网络信息安全工程优秀PPT.ppt

第9章 网络信息平安工程 9.1网络信息平安方案的设计 9.1.1 网络信息平安方案设计概述 一份好的网络信息平安解决方案，应当包括技术、策略和管理三方面的内容。技术是关键，策略是核心，管理是保证。系统的平安配置，动态跟踪，人的有效管理，都要依据管理来约束和保证；而一个人的技术水平、思想行为和心理素养等都会影响到项目的质量。9.1.2网络信息平安方案评价的标准网络信息平安方案评价的标准 （1 1）体现惟一性。）体现惟一性。（2 2）综合性。）综合性。（3 3）实事求是。）实事求是。（4 4）对症下药。）对症下药。（5 5）服务支持。）服务支持。（6 6）按部就班。）按部就班。（7 7）沟通与沟通。）沟通与沟通。（8 8）成熟的技术和标准化的产品。）成熟的技术和标准化的产品。1概要平安风险分析概要平安风险分析2实际平安风险分析实际平安风险分析 （1）网络的风险和威逼分析。）网络的风险和威逼分析。（2）系统的风险和威逼分析。）系统的风险和威逼分析。（3）应用的风险和威逼分析。）应用的风险和威逼分析。（4）对网络、系统和应用的风险及威逼的具体实际的具体分析。）对网络、系统和应用的风险及威逼的具体实际的具体分析。3网络系统的平安原则网络系统的平安原则 （1）动态性。）动态性。（2）惟一性。）惟一性。（3）整体性。）整体性。（4）专业性。）专业性。（5）严密性。）严密性。9.1.3网络信息平安方案的框架网络信息平安方案的框架4平安产品平安产品 （1）防火墙。）防火墙。（2）防病毒。）防病毒。（3）身份认证。）身份认证。（4）传输加密。）传输加密。（5）入侵检测。）入侵检测。5风险评估风险评估6平安服务平安服务 （1）网络拓扑平安。）网络拓扑平安。（2）系统平安加固。）系统平安加固。（3）应用平安。）应用平安。（4）灾难复原。）灾难复原。（5）紧急响应。）紧急响应。（6）平安规范。）平安规范。（7）服务体系和培训体系。）服务体系和培训体系。9.2企业网络信息平安工程9.2.1企业网络信息系统的风险1离职者的报复2在职员工的威逼3企业连带责任4应用程序的风险5病毒的影响6企业外联网的风险7平安软件的悖论8平安产品的平安问题9.2.29.2.2企业网络信息平安体制的建立企业网络信息平安体制的建立 1平安策略的制平安策略的制订2平安体制的建平安体制的建设3指指导方方针的确立的确立4运运营、监视和和对策策5监察、察、诊断、断、评估和修正估和修正9.2.3企业网络信息平安策略建设企业网络信息平安策略建设 1 1平安策略的制定平安策略的制定 （1 1）平安指导方针。）平安指导方针。（2 2）平安运用制度。）平安运用制度。（3 3）平安细则。）平安细则。（1）明明确确平平安安策策略略的的框框架架结构构（2）形成平安运用）形成平安运用规则（3）平安策略的可操作性）平安策略的可操作性（4）平安策略的客）平安策略的客观性性（5）平安策略的）平安策略的贯彻 2制定平安策略的要点制定平安策略的要点9.2.49.2.4企业网络信息系统的平安措施企业网络信息系统的平安措施1应用级别应用级别 应用级别应用级别是企业内部有局域网，利用互联网进行电是企业内部有局域网，利用互联网进行电子邮件通信，企业开设简洁的主页等，属于小规模站点的水子邮件通信，企业开设简洁的主页等，属于小规模站点的水平。企业信息系统的最大的威逼来自于病毒感染而引起的系平。企业信息系统的最大的威逼来自于病毒感染而引起的系统性能下降、由于病毒向外扩散而导致信用下降和来自外部统性能下降、由于病毒向外扩散而导致信用下降和来自外部的的Web篡改行为等。篡改行为等。应用应用 级别级别的最低限要求是：接受防病毒软件、收的最低限要求是：接受防病毒软件、收集病毒信息以及定期进行软件升级；留意对网络免费软件下集病毒信息以及定期进行软件升级；留意对网络免费软件下载的管理和日常彻底的病毒检查；防火墙的定期维护与管理；载的管理和日常彻底的病毒检查；防火墙的定期维护与管理；定期进行网络故障诊断、解析、服务器配置检查等日常的系定期进行网络故障诊断、解析、服务器配置检查等日常的系统维护。统维护。应用用级别是是指指企企业基基本本建建立立完完善善的的局局域域网网系系统，拥有有并并运运用用各各种种服服务器器，各各种种数数据据库联动运运行行。企企业能能够敏敏捷捷利利用用互互联网网进行行业务处理理和和客客户服服务，信信息系息系统属于中等属于中等规模。模。应用用级别的的最最低低限限要要求求是是：通通过阅读器器和和Web服服务器器之之间的的SSL，对互互联网网通通信信实施施加加密密爱护；接接受受入入侵侵监测系系统和和全全天天候候入入侵侵监视体体制制；灾灾难复复原原对策措施，复原策措施，复原训练和任和任务分担等。分担等。2应用级别应用级别3应用级别应用级别 应用级别应用级别是指用户从远程通过是指用户从远程通过VPN登录企业内登录企业内部网络，与往来厂商之间运用部网络，与往来厂商之间运用Extranet，以及企业职员，以及企业职员运用移动通信设备通过互联网来访问企业网络的内外结合运用移动通信设备通过互联网来访问企业网络的内外结合的网络运用水平。的网络运用水平。应用级别应用级别的最低限要求是：为了信息数据的高度的最低限要求是：为了信息数据的高度保密而作相应的加密处理；为了防止交易纠纷和事故而利保密而作相应的加密处理；为了防止交易纠纷和事故而利用数字证书；为了防止越权操作而建立基于平安策略的访用数字证书；为了防止越权操作而建立基于平安策略的访问限制等。问限制等。4 4应用级别应用级别 应用级别应用级别是涉及产品供应等交易结算和进行银行之间结是涉及产品供应等交易结算和进行银行之间结算等困难的大规模电子商务应用平台。对于电子商务交易，必需算等困难的大规模电子商务应用平台。对于电子商务交易，必需留意对系统进行实时的入侵监视，对客户隐私、数据资源、用户留意对系统进行实时的入侵监视，对客户隐私、数据资源、用户数据操作的管理方针进行爱护、防止网络欺诈行为的产生。数据操作的管理方针进行爱护、防止网络欺诈行为的产生。应用级别应用级别的最低限要求是：通过电子认证确保信用基础；的最低限要求是：通过电子认证确保信用基础；敏捷利用可信任的第三方认证中心；确认承诺服务水平的敏捷利用可信任的第三方认证中心；确认承诺服务水平的SLA内内容；实施网络系统的高度平安对策、严格运用标准和定期监察等。容；实施网络系统的高度平安对策、严格运用标准和定期监察等。9.3电子商务平安工程9.3.1电子商务的平安问题 目前在电子商务活动中存在的平安隐患主要体现在目前在电子商务活动中存在的平安隐患主要体现在以下几个方面：以下几个方面：1信息被窃取信息被窃取 2信息被篡改信息被篡改 3身份的冒充身份的冒充 4拒绝服务拒绝服务 5抵赖行为抵赖行为 6黑客与病毒黑客与病毒9.3.29.3.2电子商务主要的平安需求电子商务主要的平安需求 1有效性有效性2机密性机密性3完整性完整性4牢靠性牢靠性5审查实力审查实力9.3.39.3.3电子商务平安体系结构电子商务平安体系结构 9.3.4电子商务的平安措施1加密技术加密技术2认证技术认证技术3电子商务的平安协议电子商务的平安协议 （1）平安套接层协议）平安套接层协议SSL。（2）平安电子交易协议）平安电子交易协议SET 1 1系统的构成系统的构成 电子政务信息系统是一个基于网络的，符合电子政务信息系统是一个基于网络的，符合InternetInternet技术标技术标准的面对政府机关内部、其它政府机构、企业以及社会公众的信准的面对政府机关内部、其它政府机构、企业以及社会公众的信息服务和信息处理系统。它由政府部门内部电子化和网络化办公息服务和信息处理系统。它由政府部门内部电子化和网络化办公子系统、政府部门之间通过网络进行的信息共享和实时通信子系子系统、政府部门之间通过网络进行的信息共享和实时通信子系统、政府部门与社会和公众之间进行的双向信息沟通子系统组成。统、政府部门与社会和公众之间进行的双向信息沟通子系统组成。其系统构成主要包括：政府电子政务综合信息资源中心，以及各其系统构成主要包括：政府电子政务综合信息资源中心，以及各级政府办公信息管理模块、政府部门业务信息管理模块和面对社级政府办公信息管理模块、政府部门业务信息管理模块和面对社会公众综合信息服务等模块。会公众综合信息服务等模块。在电子政务信息系统中，以政府电子政务综合信息资源中心在电子政务信息系统中，以政府电子政务综合信息资源中心为政务平台，连接政府部门办公业务信息管理模块，各级政府办为政务平台，连接政府部门办公业务信息管理模块，各级政府办公业务信息管理模块，面对社会公众的综合服务信息管理模块。公业务信息管理模块，面对社会公众的综合服务信息管理模块。这三个信息管理模块分别与政府办公业务综合信息资源中心相连，这三个信息管理模块分别与政府办公业务综合信息资源中心相连，又彼此相连，从而构成电子政务信息系统的总框架。又彼此相连，从而构成电子政务信息系统的总框架。9.4电子政务平安工程9.4.1电子政务信息系统2 2系统的特点系统的特点 电子政务信息系统通过政务信息的共享、沟通、协作，使电子政务电子政务信息系统通过政务信息的共享、沟通、协作，使电子政务的管理活动成为电子政务的增值过程；通过该系统实现政府在政治、经的管理活动成为电子政务的增值过程；通过该系统实现政府在政治、经济、社会、生活等领域的管理服务职能；实现政府决策信息的发布与存济、社会、生活等领域的管理服务职能；实现政府决策信息的发布与存取，支持决策活动；实现办公业务信息沟通和交互式处理，支持政务执取，支持决策活动；实现办公业务信息沟通和交互式处理，支持政务执行活动，以完成政务活动的全过程。其特点为：行活动，以完成政务活动的全过程。其特点为：（1）开放性。指在法律允许的范围内政府信息的公开和可获得性，）开放性。指在法律允许的范围内政府信息的公开和可获得性，以及管理和沟通渠道的公开，便于公众获得政府信息，办事和监督。以及管理和沟通渠道的公开，便于公众获得政府信息，办事和监督。（2）整合性。在电子政务信息系统中，政府机构的每一个部门，由）整合性。在电子政务信息系统中，政府机构的每一个部门，由网络连接起来协同工作，打破了地域、层级、部门的限制，促使政府组网络连接起来协同工作，打破了地域、层级、部门的限制，促使政府组织和职能的整合，让政府部门之间的信息能够流通、共享，使公众享受织和职能的整合，让政府部门之间的信息能够流通、共享，使公众享受到无组织边界的政治服务。到无组织边界的政治服务。（3）交互性。系统保证任何个人、企业和团体组织，都可以干脆通）交互性。系统保证任何个人、企业和团体组织，都可以干脆通过交互式的技术手段表达和传递信息，政府与公众和企业等团体组织可过交互式的技术手段表达和传递信息，政府与公众和企业等团体组织可以干脆进行沟通沟通。以干脆进行沟通沟通。（4）服务性。电子政务信息系统最突出的功能便是供应信息服务。）服务性。电子政务信息系统最突出的功能便是供应信息服务。这种理念使得公众和企业等团体组织成为政府机构的服务的客户，政府这种理念使得公众和企业等团体组织成为政府机构的服务的客户，政府要确定服务标准，向客户作出承诺，政府职能由限制型转向为限制要确定服务标准，向客户作出承诺，政府职能由限制型转向为限制服务型。服务型。（5）直通性。电子政务信息系统通过计算机网络削减中间环节，寻）直通性。电子政务信息系统通过计算机网络削减中间环节，寻求最佳途径，保证信息交换的求最佳途径，保证信息交换的“直通直通”，确保信息畅通。，确保信息畅通。9.4.2电子政务信息系统平安 1 1电子政务平安需求电子政务平安需求 电电子子政政务务信信息息系系统统是是基基于于网网络络的的信信息息系系统统，其其平平安安内内容容特特别别广广泛泛，平平安安要要求求各各不不相相同同。从从网网络络层层次次看看，包包括括牢牢靠靠性性、可可控控性性、互互操操作作性性、可可计计算算性性等等；从从信信息息层层次次看看，包包括括信信息息的的完完整整性性、保保密密性性、不不行行否否认认性性等等；从从设设备备层层次次看看，包包括括质质量量保保证证、设设备备备备份、物理平安等；从经营管理层次看，包括人员牢靠、规章制度完善等。通常电子政务的平安需求包括：份、物理平安等；从经营管理层次看，包括人员牢靠、规章制度完善等。通常电子政务的平安需求包括：（1 1）保证系统的稳定运行）保证系统的稳定运行 （2 2）爱护信息的隐私）爱护信息的隐私 （3 3）政务活动身份的认证）政务活动身份的认证 （4 4）政务权限的限制）政务权限的限制 （5 5）政务信息的平安存储）政务信息的平安存储 （6 6）政务信息的平安传输）政务信息的平安传输 （7 7）备份与复原机制）备份与复原机制 2 2电子政务平安的特殊性电子政务平安的特殊性 （1 1）部门平安与国家平安。）部门平安与国家平安。从从技技术术和和管管理理的的角角度度来来看看，电电子子政政务务平平安安和和其其他他领领域域的的信信息息平平安安没没有有本本质质的的区区分分，但但电电子子政政务务平平安安问问题题所所产产生生的的影影响响往往往往危及整个国家。所以电子政务平安同时也是国家的平安，危及整个国家。所以电子政务平安同时也是国家的平安，（2 2）政治平安与经济平安。）政治平安与经济平安。政政治治秩秩序序确确定定经经济济秩秩序序、生生活活秩秩序序的的正正常常稳稳定定，电电子子政政务务是是经经济济与与社社会会信信息息化化的的先先决决条条件件，因因此此电电子子政政务务平平安安不不仅仅仅仅是是政政治平安，同时也是经济平安和社会平安。治平安，同时也是经济平安和社会平安。（3 3）保密与公开。）保密与公开。电电子子政政务务不不仅仅要要求求政政府府完完善善行行政政管管理理职职能能，还还要要加加大大公公众众服服务务的的力力度度。在在这这样样的的要要求求下下，政政务务信信息息既既包包括括须须要要保保密密甚甚至至是是核心机密的部分，也包括面对公众、具有确定公开性的信息，因此给电子政务的平安性提出了更高的要求。核心机密的部分，也包括面对公众、具有确定公开性的信息，因此给电子政务的平安性提出了更高的要求。（4 4）互联与隔离。）互联与隔离。电子政务的公众服务职能要求与公众信息网互联，但其核心业务层因有很多涉及国家机密的信息而要与外界隔离。电子政务的公众服务职能要求与公众信息网互联，但其核心业务层因有很多涉及国家机密的信息而要与外界隔离。9.4.3电子政务信息系统平安保障体系 1平安保障体系模型平安保障体系模型 电子政务信息系统平安保障体系应当是一个建立在系统平安风险分电子政务信息系统平安保障体系应当是一个建立在系统平安风险分析基础之上，通过制定平安策略和实行科学、先进的平安技术实现对系析基础之上，通过制定平安策略和实行科学、先进的平安技术实现对系统进行平安防护和监控，使系统具有灵敏、快速的响应机制的动态化的、统进行平安防护和监控，使系统具有灵敏、快速的响应机制的动态化的、智能型的系统平安体系。其模型可用公式表示为：动态化、智能的系统智能型的系统平安体系。其模型可用公式表示为：动态化、智能的系统平安平安=风险评估风险评估+平安策略平安策略+防卫体系防卫体系+实时监控实时监控+响应机制响应机制+平安审计。平安审计。其中，风险评估是对系统平安风险因素进行的分析和报告，是平安策其中，风险评估是对系统平安风险因素进行的分析和报告，是平安策略制定的依据；平安策略是系统平安的总体规划和具体措施，是整个平略制定的依据；平安策略是系统平安的总体规划和具体措施，是整个平安保障体系的核心和纲要：防卫体系是依据系统存在的各种平安漏洞和安保障体系的核心和纲要：防卫体系是依据系统存在的各种平安漏洞和平安威逼所接受的相应的技术防护措施，是平安保障体系的重心所在；平安威逼所接受的相应的技术防护措施，是平安保障体系的重心所在；实时监控是随时监测系统的运行状况，刚好发觉和制止对系统进行的各实时监控是随时监测系统的运行状况，刚好发觉和制止对系统进行的各种攻击；响应机制是在平安防护机制失效的状况下，进行应急处理和响种攻击；响应机制是在平安防护机制失效的状况下，进行应急处理和响应，刚好地复原信息，削减被攻击的破坏程度，包括备份、自动复原、应，刚好地复原信息，削减被攻击的破坏程度，包括备份、自动复原、确保复原、快速复原等；平安审计是指记录和分析平安审计数据，检查确保复原、快速复原等；平安审计是指记录和分析平安审计数据，检查系统中出现的违规行为，推断是否违反法规，为改进系统和实施法律供系统中出现的违规行为，推断是否违反法规，为改进系统和实施法律供应依据。在此平安保障体系模型中，应依据。在此平安保障体系模型中，“风险评估风险评估+平安策略平安策略”体现了管体现了管理因素，理因素，“防卫体系防卫体系+实时监控实时监控+响应机制响应机制”体现了技术因素，体现了技术因素，“平安审平安审计计”则体现了法律因素。并且系统还具备动态调整的反馈功能，使得该则体现了法律因素。并且系统还具备动态调整的反馈功能，使得该体系模型能够适应系统的动态性，支持信息系统平安性的动态提升。体系模型能够适应系统的动态性，支持信息系统平安性的动态提升。2平安保障体系方案平安保障体系方案9.4.4电子政务系统的平安设计电子政务系统的平安设计 1系统平安设计的目标系统平安设计的目标 电子政务系统对信息平安的要求较为严格，其主要实现的平电子政务系统对信息平安的要求较为严格，其主要实现的平安目标包括：信息的保密性、数据的完整性、用户身份的鉴别、安目标包括：信息的保密性、数据的完整性、用户身份的鉴别、数据原发者鉴别、数据原发者的不行抵赖性、合法用户的平安性数据原发者鉴别、数据原发者的不行抵赖性、合法用户的平安性等。等。2平安策略平安策略 解决电子政务中的平安问题，关键在于建立完善的平安管理体系。解决电子政务中的平安问题，关键在于建立完善的平安管理体系。总体对策应以技术为核心、以管理为根本、以服务为保障。总体对策应以技术为核心、以管理为根本、以服务为保障。（1）技术方面。应当加强核心技术的自主研发，尤其是操作系统技）技术方面。应当加强核心技术的自主研发，尤其是操作系统技术和微处理芯片技术，无论是对国家信息平安基础设施还是对政务信息术和微处理芯片技术，无论是对国家信息平安基础设施还是对政务信息平安保障系统都是至关重要的。平安保障系统都是至关重要的。（2）管理方面。可以通过平安评估、平安政策、平安标准、平安审）管理方面。可以通过平安评估、平安政策、平安标准、平安审计等四个环节来加以规范化并进而实现有效的管理：计等四个环节来加以规范化并进而实现有效的管理：（3）在服务方面，主要是构建外部服务体系，包括相关法律支撑体）在服务方面，主要是构建外部服务体系，包括相关法律支撑体系、平安询问服务体系、应急响应体系、平安培训体系等。相关法律是系、平安询问服务体系、应急响应体系、平安培训体系等。相关法律是从法制角度对政府信息化及其平安问题做出严格的规定；询问服务体系从法制角度对政府信息化及其平安问题做出严格的规定；询问服务体系是由第三方为政府机构供应技术解决方案、平安技术分析等；应急响应是由第三方为政府机构供应技术解决方案、平安技术分析等；应急响应措施是在政务信息系统发生异样或遭到破坏时供应尽快解决问题，复原措施是在政务信息系统发生异样或遭到破坏时供应尽快解决问题，复原正常的方法手段；平安培训体系主要包括平安意识与平安理念培训、平正常的方法手段；平安培训体系主要包括平安意识与平安理念培训、平安基础学问培训、平安管理培训和专业平安技能培训等。安基础学问培训、平安管理培训和专业平安技能培训等。3系统平安措施系统平安措施（1）数据中心的物理平安。）数据中心的物理平安。（2）数据的保密性。）数据的保密性。（3）数据的完整性。）数据的完整性。（4）系统的牢靠性。）系统的牢靠性。（5）访问限制。）访问限制。（6）身份认证。）身份认证。（7）平安通道。）平安通道。（8）防火墙。）防火墙。感谢您的运用!2007年7月28日