【正文】 如此這些都為系統(tǒng)的安全提供了有力的保障，確保系統(tǒng)能一直處于最佳的安全狀態(tài)，即便系統(tǒng)受到攻擊，也能最大程度地挽回?fù)p失。 監(jiān)督網(wǎng)絡(luò)安全管理制度的執(zhí)行和貫徹，查處違反網(wǎng)絡(luò)安全管理的違紀(jì)、違規(guī)行為。 行動(dòng) 2： 所有的系統(tǒng)和網(wǎng)絡(luò)管理員必須通過培訓(xùn) ， 掌握基本的安全技能 ， 并專注于消除基本的安全缺陷 。 容錯(cuò)是必須的 容錯(cuò)使它能夠從系統(tǒng)災(zāi)難中幸存下來，并且不需要重新啟動(dòng)，就可以重建知識(shí)數(shù)據(jù)庫(kù)。用戶網(wǎng)絡(luò)中也許已經(jīng)擁有了某些技術(shù)，只不過沒有得到充分利用或沒有得到合理配臵。 保留高質(zhì)量的日志作為起訴證據(jù) 日志必須保持特定的質(zhì)量，并且必須對(duì)網(wǎng)絡(luò)上所有計(jì)算機(jī)的操作、登錄和退出類型進(jìn)行記錄。 IDS的發(fā)展趨勢(shì) 具有預(yù)測(cè)功能 安全廠商們正在開發(fā)下一代具有預(yù)測(cè)功能的 IDS，即 IDS能夠識(shí)別并記錄攻擊，并且不會(huì)受到自身日志數(shù)據(jù)的影響，而且能夠進(jìn)行無(wú)憂的最小差錯(cuò)告警。 入侵檢測(cè)系統(tǒng)的分類 入侵檢測(cè)系統(tǒng)的分類 基于網(wǎng)絡(luò)的系統(tǒng)（ Networkbased IDS） 基于網(wǎng)絡(luò)的系統(tǒng)也稱為 NIDS。 IDS可以是硬件系統(tǒng)，也可以是軟件系統(tǒng)。 ? Http、 Ftp、 Email、入侵、 DNS請(qǐng)求等行為分析 。 （二）安全身份認(rèn)證系統(tǒng) ?基于生物特征的身份認(rèn)證： 如 DNA，視網(wǎng)膜，虹膜、指紋等； ?基于 IC卡的身份認(rèn)證： 如磁存儲(chǔ)卡、邏輯加密卡， CPU卡等； ?基于零知識(shí)證明的身份認(rèn)證； ?基于“用戶名 +口令”的身份認(rèn)證； ?基于電子鑰匙的身份認(rèn)證系統(tǒng)。 ? 非對(duì)稱密碼技術(shù)：兩個(gè)不同的密鑰，一個(gè)用于加密，一個(gè)用于解密，公鑰加密技術(shù)。說到底就是缺乏一套整體安全方案，一個(gè)沒有整體安全規(guī)劃的系統(tǒng)，安全是肯定沒有保障的。 電子政務(wù)的應(yīng)用不僅代表政府部門的利益更代表了企業(yè)和廣大民眾的利益 。 電子政務(wù)的安全需求 身份認(rèn)證服務(wù)： 為政務(wù)實(shí)體定義唯一的電子身份標(biāo)識(shí)，并通過該標(biāo)識(shí)進(jìn)行身份認(rèn)證，保證身份的真實(shí)性。 ? 可控性：對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控管理。 ? 可用性：授權(quán)人使用時(shí)不能出現(xiàn)系統(tǒng)拒絕服務(wù)的情況。 ? 電子政務(wù)安全問題就是一種信息安全問題。 ? 保障電子政務(wù)安全即維護(hù)了社會(huì)各階層利益 。 ? 另外，沒有設(shè)置好密碼策略、沒有設(shè)置安全日志策略或沒有定期分析日志發(fā)現(xiàn)異?，F(xiàn)象等等。 DES、 IDEA算法。 ? 防毒墻（網(wǎng)關(guān)） 防火墻的類型 防火 墻 的 類型 應(yīng)用代理 ApplicationLevel Gateway 電路級(jí)網(wǎng)關(guān) CircuitLevel Gateway 包過濾路由器 PacketFiltering Router 靜態(tài)包過濾器工作于網(wǎng)絡(luò)層 應(yīng)用層 表示層 會(huì)話層 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 傳輸層 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 網(wǎng)絡(luò)層 鏈路層 物理層 IP頭 TCP頭 應(yīng)用級(jí)頭 數(shù)據(jù) 源 /目的 IP地址 源 /目的 端口 應(yīng)用狀態(tài)和數(shù)據(jù)流 凈荷 包過濾器 靜態(tài)包過濾器所過濾的內(nèi)容 應(yīng)用層 表示層 會(huì)話層 網(wǎng)絡(luò)層 鏈路層 物理層 傳輸層 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 動(dòng)態(tài)包過濾防火墻工作于傳輸層 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 會(huì)話層 物理層 表示層 鏈路層 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 網(wǎng)絡(luò)層 傳輸層 應(yīng)用層 電路級(jí)網(wǎng)關(guān)工作于會(huì)話層 IP頭 TCP頭 應(yīng)用級(jí)頭 數(shù)據(jù) 源 /目的 IP地址 源 /目的 端口 應(yīng)用狀態(tài)和數(shù)據(jù)流 凈荷 電路級(jí)網(wǎng)關(guān) 電路級(jí)網(wǎng)關(guān)所過濾的內(nèi)容 表示層 會(huì)話層 鏈路層 物理層 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 傳輸層 網(wǎng)絡(luò)層 應(yīng)用層 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 應(yīng)用代理工作于應(yīng)用層 防火墻的主要功能 防 火 墻 的 功能 過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù) 管理進(jìn)出網(wǎng)絡(luò)的訪問行為 封堵某些禁止的業(yè)務(wù) 記錄進(jìn)出網(wǎng)絡(luò)的信息和活動(dòng) 對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警 防火墻的局限性 防 火 墻 的 局限 性 不能防范惡意知情者泄密 不能控制不經(jīng)過它的連接 不能防備完全新的威脅 不能防止病毒和特洛伊木馬 不能防止內(nèi)部用戶的破壞 防火墻技術(shù)的發(fā)展趨勢(shì) 從目前對(duì)專網(wǎng)管理的方式，向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展； 過濾深度不斷加強(qiáng)，從目前的地址過濾、服務(wù)過濾，發(fā)展到頁(yè)面過濾、關(guān)鍵字過濾及對(duì) Active X/Java等的過濾； 用防火墻建立 VPN， IP加密越來越強(qiáng)； 單向防火墻（網(wǎng)絡(luò)二極管）將出現(xiàn)； 對(duì)攻擊的檢測(cè)和告警將成為重要功能； 附加安全管理工具（如日志分析）； 安全協(xié)議的開發(fā)將成為一大熱點(diǎn)。 ? 自動(dòng)中標(biāo)檢查 ，即關(guān)鍵詞檢查； ? 日志管理與審計(jì)： ? 發(fā)件瀏覽審查，提供多種審查方式； ? 發(fā)件統(tǒng)計(jì)分析，包括指定日期或時(shí)間段的發(fā)件數(shù)、 中標(biāo)數(shù)、中標(biāo)率、涉密數(shù)等； ? 報(bào)表生成和打?。ò?/月 /日?qǐng)?bào)表）； ? 發(fā)件人、收件人檔案記錄。一旦發(fā)現(xiàn)了不正常的數(shù)據(jù)模式，就意味著有人企圖突入或損害系統(tǒng)。在采用異常檢測(cè)時(shí)，探測(cè)器監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)段并將當(dāng)前狀態(tài)與正常底線狀態(tài)相比較，以識(shí)別異常狀況。這些對(duì)可疑活動(dòng)的反應(yīng)方式包括：對(duì)離線的用戶進(jìn)行記錄，關(guān)掉某個(gè)連接，或甚至重新對(duì)防火墻進(jìn)行編程以阻斷來自可疑源地址的惡意網(wǎng)絡(luò)數(shù)據(jù)流。它能夠從其它系統(tǒng)中獲得更多的有關(guān)攻擊的信息，降低誤報(bào)率，并采取主動(dòng)防御措施，以阻斷攻擊。評(píng)估的最后結(jié)果也許會(huì)認(rèn)為，選擇和實(shí)施 IDS是一種浪費(fèi)。內(nèi)部的工作應(yīng)該能夠從外部檢查到，所以它不是黑盒子。 一個(gè)好的 IDS應(yīng)具備哪些特性 建立 IDS保護(hù)系統(tǒng)的步驟 行動(dòng) 1： 用戶必須愿意提供資源 （ 資金 、 人力和時(shí)間 ） 對(duì)當(dāng)前系統(tǒng)和網(wǎng)絡(luò)中存在的缺陷打安全補(bǔ)丁 ， 并且把網(wǎng)絡(luò)和主機(jī)的安全放在工作首位 。 加強(qiáng)網(wǎng)絡(luò)安全項(xiàng)目的建設(shè)和管理，負(fù)責(zé)貫徹國(guó)家有關(guān)網(wǎng)絡(luò)安全的法律、法規(guī)，落實(shí)各項(xiàng)網(wǎng)絡(luò)安全措施； 督促有關(guān)部門對(duì)用戶進(jìn)行安全教育，監(jiān)督、檢查、指導(dǎo)網(wǎng)絡(luò)安全工作。尤其要注意制度的監(jiān)督貫徹執(zhí)行，否則就形同虛設(shè)。經(jīng)過多年的發(fā)展，國(guó)內(nèi)的信息化基建建設(shè)已經(jīng)初具規(guī)模，很多政府部門的基礎(chǔ)設(shè)施都基本搭建完成，維護(hù)著大量的 IT設(shè)施。從技術(shù)層面上看，業(yè)務(wù)是一組 IT資源及其相互關(guān)系的集合。 基礎(chǔ)設(shè)施保障 電子政務(wù)的基礎(chǔ) — PKI ? 20世紀(jì) 80年代，美國(guó)學(xué)者提出了 PKI（公開密鑰設(shè)施）的概念。為了推廣 PKI在國(guó)內(nèi)的應(yīng)用，加強(qiáng)國(guó)內(nèi) PKI建設(shè)與國(guó)際間的合作，國(guó)家計(jì)委批準(zhǔn)成立了“中國(guó) PKI論壇”，它將為 PKI在中國(guó)的推廣應(yīng)用起到積極促進(jìn)作用。 公鑰加密標(biāo)準(zhǔn) 我國(guó)的 PKI體系目前普遍采用 RSA算法，這是目前公認(rèn)比較安全的算法。 ● 目錄服務(wù)系統(tǒng) LDAP 它可以完成證書系統(tǒng)的發(fā)布功能，負(fù)責(zé)存放用戶證書、 CRL、授權(quán)信息及其他用戶信息。 采用 Wintel體系（ Windows操作系統(tǒng) +Intel芯片）的計(jì)算機(jī)，自主知識(shí)產(chǎn)權(quán)的產(chǎn)品基本沒有。即使采用了最先進(jìn)的安全技術(shù)成果不對(duì)人員的權(quán)限進(jìn)行有效合理的分配，照樣可以越權(quán)操作；如果沒有對(duì)異常事件處理的流程和規(guī)范當(dāng)遇到攻擊時(shí)，仍然會(huì)不知所措。信息安全方面的人才很少，而政府部門及其他部門對(duì)信息安全人才的需求是很大的