《電子政務(wù)安全體系》PPT課件.ppt

1、電子政務(wù),機械工業(yè)出版社,本章的主要內(nèi)容： 電子政務(wù)安全概述； 電子政務(wù)安全體系框架。 本章的學習目標： 了解電子政務(wù)安全發(fā)展的現(xiàn)狀 ； 了解電子政務(wù)面臨的安全問題 ； 掌握電子政務(wù)安全管理體系框架組成； 理解加密技術(shù)、防火墻技術(shù)、身份認證等安全技術(shù) 。,第八章 電子政務(wù)安全體系,電子政務(wù)安全概述,安全現(xiàn)狀,產(chǎn)生的原因,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,安全分類,8.1 電子政務(wù)安全概述,安全第一,電子政務(wù)安全： 涉及對國家秘密信息和高度敏感的核心政務(wù)的保護； 涉及維護公共秩序和行政監(jiān)督的準確實施； 涉及為社會提供公共服務(wù)的

2、質(zhì)量保證。,電子政務(wù)安全概述,安全現(xiàn)狀,產(chǎn)生的原因,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,安全分類,黑客入侵和犯罪,病毒泛濫和蔓延,信息間諜的潛入和竊密,內(nèi)部人員的違規(guī)和違法操作,電子 政府,8.1.1 電子政務(wù)安全現(xiàn)狀,1）構(gòu)建電子政務(wù)安全管理體系的重要性,電子政務(wù)安全概述,安全現(xiàn)狀,產(chǎn)生的原因,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,安全分類,取決于,最薄弱環(huán)節(jié)的 安全強度,電子政務(wù)系統(tǒng) 安全強度,木桶原理,電子政務(wù)安全概述,安全現(xiàn)狀,產(chǎn)生的原因,電子政務(wù)安全運

3、行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,安全分類,2）國內(nèi)外電子政務(wù)安全現(xiàn)狀,國外電子政務(wù)安全現(xiàn)狀,安全組織機構(gòu)的建設(shè),重視對網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)和安全技術(shù)研發(fā)的投入,制定及時、統(tǒng)一的法規(guī)政策和標準體系,電子政務(wù)安全概述,安全現(xiàn)狀,產(chǎn)生的原因,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,安全分類,主要表現(xiàn),缺乏信息安全保障體系,缺乏關(guān)鍵網(wǎng)絡(luò)安全產(chǎn)品的自主知識產(chǎn)權(quán),網(wǎng)絡(luò)安全管理相對落后,缺乏統(tǒng)一的信息安全保障體系，電子政務(wù)系統(tǒng)安全存在著嚴重隱患。,國內(nèi)電子政務(wù)安全現(xiàn)狀,電子政務(wù)安全概述,

4、安全現(xiàn)狀,產(chǎn)生的原因,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,安全分類,8.1.2 電子政務(wù)安全問題產(chǎn)生的原因,1）技術(shù)保障措施不完善,2）管理體系不健全,3）基礎(chǔ)設(shè)施建設(shè)不健全,電子政務(wù)安全概述,安全現(xiàn)狀,產(chǎn)生的原因,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,安全分類,1）技術(shù)保障措施不完善,（1）計算機系統(tǒng)本身的脆弱性 （2）軟件系統(tǒng)存在缺陷 系統(tǒng)軟件本身缺乏安全性 應(yīng)用系統(tǒng)中的安全隱患 （3）網(wǎng)絡(luò)的開放性 互聯(lián)網(wǎng)本身的不安全因素 通信線路的開放性 網(wǎng)絡(luò)資源共享存在

5、的安全隱患 病毒侵害,電子政務(wù)安全概述,安全現(xiàn)狀,產(chǎn)生的原因,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,安全分類,2）管理體系不健全,（1）組織及人員風險 （2）管理制度不完善 （3）安全策略有漏洞 （4）缺乏應(yīng)急體系,電子政務(wù)安全概述,安全現(xiàn)狀,產(chǎn)生的原因,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,安全分類,3）基礎(chǔ)設(shè)施建設(shè)不健全,（1）法律體系不健全 （2）安全標準體系不完整 標準的制定水平較低 缺乏與的實際情況的結(jié)合 使用單位對執(zhí)行標準的認識不足 （3）電子政務(wù)的信

6、任體系問題 （4）社會服務(wù)體系問題,電子政務(wù)安全概述,安全現(xiàn)狀,產(chǎn)生的原因,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,安全分類,8.1.3 電子政務(wù)安全分類1 of 2,電子政務(wù)面臨的安全威脅,非人為的安全威脅,人為的安全威脅,自然災(zāi)害,信息技術(shù)的漏洞和局限性,內(nèi)部人員安全威脅,外部人員安全威脅,電子政務(wù)安全概述,安全現(xiàn)狀,產(chǎn)生的原因,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,安全分類,8.1.3 電子政務(wù)安全分類2of 2,惡意安全威脅,內(nèi)部人員安全威脅,外部人員安全威

7、脅,非惡意安全威脅,被動攻擊,主動攻擊,鄰近攻擊,分發(fā)攻擊,安全需求,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系框架,安全管理體系框架,電子政務(wù)安全技術(shù)保障體系,政務(wù)信息關(guān)系到黨政部門、乃至整個國家的利益，比個人或商務(wù)信息更為敏感，需要更高的安全性。,電子政務(wù)行使政府職能的特點導致更容易受到來自外部或內(nèi)部的攻擊 。,電子政務(wù)信息對安全性要求比較高,8.2.1 電子政務(wù)的安全需求1 of 4,電子政務(wù)安全概述,安全需求,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,安全管理體系框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,電子政務(wù)的

8、安全需求： 保護政務(wù)信息資源價值不受侵犯； 保證信息資產(chǎn)的擁有者面臨最小的風險和獲取最大的安全利益； 政務(wù)的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容應(yīng)具有保密性、完整性、真實性、可用性和可控性的能力； 確保一個政府部門能夠有效地完成法律所賦予的政府職能。,8.2.1 電子政務(wù)的安全需求2 of 4,安全需求,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,安全管理體系框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,8.2.1 電子政務(wù)的安全需求3of 4,安全需求的具體表現(xiàn),1）信息的真實性 保證接收方獲得的信息是從發(fā)送方發(fā)出的真實信息，即對信息的來源進行判斷，能對

9、偽造來源的信息予以鑒別。,2）信息的保密性 信息不泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性，即只有那些被授予特定權(quán)限的人才能夠訪問信息。,安全需求,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,安全管理體系框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,8.2.1 電子政務(wù)的安全需求4 of 4,3）信息的完整性 指數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。,4）信息的不可否認性 信息的發(fā)送者和接收者無法否認自己發(fā)送或接收信息的行為，即對出現(xiàn)的網(wǎng)絡(luò)安全問題能提供調(diào)查的依據(jù)和手段。,5）信息的可用性 是指

10、可被授權(quán)實體訪問并按需求使用的特性，即當已被授權(quán)的用戶需要時，應(yīng)能存取所需的信息。,安全需求,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,安全管理體系框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,8.2.2 電子政務(wù)安全管理體系框架,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,8.3 電子政務(wù)安全技術(shù)保障體系,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,技術(shù)保障體系,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)

11、安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,8.3.1 物理安全,物理安全,線路設(shè)備安全,環(huán)境安全,存儲媒體安全,物理安全 是指保證對物理設(shè)施的合法訪問，避免人為破壞，并將自然災(zāi)難的影響降到最低。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,8.3.2 網(wǎng)絡(luò)安全,1）邏輯隔離和物理隔離,2）加密系統(tǒng),3）防火墻,4）交換機、路由器安全,網(wǎng)絡(luò)安全 指網(wǎng)絡(luò)通信的安全性，政府內(nèi)網(wǎng)、外網(wǎng)和公網(wǎng)之間的隔離，界定訪問權(quán)限等。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,

12、社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,物理隔離,政府內(nèi)網(wǎng),政府外網(wǎng),互聯(lián)網(wǎng),邏輯隔離,1）邏輯隔離和物理隔離,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,2）加密系統(tǒng)1 of 3,源文件 （明文 ）,解密后的信息（明文）,加密后的信息（密文）,加密后的信息（密文）,密鑰加密,因特網(wǎng),密鑰解密,數(shù)據(jù)加密過程,加密技術(shù)是最基本的安全技術(shù)，是實現(xiàn)信息保密性的一種重要手段，其目的是為了防止非法用戶獲取信息系統(tǒng)中

13、的機密信息。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,2）加密系統(tǒng)2of 3,加密系統(tǒng)兩種基本的形式： 對稱密鑰加密技術(shù) 非對稱密鑰加密技術(shù),（1）對稱密鑰加密技術(shù) 對稱加密系統(tǒng)，也稱為私有密鑰加密系統(tǒng)。對稱加密，是指使用同一把密鑰對信息加密、解密。 常用的私鑰密碼技術(shù)： 流密碼技術(shù) 分組密碼技術(shù),電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,2）加密系統(tǒng)3of 3,

14、（2）對稱密鑰加密技術(shù) 非對稱加密又稱為公開密鑰加密，與對稱密鑰系統(tǒng)相比，公開密鑰加密技術(shù)需要使用一對相關(guān)的密鑰：一個用來加密，另一個用來解密。 公開密鑰系統(tǒng)兩種基本的模式： 加密模式 驗證模式,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,3）防火墻1of 4,防火墻（firewall）是指一個由軟件或軟件和硬件設(shè)備組合而成，處于內(nèi)網(wǎng)與外網(wǎng)之間，用來加強互聯(lián)網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間安全防范的一個或一組系統(tǒng)。 作用：限制外界用戶對企業(yè)內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外部服務(wù)。,防火墻的安全策略

15、 一切未被允許的都是禁止的 一切未被禁止的都是允許的,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,3）防火墻2of4,防火墻的分類,共同缺點：依賴特定的邏輯判斷是否允許數(shù)據(jù)包通過，不利于抗擊非法訪問和攻擊。,針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。,數(shù)據(jù)包過濾防火墻,代理服務(wù)器型防火墻,應(yīng)用級網(wǎng)關(guān)型防火墻,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)

16、安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,3）防火墻3of 4,代理獲得客戶機和服務(wù)器之間通信的全部控制權(quán),代理服務(wù)器的工作原理,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,3）防火墻4of 4,防火墻的局限性,不能阻止來自內(nèi)部的破壞,不能保護繞過它的連接,不能防止病毒,無法完全防止新出現(xiàn)的網(wǎng)絡(luò)威脅,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,4）交換機、路由器安全

17、,交換機是第二層設(shè)備，用于連接局域網(wǎng)分段，利用MAC地址表來轉(zhuǎn)發(fā)數(shù)據(jù)幀。交換機安全包括端口安全、專用VLAN安全等。,路由器工作在第三層，是廣域網(wǎng)互聯(lián)設(shè)備。路由器提供的安全功能更多也更復雜，包括訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換、身份驗證、流量過濾、配置VPN、日志功能等。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,8.3.3 系統(tǒng)及應(yīng)用安全,系統(tǒng)及應(yīng)用安全 主要是要保證操作系統(tǒng)和應(yīng)用服務(wù)的安全性。 保障系統(tǒng)及應(yīng)用安全的方法和技術(shù)主要有： 入侵檢測系統(tǒng) 防病毒系統(tǒng) 漏洞掃描系統(tǒng) 安全認證,電

18、子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,1）入侵檢測系統(tǒng)1of 2,入侵檢測系統(tǒng)（Intrusion Detection Systems，IDS）是依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。,分布式入侵檢測系統(tǒng),入侵檢測系統(tǒng)的類型,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),基于主機的入侵檢測系統(tǒng),電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,

19、電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,完整性校驗,基于異常的檢測,基于特征的檢測,1）入侵檢測系統(tǒng)2of 2,入侵檢測系統(tǒng)的主要功能 監(jiān)測并分析用戶和系統(tǒng)的活動 核查系統(tǒng)配置和漏洞 評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性 識別已知的攻擊行為 統(tǒng)計分析異常行為 操作系統(tǒng)日志管理,入侵檢測的方法,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,2）防病毒系統(tǒng)1of 2,防病毒技術(shù)分為主機防病毒和網(wǎng)絡(luò)防病毒： 主機防病毒 主要是安裝防病毒軟件，對電腦文件訪問實時監(jiān)測，發(fā)現(xiàn)病毒就立

20、即清除或修復。 網(wǎng)絡(luò)防病毒 通常由安全提供商提供一整套的解決方案，針對網(wǎng)絡(luò)進行全面的防護。,計算機病毒 是指編制或在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,2）防病毒系統(tǒng)2of 2,計算機病毒的特點： 主動傳染性、隱藏性、欺騙性、破壞性、衍生性。,計算機病毒的防治方法： 構(gòu)建綜合的安全體系 采用多層防御體系 防毒與網(wǎng)絡(luò)管理集成 在網(wǎng)關(guān)、服務(wù)器上防毒 及時更新防毒軟件,電子政

21、務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,漏洞掃描系統(tǒng)能夠幫助了解系統(tǒng)存在的安全漏洞，采取相應(yīng)的防范措施，從而降低安全風險。,3）漏洞掃描系統(tǒng),漏洞掃描系統(tǒng)的功能： 動態(tài)分析系統(tǒng)的安全漏洞； 檢查用戶網(wǎng)絡(luò)中的安全隱患，發(fā)布檢測報告； 提供有關(guān)漏洞的詳細信息和最佳解決對策； 杜絕漏洞、降低風險，防患于未然。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,用戶訪問系統(tǒng)之前經(jīng)過身份

22、認證系統(tǒng)，監(jiān)控器根據(jù)用戶身份和授權(quán)數(shù)據(jù)庫決定用戶能否訪問某個資源。,4）安全認證1of 4,電子政務(wù)系統(tǒng)必須建立基于CA認證體制的身份認證系統(tǒng)。,數(shù)字證書的概念： 由權(quán)威公正的第三方機構(gòu)即CA中心簽發(fā)的包含公開密鑰擁有者信息以及公開密鑰的文件，可以用來證明數(shù)字證書持有者的真實身份。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,4）安全認證2of 4,數(shù)字證書的格式遵循ITU-T X.509標準。該標準是為了保證使用數(shù)字證書的系統(tǒng)間的互操作性而制定的。,數(shù)字證書的作用： 信息除發(fā)送方

23、和接收方外不被其他人竊??； 信息在傳輸過程中不被篡改 ； 發(fā)送方能通過數(shù)字證書來確認接收方的身份； 發(fā)送方對于自己的信息不能抵賴； 信息自數(shù)字簽名后到收到為止，未曾作過任何修改，簽發(fā)的文件是真實文件。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,4）安全認證3of 4,數(shù)字證書的類型： 個人數(shù)字證書 服務(wù)器證書 開發(fā)者證書,數(shù)字證書生成的一般步驟,信息檢索,信息驗證,證書生成,證書公布,證書發(fā)放,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)

24、安全技術(shù)保障體系,電子政務(wù)安全概述,物理安全,網(wǎng)絡(luò)安全,系統(tǒng)及應(yīng)用安全,4）安全認證4of 4,認證中心概念： 認證中心CA又稱認證機構(gòu)，是承擔網(wǎng)上認證服務(wù)，能簽發(fā)數(shù)字證書并能確認用戶身份的受大家信任的第三方機構(gòu)。 CA的主要任務(wù): 受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書進行管理。,CA的功能： 證書的頒發(fā)、證書的更新、證書的查詢、證書的作廢、證書的歸檔。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,行政管理,安全技術(shù)管理,風險管理,8.4 電子政務(wù)安全運行管理體系,行政管理,安全技術(shù)管理,風險管理,運行管理體系,電子

25、政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,行政管理,安全技術(shù)管理,風險管理,建立安全組織機構(gòu),安全人事管理,制定和落實安全管理制度,安全行政管理,8.4.1 行政管理,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,行政管理,安全技術(shù)管理,風險管理,1）建立安全組織機構(gòu)1of 2,電子政務(wù)的安全必須由特定的安全組織進行管理。這種安全組織機構(gòu)應(yīng)該獨立于信息部門，直接隸屬于各地方的最高政府機關(guān)。 安全組織機構(gòu)的主要職責： 對整個電子政務(wù)系統(tǒng)進行整體的

26、安全規(guī)劃，制定整體的安全解決方案； 制定安全管理制度，權(quán)責分明； 實時監(jiān)控網(wǎng)絡(luò)的安全性，監(jiān)督安全方案實施情況，根據(jù)出現(xiàn)的問題漏洞，及時修改、補充安全方案。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,行政管理,安全技術(shù)管理,風險管理,1）建立安全組織機構(gòu)2of 2,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,行政管理,安全技術(shù)管理,風險管理,2）安全人事管理,安全人事管理 安全人事管理就是對組織人員進行管理。 安全人事管理的主要內(nèi)容: 人事

27、審查與錄用、崗位與責任范圍的確定、工作評價、人事檔案管理、提升、調(diào)動與免職、基礎(chǔ)培訓等。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,行政管理,安全技術(shù)管理,風險管理,3）制定和落實安全管理制度,安全管理制度 保障安全管理的有效實施，規(guī)范安全管理人員的行為，降低人為因素造成的安全隱患。 安全管理制度包括: 系統(tǒng)運行維護管理制度、計算機處理控制管理制度、文檔資料管理制度、操作和管理人員管理制度、機房安全管理制度、定期檢查與監(jiān)督制度、網(wǎng)絡(luò)通信安全管理制度、病毒防治管理制度、安全等級保護制度、對外交流安全維護制度，以及對外

28、合作制度等。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,行政管理,安全技術(shù)管理,風險管理,8.4.2 安全技術(shù)管理1of 3,（1）硬件實體的安全管理 目的：保護計算機和網(wǎng)絡(luò)設(shè)備、設(shè)施免遭地震、水災(zāi)、火災(zāi)以及人為等因素的破壞。 主要涉及： 環(huán)境安全 設(shè)備安全 存儲媒體安全,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,行政管理,安全技術(shù)管理,風險管理,8.4.2 安全技術(shù)管理2of 3,（2）軟件系統(tǒng)的安全管理包括： 保護軟件系統(tǒng)的完整性，

29、防止軟件丟失、被破壞、被篡改、被偽造； 保證軟件的存儲安全，保障軟件的安全傳輸、加密傳輸、安全下載、用戶識別等要素； 保障軟件的合法使用和合理使用、用戶合法性的管理、授權(quán)訪問、系統(tǒng)的訪問控制、防止軟件濫用、防止被竊取被非法復制、按規(guī)程操作等。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,行政管理,安全技術(shù)管理,風險管理,8.4.2 安全技術(shù)管理3of 3,（3）密鑰管理包括： 系統(tǒng)的初始化、密鑰的產(chǎn)生、存儲、備份/恢復、裝入、分配、保護、更新、控制、丟失、吊銷、銷毀等內(nèi)容。 安全的密鑰管理要求： 密鑰難以竊取； 密鑰

30、有使用范圍和使用時間的限制； 密鑰的分配和更換過程對用戶透明，而用戶不需要親自掌管密鑰。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,行政管理,安全技術(shù)管理,風險管理,8.4.3 風險管理,安全風險管理包括的階段： 安全風險評估 安全風險控制,風險管理（Risk Management） 是指以可接受的費用識別、控制、降低或消除可能影響信息系統(tǒng)安全風險的過程。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,行政管理,安全技術(shù)管理,風險管理,安全

31、風險評估 安全風險評估是確定電子政務(wù)系統(tǒng)面臨的風險級別的過程，是風險控制的前提和基礎(chǔ)。 風險評估階段的基本實施步驟 ： 識別風險 進行風險度量 確定風險級別 制定相應(yīng)的風險管理策略,1）安全風險評估,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,行政管理,安全技術(shù)管理,風險管理,安全風險控制 安全風險控制是根據(jù)風險評估階段的結(jié)果，采取規(guī)避、轉(zhuǎn)移和降低等手段，對已標識的風險采取相應(yīng)的措施，將電子政務(wù)系統(tǒng)的安全風險降低到可接受的水平，并保持對系統(tǒng)其他功能的影響最低。 安全風險控制的主要步驟 ： 選擇風險控制手段 風險規(guī)避

32、實施必要的風險轉(zhuǎn)移措施 盡可能降低威脅的影響程度 對剩余風險的接受,2）安全風險控制,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,法規(guī)基礎(chǔ)設(shè)施,安全標準建設(shè),PKI/PMI認證平臺,法規(guī)基礎(chǔ)設(shè)施,安全標準建設(shè),PKI/PMI認證平臺,基礎(chǔ)設(shè)施平臺,8.5 基礎(chǔ)設(shè)施平臺,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,法規(guī)基礎(chǔ)設(shè)施,安全標準建設(shè),PKI/PMI認證平臺,8.5.1 法規(guī)基礎(chǔ)設(shè)施,世界上很多國家制定了與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，如英國

33、的官方信息保護法等。 中國頒發(fā)了一些與網(wǎng)絡(luò)安全有關(guān)的法律法規(guī)，如計算機信息系統(tǒng)安全保護條例、計算機信息系統(tǒng)保密管理暫行規(guī)定等。在完善法律法規(guī)的同時，還應(yīng)該加大執(zhí)法力度，嚴格執(zhí)法。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,法規(guī)基礎(chǔ)設(shè)施,安全標準建設(shè),PKI/PMI認證平臺,（1）對各類法律主體的有關(guān)信息活動涉及國家安全的權(quán)利和義務(wù)進行規(guī)范，形成國家關(guān)于信息及信息安全的總則性、普適性的法規(guī)體系。 （2）針對各類計算機和網(wǎng)絡(luò)犯罪，制訂直接約束各社會成員的信息活動的行為規(guī)范，形成計算機、網(wǎng)絡(luò)犯罪監(jiān)察與防范體系。 （3）對

34、信息安全技術(shù)、信息安全產(chǎn)品（系統(tǒng)）的授權(quán)審批應(yīng)制訂相應(yīng)的規(guī)定，形成信息安全審批與監(jiān)控體系。 （4）針對信息內(nèi)容的安全與保密問題，制訂相應(yīng)規(guī)定，形成信息內(nèi)容的審批、監(jiān)控、保密體系。 （5）從國家安全的角度，制訂網(wǎng)絡(luò)信息預警與反擊體系等。,法規(guī)建設(shè)的幾個主要方面：,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,法規(guī)基礎(chǔ)設(shè)施,安全標準建設(shè),PKI/PMI認證平臺,8.5.2 安全標準建設(shè),中國信息安全標準化工作起步較晚，但是近10年來發(fā)展較快，在國家質(zhì)量技術(shù)監(jiān)督局領(lǐng)導下，全國信息化標準委員會及其下屬的信息安全分技術(shù)委員會在制

35、訂中國信息安全標準方面做了大量的工作，國標、國軍標、行業(yè)標準對信息安全領(lǐng)域均有涉及，初步形成了中國信息安全測評認證的基礎(chǔ)。,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,法規(guī)基礎(chǔ)設(shè)施,安全標準建設(shè),PKI/PMI認證平臺,8.5.3 PKI/PMI認證平臺,PKI提供智能化的信任服務(wù)； PMI構(gòu)成授權(quán)管理平臺，在PKI信息安全平臺的基礎(chǔ)上提供智能化的授權(quán)服務(wù)。 PKI/PMI認證平臺為電子政務(wù)提供了一整套的、遵循標準的密鑰管理基礎(chǔ)平臺，為用戶安全訪問電子政務(wù)系統(tǒng)提供了可靠的保證。,國家信息安全基礎(chǔ)設(shè)施（NISI）的組成

36、： 公開密鑰基礎(chǔ)設(shè)施（PKI） 授權(quán)管理基礎(chǔ)設(shè)施（PMI）,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,法規(guī)基礎(chǔ)設(shè)施,安全標準建設(shè),PKI/PMI認證平臺,1）公開密鑰基礎(chǔ)設(shè)施（PKI） 1 of 3,（1）公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI） 又叫公鑰體系，是一種利用公鑰加密技術(shù)為電子商務(wù)、電子政務(wù)提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。 PKI基礎(chǔ)設(shè)施采用數(shù)字證書來管理公鑰，通過第三方的可信任機構(gòu)認證機構(gòu)（CA），把用戶的公鑰和用戶的其他標識信息捆綁在一起，提供身份驗證機制。,電子

37、政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,法規(guī)基礎(chǔ)設(shè)施,安全標準建設(shè),PKI/PMI認證平臺,（2）PKI的基本組成 完整PKI系統(tǒng)由認證機構(gòu)、數(shù)字證書庫、密鑰備份及恢復系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口（API）等構(gòu)成。 PKI各組成部分的功能： 認證機構(gòu)：數(shù)字證書的申請及簽發(fā)機關(guān)，CA必須具備權(quán)威性的特征； 數(shù)字證書庫：用于存儲已簽發(fā)的數(shù)字證書及公鑰； 密鑰備份及恢復系統(tǒng)：對加密系統(tǒng)的密碼進行備份和恢復 ； 證書作廢系統(tǒng)：證書密鑰的丟失或證書作廢的處理； 應(yīng)用接口（API）：使PKI與其它應(yīng)用交互。,1）公開密鑰基礎(chǔ)設(shè)施

38、（PKI） 2 of 3,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,法規(guī)基礎(chǔ)設(shè)施,安全標準建設(shè),PKI/PMI認證平臺,PKI應(yīng)用的范圍及中心作用,（3）PKI的應(yīng)用,1）公開密鑰基礎(chǔ)設(shè)施（PKI） 3 of 3,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,法規(guī)基礎(chǔ)設(shè)施,安全標準建設(shè),PKI/PMI認證平臺,（1）授權(quán)管理基礎(chǔ)設(shè)施（PMI） 國家信息安全基礎(chǔ)設(shè)施（NISI）的一個重要組成部分。 目標是向用戶和應(yīng)用程序提供授權(quán)管理服務(wù)，提供

39、用戶身份到應(yīng)用授權(quán)的映射功能，提供與實際應(yīng)用處理模式相對應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的授權(quán)和訪問控制機制，簡化具體應(yīng)用系統(tǒng)的開發(fā)與維護。 PMI是一個由屬性證書、屬性權(quán)限、屬性證書庫等部件構(gòu)成的綜合系統(tǒng)，用來實現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等。,2）授權(quán)管理基礎(chǔ)設(shè)施 （PMI） 1 of 4,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,法規(guī)基礎(chǔ)設(shè)施,安全標準建設(shè),PKI/PMI認證平臺,（2）PMI與PKI的比較 PMI提出了一個新的信息保護基礎(chǔ)設(shè)施，能夠與PKI和目錄服務(wù)緊密地集成，并系統(tǒng)地建立起

40、對認可用戶的特定授權(quán)，對權(quán)限管理進行了系統(tǒng)的定義和描述，完整地提供了授權(quán)服務(wù)所需過程。 PKI與PMI之間的比較如下： 解決的問題不同 證書不同 管理部門不同 體系結(jié)構(gòu)類似,2）授權(quán)管理基礎(chǔ)設(shè)施 （PMI） 2 of 4,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,法規(guī)基礎(chǔ)設(shè)施,安全標準建設(shè),PKI/PMI認證平臺,2）授權(quán)管理基礎(chǔ)設(shè)施 （PMI） 3 of 4,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,法規(guī)基礎(chǔ)設(shè)施,安全標準建設(shè),PKI

41、/PMI認證平臺,（3）PMI在電子政務(wù)中的應(yīng)用 授權(quán)管理基礎(chǔ)設(shè)施（PMI）以一個身份鑒別體系（如PKI體系）為基礎(chǔ)，向應(yīng)用系統(tǒng)提供全面統(tǒng)一的授權(quán)管理和訪問控制服務(wù)。 PMI主要提供分布式計算環(huán)境中應(yīng)用系統(tǒng)的訪問控制功能，通過將訪問控制機制從具體應(yīng)用系統(tǒng)的開發(fā)和管理中分離出來，使訪問控制機制與應(yīng)用系統(tǒng)之間能靈活而方便地結(jié)合和使用。,2）授權(quán)管理基礎(chǔ)設(shè)施 （PMI） 4 of 4,電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,安全管理服務(wù),安全測評服務(wù),應(yīng)急響應(yīng)服務(wù),安全教育培訓服務(wù),安全管理服務(wù),安全測評服務(wù),應(yīng)急響應(yīng)

42、服務(wù),社會服務(wù)體系,8.6 社會服務(wù)體系,安全教育培訓服務(wù),電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,安全管理服務(wù),安全測評服務(wù),應(yīng)急響應(yīng)服務(wù),安全教育培訓服務(wù),8.6.1 安全管理服務(wù),安全管理服務(wù)提供商（MSSP） 提供由網(wǎng)絡(luò)安全專家、專業(yè)的網(wǎng)絡(luò)安全工具和安全管理策略組成的完整的安全解決方案。 （1）MSSP服務(wù)的內(nèi)容： 安全咨詢服務(wù) 安全技術(shù)管理服務(wù) 數(shù)據(jù)安全分析服務(wù) 安全管理評估服務(wù) （2）MSSP的特點 ： 是介于客戶與產(chǎn)品之間的橋梁 最終目的是讓客戶的成功最大化 提供的是本地化的安全產(chǎn)品全系列的服務(wù),電子政務(wù)安全運行管理體系,基礎(chǔ)設(shè)施平臺,社會服務(wù)體系,電子政務(wù)安全體系 框架,電子政務(wù)安全技術(shù)保障體系,電子政務(wù)安全概述,安全管理服務(wù),安全測評服務(wù),應(yīng)急響應(yīng)服務(wù),安全教育培訓服務(wù),8.6.2 安全測評服務(wù),測評認證： 由一個中立的權(quán)威機構(gòu)，通過科學、規(guī)范、公正的測試和評估向消費者、購買者即需方，證實生產(chǎn)者或供方所提供的產(chǎn)品和服務(wù)，符合公開、客觀和先進的標準。 政府對測評認證的控制： 市