文档介绍:电子政务安全保障方案
售前支持部 喻超
方正国际软件有限公司
一、概述 3
背景说明 3
电子政务信息安全面临的挑战 3
恶意程序与黑客 3
网络信息污染 4
程序缺陷和漏洞 5
电子政务信息安全目标 5
整性目标。 然而,对于某些特定的电子政务 系统和数据,保密性目标是最重要的信息安全目标。
可记账性目标
可记账性目标是指电子政务系统能够如实记录一个实体的全部行
为。通常,可记账性目标是政府部门的一种策略需求。可记账性目标 可以为拒绝否认、威慑违规、隔离故障、检测和防止入侵、事后恢复 和法律诉讼提供支持。
保障性目标
保障性是电子政务系统信息安全的信任基础。保障性目标突出了 这样的事实:对于希望做到安全的信息系统而言, 不仅需要提供预期 的功能,而且需要保证不会发生非预期的行为。具体地讲,保障性目
电子政务安全保障方案
标包括提供并正确实现需要的电子政务功能; 在用户或者软件无意中 出现差错时,提供充分保护; 在遭受恶意的系统穿透或者旁路时,
提供充足防护。
二、电子政务信息安全保障对策
建立电子政务的信息安全机制
电子政务的信息安全机制是指实现信息安全目标的支持元素。 主
要包含以下几点:
支撑机制
作为大多数信息安全能力的共同基础,支撑机制是最常用的安全 机制。而且,支撑机制总是和其它机制相互关联。支撑机制包括:标 识和命名、密钥管理、安全管理、系统保护。
防护机制
防护机制被用于防止安全事故的发生。防护机制包括:受保护的 通讯、身份鉴别、授权、访问控制、拒绝否认、事务隐私。
检测和恢复机制
因为不存在完美无缺的信息安全防护机制组合,所以在电子政务 系统中有必要检测安全事故的发生并采取措施减少安全事故的负面 影响。检测和恢复机制包括:审计、入侵检测和容忍、完整性验证、
电子政务安全保障方案
安全状态重置。
遵循国际通用准则 CC
国际通用准则CC的每一级均需从7个方面评估:配置管理、分发 和操作、开发过程、指导文献、生命期的技术支持、测试、脆弱性评 估。
中国信息安全等级保护准则
中国已经发布实施《计算机信息系统安全保护等级划分准则》 GB17859-1999这是一部强制性国家标准,也是一种技术法规,并从 功能上将信息系统的安全等级划分为 5个级别的安全保护能力:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
电子政务安全的基本对策
从安全涉及方面看,电子政务安全应该包括如下几个方面:
物理安全
人员安全
信息安全
操作安全
电子政务安全保障方案
通信安全
计算机安全
工业安全
从电子政务的层次结构上看,安全问题几乎涉及到每一层,但从 电子政务信息安全的角度主要集中在电子政务层和应用层。 电子政务
层的安全需求主要是提供透明加密信道。 其安全对策是采用防火墙技 术,即在主机端或电子政务边界处设置防火墙, 用于保护主机和电子
政务不受外来侵犯。
应用层的安全技术主要是密码技术。其他安全技术都是建立在密 码技术之上的。应用层的安全需求主要有:
数据保密
数据完整性保护(传输过程中不被篡改)
身份认证
授权控制(访问权限控制)
审计记录(对所有网络活动加以记录)
防抵赖
密码技术
数字签名
在各种安全技术和对策中加密与认证中, 防火墙与物理隔离;虚 拟专网;入侵检测与预警;法律与道德规范则显得尤其重要。
电子政务安全保障方案
三、电子政务信息安全保障的主要措施
网络安全性
在网络系统的安全方面,主要考虑两个层次,一是优化网络结构, 二是整个网络系统的安全。
系统安全是建立在网络系统之上的,网络结构的安全是系统安全 成功建立的基础。在整个网络结构的安全方面,主要考虑网络结构、 系统和路由的优化。
主要从以下几个方面考虑系统的安全技术:
1、网段划分(VLAN)
按照部门职能的不同和职位的高低进行 VLAN戈分,以控制各个 VLAN之间的访问,保证系统的安全性。
2、ACL访问控制列表
根据网络和应用系统的实际情况,对用户进行访问控制,如:口 令、密码、权限等;同时可以根据网络协议、端口、 IP等进行访问控
制。
3、防火墙/***技术
建立防火墙/***可以保护网络系统不受外来攻击,拒绝 未经授权的用户,禁止易受攻击的服务,防止各类路由攻击,允许合 法用户不受障碍访问网络系统等。
4、入侵检测
入侵检测是防火墙的合理补充,
帮助系统对付网络攻击,扩展了
10
电子政务安全保障方案
系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应), 提高了信息安全基础