【正文】 信息資源劃分成不同級別，并把使用信息資源的用戶劃分成不同類型，實現(xiàn)不同類型人員對不同級別信息訪問的控制策略。 ? 網絡安全是指網絡系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受保護，系統(tǒng)能可靠連續(xù)地運行。 ? 不可否認性：信息行為可安全管理。 ? 機密性：保證信息不泄露給未經授權的人。 ? 完整性：信息無失真地傳達到目的地。 ? 計算機安全和網絡安全都是信息安全。網絡安全更關系的是信息在網絡傳播過程中所涉及的各種安全問題。 信息保密服務： 對于傳輸中需要保密的信息，采用密碼技術進行加解密處理，防止信息的非授權泄漏。 電子政務的安全體現(xiàn)了國家防御國外信息和網絡優(yōu)勢威脅的能力 ， 以信息手段維護國家安全的能力 。 電子政務的社會服務職能使得電子政務系統(tǒng)的安全運行更加重要 。防火墻僅僅是一個訪問控制、內外隔離的安全設備，在底層包過濾、 IP偽裝、碎片攻擊，端口控制等方面的確有著不可替代的作用，但它在應用層的控制和檢測能力是很有限的。 事實上系統(tǒng)和應用大多是由系統(tǒng)集成商來完成的，其做法往往是最大化安裝，以方便安裝調試，把整個系統(tǒng)調通就算完成了任務，遺憾的是留下很多的安全隱患；而安全卻恰恰相反，遵循最小化原則，要求沒必要的東西一定不要。 12 安全威脅的形式 非授權訪問 信息泄漏和丟失 數(shù)據(jù)完整性破壞 拒絕服務攻擊 技術保障體系 數(shù)據(jù)加密技術 ? 對稱密碼技術：加解密的密鑰相同，不能公開。 安全威脅 ? 操作系統(tǒng)的安全性； ? 防火墻的安全性； ? 來自內部網用戶的安全威脅； ? TCP/IP協(xié)議族軟件本身缺乏安全性； ? 電子郵件病毒、邏輯炸彈等； ? Web頁面中存在惡意的 Java/ActiveX控件； ? 應用服務的訪問控制、安全設計存在漏洞； ? 缺乏有效的手段監(jiān)視、評估網絡的安全性。既方便管理員管理，又可以有效地減少網絡安全風險，為用戶的網絡系統(tǒng)提供了可靠的安全解決方案。 ? 數(shù)據(jù)加密可在通信的三個層次來實現(xiàn)： ? 鏈路加密； ? 節(jié)點加密； ? 端到端加密。 加密機 明文 明文 加密機 源點 終點 密文 密文 加密機的應用圖例 網絡中心 安全路由器 密碼管理中心 因特網 加密機 加密機 加密機 （四）安全日志與審計系統(tǒng) ? 數(shù)據(jù)采集、還原處理及備份功能 ： ?提供豐富的采樣條件設臵； ? 對電子郵件與傳輸文件的壓縮部分自動解壓； ? 自動英漢翻譯，提供全文本高速翻譯系統(tǒng)。 安全日志與審計系統(tǒng)運行環(huán)境 服務器（中標） 外部網 內部網 路由器 集線器 數(shù)據(jù)采集器 數(shù)據(jù)庫網關 自動解壓 自動翻譯 綜合管理 打印機 （五）入侵檢測系統(tǒng) — IDS 在戰(zhàn)場上，你希望在要保護的地帶布臵哨兵；在網絡中，你需要在要保護的關鍵部位布臵入侵檢測系統(tǒng)（ IDS— Intrusion Detection System）。 IDS可以識別出能夠引發(fā)網絡或系統(tǒng)攻擊的可疑數(shù)據(jù)。 濫用檢測（ Abuse Detection） 在濫用檢測方式下， IDS對它收集到的信息進行分析，并與攻擊簽名數(shù)據(jù)庫進行比較。它包括這樣一些內容：網絡業(yè)務流負荷的狀態(tài)、故障死機、通信協(xié)議，及典型的數(shù)據(jù)包長度。這些數(shù)據(jù)包能夠逃過許多防火墻的簡單過濾規(guī)則的過濾，進入到內部網絡。 反動系統(tǒng)（ Reactive IDS） 在反動系統(tǒng)中， IDS能夠以不同方式對各種可疑的活動作出響應。它利用指示器和告警、網絡監(jiān)控和管理數(shù)據(jù)、已知漏洞和威脅等信息，構造一個攻擊復原程序。 多系統(tǒng)聯(lián)動 未來的 IDS將不是作為一個獨立的系統(tǒng)來運行，它必須能夠與網絡中的其他設備實現(xiàn)互動。如果 IDS沒有即時響應計劃，實際上降低了 IDS自身的價值， IDS的日志就變成毫無價值的數(shù)據(jù)。在 IDS的成本得到正確判定之前，我們需要關注整個信息安全架構中的許多問題。只有這樣，我們才能知道系統(tǒng)是否已經對漏洞打了補丁，訪問控制方案是否存在弱口令，對 root或管理員的訪問是否控制得當。 一個好的 IDS應具備哪些特性 用最少的人力干預連續(xù)運行 它應該在后臺運行。 性能是非常關鍵的 如果產生了性能問題， IDS就不能用。 必須考慮對其自身的防護 為了更有效， IDS必須具有嵌入式防護機制，并且它周圍的環(huán)境應該得到加固，使它難于被欺騙。 行動 3： 一旦安全目標已定 ， 我們就必須采取適當?shù)男袆?。 管理保障 成立網絡安全領導小組 要從上到下把網絡安全重視起來，由行政領導牽頭，技術部門負責，系統(tǒng)和管理員參與，成立安全管理領導監(jiān)督小組。 制訂一套完整的安全方案 一套完整的安全方案是整個系統(tǒng)安全的有力保障，要結合自己實際的網絡狀況，從人力、物力、財力做好部署與配臵，由于安全方案涉及到了安全理論、安全產品、網絡技術、系統(tǒng)技術實現(xiàn)等多方面專業(yè)技能，并且要求要有較高的認知能力，大多數(shù)企業(yè)、公司、政府等可能不具備此能力，此時可以聘請專業(yè)安全顧問公司來完成。約束普通用戶等網絡訪問者，督促管理員很好地完成自身的工作，增強大家的網絡安全意識，防止因粗心大意或不貫徹制度而導致安全事故。在不同的層面，安全管理有著不同的內涵和外延。 ? 驅動當今安全管理發(fā)展的主要因素 ? 內因：國內信息化水平發(fā)展階段使然。通過安全管理系統(tǒng)可以有效地進行 IT信息系統(tǒng)的審計與合規(guī)管理。 ? 業(yè)務的定義 ? 業(yè)務，是業(yè)務系統(tǒng)的簡稱。 ? 在我國信息安全領域，一般把業(yè)務的技術支撐架構稱為計算機信息系統(tǒng)，簡稱信息系統(tǒng)。 在兩年前國內還沒有一家具有真正意義上的網絡安全公司，但由于目前形勢的需要，國內的安全顧問公司可以說是蓬勃發(fā)展，百花齊放，但主要是從以下幾種公司轉型而來的： （ 1）網絡安全產品公司兼做網絡安全服務 （ 2）傳統(tǒng)系統(tǒng)集成公司設立網絡安全部門 （ 3）自由黑客組織轉型為專業(yè)網絡安全公司 （ 4）國家科研教育機構成立的網絡安全公司 選擇安全顧問公司是要必須非常謹慎的，要從安全公司的背景、理念、實力、管理等多方面進行考查，不僅要看一個安全公司的技術和資金實力，而且還要看公司人員的組成，因為一旦你的系統(tǒng)交給了安全公司，其實你的系統(tǒng)就等于對其百分之百地開放，但大多網絡安全公司人員層次不齊，即便技術和資金很強，但若管理不善，人員流失較大，就會使得其客戶的系統(tǒng)資料處于不可控狀態(tài)，從而帶來極大的安全隱患，所以一旦選擇失誤，不僅不能帶來安全保障，而且可能會帶來無盡的夢魘。 ?7月初，“亞洲 PKI論壇”第二屆年會在北京召開，這將是迄今為止國內最具規(guī)模的 PKI專題研討會。如何推廣 PKI應用，加強系統(tǒng)之間、部門之間、各國之間 PKI體系的互通互聯(lián)，已經成為 PKI建設亟待解決的重要問題。 ?PKI的組成： ?數(shù)字證書是 PKI中最基本的元素，所有安全操作都主要通過證書來實現(xiàn)。 證書格式 我國 PKI體系中的證書格式完全遵照 。但是無庸諱言的是，我國 PKI/CA建設還處在起步的階段，存在不少亟待解決的問題。 ● 管理工具 Admin 它可以實現(xiàn)對整個系統(tǒng)的配臵和管理。 ? 環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護 ， 如區(qū)域保護和災難保護 。 83 發(fā)展自主的信息產業(yè)，構建安全的技術支撐層 安全的技術支撐層主要包括：硬塊件平臺、操作系