证书服务器证书开发者证书,数字证书生成的一般步骤,信息检索,信息验证,证书生成,证书公布,证书发放,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务

24、安全技术保障体系,电子政务安全概述,物理安全,网络安全,系统及应用安全,4）安全认证4of 4,认证中心概念：认证中心CA又称认证机构，是承担网上认证服务，能签发数字证书并能确认用户身份的受大家信任的第三方机构。 CA的主要任务: 受理数字证书的申请、签发及对数字证书进行管理。,CA的功能：证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,行政管理,安全技术管理,风险管理,8.4 电子政务安全运行管理体系,行政管理,安全技术管理,风险管理,运行管理体系,电子

25、政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,行政管理,安全技术管理,风险管理,建立安全组织机构,安全人事管理,制定和落实安全管理制度,安全行政管理,8.4.1 行政管理,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,行政管理,安全技术管理,风险管理,1）建立安全组织机构1of 2,电子政务的安全必须由特定的安全组织进行管理。这种安全组织机构应该独立于信息部门，直接隶属于各地方的最高政府机关。安全组织机构的主要职责：对整个电子政务系统进行整体的

26、安全规划，制定整体的安全解决方案；制定安全管理制度，权责分明；实时监控网络的安全性，监督安全方案实施情况，根据出现的问题漏洞，及时修改、补充安全方案。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,行政管理,安全技术管理,风险管理,1）建立安全组织机构2of 2,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,行政管理,安全技术管理,风险管理,2）安全人事管理,安全人事管理安全人事管理就是对组织人员进行管理。安全人事管理的主要内容: 人事

27、审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,行政管理,安全技术管理,风险管理,3）制定和落实安全管理制度,安全管理制度保障安全管理的有效实施，规范安全管理人员的行为，降低人为因素造成的安全隐患。安全管理制度包括: 系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度，以及对外

28、合作制度等。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,行政管理,安全技术管理,风险管理,8.4.2 安全技术管理1of 3,（1）硬件实体的安全管理目的：保护计算机和网络设备、设施免遭地震、水灾、火灾以及人为等因素的破坏。主要涉及：环境安全设备安全存储媒体安全,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,行政管理,安全技术管理,风险管理,8.4.2 安全技术管理2of 3,（2）软件系统的安全管理包括：保护软件系统的完整性，

29、防止软件丢失、被破坏、被篡改、被伪造；保证软件的存储安全，保障软件的安全传输、加密传输、安全下载、用户识别等要素；保障软件的合法使用和合理使用、用户合法性的管理、授权访问、系统的访问控制、防止软件滥用、防止被窃取被非法复制、按规程操作等。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,行政管理,安全技术管理,风险管理,8.4.2 安全技术管理3of 3,（3）密钥管理包括：系统的初始化、密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销、销毁等内容。安全的密钥管理要求：密钥难以窃取；密钥

30、有使用范围和使用时间的限制；密钥的分配和更换过程对用户透明，而用户不需要亲自掌管密钥。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,行政管理,安全技术管理,风险管理,8.4.3 风险管理,安全风险管理包括的阶段：安全风险评估安全风险控制,风险管理（Risk Management）是指以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,行政管理,安全技术管理,风险管理,安全

31、风险评估安全风险评估是确定电子政务系统面临的风险级别的过程，是风险控制的前提和基础。风险评估阶段的基本实施步骤：识别风险进行风险度量确定风险级别制定相应的风险管理策略,1）安全风险评估,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,行政管理,安全技术管理,风险管理,安全风险控制安全风险控制是根据风险评估阶段的结果，采取规避、转移和降低等手段，对已标识的风险采取相应的措施，将电子政务系统的安全风险降低到可接受的水平，并保持对系统其他功能的影响最低。安全风险控制的主要步骤：选择风险控制手段风险规避

32、实施必要的风险转移措施尽可能降低威胁的影响程度对剩余风险的接受,2）安全风险控制,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,法规基础设施,安全标准建设,PKI/PMI认证平台,法规基础设施,安全标准建设,PKI/PMI认证平台,基础设施平台,8.5 基础设施平台,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,法规基础设施,安全标准建设,PKI/PMI认证平台,8.5.1 法规基础设施,世界上很多国家制定了与网络安全相关的法律法规，如英国

33、的官方信息保护法等。中国颁发了一些与网络安全有关的法律法规，如计算机信息系统安全保护条例、计算机信息系统保密管理暂行规定等。在完善法律法规的同时，还应该加大执法力度，严格执法。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,法规基础设施,安全标准建设,PKI/PMI认证平台,（1）对各类法律主体的有关信息活动涉及国家安全的权利和义务进行规范，形成国家关于信息及信息安全的总则性、普适性的法规体系。（2）针对各类计算机和网络犯罪，制订直接约束各社会成员的信息活动的行为规范，形成计算机、网络犯罪监察与防范体系。（3）对

34、信息安全技术、信息安全产品（系统）的授权审批应制订相应的规定，形成信息安全审批与监控体系。（4）针对信息内容的安全与保密问题，制订相应规定，形成信息内容的审批、监控、保密体系。（5）从国家安全的角度，制订网络信息预警与反击体系等。,法规建设的几个主要方面：,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,法规基础设施,安全标准建设,PKI/PMI认证平台,8.5.2 安全标准建设,中国信息安全标准化工作起步较晚，但是近10年来发展较快，在国家质量技术监督局领导下，全国信息化标准委员会及其下属的信息安全分技术委员会在制

35、订中国信息安全标准方面做了大量的工作，国标、国军标、行业标准对信息安全领域均有涉及，初步形成了中国信息安全测评认证的基础。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,法规基础设施,安全标准建设,PKI/PMI认证平台,8.5.3 PKI/PMI认证平台,PKI提供智能化的信任服务； PMI构成授权管理平台，在PKI信息安全平台的基础上提供智能化的授权服务。 PKI/PMI认证平台为电子政务提供了一整套的、遵循标准的密钥管理基础平台，为用户安全访问电子政务系统提供了可靠的保证。,国家信息安全基础设施（NISI）的组成

36、：公开密钥基础设施（PKI）授权管理基础设施（PMI）,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,法规基础设施,安全标准建设,PKI/PMI认证平台,1）公开密钥基础设施（PKI） 1 of 3,（1）公钥基础设施（Public Key Infrastructure，PKI）又叫公钥体系，是一种利用公钥加密技术为电子商务、电子政务提供一套安全基础平台的技术和规范。 PKI基础设施采用数字证书来管理公钥，通过第三方的可信任机构认证机构（CA），把用户的公钥和用户的其他标识信息捆绑在一起，提供身份验证机制。,电子

37、政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,法规基础设施,安全标准建设,PKI/PMI认证平台,（2）PKI的基本组成完整PKI系统由认证机构、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等构成。 PKI各组成部分的功能：认证机构：数字证书的申请及签发机关，CA必须具备权威性的特征；数字证书库：用于存储已签发的数字证书及公钥；密钥备份及恢复系统：对加密系统的密码进行备份和恢复；证书作废系统：证书密钥的丢失或证书作废的处理；应用接口（API）：使PKI与其它应用交互。,1）公开密钥基础设施

38、（PKI） 2 of 3,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,法规基础设施,安全标准建设,PKI/PMI认证平台,PKI应用的范围及中心作用,（3）PKI的应用,1）公开密钥基础设施（PKI） 3 of 3,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,法规基础设施,安全标准建设,PKI/PMI认证平台,（1）授权管理基础设施（PMI）国家信息安全基础设施（NISI）的一个重要组成部分。目标是向用户和应用程序提供授权管理服务，提供

39、用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。 PMI是一个由属性证书、属性权限、属性证书库等部件构成的综合系统，用来实现权限和证书的产生、管理、存储、分发和撤销等。,2）授权管理基础设施（PMI） 1 of 4,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,法规基础设施,安全标准建设,PKI/PMI认证平台,（2）PMI与PKI的比较 PMI提出了一个新的信息保护基础设施，能够与PKI和目录服务紧密地集成，并系统地建立起

40、对认可用户的特定授权，对权限管理进行了系统的定义和描述，完整地提供了授权服务所需过程。 PKI与PMI之间的比较如下：解决的问题不同证书不同管理部门不同体系结构类似,2）授权管理基础设施（PMI） 2 of 4,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,法规基础设施,安全标准建设,PKI/PMI认证平台,2）授权管理基础设施（PMI） 3 of 4,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,法规基础设施,安全标准建设,PKI

41、/PMI认证平台,（3）PMI在电子政务中的应用授权管理基础设施（PMI）以一个身份鉴别体系（如PKI体系）为基础，向应用系统提供全面统一的授权管理和访问控制服务。 PMI主要提供分布式计算环境中应用系统的访问控制功能，通过将访问控制机制从具体应用系统的开发和管理中分离出来，使访问控制机制与应用系统之间能灵活而方便地结合和使用。,2）授权管理基础设施（PMI） 4 of 4,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,安全管理服务,安全测评服务,应急响应服务,安全教育培训服务,安全管理服务,安全测评服务,应急响应

42、服务,社会服务体系,8.6 社会服务体系,安全教育培训服务,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,安全管理服务,安全测评服务,应急响应服务,安全教育培训服务,8.6.1 安全管理服务,安全管理服务提供商（MSSP）提供由网络安全专家、专业的网络安全工具和安全管理策略组成的完整的安全解决方案。（1）MSSP服务的内容：安全咨询服务安全技术管理服务数据安全分析服务安全管理评估服务（2）MSSP的特点：是介于客户与产品之间的桥梁最终目的是让客户的成功最大化提供的是本地化的安全产品全系列的服务,电

43、子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,安全管理服务,安全测评服务,应急响应服务,安全教育培训服务,8.6.2 安全测评服务,测评认证：由一个中立的权威机构，通过科学、规范、公正的测试和评估向消费者、购买者即需方，证实生产者或供方所提供的产品和服务，符合公开、客观和先进的标准。政府对测评认证的控制：市场准入控制安全产品认证核心技术控制管理体制建设,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,安全管理服务,安全测评服务,应急响应

44、服务,安全教育培训服务,应急响应服务是计算机或网络系统遇到突发性安全事件（如黑客入侵、网络恶意攻击、病毒感染和破坏等）时，所能够提供的紧急的响应和快速的救援与恢复服务。,（1）应急管理的步骤：,监测,响应,恢复,8.6.3 应急响应服务 1 of 2,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,安全管理服务,安全测评服务,应急响应服务,安全教育培训服务,8.6.3 应急响应服务 2of 2,（2）应急管理体系的建设,国家计算机网络应急技术处理协调中心（CNCERT/CC）简称“国家互联网应急中心”，负责协调我国各计

45、算机网络安全事件应急小组共同处理国家公共互联网上的安全紧急事件，为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网安全的权威性信息，组织国内计算机网络安全应急组织进行国际合作和交流。,电子政务安全运行管理体系,基础设施平台,社会服务体系,电子政务安全体系框架,电子政务安全技术保障体系,电子政务安全概述,安全管理服务,安全测评服务,应急响应服务,安全教育培训服务,8.6.4 安全教育培训服务,专业型教育专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。,应用型教育

46、以从事现代信息管理工作的人作为对象，培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。,安全素养教育面向所有的社会成员，通过课程、讲座、宣传等多种形式，达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。,小结,由于电子政务安全的重要性，电子政务必须建立在一个完整的、多层次的安全体系之上，那么构建一个合理的电子政务安全管理体系尤为重要。电子政务安全问题产生的原因：技术保障措施不完善、管理体系不健全、基础设施建设不健全、社会服务体系问题。电子政务面临的安全威胁分为两类：非人为的安全威胁和人为产生的安全威胁。电子政务

47、安全需求的具体表现：信息的真实性、信息的保密性、信息的完整性、信息的不可否认性和信息的可用性。电子政务安全管理体系框架包括技术保障体系、运行管理体系、基础设施平台和社会服务体系四个方面。,小结,技术保障体系涉及：物理安全、网络安全和系统及应用安全。物理安全包括：环境安全、线路设备安全和存储媒体安全。网络安全指网络通信的安全性，政府内网、外网和公网之间的隔离，界定访问权限等。系统及应用安全要保证操作系统和应用服务的安全性。运行管理体系涉及：行政管理、安全技术管理和风险管理。行政管理包括：建立安全组织机构、安全人事管理、制定和落实安全管理制度。安全技术管理涉及：硬件实体的安全管理、软件系统的安全管理和密钥管理。安全风险管理包括风险评估和风险控制两个阶段。安全基础设施平台涉及：电子政务安全法规、电子政务安全标准、PKI认证平台三个部分；社会服务体系涉及安全管理、测评认证、应急响应和教育培训四部分。,欢迎交流！,

展开阅读全文