电子政务安全保障体系.ppt

资源描述

电子政务本章的学习目标电子政务涉及国家机密信息涉及对公众提供服务的质量等因此研究电子政务安全保障体系十分重要通过本章的学习了解电子政务面临的安全问题掌握电子政务安全管理体系框架组成理解加密技术防火墙技术防病毒技术身份认证等安全技术掌握保障电子政务安全实施的策略本章主要解决的问题电子政务安全需求电子政务安全保障体系电子政务安全技术保障体系电子政务安全运行管理体系电子政务安全基础服务保障体系电子政务安全实施的策略第六章电子政务安全保障体系电子政务安全概述电子政务安全需求虽然电子政务的潜力无限诱人但政府机构在具体实施时面临种种问题在政务运作过程中大量的政府信息不能公开在网络环境下如何保证政府机密的安全尤其重要一旦政府机密信息失窃其损失将不可估量因此研究电子政务安全保障体系十分重要电子政务安全保障体系的构建电子政务安全及特征电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务的安全主要包括两个方面的内容一是网络安全二是信息安全同时这两个方面的安全可以归纳一个目的就是保证电子政务信息安全 6 1 1电子政务安全及特征 1 电子政务网络的安全是指电子政务网络系统的硬件软件系统中的数据受到保护不因计算机病毒或者黑客恶意攻击而遭到破坏更改和泄露电子政务网络的安全包括三个层次的安全物理安全安全控制和安全服务电子政务安全概述电子政务安全需求电子政务安全保障体系的构建电子政务安全及特征电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 2 信息安全所谓电子政务的信息安全一般是指电子政务信息在采集存储处理传播和运行过程中信息的秘密性完整性自由性共享性等都得到了良好保护的一种状态不可否认性特点真实性完整保密性可靠可用性可控性电子政务安全概述电子政务安全需求电子政务安全保障体系的构建电子政务安全及特征电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 1 技术风险从OSI参考模型的各协议层来分析各层所面临的安全攻击有些攻击跨越了OSI参考模型的几层协议我们把这些威胁归属在其影响的第一个协议层上如表6 1所示 6 1 2电子政务安全需求 1 电子政务面临的安全风险表6 1电子政务安全技术风险表如下电子政务安全概述电子政务安全需求电子政务安全保障体系的构建电子政务安全及特征电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述电子政务安全需求电子政务安全保障体系的构建电子政务安全及特征电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述电子政务安全需求电子政务安全保障体系的构建电子政务安全及特征电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 2 管理风险管理风险组织及人员风险管理制度不完善安全策略有漏洞缺乏应急体系电子政务安全概述电子政务安全需求电子政务安全保障体系的构建电子政务安全及特征电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 3 服务风险服务风险第三方安全服务提供商的选择风险安全服务提供商的专业水平服务水平信用保障等多方面可能影响电子政务系统安全运行的风险法规标准不健全缺少网络安全的法律法规缺乏电子政务安全法制约束引起犯罪缺乏标准化的导向作用使各子系统互操作性差重复建设电子政务安全概述电子政务安全需求电子政务安全保障体系的构建电子政务安全及特征电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 2 电子政务安全分类按政务活动主题服务方面临的安全威胁按攻击手段系统穿透违反授权植入通信监视和通信串扰客户方面临的安全威胁中断拒绝服务否认电子政务安全概述电子政务安全需求电子政务安全保障体系的构建电子政务安全及特征电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 3 电子政务的安全需求表6 2电子政务安全技术需求表电子政务安全概述电子政务安全需求电子政务安全保障体系的构建电子政务安全及特征电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略表6 3电子政务安全管理表表6 4电子政务安全服务需求表电子政务安全概述电子政务安全需求电子政务安全保障体系的构建电子政务安全及特征电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略综合性原则合理性原则标准性原则灵活性原则原则 8 1 3电子政务安全保障体系的构建 1 构建电子政务安全保障体系的基本原则电子政务安全概述电子政务安全需求电子政务安全保障体系的构建电子政务安全及特征电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述电子政务安全需求电子政务安全保障体系的构建电子政务安全及特征电子政务安全技术保障体系 2 构建电子政务安全保障体系框架图6 1电子政务安全管理体系框架图电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系 6 2 1物理安全物理安全就是保证对物理设施的合法访问避免人为破坏并将自然灾难的影响降到最低物理安全包括存储媒体安全环境安全线路设备安全电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系 6 2 2网络安全网络安全指网络通信的安全性政府内网外网和公网之间的隔离界定访问权限等图6 2我国电子政务的内外网体系结构电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系 1 逻辑隔离和物理隔离 1 逻辑隔离逻辑隔离是在保证网络正常使用的情况下尽可能安全物理隔离是不安全就不连网要绝对保证安全 2 物理隔离物理隔离采用隔离网闸技术 2 防火墙防火墙 firewall 是指一个由软件或软件和硬件设备组合而成处于内网与外网之间用来加强互联网与内部网络之间安全防范的一个或一组系统它具有限制外界用户对内部网络访问及管理内部用户访问外部服务 1 防火墙的安全策略一切未被允许的都是禁止的一切未被禁止的都是允许的电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系 2 防火墙分类根据防火墙所采用技术的不同一般来说分成三种基本类型数据包过滤型应用级网关型和代理服务器型数据包过滤防火墙在遵守TCP IP协议网络中数据分解为不同的IP数据包进行传输由于数据包过滤型防火墙逻辑简单价格便宜易于安装和使用适合安全性要求较低的小型系统应用级网关型防火墙应用级网关 ApplicationLevelGateways 是在网络应用层上建立协议过滤和转发功能依赖特定的逻辑判断是否允许数据包通过这不利于抗击非法访问和攻击代理服务器型防火墙代理服务器 ProxyService 是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系 3 防火墙的局限性防火墙不能阻止来自内部的破坏防火墙不能保护绕过它的连接防火墙无法完全防止新出现的网络威胁防火墙不能防止病毒 6 2 3系统及应用安全系统及应用安全主要保证操作系统和应用服务的安全性 1 入侵检测系统入侵检测系统 IntrusionDetectionSystems IDS 是依照一定的安全策略对网络系统的运行状况进行监视尽可能发现各种攻击企图攻击行为或者攻击结果以保证网络系统资源的机密性完整性和可用性电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系 1 入侵检测系统的类型基于主机的IDS 考查若干日志文件并拿日志文件和常见已知攻击的内部数据库进行比较若发现异常则向管理员报警基于网络的IDS 是在路由器或主机扫描网络分组审查分组信息并在一个特殊文件中详细记录可疑分组分布式IDS 分布式IDS综合了HIDS和NIDS的优点既通过基于网络的传感器收集网络上流动的数据包又通过在重要的服务器端安装代理程序来收集系统日志等系统信息以此寻找分析可能的攻击数据包并在必要的时候进行报警电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系 2 入侵检测的方法基于特征的检测它可以检测具有普遍特征的攻击如拒绝服务或分布式拒绝服务DDoS等但更多的是用于对具有明显特征的攻击进行检测基于异常的检测根据网络正常时的通信状况建立基线或快照也可能是本地系统资源利用率的一个基线当有异常时报警完整性校验在系统完整正常时对所有文件或关键文件创建完整性校验文件 MD5文件并在之后定期重新计算并检查新旧校验文件的一致性来检测攻击 3 入侵检测系统的主要功能电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系监测并分析用户和系统的活动核查系统配置和漏洞评估系统关键资源和数据文件的完整性识别已知的攻击行为统计分析异常行为操作系统日志管理并识别违反安全策略的用户活动 2 防病毒系统防病毒技术分为主机防病毒和网络防病毒 1 计算机病毒的特点计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用并能自我复制的一组计算机指令或者程序代码计算机病毒有主动传染性隐藏性欺骗性破坏性衍生性等特点电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系构建综合的安全体系采用多层防御体系防毒与网络管理集成在网关服务器上防毒及时更新防毒软件 3 漏洞扫描系统网络安全漏洞扫描系统又称安全扫描工具其原理是根据已知的安全漏洞知识库对目标可能存在的安全隐患进行逐项检查然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告来进行风险评估以便发现系统潜在的漏洞及可能威胁系统的异常系统配置并加以修补从而最大限度地保证网络系统的安全 2 计算机病毒的防治方法电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系扫描分析检测和发现系统的安全薄弱环节准确全面地报告系统的脆弱性和漏洞扫描报告目标系统的信息及对外服务提供详细信息和安全建议按需生成各种分析报告远程在线升级 4 加密技术加密技术是最基本的安全技术是实现信息保密性的一种重要手段其目的是为了防止非法用户获取信息系统中的机密信息一个成熟的安全扫描工具应提供如下功能电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系加密系统有两种基本的形式对称加密系统和不对称加密系统电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系 1 对称密钥加密技术所谓对称加密是指使用同一把密钥对信息加密和解密一个加密系统的加密密钥和解密密钥相同或者虽然不同但可以由其中一个推导另一个则为对称密钥密码体制使用对称加密对信息进行加密和解密的速度很快效率也很高但需要仔细保存密钥私钥密码体制采用相同密钥进行加密和解密其保密性主要取决于密钥本身的保密强度和密钥传送通道的安全性常用的私钥密码技术有两类一类是流密码技术另一类是分组密码技术电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系 2 公开密钥加密技术需要使用一对相关的密钥一个用来加密另一个用来解密该技术的设想是密钥对是与相应的系统联系在一起的其中私有密钥是由系统保密持有的而公开密钥则是公开的但知道公开密钥是不能推导出私有密钥的依据公开密钥是用作加密密钥还是解密密钥公开密钥系统有两种基本的模式加密模式和验证模式既能工作在加密模式又能工作在验证模式的公开密钥加密系统被称为可逆的公开密钥加密系统只能运作在验证模式而不能运作在加密模式这种系统被称为不可逆的公开密钥加密系统电子政务安全设施策略电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 5 信息隐藏技术 1 信息隐藏技术的基本概念信息隐藏技术是将需要保密的信息嵌入其他非保密载体中交易不引起攻击者的注意而不被截获和破解从而达到信息保密的目的 2 信息隐藏技术的原理电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略信息隐藏技术的原理主要是基于以下信息多媒体信息存在大量冗余信息多媒体文件可以被压缩但却不影响其传送和使用另一方面人的眼睛和耳朵对图像和声音的敏感度并不高在电子政务安全中的具体应用中只要了解了信息隐藏软件的算法和简单的原理我们才可以根据需要选择不同的信息隐藏软件和掩体对象充分发挥不同软件和掩体对象的优势提高电子政务系统的安全性电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略从安全认证的定义分信息认证是对收到的信息的真实性进行验证的过程主要任务有三个包括信息是由经过确认的一方发出的信息的内容没有被中途篡改信息数据包收到的顺序与发出时的顺序相同身份认证是对被认证方的特定信息进行验证确认其身份的过程 6 安全认证技术 1 安全认证的类型电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略从安全认证的模式分单项认证单项认证只需要认证对方的真实性双向认证同时认证信息传递双方的真实性 2 数字签名技术数字签名是网络信息传输过程中用字符串来代替手写签名或印章并能起到与手写签名或印章同样的法律效果的安全认证技术电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略将报文按信息传递双方事先约定的算法得到一个位数固定且不可更改的报文摘要将此摘要用发送者的私有密钥加密得到摘要密文即数字签名将此密文和原报文一起发送给接收者接收者使用同样的算法由收到的报文得到一个报文摘要并用公开密钥将密文解密得到另一个报文摘要如果两个报文摘要等同则说明报文确实来自所称的发送者而且私有密钥只由发送者本人持有因此他不能否认自己的签名行为电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 3 身份认证技术对电子政务来说用户身份的认证是确保系统安全的第一道关口基于秘密信息物理信息和生物学信息的认证是现代身份认证的主要方法要实现身份认证必须根据认证信息的不同类型选择不同的信息采集设备和软件 7 审计系统安全审计系统负责对各类系统的全部活动的过程轨迹进行记录以便为事后的安全审计追踪系统安全漏洞分析提供原始证据审计是一个被信任的机制安全系统使用审计把它的活动记录下来审计要素对于检验和监视网络安全策略是很有必要的电子政务安全概述物理安全网络安全系统及应用安全电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略强审计机制强审计包括网络设计系统审计应用层审计等对网络总体的审计侧重于审计私自上网非法接入终端转移等对系统的审计包括访问控制有没有旁路身份鉴别的机制是否可靠审计系统和授权数据库本身是否受到充分的保护等鉴于电子政务系统的安全威胁主要来自身份合法具有一定权限熟悉环境和系统结构的内部人员这就需要加强对信息系统的审计即采用强审计机制电子政务安全概述风险管理行政管理安全策略管理电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略安全组织机构的主要职责有对整个电子政务系统进行整体的安全规划制定整体的安全解决方案包括相应的安全策略应急方案等制定安全管理制度权责分明实时监控网络的安全性监督安全方案的实施情况根据出现的问题漏洞及时修改补充安全方案 6 3 1行政管理 1 安全机构组织电子政务安全概述风险管理行政管理安全策略管理电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略图6 7安全组织机构图电子政务安全概述风险管理行政管理安全策略管理电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 2 安全人事管理安全人事管理的主要内容包括人事审查与录用岗位与责任范围的确定工作评价人事档案管理提升调动与免职基础培训等另外政府还要加强对电子政务安全高级人才的培养加大人力投资 3 安全责任制度安全责任制度包括系统运行维护管理制度计算机处理控制管理制度文档资料管理制度操作和管理人员管理制度机房安全管理制度定期检查与监督制度网络通信安全管理制度病毒防治管理制度安全等级保护制度对外交流安全保密制度以及对外合作制度等电子政务安全概述风险管理行政管理安全策略管理电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略安全策略能确保政府的网络资源避免受到破坏和不适当的访问所有网络安全特性都应遵照安全策略进行配置安全系统将渗透到安全运行过程中此过程由意外事件响应系统监控系统维护和安全审计构成安全管理是实现电子政务安全的重要环节为了实现电子政务安全必须在一些必要的管理环节上落到实处 6 3 2安全策略管理电子政务安全概述风险管理行政管理安全策略管理电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 1 安全管理的基本原则 1 规范原则电子政务系统的规划设计实现运行要符合安全规范的要求要根据国家和本部门的安全要求制定相应的安全政策 2 预防原则以预防为主的指导思想对待信息安全问题不能心存侥幸 3 立足国内原则安全技术和设备要立足国内未经许可和消化改造不能直接采用境外的安全保密技术和设备 4 选用成熟技术原则成熟的技术提供可靠的安全保证电子政务安全概述风险管理行政管理安全策略管理电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 5 注重实效原则应使投入与所需要的安全功能相适应 6 系统化原则要有系统工程的思想前期的投入和建设对后期提高的可持续性以便能够不断扩展安全功能保护已有投资 7 均衡防护原则设置的安全防护要注意是否存在薄弱环节注意安全防护的均衡性 8 分权制衡原则重要环节的安全管理要采取分权制衡的原则分权可以相互制约提高安全性电子政务安全概述风险管理行政管理安全策略管理电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 9 应急原则要有安全管理的应急响应预案进行必要的演练以便出现问题马上采取措施 10 灾难恢复原则要重视灾难恢复及时备份以便遇到灾难立即启动备份系统保证系统的连续工作 2 安全管理的条件 1 专门的安全管理机构一方面体现了安全管理的重要程度另一方面也能充分保证组织安全管理的连贯性和有序性 2 专门的安全管理人员保证了他们能对系统各个安全环节有清晰的了解和熟练的掌握电子政务安全概述风险管理行政管理安全策略管理电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 3 安全管理的内容 3 逐步完善的安全管理制度安全管理制度化可以使安全活动标准化和规范化 4 具有逐步提高的安全技术工具安全技术工具应该根据使用的场所以及总体设计的要求决定是购置还是自行研究 1 网络实体的安全管理包括系统安全管理安全服务管理安全机制管理安全事件处理管理安全审计管理和安全恢复管理等内容电子政务安全概述风险管理行政管理安全策略管理电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 2 保密设备与密钥的安全管理保密设备的使用应与网络中被保护对象的密级相一致对保密设备的管理主要包括保密性指标的管理工作状态的管理保密设备的管理密钥的管理等一般的保密设备与密钥的安全管理涉及如下基本方面人事管理设备管理场地管理存储媒体管理软件管理网络管理密码和密钥管理等 3 安全行政管理行政安全管理的重点是安全组织机构的设立安全人事管理安全责任与监督等电子政务安全概述风险管理行政管理安全策略管理电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略风险管理是组织管理的核心要素之一电子政务离不开安全风险管理安全风险管理包括三大要素安全风险评估安全风险控制和应急方案 6 3 3风险管理 1 安全风险评估首先分析电子政务系统的风险环境从自然环境工作环境技术环境和管理环境等多角度确定风险管理范畴挖掘出潜在风险然后对识别出的风险进行风险级别的度量电子政务安全概述风险管理行政管理安全策略管理电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 2 安全风险控制根据第一阶段的评估结果对已识别的不同等级的风险实施可行的安全保护措施尽可能降低风险的过程安全风险控制包括以下内容 1 技术控制安全策略的应用安全产品的选择设备的控制等 2 管理控制提高工作人员的安全意识规范操作行为等 3 效益控制平衡安全成本与效率之间的关系电子政务安全概述风险管理行政管理安全策略管理电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 3 应急方案并不是所有的风险都能够被识别而识别出的风险也并不是都能够找到针对它的安全措施控制这种残余风险带来的危害的最好的方法就是制定应急策略具体内容如下 1 监测对身份认证系统访问控制系统入侵检测系统安全审计系统等安全部件的日志及其他安全信息进行检查分析监视并控制已有的网络环境检测潜在的异常行为同时维护相关的日志记录用于事后调查或事件恢复 2 响应在事件分析完成之后一旦发现安全问题作出安全预警根据安全策略数据库和用户信息数据库中定义的响应策略采取相应的响应措施电子政务安全概述风险管理行政管理安全策略管理电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 3 恢复恢复包括以下两方面的内容修正系统以弥补引起攻击的漏洞例如系统升级安装补丁等对受损系统进行灾难恢复包括系统恢复数据恢复和功能恢复 6 4 1第三方安全提供商电子政务的安全需要专业的安全服务提供商提供由网络安全专家专业的网络安全工具和安全管理策略组成的完整的安全解决方案安全服务包括风险分析安全咨询服务安全管理服务测评服务产品维护应急响应服务和安全培训服务等电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略第三方安全服务提供商具有以下特点 1 第三方安全服务商是一个介于客户与产品之间的桥梁站在客户的立场上选择最适合于解决用户网络安全问题的产品全方位地解决用户网络安全问题 2 第三方安全服务商的最终目的是让客户的成功最大化使客户的网络安全问题得到最终解决以赢得客户长久的信任从服务中受益 3 第三方安全服务商提供的是本地化的安全产品全系列的服务不是某个产品的服务而是某类产品的服务电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略信息安全基础设施是一类产品它们为各种应用建立通用的安全服务信息安全基础设施由公钥基础设施 PKI 授权管理基础设施 PMI 密钥管理基础设施 KMI 组成 6 4 2信息安全基础设施 1 PKI 1 公钥基础设施 PublicKeyInfrastructure PKI 又叫公钥体系是一种利用公钥加密技术为电子商务电子政务供一套安全基础平台的技术和规范 PKI基础设施采用数字证书来管理公钥通过第三方的可信任机构认证机构 CertificationAuthority CA 把用户的公钥和用户的其他标识信息捆绑在一起提供身份验证机制电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 2 数字证书数字证书的概念数字证书是由权威公正的第三方机构即CA中心签发的包含公开密钥拥有者信息以及公开密钥的文件可以用来证明数字证书持有者的真实身份数字证书的作用信息除发送方和接收方外不被其他人窃取信息在传输过程中不被篡改发送方能够通过数字证书来确认接收方的身份发送方对于自己的信息不能抵赖信息自数字签名后到收到为止未曾作过任何修改签发的文件是真实文件数字证书的形式证书的格式遵循ITU TX 509标准该标准是为了保证使用数字证书的系统间的互操作性而制定的格式包括证书内容签名算法和使用签名算法对证书内容所作的签名三部分电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略证书内容包括版本序列号签名算法标识签发者有效期主体主体公开密钥信息 CA的数字签名可选项等数字证书的类型个人数字证书个人数字证书主要为某一个用户提供以验证用户身份保证信息的安全主要是针对个人的电子邮件安全服务器证书服务器证书主要为网上的Web服务器提供开发者证书开发者证书通常为互联网中被下载的软件提供软件开发者可以利用这种数字证书作为软件的数字标识在互联网上进行安全的传送电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略数字证书的生成 CA检索所需的证书内容信息 CA证实这些信息的真实性准确性 CA用其签字密钥对证书签字 CA将证书的一个拷贝送给注册者需要时要求注册者回送证书接收到的数据 CA将证书送入证书数据库时向公用检索业务机构公布 CA将证书存档可选 CA将证书生成过程中的一些细节记入审计记录中可选电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略图6 8显示了数字证书生成的一般步骤 3 认证中心认证中心概述认证中心CA又称认证机构是承担网上认证服务能签发数字证书并能确认用户身份的受大家信任的第三方机构 CA通常是企业性的服务机构 CA的功能包括证书的签发和管理证书撤销列表的签发和管理证书证书撤销列表的发布和管理证书审核注册机构的设立审核及管理向密钥管理中心申请密钥对电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略一般来说一个数字认证系统由密钥管理中心 KMC 证书认证机构 CA 证书注册机构 RA 组成其中证书签发机构又包括根CA RCA 和签发CA CA 每个RA又可以包括若干受理点根CA是整个电子政务认证体系的信任源头根CA又称为策略CA 负责签发并管理下级CA 与其他根CA进行交叉认证签发CA直接给最终用户签发支持各种应用的数字证书密钥管理中心为签发证书提供密钥我国的电子政务数字认证体系构建应符合我国政治体制在一个全省性的电子政务数字认证系中 KMC应由省级党委密码管理机构管理CA中心应该有一个省级机构负责管理RA系统应该覆盖到每个市州地区并在各县区建立RA中心的受理点电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 CA中心系统结构电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 Web服务器 Web服务器是CA中心和RA 数字证书审核注册中心之间进行数据交换的途径 RA中心通过Web服务器将用户的注册信息上报给CA中心并向CA中心申请使用各种证书服务如证书申请和撤销密钥恢复等策略服务器策略服务器与证书策略和管理中心相连主要功能包括公布证书策略和证书运营声明等 CA业务服务器 CA业务服务器是CA中心提供证书生成撤销更新发布归档证书撤销列表管理等CA业务服务的核心服务器证书管理服务器证书管理服务器是CA中心进行用户信息管理内部证书管理证据管理操作员管理和日志管理等服务的核心设备电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略证书签发服务器证书签发服务器是CA中心提供信任服务的核心服务设备只接受CA业务服务器的业务请求主要提供的服务功能包括所有用户证书的签发代表用户向密钥管理中心发出密钥产生请求签名根私钥和根证书的管理为所签发的数字证书进行数字签名源LDAP服务器是CA中心发布证书库和证书撤销列表的服务器源LDAP服务器需通过安全协议同各个分布式的LDAP服务器进行数据同步保证提供有效的证书查询验证服务密码服务系统密码服务系统是安全体系的基础主要提供加解密签名及签名验证数字信封等安全服务以支持信息的机密性完整性不可抵赖性在电子政务中所有密码算法都必须得到国家密码主管部门的审批电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 4 PKI的基本组成各部分功能认证机构是数字证书的申请及签发机关 CA必须具备权威性的特征数字证书库用于存储已签发的数字证书及公钥密钥备份及恢复对加密系统的密码进行备份和恢复证书作废系统用于证书密钥的丢失或证书作废的处理应用接口可以使PKI与其它应用交互完整的PKI系统必须具有权威认证机构数字证书库密钥备份及恢复系统证书作废系统应用接口 API 等基本构成部分电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 5 PKI的应用 PKI作为一组安全服务的集合可以在分布式计算机系统中使用公钥加密机制和证书 PKI也可以让一个组织通过认证层次关系或者交叉认证来同其他安全域建立可信关系电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 1 授权管理基础设施概述授权管理基础设施 PrivilegeManagementInfrastructure PMI 是信息安全基础设施的一个重要组成部分目标是向用户和应用程序提供授权管理服务提供用户身份到应用授权的映射功能提供与实际应用处理模式相对应的与具体应用系统开发和管理无关的授权和访问控制机制简化具体应用系统的开发与维护 2 PMI 电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略授权管理基础设施是一个由属性证书属性权限属性证书库等部件构成的综合系统用来实现权限和证书的产生管理存储分发和撤销等 PMI使用属性证书表示和容纳权限信息通过管理证书的生命周期实现对权限生命周期的管理属性证书的申请签发注销验证流程对应着权限的申请发放撤消使用和验证的过程使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体的应用电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 PKI与PMI之间的比较如下 2 PMI与PKI 解决的问题不同 PKI解决身份认证问题即你是谁的问题而PMI是在知道你是谁之后决定你具有什么权限可以做什么的问题证书不同 PKI和PMI的区别表现在两个方面首先在于公钥证书必须包含拥有者的公钥而属性证书则不必包含拥有者的公钥而是有一个到证书拥有者的链接公钥证书上的CA签名用来证明证书拥有者公私钥对和其身份之间的关系而属性证书上的属性签名则用于证明证书拥有者所具有的特权其次证书的有效时间也通常不同属性证书的有效时间通常比公钥证书的有效时间短因为对应于应用的逻辑一个人的身份通常是长期固定的而其拥有权限则经常变化生命周期也短得多电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略管理部门不同公钥证书和属性证书的管理颁发部门有可能不同公钥证书由身份管理系统进行控制属性证书则与具体的应用密切相关一个系统中每个用户只有一张合法的公钥证书而应用可以有多个每个用户可能对不同的应用具有一张属性证书也可能对一个应用具有多张属性证书体系结构类似 PKI是从根CA 下级CA 注册中心 RegistrationAuthority RA 到最终用户 PMI是从信任源点 SourceofAuthentication SOA 授权服务中心 AttributeAuthority AA 资源管理中心 ResourceManager RM 到最终用户 3 PMI在电子政务中的应用电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略采用公钥密码体制构建公钥基础设施PKI 是在大型开放的网络环境下解决信息安全问题的最可行最有效的办法公钥基础设施是国家信息安全建设中极其关键的基础性设施它在底层网络基础设施的基础上构建了一个一致的信息安全服务层面可以满足各种应用在安全方面的需求授权管理基础设施PMI以一个身份鉴别体系如PKI体系为基础向应用系统提供全面统一的授权管理和访问控制服务授权管理基础设施技术是一个新出现的技术我国在这方面的研究比国外先进水平落后不多 PMI技术将在整个电子政务系统中发挥重要作用电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略密钥管理基础设施提供统一的密钥管理服务设计密钥生成服务器密钥数据库服务器和密钥管理服务器等组成部分密钥管理服务器又称密钥管理中心 KMC KMC对密钥的产生分配更换存储使用和销毁进行审计跟踪和管理 CA的密钥在KMC内部产生以后直接保存在硬件设备中私钥无法从外部读出 KMC可以检测物理环境的安全性一旦KMC受到机械的攻击内部密钥自动销毁 3 KMI 电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 6 4 3电子政务安全法规建设和安全标准建设电子政务安全需要法律法规和安全标准的保障我国颁发了一些与网络安全有关的法律法规如计算机信息系统安全保护条例计算机信息系统保密管理暂行规定等在完善法律法规的同时还应该加大执法力度严格执法电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略电子政务网络安全标准规范包括电子文档密级划分和标记格式内容健康性等级划分与标记内容敏感性等级划分与标记密码算法标准密码模块标准密钥管理标准 PKI CA标准 PMI标准信息系统安全评估和网络安全产品测评标准等方面的内容 6 5电子政务安全实施策略电子政务安全的实施应该做好五个方面的工作电子政务安全概述信息安全基础设施电子政务安全法规建设和安全标准建设第三方安全提供商电子政务安全技术保障体系电子政务安全运行管理体系安全基础服务保障体系电子政务安全设施策略 1 树立正确的安全观念 2 进行详细全面的规划 3 确立全面的安全保护 4 实施风险分析 5 建立审计跟踪机制小结本文介绍了电子政务安全要素体现在以下几个方面有效性和真实性机密性数据的完整性可靠性和不可抵赖性电子政务安全管理体系并介绍了防火墙 firewall 的定义及其特点着重介绍加密技术是最基本的安全技术包括私有密钥加密系统和公开密钥加密系统在系统及安全应用方面介绍了入侵检测系统它是依照一定的安全策略对网络系统的运行状况进行监视尽可能发现各种攻击企图攻击行为或者攻击结果以保证网络系统资源的机密性完整性和可用性信息安全基础设施由公钥基础设施 PKI 授权管理基础设施 PMI 密钥管理基础设施 KMI 组成 PKI采用证书管理公钥通过第三方的可信任机构认证中心CA 将用户公钥和用户标识捆绑提供身份验证机制 PMI特权管理基础设施建立在PKI体系基础上接受服务提供者的委托对终端用户实施权限控制实现用户身份到应用授权的映射功能电子政务安全的实施应该做好五个方面的工作树立正确的安全观念进行详细全面的规划确立全面的安全保保障机制实施风险分析和建立审计跟踪机制

展开阅读全文

电子政务安全保障体系.ppt

最新文档