网络信息安全工程讲稿.ppt

关于网络信息安全工程第一页，讲稿共二十七页哦9.1.2网络信息安全方案评价的标准网络信息安全方案评价的标准 （1）体现惟一性。）体现惟一性。（2）综合性。）综合性。（3）实事求是。）实事求是。（4）对症下药。）对症下药。（5）服务支持。）服务支持。（6）循序渐进。）循序渐进。（7）沟通与交流。）沟通与交流。（8）成熟的技术和标准化的产品。）成熟的技术和标准化的产品。第二页，讲稿共二十七页哦 1概要安全风险分析概要安全风险分析2实际安全风险分析实际安全风险分析 （1）网络的风险和威胁分析。）网络的风险和威胁分析。（2）系统的风险和威胁分析。）系统的风险和威胁分析。（3）应用的风险和威胁分析。）应用的风险和威胁分析。（4）对网络、系统和应用的风险及威胁的具体实际的详细分析。）对网络、系统和应用的风险及威胁的具体实际的详细分析。3网络系统的安全原则网络系统的安全原则 （1）动态性。）动态性。（2）惟一性。）惟一性。（3）整体性。）整体性。（4）专业性。）专业性。（5）严密性。）严密性。9.1.3网络信息安全方案的框架网络信息安全方案的框架第三页，讲稿共二十七页哦4安全产品安全产品 （1）防火墙。）防火墙。（2）防病毒。）防病毒。（3）身份认证。）身份认证。（4）传输加密。）传输加密。（5）入侵检测。）入侵检测。5风险评估风险评估6安全服务安全服务 （1）网络拓扑安全。）网络拓扑安全。（2）系统安全加固。）系统安全加固。（3）应用安全。）应用安全。（4）灾难恢复。）灾难恢复。（5）紧急响应。）紧急响应。（6）安全规范。）安全规范。（7）服务体系和培训体系。）服务体系和培训体系。第四页，讲稿共二十七页哦9.2企业网络信息安全工程9.2.1企业网络信息系统的风险企业网络信息系统的风险1离职者的报复离职者的报复2在职员工的威胁在职员工的威胁3企业连带责任企业连带责任4应用程序的风险应用程序的风险5病毒的影响病毒的影响6企业外联网的风险企业外联网的风险7安全软件的悖论安全软件的悖论8安全产品的安全问题安全产品的安全问题第五页，讲稿共二十七页哦9.2.29.2.2企业网络信息安全体制的建立企业网络信息安全体制的建立 第六页，讲稿共二十七页哦1安全策略的制订安全策略的制订2安全体制的建设安全体制的建设3指导方针的确立指导方针的确立4运营、监视和对策运营、监视和对策5监察、诊断、评估和修正监察、诊断、评估和修正第七页，讲稿共二十七页哦9.2.3企业网络信息安全策略建设企业网络信息安全策略建设 1 1安全策略的制定安全策略的制定 （1 1）安全指导方针。）安全指导方针。（2 2）安全运用制度。）安全运用制度。（3 3）安全细则。）安全细则。第八页，讲稿共二十七页哦（1）明确安全策略的框架结构）明确安全策略的框架结构（2）形成安全运用规则）形成安全运用规则（3）安全策略的可操作性）安全策略的可操作性（4）安全策略的客观性）安全策略的客观性（5）安全策略的贯彻）安全策略的贯彻 2制定安全策略的要点制定安全策略的要点第九页，讲稿共二十七页哦9.2.49.2.4企业网络信息系统的安全措施企业网络信息系统的安全措施1应用级别应用级别 应用级别应用级别是企业内部有局域网，利用互联网进行电子邮件通信，是企业内部有局域网，利用互联网进行电子邮件通信，企业开设简单的主页等，属于小规模站点的水平。企业信息系统的最大的企业开设简单的主页等，属于小规模站点的水平。企业信息系统的最大的威胁来自于病毒感染而引起的系统性能下降、由于病毒向外扩散而导致信威胁来自于病毒感染而引起的系统性能下降、由于病毒向外扩散而导致信用下降和来自外部的用下降和来自外部的Web篡改行为等。篡改行为等。应用应用 级别级别的最低限要求是：采用防病毒软件、收集病毒信息以的最低限要求是：采用防病毒软件、收集病毒信息以及定期进行软件升级；注意对网络免费软件下载的管理和日常彻底的病毒及定期进行软件升级；注意对网络免费软件下载的管理和日常彻底的病毒检查；防火墙的定期维护与管理；定期进行网络故障诊断、解析、服务器检查；防火墙的定期维护与管理；定期进行网络故障诊断、解析、服务器配置检查等日常的系统维护。配置检查等日常的系统维护。第十页，讲稿共二十七页哦 应用级别应用级别是指企业基本建立完善的局域网系统，拥有并使用各是指企业基本建立完善的局域网系统，拥有并使用各种服务器，各种数据库联动运行。企业能够灵活利用互联网进行业务处种服务器，各种数据库联动运行。企业能够灵活利用互联网进行业务处理和客户服务，信息系统属于中等规模。理和客户服务，信息系统属于中等规模。应用级别应用级别的最低限要求是：通过浏览器和的最低限要求是：通过浏览器和Web服务器之间的服务器之间的SSL，对互联网通信实施加密保护；采用入侵监测系统和全天候入侵监视体，对互联网通信实施加密保护；采用入侵监测系统和全天候入侵监视体制；灾难恢复对策措施，恢复训练和任务分担等。制；灾难恢复对策措施，恢复训练和任务分担等。2应用级别应用级别第十一页，讲稿共二十七页哦3应用级别应用级别 应用级别应用级别是指用户从远程通过是指用户从远程通过VPN登录企业内部网络，登录企业内部网络，与往来厂商之间使用与往来厂商之间使用Extranet，以及企业职员使用移动通信设，以及企业职员使用移动通信设备通过互联网来访问企业网络的内外结合的网络使用水平。备通过互联网来访问企业网络的内外结合的网络使用水平。应用级别应用级别的最低限要求是：为了信息数据的高度保密而作相的最低限要求是：为了信息数据的高度保密而作相应的加密处理；为了防止交易纠纷和事故而利用数字证书；为了防止越应的加密处理；为了防止交易纠纷和事故而利用数字证书；为了防止越权操作而建立基于安全策略的访问控制等。权操作而建立基于安全策略的访问控制等。第十二页，讲稿共二十七页哦4 4应用级别应用级别 应用级别应用级别是涉及产品供应等交易结算和进行银行之间结算等复杂是涉及产品供应等交易结算和进行银行之间结算等复杂的大规模电子商务应用平台。对于电子商务交易，必须注意对系统进行实时的大规模电子商务应用平台。对于电子商务交易，必须注意对系统进行实时的入侵监视，对客户隐私、数据资源、用户数据操作的管理方针进行保护、的入侵监视，对客户隐私、数据资源、用户数据操作的管理方针进行保护、防止网络欺诈行为的产生。防止网络欺诈行为的产生。应用级别应用级别的最低限要求是：通过电子认证确保信用基础；灵的最低限要求是：通过电子认证确保信用基础；灵活利用可信赖的第三方认证中心；确认承诺服务水平的活利用可信赖的第三方认证中心；确认承诺服务水平的SLA内容；实内容；实施网络系统的高度安全对策、严格运用标准和定期监察等。施网络系统的高度安全对策、严格运用标准和定期监察等。第十三页，讲稿共二十七页哦9.3电子商务安全工程9.3.1电子商务的安全问题 目前在电子商务活动中存在的安全隐患主要体现在以目前在电子商务活动中存在的安全隐患主要体现在以下几个方面：下几个方面：1信息被窃取信息被窃取 2信息被篡改信息被篡改 3身份的冒充身份的冒充 4拒绝服务拒绝服务 5抵赖行为抵赖行为 6黑客与病毒黑客与病毒第十四页，讲稿共二十七页哦9.3.29.3.2电子商务主要的安全需求电子商务主要的安全需求 1有效性有效性2机密性机密性3完整性完整性4可靠性可靠性5审查能力审查能力第十五页，讲稿共二十七页哦9.3.39.3.3电子商务安全体系结构电子商务安全体系结构 第十六页，讲稿共二十七页哦9.3.4电子商务的安全措施1加密技术加密技术2认证技术认证技术3电子商务的安全协议电子商务的安全协议 （1）安全套接层协议）安全套接层协议SSL。（2）安全电子交易协议）安全电子交易协议SET第十七页，讲稿共二十七页哦 1 1系统的构成系统的构成 电子政务信息系统是一个基于网络的，符合电子政务信息系统是一个基于网络的，符合InternetInternet技术标准的面向技术标准的面向政府机关内部、其它政府机构、企业以及社会公众的信息服务和信息政府机关内部、其它政府机构、企业以及社会公众的信息服务和信息处理系统。它由政府部门内部电子化和网络化办公子系统、政府部门处理系统。它由政府部门内部电子化和网络化办公子系统、政府部门之间通过网络进行的信息共享和实时通信子系统、政府部门与社会和之间通过网络进行的信息共享和实时通信子系统、政府部门与社会和公众之间进行的双向信息交流子系统组成。其系统构成主要包括：政公众之间进行的双向信息交流子系统组成。其系统构成主要包括：政府电子政务综合信息资源中心，以及各级政府办公信息管理模块、政府电子政务综合信息资源中心，以及各级政府办公信息管理模块、政府部门业务信息管理模块和面向社会公众综合信息服务等模块。府部门业务信息管理模块和面向社会公众综合信息服务等模块。在电子政务信息系统中，以政府电子政务综合信息资源中心为政务平台，连在电子政务信息系统中，以政府电子政务综合信息资源中心为政务平台，连接政府部门办公业务信息管理模块，各级政府办公业务信息管理模块，面向社会接政府部门办公业务信息管理模块，各级政府办公业务信息管理模块，面向社会公众的综合服务信息管理模块。这三个信息管理模块分别与政府办公业务综合信公众的综合服务信息管理模块。这三个信息管理模块分别与政府办公业务综合信息资源中心相连，又彼此相连，从而构成电子政务信息系统的总框架。息资源中心相连，又彼此相连，从而构成电子政务信息系统的总框架。9.4电子政务安全工程9.4.19.4.1电子政务信息系统电子政务信息系统第十八页，讲稿共二十七页哦2 2系统的特点系统的特点 电子政务信息系统通过政务信息的共享、交流、协作，使电子政务的管电子政务信息系统通过政务信息的共享、交流、协作，使电子政务的管理活动成为电子政务的增值过程；通过该系统实现政府在政治、经济、社会、理活动成为电子政务的增值过程；通过该系统实现政府在政治、经济、社会、生活等领域的管理服务职能；实现政府决策信息的发布与存取，支持决策活生活等领域的管理服务职能；实现政府决策信息的发布与存取，支持决策活动；实现办公业务信息交流和交互式处理，支持政务执行活动，以完成政务动；实现办公业务信息交流和交互式处理，支持政务执行活动，以完成政务活动的全过程。其特点为：活动的全过程。其特点为：（1）开放性。指在法律允许的范围内政府信息的公开和可获得性，以及管理）开放性。指在法律允许的范围内政府信息的公开和可获得性，以及管理和沟通渠道的公开，便于公众获得政府信息，办事和监督。和沟通渠道的公开，便于公众获得政府信息，办事和监督。（2）整合性。在电子政务信息系统中，政府机构的每一个部门，由网络连接起来协）整合性。在电子政务信息系统中，政府机构的每一个部门，由网络连接起来协同工作，打破了地域、层级、部门的限制，促使政府组织和职能的整合，让政府部门同工作，打破了地域、层级、部门的限制，促使政府组织和职能的整合，让政府部门之间的信息能够流通、共享，使公众享受到无组织边界的政治服务。之间的信息能够流通、共享，使公众享受到无组织边界的政治服务。（3）交互性。系统保证任何个人、企业和团体组织，都可以直接通过交互式）交互性。系统保证任何个人、企业和团体组织，都可以直接通过交互式的技术手段表达和传递信息，政府与公众和企业等团体组织可以直接进行交流沟的技术手段表达和传递信息，政府与公众和企业等团体组织可以直接进行交流沟通。通。（4）服务性。电子政务信息系统最突出的功能便是提供信息服务。这种理念使得）服务性。电子政务信息系统最突出的功能便是提供信息服务。这种理念使得公众和企业等团体组织成为政府机构的服务的客户，政府要确定服务标准，向客户作公众和企业等团体组织成为政府机构的服务的客户，政府要确定服务标准，向客户作出承诺，政府职能由控制型转向为控制出承诺，政府职能由控制型转向为控制服务型。服务型。（5）直通性。电子政务信息系统通过计算机网络减少中间环节，寻求最佳途径，保证信）直通性。电子政务信息系统通过计算机网络减少中间环节，寻求最佳途径，保证信息交换的息交换的“直通直通”，确保信息畅通。，确保信息畅通。第十九页，讲稿共二十七页哦9.4.2电子政务信息系统安全 1电子政务安全需求电子政务安全需求 电子政务信息系统是基于网络的信息系统，其安全内容十分广泛，安全要求各不相同。电子政务信息系统是基于网络的信息系统，其安全内容十分广泛，安全要求各不相同。从网络层次看，包括可靠性、可控性、互操作性、可计算性等；从信息层次看，包括信息的从网络层次看，包括可靠性、可控性、互操作性、可计算性等；从信息层次看，包括信息的完整性、保密性、不可否认性等；从设备层次看，包括质量保证、设备备份、物理安全等；完整性、保密性、不可否认性等；从设备层次看，包括质量保证、设备备份、物理安全等；从经营管理层次看，包括人员可靠、规章制度完善等。通常电子政务的安全需求包括：从经营管理层次看，包括人员可靠、规章制度完善等。通常电子政务的安全需求包括：（1）保证系统的稳定运行）保证系统的稳定运行 （2）保护信息的秘密）保护信息的秘密 （3）政务活动身份的认证）政务活动身份的认证 （4）政务权限的控制）政务权限的控制 （5）政务信息的安全存储）政务信息的安全存储 （6）政务信息的安全传输）政务信息的安全传输 （7）备份与恢复机制）备份与恢复机制 第二十页，讲稿共二十七页哦2 2电子政务安全的特殊性电子政务安全的特殊性 （1）部门安全与国家安全。）部门安全与国家安全。从技术和管理的角度来看，电子政务安全和其他领域的信息安全没有本质的区别，但电子政务安全问题从技术和管理的角度来看，电子政务安全和其他领域的信息安全没有本质的区别，但电子政务安全问题所产生的影响往往危及整个国家。所以电子政务安全同时也是国家的安全，所产生的影响往往危及整个国家。所以电子政务安全同时也是国家的安全，（2）政治安全与经济安全。）政治安全与经济安全。政治秩序决定经济秩序、生活秩序的正常稳定，电子政务是经济与社会信息化的先决条件，因政治秩序决定经济秩序、生活秩序的正常稳定，电子政务是经济与社会信息化的先决条件，因此电子政务安全不仅仅是政治安全，同时也是经济安全和社会安全。此电子政务安全不仅仅是政治安全，同时也是经济安全和社会安全。（3）保密与公开。）保密与公开。电子政务不仅要求政府完善行政管理职能，还要加大公众服务的力度。在这样的要求下，电子政务不仅要求政府完善行政管理职能，还要加大公众服务的力度。在这样的要求下，政务信息既包括需要保密甚至是核心机密的部分，也包括面向公众、具有一定公开性的信息，政务信息既包括需要保密甚至是核心机密的部分，也包括面向公众、具有一定公开性的信息，因此给电子政务的安全性提出了更高的要求。因此给电子政务的安全性提出了更高的要求。（4）互联与隔离。）互联与隔离。电子政务的公众服务职能要求与公众信息网互联，但其核心业务层因有许多涉及国家机密的信息而要与电子政务的公众服务职能要求与公众信息网互联，但其核心业务层因有许多涉及国家机密的信息而要与外界隔离。外界隔离。第二十一页，讲稿共二十七页哦9.4.3电子政务信息系统安全保障体系 1安全保障体系模型安全保障体系模型 电子政务信息系统安全保障体系应该是一个建立在系统安全风险分析基础之电子政务信息系统安全保障体系应该是一个建立在系统安全风险分析基础之上，通过制定安全策略和采取科学、先进的安全技术实现对系统进行安全防护和上，通过制定安全策略和采取科学、先进的安全技术实现对系统进行安全防护和监控，使系统具有灵敏、迅速的响应机制的动态化的、智能型的系统安全体系。监控，使系统具有灵敏、迅速的响应机制的动态化的、智能型的系统安全体系。其模型可用公式表示为：动态化、智能的系统安全其模型可用公式表示为：动态化、智能的系统安全=风险评估风险评估+安全策略安全策略+防御体防御体系系+实时监控实时监控+响应机制响应机制+安全审计。安全审计。其中，风险评估是对系统安全风险因素进行的分析和报告，是安全策略制定其中，风险评估是对系统安全风险因素进行的分析和报告，是安全策略制定的依据；安全策略是系统安全的总体规划和具体措施，是整个安全保障体系的核的依据；安全策略是系统安全的总体规划和具体措施，是整个安全保障体系的核心和纲要：防御体系是根据系统存在的各种安全漏洞和安全威胁所采用的相应的心和纲要：防御体系是根据系统存在的各种安全漏洞和安全威胁所采用的相应的技术防护措施，是安全保障体系的重心所在；实时监控是随时监测系统的运行情技术防护措施，是安全保障体系的重心所在；实时监控是随时监测系统的运行情况，及时发现和制止对系统进行的各种攻击；响应机制是在安全防护机制失效的况，及时发现和制止对系统进行的各种攻击；响应机制是在安全防护机制失效的情况下，进行应急处理和响应，及时地恢复信息，减少被攻击的破坏程度，包括情况下，进行应急处理和响应，及时地恢复信息，减少被攻击的破坏程度，包括备份、自动恢复、确保恢复、快速恢复等；安全审计是指记录和分析安全审计数备份、自动恢复、确保恢复、快速恢复等；安全审计是指记录和分析安全审计数据，检查系统中出现的违规行为，判断是否违反法规，为改进系统和实施法律提据，检查系统中出现的违规行为，判断是否违反法规，为改进系统和实施法律提供依据。在此安全保障体系模型中，供依据。在此安全保障体系模型中，“风险评估风险评估+安全策略安全策略”体现了管理因素，体现了管理因素，“防防御体系御体系+实时监控实时监控+响应机制响应机制”体现了技术因素，体现了技术因素，“安全审计安全审计”则体现了法律因素。并且则体现了法律因素。并且系统还具备动态调整的反馈功能，使得该体系模型能够适应系统的动态性，支持信息系统安系统还具备动态调整的反馈功能，使得该体系模型能够适应系统的动态性，支持信息系统安全性的动态提升。全性的动态提升。第二十二页，讲稿共二十七页哦2安全保障体系方案安全保障体系方案第二十三页，讲稿共二十七页哦9.4.4电子政务系统的安全设计电子政务系统的安全设计 1系统安全设计的目标系统安全设计的目标 电子政务系统对信息安全的要求较为严格，其主要实现的安全目标电子政务系统对信息安全的要求较为严格，其主要实现的安全目标包括：信息的保密性、数据的完整性、用户身份的鉴别、数据原发者鉴包括：信息的保密性、数据的完整性、用户身份的鉴别、数据原发者鉴别、数据原发者的不可抵赖性、合法用户的安全性等。别、数据原发者的不可抵赖性、合法用户的安全性等。第二十四页，讲稿共二十七页哦2安全策略安全策略 解决电子政务中的安全问题，关键在于建立完善的安全管理体系。总体解决电子政务中的安全问题，关键在于建立完善的安全管理体系。总体对策应以技术为核心、以管理为根本、以服务为保障。对策应以技术为核心、以管理为根本、以服务为保障。（1）技术方面。应该加强核心技术的自主研发，尤其是操作系统技术和）技术方面。应该加强核心技术的自主研发，尤其是操作系统技术和微处理芯片技术，无论是对国家信息安全基础设施还是对政务信息安全保障微处理芯片技术，无论是对国家信息安全基础设施还是对政务信息安全保障系统都是至关重要的。系统都是至关重要的。（2）管理方面。可以通过安全评估、安全政策、安全标准、安全审计等四个）管理方面。可以通过安全评估、安全政策、安全标准、安全审计等四个环节来加以规范化并进而实现有效的管理：环节来加以规范化并进而实现有效的管理：（3）在服务方面，主要是构建外部服务体系，包括相关法律支撑体系、安全）在服务方面，主要是构建外部服务体系，包括相关法律支撑体系、安全咨询服务体系、应急响应体系、安全培训体系等。相关法律是从法制角度对政府咨询服务体系、应急响应体系、安全培训体系等。相关法律是从法制角度对政府信息化及其安全问题做出严格的规定；咨询服务体系是由第三方为政府机构提供信息化及其安全问题做出严格的规定；咨询服务体系是由第三方为政府机构提供技术解决方案、安全技术分析等；应急响应措施是在政务信息系统发生异常或遭技术解决方案、安全技术分析等；应急响应措施是在政务信息系统发生异常或遭到破坏时提供尽快解决问题，恢复正常的方法手段；安全培训体系主要包括安全到破坏时提供尽快解决问题，恢复正常的方法手段；安全培训体系主要包括安全意识与安全理念培训、安全基础知识培训、安全管理培训和专业安全技能培训等。意识与安全理念培训、安全基础知识培训、安全管理培训和专业安全技能培训等。第二十五页，讲稿共二十七页哦3系统安全措施系统安全措施（1）数据中心的物理安全。）数据中心的物理安全。（2）数据的保密性。）数据的保密性。（3）数据的完整性。）数据的完整性。（4）系统的可靠性。）系统的可靠性。（5）访问控制。）访问控制。（6）身份认证。）身份认证。（7）安全通道。）安全通道。（8）防火墙。）防火墙。第二十六页，讲稿共二十七页哦感谢大家观看第二十七页，讲稿共二十七页哦