欢迎来到天天文库
浏览记录
ID:25302001
大小:55.00 KB
页数:5页
时间:2018-11-19
《电子政务安全面临威胁和挑战论文》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、电子政务安全面临威胁和挑战论文电子政务涉及对国家秘密信息和高敏感度核心政务的保护,设计维护公共秩序和行政监管的准确实施,涉及到为社会提供公共服务的质量保证。电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其电子政务是搭建在基于互联网技术的网络平台上,包括政务内网、政务外网和互联网,而互联网的安全先天不足,互联网是一个无行政主管的全球网络,自身缺少设防和安全隐患很多.freelI/VPN工作组(I工作组(I标准、信息系统安全评估和信息安全产品测评标准、应急响应等级、保护目标等级、应急响应指标、电子证据恢复
2、与提取、电子证据有效性界定、电子证据保护、身份标识与鉴别、数据库安全等级、操作系统安全等级、中间件安全等级、信息安全产品接口规范、数字签名……。要素四安全保障与服务1.电子政务系统建设,要构建其技术安全保障架构,对大型电子政务系统要建立纵深防御体系。·设置政务内网的安全与控制策略;·设置政务外网的安全与控制策略;·设置进入互联网的安全服务与控制策略;·设置租用公网干线的安全服务与控制策略,包括有线通信、无线通信和卫星通信的安全服务与控制策略;·设置政务计算环境的安全服务与机制。采用纵深防御和多级设防,是电子政务安全保障的重要原则,通过全局性的安全防护、安全检测、快速响应、集成
3、的安全管理与安全设施的联动控制,以达到系统具有防护、检测、反应与恢复能力。2.推广电子政务信息系统安全工程(ISSE)的控制方法,全面实现安全服务要求。电子政务安全系统的设计,首先要做好系统资产价值的分析,如物理资产的价值(系统环境、硬件、系统软件)、信息资产的价值、其数据与国家利益和部门利益的关联度;其业务系统(模型、流程、应用软件)正常运行后果所产生的效益,从而确定系统安全应保护的目标,在上述分析的基础上提出整个安全系统的安全需求,进一步定义达到这些安全需求所应具有的安全功能,然后探索系统可能面临的威胁类型,并找出系统自身的脆弱性,这些威胁和脆弱性有:·网上黑客与计算机犯
4、罪;·网络病毒的蔓延与破坏;·机要信息流失与信息间谍潜入;·网上恐怖活动与信息战;·内部人员违规与违法;·网上安全产品的失控;·网络与系统自身的漏洞与脆弱性。在这些威胁面前,要分析哪些威胁是本系统主要面临的威胁,哪些是次要的,对系统和任务造成的影响程度如何。进行定性和定量的分析,提出系统安全对策,确定承受风险的能力,寻找投入和风险承受能力间的平衡点,然后确定系统所需要的安全服务及对应的安全机制(见表一),从而配置系统的安全要素。在工程的生命周期中要进行风险管理、风险决策流程(见图2),这种风险管理是要对电子政务全程进行的。系统投入运行要对其安全性进行有效评估,即评估者给出的评
5、估证据和建设者采用的技术保障设施,的确能使系统拥有者确信已选用技术对策,确实减少了系统的安全风险,满足必要的风险策略(风险策略可以是“零”风险策略、最小风险策略、最大可承受风险策略或不计风险策略),使其达到保护系统资产价值所必需的能力(见图3)。上述有效评估过程可用安全技术保障强壮性级别(IATRn)来描述:IATRn=f(Vn,.freelLn,EALn)Tn:威胁等级Vn:资产价值等级SMLn:安全机制强度等级EALn:评估保障等级要素五安全技术与产品1.加强安全技术和产品的自主研制和创新。由于电子政务的国家涉密性,电子政务系统工程的安全保障需要各种有自主知识产权的信息安
6、全技术和产品,全面推动自主研发和创新这些技术和产品是电子政务安全的需要。这些产品和技术可以分为六大类:·基础类:风险控制、体系结构、协议工程、有效评估、工程方法;·关键类:密码、安全基、内容安全、抗病毒、IDS、VPN、RBAC、强审计、边界安全隔离;·系统类:PKI、PMI、DRI、网络预警、集成管理、KMI;·应用类:EC、EG、NB、NS、NM、L、CSCPEX、物理识别;·前瞻性:免疫技术、量子密码、漂移技术、语义理解识别。2.电子政务安全产品的选择。整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自主权和自控权。产品可涉及安全操作系
7、统、安全硬件平台、安全数据库、PKI/CA、PMI、VPN、安全网关、防火墙、数据加密机、入侵检测(IDS)、漏洞扫描、计算机病毒防治工具、强审计工具、安全I数字证书的信任和授权体系;·基于CC/TCSEC的信息安全产品和系统的测评与评估体系;·计算机病毒防治与服务体系;·网络应急响应与支援体系;·灾难恢复基础设施;·基于KMI的密钥管理基础设施。2.行政监管执法类·网络信息内容安全监控体系;·网络犯罪监察与防范体系;·电子信息保密监管体系;·网络侦控与反窃密体系;·网络监控、预警与反击体系。
此文档下载收益归作者所有