【正文】 路由信息，但缺乏對路由信息的認 證，因此偽造的或來自非可信源的路由信息就可能導致對路由機制深圳市電子政務工程總體設計方案（安全篇） 3 的攻擊。 ◇ 鑒別攻擊： TCP/IP 協(xié)議不能對用戶進行有效的身份認證，因此無法鑒別登錄用戶的身份合法性。 三、軟件風險 ◇ 后門：軟件中含有其所有者未授權(quán)的特殊代碼，一般是程序開發(fā)者為維護或其它用途有意或無意留下的，這類后門可提供直接進入系統(tǒng)的途徑。 ◇ 病毒：一種能將自己復制進入系統(tǒng)的程序， 一旦執(zhí)行被感染的程序，便會破壞軟件的正常功能或進行其它破壞。電子政務系統(tǒng)在信息安全方面存在的主要風險包括： ◇ 偽裝：入侵者偽裝成合法用戶。 ◇ 合法侵犯：授權(quán)用戶出于未經(jīng) 授權(quán)的目的使用某個系統(tǒng)。 ◇ 網(wǎng)絡欺騙：通過偽裝進行欺騙，包括服務器欺騙和 DNS 欺騙等。安全管理的不健全，同樣可以影響整個系統(tǒng)的安全。這些漏洞和疏忽可導致人為操作錯誤，有意破壞信息和信息系 統(tǒng)的可用性，以及直接竊取信息等安全事故。 通過上述分析， 整個深圳市電子政務系統(tǒng)中面臨的威脅和風險是來自多方面，多層次，多目標的 。 總體安全目標：建立完善的深圳市電子政務安全技術(shù)和安全管理保障體系，盡可能完備地對抗所預見到的威脅和風險，把風險降低到可以接受的程度。 信息安全目標：確保信息內(nèi)容在存取、處理和傳輸中的機密性、完整性和深圳市電子政務工程總體設計方案（安全篇） 6 可用性以及確保信息系統(tǒng)主體的可控性和可審計。 安全設計的指導思想是：遵照國家信息化領導小組《關于我國電子政務建設的指導意見》、深圳市發(fā)展計劃局和深圳市信息化辦公室發(fā)布的《深圳市國民經(jīng)濟和社會信息化“十五”規(guī)劃》的指示精神，以及《深圳市黨政機關信息化既電子政務實施綱要》的要求，結(jié)合深圳市的具體實際情況，充分認識安全在電子政務網(wǎng)絡系統(tǒng)，特別是在機關計算機專用網(wǎng)絡和各機關內(nèi)部辦公業(yè)務網(wǎng)建設中的重要性。 安全設計遵循的原則是： 隔離原則 根據(jù) 國家保密局發(fā)布 的 《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》 、國家信息化領導小組《關于我國電子政務建設的指導意見》中的相關規(guī)定以及深圳市對電子政務的具體要求，外部公眾網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離；外部公眾網(wǎng)與機關 計算機專用網(wǎng)絡、各機關內(nèi)部辦公業(yè)務。 安全設計依據(jù)的標準主要包括國家關于安全保密的有關法律法規(guī)，以及關于安全技術(shù)方面的國家標準。 第三節(jié) 安全方案的范 圍、指導思想、依據(jù)標準和設計原則 本安全方案是針對深圳市機關計算機專用網(wǎng)絡、外部公眾網(wǎng)和各機關內(nèi)部辦公業(yè)務網(wǎng)而設計。 實體安全目標：防止系統(tǒng)所處的物理環(huán)境、網(wǎng)絡設備、數(shù)據(jù)媒體及其它相關物理實體受自然災 害、環(huán)境事故、電源故障、人為操作失誤或錯誤、盜竊、毀壞、設備老化及意外故障、電磁泄露、數(shù)據(jù)媒體的損壞和出錯等威脅的影響。因此整個系統(tǒng)的安全體系的建立，必須能夠抵抗所預見到的威脅和風險，并且隨著技術(shù)的發(fā)展而不斷發(fā)展。這可導致不能及時發(fā)現(xiàn)信息系統(tǒng)運行中的故障或安全隱患，出現(xiàn)事故時無據(jù)可查或無追蹤、審查能力，無法落實安全責任和責任人。 ◇ 制度遺漏造成信息系統(tǒng)的無序運行，嚴重時導致雪崩式的安全漏洞和脆弱性。 安全管理需求分析 安全管理是一個廣泛理念，電子政務系統(tǒng)中出現(xiàn)的 安全問題 并非全部可以通過技術(shù)本身解決，相反，更多需要通過非技術(shù)手 段進行解決。 ◇ 通信監(jiān)聽：通過監(jiān)聽，攻擊者可以獲得秘密信息。技術(shù)手段如：嗅探，口令猜測；非技術(shù)手段如：從廢棄物中尋找，社交手段等。 ◇ 缺陷：軟件開發(fā)者無意留下的缺陷或漏洞。時間炸彈就是其中一種。 ◇ 局域網(wǎng)內(nèi)子網(wǎng)間的直接物理連接：局域網(wǎng)內(nèi)各物理 /邏輯子網(wǎng)之間存在著安全策略的差異，直接連接可能導致非授權(quán)訪問 或 非法入侵。如故意加重服務器的接入訪問流量使得其它用戶無法訪問該服務器，或是用大量的數(shù)據(jù)包阻塞某個網(wǎng)絡地址 。 ◇ 序列號攻擊： TCP/IP 協(xié)議中所使用的隨機序列號是一個具有上下限的偽隨機數(shù)，因而是可猜測的。一旦進入系統(tǒng)，在滿足一定條件時便會危及系統(tǒng)。 一、操作系統(tǒng)風險 ◇ 漏洞或缺陷 ：操作系統(tǒng)在開發(fā)時由于對安全問題考慮不周而留下的漏洞或缺陷 ，往往被攻擊者利用來進行系統(tǒng)攻擊。 深圳市電子政務工程總體設計方案（安全篇） 2 ◇ 設備老化及意外故障，電磁泄露。深圳屬于臺風區(qū)，同時也是多雷擊區(qū)。為了給深圳市電子政務提供完善、可靠的安全保障，本章將對電子政務的安全需求進行全面的分析。 第一 節(jié) 安全需求 深圳市 委、市政府十分重視電子政務以及相關的安全設施的建設，這幾年取得了較大的成績。確定了本設計方案所涉及的范圍、方案設計的指導思想、依據(jù)標準和設計原則。 安全建設是深圳 市電子政務建設中的一個重要組成部分。系統(tǒng)在實體安全方面存在的風險主要有： ◇ 自然災害：臺風、雷擊、地震、水災、火災等產(chǎn)生的破壞。 ◇ 人為操作失誤或錯誤；人為的對設備的盜竊、毀壞。下面分別從操作系統(tǒng)、網(wǎng)絡通信系統(tǒng)、軟件（包括系統(tǒng)軟件、系統(tǒng)支撐軟件以及各種應用軟件）三個方面進行分析。 ◇ 特洛伊木馬 ：是一種具有明顯或?qū)嶋H有用功能的計算機程序，它又包含了附加的（隱藏的）能暗中利用合法授權(quán)的功能，以此破壞計算機安全與完整性的進程。 ◇ 地址欺騙：源 IP 地址極易被偽造、更改以及 IP 地址鑒別機制的缺乏，使攻擊者通過修改或偽造源 IP 地址進行地址欺騙和假冒攻擊。 ◇ 拒絕服務： 攻擊者影響目標的可獲得性，故意阻礙對信息，服務器或其它資源的合法訪問。 ◇ 網(wǎng)絡管理軟件的缺陷 ：包括程序開發(fā) 者有意或無意留下的后門、惡意代碼等，同時，大部分網(wǎng)絡管理軟件的通信會話采用極為簡單的會話鑒別機制，且使用“公共變量格式”傳輸和存儲管理信息，攻擊者一旦猜到會話口令，便能修改或刪除管理信息，造成災難性后果。 ◇ 邏輯炸彈：故意書寫或修改的程序，當滿足某種條件時就會產(chǎn)生預料不到的結(jié)果，這些結(jié)果是合法用戶或軟件所有者沒有授權(quán)的，可以在單獨的程序中，可以是蠕蟲的一部分，也可以是病毒。 ◇ 蠕蟲：一種獨立式的程序，通常在網(wǎng)絡中復制。許多其它類型的攻擊都建立在偽裝的基礎上，偽裝既能通過技術(shù)手段也能通過非技術(shù)手段來實現(xiàn)。這種侵犯利用系統(tǒng)的脆弱性來獲得合法訪問系統(tǒng)的權(quán)利。 ◇ 否認：通信方在進行通信后不承認曾經(jīng)發(fā)生過的通信。例如： ◇ 管理不當造成的口令及密鑰丟失或泄露。 ◇ 審計不力或無審計：指信息系統(tǒng)未建立或不全建立審計崗位、審計制度和審計系統(tǒng)。隨著技術(shù)的發(fā)展，還會出現(xiàn)新的威脅和風險。為電子政務提供有效的安全服務，保證系統(tǒng)的安全運行。 安全管理目標：通過組織、人事、制度、技術(shù)等各方面的綜合的管理手段來保證實體安全、系統(tǒng)安全和信息安全的目標的實現(xiàn)。在深圳市電子政 務工程安全設計中，正確處理發(fā)展與安全的關系，綜合平衡成本和效益，避免重復建設，統(tǒng)一平臺、統(tǒng)一規(guī)劃、統(tǒng)一標準，建立完善的電子政務安全保障