【正文】 統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、 通用中間件技術(shù)。 對(duì)于操作系統(tǒng)而言，如微軟的 Windows，其安全性無(wú)法得到充分保障，對(duì)信息安全構(gòu)成潛在威脅。 85 ? 安全管理比安全技術(shù)更重要 ? 常言道“三分技術(shù)、七分管理”，安全方案的實(shí)現(xiàn)離不開管理。這包括制定和實(shí)施一系列規(guī)章制度如網(wǎng)絡(luò)操作使用規(guī)程、機(jī)房管理制度、網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施；加強(qiáng)員工安全培訓(xùn)并采用專業(yè)安全人員對(duì)網(wǎng)絡(luò)進(jìn)行管理、維護(hù)和升級(jí)；必要的話還可以選擇安全顧問公司進(jìn)行技術(shù)支持。 87 ? 加快高等級(jí)信息安全人才的培養(yǎng) 目前在我國(guó)，信息安全人才培養(yǎng)方面的投入還有較大的欠缺，在教育系統(tǒng)，專門針對(duì)信息安全開設(shè)的專業(yè)與社會(huì)需求相比，也還遠(yuǎn)遠(yuǎn)不夠科研院所進(jìn)行的安全專業(yè)人員的培養(yǎng)力度與國(guó)外相比，有相當(dāng)差距。安全體系結(jié)構(gòu)必須根據(jù)攻擊手段的發(fā)展進(jìn)行相應(yīng)的更新的升級(jí)。 ?？梢哉f，安全體系結(jié)構(gòu)是一個(gè)持續(xù)的過程，安全策略應(yīng)適應(yīng)網(wǎng)絡(luò)的動(dòng)態(tài)性。要解決這種供需矛盾必須回憶信息安全人才的需求。某些政府部門的網(wǎng)絡(luò)管理員甚至認(rèn)為自己所有的部門不是特別重要的機(jī)構(gòu)或從來(lái)沒有受到黑客的攻擊，以后就不會(huì)成為黑客的攻擊目標(biāo)。網(wǎng)絡(luò)安全管理問題關(guān)鍵在于人的管理，而不只是網(wǎng)絡(luò)軟件的應(yīng)用。 84 ? 對(duì)于數(shù)據(jù)庫(kù)技術(shù)，在我國(guó)電子政務(wù)系統(tǒng)建設(shè)進(jìn)程中擁有極大的需求量、應(yīng)用也極為廣泛，因?yàn)槲覈?guó) 80%的社會(huì)信息資源在政府手。由于電子政務(wù)系統(tǒng)具有其特殊性，在選擇相關(guān)的產(chǎn)品和技術(shù)時(shí)需要站在戰(zhàn)略的高度上進(jìn)行全面的審慎的考察和研究，其中之一就是要選擇具有自主性的產(chǎn)品和技術(shù)。 ? 設(shè)備安全：設(shè)備安全主要包括設(shè)備的防盜 、 防毀 、 防電磁信息輻射泄漏 、 防止線路截獲 、 抗電磁干擾及電源保護(hù)等：設(shè)備冗余備份；通過嚴(yán)格管理及提高員工的整體安全意識(shí)來(lái)實(shí)現(xiàn) 。 數(shù)字證書是 PKI的核心 根 CA 根 CA 一級(jí)子 CA 一級(jí)子 CA 一級(jí)子 CA 二級(jí)子 CA 二級(jí)子 CA RA RA RA 受理點(diǎn) 受理點(diǎn) 受理點(diǎn) 受理點(diǎn) RA 交叉認(rèn)證 （四）基于 PKI的 CA認(rèn)證架構(gòu) CA 服務(wù)器 申 請(qǐng) 證 書 獲 取 證 書 個(gè)人用戶 機(jī)構(gòu)用戶 申 請(qǐng) 證 書 獲 取 證 書 數(shù)據(jù)加密：密文傳送 數(shù)字簽名：身份確認(rèn) 數(shù)字證書的申請(qǐng) /發(fā)放過程 （五）建立電子政務(wù)安全系統(tǒng) 威海政務(wù)網(wǎng)安全解決方案 合作伙伴 防火墻 +VPN 防火墻 +VPN 防火墻 +VPN 防火墻 +VPN 安全服務(wù)器網(wǎng)絡(luò) SSN Web服務(wù)器 Email服務(wù)器 DNS服務(wù)器 移動(dòng)用戶 防病毒服務(wù)器 CA認(rèn)證服務(wù)器 信息審計(jì)系統(tǒng) 網(wǎng)絡(luò)監(jiān)控系統(tǒng) Inter 分支機(jī)構(gòu) 公開服務(wù)網(wǎng) 安全服務(wù)網(wǎng) 內(nèi)部網(wǎng) VPN 82 ? 建立安全的物理層 ， 保障電子政務(wù)系統(tǒng)的物理安全 ? 保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提 。 國(guó)內(nèi) PKI問題與思考（續(xù)） ● 證書中心 CA 它是整個(gè)證書與密鑰管理系統(tǒng)的核心，可完成系統(tǒng)的核心處理功能，包括：產(chǎn)生和管理 CA與用戶的密鑰、簽發(fā)各種證書和 CRL（證書撤消列表）、管理和維護(hù)核心數(shù)據(jù)庫(kù)中的用戶證書及密鑰信息，以及對(duì)其他模塊的請(qǐng)求進(jìn)行處理和應(yīng)答。橢圓曲線加密（ ECC）雖然被認(rèn)為是很有發(fā)展前途的一種新型公鑰加密算法，但目前離實(shí)際應(yīng)用還有一定距離，同時(shí) ECC的標(biāo)準(zhǔn)化問題尚未完全解決。 除此之外， PKI中還包括 證書策略 、 證書路徑 、 證書的使用者 等。 PKI的概念 ?PKI是 Public Key Infrastructure（公開密鑰基礎(chǔ)設(shè)施）的縮寫，是一種普遍適用的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。在我國(guó)， PKI建設(shè)在幾年前就已開始啟動(dòng)。 ?為了推進(jìn) PKI在聯(lián)邦政府范圍內(nèi)的應(yīng)用，美國(guó)在 1996年成立了聯(lián)邦 PKI指導(dǎo)委員會(huì)； ?1999年， PKI論壇成立； ? 2022年 4月，美國(guó)國(guó)防部宣布要采用 PKI安全倡議方案。在 GB/T 2202712022中，進(jìn)一步指出信息系統(tǒng)一般由支持軟件運(yùn)行的硬件系統(tǒng)（含計(jì)算機(jī)硬件和網(wǎng)絡(luò)硬件系統(tǒng)）、對(duì)系統(tǒng)資源進(jìn)行管理和為用戶使用提供基本支持的系統(tǒng)軟件（含計(jì)算機(jī)操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)管理系統(tǒng)軟件、網(wǎng)絡(luò)協(xié)議軟件和管理軟件）、實(shí)現(xiàn)信息系統(tǒng)應(yīng)用功能的應(yīng)用系統(tǒng)軟件等組成。例如，一個(gè) OA業(yè)務(wù)可能包括了 OA的中間件，承載這個(gè)中間件系統(tǒng)運(yùn)行的服務(wù)器、數(shù)據(jù)庫(kù)系統(tǒng)和承載數(shù)據(jù)庫(kù)運(yùn)行的服務(wù)器，包括這些服務(wù)器連接的交換機(jī)、防火墻，甚至還包括服務(wù)器所在的機(jī)房。 ? IT資源環(huán)境的定義 ? IT資源環(huán)境是指包括網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施、主機(jī)、服務(wù)器、支撐服務(wù)和應(yīng)用中間件，以及業(yè)務(wù)運(yùn)營(yíng)系統(tǒng)在內(nèi)的企業(yè)和組織所有 IT設(shè)施的總和，它既有硬件，也有軟件。面對(duì)這些復(fù)雜的 IT資源及其所承載的業(yè)務(wù)系統(tǒng)的管理，尤其是安全管理，越來(lái)越成為制約企業(yè)信息化水平進(jìn)一步提升的瓶頸，越來(lái)越多的用戶已經(jīng)主動(dòng)提出要部署安全管理產(chǎn)品了。 ? 安全管理的目標(biāo)是要以業(yè)務(wù)安全需求為導(dǎo)向，以保證政府業(yè)務(wù)連續(xù)性為目的，通過對(duì)業(yè)務(wù)信息系統(tǒng)的運(yùn)行狀態(tài)、安全事件、資產(chǎn)、漏洞、威脅、風(fēng)險(xiǎn)、預(yù)警、安全策略、安全知識(shí)等安全要素進(jìn)行收集、分析、管理，提供以業(yè)務(wù)風(fēng)險(xiǎn)管理為核心的安全運(yùn)行管理平臺(tái)。 建立完善的安全保障體系 建立完善的安全保障體系是系統(tǒng)安全所必需的，如管理人員安全培訓(xùn)、可靠的數(shù)據(jù)備份、緊急事件響應(yīng)措施、定期系統(tǒng)安全評(píng)估及更新升級(jí)系統(tǒng)，如此這些都為系統(tǒng)的安全提供了有力的保障，確保系統(tǒng)能一直處于最佳的安全狀態(tài)，即便系統(tǒng)受到攻擊，也能最大程度地挽回?fù)p失。 五類安全業(yè)務(wù) 五大 類安全業(yè)務(wù) 訪問控制業(yè)務(wù) 數(shù)據(jù)保密性業(yè)務(wù) 數(shù)據(jù)完整性業(yè)務(wù) 對(duì)象認(rèn)證業(yè)務(wù) 不可否認(rèn)業(yè)務(wù) 規(guī)定的八個(gè)安全機(jī)制 規(guī)定的八個(gè)安全機(jī)制 加密 數(shù)字簽名 訪問控制 數(shù)據(jù)完整性 認(rèn)證交換 數(shù)據(jù)流填充 路由控制 公證 網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全的七個(gè)安全技術(shù) 防火墻技術(shù) 加密技術(shù) 認(rèn)證技術(shù) 數(shù)字簽名技術(shù) 安全審計(jì)技術(shù) 監(jiān)控技術(shù) 病毒防治技術(shù) （四）安全工作的目標(biāo) 安全工作的目標(biāo) “進(jìn)不來(lái)” —— 訪問控制機(jī)制 “拿不走” —— 授權(quán)機(jī)制 “看不懂” —— 加密機(jī)制 “改不了” —— 數(shù)據(jù)完整性機(jī)制 “逃不掉” —— 審計(jì) /監(jiān)控 /簽名機(jī)制 （五）安全體系結(jié)構(gòu) 安全體系結(jié)構(gòu)簡(jiǎn)介 物理安全 — 機(jī)房 屏蔽 門鎖 防電磁輻射 網(wǎng)絡(luò)安全 — 服務(wù)器 入侵檢測(cè) 防毒 備份 信息安全 — 加密 完整性 防抵賴 數(shù)據(jù)庫(kù) 安全管理 — 多人原則 任期有限 職責(zé)分離 制定并貫徹安全管理制度 在對(duì)系統(tǒng)安全方案和系統(tǒng)安全處理的同時(shí)，還必須制定出一套完整的安全管理制度。 監(jiān)督網(wǎng)絡(luò)安全管理制度的執(zhí)行和貫徹，查處違反網(wǎng)絡(luò)安全管理的違紀(jì)、違規(guī)行為。 （六）虛擬專網(wǎng) — VPN ? VPN是在公眾數(shù)據(jù)網(wǎng)上建立私有數(shù)