当前位置:文档之家› 安全与电子政务(ppt 64)

安全与电子政务(ppt 64)


假冒
Deposit $1000
Deposit $100
拒绝服务
CPU
Customer
完整性
Bank
身份认证
冒充 我在与谁通信?
信息完整性
篡改
机密性
窃听 我的信息是否被偷看?
不可否认性
?
未发出 抵赖 未收到
安全风险分析
黑客愈加猖獗 损失日益巨大 防范相对软弱 解决刻不容缓
电子政务对网络的高度依赖 网络过于开放 电子政务安全技术的缺陷
安全风险分析
信息系统安全的主要威胁
信息系统的安全是指保护计算机硬件、软件、关键数 据不因偶然和恶意的原因而遭到破坏、更改和泄露,其根 本目的是防止通过计算机网络传输的信息被破坏和非法使 用。
• 物理安全风险
— 自然灾害
• 系统安全风险
— 网络系统
• 网上交易的安全风险
— 窃取保密数据
— 人为破坏 — 电气故障
中国电子政务的现状
存在的不足
•安全防范缺乏:许多政府网站缺乏安全防范措施,隐患 较大
•信息服务服务不充分:信息滞后、更新速度缓慢、有些 政府 部门仅仅满足于网上亮相,有用内容不多,仅限 于把法律法规 和政策条文搬到网上、缺乏经过加工的信 息。
•网上办事能力缺乏:目前可从网上审批、网上登记、网 上采 购、网上发证、网上录取等工作入手,协助职能部门 开发相应的办事程序,逐步使网上办事成为现实。
信息安全技术介绍
计算机物理安全技术 计算机软件安全技术 计算机网络安全技术 信息系统控制与审计技术
计算机物理安全
定义:对计算机设备、设施(包括机房建筑, 空调,供电)、环境、人员等采取适当的安全 措施。 内容:
机房场地环境 机房的安全技术要求 实体访问控制 磁场 静电 电磁波辐射与干扰 电源保护 磁介质的存储与处理 应急备份
技术
政策
保护 P
人 恢复
R
检测 D
反应 R
网络信息安全的目标
身份认证
完整性
可用性
机密性
不可否认
实施安全解决方案:
---就是为了把政府的风险降到可接受的程度
资产
资产
威 胁

风险

RISK
风险
漏洞 基本的威胁
漏洞 采取措施后剩余的威胁
安全电子政务背景知识
▪ 创造一个安全的电子政务应用环境 ▪ 大量的政府信息不能公开 ▪ 在网络环境下,如何保证政府机密的安全尤其
电子政务的基本概念
电子政务:是指政府机构在其管理和服务职能 中运用现代信息技术,实现政府组织结构和工 作流程的重组优化,超越时间、空间和部门分 隔的制约,建成一个精简、高效、廉洁、公平 的政府运作模式。电子政务模型可简单概括为 两方面:政府部门内部利用先进的网络信息技 术实现办公自动化、管理信息化、决策科学化; 政府部门与社会各界利用网络信息平台充分进 行信息共享与服务、加强群众监督、提高办事 效率及促进政务公开等等
操作系统安全
核心是访问控制 两个方面问题
授权策略问题:按照什么规则给主体授权是 安全的
控制机制问题:用什么方法实现授权是安全 的
访问控制矩阵模型 多级安全模型
目前我国的对策
研制具有自主知识产权的数据库管理系 统 数据库管理系统的安全平台
计算机网络安全技术
防火墙 入侵检测 漏洞扫描 防病毒 物理隔离 保密检查 VPN 加密、数字、签名/CA
操作 失误
信息网络实体
有意 逻辑 特洛伊 犯罪 炸弹 木马
假冒欺骗 数据篡改 流量分析 密码破译 网络攻击
网络管理 输出控制 输入控制 应用软件 系统软件 操作系统 硬件结构 网络结构 数据安全 电脑病毒
触目惊心:美国每年因网络安全问题损失达75亿美元!
安全目标
信息安全的一个动态模型
反击 C
预警 W
A1:经过验证的设计 A2:A1级以外的系统
信息安全评价标准
国际标准化组织ISO7498-2中描述开放互 连OSI安全体系结构的5种安全服务项目
鉴别 访问控制 数据保密 数据完整 抗否认
信息系统安全的对策
技术对策 管理对策 国家法令
技术对策
网络安全检测设备 鉴别:智能卡、证书、数字签名 防火墙 安全工具包/软件 线路保护、端口保护 数据加密 访问控制 通信流控制、数据完整性控制
安全是电子政务 实现的基本保证
安全风险的来源
安全威胁
telnet username: dan password:
m-y-p-a-s-s-w-o-r-d d-a-n
窃听
I’m Bob, Send Me all Corporate Correspondence
with Cisco Bob
— 操作系统 — 应用系统
— 盗用账号、窃取 密码
安全风险分析
信息系统安全的主要威胁
• 来自互联网风险 • 链路传输风险
— 非法入侵
— 窃听
— 主页篡改
— 截获数据
— 传播病毒
— IP伪装
• 来自内部网风险
— 恶意破坏 — 泄密
网络信息系统攻击手段
搭线窃收 行为否认 口令猜测 电磁辐射 拒绝服务
计算机软件安全技术
• 操作系统安全技术 • 数据库系统安全技术 • 反病毒技术
操作系统安全
除了计算机硬件以外,操作系统是保证安全的 重要基础。 操作系统是计算机资源的管理者。 操作系统安全标准:美国国家计算机安全中心 NCSC的《可信计算机评价准则》,桔皮书 操作系统安全的核心在于访问控制,即确保主 体对客体的访问只能是授权的,未经授权的访 问是不能进行的,且授权策略是安全的。操作 系统管理的资源
安全与电子政务
前言
网络安全性现已成为必须考虑的支出项目” IDC, 不断变化世界中的全球软件,2001年11 月
“信息安全性已成为 CIO 最关心的问题” The Meta Group,不断增加的威胁增加了对安 全性 IT规划的关注,2001年10月1日
“信息安全性已成为2002年CIO最重要的10大 问题之一”– iga Information Group,是 什么使 CIO 们彻夜难眠,2001年12月18日
重要 ▪ 电子政务的发展需要安全性问题
电子政务安全技术框架
• 物理层 • 传输层/链路层 • 网络层 • 应用层 • 操作系统 • 安全管理
信息安全评价标准
美国国防部85年
D级:最小保护 C1级:自主型安全保护 C2级:可控访问保护 B1级:标记安全保护 B2级:结构化保护 B3级:安全域 A级:验证设计
相关主题