1.电子政务的普遍性安全风险分析 1)非法用户通过公共网络进入内部网内各级局域网 系统,获取资源或支配资源; (2)篡改向社会公布的政务信息以制造混乱 (3)插入和修改传输中的数据; (4)窃听和截获传输数据; (5)假冒管理者和信息主体发布虚假信息
1. 电子政务的普遍性安全风险分析 (1)非法用户通过公共网络进入内部网内各级局域网 系统,获取资源或支配资源; (2)篡改向社会公布的政务信息以制造混乱; (3)插入和修改传输中的数据; (4)窃听和截获传输数据; (5)假冒管理者和信息主体发布虚假信息
2.与 Internet连接的安全需求 1)完整性保护:必须保证内部信息和向社会公开发 布的国家、法令、布告、通知以及其他需要外界广泛了解 的信息的完整性。任何形式的信息创建、插入、删除和篡 改都是不被允许的。 (2)源鉴别服务:对信息源进行鉴别以确认消息来源 是真实可信的。 (3)用户鉴别:政府部门的公开信息是内外有别的, 因此要按信息级别和类别对访问用户的身份合法性进行鉴 别 (4)访问控制:访问控制包括对进入查询系统的控制 以及访问的权限管理
2. 与Internet连接的安全需求 (1)完整性保护:必须保证内部信息和向社会公开发 布的国家、法令、布告、通知以及其他需要外界广泛了解 的信息的完整性。任何形式的信息创建、插入、删除和篡 改都是不被允许的。 (2)源鉴别服务:对信息源进行鉴别以确认消息来源 是真实可信的。 (3)用户鉴别:政府部门的公开信息是内外有别的, 因此要按信息级别和类别对访问用户的身份合法性进行鉴 别。 (4)访问控制:访问控制包括对进入查询系统的控制 以及访问的权限管理
3.与内部网连接的安全需求 1)身份鉴别:鉴别操作实体的部门、级别及权限属 性 2)访问控制 阻止系统外(非法)用户访问和进入系统; 阻止系统内(合法)用户进行未授权的访问和操作; 阻止越权操作 对越权者进行审计跟踪。 (3)加密:按照规定对涉密信息进行加密存储和传 输 (4)建立合适的密钥管理体系
3. 与内部网连接的安全需求 (1)身份鉴别:鉴别操作实体的部门、级别及权限属 性。 (2)访问控制 ·阻止系统外(非法)用户访问和进入系统; ·阻止系统内(合法)用户进行未授权的访问和操作; ·阻止越权操作; ·对越权者进行审计跟踪。 (3)加密:按照规定对涉密信息进行加密存储和传 输。 (4)建立合适的密钥管理体系
92信息系统安全策略 ●92.1基于网络的安全策略 ●922基于主机的安全策略 923基于设施的安全策略 ●9.2.4基于数据管理的安全策略 ●925信息系统开发、运行和维护中的安全策略 ●926基于安全事件的安全策略 ●927与开放性网络连接的信息系统应追加的安全措施
9.2 信息系统安全策略 ⚫ 9.2.1 基于网络的安全策略 ⚫ 9.2.2 基于主机的安全策略 ⚫ 9.2.3 基于设施的安全策略 ⚫ 9.2.4 基于数据管理的安全策略 ⚫ 9.2.5 信息系统开发、运行和维护中的安全策略 ⚫ 9.2.6 基于安全事件的安全策略 ⚫ 9.2.7 与开放性网络连接的信息系统应追加的安全措施
信息系统是复杂的,信息系统的安全也是复杂的。可 以说,有多么复杂的信息系统,就有多么复杂的信息系统 安全。为此,在制定安全措施时必须考虑一套科学的、系 统的安全策略 信息安全策略制定应以信息系统为对象,根据风险 分析确立安全方针,并依照这个方针来制定相应的策略 下面是中国信息安全产品评测认证中心提出的系统一般采 取的安全策略,供安全管理人员制定系统安全策略时参考 具体制定系统的安全策略时,可以根据风险分析,从中选 择必要的内容,同时根据需求追加一部分内容
信息系统是复杂的,信息系统的安全也是复杂的。可 以说,有多么复杂的信息系统,就有多么复杂的信息系统 安全。为此,在制定安全措施时必须考虑一套科学的、系 统的安全策略。 信息安全策略 制定应以信息系统为对象,根据风险 分析确立安全方针,并依照这个方针来制定相应的策略。 下面是中国信息安全产品评测认证中心提出的系统一般采 取的安全策略,供安全管理人员制定系统安全策略时参考。 具体制定系统的安全策略时,可以根据风险分析,从中选 择必要的内容,同时根据需求追加一部分内容