《电子政务安全体系》PPT课件.ppt

第八章 电子政务安全体系 电子政务 机械工业出版社 第八章 电子政务安全体系 n本章的主要内容： l电子政务安全概述； l电子政务安全体系框架。 n本章的学习目标： l了解电子政务安全发展的现状 ； l了解电子政务面临的安全问题 ； l掌握电子政务安全管理体系框架组成； l理解加密技术、防火墙技术、身份认证等安全技术 。 第八章 电子政务安全体系 第八章 电子政务安全体系 电子政务安全概述 安全现状 产生的原因 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 安全分类 8.1 电子政务安全概述 安全第一 电子政务安全： l涉及对国家秘密信息和高度敏感的核心政务 的保护； l涉及维护公共秩序和行政监督的准确实施； l涉及为社会提供公共服务的质量保证。 第八章 电子政务安全体系 电子政务安全概述 安全现状 产生的原因 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 安全分类 黑客入侵 和犯罪 病毒泛滥 和蔓延 信息间谍的 潜入和窃密 内部人员 的违规和 违法操作 电子 政府 8.1.1 电子政务安全现状 1）构建电子政务安全管理体系的重要性 第八章 电子政务安全体系 电子政务安全概述 安全现状 产生的原因 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 安全分类 取决于 最薄弱环节的 安全强度 电子政务系统 安全强度 木桶原理 第八章 电子政务安全体系 电子政务安全概述 安全现状 产生的原因 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 安全分类 2）国内外电子政务安全现状 国外电子政务安全现状 安全组织机构的建设 重视对网络安全基础设施建设和安全技术 研发的投入 制定及时、统一的法规政策和标准体系 第八章 电子政务安全体系 电子政务安全概述 安全现状 产生的原因 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 安全分类 主要表现 缺乏信息安全保障体系 缺乏关键网络安全产品的自主知识产权 网络安全管理相对落后 缺乏统一的信息安全保障体系，电子政务系 统安全存在着严重隐患。 国内电子政务安全现状 第八章 电子政务安全体系 电子政务安全概述 安全现状 产生的原因 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 安全分类 8.1.2 电子政务安全问题产生的原因 1）技术保障措施不完善 2）管理体系不健全 3）基础设施建设不健全 第八章 电子政务安全体系 电子政务安全概述 安全现状 产生的原因 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 安全分类 1）技术保障措施不完善 （1）计算机系统本身的脆弱性 （2）软件系统存在缺陷 l系统软件本身缺乏安全性 l应用系统中的安全隐患 （3）网络的开放性 l互联网本身的不安全因素 l通信线路的开放性 l网络资源共享存在的安全隐患 l病毒侵害 第八章 电子政务安全体系 电子政务安全概述 安全现状 产生的原因 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 安全分类 2）管理体系不健全 （1）组织及人员风险 （2）管理制度不完善 （3）安全策略有漏洞 （4）缺乏应急体系 第八章 电子政务安全体系 电子政务安全概述 安全现状 产生的原因 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 安全分类 3）基础设施建设不健全 （1）法律体系不健全 （2）安全标准体系不完整 l标准的制定水平较低 l缺乏与的实际情况的结合 l使用单位对执行标准的认识不足 （3）电子政务的信任体系问题 （4）社会服务体系问题 第八章 电子政务安全体系 电子政务安全概述 安全现状 产生的原因 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 安全分类 8.1.3 电子政务安全分类1 of 2 电子政务面临的安全威胁 非人为的安全威胁 人为的安全威胁 自然灾害 信息技术的漏洞 和局限性 内部人员安全威胁 外部人员安全威胁 第八章 电子政务安全体系 电子政务安全概述 安全现状 产生的原因 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 安全分类 8.1.3 电子政务安全分类2of 2 恶意安全威胁 内部人员安全威胁 外部人员安全威胁 非恶意安全威胁 被动攻击 主动攻击 邻近攻击 分发攻击 第八章 电子政务安全体系 安全需求 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体 系框架 安全管理体系框架 电子政务安全技术 保障体系 政务信息关系到党政部门、乃至整个国家的利 益，比个人或商务信息更为敏感，需要更高的 安全性。 电子政务行使政府职能的特点导致更容易受到 来自外部或内部的攻击 。 电子政务信息对安全性要求比较高 8.2.1 电子政务的安全需求1 of 4电子政务安全概述 第八章 电子政务安全体系 安全需求 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 安全管理体系框架 电子政务安全技术 保障体系 电子政务安全概述 电子政务的安全需求： l保护政务信息资源价值不受侵犯； l保证信息资产的拥有者面临最小的风险和获 取最大的安全利益； l政务的信息基础设施、信息应用服务和信息 内容应具有保密性、完整性、真实性、可用性 和可控性的能力； l确保一个政府部门能够有效地完成法律所赋 予的政府职能。 8.2.1 电子政务的安全需求2 of 4 第八章 电子政务安全体系 安全需求 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 安全管理体系框架 电子政务安全技术 保障体系 电子政务安全概述 8.2.1 电子政务的安全需求3of 4 安全需求的具体表现 1）信息的真实性 保证接收方获得的信息是从发送方发出的真实 信息，即对信息的来源进行判断，能对伪造来 源的信息予以鉴别。 2）信息的保密性 信息不泄露给非授权的用户、实体或过程，或 供其利用的特性，即只有那些被授予特定权限 的人才能够访问信息。 第八章 电子政务安全体系 安全需求 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 安全管理体系框架 电子政务安全技术 保障体系 电子政务安全概述 8.2.1 电子政务的安全需求4 of 4 3）信息的完整性 指数据未经授权不能进行改变的特性，即信息在 存储或传输过程中保持不被修改、不被破坏和丢 失的特性。 4）信息的不可否认性 信息的发送者和接收者无法否认自己发送或接收 信息的行为，即对出现的网络安全问题能提供调 查的依据和手段。 5）信息的可用性 是指可被授权实体访问并按需求使用的特性，即 当已被授权的用户需要时，应能存取所需的信息 。 第八章 电子政务安全体系 安全需求 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 安全管理体系框架 电子政务安全技术 保障体系 电子政务安全概述 8.2.2 电子政务安全管理体系框架 电子政务安全管理体系 技术保障体系 系统及应用安全 运行管理体系 行 政 管 理 安全技术管理 风 险 管 理 安全法规建设 网 络 安 全 基础设施平台社会服务体系 教 育 培 训 应 急 响 应 测 评 认 证 安 全 管 理 安全标准建设 PKI认证平台 物 理 安 全 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 8.3 电子政务安全技术保障体系 物理安全 网络安全 系统及应用安全 技术保障体系 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 8.3.1 物理安全 物理安全 线路设备安全 环境安全 存储媒体安全 物理安全 是指保证对物理设施的合法访问，避免人为破坏， 并将自然灾难的影响降到最低。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 8.3.2 网络安全 1）逻辑隔离和物理隔离 2）加密系统 3）防火墙 4）交换机、路由器安全 网络安全 指网络通信的安全性，政府内网、外网和公网之间 的隔离，界定访问权限等。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 物理隔离 政府内网 政府外网 互联网 逻辑隔离 1）逻辑隔离和物理隔离 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 2）加密系统1 of 3 源文 件 （明 文 ） 解密后 的信息 （明文 ） 加密后 的信息 （密文 ） 加密后 的信息 （密文 ） 密钥加密 因特网 密钥解密 数据加密过程 加密技术是最基本的安全技术，是实现信息保密性 的一种重要手段，其目的是为了防止非法用户获取 信息系统中的机密信息。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 2）加密系统2of 3 加密系统两种基本的形式： l对称密钥加密技术 l非对称密钥加密技术 （1）对称密钥加密技术 对称加密系统，也称为私有密钥加密系统。对称 加密，是指使用同一把密钥对信息加密、解密。 常用的私钥密码技术： l流密码技术 l分组密码技术 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 2）加密系统3of 3 （2）对称密钥加密技术 非对称加密又称为公开密钥加密，与对称密钥 系统相比，公开密钥加密技术需要使用一对相 关的密钥：一个用来加密，另一个用来解密。 公开密钥系统两种基本的模式： l加密模式 l验证模式 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 3）防火墙1of 4 防火墙（firewall）是指一个由软件或软件和硬件设 备组合而成，处于内网与外网之间，用来加强互 联网与内部网络之间安全防范的一个或一组系统 。 作用：限制外界用户对企业内部网络访问及管理 内部用户访问外部服务。 防火墙的安全策略 l一切未被允许的都是禁止的 l一切未被禁止的都是允许的 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 3）防火墙2of4 防 火 墙 的 分 类 共同缺点：依 赖特定的逻辑 判断是否允许 数据包通过， 不利于抗击非 法访问和攻击 。 针对数据包过滤和应用网关技术存在的缺 点而引入的防火墙技术，其特点是将所有 跨越防火墙的网络通信链路分为两段。 数据包过滤防火墙 代理服务器型防火墙 应用级网关型防火墙 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 3）防火墙3of 4 客户 机 服 务 器 应答 请求 转发应答 转发请求 防火墙代理 代理服 务器 代理客 户机 代理获得客户机和 服务器之间通信的 全部控制权代理服务器的工作原理 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 3）防火墙4of 4 防火墙的局限性 不能阻止来自 内部的破坏 不能保护绕过 它的连接 不能防止病毒 无法完全防止新 出现的网络威胁 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 4）交换机、路由器安全 交换机是第二层设备，用于连接局域网分段，利 用MAC地址表来转发数据帧。交换机安全包括端 口安全、专用VLAN安全等。 路由器工作在第三层，是广域网互联设备。路由 器提供的安全功能更多也更复杂，包括访问控制 、网络地址转换、身份验证、流量过滤、配置 VPN、日志功能等。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 8.3.3 系统及应用安全 系统及应用安全 主要是要保证操作系统和应用服务的安全性。 保障系统及应用安全的方法和技术主要有： l入侵检测系统 l防病毒系统 l漏洞扫描系统 l安全认证 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 1）入侵检测系统1of 2 入侵检测系统（Intrusion Detection Systems，IDS） 是依照一定的安全策略，对网络、系统的运行状况 进行监视，尽可能发现各种攻击企图、攻击行为或 者攻击结果，以保证网络系统资源的机密性、完整 性和可用性。 分布式入侵检测系统 入侵检测系统的类型 基于网络的入侵检测系统 基于主机的入侵检测系统 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 完整性校验 基于异常的检测 基于特征的检测 1）入侵检测系统2of 2 入侵检测系统的主要功能 l监测并分析用户和系统的活动 l核查系统配置和漏洞 l评估系统关键资源和数据文件的完整性 l识别已知的攻击行为 l统计分析异常行为 l操作系统日志管理 入侵检测的方法 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 2）防病毒系统1of 2 防病毒技术分为主机防病毒和网络防病毒： l主机防病毒 主要是安装防病毒软件，对电脑文件访问实时 监测，发现病毒就立即清除或修复。 l网络防病毒 通常由安全提供商提供一整套的解决方案，针 对网络进行全面的防护。 计算机病毒 是指编制或在计算机程序中插入的破坏计算机功 能或者毁坏数据，影响计算机使用，并能自我复 制的一组计算机指令或者程序代码。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 2）防病毒系统2of 2 计算机病毒的特点： 主动传染性、隐藏性、欺骗性、破坏性、衍生性 。 计算机病毒的防治方法： l构建综合的安全体系 l采用多层防御体系 l防毒与网络管理集成 l在网关、服务器上防毒 l及时更新防毒软件 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 漏洞扫描系统能够帮助了解系统存在的安全漏洞 ，采取相应的防范措施，从而降低安全风险。 3）漏洞扫描系统 漏洞扫描系统的功能： l动态分析系统的安全漏洞； l检查用户网络中的安全隐患，发布检测报告； l提供有关漏洞的详细信息和最佳解决对策； l杜绝漏洞、降低风险，防患于未然。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 用户访问系统之前经过身份认证系统，监控器根据 用户身份和授权数据库决定用户能否访问某个资源 。 4）安全认证1of 4 电子政务系统必须建立基于CA认证体制的身份认证系统 。 数字证书的概念： 由权威公正的第三方机构即CA中心签发的包含公开 密钥拥有者信息以及公开密钥的文件，可以用来证 明数字证书持有者的真实身份。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 4）安全认证2of 4 数字证书的格式遵循ITU-T X.509标准。该标准是为 了保证使用数字证书的系统间的互操作性而制定的 。 数字证书的作用： l信息除发送方和接收方外不被其他人窃取； l信息在传输过程中不被篡改 ； l发送方能通过数字证书来确认接收方的身份； l发送方对于自己的信息不能抵赖； l信息自数字签名后到收到为止，未曾作过任何 修改，签发的文件是真实文件。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 4）安全认证3of 4 数字证书的类型： l个人数字证书 l服务器证书 l开发者证书 数字证书生成的一般步骤 信息检索信息验证 证书生成 证书公布证书发放 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 物理安全 网络安全 系统及应用安全 4）安全认证4of 4 认证中心概念： 认证中心CA又称认证机构，是承担网上认证服务， 能签发数字证书并能确认用户身份的受大家信任的 第三方机构。 CA的主要任务: 受理数字证书的申请、签发及对数字证书进行管理 。 CA的功能： 证书的颁发、证书的更新、证书的查询、证书的 作废、证书的归档。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 行政管理 安全技术管理 风险管理 8.4 电子政务安全运行管理体系 行政管理 安全技术管理 风险管理 运行管理体系 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 行政管理 安全技术管理 风险管理 建立安全组织机构 安全人事管理 制定和落实安全管理制度 安全行政管理 8.4.1 行政管理 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 行政管理 安全技术管理 风险管理 1）建立安全组织机构1of 2 电子政务的安全必须由特定的安全组织进行管理。 这种安全组织机构应该独立于信息部门，直接隶属 于各地方的最高政府机关。 安全组织机构的主要职责： l对整个电子政务系统进行整体的安全规划，制 定整体的安全解决方案； l制定安全管理制度，权责分明； l实时监控网络的安全性，监督安全方案实施情 况，根据出现的问题漏洞，及时修改、补充安全 方案。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 行政管理 安全技术管理 风险管理 1）建立安全组织机构2of 2 安全领导小组安全专家小组 日常网络安全 管理办公室 日常安全维护 工作小组 管理层 日常安全维护单位，完 成具体的安全维护工作 应急响应 工作小组 处理突发事件，实施 应急响应方案，恢复 系统运行 网络应急响应 管理办公室 执行层 决策层 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 行政管理 安全技术管理 风险管理 2）安全人事管理 安全人事管理 安全人事管理就是对组织人员进行管理。 安全人事管理的主要内容: 人事审查与录用、岗位与责任范围的确定、工作 评价、人事档案管理、提升、调动与免职、基础 培训等。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 行政管理 安全技术管理 风险管理 3）制定和落实安全管理制度 安全管理制度 保障安全管理的有效实施，规范安全管理人员的行 为，降低人为因素造成的安全隐患。 安全管理制度包括: 系统运行维护管理制度、计算机处理控制管理制度 、文档资料管理制度、操作和管理人员管理制度、 机房安全管理制度、定期检查与监督制度、网络通 信安全管理制度、病毒防治管理制度、安全等级保 护制度、对外交流安全维护制度，以及对外合作制 度等。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 行政管理 安全技术管理 风险管理 8.4.2 安全技术管理1of 3 （1）硬件实体的安全管理 目的：保护计算机和网络设备、设施免遭地震 、水灾、火灾以及人为等因素的破坏。 主要涉及： l环境安全 l设备安全 l存储媒体安全 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 行政管理 安全技术管理 风险管理 8.4.2 安全技术管理2of 3 （2）软件系统的安全管理包括： l保护软件系统的完整性，防止软件丢失、被破 坏、被篡改、被伪造； l保证软件的存储安全，保障软件的安全传输、 加密传输、安全下载、用户识别等要素； l保障软件的合法使用和合理使用、用户合法性 的管理、授权访问、系统的访问控制、防止软件 滥用、防止被窃取被非法复制、按规程操作等。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 行政管理 安全技术管理 风险管理 8.4.2 安全技术管理3of 3 （3）密钥管理包括： 系统的初始化、密钥的产生、存储、备份/恢复、 装入、分配、保护、更新、控制、丢失、吊销、 销毁等内容。 安全的密钥管理要求： l密钥难以窃取； l密钥有使用范围和使用时间的限制； l密钥的分配和更换过程对用户透明，而用户不 需要亲自掌管密钥。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 行政管理 安全技术管理 风险管理 8.4.3 风险管理 安全风险管理包括的阶段： l安全风险评估 l安全风险控制 风险管理（Risk Management） 是指以可接受的费用识别、控制、降低或消除可能 影响信息系统安全风险的过程。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 行政管理 安全技术管理 风险管理 安全风险评估 安全风险评估是确定电子政务系统面临的风险级 别的过程，是风险控制的前提和基础。 风险评估阶段的基本实施步骤 ： l识别风险 l进行风险度量 l确定风险级别 l制定相应的风险管理策略 1）安全风险评估 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 行政管理 安全技术管理 风险管理 安全风险控制 安全风险控制是根据风险评估阶段的结果，采取规 避、转移和降低等手段，对已标识的风险采取相应 的措施，将电子政务系统的安全风险降低到可接受 的水平，并保持对系统其他功能的影响最低。 安全风险控制的主要步骤 ： l选择风险控制手段 l风险规避 l实施必要的风险转移措施 l尽可能降低威胁的影响程度 l对剩余风险的接受 2）安全风险控制 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 法规基础设施 安全标准建设 PKI/PMI认证平台 基础设施平台 8.5 基础设施平台 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 8.5.1 法规基础设施 世界上很多国家制定了与网络安全相关的法律法 规，如英国的官方信息保护法等。 中国颁发了一些与网络安全有关的法律法规，如 计算机信息系统安全保护条例、计算机信 息系统保密管理暂行规定等。在完善法律法规 的同时，还应该加大执法力度，严格执法。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 （1）对各类法律主体的有关信息活动涉及国家安全的 权利和义务进行规范，形成国家关于信息及信息安全的 总则性、普适性的法规体系。 （2）针对各类计算机和网络犯罪，制订直接约束各社 会成员的信息活动的行为规范，形成计算机、网络犯罪 监察与防范体系。 （3）对信息安全技术、信息安全产品（系统）的授权 审批应制订相应的规定，形成信息安全审批与监控体系 。 （4）针对信息内容的安全与保密问题，制订相应规定 ，形成信息内容的审批、监控、保密体系。 （5）从国家安全的角度，制订网络信息预警与反击体 系等。 法规建设的几个主要方面： 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 8.5.2 安全标准建设 中国信息安全标准化工作起步较晚，但是近10年 来发展较快，在国家质量技术监督局领导下，全 国信息化标准委员会及其下属的信息安全分技术 委员会在制订中国信息安全标准方面做了大量的 工作，国标、国军标、行业标准对信息安全领域 均有涉及，初步形成了中国信息安全测评认证的 基础。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 8.5.3 PKI/PMI认证平台 PKI提供智能化的信任服务； PMI构成授权管理平台，在PKI信息安全平台的 基础上提供智能化的授权服务。 PKI/PMI认证平台为电子政务提供了一整套的、 遵循标准的密钥管理基础平台，为用户安全访问 电子政务系统提供了可靠的保证。 国家信息安全基础设施（NISI）的组成： l公开密钥基础设施（PKI） l授权管理基础设施（PMI） 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 1）公开密钥基础设施（PKI） 1 of 3 （1）公钥基础设施（Public Key Infrastructure，PKI ） 又叫公钥体系，是一种利用公钥加密技术为电子商 务、电子政务提供一套安全基础平台的技术和规范 。 PKI基础设施采用数字证书来管理公钥，通过第三方 的可信任机构认证机构（CA），把用户的公钥 和用户的其他标识信息捆绑在一起，提供身份验证 机制。 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 （2）PKI的基本组成 完整PKI系统由认证机构、数字证书库、密钥备份及 恢复系统、证书作废系统、应用接口（API）等构成 。 PKI各组成部分的功能： l认证机构：数字证书的申请及签发机关，CA必须具备 权威性的特征； l数字证书库：用于存储已签发的数字证书及公钥； l密钥备份及恢复系统：对加密系统的密码进行备份和 恢复 ； l证书作废系统：证书密钥的丢失或证书作废的处理； l应用接口（API）：使PKI与其它应用交互。 1）公开密钥基础设施（PKI） 2 of 3 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 PKI应用的范围及中心作用 E-Mail S/MIME IPSec Web EDI 其他应用 电子支付 VPN SET SSL PKI （3）PKI的应用 1）公开密钥基础设施（PKI） 3 of 3 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 （1）授权管理基础设施（PMI） 国家信息安全基础设施（NISI）的一个重要组成部分 。 目标是向用户和应用程序提供授权管理服务，提供用 户身份到应用授权的映射功能，提供与实际应用处理 模式相对应的、与具体应用系统开发和管理无关的授 权和访问控制机制，简化具体应用系统的开发与维护 。 PMI是一个由属性证书、属性权限、属性证书库等部 件构成的综合系统，用来实现权限和证书的产生、管 理、存储、分发和撤销等。 2）授权管理基础设施 （PMI） 1 of 4 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 （2）PMI与PKI的比较 PMI提出了一个新的信息保护基础设施，能够与 PKI和目录服务紧密地集成，并系统地建立起对 认可用户的特定授权，对权限管理进行了系统的 定义和描述，完整地提供了授权服务所需过程。 PKI与PMI之间的比较如下： l解决的问题不同 l证书不同 l管理部门不同 l体系结构类似 2）授权管理基础设施 （PMI） 2 of 4 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 PKIPMI 解决 的问 题 PKI解决对身份的认证 问题，即你是谁的问题 。 PMI是在知道你是谁之后，决定你 具有什么权限，可以做什么的问 题。PMI必须建立在PKI的基础之 上。 证书 内容 公钥证书 PKC必须包含 拥有者的公钥，其上的 CA签名用来证明证书拥 有者公/私钥对和其身份 之间的关系，有效时间 长。 属性证书（AC）不必包含拥有者 的公钥，而是有一个到证书拥 有 者的链接，其上的AA签名用于证 明证书拥 有者所具有的特权，有 效时间短。 管理 颁发 部门 由身份管理系统进行控 制，一个系统中，每个 用户只有一张合法的PKC 。 与具体的应用密切相关，每个用 户可能对不同的应用具有一张属 性证书AC，也可能有多张AC。 体系 结构 从根CA、下级CA、RA到 最终用户 从信任源点SOA、授权服务中心AA 、资源管理中心RM到最终用户 2）授权管理基础设施 （PMI） 3 of 4 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 法规基础设施 安全标准建设 PKI/PMI认证平台 （3）PMI在电子政务中的应用 授权管理基础设施（PMI）以一个身份鉴别体系（ 如PKI体系）为基础，向应用系统提供全面统一的 授权管理和访问控制服务。 PMI主要提供分布式计算环境中应用系统的访问控 制功能，通过将访问控制机制从具体应用系统的开 发和管理中分离出来，使访问控制机制与应用系统 之间能灵活而方便地结合和使用。 2）授权管理基础设施 （PMI） 4 of 4 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 安全管理服务 安全测评服务 应急响应服务 安全教育培训服务 安全管理服务 安全测评服务 应急响应服务 社会服务体系 8.6 社会服务体系 安全教育培训服务 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 安全管理服务 安全测评服务 应急响应服务 安全教育培训服务 8.6.1 安全管理服务 安全管理服务提供商（MSSP） 提供由网络安全专家、专业的网络安全工具和安 全管理策略组成的完整的安全解决方案。 （1）MSSP服务的内容： l安全咨询服务 l安全技术管理服务 l数据安全分析服务 l安全管理评估服务 （2）MSSP的特点 ： l是介于客户与产品之间的桥梁 l最终目的是让客户的成功最大化 l提供的是本地化的安全产品全系列的服务 第八章 电子政务安全体系 电子政务安全运行 管理体系 基础设施平台 社会服务体系 电子政务安全体系 框架 电子政务安全技术 保障体系 电子政务安全概述 安全管理服务 安全测评服务 应急响应服务 安全教育培训服务 8.6.2 安全测评服务 测评认证： 由一个中立