【正文】 會話層網絡接口 網絡接口傳輸層外部網絡 內部網絡網絡層鏈路層物理層IP頭 TCP頭 應用級頭 數據源 /目的IP地址源 /目的端口 應用狀態(tài)和數據流 凈荷包過濾器靜態(tài)包過濾器所過濾的內容 Gateway電路級網關CircuitLevel既方便管理員管理，又可以有效地減少網絡安全風險，為用戶的網絡系統提供了可靠的安全解決方案。防病毒系統? 單機版殺毒軟件? 網絡版 殺毒軟件一般 采用 B/S架構，具有 “染毒電腦隔離 ”“文件自動分發(fā) ”“全網漏洞管理 ”等眾多功能，并具有詳盡的病毒疫情分析、 IT資產管理等創(chuàng)新功能，為企業(yè)用戶提供了更加強大的網絡安全管理利器。黑客常用的攻擊手段和方式、黑客常用的攻擊手段和方式 ? 利用系統管理的利用系統管理的 “漏洞漏洞 ”進入；進入； ? 利用操作系統和應用系統的漏洞攻擊；利用操作系統和應用系統的漏洞攻擊； ? 利用竊聽獲取用戶信息及更改數據；利用竊聽獲取用戶信息及更改數據； ? 偽造用戶身份、否認自己的簽名；偽造用戶身份、否認自己的簽名； ? 傳播和釋放病毒對系統進行有效控制；傳播和釋放病毒對系統進行有效控制； ? IP欺騙攻擊；欺騙攻擊； ? 拒絕服務（拒絕服務（ DoS）攻擊；）攻擊； ? 消耗主機資源使其癱瘓或死機。缺乏有效的手段監(jiān)視、評估網絡的安全性。Web頁面中存在惡意的頁面中存在惡意的 Java/ActiveX控件；控件；?TCP/IP協議族軟件本身缺乏安全性；協議族軟件本身缺乏安全性；?來自內部網用戶的安全威脅；來自內部網用戶的安全威脅；?操作系統的安全性；操作系統的安全性；? RSA算法。 DES、 IDEA算法。不理解安全的相對性、不理解安全的相對性 未持續(xù)提高系統安全能力未持續(xù)提高系統安全能力 需要指出的是安全是相對的，主要因為：需要指出的是安全是相對的，主要因為：操作系統和應用系統漏洞的不斷發(fā)現操作系統和應用系統漏洞的不斷發(fā)現新的新的 黑客技術黑客技術 所以，安全是相對的，是動態(tài)的，只有及時對系統安全問題進行跟所以，安全是相對的，是動態(tài)的，只有及時對系統安全問題進行跟 蹤處理，定期進行整體安全評估，及時發(fā)現問題并加以解決，才能確蹤處理，定期進行整體安全評估，及時發(fā)現問題并加以解決，才能確保系統具有良好的安全性保系統具有良好的安全性 。建立定期的安全檢測、口令管理、人員管理、策略管理、備份管理、建立定期的安全檢測、口令管理、人員管理、策略管理、備份管理、日志管理等一系列管理方法和制度是非常必要的。套好的安全管理方法，并貫徹實施。沒有安全管理機制、沒有安全管理機制 事實上系統和應用大多是由系統集成商來完成的，其做法往往是事實上系統和應用大多是由系統集成商來完成的，其做法往往是最大化安裝，以方便安裝調試，把整個系統調通就算完成了任務，遺最大化安裝，以方便安裝調試，把整個系統調通就算完成了任務，遺憾的是留下很多的安全隱患；而安全卻恰恰相反，遵循最小化原則，憾的是留下很多的安全隱患；而安全卻恰恰相反，遵循最小化原則，要求沒必要的東西一定不要。沒有對自己的應用系統進行安全檢測等等。 說到底就是缺乏一套整體安全方案，一個沒有整體安全規(guī)劃的系統，安全是肯定沒有保障的。? 另外，沒有設置好密碼策略、沒有設置安全日志策略或沒有定期分析另外，沒有設置好密碼策略、沒有設置安全日志策略或沒有定期分析日志發(fā)現異常現象等等。防火墻僅僅是一個訪問控制、內外隔離的安全設備，在底層包過濾、安全設備，在底層包過濾、 IP偽裝、碎片攻擊，端口控制等方面的確偽裝、碎片攻擊，端口控制等方面的確有著不可替代的作用，但它在應用層的控制和檢測能力是很有限的。缺乏整體安全方案、缺乏整體安全方案? 在大多數人的眼中，在服務器前加一個防火墻就解決了安全問題，這在大多數人的眼中，在服務器前加一個防火墻就解決了安全問題，這是一種很狹隘的安全思路。我國現有信息安全專業(yè)人才 少，少， 有有必要必要 采取采取 措施來逐步改善目前安全人才極為缺乏的狀況。國內國內 電子政務安全電子政務安全 存在的一些問題存在的一些問題? 大部分的政府機構都沒有精力對網絡安全進行必要的人力投入；很多大部分的政府機構都沒有精力對網絡安全進行必要的人力投入；很多重要站點的管理員都是重要站點的管理員都是 Inter的新手，很多服務器的新手，很多服務器 存在存在 的漏洞可以的漏洞可以使入侵者獲取系統的最高控制權。? 電子政務安全是社會穩(wěn)定的基本保障。? 保障電子政務安全即維護了社會各階層利益。 保障電子政務安全的重要性? 國家安全問題。 數據完整性服務： 保證收發(fā)雙方數據的一致性，防止信息被非授權修改。 權限控制服務： 把信息資源劃分成不同級別，并把使用信息資源的用戶劃分成不同類型，實現不同類型人員對不同級別信息訪問的控制策略。? 電子政務安全問題就是一種信息安全問題。? 網絡安全是指網絡系統的硬件、軟件及系統中的數據受保護，系統能可靠連續(xù)地運行。? 計算機安全是指計算機系統資源和信息資源不受自然和人為的威脅與損壞。? 不可否認性：信息行為可安全管理。? 可用性：授權人使用時不能出現系統拒絕服務的情況。? 機密性：保證信息不泄露給未經授權的人。信息恐怖 病毒傳染 黑客攻擊 內外勾結內部資源信息戰(zhàn)爭 軟硬件漏洞操作不當 自然災害 惡意破壞 基礎設施保障體系電子政務的安全問題服務保障體系管理保障體系技術體系第 十 講 電子政務安全體系一、電子政務的安全問題二、電子政務安全體系 意識不強 管理疏漏 濫用職權 信息間諜 外部威脅內部威脅信息安全? 保障信息的機密性、完整性、可用性、可控性和不可否認性等幾個方面。? 完整性：信息無失真地傳達到目的地。? 可控性：對信息及信息系統實施安全監(jiān)控管理。? 計算機安全和網絡安全都是信息安全。計算機安全更關心信息的存儲和處理的安全。網絡安全更關系的是信息在網絡傳播過程中所涉及的各種安全問題。電子政務的安全需求電子政務的安全需求 身份認證服務： 為政務實體定義唯一的電子身份標識，并通過該標識進行身份認證，保證身份的真實性。 信息保密服務： 對于傳輸中需要保密的信息，采用密碼技術進行加解密處理，防止信息的非授權泄漏。 不可否認服務： 為第三方驗證信息源的真實性和信息的完整性提供證據，它有助于責任機制的建立，為解決電子政務中的爭議提供法律證據。電子政務的安全體現了國家防御國外信息和網絡優(yōu)勢威脅的能力，以信息手段維護國家安全的能力。電子政務的應用不僅代表政府部門的利益更代表了企業(yè)和廣大民眾的利益。電子政務的社會服務職能使得電子政務系統的安全運行更加重要。我國現有信息安全專業(yè)人才使入侵者獲取系統的最高控制權。措施來逐步改善目前安全人才極為缺乏的狀況。防火墻僅僅是一個訪問控制、內外隔離的是一種很狹隘的安全思路。有著不可替代的作用，但它在應用層的控制和檢測能力是很有限的。說到底就是缺乏一套整體安全方案，一個沒日志發(fā)現異?，F象等等。有整體安全規(guī)劃的系統，安全是肯定沒有保障的。系統本身不安全、系統本身不安全沒有對用戶和目錄權限進行設置及建立適當的安全策略；沒有對用戶和目錄權限進行設置及建立適當的安全策略；沒有打安全補??；沒有打安全補丁；安裝時為方便使用簡單口令而后來又不更改；安裝時為方便使用簡單口令而后來又不更改；沒有進行適當的目錄和文件權限設置；沒有進行適當的目錄和文件權限設置；沒有進行適當的用戶權限設置，打開了不必要的服務；沒有進行適當的用戶權限設置，打開了不必要的服務；沒有對自己的應用系統進行安全檢測等等。要求沒必要的東西一定不要。安全和管理是分不開的，有好的安全設備和系統還不夠，還必須有一安全和管理是分不開的，有好的安全設備和系統還不夠，還必須有一套好的安全管理方法，并貫徹實施。日志管理等一系列管理方法和制度是非常必要的。安全威脅的形式非授權訪問信息泄漏和丟失數據完整性破壞拒絕服務攻擊技術保障體系技術保障體系數據加密技術? 對稱密碼技術：加解密的密鑰相同，不能公開。? 非對稱密碼技術：兩個不同的密鑰，一個用于加密，一個用于解密，公鑰加密技術。安全威脅安全威脅?防火墻的安全性；防火墻的安全性；?電子郵件病毒、邏輯炸彈等；電子郵件病毒、邏輯炸彈等；?應用服務的訪問控制、安全設計存在漏洞；應用服務的訪問控制、安全設計存在漏洞；?缺乏有效的手段監(jiān)視、評估網絡的安全性。消耗主機資源使其癱瘓或死機。全網安全主動管理 ： 網絡管理員通過此設置頁面就可以實現對