電子政務中的信息共享與交換的保障體系議題Session1電子政務的飛速發展Session2電子政務安全分析Session3計算終端安全保障系統Session4統一安全管理

Session1電子政務的飛速發展電子政務發展增長2004年投資額為412億元，占全國所有行業IT投資的10%左右預測2005年政府IT投資將實現482億元，2009年將達860億元，復合增長率為15.9%成果與效能截止2004年12月底，我國72.9%的地方政府擁有政府門戶網站，地級政府門戶網站擁有率達到了93.1%，我國政府網站數量已經超過1萬電子政務的實際效能－核心是指電子政務公共服務的水平衡量以實施技術為特點的“電子政務功能度”、以信息交互程度為特點的“電子政務復雜度”以滿足公眾需求為特點的“電子政務成熟度”重要影響因素：網絡安全網絡安全案例涉及國家安全國家保密技術研究所報告：2001年中美黑客大戰期間，遭受攻擊的大陸網站中，政府網站占了41.5%中央國家部委涉及國家機密的網絡有一半以上未達到規定的安全保密要求網絡泄密案件已占總泄密案件的1/3……2001年，武漢黑客攻擊國內一些地方政府網站，先后入侵武昌區政府網站、大冶市政府網站、黃石熱線網站、數字重慶網站等，修改主頁內容、粘貼色情淫穢圖片和對政府人員進行政治和人身攻擊2003年，黑龍江省潘某攻擊遼寧一政府政府網站，在該網站的服務器上建立了自己的FTP服務，把自己的論壇主頁上傳到該網站服務器上，并做了鏈接。Session2電子政務安全分析電子政務：信息交換與共享體系電子政務：一種政府參與的信息交換與共享體系。包括：政府部門內部的數字化辦公政府部門之間通過計算機網絡而進行的信息共享與實時通信政府部門通過網絡與公眾進行的雙向交流對這個過程的安全保障，構成了電子政務的網絡安全體系。電子政務的效能＝應用系統效能×安全性電子政務安全保障體系安全法規安全管理安全標準安全服務安全技術產品安全基礎設施目前的網絡安全技術方案安全操作系統、安全硬件平臺、安全數據庫、PKI/CA 、VPN、安全網關、防火墻、數據加密機、入侵檢測（IDS）、漏洞掃描、防病毒、強審計工具、安全Web 、安全郵件、內容識別和過濾產品、安全備份、電磁泄漏防護、安全隔離客戶機、安全網閘技術術視視角角的的缺缺陷陷木桶桶最最短短的的一一塊塊板板：：計計算算終終端端安安全全保保障障最明明顯顯的的詬詬病病：：缺缺乏乏統統一一管管理理Session3計計算算終終端端安安全全保保障障案例例：：沖沖擊擊波波，，振振蕩蕩波波，，QQ病病毒毒，，MSN病病毒毒Linux比比Windows更更安安全全么么，，不不！！據Mi2g公司司（英國國數字風風險管理理研究機機構）的調查查結果顯顯示，在在被黑客客成功入入侵的計計算機系系統中，，有67%的計計算機使使用Linux系統，，該數字字相當于于Windows系統統的3倍倍之多。。Windows系統統被成功功入侵的的比例為為23.2%。。終端是信信息交換換與共享享中最薄薄弱的環環節，需需要最強強力的保保障體系系－－恰恰恰是現現狀中所所最不受受重視的的一環為什么要要終端管管理當前網絡絡安全面面臨的新新問題分支機構構Internet數據中心心數量龐大大的終端端缺乏可可管理性性，導致致蠕蟲病病毒愈演演愈烈隔離重點點保護的的資產變變困難了了，蠕蟲蟲和病毒毒會讓整整個網絡絡癱瘓傳統的防防火墻、、IDS、防病病毒產品品無能為為力安全防御御必須從從網絡邊邊緣擴展展到終端端遠程用戶戶

移動動PC攻擊可以來自任何地方辦公網絡絡無線接入入終端管理理美國政府府的解決決方案：：自動補補丁管理理更好的解解決之道道：統一一的計算算終端保保障系統統體現“以以人為本本、以服服務對象象為中心心”解決傳統統安全鞭鞭長莫及及之處以最大的的覆蓋面面杜絕攻攻擊源頭頭和受害害者計算終端端安全保保障系統統功能終端安全全資產管理理中心安全策略略中心補丁管理理中心健康檢查查中心軟件分發發中心強制認證證中心病毒防護護中心安全防護護中心全面的計算終端端安全保保障系統統資產和安安全策略略管理補丁管理理軟件分發發個人防火火墻防病毒主機入侵侵防護完整性檢檢查和自自動修復復強制認證證防信息泄泄露Session4統統一一安全管管理信息分配配和共享享不充分分傳統安全全產品僅僅僅提供供面向安安全人員員的信息息,但實實際上，，所有人人都從自自身角度度觸發需需要了解解安全信信息系統管理員：我也需要了解自己系統的安全情況！我在哪里可以看到？讓我處理故障，可是我不知道怎么處理啊？能否讓我經常學習一些安全知識？管理者：安全到底如何了？有沒有一說話的數字？一切是否在掌握之中？我們的投資又什么回報？安全管理員：我關心所有和安全相關的信息我更關注最新安全更新，主動的發現和響應我要密切關注安全健康狀況，對事件進行分析和處理我需要處理各種安全工作流程，支持和協助系統管理員完成安全工作缺乏以資資產為核核心的風風險管理理以事件為為核心的的管理不不能讓管管理員迅迅速發現現最為關關心和重重要的信信息以安全產產品為中中心的事事件管理理不利于于信息的的共享和和分配以事件為為中心的的管理僅僅僅反映映了安全全的一個個方面，，作為安安全管理理的核心心－－風風險管理理，是結結合了資資產、漏漏洞和威威脅/事事件來進進行綜合合計算和和評價的的風險威脅漏洞資產威脅漏洞資產以業務系系統/資資產方式式呈現原有方式式SOC方方式以資產和和風險為為核心的的安全管管理中心心

計算環境領域網絡基礎設施領域網絡邊界領域

ServerAPPTerminalRouterswitchFWIDSVPN資產管理、事件管理、漏洞管理價值分析和關聯分析風險管理

人

技術

管理

知識管理

維護管理統一安全管理建立以管管理者和和資產為為核心的的管理體體系將所有安安全產品品和事件件通過統統一的界界面聯系系起來提供智能能，包括括各種關關聯分析析提供完善善的安全全功能，，包括漏漏洞管理理、威脅脅管理、、知識管管理、響響應管理理、配置置管理統一安全全管理的的效益整合安全全技術，，凸顯安安全管理理，消除除安全隱隱患，提提升安全全水平安全可視視化，可可量化，，可管理理融合一個個無縫的的安全體體系附加利益：正確的長期規規劃安全服務生命命周期切入的的最佳機會實施的過程是是一次全面的的安全洗禮小結以人為本以應用為指導導，以效能為