计算机网络与信息安全所带来的行业问题---电子政务与行业封闭问题.ppt

计算机网络与信息安全所带来的行业问题---电子政务与行业封闭问题
刘春阳博士后
国家计算机网络与信息安全管理中心
2001年5月19日
1
国家计算机网络与信息安全管理中心
内容:
背景:所有观点均是在计算机网络与信息安全为前提;封闭认为是一种安全措施,表现出的方式可以认为是业务需求;

一、行业封闭与交互问题
二、行业个性与共性问题
三、面对问题应采取的对策
2
国家计算机网络与信息安全管理中心
行业封闭与交互问题
信息的共享性
业务交叉性
行业个性所决定
缺乏对对方的信任
过分强调安全
传统运营方式
重复投资、效率低、安全错觉
封闭与交互是用户业务安全的需求,根据不同的需求给出不同安全尺度,建立尺度标准,合理分配资源,达到最佳平衡。
行业交互需求形成
行业封闭问题的形成
行业封闭产生的危害
3
国家计算机网络与信息安全管理中心
行业封闭产生的危害
重复投资/资金浪费---过分封闭必然引起系统、环境的重复建设。
阻碍工作效率提高/信息共享---封闭必然加重系统负担、增加延时、增加信息共享代价。
形成安全错觉---实际上仅仅防止了系统外的安全隐患,而内部并没有解决,如边界节点安全控制,内部人员的可负责性等。
4
国家计算机网络与信息安全管理中心
行业封闭问题的形成(1)
传统运营方式
由于长期封闭式运营造成相对独立系统,对外互连需要网络安全保障,要达到安全要求需要改造和周期升级的资金投入,在资金有困难情况下,必然改造推迟。
过分强调安全
扩大自己行业的安全特点,扩大安全事故发生灾难的不可控性,致使用户过分封闭或希望推脱责任,如物理隔断,希望主管部门解决所涉及到的安全问题等。
5
国家计算机网络与信息安全管理中心
行业封闭问题的形成(2)
缺乏对对方的信任
不能正确定位和评估自己行业的安全需求和对方的安全措施,如银行之间互连,政府部门之间互连等。
行业个性所决定
目前工作范围、工作性质所决定,如部队和政府特殊部门。
知识结构所引起封闭
网络信息安全涉及到三个方面,虚拟空间、物理空间、管理空间,对网络安全的虚拟空间没有把握时,必然从物理和管理方面设置安全措施来解决所面临的安全问题。
6
国家计算机网络与信息安全管理中心
行业交互需求形成(1)
业务的交叉性
同一种业务可能涉及到几个部门,在业务流程过程中需要资料的交接和传阅,如电子政务中,政府办公网与网站之间的资料传递(文件----通告、法规等对外发布,信息获取等,目前是手工操作,可否建立电子政务要求的安全发布平台)。
7
国家计算机网络与信息安全管理中心
行业交互需求形成(2)
信息的共享性
根据行业需求提供规模化服务,目前网站等就是起的这样作用,但只对大众关心的内容进行规模化服务(有市场潜力的行业),还有许多特殊行业(如政府、金融、安全应急等)需要这种规模化服务,提高工作效率,优化结构,节省投资。它们的安全需求决定于服务对象和范围、信息内容,同时有些行业还要政府介入,加大管理和推动力度。如公安部、安全部支持的安全产品质量认证和测评等。
8
国家计算机网络与信息安全管理中心
行业个性与共性问题
共性交叉的相对性
信息与身份认证和保密
信息获取与发布
网络正常运行
业务与服务范围的特殊性
安全损失的不可估计性
安全需求的不对称
个性与共性反映安全业务的属性,根据不同的属性给出不同安全对策,通过共性特点设计安全产品、并大规模生产降低产品成本,根据个性特点提出个性化服务;共性可以形成产业,个性形成服务行业。
行业共性来源
行业个性问题形成
9
国家计算机网络与信息安全管理中心
行业个性问题形成
安全需求的不对称性
用户所在行业的不同,对安全的需求有很大的差异。如金融、媒体、电子政务等。
安全损失不可估计性
行业发生安全事故时,不同行业评估事故损失程度有很大区别,有些行业是安全损失不可估计。如金融(事故的影响)、电子政务(信息价值的不可评估性)等。
业务范围的特殊性
一些特殊行业和部门需要。如涉及国家机密的部队和政府特殊部门。
10
国家计算机网络与信息安全管理中心