【正文】 1 第十講 電子政務(wù)安全體系 一、電子政務(wù)的安全問(wèn)題 二、電子政務(wù)安全體系 技術(shù)體系 管理保障體系 服務(wù)保障體系 基礎(chǔ)設(shè)施保障體系 2 電子政務(wù)的安全問(wèn)題 惡意破壞 自然災(zāi)害 意識(shí)不強(qiáng) 操作不當(dāng) 管理疏漏 軟硬件漏洞 濫用職權(quán) 內(nèi)外勾結(jié) 內(nèi)部資源 信息戰(zhàn)爭(zhēng) 黑客攻擊 信息間諜 病毒傳染 信息恐怖 外部威脅 內(nèi)部威脅 信息安全 ? 保障信息的機(jī)密性、完整性、可用性、可控性和不可否認(rèn)性等幾個(gè)方面。 ? 機(jī)密性：保證信息不泄露給未經(jīng)授權(quán)的人。 ? 完整性：信息無(wú)失真地傳達(dá)到目的地。 ? 可用性：授權(quán)人使用時(shí)不能出現(xiàn)系統(tǒng)拒絕服務(wù)的情況。 ? 可控性：對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控管理。 ? 不可否認(rèn)性：信息行為可安全管理。 ? 計(jì)算機(jī)安全和網(wǎng)絡(luò)安全都是信息安全。 ? 計(jì)算機(jī)安全是指計(jì)算機(jī)系統(tǒng)資源和信息資源不受自然和人為的威脅與損壞。計(jì)算機(jī)安全更關(guān)心信息的存儲(chǔ)和處理的安全。 ? 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受保護(hù)，系統(tǒng)能可靠連續(xù)地運(yùn)行。網(wǎng)絡(luò)安全更關(guān)系的是信息在網(wǎng)絡(luò)傳播過(guò)程中所涉及的各種安全問(wèn)題。 ? 電子政務(wù)安全問(wèn)題就是一種信息安全問(wèn)題。 電子政務(wù)的安全需求 身份認(rèn)證服務(wù)： 為政務(wù)實(shí)體定義唯一的電子身份標(biāo)識(shí)，并通過(guò)該標(biāo)識(shí)進(jìn)行身份認(rèn)證，保證身份的真實(shí)性。 權(quán)限控制服務(wù)： 把信息資源劃分成不同級(jí)別，并把使用信息資源的用戶劃分成不同類型，實(shí)現(xiàn)不同類型人員對(duì)不同級(jí)別信息訪問(wèn)的控制策略。 信息保密服務(wù)： 對(duì)于傳輸中需要保密的信息，采用密碼技術(shù)進(jìn)行加解密處理，防止信息的非授權(quán)泄漏。 數(shù)據(jù)完整性服務(wù)： 保證收發(fā)雙方數(shù)據(jù)的一致性，防止信息被非授權(quán)修改。 不可否認(rèn)服務(wù)： 為第三方驗(yàn)證信息源的真實(shí)性和信息的完整性提供證據(jù)，它有助于責(zé)任機(jī)制的建立，為解決電子政務(wù)中的爭(zhēng)議提供法律證據(jù)。 6 保障電子政務(wù)安全的重要性 ? 國(guó)家安全問(wèn)題 。 電子政務(wù)的安全體現(xiàn)了國(guó)家防御國(guó)外信息和網(wǎng)絡(luò)優(yōu)勢(shì)威脅的能力 ， 以信息手段維護(hù)國(guó)家安全的能力 。 ? 保障電子政務(wù)安全即維護(hù)了社會(huì)各階層利益 。 電子政務(wù)的應(yīng)用不僅代表政府部門(mén)的利益更代表了企業(yè)和廣大民眾的利益 。 ? 電子政務(wù)安全是社會(huì)穩(wěn)定的基本保障 。 電子政務(wù)的社會(huì)服務(wù)職能使得電子政務(wù)系統(tǒng)的安全運(yùn)行更加重要 。 國(guó)內(nèi)電子政務(wù)安全存在的一些問(wèn)題 ? 大部分的政府機(jī)構(gòu)都沒(méi)有精力對(duì)網(wǎng)絡(luò)安全進(jìn)行必要的人力投入；很多重要站點(diǎn)的管理員都是 Inter的新手，很多服務(wù)器存在的漏洞可以使入侵者獲取系統(tǒng)的最高控制權(quán)。我國(guó)現(xiàn)有信息安全專業(yè)人才少，有必要采取措施來(lái)逐步改善目前安全人才極為缺乏的狀況。 缺乏整體安全方案 ? 在大多數(shù)人的眼中，在服務(wù)器前加一個(gè)防火墻就解決了安全問(wèn)題，這是一種很狹隘的安全思路。防火墻僅僅是一個(gè)訪問(wèn)控制、內(nèi)外隔離的安全設(shè)備，在底層包過(guò)濾、 IP偽裝、碎片攻擊，端口控制等方面的確有著不可替代的作用，但它在應(yīng)用層的控制和檢測(cè)能力是很有限的。 ? 另外，沒(méi)有設(shè)置好密碼策略、沒(méi)有設(shè)置安全日志策略或沒(méi)有定期分析日志發(fā)現(xiàn)異常現(xiàn)象等等。說(shuō)到底就是缺乏一套整體安全方案，一個(gè)沒(méi)有整體安全規(guī)劃的系統(tǒng)，安全是肯定沒(méi)有保障的。 系統(tǒng)本身不安全 沒(méi)有對(duì)用戶和目錄權(quán)限進(jìn)行設(shè)臵及建立適當(dāng)?shù)陌踩呗裕? 沒(méi)有打安全補(bǔ)??； 安裝時(shí)為方便使用簡(jiǎn)單口令而后來(lái)又不更改； 沒(méi)有進(jìn)行適當(dāng)?shù)哪夸浐臀募?quán)限設(shè)臵； 沒(méi)有進(jìn)行適當(dāng)?shù)挠脩魴?quán)限設(shè)臵，打開(kāi)了不必要的服務(wù)； 沒(méi)有對(duì)自己的應(yīng)用系統(tǒng)進(jìn)行安全檢測(cè)等等。 事實(shí)上系統(tǒng)和應(yīng)用大多是由系統(tǒng)集成商來(lái)完成的，其做法往往是最大化安裝，以方便安裝調(diào)試，把整個(gè)系統(tǒng)調(diào)通就算完成了任務(wù)，遺憾的是留下很多的安全隱患；而安全卻恰恰相反，遵循最小化原則，要求沒(méi)必要的東西一定不要。 沒(méi)有安全管理機(jī)制 安全和管理是分不開(kāi)的，有好的安全設(shè)備和系統(tǒng)還不夠，還必須有一套好的安全管理方法，并貫徹實(shí)施。 建立定期的安全檢測(cè)、口令管理、人員管理、策略管理、備份管理、日志管理等一系列管理方法和制度是非常必要的。 不理解安全的相對(duì)性未持續(xù)提高系統(tǒng)安全能力 需要指出的是安全是相對(duì)的，主要因?yàn)椋? 操作系統(tǒng)和應(yīng)用系統(tǒng)漏洞的不斷發(fā)現(xiàn) 新的黑客技術(shù) 所以，安全是相對(duì)的，是動(dòng)態(tài)的，只有及時(shí)對(duì)系統(tǒng)安全問(wèn)題進(jìn)行跟 蹤處理，定期進(jìn)行整體安全評(píng)估，及時(shí)發(fā)現(xiàn)問(wèn)題并加以解決，才能確保系統(tǒng)具有良好的安全性 。 12 安全威脅的形式 非授權(quán)訪問(wèn) 信息泄漏和丟失 數(shù)據(jù)完整性破壞 拒絕服務(wù)攻擊 技術(shù)保障體系 數(shù)據(jù)加密技術(shù) ? 對(duì)稱密碼技術(shù)：加解密的密鑰相同，不能公開(kāi)。 DES、 IDEA算法。 ? 非對(duì)稱密碼技術(shù)：兩個(gè)不同的密鑰，一個(gè)用于加密，一個(gè)用于解密，公鑰加密技術(shù)。 RSA算法。 安全威脅 ? 操作系統(tǒng)的安全性； ? 防火墻的安全性； ? 來(lái)自內(nèi)部網(wǎng)用戶的安全威脅； ? TCP/IP協(xié)議族軟件本身缺乏安全性； ? 電子郵件病毒、邏輯炸彈等； ? Web頁(yè)面中存在惡意的 Java/ActiveX控件； ? 應(yīng)用服務(wù)的訪問(wèn)控制、安全設(shè)計(jì)存在漏洞； ? 缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)的安全性。 黑客常用的攻擊手段和方式 ? 利用系統(tǒng)管理的“漏洞”進(jìn)入； ? 利用操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞攻擊； ? 利用竊聽(tīng)獲取用戶信息及更改數(shù)據(jù)； ? 偽造用戶身份、否認(rèn)自己的簽名； ? 傳播和釋放病毒對(duì)系統(tǒng)進(jìn)行有效控制； ? IP欺騙攻擊； ? 拒絕服務(wù)（ DoS）攻擊； ? 消耗主機(jī)資源使其癱瘓或死機(jī)。 防病毒系統(tǒng) ? 單機(jī)版殺毒軟件 ? 網(wǎng)絡(luò)版殺毒軟件一般采用 B/S架構(gòu)，具有“染毒電腦隔離”“文件自動(dòng)分發(fā)”“全網(wǎng)漏洞管理”等眾多功能，并具有詳盡的病毒疫情分析、 IT資產(chǎn)管理等創(chuàng)新功能，為企業(yè)用戶提供了更加強(qiáng)大的網(wǎng)絡(luò)安全管理利器。全網(wǎng)安全主動(dòng)管理：網(wǎng)絡(luò)管理員通過(guò)此設(shè)置頁(yè)面就可以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)客戶端的集中管理，對(duì)全網(wǎng)客戶端進(jìn)行統(tǒng)一或個(gè)性化設(shè)置，清楚地掌握整個(gè)網(wǎng)絡(luò)環(huán)境中各個(gè)節(jié)點(diǎn)的病毒狀態(tài)。既方便管理員管理，又可以有效地減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，為用戶的網(wǎng)絡(luò)系統(tǒng)提供了可靠的安全解決方案。 ? 防毒墻（網(wǎng)關(guān)） 防火墻的類型 防火 墻 的 類型 應(yīng)用代理 ApplicationLevel Gateway 電路級(jí)網(wǎng)關(guān) CircuitLevel Gateway 包過(guò)濾路由器 PacketFiltering Router 靜態(tài)包過(guò)濾器工作于網(wǎng)絡(luò)層 應(yīng)用層 表示層 會(huì)話層 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 傳輸層 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 網(wǎng)絡(luò)層 鏈路層 物理層