电子政务信息安全体系docWord文档下载推荐.docx
《电子政务信息安全体系docWord文档下载推荐.docx》由会员分享,可在线阅读,更多相关《电子政务信息安全体系docWord文档下载推荐.docx(76页珍藏版)》请在冰点文库上搜索。
360安全卫士歹意网页监控数据显示,仅1月3日一天,就有包含汕头市政府门户网站、山东省人民检
察院网站等在内的21家政府网站被黑客挂马。
依据互联网安全机构瑞星公司公布《2011年度公司安全报告》显示,
2011年有靠近20万个公司网站曾被成功入侵(以页面计算),教育科研网站
和政府网站成为最简单被攻击植入木马的种类,分别占整体数目的31%和
15%,3万个被成功入侵的政府网站页面遇到黑客不一样程度地破坏和改正,
部分甚至存在长久未修复的现象。
2012年9月3日,瑞典多个官方网站当日遇到黑客侵袭,瘫痪数小时。
这些数据都反响了一个问题,那就是政府电子政务信息安全问题严重。
(二)讲解新课
针对不一样教课内容,选择不一样的教课方法。
教师先就提出问题,让学生思虑,而后展现要讲解的内容。
教师利用板书展现所要讲解的新课。
(三)稳固练习
1.信息安全的定义。
2.电子政务信息安全面对的威迫。
3.电子政务信息安全设计。
发问的方式,需要10分钟。
(四)归纳小结
分节次梳理知识,而后整合到本章框架下,需时5分钟。
(五)作业安排
1.查找电子政务信息安全事例。
教课内容
分析、设问及要
求
8.1电子政务信息安全的需求
2学时
8.1.1何为信息安全?
设问1:
你以为的
信息安所有是什么?
国际标准化组织对信息安全的定义是:
“在技术上和管理上为数据处
理系统成立的安全保护,保护计算机硬件、软件和数据不因有时和恶
意的原由此遇到破坏、改正和泄漏”。
信息安全的基本内涵
⒈机密性
机密性也称保密性,保密性要求信息不为非法用户所知所用。
在电子政务系统中,敏感、机密信息或数占有可能在传输过程中被非法用户截取,系统应能够防备信息的非受权泄漏,即防备信息泄漏给不该当拥有该信息的用户、实体或进度等。
这就在技术上要求能够预防通
过搭线和电磁泄漏等手段获守信息,能够经过对业务流量的剖析获取
有价值情报或其余全部伤害系统机密性的行为。
往常采纳信息加密技术来保证信息的机密性。
⒉完好性
完好性是指未经受权不可以对信息进行改正的特征。
信息在传递或存
储过程中不被截取或破坏(包含窜改、重放或延缓),或只有获取赞同的人材能改正数据,信息的完好性能够保证或能够鉴识出数据能否
被改正。
系统中的软件和数据未经受权不得改变的特征,包含软件(程
要求1:
认识信息安全的内涵
序)完好性和数据完好性两个方面,即系统中使用的软件未经受权不得修改,数据在储存和传输过程中一定保证不被改正、不被破坏、不可以丢掉。
当信息出现不测改变时,就丧失了其完好性。
所以,需要从技术上预防对信息进行的任意生成、改正和删除等操作,同时还要防备在数据传输过程中出现信息丢掉、重复以及序次上的错误等状况。
⒊可用性
可用性是软件或系统的最基本特征,是指被受权用户或实体接见并按需求使用的特征,即当受权用户或实体需要接见系统、数据时能够被知足的特征。
可用性与环境、网络、系统以及数据的安全、靠谱、稳固等特征直接有关。
4.不可以否定性
不可以否定性是指证推行为已经发生的特征,以保证行为不可以狡辩。
不可以否定性以身份确以为前提,在保证明体身份的基础上,才能谈到
实体行为的不可以否定。
目前,不可以否定性主要依靠数字署名技术实现。
数字署名近似于人的手写署名,在署名中也包含难于假造的署名主体的个性信息。
不可以否定性是网络世界中信誉的核心表现,所以,其依靠的电子署名(也称数字署名)技术遇到世界各国广泛重视,好多国
家经过了“电子署名法”,以确立电子署名在数字世界中的法律地位。
⒌可控性
可控性是指对信息的接见、流传方式,以及信息的内容拥有控制的一种特征,在电子政务系统中,要求能够在任何须要的状况下不受阻拦地实行对信息以及系统接见的监控管理行为。
6.真切性
真切性是指信息所反应的内容与客观事物主体能否一致的特征。
电子政务信息安全面对的威迫
电子政务信息安全威迫是指对电子政务信息的保密性、完好性、
不可以否定性、可用性、可控性、真切性的破坏,或合法使用所造成的
要求2:
掌握电子政务信息安全面对的威迫
风险,主要来自技术和管理双方面。
(一)技术方面
电子政府履行政府职能的特色会致使来自外面或内部的各样攻击,包
括黑客组织、犯法公司或某些国家行为的攻击。
实行攻击主要依靠技
术手段,包含鉴于监听、截获、盗取、破译、业务流量剖析、电磁信
息提取等技术的被动攻击和鉴于改正、假造、破坏、冒充、病毒扩散
等技术的主动攻击。
我们把技术方面的安全风险分为物理安全风险、
链路安全风险、网络安全风险、系统安全风险和应用安全风险等五个
方面。
⒈物理安全风险
物理安全波及的风险主要有:
⑴对信息化基础设备的直接破坏,如切断通信电缆、损毁通信设备和
储存设备;
⑵对电子供给设备的破坏,如切断电源、电源故障、电压不稳、电力
供给不足等,造成设备断电,造成信息的破坏或丢掉;
⑶各样自然灾祸(如水灾、火灾、地震、台风、雷电等)、物理设备
(如计算机设备、网络设备、储存介质等)自己的老化和破坏等环境
事故可能致使的整个系统破坏;
⑷设备被盗、被毁造成数据丢掉或信息泄漏;
⑸静电、强磁场、电磁辐射可能带来的破坏,如设备短路、破坏储存
介质,可能造成数据信息破坏、被盗取或偷阅;
⑹报警系统的设计不足或故障可能造成误报或漏报。
这些物理风险主要来自于操作失误(如使用者错误格式化硬盘等)
、
人为的破坏和物理自然环境的恶化等。
⒉链路安全风险
入侵者可能在传输链路上利用搭线窃听等方式截获机密信息,
再经过
一些技术手段读出信息;
或经过对信息流向、流量、通信频度和长度
等参数的剖析,推导出实用信息,如用户口令、账号等;
或做一些篡
改来破坏数据的完好性。
⒊网络安全风险
网络应用在供给了网络的开放性和资源的共享性的同时,也增添了网
络安全的柔弱性和复杂性。
网络互联方式、网络的规模、供给服务的方式、网络著名度以及网络对安全事故的准备状况等一些因素都会影响到网络安全风险及其程度。
再加上政府的政治经济特征和资源特征,其信息资源遇到关注的程度更高,从而使得电子政务网络面对的安全威迫将更为严重。
一般地,网络安全威迫主要有:
⑴非受权接见:
没有早先经过赞同就使用网络资源被看作非受权访
问。
如:
存心避开系统接见控制体制,对网络资源进行违纪操作;
或
私自扩大权限,越权接见信息等。
⑵信息泄漏:
指敏感数据在存心或无心中被泄漏或流露给某个非受权
的人或实体。
这种威迫主要来自诸如窃听、搭线,或其余更为错综复
杂的信息探测攻击。
⑶破坏数据完好性:
以非法手段窃得对数据的使用权,删除、改正、
插入或重发某些重要信息,以获得有利于攻击者的响应;
或歹意增添、
改正数据,伤害数据的一致性,以搅乱用户的正常使用。
⑷拒绝服务攻击:
拒绝服务攻击能够防备用户对部分或所有计算机系统的接见。
它们的实现方法往常是:
经过向某个连结到局域网或许
Internet的设备发送大批的凌乱的或许没法控制的数据,不停对网络服
务系统进行搅乱,改变其正常的作业流程,履行没关程序,使系统响
应减慢甚至瘫痪,从而影响用户的正常使用,甚至使合法用户被排挤
而不可以进入网络系统或不可以获取相应的服务。
更严重的是散布式拒
绝服务攻击,这种攻击会危及到多个设备或许主机的安全。
⑸流传病毒:
经过网络流传计算机病毒,其破坏性远大于单机系统,
并且用户很难防备。
若是内网的一个系统或一台设备被病毒感染,就
很可能会影响同一网络上的其余系统以致造成整个网络瘫痪。
⒋系统安全风险
目前的操作系统以及基层支撑系统多来自于外国公司。
好多系统有漏
洞和“后门”,即在各样软硬件中存心或无心间留下的特别代码,通
过这些代码公司能够获取软硬件设备的表记信息或进入操作系统特
权控制的信息。
⒌应用安全风险
电子政务应用系统是软件。
软件既是重要的系统资源,是安全保护的对象,是安全控制的举措,又是危害安全的门路和手段,并且因为电子政务应用系统直接面向业务进行信息办理,其业务范围宽泛,应用主体众多,波及到复杂的权限管理和业务责任等原由,使得应用系统极为复杂,程序量很大,设计失误的风险不免会增加,加之还波及到软件开发人员的品德的靠谱性问题,所以,软件自己是十分柔弱的。
假如考虑不周,或许受设计者自己的技术能力限制,则应用系统的各构成部分和整个网络,从系统集成、网络设计到计算机各个元器件、网络设备、安全专用设备、操作系统、网络协议、应用软件等,都可
能无心识地留下可供攻击者开发利用的一些特征,使应用系统存在安全短处或隐患,直接影响到应用系统的使用成效。
从应用安全的角度考虑,主若是应用系统自己的安全和数据信息的安
全。
其内容包含:
⑴合法性。
一方面是指对信息系统操作的合法性,另一方面是指信息
系统用户身份的合法性。
⑵规范性。
在应用、操作和保护上一定恪守必定的技术规范。
⑶安全性。
信息系统和应用程序自己不可以存在安全破绽,应用过程中
所办理的各种信息不被泄漏、窜改、冒充或狡辩等。
⑷兼容性。
不一样的信息系统和应用程序之间应拥有优秀的信息互换能力。
因为电子政务是面向全社会供给公共信息和公共服务,其应用系统的服务对象十分宽泛,这必然要求其应用系统运行拥有靠谱性、可控性
和可追踪性,即保证系统没有易遇到攻击的破绽或后门,管理部门对系统有足够的控制和管理能力,对系统的运行能够实行有效追踪、监测并能及时解决发现的问题。
其余,还要求各电子政务应用系统拥有
开放性,对网络中其余不一样的应用系统拥有优秀的兼容性,并且应当
是可扩大的,以适应民众需求的不停变化。
(二)管理方面
网络系统的安全问题绝大多半都是来自于内部。
有检查显示:
在已有
的网络安全攻击事件中,约70%来自于网络内部的入侵。
组织内部安
全管理组织不健全,管理制度不规范且缺少可操作性,
平时管理松弛,
管理人员素质低,管理制度不健全,致使安全策略不完美或不可以实行,
是造成攻击者屡次到手的主要原由。
其余,人们的安全意识单薄,技
术力量严重不足,安全制度履行不力等原由,会使怀有歹意的内部人
员成为最难防备的仇敌,造成最大的安全隐患。
来自内部的安全威迫主要有:
内部人员成心泄漏网络结构;
安全管理
员存心流露其用户名及口令;
内部不怀好心的职工编些破坏程序在内
网上流传;
或许内部人员经过各样方式偷取别人的涉密信息并流传出
去等。
大多半技术安全举措,如防火墙、入侵者探测系统等旨在对付
来自于系统外面的攻击的手段,对内部的攻击却一筹莫展。
这是因为
内部人员对系统的工作原理和柔弱之处特别认识。
他们熟习组织结
构,获取了系统的充分相信,也知道系统是如何针对他的行为进行调
查的,他能够利用系统自己的资源来对付系统。
为此,除了需要拟订
一系列信息安全标准和信息系统安全标准以外,
还需要在设计技术安
全举措的同时同步考虑管理安全举措的拟订。
尔后者对政府来说更为
重要。
不难看出,电子政务信息安所有是一个系统的观点,它既存在因为技术
原由惹起的安全隐患,也有因为管理原由惹起的安全问题。
所以,仅
依靠信息安全技术和产品,不行能形成有效的信息安全系统。
要全面
解决电子政务信息安全问题,管理工作(包含组织和制度建设等)必
须增强,以全面保障电子政务的整体安全。
8.2
何为安全策略
所谓安全策略,是指在一个特定的环境里,为保证供给必定级别
设问2:
针对前边讲
到的电子政务信息
的安全保护所一定恪守的规则。
电子政务信息安全波及哪些方面?
(发问)
波及环境、设备、技术、人员、管理等多方面。
在其各个安全环节中,安全管理是核心,安全技术为安全管理服务,是实行安全管理的工具与保障。
我们在此主要商讨技术和管理方面的策略选择。
电子政务信息安全的目标
1.技术安全
电子政务信息安全目标是,保护政务信息资源不受入侵,保证信息面对最小的风险和获取最大的价值,保证政府的形象和威望,使信息服务表现最正确成效。
从电子政务信息安全风险剖析中,能够归纳出电子政务信息安全目标主要包含以下几个方面:
信息安全包含信息传输安全、信息储存安全、信息接见安全等多项内容。
一方面,在技术系统上要有优秀保障的防火墙技术、防病毒技术、入侵检测与破绽扫描技术、认证与加密技术;
另一方面,要提
高核心技术的国产化和自主开发能力,同时对应用于政府网络中的所有设备、软件一定进行严格的安全检测。
下边是在议论电子政务技术安全问题时常常会波及到的一些概
念。
⑴安全攻击:
指各样危害信息安全的行为。
依据行为的特色又可
以分为主动攻击和被动攻击。
主动攻击包含破坏基础设备、电磁搅乱、蓄意备份未受权信息、删除或改正政府网站上的信息、在网上扩散病
毒等行为;
被动的攻击包含对政府网站上的信息进行监听、截获、盗取、破译、业务流量剖析和电磁信息提取等。
⑵安全体制:
主要指为了保证系统安全运行,所采纳的安全技术、方法以及实现策略。
比方,在用户登录系统设计中,安全体制能够采
用简单的用户名口令体制,能够采纳双因子认证体制,也能够采纳PKI身份认证体制,在安全体制基础上,能够针对系统实质特征调整实现
安全存在的风险:
技术安全风险和管理安全风险,那么我们需要什么样的对付策略。
方法和策略。
安全体制包含的内容好多,也很复杂,表此刻系统建设
的各个方面和各个阶段。
⑶安全服务:
能够提升数据或信息办理、传输安全性的服务。
一
项安全服务可能是几种安全体制的组合,比方数字证书服务就是鉴于
密钥加密、信息纲要和数字时间戳等多种技术的联合,来保证信息的
完好性、真切性和不可以否定性。
⑷安全系统:
指借助于一种或多种安全服务或体制实现的操作平
台或应用系统。
2.管理安全
管理安所有是从管理的层面上拟订一致的安全管理规范和有关的法律保障,实现电子政务安全管理的制度化、法律化。
它是依靠严格的安全管理制度、监察拘束体制来提升管理者的安全意识和拥塞各样安全管理破绽。
管理安所有是电子政务信息整体安全的核心,它贯串于电子政务技术安全内容的各个方面,是安全技术发挥作用的保证。
一般在建立安
全系统时,简单只关注技术安全和设备安全,而忽略管理安全,却不知好多安全问题都和管理上的粗心有关。
在整个安全系统中,安全管理策略与安全技术密不行分,只有将二者有机联合,融为一体,才能有效地保证电子政务信息安全。
为实现电子政务信息安全目标,目前政府采纳的技术和管理方面
的综合策略主要包含:
第一,国家主导、社会参加。
第二,全局治理、
踊跃防守。
就是采纳法律威慑、管理限制、技术保障和安全基础设备支撑的全局治理举措,并且实行防备、检测、恢复和反扑击的踊跃防守手段。
第三,等级保护、保障发展。
电子政务建设要依据信息的密级及所面对的威迫等级,确立知足需求的安全策略,选择适合的安全技术产品,达到要求的安全强度,以保障电子政务系统健康发展。
电子政务信息安全建设原则
电子政务信息安全建设一定依照以下原则:
1.安全分级原则。
信息的绝对安所有是不现实的,也是没有必需的。
只需信息被截取破译的成本超出信息的价值或是被截取破译的时间
超出信息的保密限期,我们就以为它是安全靠谱的。
政府应当依据政
务信息的不一样密级,采纳不一样的安全技术和安全产品。
2.同步性原则。
同步性原则要求信息安全保障系统同信息系统的运行在时间上是重叠的。
在任何状况下,假如没有安全保护举措,那么政务信息就不可以进行传输、储存和接见等操作。
3.多重防备原则。
世界上没有不可以攻破的碉堡,也没有不可以入侵的系统。
在政务系统的不一样层次要采纳不一样的安全产品、安全技术和安全策略。
4.合法性原则。
我国政府高度重视信息安全的管理,在对信息安全产品的研制、生产、销售进行严格、规范管理的同时,针对我国信息安全现状,在信息安全管理方面出台了若干法律法例以及行业规范,各政府机关在信息系统建设过程中,要严格依照这些法律法例以及规
范,联合本部门的特色,拟订确实有效、合法合规的管理策略和方法。
电子政务信息安全的针对性策略
分为两点,一是电子政务信息安全基本需求的策略,二是电子政
务信息安全威迫的策略。
(一)针对电子政务信息安全基本需求的策略
要保证电子政务信息安全的基本需求,需采纳以下对付举措:
1.使用接见控制体制,阻挡非受权用户进入网络,即“进不来”,
从而保证网络系统的可用性。
2.使用受权体制,实现对用户的权限控制,即不该拿走的“拿不走”,同时联合内容审计体制,实现对网络资源及信息的可控性。
3.使用加密体制,保证信息不裸露给未受权的实体或进度,即未受权者“看不懂”,从而实现信息的保密性。
4.使用数据完好性鉴识体制,保证只有获取赞同的人材能改正数据,而其余人“改不了”,从而保证信息的完好性。
5.使用审计、监控、追踪、防狡辩等安全体制,使得攻击者、破
坏者、狡辩者“走不脱”,并进一步对出现的安全问题供给检查依照
和手段,实现信息安全的可审察性。
因为电子政务信息的安全和共享是一对矛盾,安全与信息的可用
性也是相互矛盾的,所以,在拟订电子政务信息安全解决方案时,要
充分考虑政务的特征和要求,将技术与管理有机联合,在进行安全评
估的基础上,再确立适合的方案。
(二)针对电子政务信息安全威迫的策略
经过对电子政务信息可能遭到的各样风险的全面认识,对电子政
务系统中不一样层次要采纳各不相同的安全策略。
1.物理安全
为充散发挥电子政务系统的性能,保证系统及有关设备运行正
常,对计算机及其隶属设备、设备(包含机房建筑、供电电源、空调等)、环境以及其余媒体等要采纳适合的安全举措,保证物理设备的安全,这就是物理安全,也称实体安全。
它包含三方面内容:
第一,环境安全,即对系统所在环境的安全保护,如机房的安全技术要求、
实体接见控制和灾害保护等;
第二,设备安全,主要包含设备的防盗、
防毁、防磁场、防静电、防电磁波辐射与搅乱及电源保护等;
第三,
媒体安全,包含媒体数据的安全及媒体自己的安全。
为保证物理安全,一方面,能够经过成立备用系统、双机热备、
故障隔绝体制、电磁波搅乱或障蔽,以及机房的防火、防盗举措等,
来保障系统即便遭受危机也能正常运行。
另一方面,针对重要信息可
能经过电磁辐射或线路搅乱造成泄漏等问题,需要对主机房和重要信
息的储存、收发部门进行必需的安全保护设计,如建立障蔽室,采纳辐射搅乱机,防备电磁辐射泄漏机密信息等举措,以防备或减少可能遭到的安全风险。
2.链路安全
链路安全就是要求数据在链路上传输一定加密,即便信息在链路
上被非法截获,明文信息也不会裸露,信息也不可以被窜改。
3.网络安全
网络安所有是指经过网络安全检测、网络监控与入侵防备等手段,
防备非法用户穿过系统的接见控制进行特权数据的读取或对系统进
行破坏。
从技术的角度剖析,网络安全包含技术防备系统和技术监察
系统两个方面。
成立防备系统是一种主动的行为,其目标是降低或避
免风险,主要依靠已经剖析掌握的安全风险评估、针对已知的网络威
胁,而采纳的一种主动防守手段,固然看起来是主动行为,但面对网
络攻击,防守常常很被动;
技术监察是当威迫已经不是一种可能,已
经成为现实的时候如何能够经过技术手段发现这种攻击并能够采纳
相应的举措以降低攻击所造成的损失的一种能力。
当攻击真切发生
时,系统的监察、检测以及快速反响体制常常更重要。
4.系统安全
系统安全往常是指网络操作系统、数据库系统以及其余基层支撑
系统的安全,目的是成立一个可信的安全操作环境。
为防止在核心技
术方面受制于人,保证信息安全,政府一定重视拥有民族自主知识产
权的信息安全技术和产品的研发和应用,逐渐从要点产品开始代替国
外产品,特别在重要领域及要害部门更要这样。
支撑系统的安全性除取决于系统产品自己的技术特征、产品特征
及安全特征外,还与系统自己以及系统间的合理配置和合理选择有很
大的关系。
5.应用安全
应用安所有是指为保障应用系统功能的安全实现,供给包含风险分
析、权限管理、接见控制、审计追踪、备份与恢复等在内的一系列安
全举措,来保护信息办理过程的安全。
6.管理安全
中国信息安全最大的隐患在于管理。
管理安全主若是指经过建设
有关的法律法例、政策制度以及安全管理手段等来保证系统的安全运
行。
针对管理安全,政府能够采纳安全评估、安全政策、安全标准、
安全制度和安全审计等策略。
⑴安全评估
安全评估是从政治、经济、技术等方面确立电子政务系统中信息
安全的重要性。
包含不一样的系统遇到哪些不一样的潜伏威迫?
威迫的严
重程度如何?
威迫将造成什么样的结果?
如何才能确立系统终究需要什么样的安全举措?
安全评估是决定拟订何种安全标准以及采纳如何的安全技术和手段的前提。
⑵安