3)审核注册中心RA是用户和CA之间的 中间实体,它所获得的用户标识的准 确性是CA颁发证书的基础。 4)电子政务中要证书查询验证服务 系统LDAP和OCSP提供备份存贮和在 线进行查询。证书生成后,必须存储 以备后用。
三、PKI的服务 核心服务一般有三个: 1)认证服务 2)完整性服务 3)保密性服务
3)安全责任制度 安全责任制度包括系统运行维护管 理制度、计算机处理流程控制管理制 度、文档资料管理制度、操作和管理 人员管理制度、机房安全管理制度、 按时进行检查与监督制度。
软件系统管理(操作系统、网络系统、驱动、数据 库、应用软件等) 包含以下几方面的内容: 1) 保护软件系统的完整性(防止软件破坏和篡改、 漏洞检测、软件加密) 2) 保证软件的存储安全(压缩存储、加密存储、 备份存储) 3) 保障软件的通信安全(安全传输、加密传输) 4) 保障软件的使用安全(授权使用、按规程操作)
7.防水墙技术 防水墙是一个内网监控系统,其着 重点是用技术方法强化内部信息的安 全管理,利用计算机口令字验证、数 据库存储控制技术、审计跟踪技术、 密码技术等对公司、重要的 行业数据、科学发明专利等机密信息, 防止对信息的非法或违规的窥探、外 传、破坏、拷贝、删除,从本质上阻 止了机密信息泄漏事件的发生。
就我国的电子政务安全而言,当前重点 建设内容是: 1)CA认证体系的规范化 2)电子文档的立法 3)政府信息保密与公开的立法。
2、针对各类计算机和网络犯罪,制定 直接约束各社会成员的信息活动行为 规范,并形成防范体系。
3)对信息安全技术和产品的授权审批, 应制定相应法规,形成对信息产品和 技术的安全审批与监控体系。 4)制定相应的法规,形成内容信息的 审批、监控和保密体系 5)从国家安全的角度,网络信息预警 与反击体系等。
作为新一代反病毒软件应做到以下几点 全面地与互联网结合,不仅有传统的手动查 杀与文件监控,还必须对网络层、邮件客户 端进行实时监控,防止病毒入侵。 快速反应的病毒检测网,采用虚拟跟踪技术, 识别未知病毒和变形病毒。 完善方便的在线升级服务,对新病毒迅速提 出解决方案。 对病毒经常攻击的程序提供重点保护。
1、信息安全管理服务 (1)信息安全咨询服务 (2)安全技术管理服务 (3)数据安全分析服务 (4)安全管理评估服务
3、信息安全应急响应服务 应急响应是计算机或网络系统遇到 突发安全事件(如黑客入侵、网络恶 意攻击、病毒感染和破坏等)时,能 够提供的紧急响应和快速救援和恢复 服务。 4、信息安全教育服务
VPN 主要是采用四种技术来保证安全 隧道技术 加解密技术 密钥管理技术 信息认证和身份认证
4.入侵侦测技术 入侵侦测是对计算机网络和计算机 系统的关键节点的信息进行收集分析, 检测其中是否由违反安全策略的事件发 生或攻击现象,并通知系统安全管理员。 通常用于入侵检测的软件、硬件合 称为入侵检测系统。
审计跟踪的特点是:对被审计的系 统是透明的;支持所有的应用;允许 构造事件实际顺序;可以有选择地、 动态地开始或停止记录;记录事件一 般包括以下内容:被审讯的进程,时 间,日期,数据库的操作,事务类型, 用户名,终端号等;可以对单个事件 的记录进行指定。
(4)审计的流程 电子数据安全审计工作的流程是: 收集来自内核和核外的事件,根据相 应的审计条件,判断是否是审计事件。 常用的报警类型有:用于实时报告 用户试探进入系统的登陆失败报警以 及用于实时报告系统中病毒活动情况 的病毒报警等。
物理隔离技术发展至今大致经历了以下几 个阶段: 双网双机技术 双硬盘物理隔离卡技术 単硬盘物理隔离卡技术 基于服务器端的物理隔离技术。 工作原理:采用基于服务器的物理隔 离设备来连接两个网络,在同一时刻这 两个网络没有物理上的连通,但又可以 快速的处理并传递数据。(GAP网闸)
6.安全审计技术 (1)审计技术 了解系统技术 验证处理技术 验证处理结果技术
3.数字签名 数字签名技术是实现信息安全的核 心技术之一,它的实现基础就是加密技 术。 其基础原理和作用如同传统的签名 或印章是一样的。
1. 反病毒技术 我们现在的计算机反病毒技术是针对计 算机病毒的发展而基于病毒家族体系的命 名规则、基于多位CRC校验和扫描机理, 启发式智能代码分析模块,动态数据还原 模块,内存解毒模块,自身免疫模块等技 术。
附加服务也称PKI支撑服务,通常 建立在PKI核心服务之上: 1)可否认服务 2)安全时间戳 3)公证服务(数据认证)
1、属性证书的属性 1)名字 2)一个由签发者与序列号共同确定的、 特定的数字签名证书。
信息安全的法规保障体系应包括以 下几个层面: 1、国家宪法应对各类法律主体的有关 信息活动涉及国家安全的权利和义务 进行规范,形成国家关于信息安全的 总则性法规。
单向防火墙(又叫做网络二极管)将 作为一种产品门类而出现。 对网络攻击的检测和各种告警将成为 防火墙的重要功能。 安全管理工具逐渐完备,特别是可以 活动的日志分析工具等将成为防火墙 产品中的一部分。
3.虚拟专用网络(VPN) 虽然实现VPN的技术和方式很多, 但所有的VPN均应保证通过公用网络平 台传输数据的专用性和安全性。在非面 向连接的公用IP网络上建立一个逻辑的, 点对点的连接,称之为建立一个隧道, 可通过加密技术对经过隧道传输的数 据进行加密。
5.物理隔离技术 网络中增加防火墙、防病毒系统,对 网络进行入侵检测、漏洞扫描等都属于 软隔离技术。 所谓“物理隔离”是指内部不直接或 间接地连接公共网。
物理安全的目的是保护路由器、工作站、 网络服务器等硬件实体和通信链接免受自 然灾害、人为破坏和搭线窃听攻击。只有 使内部网和公共网物理隔离,才能真正保 证政府机关的内部信息网络不受来自互联 网的黑客攻击。
入侵检测还分为基于主机的和基于 网络的。 网络型入侵检测系统的数据源是网 络上的数据包。 主机型入侵检测系统往往以系统日 志、应用程序日志作为数据源,从所在 主机收集信息进行分析。
防火墙内部的Web、DNS和E-mail 等服务器是大部分非法攻击的目标, 这些服务器应安装基于主机的入侵检 测系统,以提升整体安全。
3、电子政务安全风险管理 (1 )安全风险评估 1)识别风险 2)进行风险度量 3)确定风险级别 4)风险策略
(2) 安全风险控制 · 采取风险规避手段—如外网隔离、实施恶 意软件控制程序。 · 实施必要的风险转移措施—如商业保险等 来保障IT资产的安全。 · 降低威胁的影响程度—对应急、备用、恢 复等活动的安全要求,建立安全管理计划。 · 对剩余风险的接受
信息安全概念的演变 早期:以信息传输通信的内容保密为主。 中期:以信息自身的静态防护为主。 近期:强调“信息保障”,以动态的、 纵深的、全生命周期、全信息系统资产 的安全为全方位防护体系。
一、电子政务的安全环境 • 电子政务的安全既受到外部环境的威 胁,也受到内部环境的威胁。
二、电子政务的安全需求 1. 权限控制 2. 身份识别与验证 3. 保密性 4. 数据完整性 5. 不可篡改性
三、电子政务信息安全域的划分 “三网一库”即机关内部办公网络(内 网)、办公业务资源网络(专网)、 公共管理与服务网络(外网)。
构建电子政务安全保障体系ห้องสมุดไป่ตู้总体框架 应该从四个方面来考虑: 技术保障体系 运行管理体系 社会服务体系 安全基础设施建设
1.电子政务安全行政管理 1)安全组织机构 该机构应由主要领导直接主管,不隶属于 其他机构。建立安全组织机构的目的是:统 一规划各级网络系统的安全,制定完善的安 全策略和设施,协调各方面的安全事宜。 2)安全人事管理 多人多责原则、任期有限原则、职责分离 原则、最小权限原则。
一、公钥基础设施 1、公钥基础设施的概念 公钥基础设施是一个用非对称密码 算法原理和技术来实现并提供安全服 务的、具有通用性的安全基础设施。 在电子政务建设中,PKI实际上提 供一整套的、遵守标准的密钥管理基 础平台。
PKI的关键组件: 1)密钥管理中心KM是整个PKI的基础, 为非对称密码技术大规模应用提供支 持。 2)证书认证中心CA是证书服务系统的 核心业务节点和基本单元。
2.防火墙技术 防火墙技术大概经历四个阶段: 第一代是基于路由器的防火墙。 第二代是用户化的防火墙工具包,它将 过滤功能从路由器中分离出来。 第三代是建立在通用操作系统上的防火 墙。 第四代是具有安全操作系统的防火墙。
防火墙的发展趋势 火墙将从目前对子网或内部网管理的方式向 远程上网中管理的方式发展。 过虑深度会慢慢地增加,从目前的地址、服务 过滤,发展到URL(页面)过滤、关键字过 滤和对ACTIVE X、JAVA等的过滤,并逐 渐有病毒扫描功能。 利用防火墙建立专用网是较长一段时间用户 使用的主流,IP的加密需求越来越强,安全 协议的开发是一大热点。
(2)审计范围 审计范围有操作系统和各种应用 程序。 应用程序审计子系统的重点是针对 应用程序的某些操作作为审计对象进 行监视和实时记录并记录结果判断此。 应用程序是否被修改和安全控制。
(3)审计跟踪 通常审计跟踪与日志恢复可结合起 来使用。 如果将审计功能和告警功能结合起 来,就可以在违反安全规则的事件发 生时,或在威胁安全的重要操作进行 时,及时向安检员发出告警信息,以 便迅速采取对应对策,避免损失扩大。
(一)、数据加密技术与数字签名 1. 对称密钥体制 • 分组加密 • 序列加密
2.非对称密钥体制——公钥密钥体制 密钥分发简单 需要秘密保存的密钥量少,而网络中每 个成员只需秘密保存自己的秘密钥匙, N个成员只需产生N对密钥。 互不相识的人之间也能进行保密对话。 能够直接进行数字签名。