电子政务理论与实务第11章课件

第11章电子政务系统的安全11.1网络安全所面临的威胁11.2国外计算机犯罪的现状11.3电子政务安全概述11.4网络安全技术11.5入侵检测系统思考题与习题1第11章电子政务系统的安全11.1网络安全所面临的11.1网络安全所面临的威胁11.1.1网络安全威胁概述

Internet为人类交换信息，促进科学、技术、文化、教育、生产的发展，提高现代人的生活质量提供了极大的便利，但同时对国家、单位和个人的信息安全带来了严重的威胁。由于因特网的全球性、开放性、无缝连通性、共享性、动态性发展，使得任何人都可以自由地接入Internet，其中有善者，也有恶者。恶者会采用各种攻击手段进行破坏活动。网络安全面临的攻击有独立的犯罪者、有组织的犯罪集团和国家情报机构。对网络的攻击具有以下新特点：无边界性、突发性、蔓延性和隐蔽性。因此我们考虑网络安全，就要首先知道网络安全面临有哪些威胁。211.1网络安全所面临的威胁11.1.1网络安全威胁

网络安全所面临的威胁来自很多方面，并且随着时间的变化而变化。这些威胁可以宏观地分为人为威胁和自然威胁。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件，有时会直接威胁网络的安全，影响信息的存储媒体。我们主要讨论人为威胁，也就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治上不可估量的损失。3网络安全所面临的威胁来自很多方面，并且随着时图11-1攻击类型示意图4图11-1攻击类型示意图4(1)中断：是对系统的可用性进行攻击，如破坏计算机硬件、线路或文件管理系统。

(2)窃听：是对系统的保密性进行攻击，如搭线窃听、对文件或程序的非法拷贝。

(3)篡改：是对系统的完整性进行攻击，如修改数据文件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的信息内容。

(4)伪造：是对系统的真实性进行攻击。如在网络中插入伪造的消息或在文件中插入伪造的记录。5(1)中断：是对系统的可用性进行攻击，如破图11-2被动攻击和主动攻击6图11-2被动攻击和主动攻击6

1．被动攻击被动攻击相应于攻击类型中的窃听，敌手的目标是窃取传输中的信息。被动攻击又分为两类，一类是获取信息的内容，很容易理解；第二类是进行业务流分析，假如我们通过某种手段，比如加密，使得敌手从截获的信息中无法得到信息的真实内容，然而敌手却有可能获得信息的格式、确定通信双方的位置和身份以及通信的次数和信息的长度，这些信息可能对通信双方来说是敏感的，例如政府间的公文传输可能是保密的，电子函件用户可能不想让他人知道自己正在和谁通信，电子现金的支付者可能不想让别人知道自己正在消费，Web浏览器用户也可能不愿意让别人知道自己正在浏览哪一站点。被动攻击因不对传输的信息做任何修改，因而是难以检测的，所以抗击这种攻击的重点在于预防。71．被动攻击7

2．主动攻击这种攻击包括对数据流的某些篡改或产生某些假的数据流。主动攻击又可分为以下4个子类。

(1)假冒：某个实体(人或者系统)假装成另外一个实体，以使某一防线的守卫者相信它是一个合法的实体，此后便可窃取合法用户的权利和权限。这是侵入安全防线最为常用的方法。

(2)重放：攻击者对截获的某次合法数据进行拷贝，以后出于非法的目的而重新发送。

(3)消息的篡改：指某一通信数据在传输过程中被改变、删除或替代，如“授权甲读机密文件”改为“授权乙读机密文件”。82．主动攻击8(4)业务拒绝：对通信设备的使用和管理被无条件地拒绝。这种攻击可能有一个特定的目标，例如某个实体对到某一特定终端的所有消息，都予以阻止。还有一类业务拒绝是对整个网络实施破坏，例如使网络瘫痪或用大量无用信息使其资源耗尽。绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信线路进行物理保护，因此抗击主动攻击的主要途径是检测，以及对此攻击造成的破坏进行恢复。9(4)业务拒绝：对通信设备的使用和管理被无11.1.2网络入侵者和病毒

1.黑客与恶意软件网络安全的人为威胁主要来自用户(恶意的或无恶意的)和恶意软件的非法侵入。入侵网络的用户也称为黑客，黑客可能是某个无恶意的人，其目的仅仅是以破译和进入一个计算机系统为满足，或者是某个心怀不满的雇员，其目的是对计算机系统实施破坏，也可能是一个犯罪分子，其目的是非法窃取系统资源(如窃取信用卡号或非法资金传送)，对数据进行未授权的修改或破坏计算机系统。恶意软件是病毒、蠕虫等恶意程序，分为两类，如图11-3所示，一类需要主程序，另一类不需要。前者是某个程序中的一段，不能独立于实际的应用程序或系统程序；后者是能被操作系统调度和运行的独立程序。1011.1.2网络入侵者和病毒10图11-3恶意程序分类11图11-3恶意程序分类11

对恶意软件也可根据其能否自我复制来进行分类。不能自我复制的是程序段，这种程序段在主程序被调用执行时就可激活；能够自我复制的或者是程序段(病毒)或者是独立的程序(蠕虫、细菌等)，当这种程序段或独立的程序被执行时，可能复制一个或多个自己的副本，以后这些副本可在这一系统或其他系统中被激活。以上仅是大致分类，因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一部分。下面对恶意程序作一简单介绍。12对恶意软件也可根据其能否自我复制来进行分类。1)陷门陷门是进入程序的秘密入口，掌握陷门的人可不经过通常的安全访问程序而访问该程序。陷门通常是由程序员调试程序时合法使用的，程序员在调试具有认证功能且设置很长的应用程序时，也许希望有特别的权限或避免所有必要的设置和认证，因此希望有一种激活程序的方法。陷门是识别某些特定输入序列或通过运行某个特定用户ID或一个不可能事件序列能激活的码。131)陷门13

陷门一旦被恶意的程序员利用，或者被无意或有意的人发现将会带来严重的安全后果。比如，可能利用陷门在程序中建立隐蔽通道，甚至植入一些隐蔽的恶意程序。非法利用陷门可以使原来相互隔离的网络信息形成某种潜在的关联，进而可以非法访问网络，达到窃取、篡改、伪造和破坏信息等目的，甚至造成网络的大面积瘫痪。14陷门一旦被恶意的程序员利用，或者被无意或有意2)逻辑炸弹逻辑炸弹是早于病毒和蠕虫出现的最早的恶意程序之一，它是镶嵌于合法程序并且设置了“爆炸”条件的代码。一旦满足设置的条件(例如某个特定文件的存在或缺省、某个特定的日期、运行应用程序的某个特定的用户等)，逻辑炸弹可能会修改或删除数据甚至整个文件，造成死机甚至网络瘫痪。152)逻辑炸弹153)特洛伊木马特洛伊木马是包含在有用程序中的隐藏码，当有用程序被调用时，这种隐藏码将执行某些有害功能。特洛伊木马能用于间接实现非授权用户不能直接实现的功能，例如一用户欲访问共享系统中另一用户的文件，他可建立一个特洛伊木马程序，该程序执行时能修改被访问用户文件的访问许可权限，使得任一用户都能读这一文件。特洛伊木马一般难于被发现，例如编译程序中的特洛伊木马程序，可在编译某个程序(如系统登录程序)时在其中插入附加的码，这个码在登录程序中就建立了一个陷门以便特洛伊木马的作者使用某个特定的口令登录系统。这种特洛伊木马程序无法通过读登录程序的源代码而被发现。163)特洛伊木马164)病毒病毒是一个程序，它能通过修改其他程序而将其感染。其中修改过程包括病毒程序本身的复制，复制得到的副本又可继续感染其他程序。生物病毒是遗传代码DNA或RNA的一个片段。它能进入并欺骗生物细胞，从而由生物为其复制成千上万个副本。与生物病毒类似，计算机病毒也可被复制。驻留在机器中的病毒可暂时控制计算机的磁盘操作系统，被感染的计算机一旦与其他软件接触，病毒将给这一软件复制自己的一个新副本。因此病毒的感染可通过用户之间交换磁盘或在网络中发送程序而得以蔓延。174)病毒175)蠕虫网络中的蠕虫程序通过网络连接关系从一个系统蔓延到另一系统。系统中，网络蠕虫一旦被激活，其行为或者与病毒或细菌一样、或者在网络中植入特洛伊木马程序、或者直接进行破坏活动。为了复制自己，网络蠕虫需利用某种网络载体，例如：

(1)电子邮件：网络蠕虫可通过电子邮件将自己复制到其他系统。

(2)远程执行能力：蠕虫可将自己复制到另一系统。

(3)远程登录能力：蠕虫可像用户一样登录到某个远程系统，然后又将自己从这一系统复制到另一系统。和计算机病毒一样，网络蠕虫也有以下四个阶段：潜伏阶段、传播阶段、激活阶段和执行阶段。185)蠕虫18

传播阶段一般有以下方式：

(1)检查主表或类似的远程系统地址库，以搜索并感染其他系统。

(2)建立和远程系统的连接。

(3)将自己复制到远程系统并引起副本运行。网络蠕虫在将自己复制到某个系统时，也可能检查这个系统以前是否已被感染。在多道程序系统中，蠕虫可能会将自己伪装成一个系统程序或使用某些不被系统操作员注意的其他名称。19传播阶段一般有以下方式：196)细菌细菌是不明显危害其他文件的程序，它们的惟一目的是复制自己。一个典型的细菌程序在多道程序系统中可能同时建立自己的两个副本，或者建立两个新文件，每个新文件都是细菌程序最初源文件的副本，而每个副本又继续建立两个新的副本。如此下去，细菌数目指数地增长，最终占据所有处理器、存储器或磁盘空间，拒绝用户对这些资源的访问。206)细菌2011.2.1美国的计算机犯罪状况从20世纪70年代起，美国的官方和民间就开始收集、统计计算机犯罪案件。联邦调查局(FBI)和美国计算机安全协会(CSI)每年都联合对美国的计算机犯罪与信息安全状况进行调查，并将结果公布于众。2001年，他们对政府机构和企业的计算机安全与犯罪状况进行了调查，共收到538份反馈资料。11.2国外计算机犯罪的现状2111.2.1美国的计算机犯罪状况11.2国外计算机犯

基本状况是：政府机构和企业的计算机网络受到内外攻击的威胁越来越大，攻击的方式越来越多样化，造成的损失越来越严重，防范越来越困难。其中，91％的调查对象承认在一年中曾遭受过不同形式的攻击，64％的调查对象承认因攻击而导致经济损失，36％的调查对象向执法部门报告受到过攻击，94％的调查对象承认感染过计算机病毒。犯罪的主要类型依次是拒绝服务攻击(78％)、信息泄露(13％)和经济欺诈(8％)。22基本状况是：政府机构和企业的计算机网络受到内2001年8月，美国国会的一个下属机构公布了一份美国计算机犯罪年增长情况调查报告（见表11-1），报告中谈到，2000年由于电脑病毒以及黑客的攻击，至少给美国企业带来了2660亿美元的损失。这相当于美国GDP的2.5%。表11-1美国计算机犯罪年增长情况232001年8月，美国国会的一个下属机构公布了11.2.2日本的计算机犯罪状况

20世纪90年代，日本计算机犯罪问题日趋严重。日本警察厅在1998年发表的白皮书中称，日本国内利用电脑和网络犯罪的事件正在增多，有必要“采取有力的对策”。这是日本首次在警察白皮书中重点论述高科技犯罪。白皮书称，1997年仅警察承认的高科技犯罪就达263起，比1993年增加了7倍。其中包括入侵银行系统非法转移多达十几亿日元的款项及在网络上发送淫秽图像等重大案件。白皮书称，随着电子货币的普及，日本高科技犯罪状况将更加严重。白皮书还承认，日本在对付电脑高科技犯罪方面比较落后，因此有必要健全有关法制，并建立相应组织以对付高科技犯罪。2001年，日本警方对计算机犯罪的发展趋势和类型进行了统计分析，总体情况是，随着网络的普及，与因特网有关的犯罪迅猛增长(见表11-2和表11-3)。2411.2.2日本的计算机犯罪状况24表11-2日本计算机犯罪年增长情况25表11-2日本计算机犯罪年增长情况25表11-3日本计算机犯罪类型情况26表11-3日本计算机犯罪类型情况2611.2.3新加坡的计算机犯罪状况新加坡警方一直坚持对计算机犯罪进行统计，表11-4是根据《计算机滥用法》第50条A款规定的罪名对1997至2000年间的计算机犯罪案件进行的统计。从表11-4可以看出，新加坡的计算机犯罪增长率较快。其中，非授权使用计算机提供的服务是主要的犯罪类型。2711.2.3新加坡的计算机犯罪状况27表11-4新加坡计算机犯罪统计28表11-4新加坡计算机犯罪统计2811.2.4韩国计算机犯罪状况表11-5韩国计算机犯罪统计2911.2.4韩国计算机犯罪状况表11-5韩国计算机犯11.2.5澳大利亚计算机犯罪状况据澳大利亚计算机应急响应中心报告，2000年全国各地向该中心报告的计算机安全事件达8197起，比1999年增长了4倍多，比1998年增长了近8倍，主要类型是网络入侵、病毒和拒绝服务攻击，见表11-6。3011.2.5澳大利亚计算机犯罪状况30表11-6澳大利亚计算机犯罪统计31表11-6澳大利亚计算机犯罪统计3111.3电子政务安全概述

电子政务系统中有相当一部分信息涉及到国家安全和机密，电子政务系统必须形成有效的管理机制，维护自身的安全，以保守国家秘密，捍卫国家和社会公众的利益。因此，对于电子政务而言，安全问题由于它本身所具有的特殊性而显得尤为重要。在网络发展相对落后的中国，这一情况更为突出，根据媒体调查显示，尽管从技术层面来看，国内现在已经有了各种各样的解决方案，但在实际应用过程中，真正重视网络安全的政府机构、企业并不是很多。在国外企业的IT投资中，网络安全投资将占20%～30%，而在中国，企业对网络安全的投资在整个IT系统投资中的比例不到10%。IDC去年对亚太地区819家公司和政府机构调查发现，其中仅有不到1/4采取了网络安全防范措施。3211.3电子政务安全概述电子政务系统中有相

据中国公安部公共信息网络安全监察局透露，近年来中国的计算机违法犯罪案件一直呈上升趋势：1998年立案侦查计算机违法犯罪案件仅为百余起；1999年增至400余起；2000年剧增为2700余起，比上年增加了5倍；2001年又涨到4500余起，比上年上升70%。网络安全问题形势严峻，严重影响着国内网络的正常发展，也对政府上网构成了现实威胁。对此，我们要给予充分的考虑和重视。33据中国公安部公共信息网络安全监察局透露，近年

目前大部分网络安全问题都是由于管理人员的素质低下，缺乏必要的安全知识所造成的。前不久新疆乌鲁木齐警方侦破一起电脑黑客非法侵入攻击政府网站案件，犯罪嫌疑人竟是一名17岁的学生。据来自国内某黑客组织的消息，经测试，国内很大一部分网站都能被黑掉，有些站点甚至可以说是轻而易举就能被黑掉。为此，提高网络管理技术人员的技术水平，增强相关人员的安全意识，就成了当务之急。电子政务作为网络应用的一个特殊领域，其安全性具有相当特殊的要求。除了上述一般性的安全问题是必须考虑的之外，电子政务安全问题中具有特殊要求的部分我们也必须考虑到，下面我们以电子政务所要考虑的“五化”问题为线索进行分析。34目前大部分网络安全问题都是由于管理人员的素质

政府工作标准化建设中非常重要的安全问题，就是安全管理本身的标准建设。目前国际上已有通行的ISO17799标准，而国内尚没有统一的标准，相当多的法律法规需要充分考虑，这方面通常是安全问题的最薄弱环节。这主要是由于管理意识不强，往往没有建立任何标准和管理制度所致；或者是由于缺乏经验，即便是建立了相应的制度也不能够考虑全面，许多建立了制度的单位也由于组织的不完善而得不到真正的贯彻执行。35政府工作标准化建设中非常重要的安全问题，就是

政府工作服务化是政府直接的对外服务窗口，它在很大程度上代表了政府形象，其服务的真实性、服务的可靠性、服务的及时性、服务的方便性都是十分关键的。要保证这几点的实现并不是太难。但以下几方面的安全隐患应该引起特别关注，如系统信息被篡改、虚假信息被发布、系统平台被攻击、系统服务被阻塞等。政府工作信息化是办公自动化的重要组成部分，对于这项基础性工作而言，存在的主要安全隐患表现在两个方面：一个是应用系统的安全问题，包括系统自身安全、非法访问等；另一个是数据的安全问题，数据作为系统最终的元素，是系统安全保障的根本，对于电子政务而言尤其重要。数据安全的主要隐患是窃取、篡改、假冒、抵赖和销毁。36政府工作服务化是政府直接的对外服务窗口，它在

政府工作网络化与网络安全是一对实际存在的矛盾，网络化要求通畅交流，安全则要求控制交流。这里除了网络技术本身存在的安全隐患外，主要问题是政府网络要求隔离，而各种交流可能直接引起网络的连通，并会由于连通而引起外部的攻击。同时，由于政府的大部分工作是在政府内部网络进行的，因而政府内部人员通过内部网络安全防护不严的特点直接攻击系统漏洞，并窃取信息、假冒身份等现象也是政府工作网络化的重要安全问题。政府工作公开化将带来政府工作的社会化，即电子政务系统可能与电子商务系统、企业办公系统、Internet网站等相互交流，因而实际控制点数就会随之增加。但由于涉及面太广，实际上会造成系统的漏洞百出，并成为外部攻击的主要途径，从而使得其他方面的防患工作效果大大降低。37政府工作网络化与网络安全是一对实际存在的矛盾11.4网络安全技术11.4.1虚拟专用网技术

VPN(VirtualPrivateNetwork)是一项非常适合电子数据交换(EDI)的技术，它可以在不同地理位置的两台计算机之间建立一个按需的连接，以此达到在公共的Internet上或政府网之间实现安全的电子公文传递的目的。3811.4网络安全技术11.4.1虚拟专用网技术38

所谓虚拟是指用户并没有拥有一个物理网，而是采用DDN(数字数据网)的部分网络资源所形成的一个用户可以管理监控的专用网络。用户通过VPN管理站对所属网各部分的端口进行状态监视、数据查询、端口控制和测试以及告警、计费、统计信息的收集等网络管理操作。公用数字数据网络的管理人员仍然保留对各个VPN进行控制和管理的能力，协助管理各个VPN。VPN包括需要相互通信的两台计算机、一条通过拨号建立的隧道，以及公共的Internet或政府间及政府部门间的局域网。为了确保通信的安全性，在两台计算机之间的数据传输是经过加密的。

VPN可以支持数据、话音及图像业务，也可以支持DDN所具有的其他业务。虚拟专用网的优点是经济、便于管理、方便快捷、适应变化等。当然，虚拟专用网也存在着一些问题，如当虚拟专用网使用公共线路时，其安全性会降低，容易受到攻击。39所谓虚拟是指用户并没有拥有一个物理网，而是采11.4.2防火墙技术当内部网络与外部网络互连时，防止外部用户非法使用内部网络的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，最有效的防范措施之一就是在内部网络和外部网络之间设置一个防火墙。防火墙技术是目前网络不受侵犯的最主要技术之一。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问。在电子政务活动中，网络管理者在排除外部因素对数据的威胁时使用最多的是防火墙。防火墙是一种隔离控制技术，通过在内部网络(可信赖的网络)和外部网络(不可信赖的网络)之间设置一个或多个电子屏障(包括包过滤、电路网关和应用网关)来提供网络安全环境。其目的是阻止对信息资源的非法访问。4011.4.2防火墙技术40

1.防火墙的功能及特点

1)防火墙的主要功能

(1)保护数据的完整性。当某个人或某一组织对网络中所存储的数据进行非法修改（有意或无意）时，它就破坏了数据的完整性。因此，网络可依靠设定用户权限和文件保护来控制用户访问敏感性信息，网络可以限制一个特定用户能够访问信息的数量和种类。

(2)保护网络的有效性。有效性是指一个合法用户能够如何快速、简便地访问网络的资源。

(3)保护数据的机密性。一个网络不能保证数据的机密性时，非法用户就会获得敏感信息的拷贝。为了保护机密性，网络管理者必须对敏感数据加密。411.防火墙的功能及特点412)防火墙的优点

(1)可以提供安全决策的集中控制点，使所有进出网络的信息都通过这个惟一的检查点，形成信息进出网络的一道关口。

(2)可以针对不同用户对网络的不同需求，强制实施复杂的安全策略，起到“交通警察”的作用。

(3)具有审计功能，对通过防火墙进出内部网络的用户、操作和信息进行记录和审计，分析网络侵袭和攻击，并及时发出报警信息，这样就能有效地防止网络黑客入侵和计算机犯罪以及抑制网络病毒和其他软件方法的攻击。422)防火墙的优点423)防火墙存在的不足之处

(1)不能防止来自内部人员(恶意的知情者)和不经心的用户们带来的威胁。

(2)无法防范通过防火墙以外的其他途径的攻击，即对不通过它的连接难有所作为。

(3)不能防止传送已感染病毒的软件或文件所带来的病毒。

(4)无法防范数据驱动型的攻击。数据驱动型的数据从表面上看是无害的数据被邮寄或拷贝到Internet主机上，但一旦执行就开始攻击。433)防火墙存在的不足之处43

2．实现防火墙的主要技术在实现防火墙的网络安全策略中，有两种截然相反的规则，它们是“没有明确允许的就是禁止的”和“没有明确禁止的就是允许的”。前者是指你的组织提供了一个明确的和记录在册的服务集合，那么，所有其他的服务都在禁止之列；后者是指除非你明确指出一种服务不可用，否则所有服务均是可用的。采用前者的方案，其建立的是一个非常安全的环境，因为只有慎重选择的服务才被支持。当然这种方案也有缺点，就是不易使用，因为限制了提供给用户们的选择范围。采用后者的方案，其建立的是一个非常灵活的环境，能提供给用户更多的服务。其缺点是，由于将易使用这个特点放在了安全性的前面，网络管理员处于不断的响应当中，因此，随着网络规模的增大，很难保证网络的真正安全。实现防火墙的主要技术有数据包过滤、应用网关和代理服务等。442．实现防火墙的主要技术44

2．实现防火墙的主要技术在实现防火墙的网络安全策略中，有两种截然相反的规则，它们是“没有明确允许的就是禁止的”和“没有明确禁止的就是允许的”。前者是指你的组织提供了一个明确的和记录在册的服务集合，那么，所有其他的服务都在禁止之列；后者是指除非你明确指出一种服务不可用，否则所有服务均是可用的。采用前者的方案，其建立的是一个非常安全的环境，因为只有慎重选择的服务才被支持。当然这种方案也有缺点，就是不易使用，因为限制了提供给用户们的选择范围。采用后者的方案，其建立的是一个非常灵活的环境，能提供给用户更多的服务。其缺点是，由于将易使用这个特点放在了安全性的前面，网络管理员处于不断的响应当中，因此，随着网络规模的增大，很难保证网络的真正安全。实现防火墙的主要技术有数据包过滤、应用网关和代理服务等。452．实现防火墙的主要技术451)数据包过滤包过滤(PacketFilter)技术是在网络层中对数据包实施有选择的通过(如图11-4所示)。依据系统内事先设定的过滤逻辑规则，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的TCP端口与TCP链路状态等因素来确定是否允许数据包通过。包过滤技术作为防火墙的应用有三类：一是路由设备除完成路由选择的数据转发之外，同时进行包过滤，这是目前较常用的方式；二是在工作站使用软件进行包过滤，但是价格较贵；三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。461)数据包过滤46图11-4包过滤技术示意图47图11-4包过滤技术示意图472)应用网关应用网关(ApplicationGateway)技术是建立在网络应用层上的协议过滤，在内部网络和外部网络之间使用一代理主机(如图11-5所示，其中I处为代理主机)。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信环境给予严格的控制，以防有价值的程序和数据被窃取。在实际工作中，应用网关一般由专用工作站系统来完成。482)应用网关48图11-5应用网关技术示意图49图11-5应用网关技术示意图493)代理服务代理服务(ProxyServer)是设置在Internet防火墙网关内的专用级代码(代理服务在应用层上进行)。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关技术是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足，防火墙内部网络的结构和运行状态便“暴露”在外来用户面前，这就引入了代理服务的概念，即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现，这就成功地实现了防火墙内外计算机系统的隔离(如图11-6所示)。同时，代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站)来承担。503)代理服务50图11-6通过代理服务器的数据传送示意图51图11-6通过代理服务器的数据传送示意图51表11-7防火墙技术的优缺点比较52表11-7防火墙技术的优缺点比较52

3.防火墙的主要类型现实中的防火墙是基于上述3种防火墙技术建立的，常见的防火墙体系结构有以下几种。

1)基于IP包过滤器的体系结构

IP包过滤器是基于包过滤技术的，它位于内部网络和外部网络的连接处，有两个网络接口，其主要功能是过滤IP包。对于每个试图通过的IP包，都要和安全访问控制表进行比较，以确定该包是否可以通过防火墙。这种体系结构是完全按照包过滤技术原理建立的，因而具有包技术的优点和缺点，但需要注意的是，现有的包过滤系统只能提供静态安全规则配置，对使用动态IP地址分配的主机及不使用固定端口的服务，无法提供有效的控制。533.防火墙的主要类型532)堡垒主机体系结构这种体系结构是基于应用网关和代理服务两种技术上的。堡垒主机是一个组织网络安全中的中心主机，是网络管理员就近监控的。堡垒主机是连接及隔离内部网络和外部网络的惟一通道，它有两个网络接口，分别与内部网络和外部网络相连。堡垒主机为每种服务提供专门的应用代理程序，其典型的结构为双重宿主主机（Dual-HomeHost）体系结构。这种体系结构具有应用网关和代理服务两种技术的优点和缺点，但值得一提的是，堡垒主机需要对软件和系统安全进行定期的审核，还应检查一些有关潜在的安全破坏和企图对堡垒主机进行攻击的访问记录。542)堡垒主机体系结构543)被屏蔽主机体系结构这种体系结构是综合IP包过滤器和堡垒主机两种结构而成的。图11-7为被屏蔽主机体系结构图，该图也示出了进出内部网络的数据流动。这种体系结构的优点是：提供了更完善的网络层的安全控制；同时也实现了基于用户的应用层安全控制；它也具有一定的灵活性，可方便地结合网络地址转换及虚拟内部网络技术。其缺点是：对屏蔽过滤路由器安全规则配置的要求很高，一旦它被攻破，内外用户就可畅通无阻地进出内外网络。553)被屏蔽主机体系结构55图11-7被屏蔽主机结构56图11-7被屏蔽主机结构564)被屏蔽子网体系结构这种体系结构是在被屏蔽主机体系结构基础上发展而来的。图11-8为被屏蔽子网体系结构图，在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。有的屏蔽子网中还设有堡垒主机作为惟一可访问点，支持终端交互或作为应用网关代理。这种体系结构的优点是，更有效地保护了受保护子网，黑客至少需要攻破屏蔽过滤路由器的两道防线才能进入内部网络。574)被屏蔽子网体系结构57图11-8被屏蔽子网结构58图11-8被屏蔽子网结构5811.4.3病毒防范措施

1．病毒及其种类在计算机世界里，病毒是最容易被误解的概念之一。当得知自己的系统里有病毒时，很多人感到慌乱并开始删除文件、格式化硬盘或做一些比病毒本身带来更多问题的事。当碰到病毒时最重要的原则是保持冷静并设法获取与病毒有关的更多信息，依照规程来加以处理。为了预防病毒所造成的数据（信息）的丢失，应采取以下预防措施：

(1)装入反病毒程序：把反病毒程序装入防火墙和每一个桌面，在网络上提供更新版本。

(2)备份策略：为所有重要数据进行备份，并确保对备份进行病毒检查。5911.4.3病毒防范措施59病毒有以下3种常见类型：

(1)引导区病毒——对于利用计算机上网的人们来说，最糟糕的事是一个病毒驻留在你的计算机的主引导区，每当启动计算机时病毒也被启动。这意味着当引导信息装入时病毒会感染硬盘上所有的文件。多数情况下，用户必须用其他设备启动，如CD-ROM等以跳过病毒启动。然而，最坏的情况是病毒识别出反病毒程序，并在用户启动这些程序前删除它们。60病毒有以下3种常见类型：60(2)可执行病毒——病毒通过感染可执行文件起作用，一旦病毒启动，它把自己和所有启动的可执行文件连接在一起，通常是在程序后端加上病毒代码。当受感染文件执行时，病毒自身也执行，并开始邪恶地循环。一个可执行病毒从它运行到用户关机一直驻留在内存中，即使用户退出已感染程序也是如此。比如病毒感染了Word，则所有在Word之后运行的应用也会被感染，这样病毒会散布到整个系统。61(2)可执行病毒——病毒通过感染可执行文件(3)宏病毒——宏语言是一种应用的集成语言，它允许某些应用的自动化集成操作，通常宏语言基于用户的输入执行运行，它们允许用户扩展应用程序功能。在绝大多数情况下，宏语言是有用而无害的，但由于在很多应用中缺少安全约束，宏语言也可用来创建病毒。很多情况下宏病毒经常感染MicrosoftWord和Excel这类最流行的办公软件，它们使用VisualBasic运行它们的宏，而VisualBasic对每个人来说不仅易学，而且功能强大。与可执行病毒不一样，当用户关闭宿主应用时，宏病毒并不驻留内存，当其他应用在Word或Excel系统环境下工作时，由于它们不理解这个宏，因此不会受感染。62(3)宏病毒——宏语言是一种应用的集成语言

删除宏病毒非常简单，比如用户在StarWriter中打开一个Word文档，只需把它重新保存一次，病毒就会消失。值得指出的是，病毒攻击的主要对象经常是Windows和Macintosh计算机，且在有宏语言标准应用的用户中非常普遍。而Unix平台却很安全，甚至没有病毒，这主要取决于UNIX系统的安全约束机制和开放标准。引导区和可执行病毒在Intranet和部门内部计算机上并不是大问题，但盗版软件却可能成为病毒的一个重要来源。63删除宏病毒非常简单，比如用户在StarW

需要指出的是，HTML页中有病毒是一个误解，虽然可能有一个特定的Web使用户的浏览器崩溃，但这只是因为浏览器中恶劣的代码编写，而不是因为有人想崩溃用户的计算机。JavaApplet病毒也并不存在，因为它的沙箱原则(SandBoxPrinciple)，JavaApplet不可能攻击其他资源。如果用户不允许，则JavaApplet不能存入、读取或格式化用户硬盘。Activex组件可能是有害的，因为它们只是具有普通程序全部权力的可执行代码，所以可删除文件或格式化用户硬盘。InternetExplorer可通过设置来关闭这些特性，因此上网从事电子政务活动的每个人都应理解这种浏览器的安全水平及其操作。如果Activex组件有一个沙箱模型会更好，这样程序就看不见计算机上的任何资源。64需要指出的是，HTML页中有病毒是一个误解

作为首要原则,如果用户在一台计算机中发现主引导区病毒或可执行病毒，则首先应该检查那台计算机中是否使用盗版软件；病毒的另一个来源是一些被四处散发的有趣程序或电子邮件。65作为首要原则,如果用户在一台计算机中发现主引

2.反病毒解决方案由于政府外网（Intranet）和Internet直接相连，因而把网络作为一个整体来保护变得越来越重要。因此仅在每台计算机上安装反病毒程序是不够的，需要一种标准解决方案，它不仅适合于计算机网络，而且适用于单机。这种保护可以防止病毒通过软盘、zip盘和其他可移动媒介渗透计算机。目前，在市场上可以得到多种不同的解决方案，这些方案中绝大多数都有相同的基本功能，并在价格、速度以及兼容性方面也各有千秋。不管用户选择哪一种解决方案，至少都应包含以下组件：662.反病毒解决方案66(1)扫描程序——解决方案中的这一组成部分扫描本地硬盘，软盘和网络驱动器以查找病毒。这种程序通常并不能在后台自动工作，而需要用户启动运行。

(2)屏蔽保护(Shield)——解决方案中的这一部分在幕后工作，当从Internet上下载软件或在驱动器中插入一张软盘时它会搜寻病毒，这部分处理是自动的。

(3)清除程序——一旦发现病毒就需要删除它，解决方案中这一部分就是用于删除病毒，为了删除病毒它会搜索数据库。67(1)扫描程序——解决方案中的这一组成部分

一旦用户安装了上述某个解决方案，像Michelangelo或Melissa这些病毒就不会再有机会出现在用户的计算机和局域网上。当用户以任何方式收到新文件时，屏幕保护就会开始检查病毒，如果发现病毒就会发出警告。绝大多数反病毒解决方案会立即删除病毒，而不需要用户做任何事情。由于防火墙反病毒解决方案不是一种最可行的解决方案，因此用户应该对Web和FTP服务器采取一些附加措施。例如，如果不能在忙碌中对所有文件进行病毒检查，则可以让脚本(Script)在Web服务器上每周运行一次以检查病毒。68一旦用户安装了上述某个解决方案，像Mich11.4.4综合网络安全体系俗话说：“道高一尺，魔高一丈”，仅靠某一种安全手段是无法满足电子政务对安全的要求的，因此要保障网络信息的安全、有效。要安全可靠地在网上施实电子政务，就应当把各种保护网络安全的工具手段有机地结合起来，建立全方位网络安全保障防卫体系。一种可参考的全方位网络安全保障防卫体系结构如图11-9所示。6911.4.4综合网络安全体系69图11-9系统的全方位防卫示意图70图11-9系统的全方位防卫示意图70

在图11-9中，第一道防线主要防止黑客获得系统的访问权；第二道防线主要防止黑客获得系统更大的访问权，也可以阻止内部用户作案：第三道防线主要对黑客行为进行审计与分析。系统审计既可以针对网络连接，也可以针对内部用户行为，实际上涉及各道防线。弱点分析探测软件是一种重要工具，可以发现系统中各个层次、各种软件中可能存在的安全弱点，并提醒修补这些安全弱点。系统备份是最后的防线，目的在于经历黑客攻击后，能够将系统恢复到被攻击前的状态。从图11-9中我们不难看出，该全方位保障防卫体系把防火墙、加密、认证等各种保护网络安全的工具手段有机地结合起来。这样，我们就可以形成一个全方位的网络安全整体屏障，就能有效地开展电子政务。71在图11-9中，第一道防线主要防止黑客获得系11.4.5加密技术在电子政务活动中，也可以采取给网上传输的数据加密的办法来加强网络的安全性。采用加密技术对信息进行加密，是最常用的安全手段。加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户获取和理解原始数据，从而确保数据的保密性。明文变成密文的过程称为加密，由密文还原成明文的过程称为解密，加密和解密的规则称密码算法。在加密和解密的过程中，由加密者和解密者使用的加解密可变参数叫做密钥。7211.4.5加密技术72

对同样的明文，可使用不同的加密算法或相同加密算法，但使用不同的密钥会得出不同的密文。一个加密算法是安全的，当且仅当它的安全性仅仅取决于密钥的长度，而不取决于加密算法的保密、密文的不可存取或其他因素。这时第三方为了对密文进行非法解密，惟一可行的办法就是蛮力攻击，即用所有可能的密钥进行尝试，直至找到那个真正的密钥，因此当密钥空间足够大时，即使蛮力攻击，对安全算法来说也是不可行的。目前，在电子政务中，获得广泛应用的最典型的两种加密技术是对称密钥加密体制(私钥加密体制)和非对称密钥加密体制(公钥加密体制)。对称密钥加密体制和非对称密钥加密体制的主要区别在于二者所使用的加密和解密的密码不同。73对同样的明文，可使用不同的加密算法或相同加密

1.对称密钥加密体制对称密钥加密体制，也称私钥加密体制或单钥加密体制，是指发送和接收数据的双方必须使用相同的密钥进行加密和解密运算，这时的密钥称为对称密钥。其优点在于加密速度快，适用于对大量数据的加密处理，目前最著名和代表性的对称密钥加密算法是美国数据加密标准DES(DataEncryptStandard)。741.对称密钥加密体制74

2.非对称密钥加密体制非对称密钥加密体制，又称为公钥密码体制，是指对信息加密和解密所使用的是不同的密钥，即有两个密钥：一个是公开密钥，一个是私有密钥。这两个密钥称为“密钥对”。如果用公开密钥对数据进行加密，则只有用对应的私有密钥才能解密；反之，若用私有密钥对数据进行加密，则须用相应的公开密钥才能解密。公钥加密体制的优点是：增加了安全性，私有密钥无需传输给任何人，不需要通信双方交换，从而保证了密钥的安全；提供了一种源鉴别(通过数字签名)的方法，从而能对密文的发送方进行鉴别，公钥加密体制用于数字签名。公钥加密体制的主要缺点是其加密算法一般速度较慢，特别是用于大批量数据加密时。采用这种加密技术的主要有RSA。752.非对称密钥加密体制75RSA是公钥密码体制中的一种，其算法如下：

(1)选取两个足够大的质数P和Q。

(2)计算P和Q相乘所产生的乘积n=P×Q。

(3)找出一个小于n的数e，使其符合与(P-1)×(Q-1)互为质数。

(4)另找一个数d，使其满足(e×d)mod[(P-1)×(Q-1)]＝1(其中mod为相除取余)。

(5)(n，e)即为公开密钥，(n，d)即为私有密钥。

(6)加密和解密的运算方式为：密文c=me(modn)；明文m＝ce(modn)。76RSA是公钥密码体制中的一种，其算法如下：7

这两个质数无论哪一个先与原文密码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是非常困难的。因此将这一对质数称为密钥对(KeyPair)。在文件传输过程中，如果只使用对称密钥技术将文件加密，那么接收方在收到发送方传来的加密文件后，通常还要知道发送方的密钥，才能对文件进行解密。发送方将密钥通过网络传输给接收方时，如果被他人非法获取，那么其他人便也能用发送方的密钥对截获的加密文件进行解密，而得到文件的原文。一旦发生这样的情况，文件的保密性就无法保证了。采用非对称的密钥密码技术——公开密钥和私有密钥，这一问题就可以被很好地解决了。77这两个质数无论哪一个先与原文密码相乘，对文件

运用非对称密码技术传送文件时，文件发送者用接收者的公开密钥对文件原文进行加密，接收者收到文件后，用只有自己知道的私用密钥对其进行解密，便可以保证文件传输的保密性。将对称密钥密码技术与非对称密钥密码技术结合使用，运用数字信封、数字签名等安全认证手段，便可以解决电子政务信息传送的安全性问题。78运用非对称密码技术传送文件时，文件发送者用接

3.数字摘要数字摘要技术是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码(数字指纹FingerPrint)，并在传输信息时将之加入文件一同送给接收方，接收方接到文件后，用相同的方法进行变换计算，若得出的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。793.数字摘要79

4.数字信封数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥加密(这部分称为数字信封)，如RSA，之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。这种技术的安全性能相当高。804.数字信封80

5.数字签名所谓数字签名，就是只有信息的发送者才能产生的，而别人无法伪造的一段数字串，这段数字串同时也是对发送者发送信息的真实性的一个有效证明。采用数字签名，可以确认以下两点：

(1)信息确实是由签名者发送的，即确认对方的身份，具有防抵赖的作用。

(2)信息自签发后到收到为止的传输过程中未曾作过任何修改，即具有保证信息的完整和防篡改的作用。数字签名技术广泛应用于鉴别发送方不可否认服务中，接收方不可否认服务也需结合数字签名技术予以实现。815.数字签名8111.4.6公钥基础设施(PKI)

公钥基础设施(PublicKeyInfrastructure，PKI)是一种以公钥加密技术为基础技术手段实现安全性的技术。PKI是由加拿大的Entrust公司开发的，支持SET、SSL协议，电子证书和数字签名等。PKI遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI能实现发送信息方与接受信息方的身份认证、不可抵赖性及保证数据的完整性等安全性问题。

PKI是由认证机构(CA)、证书库、密钥生成和管理系统、证书管理系统、PKI应用接口系统等基本成分组成的。下面就分别简要介绍一下它们的功能与特性。8211.4.6公钥基础设施(PKI)82

1．认证机构

CA是证书的签发机构，它是PKI的核心。证书是公开密钥体制的一种密钥管理媒介，它是一种权威性的电子文档，形同网络计算机环境中的一种身份证，用于证明某一主体的身份以及其公开密钥的合法性等问题。在使用公钥体制的网络环境中，为了向公钥的使用者证明公钥的真实合法性，PKI采用CA对在公钥体制环境中的主体和主体的公钥进行公证，以便证明主体的身份以及它与公钥的匹配关系等问题。831．认证机构83CA主要职责有：验证并标识证书申请者的身份；确保CA用于签名证书的非对称密钥的质量；确保整个签证过程的安全性，确保签名私钥的安全性；证书材料信息(包括公钥证书序列号、CA标识等)的管理；确定并检查证书的有效期限；确保证书主体标识的惟一性，防止重名；发布并维护作废证书表；对整个证书签发过程做日志记录；向申请人发通知等。其中最为重要的是CA自己的一对密钥的管理，它必须确保其高度的机密性，防止他方伪造证书。CA的公钥在网上公开，整个网络系统必须保证完整性。其中，CA的数字签名保证了证书(实质是持有者的公钥)的合法性和权威性。84CA主要职责有：验证并标识证书申请者的身份；

2．证书库证书库是证书的集中存放地，是网上的一种公共信息库，用户可以从此处获得其他用户的证书和公钥。系统必须确保证书库的完整性，以防止伪造、篡改证书。

3．密钥生成和管理系统

PKI应该具有生成密钥功能、备份与恢复密钥功能以及密钥分配、撤消、暂停、否认和归档等功能，这些功能的实现是由密钥生成和管理系统来完成的。852．证书库85

4．证书管理系统证书管理系统是PKI的一个重要组件。同日常生活中的各种证件管理一样，证书在CA中必须进行有效的管理，如证书的获取、证书的鉴别、证书的有效性检查、证书的撤消作废等。

5．PKI应用接口系统

PKI为用户提供了良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保所建立起来的网络环境的可信性，同时降低管理维护成本。需要指出的是，PKI应用接口系统是跨平台的。864．证书管理系统86PKI的优点主要有以下几方面：

(1)透明性和易用性。PKI可以向上层应用屏蔽密码服务的实现细节，向用户屏蔽复杂的安全解决方案，使密码服务对用户而言简单易用，同时便于单位、企业完全控制其信息资源。

(2)可扩展性。PKI的证书库等具有良好的可扩展性。

(3)可操作性强。PKI建立在标准之上，这些标准包括加密标准、数字签名标准、密钥管理标准、证书格式、文件信封格式、SSL、SET协议等。

(4)支持多应用。PKI能面向广泛的网络应用，提供文件传送安全、文件存储安全、电子邮件安全、电子表单安全、Web应用安全等保护。87PKI的优点主要有以下几方面：87(5)支持多平台。PKI应用接口系统是跨平台的，可以支持目前广泛使用的操作系统平台。总之，作为网络环境的一种基础设施，PKI具有良好的性能，是一个比较完整的安全体系。电子政务建设过程中涉及的许多安全问题都可由PKI解决。为此，对于我国刚刚开展电子政务的政府部门来说，应该积极进行有关PKI的研究和建设，为我国电子政务的健康发展提供安全保证。88(5)支持多平台。PKI应用接口系统是跨平11.5入侵检测系统11.5.1入侵检测的内容按入侵类型，入侵检测的内容主要包括以下6部分：

(1)试图闯入或成功闯入：闯入是指未经授权进入系统或网络的行为。闯入者一般通过猜测口令或运用工具(如字典攻击)企图进入系统，可通过用户典型行为特征或安全限制比较来检测。

(2)冒充其他用户：这可能是冒用他人权限，也可能是修改所发送的消息或文件冒充发送者。一般冒用他人权限经常与闯入行为相伴，所以也能通过典型行为特征或安全限制来检测。8911.5入侵检测系统11.5.1入侵检测的内容(3)违反安全策略：指用户行为超出了系统安全策略所定义的合法行为范围。例如企图越权访问文件或执行无权进行的操作。可以通过具体行为模式检测。

(4)合法用户的泄漏：指在多级安全模式下，系统中存在两个以上不同安全级别的用户，有权访问高级机密信息的用户将授权的敏感信息发送给非授权的一般用户。可通过I/O资源使用情况检测。90(3)违反安全策略：指用户行为超出了系统安(5)独占资源：指攻击者企图独占特定的资源(通常是系统资源)，以阻止合法用户的正常使用，或导致系统崩溃。如邮件炸弹、PingofDeath等。一般通过检查系统资源使用状况来检测。

(6)恶意使用：指攻击者进入系统后，企图执行使系统不能正常运行的操作，如删除系统文件等。“特洛伊木马”也属于其中之一。可通过典型行为特征、安全限制或使用特权来检测。91(5)独占资源：指攻击者企图独占特定的资源(11.5.2入侵检测系统分类入侵检测系统从检测的范围有基于主机的检测和基于网络的检测。在检测系统所分析的原始数据上，可分为来自系统日志和网络数据包。操作系统的日志文件中包含了详细的用户信息和系统调用数据，从中可分析出系统是否被侵入以及侵入者留下的痕迹等审计信息。随着互联网的推广，网络数据包逐渐成为有效且直接的检测数据源，因为数据包中同样也含有用户信息。入侵检测的早期研究主要集中在主机系统的日志文件分析上。因为用户对象局限于本地用户，随着大型网络的推广，用户可随机地从不同客户机上登录，主机间也经常需要交换信息。尤其是因特网的广泛应用，据统计，入侵行为大多数发生在网络攻击上。这样就使得入侵检测的对象范围也扩大至整个网络。9211.5.2入侵检测系统分类92

从具体的检测方法上，可分为基于行为的检测和基于知识的检测。基于行为的检测指根据使用者的行为或资源使用状况的正常程度来判断是否入侵，而不依赖于具体行为是否出现来检测。即建立被检测系统正常行为的参考库，并通过与当前行为比较来寻找偏离参考库的异常行为。例如，一般在白天使用计算机的用户，如果他突然在午夜注册登录，则被认为是异常行为，有可能是某入侵者在使用。基于行为的检测也被称为异常检测(AnomalyDetection)。基于知识的检测指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有警戒作用，因为只要部分满足这些入侵迹象就意味着可能有入侵发生。基于知识的检测也被称为违规检测(MisuseDetection)。93从具体的检测方法上，可分为基于行为的检测和基

在现有的实用系统中，还可根据系统运行特性分为实时检测和周期性检测，以及根据检测到入侵行为后是否做出相应措施而分为主动型和被动型。入侵检测系统的分类如图11-10所示。图11-10入侵检测系统分类图94在现有的实用系统中，还可根据系统运行特性分为

1.基于主机的检测早在20世纪70年代末，JimAnderson就指出通过日志文件的某些信息(如多次登录失败的记录或访问机密文件的记录等)就能分析出非法用户的登录企图，冒充合法用户等简单入侵行为。在可靠计算机评价准则(TCSEC)中规定了C2安全级以上的操作系统必须具备审计功能，并记录相应的安全性日志。在标准UNIX系统中，这些日志文件可根据系统管理员的设置来记录用户何时注册、从何处注册及要做什么，以及系统调用、程序运行结果等与安全性有关的操作信息。其中的审计数据包括可查事件和可查信息。可查事件指从安全角度应该注意的用户行为，例如认证和授权机制的使用，对象的增加删除，打印输出等。可查信息是与特定的可查事件相关的实际数据，包括事件发生时间，产生事件的主体的惟一标识，事件类型，事件成功与否，所增加、删除、访问的对象名称等。951.基于主机的检测95图11-11基于主机日志的检测96图11-11基于主机日志的检测96

在很多操作系统中都有审计记录功能，如在UNIX系统中，有syslog，ps，pstat，vmstat，getrlimit等。日志文件为入侵检测系统提供了详尽的有效数据，但是基于主机的检测有以下不足：

(1)日志文件过于庞大：这在一方面会占用大量存储空间。因为这个原因，很多管理员在系统配置时不允许审计记录，或者不进行全面的审计。而对日志文件的大小进行估计比较困难，所以在存储空间不够大的情况下容易受到“拒绝服务”型的攻击。另一方面也给检测分析带来了难度，因为要从大量数据中快速地提取有用信息。97在很多操作系统中都有审计记录功能，如在UNI(2)审计过程降低系统性能：一方面因为审计数据的产生和记录占用了一定的CPU时间，另一方面很多基于系统日志的检测系统需要将审计数据送到其他机器上，这就占用了大量系统带宽。

(3)日志文件本身容易被更改：有经验的入侵者在成功进入系统后，会找到日志文件并更改，以消除入侵迹象。

(4)难以确定审计数据的更新周期：由于存储审计数据需要大量磁盘空间，更新周期过长导致系统资源浪费，过短则可能丢失有用信息。

(5)难以实现实时检测：由于日志文件只有在事件发生后记录，因而不可能做到实时检测。98(2)审计过程降低系统性能：一方面因为审计

2.基于网络的检测任何一个网络适配器都具有收听其他数据包的功能，它首先检查每个数据包的目的地地址,只有符合本机地址的包才向上一层传输。通过适当配置适配器，就可以捕获同一子网上的所有数据包。而基于简单网管协议（SNMP）的这些数据包应包含配置信息（路由表，地址，名字等），以及运行数据（如用于不同网络接口及各层间通信的计数器等），这就为入侵检测提供了必要的原始数据。通常，将入侵检测系统放置在防火墙或网关后（如图11-12所示），像网络窥探器一样捕获所有内传或外传的数据包。但它并不延误数据包的传送，因为它对数据包来说仅仅是在监视。与基于主机的检测相比，这种方法的主要优点有以下两方面：992.基于网络的检测99(1)几乎不影响系统吞吐量，也没必要存储额外数据。

(2)容易实现实时检测，能在系统受到实际破坏之前就提出指示或警告。这种方法的主要不足有以下两方面：

(1)无法检测加密的数据包。如果加解密的过程由防火墙来实现，就可以不影响检测器的正常工作。

(2)无法检测系统级的入侵。例如通过远程命令创建非法文件或提升用户权限等，在网络数据包中便无法识别是否入侵。100(1)几乎不影响系统吞吐量，也没必要存储额外图11-12基于网络数据包的检测101图11-12基于网络数据包的检测1013.基于行为的检测基于行为的检测因为与系统相对无关，通用性较强，甚至有可能检测出以前未出现过的攻击方法，不像基于知识的检测那样受已知脆弱性的限制，但因为不可能对整个系统内的所有用户行为进行全面的描述，况且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高。尤其在用户数目众多，或工作目的经常改变的环境中。同时，由于统计简表要不断更新，入侵者如果知道某系统在异常检测器的监视之下，他们就会慢慢地训练检测系统，以至于最初认为是异常的行为，经一段时间训练后也认为是正常的了。1023.基于行为的检测102思考题与习题1．试述电子政务安全的重要性。2．试述网络安全所面临的威胁。3．什么是防火墙技术？实现防火墙技术主要有哪些？4．什么是计算机病毒？计算机病毒的种类有哪些？5．简述PKI的功能与特性。6．简述入侵检测系统的分类。103思考题与习题1．试述电子政务安全的重要性。103第11章电子政务系统的安全11.1网络安全所面临的威胁11.2国外计算机犯罪的现状11.3电子政务安全概述11.4网络安全技术11.5入侵检测系统思考题与习题104第11章电子政务系统的安全11.1网络安全所面临的11.1网络安全所面临的威胁11.1.1网络安全威胁概述

Internet为人类交换信息，促进科学、技术、文化、教育、生产的发展，提高现代人的生活质量提供了极大的便利，但同时对国家、单位和个人的信息安全带来了严重的威胁。由于因特网的全球性、开放性、无缝连通性、共享性、动态性发展，使得任何人都可以自由地接入Internet，其中有善者，也有恶者。恶者会采用各种攻击手段进行破坏活动。网络安全面临的攻击有独立的犯罪者、有组织的犯罪集团和国家情报机构。对网络的攻击具有以下新特点：无边界性、突发性、蔓延性和隐蔽性。因此我们考虑网络安全，就要首先知道网络安全面临有哪些威胁。10511.1网络安全所面临的威胁11.1.1网络安全威胁

网络安全所面临的威胁来自很多方面，并且随着时间的变化而变化。这些威胁可以宏观地分为人为威胁和自然威胁。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件，有时会直接威胁网络的安全，影响信息的存储媒体。我们主要讨论人为威胁，也就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治上不可估量的损失。106网络安全所面临的威胁来自很多方面，并且随着时图11-1攻击类型示意图107图11-1攻击类型示意图4(1)中断：是对系统的可用性进行攻击，如破坏计算机硬件、线路或文件管理系统。

(2)窃听：是对系统的保密性进行攻击，如搭线窃听、对文件或程序的非法拷贝。

(3)篡改：是对系统的完整性进行攻击，如修改数据文件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的信息内容。

(4)伪造：是对系统的真实性进行攻击。如在网络中插入伪造的消息或在文件中插入伪造的记录。108(1)中断：是对系统的可用性进行攻击，如破图11-2被动攻击和主动攻击109图11-2被动攻击和主动攻击6

1．被动攻击被动攻击相应于攻击类型中的窃听，敌手的目标是窃取传输中的信息。被动攻击又分为两类，一类是获取信息的内容，很容易理解；第二类是进行业务流分析，假如我们通过某种手段，比如加密，使得敌手从截获的信息中无法得到信息的真实内容，然而敌手却有可能获得信息的格式、确定通信双方的位置和身份以及通信的次数和信息的长度，这些信息可能对通信双方来说是敏感的，例如政府间的公文传输可能是保密的，电子函件用户可能不想让他人知道自己正在和谁通信，电子现金的支付者可能不想让别人知道自己正在消费，Web浏览器用户也可能不愿意让别人知道自己正在浏览哪一站点。被动攻击因不对传输的信息做任何修改，因而是难以检测的，所以抗击这种攻击的重点在于预防。1101．被动攻击7

2．主动攻击这种攻击包括对数据流的某些篡改或产生某些假的数据流。主动攻击又可分为以下4个子类。

(1)假冒：某个实体(人或者系统)假装成另外一个实体，以使某一防线的守卫者相信它是一个合法的实体，此后便可窃取合法用户的权利和权限。这是侵入安全防