电子政务 第06章 电子政务安全保障体系.ppt

《电子政务 第06章 电子政务安全保障体系.ppt》由会员分享，可在线阅读，更多相关《电子政务 第06章 电子政务安全保障体系.ppt（69页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务杨兴凯杨兴凯第六章第六章 电子政务安全保障体系电子政务安全保障体系n本章的学习目标：本章的学习目标：电子政务涉及国家机密信息，涉及对公众提供服务的质量等，电子政务涉及国家机密信息，涉及对公众提供服务的质量等，因此研究电子政务安全保障体系十分重要。通过本章的学习，了解因此研究电子政务安全保障体系十分重要。通过本章的学习，了解电子政务面临的安全问题；掌握电子政务安全管理体系框架组成；电子政务面临的安全问题；掌握电子政务安全管理体系框架组成；理解加密技术、防火墙技术、防病毒技术、身份认证等安全技术；理解加密技术、防火墙技术、防病毒技术、身

2、份认证等安全技术；掌握保障电子政务安全实施的策略。掌握保障电子政务安全实施的策略。n本章主要解决的问题：本章主要解决的问题：电子政务安全需求；电子政务安全需求；电子政务安全保障体系；电子政务安全保障体系；电子政务安全技术保障体系；电子政务安全技术保障体系；电子政务安全运行管理体系；电子政务安全运行管理体系；电子政务安全基础服务保障体系。电子政务安全基础服务保障体系。电子政务安全实施的策略。电子政务安全实施的策略。第六章第六章 电子政务安全保障体系电子政务安全保障体系第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述电子政务安全需求电子政务安全需求 虽然电子政

3、务的潜力无限诱人，但政府机构虽然电子政务的潜力无限诱人，但政府机构在具体实施时面临种种问题。在政务运作过程在具体实施时面临种种问题。在政务运作过程中，大量的政府信息不能公开。在网络环境下，中，大量的政府信息不能公开。在网络环境下，如何保证政府机密的安全尤其重要，一旦政府如何保证政府机密的安全尤其重要，一旦政府机密信息失窃，其损失将不可估量。因此，研机密信息失窃，其损失将不可估量。因此，研究电子政务安全保障体系十分重要究电子政务安全保障体系十分重要。电子政务安全保障体电子政务安全保障体系的构建系的构建电子政务安全及特征电子政务安全及特征电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全

4、运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系第六章第六章 电子政务安全保障体系电子政务安全保障体系 电子政务的安全主要包括两个方面的内容：电子政务的安全主要包括两个方面的内容：一是网络安全，二是信息安全，同时这两个方一是网络安全，二是信息安全，同时这两个方面的安全可以归纳一个目的，就是保证电子政面的安全可以归纳一个目的，就是保证电子政务信息安全。务信息安全。6.1.1 电子政务安全及特征电子政务安全及特征1.1.电子政务网络的安全电子政务网络的安全是指电子政务网络系统的硬件、软件、是指电子政务网络系统的硬件、软件、系统中的数据受到保护，不因计算机病毒或者黑客恶意

5、攻击系统中的数据受到保护，不因计算机病毒或者黑客恶意攻击而遭到破坏、更改和泄露。而遭到破坏、更改和泄露。电子政务网络的安全包括电子政务网络的安全包括三个层次的安全三个层次的安全：物理安全、安全：物理安全、安全控制和安全服务。控制和安全服务。电子政务安全概述电子政务安全概述电子政务安全需求电子政务安全需求电子政务安全保障体电子政务安全保障体系的构建系的构建电子政务安全及特征电子政务安全及特征电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体

6、系电子政务安全保障体系2.2.信息安全：信息安全：所谓电子政务的信息安全，一般是指电子政务所谓电子政务的信息安全，一般是指电子政务信息在采集、存储、处理、传播和运行过程中，信息的秘密信息在采集、存储、处理、传播和运行过程中，信息的秘密性、完整性、自由性、共享性等都得到了良好保护的一种状性、完整性、自由性、共享性等都得到了良好保护的一种状态。态。不可否不可否认性认性 特点特点真实性真实性 完整完整 保密保密性性 可靠可靠 可用性可用性 可控性可控性电子政务安全概述电子政务安全概述电子政务安全需求电子政务安全需求电子政务安全保障体电子政务安全保障体系的构建系的构建电子政务安全及特征电子政务安全及特

7、征电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系（1 1）技术风险）技术风险从从OSIOSI参考模型的各协议层来分析各层所面临的安全攻击，参考模型的各协议层来分析各层所面临的安全攻击，有些攻击跨越了有些攻击跨越了OSIOSI参考模型的几层协议，我们把这些威参考模型的几层协议，我们把这些威胁归属在其影响的第一个协议层上，如表胁归属在其影响的第一个协议层上，如表6 61 1所示。所示。6.1.2 电子政务安全需求电子

8、政务安全需求1）电子政务面临的安全风险电子政务面临的安全风险表61 电子政务安全技术风险表（如下）电子政务安全概述电子政务安全概述电子政务安全需求电子政务安全需求电子政务安全保障体电子政务安全保障体系的构建系的构建电子政务安全及特征电子政务安全及特征电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系OSIOSI协议层协议层安全威胁安全威胁威胁及风险描述威胁及风险描述1 1物理层物理层网络布线损网络布线损坏坏由于自然灾

9、害和人为破坏而造成的物理链路的由于自然灾害和人为破坏而造成的物理链路的损坏，网络设备的破坏、存储媒体损坏。损坏，网络设备的破坏、存储媒体损坏。设备损坏设备损坏存储媒体损存储媒体损坏坏2 2数据链路层数据链路层嗅探攻击嗅探攻击11（2 27 7层）层）从线缆上捕捉数据包，获得目标系统的信息。从线缆上捕捉数据包，获得目标系统的信息。MACMAC欺骗欺骗攻击者将自己的攻击者将自己的MACMAC地址改为受信任系统的地址改为受信任系统的MACMAC地址，以窃取数据流量并使访问权增大。地址，以窃取数据流量并使访问权增大。MACMAC泛洪泛洪以假冒的源以假冒的源MACMAC地址和目的地址和目的MACMAC地

10、址将数据包地址将数据包从攻击者的系统发送到以太网网络上，发生信从攻击者的系统发送到以太网网络上，发生信息泄密。息泄密。ARPARP重定向重定向攻击者假冒攻击者假冒ARPARP广播，替代默认网关的广播，替代默认网关的MACMAC地地址，使出站请求由攻击者机器转发，导致数据址，使出站请求由攻击者机器转发，导致数据包的读取、修改或丢弃。包的读取、修改或丢弃。3 3网络层网络层探测与扫描探测与扫描（3 37 7层）层）利用特定工具进行扫描来获取信息。利用特定工具进行扫描来获取信息。IPIP欺骗欺骗假冒假冒IPIP包头的字段，发送非法数据包，使访问包头的字段，发送非法数据包，使访问权限增大。权限增大。S

11、murfSmurf22和和DDoSDDoS攻击攻击以假冒的以假冒的ICMPICMP广播包消耗链路带宽，导致拒绝广播包消耗链路带宽，导致拒绝服务。服务。电子政务安全概述电子政务安全概述电子政务安全需求电子政务安全需求电子政务安全保障体电子政务安全保障体系的构建系的构建电子政务安全及特征电子政务安全及特征电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系IPIP重定向重定向通过向网络中发出虚假通告，改变路由系统中的信通过

12、向网络中发出虚假通告，改变路由系统中的信息流。息流。4 4传传输层输层UDPUDP欺骗欺骗假冒假冒UDPUDP报头字段，发送非法数据包，产生信息泄报头字段，发送非法数据包，产生信息泄密。密。TCPTCP欺骗欺骗假冒假冒TCPTCP报头字段，发送非法数据包，发生信息泄报头字段，发送非法数据包，发生信息泄密。密。TCP SYNTCP SYN泛洪攻击泛洪攻击发送一个发送一个TCP SYNTCP SYN数据包，然后不再做出确认，接数据包，然后不再做出确认，接收方无限的等待下去，以耗尽服务器内存。收方无限的等待下去，以耗尽服务器内存。传输重定向传输重定向在系统中安插窃听器，将查询从一个系统和端口重在系统

13、中安插窃听器，将查询从一个系统和端口重定向到另一系统和端口。定向到另一系统和端口。5 5会会话层话层6 6表表示层示层7 7应应用层用层身份欺骗身份欺骗密码破解、暴力登录尝试、数字证书窃取和伪造等。密码破解、暴力登录尝试、数字证书窃取和伪造等。应用程序漏洞应用程序漏洞应用程序存在后门、弱点，导致非法访问，信息泄应用程序存在后门、弱点，导致非法访问，信息泄漏。漏。应用程序泛洪应用程序泛洪为消耗系统资源的攻击如垃圾邮件等。为消耗系统资源的攻击如垃圾邮件等。病毒和特洛伊木马病毒和特洛伊木马 网络间传播的恶意代码，使系统无法正常工作。网络间传播的恶意代码，使系统无法正常工作。电子政务安全概述电子政务安

14、全概述电子政务安全需求电子政务安全需求电子政务安全保障体电子政务安全保障体系的构建系的构建电子政务安全及特征电子政务安全及特征电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系（2 2）管理风险）管理风险管管理理风风险险 组织及人员风险。组织及人员风险。管理制度不完善管理制度不完善。安全策略有漏洞。安全策略有漏洞。缺乏应急体系。缺乏应急体系。电子政务安全概述电子政务安全概述电子政务安全需求电子政务安全需求电子政务安全

15、保障体电子政务安全保障体系的构建系的构建电子政务安全及特征电子政务安全及特征电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系（3 3）服务风险）服务风险服服务务风风险险 第三方安全服务提供商的选择风险。安全服务提供第三方安全服务提供商的选择风险。安全服务提供商的专业水平、服务水平、信用保障等多方面可能影商的专业水平、服务水平、信用保障等多方面可能影响电子政务系统安全运行的风险。响电子政务系统安全运行的风险。法规、标

16、准不健全。缺少网络安全的法律法规，法规、标准不健全。缺少网络安全的法律法规，缺乏电子政务安全法制约束，引起犯罪。缺乏标准化缺乏电子政务安全法制约束，引起犯罪。缺乏标准化的导向作用，使各子系统互操作性差，重复建设。的导向作用，使各子系统互操作性差，重复建设。电子政务安全概述电子政务安全概述电子政务安全需求电子政务安全需求电子政务安全保障体电子政务安全保障体系的构建系的构建电子政务安全及特征电子政务安全及特征电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电

17、子政务安全保障体系电子政务安全保障体系2）电子政务分类电子政务分类按政务按政务活动主题活动主题 服务方面临的安全威胁。服务方面临的安全威胁。按攻击按攻击手段手段 系统穿透系统穿透 违反授权违反授权 植入植入 通信监视通信监视 和通信串扰和通信串扰客户方面临的安全威胁。客户方面临的安全威胁。中断中断 拒绝服务拒绝服务 否认否认 电子政务安全概述电子政务安全概述电子政务安全需求电子政务安全需求电子政务安全保障体电子政务安全保障体系的构建系的构建电子政务安全及特征电子政务安全及特征电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础

18、服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系3）电子政务的安全需求电子政务的安全需求安全层面安全层面OSIOSI层层安全需求安全需求安全描述安全描述物理安全物理安全物理物理层层环境安全环境安全按照国家有关标准设计网络布线、消防报警、防盗按照国家有关标准设计网络布线、消防报警、防盗报警、温湿度控制等。报警、温湿度控制等。线路设备安全线路设备安全实行机房监控、线路和设备备份、防电磁泄漏等。实行机房监控、线路和设备备份、防电磁泄漏等。存储媒体安全存储媒体安全防盗、数据备份。防盗、数据备份。网络安全网络安全数据数据链路链路层层网络网络层

19、层传输传输层层加密系统加密系统通过不同的加密技术，保证通信过程中的信息安全。通过不同的加密技术，保证通信过程中的信息安全。防火墙防火墙执行网络之间的访问控制策略，防止外部威胁。执行网络之间的访问控制策略，防止外部威胁。交换机安全配置交换机安全配置端口安全技术、端口安全技术、STPSTP防护、防护、VLANVLAN等。等。路由器安全配置路由器安全配置特殊过滤技术、路由选择认证和特殊过滤技术、路由选择认证和VPNVPN等。等。隔离技术隔离技术网络的逻辑隔离和物理隔离。网络的逻辑隔离和物理隔离。系统及应系统及应用安全用安全应用应用层层入侵检测系统入侵检测系统实时监控网络传输，检测可疑行为。实时监控网

20、络传输，检测可疑行为。防病毒系统防病毒系统防范病毒的硬件与软件系统。防范病毒的硬件与软件系统。漏洞扫描系统漏洞扫描系统模拟黑客攻击方式，检测网络和系统的安全漏洞。模拟黑客攻击方式，检测网络和系统的安全漏洞。安全认证安全认证保证身份的真实性。保证身份的真实性。安全补丁安全补丁保证操作系统和应用程序获得最新的更新。保证操作系统和应用程序获得最新的更新。日志记录日志记录系统日志能够帮助管理员找出故障。系统日志能够帮助管理员找出故障。表表62 电子政务安全技术需求表电子政务安全技术需求表电子政务安全概述电子政务安全概述电子政务安全需求电子政务安全需求电子政务安全保障体电子政务安全保障体系的构建系的构建

21、电子政务安全及特征电子政务安全及特征电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系表表63 电子政务安全管理表电子政务安全管理表安全需求管理描述行政管理安全组织机构的建设，安全管理制度建设。安全策略管理制定电子政务系统安全规则，并确保安全策略的有效实施。风险管理识别、控制、降低安全风险的过程，包括安全控制和应急方案。安全需求管理描述第三方安全服务提供商为电子政务系统提供完整的安全解决方案。PKI/PMI认证平台认

22、证与密钥管理平台。安全法规及标准法律电子政务的基础和保障，标准是电子政务的建设指导。表表64 电子政务安全服务需求表电子政务安全服务需求表电子政务安全概述电子政务安全概述电子政务安全需求电子政务安全需求电子政务安全保障体电子政务安全保障体系的构建系的构建电子政务安全及特征电子政务安全及特征电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系综合性原综合性原则则合理性原合理性原则则 标准性原则标准性原则灵活性原灵活性原则

23、则 原则8.1.3 电子政务安全保障体系的构建电子政务安全保障体系的构建1）构建电子政务安全保障体系的基本原则构建电子政务安全保障体系的基本原则电子政务安全概述电子政务安全概述电子政务安全需求电子政务安全需求电子政务安全保障体电子政务安全保障体系的构建系的构建电子政务安全及特征电子政务安全及特征电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述电子政务安全需求电子政务安全需求电子政务安

24、全保障体电子政务安全保障体系的构建系的构建电子政务安全及特征电子政务安全及特征电子政务安全技术电子政务安全技术保障体系保障体系2）构建电子政务安全保障体系框架构建电子政务安全保障体系框架电子政务安全保障体系电子政务安全保障体系技术保障体系技术保障体系物物理理安安全全网网络络安安全全系系统统及及应应用用安安全全运行管理体系运行管理体系行行政政管管理理安安全全策策略略管管理理风风险险管管理理安全基础服务保障体安全基础服务保障体系系第第三三方方安安全全服服务务提提供供商商信信息息安安全全基基础础设设施施电电子子政政务务安安全全法法规规电电子子政政务务安安全全标标准准图图61电电子子政政务务安安全全管

25、管理理体体系系框框架架图图电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技术保障体系保障体系8.2.1 物理安全物理安全物理安全物理安全就是保证对物理设施的合法访问，避免人为破坏，并就是保证对物理设施的合法访问，避免人为破坏，并将自然灾难的影响降到最低。将自然灾难的影响降到最低。物理安全物理安全包括包括存储媒体安全存储媒体安全环境安全环境安全

26、线路设备安全线路设备安全电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技术保障体系保障体系8.2.2 网络安全网络安全网络安全网络安全指网络通信的安全性，政府内网、外网和公网之间的隔离，指网络通信的安全性，政府内网、外网和公网之间的隔离，界定访问权限等。界定访问权限等。图图6 62 2 我国电子政务的内外网体系结构我国电子政务的内外网体系结构

27、核密核密网网（中（中办、办、国办）国办）政政务务内内网网（办公（办公厅政务厅政务专网，专网，副省级副省级以上政以上政府节点）府节点）政务外政务外网网（各级（各级政府办政府办公业务公业务网，上网，上下级部下级部门业务门业务网）网）各各级级政政府府门门户户网网站站互互联联网网绝绝对对隔隔离离物物理理隔隔离离逻逻辑辑隔隔离离核密核密网网（中（中办、办、国办）国办）绝绝对对隔隔离离核密核密网网（中（中办、办、国办）国办）政政务务内内网网（办公（办公厅政务厅政务专网，专网，副省级副省级以上政以上政府节点）府节点）绝绝对对隔隔离离核密核密网网（中（中办、办、国办）国办）物物理理隔隔离离政政务务内内网网（办

28、公（办公厅政务厅政务专网，专网，副省级副省级以上政以上政府节点）府节点）绝绝对对隔隔离离核密核密网网（中（中办、办、国办）国办）政务外政务外网网（各级（各级政府办政府办公业务公业务网，上网，上下级部下级部门业务门业务网）网）物物理理隔隔离离政政务务内内网网（办公（办公厅政务厅政务专网，专网，副省级副省级以上政以上政府节点）府节点）绝绝对对隔隔离离核密核密网网（中（中办、办、国办）国办）逻逻辑辑隔隔离离政务外政务外网网（各级（各级政府办政府办公业务公业务网，上网，上下级部下级部门业务门业务网）网）物物理理隔隔离离政政务务内内网网（办公（办公厅政务厅政务专网，专网，副省级副省级以上政以上政府节点）

29、府节点）绝绝对对隔隔离离核密核密网网（中（中办、办、国办）国办）各各级级政政府府门门户户网网站站逻逻辑辑隔隔离离政务外政务外网网（各级（各级政府办政府办公业务公业务网，上网，上下级部下级部门业务门业务网）网）物物理理隔隔离离政政务务内内网网（办公（办公厅政务厅政务专网，专网，副省级副省级以上政以上政府节点）府节点）绝绝对对隔隔离离核密核密网网（中（中办、办、国办）国办）互互联联网网各各级级政政府府门门户户网网站站逻逻辑辑隔隔离离政务外政务外网网（各级（各级政府办政府办公业务公业务网，上网，上下级部下级部门业务门业务网）网）物物理理隔隔离离政政务务内内网网（办公（办公厅政务厅政务专网，专网，副省

30、级副省级以上政以上政府节点）府节点）绝绝对对隔隔离离核密核密网网（中（中办、办、国办）国办）电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技术保障体系保障体系 1 1）逻辑隔离和物理隔离）逻辑隔离和物理隔离（1 1）逻辑隔离。逻辑隔离是在保证网络正常使用的情况）逻辑隔离。逻辑隔离是在保证网络正常使用的情况下，尽可能安全；物理隔离是不安全就不连

31、网，要绝对下，尽可能安全；物理隔离是不安全就不连网，要绝对保证安全。保证安全。（2 2）物理隔离。物理隔离采用隔离网闸技术。）物理隔离。物理隔离采用隔离网闸技术。2 2）防火墙）防火墙防火墙（防火墙（firewallfirewall）是指一个由软件或软件和硬件设备组合）是指一个由软件或软件和硬件设备组合而成，处于内网与外网之间，用来加强互联网与内部网络而成，处于内网与外网之间，用来加强互联网与内部网络之间安全防范的一个或一组系统。它具有限制外界用户对之间安全防范的一个或一组系统。它具有限制外界用户对内部网络访问及管理内部用户访问外部服务。内部网络访问及管理内部用户访问外部服务。（1）防火墙的安

32、全策略：）防火墙的安全策略：一切未被允许的都是禁止的。一切未被允许的都是禁止的。一一切未被禁止的都是允许的。切未被禁止的都是允许的。电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技术保障体系保障体系（2）防火墙分类:根据防火墙所采用技术的不同，一般来说，分成三种基本类型：数据包过滤型、应用级网关型和代理服务器型。数据包过滤防火墙。在遵守TCP

33、/IP协议网络中，数据分解为不同的IP数据包进行传输。由于数据包过滤型防火墙逻辑简单，价格便宜，易于安装和使用，适合安全性要求较低的小型系统。应用级网关型防火墙。应用级网关（Application Level Gateways）是在网络应用层上建立协议过滤和转发功能。依赖特定的逻辑判断是否允许数据包通过，这不利于抗击非法访问和攻击。代理服务器型防火墙。代理服务器（Proxy Service）是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术。应应答答请请求求转发应答转发应答转发请求转发请求 客户机客户机代理代理服务服务器器代理代理客户客户机机服务器服务器代理获得客户机和服务器之间通信的

34、全部控制权代理获得客户机和服务器之间通信的全部控制权 图图6 63 3代理服务器的工作原理代理服务器的工作原理防火墙代理防火墙代理 电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技术保障体系保障体系(3）防火墙的局限性:防火墙不能阻止来自内部的破坏；防火墙不能保护绕过它的连接；防火墙无法完全防止新出现的网络威胁；防火墙不能防止病毒。8.2.3

35、 系统及应用安全系统及应用安全系统及应用安全主要保证操作系统和应用服务的安全性。系统及应用安全主要保证操作系统和应用服务的安全性。1 1）入侵检测系统）入侵检测系统 入侵检测系统（入侵检测系统（Intrusion Detection Systems,IDSIntrusion Detection Systems,IDS）是依照一）是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。统资源的机密性、完整性

36、和可用性。电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技术保障体系保障体系（1）入侵检测系统的类型 基于主机的基于主机的IDS。考查若干日志文件，并拿日志文件。考查若干日志文件，并拿日志文件和常见已知攻击的内部数据库进行比较，若发现异常则和常见已知攻击的内部数据库进行比较，若发现异常则向管理员报警。向管理员报警。基于网络的基于网络的IDS。

37、是在路由器或主机扫描网络分组、。是在路由器或主机扫描网络分组、审查分组信息并在一个特殊文件中详细记录可疑分组审查分组信息并在一个特殊文件中详细记录可疑分组 分布式分布式IDS。分布式。分布式IDS综合了综合了HIDS和和NIDS的优点，的优点，既通过基于网络的传感器收集网络上流动的数据包，又通既通过基于网络的传感器收集网络上流动的数据包，又通过在重要的服务器端安装代理程序来收集系统日志等系统过在重要的服务器端安装代理程序来收集系统日志等系统信息，以此寻找、分析可能的攻击数据包并在必要的时候信息，以此寻找、分析可能的攻击数据包并在必要的时候进行报警。进行报警。电子政务安全运行电子政务安全运行管理

38、体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技术保障体系保障体系（2）入侵检测的方法 基基于于特特征征的的检检测测。它它可可以以检检测测具具有有普普遍遍特特征征的的攻攻击击，如如拒拒绝绝服服务务或或分分布布式式拒拒绝绝服服务务DDoS等等，但但更更多多的的是是用用于对具有明显特征的攻击进行检测。于对具有明显特征的攻击进行检测。基于异常的检测。根据网络正常时的通信状况建立基基于

39、异常的检测。根据网络正常时的通信状况建立基线或快照（也可能是本地系统资源利用率的一个基线），线或快照（也可能是本地系统资源利用率的一个基线），当有异常时报警。当有异常时报警。完整性校验。在系统完整、正常时对所有文件或关键完整性校验。在系统完整、正常时对所有文件或关键文件创建完整性校验文件（文件创建完整性校验文件（MD5文件），并在之后定期文件），并在之后定期重新计算并检查新、旧校验文件的一致性来检测攻击。重新计算并检查新、旧校验文件的一致性来检测攻击。（3）入侵检测系统的主要功能电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全

40、设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技术保障体系保障体系 监测并分析用户和系统的活动；监测并分析用户和系统的活动；核查系统配置和漏洞；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；识别已知的攻击行为；统计分析异常行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动。操作系统日志管理，并识别违反安全策略的用户活动。2 2）防病毒系统）防病毒系统防病毒技术分为主机防病

41、毒和网络防病毒。防病毒技术分为主机防病毒和网络防病毒。（1 1）计算机病毒的特点）计算机病毒的特点 计算机病毒是指编制或在计算机程序中插入的破坏计算机功计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒有主动传染性、隐藏性、欺机指令或者程序代码。计算机病毒有主动传染性、隐藏性、欺骗性、破坏性、衍生性等特点。骗性、破坏性、衍生性等特点。电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略

42、策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技术保障体系保障体系 构建综合的安全体系。构建综合的安全体系。采用多层防御体系。采用多层防御体系。防毒与网络管理集成。防毒与网络管理集成。在网关、服务器上防毒。在网关、服务器上防毒。及时更新防毒软件。及时更新防毒软件。3 3）漏洞扫描系统）漏洞扫描系统 网络安全漏洞扫描系统又称安全扫描工具，其原理是网络安全漏洞扫描系统又称安全扫描工具，其原理是根据已知的安全漏洞知识库，对目标可能存在的安全隐根据已知的安全漏洞知识库，对

43、目标可能存在的安全隐患进行逐项检查，然后根据扫描结果向系统管理员提供患进行逐项检查，然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告来进行风险评估，以便发现周密可靠的安全性分析报告来进行风险评估，以便发现系统潜在的漏洞及可能威胁系统的异常系统配置并加以系统潜在的漏洞及可能威胁系统的异常系统配置并加以修补，从而最大限度地保证网络系统的安全。修补，从而最大限度地保证网络系统的安全。（2）计算机病毒的防治方法电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子

44、政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技术保障体系保障体系扫描、分析、检测和发现系统的安全薄弱环节。扫描、分析、检测和发现系统的安全薄弱环节。准确全面地报告系统的脆弱性和漏洞。准确全面地报告系统的脆弱性和漏洞。扫描、报告目标系统的信息及对外服务。扫描、报告目标系统的信息及对外服务。提供详细信息和安全建议。提供详细信息和安全建议。按需生成各种分析报告。按需生成各种分析报告。远程在线升级。远程在线升级。4 4）加密技术）加密技术加密技术是最基本的安全技术，是实现信息保加密技术是最基本的安全技术，是实现信息保密性的一种重要

45、手段，其目的是为了防止非法密性的一种重要手段，其目的是为了防止非法用户获取信息系统中的机密信息。用户获取信息系统中的机密信息。一个成熟的安全扫描工具应提供如下功能：一个成熟的安全扫描工具应提供如下功能：电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技术保障体系保障体系加密系统有两种基本的形式：对称加密系统和加密系统有两种基本的形式：对称加密系

46、统和不对称加密系统。不对称加密系统。源文件源文件（明文）（明文）加密后的信息加密后的信息（密文）（密文）加密后的信息加密后的信息（密文）（密文）解密后的信息解密后的信息（明文）（明文）密钥密钥加密加密密钥解密密钥解密因特因特网网图图6 64 4 数据加密过程数据加密过程电子政务安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技术保障体系保障体系电子政务

47、安全运行电子政务安全运行管理体系管理体系安全基础服务保障安全基础服务保障体系体系（1 1）对称密钥加密技术）对称密钥加密技术 所谓对称加密，是指使用同一把密钥对信息加密和所谓对称加密，是指使用同一把密钥对信息加密和解密。一个加密系统的加密密钥和解密密钥相同，或者解密。一个加密系统的加密密钥和解密密钥相同，或者虽然不同，但可以由其中一个推导另一个，则为对称密虽然不同，但可以由其中一个推导另一个，则为对称密钥密码体制。使用对称加密对信息进行加密和解密的速钥密码体制。使用对称加密对信息进行加密和解密的速度很快，效率也很高，但需要仔细保存密钥。私钥密码度很快，效率也很高，但需要仔细保存密钥。私钥密码体

48、制采用相同密钥进行加密和解密，其保密性主要取决体制采用相同密钥进行加密和解密，其保密性主要取决于密钥本身的保密强度和密钥传送通道的安全性。于密钥本身的保密强度和密钥传送通道的安全性。常用的私钥密码技术有两类：一类是流密码技术；常用的私钥密码技术有两类：一类是流密码技术；另一类是分组密码技术。另一类是分组密码技术。电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技术保障体系保障体系电子政务安全运行电子政务安全运行管理体系管理体系安全

49、基础服务保障安全基础服务保障体系体系（2 2）公开密钥加密技术：需要使用一对相关的密钥：一）公开密钥加密技术：需要使用一对相关的密钥：一个用来加密，另一个用来解密。该技术的设想是，密钥个用来加密，另一个用来解密。该技术的设想是，密钥对是与相应的系统联系在一起的，其中私有密钥是由系对是与相应的系统联系在一起的，其中私有密钥是由系统保密持有的，而公开密钥则是公开的，但知道公开密统保密持有的，而公开密钥则是公开的，但知道公开密钥是不能推导出私有密钥的。钥是不能推导出私有密钥的。依据公开密钥是用作加密密钥还是解密密钥，公开密依据公开密钥是用作加密密钥还是解密密钥，公开密钥系统有两种基本的模式：加密模式

50、和验证模式。既能钥系统有两种基本的模式：加密模式和验证模式。既能工作在加密模式又能工作在验证模式的公开密钥加密系工作在加密模式又能工作在验证模式的公开密钥加密系统被称为可逆的公开密钥加密系统。只能运作在验证模统被称为可逆的公开密钥加密系统。只能运作在验证模式而不能运作在加密模式，这种系统被称为不可逆的公式而不能运作在加密模式，这种系统被称为不可逆的公开密钥加密系统。开密钥加密系统。电子政务安全设施电子政务安全设施策略策略第六章第六章 电子政务安全保障体系电子政务安全保障体系电子政务安全概述电子政务安全概述物理安全物理安全网络安全网络安全系统及应用安全系统及应用安全电子政务安全技术电子政务安全技