(8)电子政务的安全困境与防御

《(8)电子政务的安全困境与防御》由会员分享，可在线阅读，更多相关《(8)电子政务的安全困境与防御（42页珍藏版）》请在装配图网上搜索。

1、第第8 8讲讲 电子政务的安全困境与防御电子政务的安全困境与防御1995年，美国就提出了年，美国就提出了“战略信息战战略信息战”的概念，的概念，3中国电子政务的总体结构中国电子政务的总体结构系系统统管管理理维维护护体体系系备备份份中中心心网网管管中中心心运运维维中中心心应用框架应用框架层层知识知识管理管理系统系统 OA 系统系统协同协同工作工作系统系统决策决策支持支持系统系统信息信息交换交换系统系统应用系统应用系统层层工商政务工商政务系统系统税务政务税务政务系统系统教育政务教育政务系统系统公众访问公众访问层层政政 务务 门门 户户网络平台网络平台层层政务内网政务内网政务专网政务专网政务外网政务

2、外网数据资源数据资源层层数据访问、转换、提取、过滤、综合数据访问、转换、提取、过滤、综合数数 据据 资资 源源电电子子政政务务平平台台的的安安全全体体系系信信任任服服务务体体系系密密钥钥管管理理体体系系特特权权管管理理体体系系斯诺登事件：斯诺登事件：“棱镜计划棱镜计划”通过接入互联网公司的中心服务器，情报分析人员可直接接触所有用户的音频、视频、照片、电邮、文件和连接日志等信息，跟踪互联网使用者的一举一跟踪互联网使用者的一举一动以及他们的所有联系人动以及他们的所有联系人，过去6年中，该项目经历了爆炸性增长。目前美国国家安全局最重要的情报来源已经是全球互联网，美国国家间谍机构目前依靠各种对本国和他

3、国互联网进行监视的秘密计划，为美国的情报分析机构提供原始数据。通过这些监控行动，美国事实上监控着全球的互联网各种通信，包括对中国等国家执行接近网络战争状态的全天候无缝监控。5目目 录录电子政务的安全困境电子政务的安全困境 1电子政务安全技术保障体系电子政务安全技术保障体系2电子政务安全运行管理体系电子政务安全运行管理体系3电子政务安全社会服务体系电子政务安全社会服务体系4电子政务安全基础设施平台电子政务安全基础设施平台56一、一、电子政务的安全困境电子政务的安全困境EGEG特征、特征、规律规律解析解析EGEG安全的安全的实质、内涵实质、内涵发现发现EGEG安全威胁安全威胁解析解析EGEG安全的

4、安全的重要性、特殊性重要性、特殊性解析解析EGEG安全需求安全需求提出提出EGEG安全管理安全管理体系框架体系框架71.1.电子政务的安全威胁电子政务的安全威胁安全威胁安全威胁黑客攻击黑客攻击垃圾信息垃圾信息网络犯罪网络犯罪有害信息有害信息1 12 23 34 45 5计算机病毒计算机病毒8按来源分类：自然按来源分类：自然vsvs人为人为u自然威胁自然威胁 是指不以人的意志为转移的不可抗拒的自然事件。是指不以人的意志为转移的不可抗拒的自然事件。自然威胁发生的概率比较低。自然威胁发生的概率比较低。u人为威胁人为威胁人为威胁人为威胁 自然威胁自然威胁 意外的：操作不当，软硬件缺陷意外的：操作不当，

5、软硬件缺陷 计算机安全专家结论：约计算机安全专家结论：约6565的损失来自于无意的损失来自于无意的错误或疏忽。的错误或疏忽。有意的：有意的：欺诈或偷窃、内部人员的有意破坏、怀有恶意的欺诈或偷窃、内部人员的有意破坏、怀有恶意的黑客行为、侵犯他人隐私、恶意代码以及间谍行为等。黑客行为、侵犯他人隐私、恶意代码以及间谍行为等。9（1 1）针对信息资产的威胁）针对信息资产的威胁信息破坏信息破坏信息泄密。信息泄密。假冒或否认。假冒或否认。（2 2）针对系统的威胁）针对系统的威胁 例如例如通信线路、计算机网络以及主机、光盘、磁盘等通信线路、计算机网络以及主机、光盘、磁盘等被破坏；被破坏；系统出现运行速度变慢

6、、信息丢失、拒绝服务等系统出现运行速度变慢、信息丢失、拒绝服务等不正常反应等。不正常反应等。通过旁路控制，躲过系统的认证或访问控制，进通过旁路控制，躲过系统的认证或访问控制，进行未授权的访问等。行未授权的访问等。按作用对象分类：按作用对象分类：10（1 1）信息泄露）信息泄露 在传输中被利用电磁辐射或搭接线路的方式窃取；在传输中被利用电磁辐射或搭接线路的方式窃取；授权者向未授权者泄露授权者向未授权者泄露 存储设备被盗窃或盗用；存储设备被盗窃或盗用；未授权者利用特定的工具捕获网络中的数据流量、流向、通行频带、未授权者利用特定的工具捕获网络中的数据流量、流向、通行频带、数据长度等数据并进行分析，数

7、据长度等数据并进行分析，（2 2）入侵（）入侵（intrusionintrusion）旁路控制旁路控制 假冒假冒 口令破解口令破解 合法用户的非授权访问合法用户的非授权访问 扫描（扫描（scanscan）（3 3）抵赖（否认）抵赖（否认）发方事后否认自己曾经发送过某些消息；发方事后否认自己曾经发送过某些消息；收方事后否认自己曾经收到过某些消息；收方事后否认自己曾经收到过某些消息；发方事后否认自己曾经发送过某些消息的内容；发方事后否认自己曾经发送过某些消息的内容；收方事后否认自己曾经收到过某些消息的内容。收方事后否认自己曾经收到过某些消息的内容。（4 4）滥用（）滥用（misusemisuse）

8、滥用泛指一切对信息系统产生不良影响的活动。主要有：滥用泛指一切对信息系统产生不良影响的活动。主要有：传播恶意代码、复制传播恶意代码、复制/重放、发布或传播不良信息重放、发布或传播不良信息按方法分类：按方法分类：11按位置分类：外部按位置分类：外部 vs 内部内部恶意破坏恶意破坏自然灾害自然灾害意识不够意识不够内外勾结内外勾结滥用职权滥用职权操作不当操作不当管理疏漏管理疏漏软硬件缺陷软硬件缺陷内部资源内部资源内部环境内部环境外部环境外部环境信息战争信息战争病毒感染病毒感染信息恐怖活动信息恐怖活动黑客攻击黑客攻击信息间谍信息间谍12电子政务安全威胁分析表电子政务安全威胁分析表-1-1种类主要表现形

9、式内内部部环环境境威威胁胁恶意破坏破坏数据、转移资产、设置故障及损毁设备等内外勾结出卖情报、透露口令、入侵系统、破坏数据、设置故障及损毁设备等滥用职权非职责查看内部信息、非职责使用系统等操作不当数据损坏或丢失、硬件损坏及垃圾处理不当等安全意识不强思想麻痹、经验不足及经验估计不足等管理疏漏制度不完善、人员组织不合理、缺乏监控措施及权责不清等软硬件缺陷电磁泄露、剩磁效应、预置陷阱、操作系统漏洞、数据库缺陷、逻辑炸弹、协议漏洞、网络结构隐患及设备老化等自然灾害因温度、湿度、灰尘、雷击、水灾、火灾及空气污染等使设备被破坏或不能正常工作13电子政务安全威胁分析表电子政务安全威胁分析表-2-2种类主要表现

10、形式外外部部环环境境威威胁胁病毒破坏破坏文件、占耗内存、干扰系统运行、妨碍磁盘操作及扰乱屏幕显示等黑客攻击系统入侵、网络窃听、密文破译、拒绝服务及传输通道损坏等信息间谍信息窃取、网络窃听、密文破译、密钥破译、电磁探测及流量分析等信息恐怖活动摧毁国家信息基础设施、制造并散布恐怖信息等信息战争发布虚假信息、窃取军事情报、攻击指挥系统及破坏社会经济系统等14电子政务行为分析电子政务行为分析政务主体政务主体政务分支政务分支政务政务单元单元政务分支政务分支政务政务单元单元政务政务单元单元政务政务单元单元G2BG2B因特网因特网电话网电话网外联网外联网G2CG2C因特网因特网因特网因特网获取信息获取信息G

11、2GG2G移动办公移动办公？按按EG行为分类：行为分类：152.2.电子政务安全的实质电子政务安全的实质15 信息安全是指保障信息的机密性、完整性、可信息安全是指保障信息的机密性、完整性、可用性、可控性和不可否认性等几个方面。用性、可控性和不可否认性等几个方面。u 机密性：机密性：指保证信息不泄露给未经授权的人；指保证信息不泄露给未经授权的人；u 完整性：完整性：指防止信息被篡改，保证信息的真实性指防止信息被篡改，保证信息的真实性u 可用性：可用性：指保证信息和信息系统确实被授权指保证信息和信息系统确实被授权 使用者所用；使用者所用；u 可控性：可控性：指对信息及信息系统实施安全监控管理指对信

12、息及信息系统实施安全监控管理u 不可否认性：不可否认性：指保证信息行为人不能否认自己的指保证信息行为人不能否认自己的 行为。行为。16安全重要性安全重要性国家安全国家安全问题问题保障国家保障国家各种利益各种利益保障社会保障社会稳定稳定政务信息传输安全政务信息传输安全政务信息存储安全政务信息存储安全涉密政务信息安全涉密政务信息安全认证政务活动中的身份认证政务活动中的身份控制政务系统中的权限控制政务系统中的权限保证政务系统的稳定运行保证政务系统的稳定运行系统的安全备份与恢复机制系统的安全备份与恢复机制维护电子政府的良好形象维护电子政府的良好形象安安全全实实质质机密性机密性完整性完整性可用性可用性可

13、控性可控性不可否认性不可否认性电子政务的安全需求电子政务的安全需求3.3.电子政务的安全需求电子政务的安全需求174.电子政务安全的主要制约电子政务安全的主要制约综合保护和综合保护和防范意识薄弱防范意识薄弱违法犯罪成本低违法犯罪成本低打击难度大打击难度大信息技术水平信息技术水平和手段落后和手段落后法律法规法律法规相对滞后相对滞后缺乏健全的缺乏健全的协调机制协调机制安全行业安全行业不适应发展需要不适应发展需要缺乏缺乏高效高效国际国际协作协作机制机制185.5.电子政务的安全管理体系电子政务的安全管理体系 保障电子政务安全不能仅仅依靠技术，关键还是在于管理。从技术上寻找突破口，远比从管理上寻找突破

14、口的代价要大的多。突破安全的代价：技术突破管理突破 19电子政务安全电子政务安全(管理管理)体系体系技术保障体系技术保障体系运行管理体系运行管理体系社会服务体系社会服务体系基础设基础设施平台施平台技术研发技术研发防护系统防护系统行政管理行政管理技术管理技术管理风险管理风险管理安全管理安全管理测评认证测评认证应急响应应急响应教育培训教育培训法规建设法规建设标准建设标准建设PKI认证认证平台平台PMI权限权限平台平台美国关键基础设施网络安全框架美国关键基础设施网络安全框架中央网络安全与信息化领导小组的建立，预示着我国网络安全与信息化整体将进入一个新的发展阶段22涉及两个层面的问题：u 信息安全基本

15、理论和核心技术研究与开发u 用信息安全产品和系统构建综合防护系统23（1 1）数据加密技术数据加密技术 数据加密技术根据其采用的密码体制不同，数据加密技术根据其采用的密码体制不同，分为对称密码技术和非对称密码技术。分为对称密码技术和非对称密码技术。对称密码技术是采用相同的密钥进行加密和解对称密码技术是采用相同的密钥进行加密和解密运算，这两个密钥都不能公开，因此也称为私钥密运算，这两个密钥都不能公开，因此也称为私钥加密技术。加密技术。常用的私钥密码技术有两类：一类是流密码技常用的私钥密码技术有两类：一类是流密码技术；另一类是分组密码技术术；另一类是分组密码技术(如：如：DESDES、IDEAID

16、EA)。1.1.电子政务安全核心技术电子政务安全核心技术24 非对称密码技术采用两个不同的密钥，一个用非对称密码技术采用两个不同的密钥，一个用来加密，一个用来解密，前者是可以公开的，为公来加密，一个用来解密，前者是可以公开的，为公开密钥，而后者是需要保护的，只有解密人自己有，开密钥，而后者是需要保护的，只有解密人自己有，为秘密密钥，且二者不能相互推导，因此也称为公为秘密密钥，且二者不能相互推导，因此也称为公钥加密技术（如：钥加密技术（如：RSA RSA）。）。重要的重要的是密钥是密钥25A A公司公司B B公司公司C C公司公司（4 4）B B用自己的私用自己的私钥对文件进行解密钥对文件进行解

17、密（2 2）A A用用B B的公钥的公钥对文件进行加密对文件进行加密B B将他的公钥发给将他的公钥发给A A（1 1）（3 3）A A将加密后的文件发给将加密后的文件发给B B26（2 2）数字证书数字证书 数字证书是一个经数字证书认证中心数字证书是一个经数字证书认证中心(CA(CA认证认证中心中心)数字签名的包含公开密钥拥有者信息以及公数字签名的包含公开密钥拥有者信息以及公开密钥等信息的具有开密钥等信息的具有X.509X.509格式编码的文件。格式编码的文件。数字证书是由公证、权威的第三方数字证书是由公证、权威的第三方CACA中心签中心签发的，以数字证书为核心的密码技术可以对网络发的，以数字

18、证书为核心的密码技术可以对网络上传输的信息进行上传输的信息进行加密和解密加密和解密、数字签名和签名数字签名和签名验证验证，确保网上传递信息的机密性、完整性，以，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性和行为的不可否认性，及交易实体身份的真实性和行为的不可否认性，从而保障网络应用的安全性。从而保障网络应用的安全性。27用户用户A A用户用户B BCACA可以可以担保我的网上业务对方的担保我的网上业务对方的真实身份真实身份CACA可以可以担保我的网上业务对方担保我的网上业务对方的真实身份的真实身份?CACA中心中心我了解用户我了解用户A A我可以为他们的真实身份担保我可以为他们的

19、真实身份担保我了解用户我了解用户B B我可以为他们的真实身份担保我可以为他们的真实身份担保 CACA（Certificate AuthorityCertificate Authority）是颁发数字证书的）是颁发数字证书的机构。证书是一个机构颁发给一个安全个体的证明，所机构。证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性。以证书的权威性取决于该机构的权威性。28利用公开密钥理论和技术建立的利用公开密钥理论和技术建立的提供安全服务的在线基础设施。提供安全服务的在线基础设施。它利用它利用加密加密、数字签名数字签名、数字证数字证书书来保护应用、通信或事务处理来保护应用、

20、通信或事务处理的安全。的安全。基于公钥理论基于公钥理论 相对于传统的秘密密钥（对称密钥）相对于传统的秘密密钥（对称密钥）基础设施基础设施 如同电力基础设施为家用电器提供电如同电力基础设施为家用电器提供电力一样力一样 PKIPKI为各种互联网应用提供安全保障为各种互联网应用提供安全保障公钥基础设施（公钥基础设施（Public Key InfrastructurePublic Key Infrastructure）29（3 3）信息隐藏技术信息隐藏技术 该技术是利用多媒体信息本身存在的冗余该技术是利用多媒体信息本身存在的冗余性和人的感官对一些信息的掩蔽效应而形成的。性和人的感官对一些信息的掩蔽效应

21、而形成的。信息隐藏的含义是：把一个有意义的信息信息隐藏的含义是：把一个有意义的信息隐藏在另一个称为载体的信息中，形成隐秘载隐藏在另一个称为载体的信息中，形成隐秘载体，非授权者不知道这个信息中是否隐藏了其体，非授权者不知道这个信息中是否隐藏了其他的信息，即便知道，也难以提取或去除隐藏他的信息，即便知道，也难以提取或去除隐藏的信息。的信息。载体信息载体信息多媒体冗余多媒体冗余隐秘载体隐秘载体授权授权实际信息实际信息提取隐藏信息提取隐藏信息接受者接受者302.2.电子政务安全防范系统电子政务安全防范系统 电子身份认证电子身份认证防病毒软件防病毒软件防火墙防火墙入侵检测系统入侵检测系统漏洞扫描漏洞扫描

22、安全审计系统安全审计系统物理隔离系统物理隔离系统31三、三、电子政务安全运行管理体系电子政务安全运行管理体系v 1.电子政务安全行政管理(1)安全组织机构(2)安全人事管理(3)安全责任制度v 2.电子政务安全技术管理(1)实体安全管理(2)软件系统管理(3)密钥管理 323.3.电子政务安全风险管理电子政务安全风险管理 331.1.信息安全管理服务信息安全管理服务 信息安全咨询服务信息安全咨询服务 安全技术管理服务安全技术管理服务 数据安全分析服务数据安全分析服务 安全管理评估服务安全管理评估服务 四、四、信息安全社会服务体系信息安全社会服务体系342.2.信息安全测评认证信息安全测评认证

23、美国国家计算机安全协会美国国家计算机安全协会NCSA NCSA 最低安全性最低安全性;1 1 自主存取控制自主存取控制;2 2 较完善的自主存取控制较完善的自主存取控制(DAC)(DAC)、审计、审计;1 1 强制存取控制强制存取控制(MAC);(MAC);2 2 良好的结构化设计良好的结构化设计,形式化安全模型形式化安全模型;3 3 全面的访问控制全面的访问控制,可信恢复可信恢复;1 1 形式化认证形式化认证;353.3.信息系统安全应急响应服务信息系统安全应急响应服务 4.4.信息安全教育培训信息安全教育培训 36五、电子政务安全基础设施平台五、电子政务安全基础设施平台信息安全的法律保障信

24、息安全的法律保障1知识产权保护知识产权保护2信息化与电子政务促进法信息化与电子政务促进法3中国国家电子政务标准中国国家电子政务标准4371.1.信息安全的法律保障信息安全的法律保障 我国在信息安全的法制建设方面已经做了大量工作，已经出台了许多法律和法规，我国在信息安全的法制建设方面已经做了大量工作，已经出台了许多法律和法规，例如：例如：中华人民共和国保守国家秘密法中华人民共和国保守国家秘密法（19881988年年9 9月月5 5日，中华人民共和国主席令）；日，中华人民共和国主席令）；计算机软件保护条例计算机软件保护条例（19911991年年1010月月1 1日）；日）；计算机信息系统安全保护条

25、例计算机信息系统安全保护条例（19941994年年2 2月月1818日）；日）；警察法警察法（19951995年年2 2月月2828日，全国人大），规定日，全国人大），规定“履行监督管理计算机信息系统安全履行监督管理计算机信息系统安全保护工作保护工作”；新新刑法刑法（19971997年年3 3月，全国人大），增加了针对计算机信息系统和利用计算机犯罪月，全国人大），增加了针对计算机信息系统和利用计算机犯罪的条款；的条款；中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国计算机信息网络国际联网管理暂行规定（19971997年年5 5月月2020日，国务院）；日，国务院）；计算机信息系统

26、安全专用产品检测和销售许可证管理办法计算机信息系统安全专用产品检测和销售许可证管理办法（19971997年年1212月月1212日，公日，公安部）；安部）；计算机信息网络国际联网安全保护管理办法计算机信息网络国际联网安全保护管理办法（19971997年年1212月月1111日国务院批准，日国务院批准，19971997年年1212月月3030日公安部发布）；日公安部发布）；计算机病毒防治管理办法计算机病毒防治管理办法（20002000年年4 4月月2626日，公安部）；日，公安部）；计算机信息网络国际联网保密规定计算机信息网络国际联网保密规定（20002000年，国家保密局）；年，国家保密局）；

27、互联网信息服务管理办法互联网信息服务管理办法（20002000年年9 9月月2525日，国务院）；日，国务院）；全国人民代表大会常务委员会关于维护互联网安全的决定全国人民代表大会常务委员会关于维护互联网安全的决定（20002000年年1212月月2828日，全日，全国人大）。国人大）。382.2.知识产权保护知识产权保护已经出台了有关法律，如：已经出台了有关法律，如：著作权法实施细则著作权法实施细则 计算机软件保护条例计算机软件保护条例 计算机软件著作权登记办法计算机软件著作权登记办法 实施国际著作权条约的规定实施国际著作权条约的规定 商标法商标法 世界知识产权组织版权条约世界知识产权组织版权

28、条约 专利法专利法 中国互联网络域名注册实施细则中国互联网络域名注册实施细则 中国互联网域名管理办法中国互联网域名管理办法 中文域名注册暂行管理办法中文域名注册暂行管理办法 中国互联网络域名注册实施细则中国互联网络域名注册实施细则 中文域名争议解决办法中文域名争议解决办法393.3.信息化与电子政务促进法信息化与电子政务促进法（1 1）行政许可法行政许可法 行政许可法行政许可法明确规定：行政机关应当建立和完善有关明确规定：行政机关应当建立和完善有关制度，推行电子政务，在行政机关的网站上公布行政许可制度，推行电子政务，在行政机关的网站上公布行政许可事项，方便申请人采取数据电文等方式提出行政许可申

29、请。事项，方便申请人采取数据电文等方式提出行政许可申请。而且相关职能部门应当与其他行政机关共享有关行政许可而且相关职能部门应当与其他行政机关共享有关行政许可信息，提高办事效率。信息，提高办事效率。（2 2）政府信息公开条例政府信息公开条例 中华人民共和国政府信息公开条例中华人民共和国政府信息公开条例已经已经20072007年年1 1月月1717日日国务院第国务院第165165次常务会议通过，自次常务会议通过，自20082008年年5 5月月1 1日起施行日起施行（3 3）电子签名法电子签名法 电子签名就是在传输文件的同时，传输数字签名电子签名就是在传输文件的同时，传输数字签名+数字证数字证书，

30、使接收方可以确认发送方的身份和权利。书，使接收方可以确认发送方的身份和权利。404.4.中国国家电子政务标准中国国家电子政务标准电子政务标准化指南电子政务标准化指南包括如下几个标准：包括如下几个标准：电子政务标准化指南电子政务标准化指南网络基础设施网络基础设施电子政务标准化指南电子政务标准化指南支撑技术支撑技术电子政务标准化指南电子政务标准化指南安全管理安全管理电子政务标准化指南电子政务标准化指南工程管理工程管理电子政务标准电子政务标准共由共由6 6项组成。项组成。（1 1）电子政务总体标准）电子政务总体标准 （2 2）电子政务业务标准）电子政务业务标准 （3 3）电子政务应用支撑标准）电子政务应用支撑标准 （4 4）网络基础设施）网络基础设施 （5 5）信息安全标准）信息安全标准 （6 6）电子政务管理标准）电子政务管理标准演讲完毕，谢谢观看！