第 9章 电子政务的安全管理本章学习目的与要求
电子政务系统安全所面临的各种挑战
电子政务安全要素电子政务安全要素
电子政务网络安全协议
电子政务网络安全技术保障体系
电子政务网络安全运行管理体系
9,1 电子政务的安全问题
9,1,1 电子政务系统安全所面临的各种挑战
1.电子政务安全现状
2.我国电子政务安全面临的挑战
(1) 国内 IT企业面对全球性竞争的挑战
加入 WTO,我国 IT企业在国内市场面临的强势国外竞争者与日俱增,国内 IT企业明显处于竞争的劣势,这样的状况在短期内很难消除,也许还会更加激烈,这除因为资金方面不足外,
根本的原因是我国,技不如人,。
(2) 我国专业人才紧缺和公务员计算机技能较低的挑战
现在我国已进入了信息化建设的关键时期,需要大量的专业技术人才和提高公务员的计算机技能水平 。 但是我国在这方面现正面临着专业人才紧缺和公务员计算机技能水平较低的严峻的挑战 。
( 3)我国在信息化建设立法上的挑战
在电子政务建设和应用的过程中我们必须重视相关法律法规的配套建设,才能从法制上保证电子政务健康,良好的发展 。
9,1,2 电子政务安全产生的原因
( 1),后门,的隐患
( 2)安全漏洞的问题
( 3)人为的无意疏忽
( 4)人为的恶意攻击图 9-1 人为攻击的形式
9,1,3 电子政务安全威胁分类
① 系统穿透
② 违反授权原则
③ 植入
④ 通信监视
⑤ 通信干扰
⑥ 中断
⑦ 拒绝服务
⑧ 否认
9,1,4 电子政务安全要素
1.数据完整性
2.数据保密性
3.合理访问授权
4.双向身份认证
9,2电子政务网络安全协议
9,2,1 安全协议概述
1.电子政务安全协议分类
身份验证协议
加密协议
密钥管理协议
数据验证协议
安全审计协议
防护协议
2.电子政务基本密码协议
( 1)密钥安全协议
( 2)认证安全协议
( 3)认证的密钥安全协议
9,2,2 电子政务通用安全协议
1.电子邮件安全协议
( 1) PGP
( 2) MIME和 S/MIME
2.SSL协议
3.SHTTP
9,3 电子政务网络安全技术保障体系
9,3,1 电子政务的安全策略
1.国家主导、社会参与
2.全局治理、积极防御
3.等级保护、保障发展
9,3,2 电子政务安全保障体系框架
1.安全法律与政策
2.安全组织图 9-2 电子政务安全的组织体系
3.安全标准与规范
4.安全保障与服务
1) 电子政务系统建设,要构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系 。
2)推广电子政务信息系统安全工程( ISSE) 的控制方法,全面实现安全服务要求。
5.安全技术与产品
( 1)加强安全技术和产品的自主研制和创新
( 2)电子政务安全产品的选择
6.安全基础设施
1) 社会公共服务类
2) 行政监管执法类
9,4 电子政务网络安全运行管理体系
通常情况下,信息网络系统的安全除安全技术作为保障措施外,必须健全相应管理措施,管理机构依据管理制度和管理流程对日常操作,运行维护,审计监督,文档管理进行统一管理 。
图 9-3 电子政务的安全管理体系
9,5 信息安全社会服务体系
9,5,1 电子政务安全服务体系概述
1)安全问题是一个动态的过程,主要体现在以下几个方面:
① 安全技术本身是一个不断发展的过程,安全厂商与黑客之间在彼此 "交锋 "过程中此消彼长,
需要不断地跟踪最新的安全技术及黑客攻防技术动向;
② 操作系统、应用系统的安全漏洞不断地被发现,需要及时地 "打补丁 ";
③ 安全产品在安装配置时满足了当时环境下安全需求,但随着新的安全问题的出现,需要对原有的安全参数进行重新配置,安全系统产品也需要升级、更新换代;
④ 黑客或其它基于政治目的的攻击行为需要安全专业人员快速的应急响应服务;
⑤ 新的恶性计算机病毒可能会造成网络大面积地 "堵塞 ",或者造成系统不能正常运行,影响政务工作的开展;
⑥ 由于计算机病毒或者人为误操作或者其它黑客破坏行为而造成的硬盘数据、网络数据的破坏,需要安全、快速地进行修复。
2)电子政务安全的服务体系主要包括以下三个方面:
① 日常维护
② 应急响应
③ 灾难恢复
9,5,2第三方安全服务商的出现
① 电子政务网络管理员
② 安全产品及反病毒产品厂商
③ 电子政务系统的软硬件产品提供商
这种安全服务支持系统很难胜任电子政务全面开展后对安全保障(尤其是安全应急响应)的要求,因为:
① 电子政务网络管理员对网络的管理比较熟悉,
而对网络病毒及网络安全的专业知识一般都不够,不能够胜任电子政务网络安全的全面管理,
应急响应无论从技术及人力上来说都做不到。
② 安全产品及反病毒产品厂商一般只对客户购买的安全产品进行服务,而且在出现综合性的安全问题(涉及到多家产品)时,会产生相互推诿责任的现象,延误应急响应的时机,甚至会带来不可估量的损失。
③ 电子政务系统的软硬件产品提供商一般只对他们所售出的软硬件进行售后服务与维护,对由于网络安全而引起的问题厂商不会负责,而且大多也无能为力。
9,5,3接受政府管理和监督是网络安全服务发展的必然要求
如果网络安全服务能够像网络安全产品那样由国家进行资质认证或技术鉴定,必然能够更好地取信于客户。国家网络安全服务试点单位评审活动实际上就是一种认证。
本章小结本章首先通过对政府上网所面临的各种威胁,
提出了电子政务所面临的现状,探询了电子政务系统安全问题产生的根源,然后分析了电子政务的安全需求。提出了电子政务安全协议以及技术保障管理体系等。
案例 联通广东分公司防病毒系统联通广东分公司趋势防病毒产品署示意图
电子政务系统安全所面临的各种挑战
电子政务安全要素电子政务安全要素
电子政务网络安全协议
电子政务网络安全技术保障体系
电子政务网络安全运行管理体系
9,1 电子政务的安全问题
9,1,1 电子政务系统安全所面临的各种挑战
1.电子政务安全现状
2.我国电子政务安全面临的挑战
(1) 国内 IT企业面对全球性竞争的挑战
加入 WTO,我国 IT企业在国内市场面临的强势国外竞争者与日俱增,国内 IT企业明显处于竞争的劣势,这样的状况在短期内很难消除,也许还会更加激烈,这除因为资金方面不足外,
根本的原因是我国,技不如人,。
(2) 我国专业人才紧缺和公务员计算机技能较低的挑战
现在我国已进入了信息化建设的关键时期,需要大量的专业技术人才和提高公务员的计算机技能水平 。 但是我国在这方面现正面临着专业人才紧缺和公务员计算机技能水平较低的严峻的挑战 。
( 3)我国在信息化建设立法上的挑战
在电子政务建设和应用的过程中我们必须重视相关法律法规的配套建设,才能从法制上保证电子政务健康,良好的发展 。
9,1,2 电子政务安全产生的原因
( 1),后门,的隐患
( 2)安全漏洞的问题
( 3)人为的无意疏忽
( 4)人为的恶意攻击图 9-1 人为攻击的形式
9,1,3 电子政务安全威胁分类
① 系统穿透
② 违反授权原则
③ 植入
④ 通信监视
⑤ 通信干扰
⑥ 中断
⑦ 拒绝服务
⑧ 否认
9,1,4 电子政务安全要素
1.数据完整性
2.数据保密性
3.合理访问授权
4.双向身份认证
9,2电子政务网络安全协议
9,2,1 安全协议概述
1.电子政务安全协议分类
身份验证协议
加密协议
密钥管理协议
数据验证协议
安全审计协议
防护协议
2.电子政务基本密码协议
( 1)密钥安全协议
( 2)认证安全协议
( 3)认证的密钥安全协议
9,2,2 电子政务通用安全协议
1.电子邮件安全协议
( 1) PGP
( 2) MIME和 S/MIME
2.SSL协议
3.SHTTP
9,3 电子政务网络安全技术保障体系
9,3,1 电子政务的安全策略
1.国家主导、社会参与
2.全局治理、积极防御
3.等级保护、保障发展
9,3,2 电子政务安全保障体系框架
1.安全法律与政策
2.安全组织图 9-2 电子政务安全的组织体系
3.安全标准与规范
4.安全保障与服务
1) 电子政务系统建设,要构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系 。
2)推广电子政务信息系统安全工程( ISSE) 的控制方法,全面实现安全服务要求。
5.安全技术与产品
( 1)加强安全技术和产品的自主研制和创新
( 2)电子政务安全产品的选择
6.安全基础设施
1) 社会公共服务类
2) 行政监管执法类
9,4 电子政务网络安全运行管理体系
通常情况下,信息网络系统的安全除安全技术作为保障措施外,必须健全相应管理措施,管理机构依据管理制度和管理流程对日常操作,运行维护,审计监督,文档管理进行统一管理 。
图 9-3 电子政务的安全管理体系
9,5 信息安全社会服务体系
9,5,1 电子政务安全服务体系概述
1)安全问题是一个动态的过程,主要体现在以下几个方面:
① 安全技术本身是一个不断发展的过程,安全厂商与黑客之间在彼此 "交锋 "过程中此消彼长,
需要不断地跟踪最新的安全技术及黑客攻防技术动向;
② 操作系统、应用系统的安全漏洞不断地被发现,需要及时地 "打补丁 ";
③ 安全产品在安装配置时满足了当时环境下安全需求,但随着新的安全问题的出现,需要对原有的安全参数进行重新配置,安全系统产品也需要升级、更新换代;
④ 黑客或其它基于政治目的的攻击行为需要安全专业人员快速的应急响应服务;
⑤ 新的恶性计算机病毒可能会造成网络大面积地 "堵塞 ",或者造成系统不能正常运行,影响政务工作的开展;
⑥ 由于计算机病毒或者人为误操作或者其它黑客破坏行为而造成的硬盘数据、网络数据的破坏,需要安全、快速地进行修复。
2)电子政务安全的服务体系主要包括以下三个方面:
① 日常维护
② 应急响应
③ 灾难恢复
9,5,2第三方安全服务商的出现
① 电子政务网络管理员
② 安全产品及反病毒产品厂商
③ 电子政务系统的软硬件产品提供商
这种安全服务支持系统很难胜任电子政务全面开展后对安全保障(尤其是安全应急响应)的要求,因为:
① 电子政务网络管理员对网络的管理比较熟悉,
而对网络病毒及网络安全的专业知识一般都不够,不能够胜任电子政务网络安全的全面管理,
应急响应无论从技术及人力上来说都做不到。
② 安全产品及反病毒产品厂商一般只对客户购买的安全产品进行服务,而且在出现综合性的安全问题(涉及到多家产品)时,会产生相互推诿责任的现象,延误应急响应的时机,甚至会带来不可估量的损失。
③ 电子政务系统的软硬件产品提供商一般只对他们所售出的软硬件进行售后服务与维护,对由于网络安全而引起的问题厂商不会负责,而且大多也无能为力。
9,5,3接受政府管理和监督是网络安全服务发展的必然要求
如果网络安全服务能够像网络安全产品那样由国家进行资质认证或技术鉴定,必然能够更好地取信于客户。国家网络安全服务试点单位评审活动实际上就是一种认证。
本章小结本章首先通过对政府上网所面临的各种威胁,
提出了电子政务所面临的现状,探询了电子政务系统安全问题产生的根源,然后分析了电子政务的安全需求。提出了电子政务安全协议以及技术保障管理体系等。
案例 联通广东分公司防病毒系统联通广东分公司趋势防病毒产品署示意图