电子政务公共监管与服务体系.ppt

电子政务 杨兴凯 东北财经大学管理科学与工程学院 第一节电子政务安全概述第二节电子政务安全体系框架第三节电子政务安全技术保障体系第四节电子政务安全运行管理体系第五节安全基础服务保障体系第六节电子政务安全实现 主要内容 构建电子政务安全管理体系的重要性 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 黑客入侵和犯罪 病毒泛滥和蔓延 信息间谍的潜入和窃密 内部人员的违规和违法操作 电子政府 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 构建电子政务安全管理体系的重要性 电子政务安全遵循 木桶原理 即一个木桶的容积取决于它最短的一块木板 电子政务系统的安全强度取决于它最薄弱环节的安全强度 因此 电子政务必须建立在一个完整的 多层次的安全体系之上 那么构建一个合理的电子政务安全管理体系就显得尤为重要 国外电子政务安全现状 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 相关组织机构的建设 如美国安全委员会下设的国家保密政策委员会和信息系统安全保密委员会 重视对网络安全基础设施建设和安全技术研发的投入 制定及时 统一的法规政策和标准体系 该体系涉及问题包括 隐私 安全 身份认证 信息管理等 我国电子政务安全的现状 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 信息与网络安全防护能力较弱 许多应用系统处于不设防的状态 国内的IT厂商 在自有知识产权 研发等方面能力较弱 人员的安全意识不强 综合素质有待提高 缺乏一系列的网络安全标准 网络安全相关的法律法规不健全 电子政务安全问题产生的原因 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 电子政务系统对网络的高度依赖 安全技术的缺陷 网络的开放性 管理的漏洞 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 政务活动主体的定义 政务活动的主体定义为服务方和客户方 服务方专门负责提供相关服务 满足客户方的各种请求 客户方则专门提出自己的要求 希望得到响应和解决 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 按政务活动主体分类 包括系统中心安全性被破坏 竞争者的威胁 机密信息的丢失 假冒的威胁和拒绝服务 服务方面临的安全威胁 客户方面临的安全威胁 包括虚假请求 机密性丧失 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 按攻击手段分类 系统穿透 指未经授权人通过一定手段对认证系统进行攻击 假冒合法用户接入政府内部系统 实现对文件进行篡改 窃取机密信息 非法使用资源等 违反授权 植入 通信监视 通信串扰 中断 拒绝服务 否认 指入侵者要在系统中设置一种能力 为以后攻击提供方便条件 植入一般在系统穿透或违反授权攻击成功后 采取向系统中注入病毒等 指授权进入系统做某件事的用户 在系统中进行未经授权的其他事情 指攻击者对系统可用性进行攻击 使系统不能正常工作 指在通信过程中从信道进行搭线窃听 指攻击者对通信数据或通信过程进行干预 对完整性进行攻击 篡改系统中数据的内容 修正消息次序 时间 注入伪造消息 指合法接入者所进行的正当行为无辜受阻 指一个实体进行某种通信或交易活动后否认曾进行过这一活动 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 技术风险 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 技术风险 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 技术风险 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 组织及人员风险 管理制度不完善 安全策略有漏洞 缺乏应急体系 管理风险 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 服务风险 第三方安全服务提供商的选择风险 法规 标准不健全 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 电子政务安全技术需求表 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 电子政务安全管理表 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 电子政务安全服务需求表 电子政务安全概述 现状及原因 安全分类 安全风险 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 安全需求 安全管理体系框架 电子政务安全技术保障体系 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 物理安全就是保证对物理设施的合法访问 避免人为破坏 并将自然灾难的影响降到最低 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 物理隔离 采用隔离网闸技术 逻辑隔离 包括VLAN 访问控制 VPN 防火墙 身份识别 代理服务器 逻辑隔离和物理隔离 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 源文件 明文 解密后的信息 明文 加密后的信息 密文 加密后的信息 密文 密钥加密 因特网 密钥解密 数据加密过程 加密系统 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 对称密钥加密技术 不对称密钥加密技术 对称加密 是指使用同一把密钥对信息加密 信息解密 一个加密系统的加密密钥和解密密钥相同 或者虽然不同 但可以由其中一个推导另一个 则为对称密钥密码体制 加密和解密的速度很快 效率也很高 但需要仔细保存密钥 其保密性主要取决于密钥本身的保密强度和密钥传送通道的安全性 加密系统 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 对称密钥加密技术 不对称密钥加密技术 常用的私钥密码技术有两类 一类是流密码技术 另一类是分组密码技术 前者是将明文内容按字符逐位地进行加密 而后者是将明文先按一定的大小进行分组 再对各组逐一加密或解密 流密码技术包括同步流密码技术和自同步流密码技术等 分组密码技术包括DES IDEA RC 5等 对称加密的典范是DES算法 自1977年至1998年 一直被确认为美国国家加密标准 加密系统 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 对称密钥加密技术 不对称密钥加密技术 不对称加密又称为公开密钥加密 是1976年由斯坦福大学提出来的 与对称密钥系统相比 公开密钥加密技术需要使用一对相关的密钥 一个用来加密 另一个用来解密 该技术的设想是 密钥对是与相应的系统联系在一起的 其中私有密钥是由系统所保密持有的 而公开密钥则是公开的 但知道公开密钥是不能推导出私有密钥的 加密系统 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 对称密钥加密技术 不对称密钥加密技术 依据公开密钥是用作加密密钥还是解密密钥 公开密钥系统有两种基本的模式 加密模式和验证模式 一般来说 既能以加密模式又能以验证模式运作的公开密钥加密系统被称为可逆的公开密钥加密系统 有些公开密钥加密系统只能运作在验证模式而不能运作在加密模式 这种系统被称为不可逆的公开密钥加密系统 加密系统 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防火墙 防火墙 firewall 是指一个由软件和硬件设备组合而成 处于企业或网络全体计算机与外界通道之间 用来加强互联网与内部网络之间安全防范的一个或一组系统 它具有限制外界用户对企业内部网络访问及管理内部用户访问外部服务 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 一切未被允许的都是禁止的 防火墙的安全策略 一切未被禁止的都是允许的 防火墙 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防火墙 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 代理服务器的工作原理 代理获得客户机和服务器之间通信的全部控制权 防火墙 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防火墙的局限性 不能阻止来自内部的破坏 不能保护绕过它的连接 无法完全防止新出现的网络威胁 不能防止病毒 防火墙 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 交换机和路由器是网络互连的核心设备 它们的配置直接影响网络的安全性 交换机是第二层设备 某些交换机可以提供第三层功能 用于连接局域网分段 利用MAC地址表来转发数据帧 交换机安全包括端口安全 专用VLAN安全等 路由器工作在第三层 是广域网互联设备 路由器提供的安全功能更多也更复杂 包括访问控制 网络地址转换 身份验证 流量过滤 SSH远程管理 配置VPN 日志功能等 交换机 路由器安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 入侵检测系统 IntrusionDetectionSystems IDS 是依照一定的安全策略 对网络 系统的运行状况进行监视 尽可能发现各种攻击企图 攻击行为或者攻击结果 以保证网络系统资源的机密性 完整性和可用性 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 入侵检测系统的类型 基于主机的IDS 基于网络的IDS 分布式IDS 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 入侵检测系统的方法 基于特征的检测 基于异常的检测 完整性校验 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 入侵检测系统的主要功能 监测并分析用户和系统的活动 核查系统配置和漏洞 评估系统关键资源和数据文件的完整性 识别已知的攻击行为 统计分析异常行为 操作系统日志管理 并识别违反安全策略的用户活动 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 防病毒技术分为主机防病毒和网络防病毒 主机防病毒主要是安装防病毒软件 对电脑文件访问实时监测 发现病毒就立即清除或修复 网络防病毒通常由安全提供商提供一整套的解决方案 进行全面的防护 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 计算机病毒有主动传染性 隐藏性 欺骗性 破坏性 衍生性等特点 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 计算机病毒的防治 构建综合的安全体系 多层防御体系 防毒与网络管理集成 在网关 服务器上防毒 及时更新防毒软件 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 漏洞扫描系统的功能 动态分析系统的安全漏洞 检查用户网络中的安全隐患 发布检测报告 提供有关漏洞的详细信息和最佳解决对策 堵绝漏洞 降低风险 防患于未然 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 用户访问系统之前必须经过身份认证系统 监控器根据用户身份和授权数据库决定用户能否访问某个资源 电子政务系统必须建立基于CA认证体制的身份认证系统 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 数字证书 认证中心 数字证书是由权威公正的第三方机构即CA中心签发的包含公开密钥拥有者信息以及公开密钥的文件 可以用来证明数字证书持有者的真实身份 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 数字证书 认证中心 数字证书的作用 信息除发送方和接收方外不被其他人窃取 信息在传输过程中不被篡改 发送方能够通过数字证书来确认接收方的身份 发送方对于自己的信息不能抵赖 信息自数字签名后到收到为止 未曾作过任何修改 签发的文件是真实文件 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 数字证书 认证中心 数字证书的形式 证书的格式遵循ITU TX 509标准 该标准是为了保证使用数字证书的系统间的互操作性而制定的 证书内容包括 版本 序列号 签名算法标识 签发者 有效期 主体 主体公开密钥信息 CA的数字签名 可选项等 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 数字证书 认证中心 数字证书的类型 个人数字证书 个人数字证书主要为某一个用户提供 以验证用户身份 保证信息的安全 主要是针对个人的电子邮件安全 服务器证书主要为网上的Web服务器提供 开发者证书通常为互联网中被下载的软件提供 软件开发者可以利用这种数字证书作为软件的数字标识 在互联网上进行安全的传送 服务器证书 开发者证书 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 数字证书 认证中心 数字证书的生成 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 防病毒系统 漏洞扫描系统 安全认证 入侵检测系统 数字证书 认证中心 功能 包括证书的颁发 证书的更新 证书的查询 证书的作废 证书的归档 概念 认证机构CA又称认证中心 证书授予机构 是承担网上认证服务 能签发数字证书并能确认用户身份的受大家信任的第三方机构 CA通常是企业性的服务机构 其主要任务是受理数字证书的申请 签发 及对数字证书进行管理 系统及应用安全 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 安全组织机构的主要职责有 1 对整个电子政务系统进行整体的安全规划 制定整体的安全解决方案 包括相应的安全策略 应急方案等 2 制定安全管理制度 权责分明 3 实时监控网络的安全性 监督安全方案的实施情况 根据出现的问题漏洞 及时修改 补充安全方案 安全组织机构 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 安全组织机构 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 有组织就应该有制度 安全管理制度保障安全管理的有效实施 规范安全管理人员的行为 降低人为因素造成的安全隐患 包括 人员管理制度 系统运行维护管理制度 密钥管理制度 保密制度 访问控制管理制度等 安全管理制度 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 安全策略管理 安全运行过程 系统维护 意外事件响应 系统监控 安全审计 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 1 规范原则 2 预防原则 3 立足国内原则 4 选用成熟技术原则 5 注重实效原则 6 系统化原则 7 均衡防护原则 8 分权制衡原则 9 应急原则 10 灾难恢复原则 安全管理的基本原则 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 1 专门的安全管理机构 2 专门的安全管理人员 3 逐步完善的安全管理制度 4 具有逐步提高的安全技术工具 安全管理的条件保障 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 1 网络实体的安全管理 2 保密设备与密钥的安全管理 3 安全行政管理 安全管理的内容 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 安全风险评估 安全风险控制 应急方案 分析电子政务系统的风险环境 对识别出的风险进行风险级别的度量 从自然环境 工作环境 技术环境和管理环境等多角度确定风险管理范畴 挖掘出潜在风险 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 安全风险评估 安全风险控制 应急方案 技术控制 安全策略的应用 安全产品的选择 设备的控制等 管理控制 提高工作人员的安全意识 规范操作行为等 效益控制 平衡安全成本与效率之间的关系 电子政务安全概述 物理安全 行政管理 网络安全 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 系统及应用安全 安全策略管理 电子政务安全技术保障体系 风险管理 安全风险评估 安全风险控制 应急方案 监测 响应 恢复 修正系统以弥补引起攻击的漏洞 例如系统升级 安装补丁等 对受损系统进行灾难恢复 包括系统恢复 数据恢复和功能恢复 电子政务安全概述 PKI PMI认证平台 法规和标准建设 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 第三方安全服务提供商 安全的实施 电子政务安全技术保障体系 安全的实现层次 第三方安全服务提供商 电子政务的安全需要专业的安全服务提供商提供 由网络安全专家 专业的网络安全工具和安全管理策略组成的完整的安全解决方案 包括风险分析 安全咨询服务 安全管理服务 测评服务 产品维护 应急响应服务和安全培训服务等 电子政务安全概述 PKI PMI认证平台 法规和标准建设 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 第三方安全服务提供商 安全的实施 电子政务安全技术保障体系 安全的实现层次 第三方安全服务提供商的特点 1 第三方安全服务商是一个个介于客户与产品之间的桥梁 站在客户的立场上 以选择最适合于解决用户网络安全问题的产品的最佳组合 2 第三方安全服务商的最终目的是让客户的成功最大化 使客户的网络安全问题得到最终解决 3 第三方安全服务商提供的是本地化的安全产品全系列化的服务 是某类产品的服务 电子政务安全概述 PKI PMI认证平台 法规和标准建设 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 第三方安全服务提供商 安全的实施 电子政务安全技术保障体系 安全的实现层次 PKI PublicKeyInfrastructure 公钥基础设施技术采用证书管理公钥 通过第三方的可信任机构 认证中心CA CertificationAuthority 将用户公钥和用户标识捆绑 提供身份验证机制 公钥基础设施 电子政务安全概述 PKI PMI认证平台 法规和标准建设 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 第三方安全服务提供商 安全的实施 电子政务安全技术保障体系 安全的实现层次 PKI的基本组成 认证机构 CA 数字证书库 密钥备份及恢复系统 证书作废系统 应用接口 API 公钥基础设施 电子政务安全概述 PKI PMI认证平台 法规和标准建设 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 第三方安全服务提供商 安全的实施 电子政务安全技术保障体系 安全的实现层次 PKI应用的范围及中心作用 公钥基础设施 电子政务安全概述 PKI PMI认证平台 法规和标准建设 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 第三方安全服务提供商 安全的实施 电子政务安全技术保障体系 安全的实现层次 PMI PriviliegeManagementInfrastructure 授权管理基础设施 建立在PKI体系基础上 接受服务提供者的委托对终端用户实施权限控制 实现用户身份到应用授权的映射功能 授权管理基础设施 电子政务安全概述 PKI PMI认证平台 法规和标准建设 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 第三方安全服务提供商 安全的实施 电子政务安全技术保障体系 安全的实现层次 授权管理基础设施 PMI 是一个由属性证书 属性权限 属性证书库等部件构成的综合系统 用来实现权限和证书的产生 管理 存储 分发和撤销等能 属性证书的申请 签发 注销 验证流程对应着权限的申请 发放 撤消 使用和验证的过程 使用PMI证书进行权限管理方式使得权限的管理不必依赖某个具体的应用 授权管理基础设施 电子政务安全概述 PKI PMI认证平台 法规和标准建设 电子政务安全运行管理体系 安全基础服务保障体系 电子政务安全实现 电子政务安全体系框架 第三方安全服务提供商 安全的实施 电子政务安全技术保障体系 安全的实现层次 PKI与PMI之间的比较 电子政务安全概述 PKI PMI认证平台