【文章內(nèi)容簡(jiǎn)介】 統(tǒng)非法訪問數(shù)據(jù) 。 通過數(shù)據(jù)加密來解決 。 ⑵ 繞開應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行直接訪問的安全隱患 。 電子政務(wù)信息一般存放在數(shù)據(jù)庫或文件系統(tǒng)中 ， 通過應(yīng)用系統(tǒng)進(jìn)行操作 。 但是 ， 應(yīng)用系統(tǒng)安全并不等于數(shù)據(jù)安全 。 ⑶ 病毒對(duì)政務(wù)內(nèi)網(wǎng)的應(yīng)用系統(tǒng)和數(shù)據(jù)的安全隱患 。 應(yīng)注意應(yīng)用系統(tǒng)和數(shù)據(jù)的備份 ， 并保證備份文件和原文件的物理隔離 ， 使系統(tǒng)被病毒感染造成的損失降至最低限度 。 = 第二節(jié) 電子政務(wù)信息安全整體解決方案 針對(duì)上述三點(diǎn)原因，電子政務(wù)內(nèi)網(wǎng)采用的安全手段有訪問控制、應(yīng)用系統(tǒng)安全保證和防病毒三種。其中，訪問控制通過對(duì)網(wǎng)絡(luò)區(qū)域邊界的劃分、訪問身份和地址的控制，來防止非法訪問和越界訪問；應(yīng)用系統(tǒng)安全手段有身份認(rèn)證（用戶名、密碼的身份認(rèn)證、數(shù)字證書認(rèn)證）、權(quán)限管理（資源誰可以操作，誰不能操作的控制）和數(shù)據(jù)信息加密 /解密操作等；病毒防治要求提供桌面、服務(wù)器和 Inter網(wǎng)關(guān)的集成的防病毒系統(tǒng) ，對(duì)所有潛在的病毒進(jìn)入點(diǎn)實(shí)行全面保護(hù)。 此外，內(nèi)網(wǎng)的安全管理包括機(jī)房的安全制度、服務(wù)器的安全審計(jì)制度、訪問控制策略和網(wǎng)絡(luò)服務(wù)器安全控制等。 = 第二節(jié) 電子政務(wù)信息安全整體解決方案 2 政務(wù) 外網(wǎng)安全 目前的網(wǎng)絡(luò)攻擊可分為三類：探測(cè)式攻擊 、 訪問攻擊和拒絕服務(wù)攻擊 。 ⑴ 探測(cè)式攻擊實(shí)際上是信息采集活動(dòng) ， 黑客通過這種攻擊搜集網(wǎng)絡(luò)數(shù)據(jù) ， 用于以后進(jìn)一步攻擊網(wǎng)絡(luò) 。 通常 ， 探測(cè)器和掃描器等軟件工具被用于了解網(wǎng)絡(luò)資源情況 ， 尋找目標(biāo)網(wǎng)絡(luò) 、 主機(jī)和應(yīng)用中的潛在漏洞 。 ⑵ 訪問攻擊用于發(fā)現(xiàn)身份認(rèn)證服務(wù) 、 文件傳輸協(xié)議 （ FTP）功能等網(wǎng)絡(luò)領(lǐng)域的漏洞 ， 以訪問電子郵件帳號(hào) 、 數(shù)據(jù)庫和其他保密信息 。 ⑶ 拒絕服務(wù)攻擊可以防止用戶對(duì)于部分或全部計(jì)算機(jī)系統(tǒng)的訪問 。 它們的實(shí)現(xiàn)方法通常是：向某個(gè)連接到專網(wǎng)或者Inter的設(shè)備發(fā)送大量的雜亂的或者無法控制的數(shù)據(jù) ， 從而讓正常的訪問無法到達(dá)該主機(jī) 。 更惡毒的是分布式拒絕服務(wù)攻擊 ， 這種攻擊會(huì)危及到多個(gè)設(shè)備或者主機(jī)的安全 。 外部網(wǎng)絡(luò)安全 外部網(wǎng)絡(luò) INTERNET 入侵檢測(cè) 防病毒 …… 訪問控制 訪問控制 防病毒 漏洞掃描 網(wǎng)站服務(wù)器 主機(jī)審查 外部網(wǎng)絡(luò)安全 文件監(jiān)控 網(wǎng)站網(wǎng)頁的監(jiān)控 自動(dòng)監(jiān)控 JITKeeper可按照用戶規(guī)定的掃描策略自動(dòng)檢測(cè)所監(jiān)控文件系統(tǒng)（主要指 Web服務(wù)器）。 自動(dòng)報(bào)警 JITKeeper可對(duì)系統(tǒng)運(yùn)行期間出現(xiàn)的通信中斷、監(jiān)控目錄下文件或目錄的非法創(chuàng)建、刪除與修改等異常情況進(jìn)行自動(dòng)報(bào)警。 自動(dòng)恢復(fù) JITKeeper自動(dòng)恢復(fù)監(jiān)控目錄下文件或目錄的非法創(chuàng)建、刪除與修改，而無需人工干預(yù)。 外部網(wǎng)絡(luò) 外部網(wǎng)絡(luò)安全 防病毒 …… 外部網(wǎng)絡(luò) 網(wǎng)站服務(wù)器 INTERNET 主機(jī)審查 ? 日志審查 、 用戶管理 系統(tǒng)訪問 、 系統(tǒng)資源 ? 系統(tǒng)管理員 外部網(wǎng)絡(luò)安全 入侵檢測(cè) 外部網(wǎng)絡(luò) ? 監(jiān)視用戶和系統(tǒng)的運(yùn)行狀況 ， 查找非法用戶和合法用戶的越權(quán)操作 。 ? 檢測(cè)系統(tǒng)配置的正確性和安全漏洞 ， 并提示管理員修補(bǔ)漏洞 。 ? 對(duì)用戶的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析 ， 發(fā)現(xiàn)入侵行為的規(guī)律 。 ? 檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性 。 如計(jì)算和比較文件系統(tǒng)的校驗(yàn)和能夠?qū)崟r(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng) 。 外部網(wǎng)絡(luò)安全 入侵檢測(cè) IDS（ Intrusion Detection System ） ? 入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。違反安全策略的行為有：入侵 — 非法用戶的違規(guī)行為；濫用用戶的違規(guī)行為。 專業(yè)郵件安全網(wǎng)關(guān) 外部網(wǎng)絡(luò)安全 防病毒 外部網(wǎng)絡(luò) ：提供對(duì)所有桌面客戶 機(jī)的多平臺(tái)保護(hù) 。 ：保護(hù)所有文件 、 應(yīng) 用程序和群件服務(wù)器 。 ：在網(wǎng)關(guān)上鎖住病毒和 有敵意的 Java、 ActiveX程序 。 防 病毒 KSG:領(lǐng)先的蠕蟲過濾技術(shù) Intranet Inter Worm KSG Worm ① 蠕蟲代碼傳播 （ SMTP,POP3,HTTP,FTP） ② 蠕蟲動(dòng)態(tài)攻擊 （數(shù)據(jù)包） 過濾！ 阻斷！ Trojan ③ 蠕蟲種植的 木馬活動(dòng) 阻止！ 蠕蟲特征碼 入侵阻斷特征碼 外部網(wǎng)絡(luò)安全 訪問控制 （ Access Control） 是通過一組機(jī)制來控制不同級(jí)別的主體對(duì)受保護(hù)的資源客體的不同級(jí)別的授權(quán)訪問 。 具體地說 ， 主體可能包括網(wǎng)絡(luò)用戶 、 用戶組 、 終端 、 主機(jī)或者應(yīng)用程序等等對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問的實(shí)體 。 資源客體可能包括主機(jī) 、 設(shè)備 、 程序 、 數(shù)據(jù) 、 目錄等等受訪問的實(shí)體 。 訪問控制就是要在這些主體和客體之間建立可否訪問 、 可以如何訪問的關(guān)系 ， 將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前 。 網(wǎng)站服務(wù)器訪問控制 ? 用戶控制 ? 權(quán)限控制 ? 日志檢查 ? 流量控制 ? 資源控制 外部網(wǎng)絡(luò) 從技術(shù)層面分析 ? 物理層信息安全問題。主要是物理通路的損壞、物理通路的竊聽、對(duì)物理通路的攻擊（干擾等）。 ? 鏈路層的網(wǎng)絡(luò)安全是通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)被竊聽。 ? 網(wǎng)絡(luò)層的安全是非法用戶與非授權(quán)的客戶的非法使用，而造成網(wǎng)絡(luò)路由錯(cuò)誤，信息被攔截或監(jiān)聽。 ? 操作系統(tǒng)安全是主要安全問題。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如 unix服務(wù)器、 NT服務(wù)器及 Windows桌面 PC。要求保證客戶資料、操作系統(tǒng)訪問控制的安全，同時(shí)能夠?qū)υ谠摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。 ? 應(yīng)用平臺(tái)安全是人們沒有太重視的部分。事實(shí)上在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、 Web服務(wù)器等均存在大量的安全隱患，很容易受到病毒、黑客的攻擊。 ? 應(yīng)用系統(tǒng)做為直接面向最終用戶的層面，其安全問題最多，包括規(guī)范化操作、合法性使用、系統(tǒng)本身安全漏洞、信息泄露、信息篡改、信息抵賴、信息假冒等等。 從技術(shù)層面分析 操作系統(tǒng)的選擇 方便性 ， 易用性和易維護(hù)性 常用操作系統(tǒng)： Windows、 UNIX、 Linux 國(guó)產(chǎn)的中文 linux在價(jià)格上占有很大優(yōu)勢(shì) 很難為不熟悉電腦的普通工作人員所接受 桌面： Windows 服務(wù)器：中文 Linux 或 Windows 從技術(shù)層面分析 數(shù)據(jù)庫的選擇 根據(jù)具體的應(yīng)用環(huán)境要求和數(shù)據(jù)量的大小可以做出選擇好多種關(guān)系數(shù)據(jù)庫管理系統(tǒng)。對(duì)于小型數(shù)據(jù)庫系統(tǒng)或單機(jī)應(yīng)用環(huán)境，可以選擇 Visual Fox Pro或 Microsoft Access數(shù)據(jù)庫；對(duì)于中等規(guī)模的數(shù)據(jù)庫系統(tǒng)，可以選擇 Microsoft SQL Server或 Sysbase、 Mysql等；對(duì)于大型數(shù)據(jù)庫系統(tǒng) Oracle數(shù)據(jù)庫為首選。 在選擇數(shù)據(jù)庫管理系統(tǒng)時(shí)還要考慮操作系統(tǒng)的支持，如在 Microsoft Windows 環(huán)境下 Visual Fox Pro、Microsoft Access、 SQL Server等可以運(yùn)行得很好；在Unix操作系統(tǒng)下一般選用 Oracle數(shù)據(jù)庫；在 Linux免費(fèi)操作系統(tǒng)下可選擇性能很好的數(shù)據(jù)庫管理系統(tǒng) Mysql。 DB 數(shù)據(jù)庫 技術(shù) 從技術(shù)層面分析 防病毒軟件的選擇 ? Norton ? 著名的金山軟件公司的金山毒霸 ? 瑞星電腦科技開發(fā)有限責(zé)任公司的瑞星殺毒 防火墻的選擇 ? 東軟 NETEYE ? 億陽 網(wǎng)警 ? 天網(wǎng) ? 天融信 ? 東方龍馬 從技術(shù)層面分析 應(yīng)用系統(tǒng)安全 采用以 CA認(rèn)證中心系統(tǒng)為核心的 PKI體系，實(shí)現(xiàn)： ? 身份識(shí)別 ? 數(shù)據(jù)信息的保密 ? 數(shù)據(jù)信息的完整 ? 數(shù)據(jù)信息的真實(shí) ? 不可抵賴（不可否認(rèn)） 系統(tǒng)結(jié)構(gòu) I n t e r n e t邊 界 訪 問 控 制 系 統(tǒng)公 共 信 息 網(wǎng)入 侵 檢 測(cè) 系 統(tǒng)物 理 隔 離內(nèi) 部 辦 公 網(wǎng)邊 界 訪 問 控 制VPN防 病 毒 系 統(tǒng)應(yīng) 用 安 全 子 系 統(tǒng)相 關(guān) 企 業(yè) 專網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系 網(wǎng)絡(luò)安全防護(hù)體系構(gòu)架 網(wǎng)絡(luò)安全評(píng)估 安全防護(hù) 網(wǎng)絡(luò)安全服務(wù) 系統(tǒng)漏洞掃描 網(wǎng)絡(luò)管理評(píng)估 病毒防護(hù)體系 網(wǎng)絡(luò)監(jiān)控 數(shù)據(jù)保密 網(wǎng)絡(luò)訪問控制 應(yīng)急服務(wù)體系 安全技術(shù)培訓(xùn) 數(shù)據(jù)恢復(fù) 從管理層面分析 ? 管理組織不完善：由于網(wǎng)絡(luò)安全是一個(gè)相對(duì)較新的問題，絕大多數(shù)單位由于各種原因并沒有一個(gè)實(shí)際的安全管理組織。因此，具體的安全管理任務(wù)就沒有辦法落實(shí)到人，從而造成有了問題沒有人管，即便管了也沒有明確的責(zé)權(quán)，而不能真正落實(shí)。 ? 管理規(guī)范未建立：對(duì)一件事情的管理由于沒有真正的責(zé)權(quán)人，就很難談得上有什么管理規(guī)范，大多數(shù)都是有一些并不完整的制度，而安全是一個(gè)整體工程，不完整的管理幾乎等于不管。 ? 技術(shù)管理不到位：技術(shù)管理大概是目前問題最少的，這是因?yàn)閹缀跛械南到y(tǒng)建設(shè)時(shí)都有一定的管理制度，但是這些基本上是網(wǎng)絡(luò)管理和應(yīng)用系統(tǒng)的用戶管理，真正的安全管理基本上是空白，因?yàn)榇蠖鄶?shù)單位只是考慮防火墻、防病毒等基本技術(shù)安全措施，并沒有提高到管理的程度。 ? 日常管理更是幾乎空白：從計(jì)算機(jī)的日常使用（如網(wǎng)絡(luò)共享管理不嚴(yán)）到信息保存（如秘書為領(lǐng)導(dǎo)打印的密件不加密）、流轉(zhuǎn)（如領(lǐng)導(dǎo)干部的任免審批過程被擴(kuò)散）、到歸檔資料的處理（如系統(tǒng)開發(fā)文檔未確定借閱限制）、甚至包括應(yīng)用系統(tǒng)用戶的權(quán)限變更（如人員調(diào)離單位未注銷帳戶）等處處存在漏洞。 = 第二節(jié) 電子政務(wù)信息安全整體解決方案 外網(wǎng)可以 利用入侵檢測(cè)系統(tǒng) 、 漏洞掃描 、 主機(jī)審查進(jìn)行防黑客處理 ， 并同時(shí)運(yùn)用文件監(jiān)控系統(tǒng)對(duì)網(wǎng)站進(jìn)行監(jiān)控 。 如果條件允許 ， 可利用防火墻控制網(wǎng)站與Inter的直接相連 ， 制約黑客對(duì)網(wǎng)站的直接攻擊 。 所采用的 安全技術(shù)主要包括：提供網(wǎng)站主頁防篡改和電子文檔防偽功能的文件監(jiān)控系統(tǒng) ， 用于防止對(duì)網(wǎng)站主頁和電子文檔的人為破壞 、 病毒入侵等任何形式的篡改；能監(jiān)視網(wǎng)絡(luò)或操作系統(tǒng)上的可疑行為 ， 并做出策略反應(yīng)的入侵檢測(cè)系統(tǒng) ， 它能幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊；采用模擬攻擊形式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查的漏洞掃描器 。 外網(wǎng)安全管理則主要依靠建立 網(wǎng)絡(luò)安全管理制度 、信息發(fā)布登記制度和信息內(nèi)容審核制度 。 安徽省安慶市城域光纖網(wǎng)拓?fù)鋱D 信息化整體安全 電子政務(wù)安全體系 技術(shù)體系 組織體系 管理體系 服務(wù)體系 通信平臺(tái)安全 網(wǎng)絡(luò)平臺(tái)安全 系統(tǒng)平臺(tái)安全 應(yīng)用平臺(tái)安全 應(yīng)用系統(tǒng)安全 決策組織 日常管理機(jī)構(gòu) 執(zhí)行維護(hù)單元 法規(guī)與政策 安全管理制度 日常服務(wù) 應(yīng)急響應(yīng) 災(zāi)難恢復(fù) 電子政務(wù)安全管理體系社會(huì)服務(wù)體系運(yùn)行管理體系技術(shù)保障體系 基礎(chǔ)設(shè)施平臺(tái)技術(shù)研發(fā)防護(hù)系統(tǒng)行政管理技術(shù)管理安全管理測(cè)評(píng)認(rèn)證應(yīng)急響應(yīng)教育培訓(xùn)風(fēng)險(xiǎn)管理P KI 認(rèn)證平臺(tái)法規(guī)建設(shè)標(biāo)準(zhǔn)建設(shè)= 第二節(jié) 電子政務(wù)信息安全整體解決方案 ㈢ 數(shù)據(jù)交換安全 電子政務(wù)數(shù)據(jù)的傳遞不能像在一個(gè)網(wǎng)絡(luò)環(huán)境下一樣便捷 ，因此 ， 需要采用安全的數(shù)據(jù)交換技術(shù) 。 可以通過安全島來實(shí)現(xiàn)內(nèi)外網(wǎng)間信息的過濾和兩個(gè)網(wǎng)絡(luò)間的物理隔離 ， 從而在內(nèi)外網(wǎng)間實(shí)現(xiàn)安全的數(shù)據(jù)交換 。 隔離網(wǎng)閘 （ GAP） 技術(shù)是實(shí)現(xiàn)安全島的關(guān)鍵技術(shù) ， 它如同一個(gè)高速開關(guān)在內(nèi)外網(wǎng)間來回切換 ， 同一時(shí)刻內(nèi)外網(wǎng)間沒有連接 ，處于物理隔離狀態(tài) 。 在此基礎(chǔ)上 ， 隔離網(wǎng)閘作為代理 ， 從外網(wǎng)的網(wǎng)絡(luò)訪問包中抽取出數(shù)據(jù) ， 然后通過反射開關(guān)轉(zhuǎn)入內(nèi)網(wǎng) ， 完成數(shù)據(jù)中轉(zhuǎn) 。 針對(duì)電子政務(wù)的安全特性 ， 有兩種觀點(diǎn)及操作方法 。 一是技術(shù)隔離 ， 二是物理隔離 。 內(nèi)網(wǎng)與外網(wǎng)安全數(shù)據(jù)交換 外部網(wǎng)絡(luò) 網(wǎng)站服務(wù)器 …… 內(nèi)部網(wǎng)絡(luò) 工作站 防病毒 INTERNET 介質(zhì)交換 前置機(jī) = 第二節(jié) 電子政務(wù)信息安全整體解決方案 二、 電子政務(wù)信息技術(shù)安全解決方案 ㈠電子政務(wù)信息技術(shù)安全體系構(gòu)成要素 ⒈安全保障要素 ⒉ 安全防御要素 ⒊安全監(jiān)控要素 ⒋安全認(rèn)證要素 = 第二節(jié) 電子政務(wù)信息安全整體解決方案 ㈡ 電子政務(wù)信息安全技術(shù) ⒈入侵檢測(cè) IDS（ Intrusion Detection System ） 入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)