电子政务-安全保障+-嘉庚学院.ppt

1
第十讲电子政务安全体系
一、电子政务的安全问题
二、电子政务安全体系
1、技术体系
2、管理保障体系
3、服务保障体系
4、基础设施保障体系
2
电子政务的安全问题
恶意破坏自然灾害
意识不强操作不当
管理疏漏软硬件漏洞
滥用职权内外勾结
内部资源
信息战争黑客攻击信息间谍
病毒传染信息恐怖
外部威胁
内部威胁
信息安全
保障信息的机密性、完整性、可用性、可控性和不可否认性等几个方面。
1、机密性:保证信息不泄露给未经授权的人。
2、完整性:信息无失真地传达到目的地。
3、可用性:授权人使用时不能出现系统拒绝服务的情况。
4、可控性:对信息及信息系统实施安全监控管理。
5、不可否认性:信息行为可安全管理。
计算机安全和网络安全都是信息安全。
计算机安全是指计算机系统资源和信息资源不受自然和人为的威胁与损坏。计算机安全更关心信息的存储和处理的安全。
网络安全是指网络系统的硬件、软件及系统中的数据受保护,系统能可靠连续地运行。网络安全更关系的是信息在网络传播过程中所涉及的各种安全问题。
电子政务安全问题就是一种信息安全问题。
电子政务的安全需求
身份认证服务:为政务实体定义唯一的电子身份标识,并通过该标识进行身份认证,保证身份的真实性。
权限控制服务:把信息资源划分成不同级别,并把使用信息资源的用户划分成不同类型,实现不同类型人员对不同级别信息访问的控制策略。
信息保密服务:对于传输中需要保密的信息,采用密码技术进行加解密处理,防止信息的非授权泄漏。
数据完整性服务:保证收发双方数据的一致性,防止信息被非授权修改。
不可否认服务:为第三方验证信息源的真实性和信息的完整性提供证据,它有助于责任机制的建立,为解决电子政务中的争议提供法律证据。
6
保障电子政务安全的重要性
1、国家安全问题。电子政务的安全体现了国家防御国外信息和网络优势威胁的能力,以信息手段维护国家安全的能力。
2、保障电子政务安全即维护了社会各阶层利益。电子政务的应用不仅代表政府部门的利益更代表了企业和广大民众的利益。
3、电子政务安全是社会稳定的基本保障。电子政务的社会服务职能使得电子政务系统的安全运行更加重要。
国内电子政务安全存在的一些问题
大部分的政府机构都没有精力对网络安全进行必要的人力投入;的新手,很多服务器存在的漏洞可以使入侵者获取系统的最高控制权。我国现有信息安全专业人才少,有必要采取措施来逐步改善目前安全人才极为缺乏的状况。
2、缺乏整体安全方案
在大多数人的眼中,在服务器前加一个防火墙就解决了安全问题,这是一种很狭隘的安全思路。防火墙仅仅是一个访问控制、内外隔离的安全设备,在底层包过滤、IP伪装、碎片攻击,端口控制等方面的确有着不可替代的作用,但它在应用层的控制和检测能力是很有限的。
另外,没有设置好密码策略、没有设置安全日志策略或没有定期分析日志发现异常现象等等。说到底就是缺乏一套整体安全方案,一个没有整体安全规划的系统,安全是肯定没有保障的。
3、系统本身不安全
没有对用户和目录权限进行设置及建立适当的安全策略;
没有打安全补丁;
安装时为方便使用简单口令而后来又不更改;
没有进行适当的目录和文件权限设置;
没有进行适当的用户权限设置,打开了不必要的服务;
没有对自己的应用系统进行安全检测等等。
事实上系统和应用大多是由系统集成商来完成的,其做法往往是最大化安装,以方便安装调试,把整个系统调通就算完成了任务,遗憾的是留下很多的安全隐患;而安全却恰恰相反,遵循最小化原则,要求没必要的东西一定不要。
4、没有安全管理机制
安全和管理是分不开的,有好的安全设备和系统还不够,还必须有一套好的安全管理方法,并贯彻实施。
建立定期的安全检测、口令管理、人员管理、策略管理、备份管理、日志管理等一系列管理方法和制度是非常必要的。