电子政务公共监管与服务体系

《电子政务公共监管与服务体系》由会员分享，可在线阅读，更多相关《电子政务公共监管与服务体系（71页珍藏版）》请在装配图网上搜索。

1、电子政务,杨兴凯,东北财经大学 管理科学与工程学院,第一节 电子政务安全概述 第二节 电子政务安全体系框架 第三节 电子政务安全技术保障体系 第四节 电子政务安全运行管理体系 第五节 安全基础服务保障体系 第六节 电子政务安全实现,主要内容：,构建电子政务安全管理体系的重要性,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系,黑客入侵和犯罪,病毒泛滥和蔓延,信息间谍的潜入和窃 密,内部人员的违规和违法操作,电子 政府,电子政务安全概述,现状及原因,安全

2、分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系,构建电子政务安全管理体系的重要性,电子政务安全遵循“木桶原理”，即一个木桶的容积 取决于它最短的一块木板，电子政务系统的安全强度 取决于它最薄弱环节的安全强度。因此，电子政务必 须建立在一个完整的、多层次的安全体系之上，那么 构建一个合理的电子政务安全管理体系就显得尤为重 要。,国外电子政务安全现状,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架

3、,安全需求,安全管理体系框架,电子政务安全技术保障体系,相关组织机构的建设，如美国安全委员会下设的国家保密 政策委员会和信息系统安全保密委员会,重视对网络安全基础设施建设和安全技术研发的投入,制定及时、统一的法规政策和标准体系，该体系涉 及问题 包括：隐私、安全、身份认证、信息管理等,我国电子政务安全的现状,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系,信息与网络安全防护能力较弱，许多应用系统处于不设防 的状态,国内的IT厂商，在自有知识产权、研发

4、等方面能力较弱,人员的安全意识不强，综合素质有待提高,缺乏一系列的网络安全标准,网络安全相关的法律法规不健全,电子政务安全问题产生的原因,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系,电子政务系统对网 络的高度依赖,安全技术的缺陷,网络的开放性,管理的漏洞,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系,

5、政务活动主体的定义,政务活动的主体定义为服务方和客户方。服务方专门负责提供相关服务，满足客户方的各种请求；客户方则专门提出自己的要求，希望得到响应和解决。,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系,按政务活动主体分类,包括系统中心安全性被破坏、 竞争者的威胁、 机密信息的丢失、 假冒的威胁和拒绝服务,服务方面临的 安全威胁,客户方面临的 安全威胁,包括虚假请求、机密性丧失,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体

6、系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系,按攻击手段分类,系统穿透,指未经授权人通过一定手段对认证系统进行攻击，假冒合法用户接入政 府内部系统，实现对文件进行篡改、窃取机密信息、非法使用资源等,违反授权,植入,通信监视,通信串扰,中断,拒绝服务,否认,指入侵者要在系统中设置一种能力，为以后攻击提供方便条件。植入 一般在系统穿透或违反授权攻击成功后，采取向系统中注入病毒等,指授权进入系统做某件事的用户，在系统中进行未经授权的其他事情,指攻击者对系统可用性进行攻击，使系统不能正常工作,指在通信过程中从信道进行搭线窃听,

7、指攻击者对通信数据或通信过程进行干预，对完整性进行攻击，篡改 系统中数据的内容，修正消息次序、时间，注入伪造消息,指合法接入者所进行的正当行为无辜受阻,指一个实体进行某种通信或交易活动后否认曾进行过这一活动,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系, 技术风险,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保

8、障体系, 技术风险,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系, 技术风险,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系,组织及人员风险,管理制度不完善,安全策略有漏洞,缺乏应急体系, 管理风险,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务

9、安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系, 服务风险,第三方安全服务提供商的选择风险,法规、标准不健全,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系,电子政务安全技术需求表,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系,电子政务安全管理表,电子政务安全概述,

10、现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系,电子政务安全服务需求表,电子政务安全概述,现状及原因,安全分类,安全风险,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,安全需求,安全管理体系框架,电子政务安全技术保障体系,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,物

11、理安全就是保证对物理设施的合法访问，避免人 为破坏，并将自然灾难的影响降到最低。,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,物理隔离，采用隔离网闸技术,逻辑隔离，包括VLAN、访问控制、VPN、防火墙、身份识别、代理服务器,逻辑隔离和物理隔离,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,

12、风险管理,源文件 （明文 ）,解密后的信息（明文）,加密后的信息（密文）,加密后的信息（密文）,密钥加密,因特网,密钥解密,数据加密过程,加密系统,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,对称密钥加密技术,不对称密钥加密技术,对称加密，是指使用同一把密钥对信息加密、信息解密。一个加密系统的加密密钥和解密密钥相同，或者虽然不同，但可以由其中一个推导另一个，则为对称密钥密码体制。,加密和解密的速度很快，效率也很高，但需要仔细保存密钥，其

13、保密性主要取决于密钥本身的保密强度和密钥传送通道的安全性。,加密系统,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,对称密钥加密技术,不对称密钥加密技术,常用的私钥密码技术有两类：一类是流密码技术；另一类是分组密码技术。前者是将明文内容按字符逐位地进行加密，而后者是将明文先按一定的大小进行分组，再对各组逐一加密或解密。流密码技术包括同步流密码技术和自同步流密码技术等，分组密码技术包括 DES、IDEA、RC-5 等。对称加密的典范是DES

14、算法，自1977年至1998年，一直被确认为美国国家加密标准。,加密系统,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,对称密钥加密技术,不对称密钥加密技术,不对称加密又称为公开密钥加密，是1976年由斯坦福 大学提出来的。与对称密钥系统相比，公开密钥加密 技术需要使用一对相关的密钥：一个用来加密，另一 个用来解密。该技术的设想是，密钥对是与相应的系 统联系在一起的，其中私有密钥是由系统所保密持有 的，而公开密钥则是公开的，但知道公开密钥

15、是不能 推导出私有密钥的。,加密系统,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,对称密钥加密技术,不对称密钥加密技术,依据公开密钥是用作加密密钥还是解密密钥，公开密 钥系统有两种基本的模式：加密模式和验证模式。,一般来说，既能以加密模式又能以验证模式运作的公 开密钥加密系统被称为可逆的公开密钥加密系统。有 些公开密钥加密系统只能运作在验证模式而不能运作 在加密模式，这种系统被称为不可逆的公开密钥加密 系统。,加密系统,电子政务安全概述

16、,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防火墙,防火墙（firewall）是指一个由软件和硬件设备组合而成，处于企业或网络全体计算机与外界通道之间，用来加强互联网与内部网络之间安全防范的一个或一组系统。它具有限制外界用户对企业内部网络访问及管理内部用户访问外部服务。,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术

17、保障体系,风险管理,一切未被允许的都是禁止的,防火墙的安全策略,一切未被禁止的都是允许的,防火墙,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防火墙,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,代理服务器的工作原理,代理获得客户机和服务器之间通信的全部控制权,防火墙,电子政务安全

18、概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防火墙的局限性,不能阻止来自内部的破坏,不能保护绕过它的连接,无法完全防止新出现的网络威胁,不能防止病毒,防火墙,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,交换机和路由器是网络互连的核心设备，它们的配置直 接影响网络的安全性。交换机是第二层设备（

19、某些交换 机可以提供第三层功能），用于连接局域网分段，利用 MAC地址表来转发数据帧。交换机安全包括端口安全、 专用VLAN安全等。,路由器工作在第三层，是广域网互联设备。路由器提供 的安全功能更多也更复杂，包括访问控制、网络地址转 换、身份验证、流量过滤、SSH远程管理、配置VPN、 日志功能等。,交换机、路由器安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,入侵检测系统（Intru

20、sion Detection Systems, IDS）是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,入侵检测系统的类型,基于主机的IDS,基于网络的IDS,分布式IDS,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络

21、安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,入侵检测系统的方法,基于特征的检测,基于异常的检测,完整性校验,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,入侵检测系统的主要功能,监测并分析用户和系统的活动,核

22、查系统配置和漏洞,评估系统关键资源和数据文件的完整性,识别已知的攻击行为,统计分析异常行为,操作系统日志管理，并识别违反安全策略的用户活动,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,防病毒技术分为主机防病毒和网络防病毒。主机防病毒主要是安装防病毒软件，对电脑文件访问实时监测，发现病 毒就立即清除或修复。网络防病毒通常由安全提供商提供一整套的解决方案，进行全面的防护。,系

23、统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,计算机病毒有主动传染性、隐藏性、欺骗性、破坏性、衍生性等特点。,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安

24、全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,计算机病毒的防治, 构建综合的安全体系 多层防御体系 防毒与网络管理集成 在网关、服务器上防毒 及时更新防毒软件,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,漏洞扫描系统的功能：动态分析系统的安全漏洞，检查用户网络中的安全隐患，发布检测报告、提

25、供有关漏洞的详细信息和最佳解决对策，堵绝漏洞、降低风险，防患于未然。,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,用户访问系统之前必须经过身份认证系统，监控器根据用户身份和授权数据库决定用户能否访问某个资源。电子政务系统必须建立基于CA认证体制的身份认证系统。,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,

26、电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,数字证书,认证中心,数字证书是由权威公正的第三方机构即CA中心签发的包含公开密钥拥有者信息以及公开密钥的文件，可以用来证明数字证书持有者的真实身份。,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,数字证书,认证中心,数

27、字证书的作用： 信息除发送方和接收方外不被其他人窃取； 信息在传输过程中不被篡改； 发送方能够通过数字证书来确认接收方的身份； 发送方对于自己的信息不能抵赖； 信息自数字签名后到收到为止，未曾作过任何 修改，签发的文件是真实文件。,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,数字证书,认证中心,数字证书的形式： 证书的格式遵循ITU-T X.509标准。该标准是为了保证使

28、用数字证书的系统间的互操作性而制定的。,证书内容包括：版本、序列号、签名算法标识、签发者、 有效期、主体、主体公开密钥信息、CA的数字签名、可 选项等。,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,数字证书,认证中心,数字证书的类型,个人数字证书,个人数字证书主要为某一个用户提供，以验证用户身份，保证信息的安全，主要是针对个人的电子邮件安全。,服务器证书主要为网上的Web

29、服务器提供。,开发者证书通常为互联网中被下载的软件提供。软件开发者可以利用这种数字证书作为软件的数字标识，在互联网上进行安全的传送。,服务器证书,开发者证书,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,数字证书,认证中心,数字证书的生成,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政

30、务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,防病毒系统,漏洞扫描系统,安全认证,入侵检测系统,数字证书,认证中心,功能：包括证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档。,概念：认证机构CA又称认证中心、证书授予机构，是承担网上认证服务，能签发数字证书并能确认用户身份的受大家信任的第三方机构。CA通常是企业性的服务机构，其主要任务是受理数字证书的申请、签发、及对数字证书进行管理。,系统及应用安全,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应

31、用安全,安全策略管理,电子政务安全技术保障体系,风险管理,安全组织机构的主要职责有： （1）对整个电子政务系统进行整体的安全规划，制定整 体的安全解决方案，包括相应的安全策略，应急方案等； （2）制定安全管理制度，权责分明； （3）实时监控网络的安全性，监督安全方案的实施情况，根据出现的问题漏洞，及时修改、补充安全方案。,安全组织机构,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,安全组织机构,电子政务安全概述,物理安全,行政管理,网络安

32、全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,有组织就应该有制度。安全管理制度保障安全管理的有效实施，规范安全管理人员的行为，降低人为因素造成的安全隐患。 包括：人员管理制度；系统运行维护管理制度；密钥管理制度；保密制度；访问控制管理制度等。,安全管理制度,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,安全策略管理,安全运行过

33、程,系统维护,意外事件响应,系统监控,安全审计,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,（1）规范原则 （2）预防原则 （3）立足国内原则 （4）选用成熟技术原则 （5）注重实效原则 （6）系统化原则 （7）均衡防护原则 （8）分权制衡原则 （9）应急原则 （10）灾难恢复原则,安全管理的基本原则,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架

34、,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,（1）专门的安全管理机构 （2）专门的安全管理人员 （3）逐步完善的安全管理制度 （4）具有逐步提高的安全技术工具,安全管理的条件保障,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,（1）网络实体的安全管理 （2）保密设备与密钥的安全管理 （3）安全行政管理,安全管理的内容,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电

35、子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,安全风险评估,安全风险控制,应急方案,分析电子政务系统的风险环境,对识别出的风险进行风险级别的度量,从自然环境、工作环境、技术环境和管理环境等多角度确定风险管理范畴，挖掘出潜在风险,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,安全风险评估,安全风险控制,应急方案,技术控制。安全策略的应用，安全产品的选择， 设备的控制等。,管理控制。

36、提高工作人员的安全意识，规范操 作行为等。,效益控制。平衡安全成本与效率之间的关系。,电子政务安全概述,物理安全,行政管理,网络安全,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,系统及应用安全,安全策略管理,电子政务安全技术保障体系,风险管理,安全风险评估,安全风险控制,应急方案,监测,响应,恢复,修正系统以弥补引起攻击的漏洞，例如系统升级、安装补丁等,对受损系统进行灾难恢复，包括系统恢复、数据恢复和功能恢复,电子政务安全概述,PKI/PMI认证平台,法规和标准建设,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系

37、 框架,第三方安全服务提供商,安全的实施,电子政务安全技术保障体系,安全的实现层次,第三方安全服务提供商,电子政务的安全需要专业的安全服务提供商提供，由 网络安全专家，专业的网络安全工具和安全管理策 略组成的完整的安全解决方案。包括风险分析、安 全咨询服务、安全管理服务、测评服务、产品维护、 应急响应服务和安全培训服务等。,电子政务安全概述,PKI/PMI认证平台,法规和标准建设,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,第三方安全服务提供商,安全的实施,电子政务安全技术保障体系,安全的实现层次,第三方安全服务提供商的特点,（1）第三方安全服务商

38、是一个个介于客户与产品之间 的桥梁，站在客户的立场上，以选择最适合于解 决用户网络安全问题的产品的最佳组合。 （2）第三方安全服务商的最终目的是让客户的成功最 大化，使客户的网络安全问题得到最终解决。 （3）第三方安全服务商提供的是本地化的安全产品全系 列化的服务，是某类产品的服务。,电子政务安全概述,PKI/PMI认证平台,法规和标准建设,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,第三方安全服务提供商,安全的实施,电子政务安全技术保障体系,安全的实现层次,PKI（Public Key Infrastructure）公钥基础设施技术采用证书管理公

39、钥，通过第三方的可信任机构认证中心CA（Certification Authority），将用户公钥和用户标识捆绑，提供身份验证机制。,公钥基础设施,电子政务安全概述,PKI/PMI认证平台,法规和标准建设,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,第三方安全服务提供商,安全的实施,电子政务安全技术保障体系,安全的实现层次,PKI的基本组成,认证机构（CA）,数字证书库,密钥备份及恢复系统,证书作废系统,应用接口（API）,公钥基础设施,电子政务安全概述,PKI/PMI认证平台,法规和标准建设,电子政务安全运行管理体系,安全基础服务保障体系,电子

40、政务安全实现,电子政务安全体系 框架,第三方安全服务提供商,安全的实施,电子政务安全技术保障体系,安全的实现层次,PKI应用的范围及中心作用,公钥基础设施,电子政务安全概述,PKI/PMI认证平台,法规和标准建设,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,第三方安全服务提供商,安全的实施,电子政务安全技术保障体系,安全的实现层次,PMI（Priviliege Management Infrastructure）授权管理基础设施，建立在PKI体系基础上，接受服务提供者的委托对终端用户实施权限控制，实现用户身份到应用授权的映射功能。,授权管理基础设施

41、,电子政务安全概述,PKI/PMI认证平台,法规和标准建设,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,第三方安全服务提供商,安全的实施,电子政务安全技术保障体系,安全的实现层次,授权管理基础设施（PMI）是一个由属性证书、属性权限、属性证书库等部件构成的综合系统，用来实现权限和证书的产生、管理、存储、分发和撤销等能。 属性证书的申请、签发、注销、验证流程对应着权限的申请、发放、撤消、使用和验证的过程。 使用PMI证书进行权限管理方式使得权限的管理不必依赖某个具体的应用。,授权管理基础设施,电子政务安全概述,PKI/PMI认证平台,法规和标准建设,

42、电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,第三方安全服务提供商,安全的实施,电子政务安全技术保障体系,安全的实现层次,PKI与PMI之间的比较,电子政务安全概述,PKI/PMI认证平台,法规和标准建设,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,第三方安全服务提供商,安全的实施,电子政务安全技术保障体系,安全的实现层次,国家信息安全基础设施（NISI）,电子政务安全概述,PKI/PMI认证平台,法规和标准建设,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,第

43、三方安全服务提供商,安全的实施,电子政务安全技术保障体系,安全的实现层次,电子政务安全需要法律法规做保障，我国颁发了一些与网络安全有关的法律法规，如计算机信息系统安全保护条例、计算机信息系统保密管理暂行规定等。在完善法律法规的同时，还应该加大执法力度，严格执法。,电子政务网络安全标准规范包括电子文档密级划分和标记格式、内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和网络安全产品测评标准等方面的内容。,电子政务安全法规建设和安全标准建设,电子政务安全概述,PKI/PMI认证平台,法规和标准建设,电子政务

44、安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,第三方安全服务提供商,安全的实施,电子政务安全技术保障体系,安全的实现层次,电子政务安全概述,PKI/PMI认证平台,法规和标准建设,电子政务安全运行管理体系,安全基础服务保障体系,电子政务安全实现,电子政务安全体系 框架,第三方安全服务提供商,安全的实施,电子政务安全技术保障体系,安全的实现层次,电子政务安全的实施应该做好五个方面的工作： 1）树立正确的安全观念 2）进行详细全面的规划 3）确立全面的安全保护 4）实施风险分析 5）建立审计跟踪机制,电子政务安全实施,电子政务安全要素体现在以下几个方面：有效性和

45、真实性、机密性、数据的完整性、可靠性和不可抵赖性。 电子政务安全管理体系包括：技术保障体系、运行管理体系和安全基础服务体系。 加密技术是最基本的安全技术，是实现信息保密性的一种重要手段，其目的是为了防止非法用户获取信息系统中的机密信息。包括私有密钥加密系统和公开密钥加密系统。 防火墙(firewall)是指一个由软件和硬件设备组合而成，处于企业或网络全体计算机与外界通道之间，用来加强互联网与内部网络之间安全防范的一个或一组系统。它具有限制外界用户对企业内部网络访问及管理内部用户访问外部服务。,小结,小结,计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。要指定相应的措施加以防治。 数字证书是由权威公正的第三方机构即CA中心签发的包含公开密钥拥有者信息以及公开密钥的文件，可以用来证明数字证书持有者的真实身份。 PKI公钥基础设施技术采用证书管理公钥，通过第三方的可信任机构认证中心CA，将用户公钥和用户标识捆绑，提供身份验证机制。PMI特权管理基础设施，建立在PKI体系基础上，接受服务提供者的委托对终端用户实施权限控制，实现用户身份到应用授权的映射功能。 电子政务安全的实施应该做好五个方面的工作：树立正确的安全观念、行详细全面的规划、确立全面的安全保、实施风险分析和建立审计跟踪机制。,