【正文】 主知識產(chǎn)權(quán)技術(shù)為核心的產(chǎn)品 ,取代外國的產(chǎn)品 ,掌握主動。 88 ? 電子政務系統(tǒng)的安全體系結(jié)構(gòu)是發(fā)展的、動態(tài)的。其實人是各個安全環(huán)節(jié)中最重要的因素，全面提高工作人員的信息安全意識是網(wǎng)絡信息安全與保密的最重要保證。 ? 媒體安全：媒體安全包括媒體數(shù)據(jù)的安全及媒體本身的安全 。所有這些都是 PKI的基本部件，它們有機地結(jié)合在一起就構(gòu)成了 PKI。這些硬件和軟件共同協(xié)作運行，實現(xiàn)信息系統(tǒng)的整體功能。集中的監(jiān)測、集中的安全分析、集中的安全決策和集中的響應控制。 VPN隧道示意圖 Inter 隧道包 虛擬隧道 隧道端點 數(shù)據(jù)包 隧道包報頭 數(shù)據(jù)包 VPN應用實例 VPN VPN 服務器 服務器 服務器 數(shù)據(jù)庫 數(shù)據(jù)庫 數(shù)據(jù)庫 PC機 PC機 PC機 電話 電話 電話 傳真 傳真 傳真 總公司 分公司 分公司 VPN Inter VPN支持移動用戶遠程上網(wǎng) 遠程 LAN 公司 LAN VPN VPN Modems 移動終端 （ VPN客戶端） Inter 物理隔離系統(tǒng) ? 內(nèi)外網(wǎng)的安全隔離。一旦完成了以上工作， IDS會對整個網(wǎng)絡的安全性發(fā)揮更大的作用。 分布式跨平臺運行 IDS系統(tǒng)是否能在不同的操作系統(tǒng)平臺（如 Windows， UNIX， Linux等）上運行，也會限制這些技術(shù)的使用。 異常檢測（ Abnormal Detection） 在異常檢測中，首先要為系統(tǒng)設立一個正?；顒拥牡拙€（ Baseline）。 明文 加密機 密文 密文 密文 明文 加密機 源點 終點 端到端加密設備的特點 ? 數(shù)據(jù)從源點到終點始終以密文形式存在； ? 數(shù)據(jù)從源點加密后到終點才被解密； ? 安全性高，系統(tǒng)維護方便。 不理解安全的相對性未持續(xù)提高系統(tǒng)安全能力 需要指出的是安全是相對的，主要因為： 操作系統(tǒng)和應用系統(tǒng)漏洞的不斷發(fā)現(xiàn) 新的黑客技術(shù) 所以，安全是相對的，是動態(tài)的，只有及時對系統(tǒng)安全問題進行跟 蹤處理，定期進行整體安全評估，及時發(fā)現(xiàn)問題并加以解決，才能確保系統(tǒng)具有良好的安全性 。 6 保障電子政務安全的重要性 ? 國家安全問題 。 ? 機密性：保證信息不泄露給未經(jīng)授權(quán)的人。 信息保密服務： 對于傳輸中需要保密的信息，采用密碼技術(shù)進行加解密處理，防止信息的非授權(quán)泄漏。 事實上系統(tǒng)和應用大多是由系統(tǒng)集成商來完成的，其做法往往是最大化安裝，以方便安裝調(diào)試，把整個系統(tǒng)調(diào)通就算完成了任務，遺憾的是留下很多的安全隱患；而安全卻恰恰相反，遵循最小化原則，要求沒必要的東西一定不要。 ? 數(shù)據(jù)加密可在通信的三個層次來實現(xiàn)： ? 鏈路加密； ? 節(jié)點加密； ? 端到端加密。 濫用檢測（ Abuse Detection） 在濫用檢測方式下， IDS對它收集到的信息進行分析，并與攻擊簽名數(shù)據(jù)庫進行比較。它利用指示器和告警、網(wǎng)絡監(jiān)控和管理數(shù)據(jù)、已知漏洞和威脅等信息，構(gòu)造一個攻擊復原程序。只有這樣，我們才能知道系統(tǒng)是否已經(jīng)對漏洞打了補丁，訪問控制方案是否存在弱口令，對 root或管理員的訪問是否控制得當。 行動 3： 一旦安全目標已定 ， 我們就必須采取適當?shù)男袆?。在不同的層面，安全管理有著不同的內(nèi)涵和外延。 ? 在我國信息安全領(lǐng)域，一般把業(yè)務的技術(shù)支撐架構(gòu)稱為計算機信息系統(tǒng)，簡稱信息系統(tǒng)。 ?PKI的組成： ?數(shù)字證書是 PKI中最基本的元素，所有安全操作都主要通過證書來實現(xiàn)。 ? 環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護 ， 如區(qū)域保護和災難保護 。這包括制定和實施一系列規(guī)章制度如網(wǎng)絡操作使用規(guī)程、機房管理制度、網(wǎng)絡系統(tǒng)的維護制度和應急措施；加強員工安全培訓并采用專業(yè)安全人員對網(wǎng)絡進行管理、維護和升級；必要的話還可以選擇安全顧問公司進行技術(shù)支持?？梢哉f，安全體系結(jié)構(gòu)是一個持續(xù)的過程，安全策略應適應網(wǎng)絡的動態(tài)性。 84 ? 對于數(shù)據(jù)庫技術(shù)，在我國電子政務系統(tǒng)建設進程中擁有極大的需求量、應用也極為廣泛，因為我國 80%的社會信息資源在政府手。 國內(nèi) PKI問題與思考（續(xù)） ● 證書中心 CA 它是整個證書與密鑰管理系統(tǒng)的核心，可完成系統(tǒng)的核心處理功能，包括：產(chǎn)生和管理 CA與用戶的密鑰、簽發(fā)各種證書和 CRL（證書撤消列表）、管理和維護核心數(shù)據(jù)庫中的用戶證書及密鑰信息，以及對其他模塊的請求進行處理和應答。在我國， PKI建設在幾年前就已開始啟動。 ? IT資源環(huán)境的定義 ? IT資源環(huán)境是指包括網(wǎng)絡和安全基礎設施、主機、服務器、支撐服務和應用中間件，以及業(yè)務運營系統(tǒng)在內(nèi)的企業(yè)和組織所有 IT設施的總和，它既有硬件，也有軟件。 五類安全業(yè)務 五大 類安全業(yè)務 訪問控制業(yè)務 數(shù)據(jù)保密性業(yè)務 數(shù)據(jù)完整性業(yè)務 對象認證業(yè)務 不可否認業(yè)務 規(guī)定的八個安全機制 規(guī)定的八個安全機制 加密 數(shù)字簽名 訪問控制 數(shù)據(jù)完整性 認證交換 數(shù)據(jù)流填充 路由控制 公證 網(wǎng)絡安全技術(shù) 網(wǎng)絡安全的七個安全技術(shù) 防火墻技術(shù) 加密技術(shù) 認證技術(shù) 數(shù)字簽名技術(shù) 安全審計技術(shù) 監(jiān)控技術(shù) 病毒防治技術(shù) （四）安全工作的目標 安全工作的目標 “進不來” —— 訪問控制機制 “拿不走” —— 授權(quán)機制 “看不懂” —— 加密機制 “改不了” —— 數(shù)據(jù)完整性機制 “逃不掉” —— 審計 /監(jiān)控 /簽名機制 （五）安全體系結(jié)構(gòu) 安全體系結(jié)構(gòu)簡介 物理安全 — 機房 屏蔽 門鎖 防電磁輻射 網(wǎng)絡安全 — 服務器 入侵檢測 防毒 備份 信息安全 — 加密 完整性 防抵賴 數(shù)據(jù)庫 安全管理 — 多人原則 任期有限 職責分離 制定并貫徹安全管理制度 在對系統(tǒng)安全方案和系統(tǒng)安全處理的同時，還必須制定出一套完整的安全管理制度。每一系統(tǒng)都有一個不同的使用模式， IDS的防護機制應該易于適應這些模式。 要根據(jù)安全策略進行評估 在選擇入侵檢測系統(tǒng)策略和產(chǎn)品之前，用戶必須對網(wǎng)絡的安全需求作徹底的分析。進行評估的項目包括：對重要系統(tǒng)文件的修改、異常的或過度的 CPU活動、 root或管理權(quán)限的濫用等。其實，網(wǎng)絡安全是一個系統(tǒng)工程，僅靠安裝防火墻和 IDS，只能解決部分安全問題，而離全面解決安全問題還差得太遠。 防病毒系統(tǒng) ? 單機版殺毒軟件 ? 網(wǎng)絡版殺毒軟件一般采用 B/S架構(gòu)，具有“染毒電腦隔離”“文件自動分發(fā)”“全網(wǎng)漏洞管理”等眾多功能，并具有詳盡的病毒疫情分析、 IT資產(chǎn)管理等創(chuàng)新功能，為企業(yè)用戶提供了更加強大的網(wǎng)絡安全管理利器。我國現(xiàn)有信息安全專業(yè)人才少，有必要采取措施來逐步改善目前安全人才極為缺乏的狀況。計算機安全更關(guān)心信息的存儲和處理的安全。 ? 計算機安全是指計算機系統(tǒng)資源和信息資源不受自然和人為的威脅與損壞。 國內(nèi)電子政務安全存在的一些問題