第8講電子政務的安全困境與防御第8講電子政務的安全困境與防御

1995年，美國就提出了“戰略信息戰”的概念，1995年，美國就提出了“戰略信息戰”的概念，3中國電子政務的總體結構系統管理維護體系備份中心網管中心運維中心應用框架層知識管理系統OA系統協同工作系統決策支持系統信息交換系統應用系統層工商政務系統稅務政務系統教育政務系統公眾訪問層政務門戶網絡平臺層政務內網政務專網政務外網數據資源層數據訪問、轉換、提取、過濾、綜合數據資源電子政務平臺的安全體系信任服務體系密鑰管理體系特權管理體系3中國電子政務的總體結構系統管理維護體系備份中心網管中心運維斯諾登事件：“棱鏡計劃”

通過接入互聯網公司的中心服務器，情報分析人員可直接接觸所有用戶的音頻、視頻、照片、電郵、文件和連接日志等信息，跟蹤互聯網使用者的一舉一動以及他們的所有聯系人，過去6年中，該項目經歷了爆炸性增長。目前美國國家安全局最重要的情報來源已經是全球互聯網，美國國家間諜機構目前依靠各種對本國和他國互聯網進行監視的秘密計劃，為美國的情報分析機構提供原始數據。通過這些監控行動，美國事實上監控著全球的互聯網各種通信，包括對中國等國家執行接近網絡戰爭狀態的全天候無縫監控。斯諾登事件：“棱鏡計劃”通過接入互聯網公司的5目錄電子政務的安全困境1電子政務安全技術保障體系2電子政務安全運行管理體系3電子政務安全社會服務體系4電子政務安全基礎設施平臺55目錄電子政務的安全困境1電子政務安全技術保障體系2電6一、電子政務的安全困境EG特征、

規律解析EG安全的

實質、內涵發現EG

安全威脅解析EG安全的

重要性、特殊性解析EG

安全需求提出EG

安全管理

體系框架6一、電子政務的安全困境EG特征、

規律解析EG安全的

71.電子政務的安全威脅安全威脅黑客攻擊垃圾信息網絡犯罪有害信息12345計算機病毒？71.電子政務的安全威脅安全威脅黑客攻擊垃圾信息網絡犯罪8按來源分類：自然vs人為自然威脅

是指不以人的意志為轉移的不可抗拒的自然事件。自然威脅發生的概率比較低。人為威脅

人為威脅>>自然威脅

意外的：操作不當，軟硬件缺陷…… 計算機安全專家結論：約65％的損失來自于無意的錯誤或疏忽。有意的：欺詐或偷竊、內部人員的有意破壞、懷有惡意的黑客行為、侵犯他人隱私、惡意代碼以及間諜行為等。電子政務的安全威脅8按來源分類：自然vs人為自然威脅電子政務的安全威脅9（1）針對信息資產的威脅信息破壞信息泄密。假冒或否認。（2）針對系統的威脅例如通信線路、計算機網絡以及主機、光盤、磁盤等被破壞；系統出現運行速度變慢、信息丟失、拒絕服務等不正常反應等。通過旁路控制，躲過系統的認證或訪問控制，進行未授權的訪問等。按作用對象分類：9（1）針對信息資產的威脅按作用對象分類：10（1）信息泄露在傳輸中被利用電磁輻射或搭接線路的方式竊取；授權者向未授權者泄露存儲設備被盜竊或盜用；未授權者利用特定的工具捕獲網絡中的數據流量、流向、通行頻帶、數據長度等數據并進行分析，（2）入侵（intrusion）旁路控制假冒口令破解合法用戶的非授權訪問掃描（scan）（3）抵賴（否認）發方事后否認自己曾經發送過某些消息；收方事后否認自己曾經收到過某些消息；發方事后否認自己曾經發送過某些消息的內容；收方事后否認自己曾經收到過某些消息的內容。（4）濫用（misuse）濫用泛指一切對信息系統產生不良影響的活動。主要有：傳播惡意代碼、復制/重放、發布或傳播不良信息按方法分類：10（1）信息泄露按方法分類：11按位置分類：外部vs內部惡意破壞自然災害意識不夠內外勾結濫用職權操作不當管理疏漏軟硬件缺陷內部資源內部環境外部環境信息戰爭病毒感染信息恐怖活動黑客攻擊信息間諜11按位置分類：外部vs內部惡意破壞自然災害意識不夠內12電子政務安全威脅分析表-1種類主要表現形式內部環境威脅惡意破壞破壞數據、轉移資產、設置故障及損毀設備等內外勾結出賣情報、透露口令、入侵系統、破壞數據、設置故障及損毀設備等濫用職權非職責查看內部信息、非職責使用系統等操作不當數據損壞或丟失、硬件損壞及垃圾處理不當等安全意識

不強思想麻痹、經驗不足及經驗估計不足等管理疏漏制度不完善、人員組織不合理、缺乏監控措施及權責不清等軟硬件缺陷電磁泄露、剩磁效應、預置陷阱、操作系統漏洞、數據庫缺陷、邏輯炸彈、協議漏洞、網絡結構隱患及設備老化等自然災害因溫度、濕度、灰塵、雷擊、水災、火災及空氣污染等使設備被破壞或不能正常工作12電子政務安全威脅分析表-1種類主要表現形式內惡意破壞破壞13電子政務安全威脅分析表-2種類主要表現形式外部環境威脅病毒破壞破壞文件、占耗內存、干擾系統運行、妨礙磁盤操作及擾亂屏幕顯示等黑客攻擊系統入侵、網絡竊聽、密文破譯、拒絕服務及傳輸通道損壞等信息間諜信息竊取、網絡竊聽、密文破譯、密鑰破譯、電磁探測及流量分析等信息恐怖活動摧毀國家信息基礎設施、制造并散布恐怖信息等信息戰爭發布虛假信息、竊取軍事情報、攻擊指揮系統及破壞社會經濟系統等13電子政務安全威脅分析表-2種類主要表現形式外病毒破壞破壞14電子政務行為分析政務主體政務分支政務單元政務分支政務單元政務單元政務單元G2B因特網電話網外聯網G2C因特網因特網獲取信息G2G移動辦公？按EG行為分類：14電子政務行為分析政務主體政務政務政務政務G2B因特網電話152.電子政務安全的實質15 信息安全是指保障信息的機密性、完整性、可用性、可控性和不可否認性等幾個方面。

機密性：指保證信息不泄露給未經授權的人；

完整性：指防止信息被篡改，保證信息的真實性

可用性：指保證信息和信息系統確實被授權

使用者所用；

可控性：指對信息及信息系統實施安全監控管理

不可否認性：指保證信息行為人不能否認自己的

行為。152.電子政務安全的實質15 信息安全是指保障16安全重要性國家安全

問題保障國家

各種利益保障社會

穩定政務信息傳輸安全政務信息存儲安全涉密政務信息安全認證政務活動中的身份控制政務系統中的權限保證政務系統的穩定運行系統的安全備份與恢復機制維護電子政府的良好形象安全實質機密性完整性可用性可控性不可否認性電子政務的安全需求安全需求圖3.電子政務的安全需求16安全重要性國家安全

問題保障國家

各種利益保障社會

穩定174.電子政務安全的主要制約???????綜合保護和防范意識薄弱違法犯罪成本低打擊難度大????信息技術水平和手段落后法律法規相對滯后缺乏健全的協調機制安全行業不適應發展需要缺乏高效國際協作機制網絡安全保護制約因素174.電子政務安全的主要制約?????綜合保護和違法犯罪185.電子政務的安全管理體系保障電子政務安全不能僅僅依靠技術，關鍵還是在于管理。 從技術上尋找突破口，遠比從管理上尋找突破口的代價要大的多。突破安全的代價：技術突破>>管理突破

185.電子政務的安全管理體系保障電子政務安全不19電子政務安全

(管理)體系技術保障體系運行管理體系社會服務體系基礎設施平臺技術研發防護系統行政管理技術管理風險管理安全管理測評認證應急響應教育培訓法規建設標準建設PKI認證平臺PMI權限平臺19電子政務安全

(管理)體系技術保障體系運行管理體系社會服美國關鍵基礎設施網絡安全框架美國關鍵基礎設施網絡安全框架中央網絡安全與信息化領導小組的建立，預示著我國網絡安全與信息化整體將進入一個新的發展階段中央網絡安全與信息化領導小組的建立，預示著我國網絡安全與信息22二、電子政務安全技術保障體系涉及兩個層面的問題：信息安全基本理論和核心技術研究與開發用信息安全產品和系統構建綜合防護系統22二、電子政務安全技術保障體系涉及兩個層面的問題：23（1）數據加密技術

數據加密技術根據其采用的密碼體制不同，分為對稱密碼技術和非對稱密碼技術。對稱密碼技術是采用相同的密鑰進行加密和解密運算，這兩個密鑰都不能公開，因此也稱為私鑰加密技術。常用的私鑰密碼技術有兩類：一類是流密碼技術；另一類是分組密碼技術(如：DES、IDEA)。1.電子政務安全核心技術23（1）數據加密技術數據加密技術根據其采用的24

非對稱密碼技術采用兩個不同的密鑰，一個用來加密，一個用來解密，前者是可以公開的，為公開密鑰，而后者是需要保護的，只有解密人自己有，為秘密密鑰，且二者不能相互推導，因此也稱為公鑰加密技術（如：RSA）。重要的是密鑰24非對稱密碼技術采用兩個不同的密鑰，一個用來加密，25A公司B公司C公司（4）B用自己的私鑰對文件進行解密（2）A用B的公鑰對文件進行加密B將他的公鑰發給A（1）（3）A將加密后的文件發給B25A公司B公司C公司（4）B用自己的私鑰對文件進行解密（226（2）數字證書數字證書是一個經數字證書認證中心(CA認證中心)數字簽名的包含公開密鑰擁有者信息以及公開密鑰等信息的具有X.509格式編碼的文件。數字證書是由公證、權威的第三方CA中心簽發的，以數字證書為核心的密碼技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性和行為的不可否認性，從而保障網絡應用的安全性。26（2）數字證書數字證書是一個經數字證書認證中27用戶A用戶BCA可以擔保我的網上業務對方的真實身份CA可以擔保我的網上業務對方的真實身份??CA中心我了解用戶A我可以為他們的真實身份擔保我了解用戶B我可以為他們的真實身份擔保

CA（CertificateAuthority）是頒發數字證書的機構。證書是一個機構頒發給一個安全個體的證明，所以證書的權威性取決于該機構的權威性。◆PKI/CA簡介27用戶A用戶BCA可以CA可以??CA中心我了解用戶A我了28利用公開密鑰理論和技術建立的提供安全服務的在線基礎設施。它利用加密、數字簽名、數字證書來保護應用、通信或事務處理的安全。基于公鑰理論相對于傳統的秘密密鑰（對稱密鑰）基礎設施如同電力基礎設施為家用電器提供電力一樣PKI為各種互聯網應用提供安全保障公鑰基礎設施（PublicKeyInfrastructure）28利用公開密鑰理論和技術建立的提供安全服務的在線基礎設施。29（3）信息隱藏技術

該技術是利用多媒體信息本身存在的冗余性和人的感官對一些信息的掩蔽效應而形成的。信息隱藏的含義是：把一個有意義的信息隱藏在另一個稱為載體的信息中，形成隱秘載體，非授權者不知道這個信息中是否隱藏了其他的信息，即便知道，也難以提取或去除隱藏的信息。載體信息多媒體冗余隱秘載體授權實際信息提取隱藏信息接受者29（3）信息隱藏技術該技術是利用多媒體信息本身302.電子政務安全防范系統電子身份認證防病毒軟件防火墻入侵檢測系統漏洞掃描安全審計系統物理隔離系統302.電子政務安全防范系統電子身份認證防病毒軟件防火墻31三、

電子政務安全運行管理體系1.電子政務安全行政管理

(1)安全組織機構(2)安全人事管理(3)安全責任制度2.電子政務安全技術管理

(1)實體安全管理(2)軟件系統管理(3)密鑰管理31三、電子政務安全運行管理體系1.電子政務安全行政管理323.電子政務安全風險管理323.電子政務安全風險管理331.信息安全管理服務信息安全咨詢服務安全技術管理服務數據安全分析服務安全管理評估服務四、

信息安全社會服務體系331.信息安全管理服務信息安全咨詢服務安全技術管理服務342.信息安全測評認證美國國家計算機安全協會NCSAＤ 最低安全性;Ｃ1 自主存取控制;Ｃ2

較完善的自主存取控制(DAC)、審計;Ｂ1 強制存取控制(MAC);Ｂ2

良好的結構化設計,形式化安全模型;Ｂ3

全面的訪問控制,可信恢復;Ａ1

形式化認證;342.信息安全測評認證美國國家計算機安全協會NCSA353.信息系統安全應急響應服務4.信息安全教育培訓353.信息系統安全應急響應服務36五、電子政務安全基礎設施平臺信息安全的法律保障1知識產權保護2信息化與電子政務促進法3中國國家電子政務標準436五、電子政務安全基礎設施平臺信息安全的法律保障1知識產權371.信息安全的法律保障 我國在信息安全的法制建設方面已經做了大量工作，已經出臺了許多法律和法規，例如：《中華人民共和國保守國家秘密法》（1988年9月5日，中華人民共和國主席令）；《計算機軟件保護條例》（1991年10月1日）；《計算機信息系統安全保護條例》（1994年2月18日）；《警察法》（1995年2月28日，全國人大），規定“履行監督管理計算機信息系統安全保護工作”；新《刑法》（1997年3月，全國人大），增加了針對計算機信息系統和利用計算機犯罪的條款；《中華人民共和國計算機信息網絡國際聯網管理暫行規定》（1997年5月20日，國務院）；《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》（1997年12月12日，公安部）；《計算機信息網絡國際聯網安全保護管理辦法》（1997年12月11日國務院批準，1997年12月30日公安部發布）；《計算機病毒防治管理辦法》（2000年4月26日，公安部）；《計算機信息網絡國際聯網保密規定》（2000年，國家保密局）；《互聯網信息服務管理辦法》（2000年9月25日，國務院）；《全國人民代表大會常務委員會關于維護互聯網安全的決定》（2000年12月28日，全國人大）。

……。371.信息安全的法律保障 我國在信息安全的法制建設382.知識產權保護已經出臺了有關法律，如：《著作權法實施細則》《計算機軟件保護條例》《計算機軟件著作權登記辦法》《實施國際著作權條約的規定》《商標法》《世界知識產權組織版權條約》《專利法》《中國互聯網絡域名注冊實施細則》《中國互聯網域名管理辦法》《中文域名注冊暫行管理辦法》《中國互聯網絡域名注冊實施細則》《中文域名爭議解決辦法》382.知識產權保護已經出臺了有關法律，如：393.信息化與電子政務促進法

（1）《行政許可法》《行政許可法》明確規定：行政機關應當建立和完善有關制度，推行電子政務，在行政機關的網站上公布行政許可事項，方便申請人采取數據電文等方式提出行政許可申請。而且相關職能部門應當與其他行政機關共享有關行政許可信息，提高辦事效率。（2）《政府信息公開條例》《中華人民共和國政府信息公開條例》已經2007年1月17日國務院第165次常務會議通過，自2008年5月1日起施行（3）《電子簽名法》電子簽名就是在傳輸文件的同時，傳輸數字簽名+數字證書，使接收方可以確認發送方的身份和權利。393.信息化與電子政務促進法（1）《行政許可法》404.中國國家電子政務標準《電子政務標準化指南》包括如下幾個標準：《電子政務標準化指南——網絡基礎設施》《電子政務標準化指南——支撐技術》《電子政務標準化指南——安全管理》《電子政務標準化指南——工程管理》《電子政務標準》共由6項組成。（1）電子政務總體標準（2）電子政務業務標準（3）電子政務應用支撐標準（4）網絡基礎設施（5）信息安全標準（6）電子政務管理標準404.中國國家電子政務標準《電子政務標準化指南》包括如下幾第8講電子政務的安全困境與防御第8講電子政務的安全困境與防御

1995年，美國就提出了“戰略信息戰”的概念，1995年，美國就提出了“戰略信息戰”的概念，43中國電子政務的總體結構系統管理維護體系備份中心網管中心運維中心應用框架層知識管理系統OA系統協同工作系統決策支持系統信息交換系統應用系統層工商政務系統稅務政務系統教育政務系統公眾訪問層政務門戶網絡平臺層政務內網政務專網政務外網數據資源層數據訪問、轉換、提取、過濾、綜合數據資源電子政務平臺的安全體系信任服務體系密鑰管理體系特權管理體系3中國電子政務的總體結構系統管理維護體系備份中心網管中心運維斯諾登事件：“棱鏡計劃”

通過接入互聯網公司的中心服務器，情報分析人員可直接接觸所有用戶的音頻、視頻、照片、電郵、文件和連接日志等信息，跟蹤互聯網使用者的一舉一動以及他們的所有聯系人，過去6年中，該項目經歷了爆炸性增長。目前美國國家安全局最重要的情報來源已經是全球互聯網，美國國家間諜機構目前依靠各種對本國和他國互聯網進行監視的秘密計劃，為美國的情報分析機構提供原始數據。通過這些監控行動，美國事實上監控著全球的互聯網各種通信，包括對中國等國家執行接近網絡戰爭狀態的全天候無縫監控。斯諾登事件：“棱鏡計劃”通過接入互聯網公司的45目錄電子政務的安全困境1電子政務安全技術保障體系2電子政務安全運行管理體系3電子政務安全社會服務體系4電子政務安全基礎設施平臺55目錄電子政務的安全困境1電子政務安全技術保障體系2電46一、電子政務的安全困境EG特征、

規律解析EG安全的

實質、內涵發現EG

安全威脅解析EG安全的

重要性、特殊性解析EG

安全需求提出EG

安全管理

體系框架6一、電子政務的安全困境EG特征、

規律解析EG安全的

471.電子政務的安全威脅安全威脅黑客攻擊垃圾信息網絡犯罪有害信息12345計算機病毒？71.電子政務的安全威脅安全威脅黑客攻擊垃圾信息網絡犯罪48按來源分類：自然vs人為自然威脅

是指不以人的意志為轉移的不可抗拒的自然事件。自然威脅發生的概率比較低。人為威脅

人為威脅>>自然威脅

意外的：操作不當，軟硬件缺陷…… 計算機安全專家結論：約65％的損失來自于無意的錯誤或疏忽。有意的：欺詐或偷竊、內部人員的有意破壞、懷有惡意的黑客行為、侵犯他人隱私、惡意代碼以及間諜行為等。電子政務的安全威脅8按來源分類：自然vs人為自然威脅電子政務的安全威脅49（1）針對信息資產的威脅信息破壞信息泄密。假冒或否認。（2）針對系統的威脅例如通信線路、計算機網絡以及主機、光盤、磁盤等被破壞；系統出現運行速度變慢、信息丟失、拒絕服務等不正常反應等。通過旁路控制，躲過系統的認證或訪問控制，進行未授權的訪問等。按作用對象分類：9（1）針對信息資產的威脅按作用對象分類：50（1）信息泄露在傳輸中被利用電磁輻射或搭接線路的方式竊取；授權者向未授權者泄露存儲設備被盜竊或盜用；未授權者利用特定的工具捕獲網絡中的數據流量、流向、通行頻帶、數據長度等數據并進行分析，（2）入侵（intrusion）旁路控制假冒口令破解合法用戶的非授權訪問掃描（scan）（3）抵賴（否認）發方事后否認自己曾經發送過某些消息；收方事后否認自己曾經收到過某些消息；發方事后否認自己曾經發送過某些消息的內容；收方事后否認自己曾經收到過某些消息的內容。（4）濫用（misuse）濫用泛指一切對信息系統產生不良影響的活動。主要有：傳播惡意代碼、復制/重放、發布或傳播不良信息按方法分類：10（1）信息泄露按方法分類：51按位置分類：外部vs內部惡意破壞自然災害意識不夠內外勾結濫用職權操作不當管理疏漏軟硬件缺陷內部資源內部環境外部環境信息戰爭病毒感染信息恐怖活動黑客攻擊信息間諜11按位置分類：外部vs內部惡意破壞自然災害意識不夠內52電子政務安全威脅分析表-1種類主要表現形式內部環境威脅惡意破壞破壞數據、轉移資產、設置故障及損毀設備等內外勾結出賣情報、透露口令、入侵系統、破壞數據、設置故障及損毀設備等濫用職權非職責查看內部信息、非職責使用系統等操作不當數據損壞或丟失、硬件損壞及垃圾處理不當等安全意識

不強思想麻痹、經驗不足及經驗估計不足等管理疏漏制度不完善、人員組織不合理、缺乏監控措施及權責不清等軟硬件缺陷電磁泄露、剩磁效應、預置陷阱、操作系統漏洞、數據庫缺陷、邏輯炸彈、協議漏洞、網絡結構隱患及設備老化等自然災害因溫度、濕度、灰塵、雷擊、水災、火災及空氣污染等使設備被破壞或不能正常工作12電子政務安全威脅分析表-1種類主要表現形式內惡意破壞破壞53電子政務安全威脅分析表-2種類主要表現形式外部環境威脅病毒破壞破壞文件、占耗內存、干擾系統運行、妨礙磁盤操作及擾亂屏幕顯示等黑客攻擊系統入侵、網絡竊聽、密文破譯、拒絕服務及傳輸通道損壞等信息間諜信息竊取、網絡竊聽、密文破譯、密鑰破譯、電磁探測及流量分析等信息恐怖活動摧毀國家信息基礎設施、制造并散布恐怖信息等信息戰爭發布虛假信息、竊取軍事情報、攻擊指揮系統及破壞社會經濟系統等13電子政務安全威脅分析表-2種類主要表現形式外病毒破壞破壞54電子政務行為分析政務主體政務分支政務單元政務分支政務單元政務單元政務單元G2B因特網電話網外聯網G2C因特網因特網獲取信息G2G移動辦公？按EG行為分類：14電子政務行為分析政務主體政務政務政務政務G2B因特網電話552.電子政務安全的實質55 信息安全是指保障信息的機密性、完整性、可用性、可控性和不可否認性等幾個方面。

機密性：指保證信息不泄露給未經授權的人；

完整性：指防止信息被篡改，保證信息的真實性

可用性：指保證信息和信息系統確實被授權

使用者所用；

可控性：指對信息及信息系統實施安全監控管理

不可否認性：指保證信息行為人不能否認自己的

行為。152.電子政務安全的實質15 信息安全是指保障56安全重要性國家安全

問題保障國家

各種利益保障社會

穩定政務信息傳輸安全政務信息存儲安全涉密政務信息安全認證政務活動中的身份控制政務系統中的權限保證政務系統的穩定運行系統的安全備份與恢復機制維護電子政府的良好形象安全實質機密性完整性可用性可控性不可否認性電子政務的安全需求安全需求圖3.電子政務的安全需求16安全重要性國家安全

問題保障國家

各種利益保障社會

穩定574.電子政務安全的主要制約???????綜合保護和防范意識薄弱違法犯罪成本低打擊難度大????信息技術水平和手段落后法律法規相對滯后缺乏健全的協調機制安全行業不適應發展需要缺乏高效國際協作機制網絡安全保護制約因素174.電子政務安全的主要制約?????綜合保護和違法犯罪585.電子政務的安全管理體系保障電子政務安全不能僅僅依靠技術，關鍵還是在于管理。 從技術上尋找突破口，遠比從管理上尋找突破口的代價要大的多。突破安全的代價：技術突破>>管理突破

185.電子政務的安全管理體系保障電子政務安全不59電子政務安全

(管理)體系技術保障體系運行管理體系社會服務體系基礎設施平臺技術研發防護系統行政管理技術管理風險管理安全管理測評認證應急響應教育培訓法規建設標準建設PKI認證平臺PMI權限平臺19電子政務安全

(管理)體系技術保障體系運行管理體系社會服美國關鍵基礎設施網絡安全框架美國關鍵基礎設施網絡安全框架中央網絡安全與信息化領導小組的建立，預示著我國網絡安全與信息化整體將進入一個新的發展階段中央網絡安全與信息化領導小組的建立，預示著我國網絡安全與信息62二、電子政務安全技術保障體系涉及兩個層面的問題：信息安全基本理論和核心技術研究與開發用信息安全產品和系統構建綜合防護系統22二、電子政務安全技術保障體系涉及兩個層面的問題：63（1）數據加密技術

數據加密技術根據其采用的密碼體制不同，分為對稱密碼技術和非對稱密碼技術。對稱密碼技術是采用相同的密鑰進行加密和解密運算，這兩個密鑰都不能公開，因此也稱為私鑰加密技術。常用的私鑰密碼技術有兩類：一類是流密碼技術；另一類是分組密碼技術(如：DES、IDEA)。1.電子政務安全核心技術23（1）數據加密技術數據加密技術根據其采用的64

非對稱密碼技術采用兩個不同的密鑰，一個用來加密，一個用來解密，前者是可以公開的，為公開密鑰，而后者是需要保護的，只有解密人自己有，為秘密密鑰，且二者不能相互推導，因此也稱為公鑰加密技術（如：RSA）。重要的是密鑰24非對稱密碼技術采用兩個不同的密鑰，一個用來加密，65A公司B公司C公司（4）B用自己的私鑰對文件進行解密（2）A用B的公鑰對文件進行加密B將他的公鑰發給A（1）（3）A將加密后的文件發給B25A公司B公司C公司（4）B用自己的私鑰對文件進行解密（266（2）數字證書數字證書是一個經數字證書認證中心(CA認證中心)數字簽名的包含公開密鑰擁有者信息以及公開密鑰等信息的具有X.509格式編碼的文件。數字證書是由公證、權威的第三方CA中心簽發的，以數字證書為核心的密碼技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性和行為的不可否認性，從而保障網絡應用的安全性。26（2）數字證書數字證書是一個經數字證書認證中67用戶A用戶BCA可以擔保我的網上業務對方的真實身份CA可以擔保我的網上業務對方的真實身份??CA中心我了解用戶A我可以為他們的真實身份擔保我了解用戶B我可以為他們的真實身份擔保

CA（CertificateAuthority）是頒發數字證書的機構。證書是一個機構頒發給一個安全個體的證明，所以證書的權威性取決于該機構的權威性。◆PKI/CA簡介27用戶A用戶BCA可以CA可以??CA中心我了解用戶A我了68利用公開密鑰理論和技術建立的提供安全服務的在線基礎設施。它利用加密、數字簽名、數字證書來保護應用、通信或事務處理的安全。基于公鑰理論相對于傳統的秘密密鑰（對稱密鑰）基礎設施如同電力基礎設施為家用電器提供電力一樣PKI為各種互聯網應用提供安全保障公鑰基礎設施（PublicKeyInfrastructure）28利用公開密鑰理論和技術建立的提供安全服務的在線基礎設施。69（3）信息隱藏技術

該技術是利用多媒體信息本身存在的冗余性和人的感官對一些信息的掩蔽效應而形成的。信息隱藏的含義是：把一個有意義的信息隱藏在另一個稱為載體的信息中，形成隱秘載體，非授權者不知道這個信息中是否隱藏了其他的信息，即便知道，也難以提取或去除隱藏的信息。載體信息多媒體冗余隱秘載體授權實際信息提取隱藏信息接受者29（3）信息隱藏技術該技術是利用多媒體信息本身702.電子政務安全防范系統電子身份認證防病毒軟件防火墻入侵檢測系統漏洞掃描安全審計系統物理隔離系統302.電子政務安全防范系統電子身份認證防病毒軟件防火墻71三、

電子政務安全運行管理體系1.電子政務安全行政管理

(1)安全組織機構(2)安全人事管理(3)安全責任制度2.電子政務安全技術管理

(1)實體安全管理(2)軟件系統管理(3)密鑰管理31三、電子政務安全運行管理體系1.電子政務安全行政管理723.電子政務安全風險管理323.電子政務安全風險管理731.信息安全管理服務信息安全咨詢服務安全技術管理服務數據安全分析服務安全管理評估服務四、

信息安全社會服務體系331.信息安全管理服務信息安全咨詢服務安全技術管理服務742.信息安全測評認證美國國家計算機安全協會NCSAＤ 最低安全性;Ｃ1 自主存取控制;Ｃ2

較完善的自主存取控制(DAC)、審計;Ｂ1 強制存取控制(MAC);Ｂ2

良好的結構化設計,形式化安全模型;Ｂ3

全面的訪問控制,可信恢復;Ａ1

形式化認證;342.信息安全測評認證美國國家計算機安全協會NCSA753.信息系統安全應急響應服務4.信息安全教育培訓353.信息系統安全應急響應服務76五、電子政務安全基礎設施平臺信息安全的法律保障1知識產權保護2信息化與電子政務促進法3中國國家電子政務標準436五、電子政務安全基礎設施平臺信息安全的法律保障1知識產權771.信息安全的法律保障 我國在信息安全的法制建設方面已經做了大量工作，已經出臺了許多法律和法規，例如：《中華人民共