电子政务 第06章 电子政务安全保障体系.pptVIP

电子政务安全概述 物理安全 网络安全 系统及应用安全 电子政务安全技术保障体系 电子政务安全运行管理体系 安全基础服务保障体系  电子政务安全设施策略 从安全认证的模式分 单项认证：单项认证只需要认证对方的真实性 双向认证：同时认证信息传递双方的真实性 （2）数字签名技术 数字签名是网络信息传输过程中用字符串来代替手写签名或印章，并能起到与手写签名或印章同样的法律效果的安全认证技术 电子政务安全概述 物理安全 网络安全 系统及应用安全 电子政务安全技术保障体系 电子政务安全运行管理体系 安全基础服务保障体系  电子政务安全设施策略 对比 明文 摘要 密文 明文+签名 图6—6 数字签名的生成和验证 公开密钥A 约定算法 摘要 私有密钥A 约定算法 摘要 发送 ① 将报文按信息传递双方事先约定的算法得到一个位数固定且不可更改的报文摘要，将此摘要用发送者的私有密钥加密得到摘要密文（即数字签名）； ② 将此密文和原报文一起发送给接收者； ③ 接收者使用同样的算法由收到的报文得到一个报文摘要，并用公开密钥将密文解密得到另一个报文摘要，如果两个报文摘要等同，则说明报文确实来自所称的发送者，而且私有密钥只由发送者本人持有，因此他不能否认自己的签名行为。 电子政务安全概述 物理安全 网络安全 系统及应用安全 电子政务安全技术保障体系 电子政务安全运行管理体系 安全基础服务保障体系  电子政务安全设施策略 （3）身份认证技术 对电子政务来说，用户身份的认证是确保系统安全的第一道关口，基于秘密信息、物理信息和生物学信息的认证是现代身份认证的主要方法。要实现身份认证，必须根据认证信息的不同类型，选择不同的信息采集设备和软件。 7）审计系统 安全审计系统负责对各类系统的全部活动的过程轨迹进行记录，以便为事后的安全审计追踪、系统安全漏洞分析提供原始证据 审计是一个被信任的机制。安全系统使用审计把它的活动记录下来。 审计要素对于检验和监视网络安全策略是很有必要的。 电子政务安全概述 物理安全 网络安全 系统及应用安全 电子政务安全技术保障体系 电子政务安全运行管理体系 安全基础服务保障体系  电子政务安全设施策略 强审计机制 强审计包括网络设计、系统审计、应用层审计等。对网络总体的审计侧重于审计私自上网、非法接入、终端转移等。对系统的审计包括：访问控制有没有旁路；身份鉴别的机制是否可靠；审计系统和授权数据库本身是否受到充分的保护等。 鉴于电子政务系统的安全威胁主要来自身份合法，具有一定权限、熟悉环境和系统结构的内部人员，这就需要加强对信息系统的审计，即采用强审计机制。 电子政务安全概述 风险管理 行政管理 安全策略管理 电子政务安全技术保障体系 电子政务安全运行管理体系 安全基础服务保障体系  电子政务安全设施策略 安全组织机构的主要职责有：对整个电子政务系统进行整体的安全规划，制定整体的安全解决方案，包括相应的安全策略，应急方案等；制定安全管理制度，权责分明；实时监控网络的安全性，监督安全方案的实施情况，根据出现的问题漏洞，及时修改、补充安全方案。 6.3.1 行政管理 1）安全机构组织 电子政务安全概述 风险管理 行政管理 安全策略管理 电子政务安全技术保障体系 电子政务安全运行管理体系 安全基础服务保障体系  电子政务安全设施策略 安全领导小组 安全专家小组 日常网络安全 管理办公室 日常安全维护 工作小组 决策层次 制定工作方案，下达具体工作，监督管理下级工作 日常安全维护单位，完成具体的安全维护工作 应急响应 工作小组 处理突发事件，实施应急响应方案，恢复系统运行 网络应急响应 管理办公室 图6—7 安全组织机构图 电子政务安全概述 风险管理 行政管理 安全策略管理 电子政务安全技术保障体系 电子政务安全运行管理体系 安全基础服务保障体系  电子政务安全设施策略 2）安全人事管理 安全人事管理的主要内容包括：人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等。另外，政府还要加强对电子政务安全高级人才的培养，加大人力投资。 3）安全责任制度 安全责任制度包括系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全必威体育官网网址制度，以及对外合作制度等。 电子政务安全概述 风险管理 行政管理 安全策略管理 电子政务安全技术保障体系 电子政务安全运行管理体系 安全基础服务保障体系  电子政务安全设施策略 安全策略能确保政府的网络资源避免受到破坏和不适当的访问，所有网络安全特性都应遵照安全策略进行