电子政务中的信息共享与交换的保障体系PPT课件.ppt

议题 Session1电子政务的飞速发展Session2电子政务安全分析Session3计算终端安全保障系统Session4统一安全管理 天马行空官方博客 Session1电子政务的飞速发展 电子政务发展增长 2004年投资额为412亿元 占全国所有行业IT投资的10 左右预测2005年政府IT投资将实现482亿元 2009年将达860亿元 复合增长率为15 9 成果与效能 截止2004年12月底 我国72 9 的地方政府拥有政府门户网站 地级政府门户网站拥有率达到了93 1 我国政府网站数量已经超过1万电子政务的实际效能 核心是指电子政务公共服务的水平衡量以实施技术为特点的 电子政务功能度 以信息交互程度为特点的 电子政务复杂度 以满足公众需求为特点的 电子政务成熟度 重要影响因素 网络安全 网络安全案例 涉及国家安全国家保密技术研究所报告 2001年中美黑客大战期间 遭受攻击的大陆网站中 政府网站占了41 5 中央国家部委涉及国家机密的网络有一半以上未达到规定的安全保密要求网络泄密案件已占总泄密案件的1 3 2001年 武汉黑客攻击国内一些地方政府网站 先后入侵武昌区政府网站 大冶市政府网站 黄石热线网站 数字重庆网站等 修改主页内容 粘贴色情淫秽图片和对政府人员进行政治和人身攻击2003年 黑龙江省潘某攻击辽宁一政府政府网站 在该网站的服务器上建立了自己的FTP服务 把自己的论坛主页上传到该网站服务器上 并做了链接 Session2电子政务安全分析 电子政务 信息交换与共享体系 电子政务 一种政府参与的信息交换与共享体系 包括 政府部门内部的数字化办公政府部门之间通过计算机网络而进行的信息共享与实时通信政府部门通过网络与公众进行的双向交流对这个过程的安全保障 构成了电子政务的网络安全体系 电子政务的效能 应用系统效能 安全性 电子政务安全保障体系 安全法规安全管理安全标准安全服务安全技术产品安全基础设施 目前的网络安全技术方案 安全操作系统 安全硬件平台 安全数据库 PKI CA VPN 安全网关 防火墙 数据加密机 入侵检测 IDS 漏洞扫描 防病毒 强审计工具 安全Web 安全邮件 内容识别和过滤产品 安全备份 电磁泄漏防护 安全隔离客户机 安全网闸 技术视角的缺陷 木桶最短的一块板 计算终端安全保障最明显的诟病 缺乏统一管理 Session3计算终端安全保障 案例 冲击波 振荡波 QQ病毒 MSN病毒Linux比Windows更安全么 不 据Mi2g公司 英国数字风险管理研究机构 的调查结果显示 在被黑客成功入侵的计算机系统中 有67 的计算机使用Linux系统 该数字相当于Windows系统的3倍之多 Windows系统被成功入侵的比例为23 2 终端是信息交换与共享中最薄弱的环节 需要最强力的保障体系 恰恰是现状中所最不受重视的一环 为什么要终端管理 2020 3 21 13 当前网络安全面临的新问题 分支机构 Internet 数据中心 数量庞大的终端缺乏可管理性 导致蠕虫病毒愈演愈烈隔离重点保护的资产变困难了 蠕虫和病毒会让整个网络瘫痪传统的防火墙 IDS 防病毒产品无能为力安全防御必须从网络边缘扩展到终端 远程用户移动PC 办公网络 无线接入 终端管理 美国政府的解决方案 自动补丁管理更好的解决之道 统一的计算终端保障系统体现 以人为本 以服务对象为中心 解决传统安全鞭长莫及之处以最大的覆盖面杜绝攻击源头和受害者 计算终端安全保障系统功能 终端安全 资产管理中心 安全策略中心 补丁管理中心 健康检查中心 软件分发中心 强制认证中心 病毒防护中心 安全防护中心 全面的计算终端安全保障系统 资产和安全策略管理补丁管理软件分发个人防火墙防病毒主机入侵防护完整性检查和自动修复强制认证防信息泄露 Session4统一安全管理 信息分配和共享不充分 传统安全产品仅仅提供面向安全人员的信息 但实际上 所有人都从自身角度触发需要了解安全信息 缺乏以资产为核心的风险管理 以事件为核心的管理不能让管理员迅速发现最为关心和重要的信息以安全产品为中心的事件管理不利于信息的共享和分配以事件为中心的管理仅仅反映了安全的一个方面 作为安全管理的核心 风险管理 是结合了资产 漏洞和威胁 事件来进行综合计算和评价的 风险 威胁 漏洞 资产 威胁 漏洞 资产 以业务系统 资产方式呈现 原有方式 SOC方式 以资产和风险为核心的安全管理中心 网络边界领域 统一安全管理 建立以管理者和资产为核心的管理体系将所有安全产品和事件通过统一的界面联系起来提供智能 包括各种关联分析提供完善的安全功能 包括漏洞管理 威胁管理 知识管理 响应管理 配置管理 统一安全管理的效益 整合安全技术 凸显安全管理 消除安全隐患 提升安全水平安全可视化 可量化 可管理融合一个无缝的安全体系附加利益 正确的长期规划安全服务生命周期切入的最佳机会实施的过程是一次全面的安全洗礼 小结 以人为本以应用为指导 以效能为目标统一管理 统一认证高水平规划 高水平实施服务与设备并重 管理与培训同步没有安全