电子政务信息安全体系

第8章电子政务信息安全体系安全“无危则安，无缺则全”。安全是指不受威胁，没有危险，是免除了不可接受的损害和风险的状态，指损害和风险在允许范围之内的状态。英文对应词security，主要含义：指安全的状态，即免于危险，没有恐惧；指对安全的维护，指安全措施和安全机构。安全概念宽泛：个人，集体，国家安全传统安全、非传统安全电子政务建设与发展离不开信息安全的保障政府重视信息安全建设攻击者的目的：经济、军事以及政治动机犯罪行为日趋组织化、系统化简单安全防御满足不了需求目录9.1电子政务信息安全的需求9.2电子政务信息安全的策略9.3电子政务技术安全体系设计9.4电子政务信息安全整体解决方案本章目标掌握信息安全的基本概念掌握信息安全的基本需求掌握基本的技术安全机制了解电子政务信息安全的特殊性了解电子政务信息安全的基本策略了解电子政务信息安全体系9.1电子政务信息安全的需求9.1.1电子政务信息安全的基本需求9.1.2电子政务信息安全面临的威胁9.1.1电子政务信息安全的基本需求

信息概念信息安全信息安全基本需求信息安全发展阶段信息概念ISO国际标准化组织在《信息技术安全管理指南》中对信息的定义：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。信息是无形的，借助于信息媒体以多种形式存在和传播；同时，信息也是一种重要资产，具有价值，需要保护。信息被数字化之后，常常被称为数据。信息安全的任务是确保信息功能的正确实现，信息的真实可用，这也是信息安全的核心目标。信息处理包括信息的采集、审核、加工、传输、存储、发布、使用等过程。信息概念美国前国务卿基辛格70年代断言：如果你控制了石油，你就控制了所有国家如果你控制了粮食，你就控制了所有的人如果你控制了货币，你就控制了整个世界今天有人断言：谁控制了信息，谁就控制了石油、粮食和货币信息安全信息安全指信息网络的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。（ISO）信息安全的保护对象:信息资产（计算机硬件、软件和数据）。信息安全面临的威胁:恶意攻击、系统错误、灾难事件。信息安全的目标：信息资产不被破坏、更改、泄露，系统能够可靠运行，提供的服务不中断。信息安全的基本需求保密性是指阻止非授权主体对信息访问的特性。完整性是指防止信息被未经授权主体篡改的特性，是信息保持原始状态，使信息保持其真实性的特性。可用性是指授权主体在需要信息服务时能及时得到信息服务的能力和特性。可控性是指对信息和信息系统实施安全监控管理，防止非法利用信息和信息资源的特性。不可否认性是指信息访问主体不可否认曾经对信息进行过处理的特性。真实性是指信息所反映的内容与客观事物主体一致的特性。除了上述的信息安全需求外，还有信息安全的可审计性、可鉴别性等信息安全基本需求。信息的保密性（Confidentiality）确保信息在信息处理（存储、使用、传输等）过程中不会泄露给非授权主体，常用信息保密技术有：防侦听：使对手侦收不到有用信息。信息加密：非授权主体无法阅读和解释。物理防护：以限制、隔离、屏蔽等防止信息外露。信息隐形：将信息隐藏于其他客体中，难于分辨。信息保密，除信息内容保密外，还应注意信息状态的保密，均衡流量控制也是某些重要部门保证信息保密性的重要手段。(如信息流均衡)信息的完整性（Integrality）信息完整性的目的是为了保证信息在信息处理（存储、使用、传输）过程中不被偶然或蓄意修改、伪造、乱序、重放、插入等行为所破坏。影响信息完整性的主要因素包括设备故障、误码、人为攻击等。保护信息完整性的主要手段包括：协议纠错编码方法密码校验方法（数据完整性技术）数字签名不完整的信息有时危害性更大。信息的可用性（Availability）对于信息或信息系统而言，当受到攻击而遭到破坏时，应该尽量保证在降低信息使用要求的情况下（如效率降低）为授权用户提供必要的服务。可通过备份网络、设备、人员、链路、软件、数据来提供保障。当互联网受到严重破坏，整个网络陷于瘫痪，如何提供必要的信息服务，保障决策指挥顺畅，受到世界各国普遍关注。美国制定并实施了核心应急网络计划。伊朗2012年9月开始实施内联网计划。信息的可控性（controllability）信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。也涉及信息安全产品、市场、人员的安全可控。授权访问机制、信息审计、跟踪是信息可控的重要手段。不可否认性（Non-repudiation）也称抗抵赖性，是物理世界不可否认的延伸。现实中印章、签名的使用。有效手段是数字签名。信息处理的所有行为都存在不可否认性：信息采集不可否认信息审核不可否认信息传输不可否认信息接收不可否认信息修改不可否认信息使用不可否认……真实性（Reality）信息真实可靠是信息可用的基本要求，也是信息价值的根本所在。有一本书中写到，当今世界，尤其是网络世界，缺的不是信息，而是真相。信息的完整性是信息真实性的根本要求，可通过身份认证、数字签名等机制和技术来保证信息的真实性。政府信息真实性，反映政府：服务质量高低政府的可信度政府的权威性电子政务信息安全的特殊性电子政务信息安全与一般概念的信息安全在管理和技术上相一致的同时，又存在自身的特点和要求。体现在：既是部门安全，又是国家安全既是政治安全，又是经济安全和社会安全既要求保密，又要求公开既要求公共服务职能与互联网互联，又要求核心业务层与外界隔离政府涉密网络的密级要求更高信息安全的发展阶段通信保密阶段计算机安全阶段信息安全阶段信息保障阶段通信保密阶段开始时间20世纪40年代，其标志是1949年美国数学家香农（Shannon）发表的《保密系统信息理论》，该理论将密码学的研究纳入了科学轨道。该阶段所面临的主要安全威胁是通信过程中的窃听和密码分析，主要安全需求是数据的保密性，主要防护措施是数据加密。安全目标是保证军队、政府通讯过程中信息的安全。计算机本身的安全处在研究阶段。阶段特征：现代密码理论建立，对称密码在军队、政府普遍应用，计算机技术逐渐成熟，产品出现。计算机安全阶段20世纪70年代，计算机性能大幅度提高，计算机作为信息处理的主要工具，应用范围迅速扩大，计算机本身的安全问题日益突出。计算机在信息处理、存储、传输和使用时很容易被干扰、滥用、遗漏和丢失，甚至被泄露、篡改、冒充和破坏。信息安全局限于信息的保密性已经满足不了安全需求，信息的完整性和可用性需求出现。此阶段信息安全威胁主要表现，计算机病毒大量出现并开始蔓延。（介质传播）计算机安全阶段国际标准化组织（ISO）计算机安全定义为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。其核心是保护计算机的安全。在该阶段，从70年代开始，ARPANET投入使用，进入80年代，ARPANET对社会开放形成真正意义上的互联网，并发展迅速，网络安全问题显现出来。阶段特征：计算机技术迅速发展，计算机病毒大量出现，公钥密码理论提出，互联网开始全球推广。信息安全阶段20世纪90年代，通信和计算互相依存度提升，计算机网络发展，尤其是互联网迅速普及，加快了电子商务、电子政务的发展，极大地带动了社会各领域信息的应用，由此而产生的信息安全需求日益突出。全球网络互联需求，使得信息使用的范围和复杂度大幅度提高，信息使用的安全可控以及信息交换的责任认证受到普遍关注，也成为全球网络能否健康发展的关键，对于信息安全的需求，还停留在信息处理过程中的保密性、完整性和可用性已经满足不了人们对信息的要求，信息的可控性和不可否认性需求成为必然。信息安全阶段阶段特征：互联网在全球迅速普及公钥密码理论体系形成密码社会化应用开始国家商用密码管理条例出台国家机要局成立商用密码管理处PKI体系建立，并在全球推广应用无线通信发展迅速信息安全阶段—互联网发展1962年，在古巴导弹危机的大背景之下，美国国防部为了保证美国本土防卫力量和海外防御武装在受到前苏联第一次核打击以后仍然具有一定的生存和反击能力，认为有必要设计出一种分散的网络指挥系统。1969年，美国国防部国防高级研究计划署（DoD/DARPA）资助建立了一个名为ARPANET（即“阿帕网”）的网络，这个网络把位于洛杉矶的加利福尼亚大学、位于圣芭芭拉的加利福尼亚大学、斯坦福大学，以及位于盐湖城的犹它州州立大学的计算机主机连接起来。80年代中后期在世界范围推广使用。我国正式接入互联网是在1994年。目前，已经成为世界互联网网民数量最多的国家。信息保障(InformationAssurance)信息生存环境日趋严峻，网络攻击、破坏急剧增加，手段不断翻新，单纯的信息保护（防护）已不能满足飞速发展的信息安全需求。20世纪90年代中期，美国军方开展了国防部信息保障计划，通过美国国家安全局与国家标准和技术研究所联合成立国家信息保障联盟，信息保障概念逐渐推至美国社会各个层面，并逐渐影响世界信息安全的发展。信息保障阶段信息保障(InformationAssurance)概念最早由美国国防部在1995年《S-3600.1信息作战》指令中提出：“通过确保信息和信息系统的可用性、完整性、鉴别性、保密性和不可抵赖性来保护信息和信息系统的信息作战行动，包括综合利用保护、探测和响应能力恢复系统的功能”。1998年5月22日，美国政府颁发了《保护美国关键基础设施》总统令（PDD-63）。围绕“信息保障”成立了多个组织。信息保障阶段信息保障体系四个要素：防护：采用相关安全策略、机制、管理、服务和安全产品，实现系统的安全防护。检测：使用实时监控、入侵检测、漏洞扫描等技术，对系统进行安全检测。响应：对安全事件作出快速反应，尽量减少和控制对系统影响的程度。恢复：对遭受破坏的系统数据和系统服务进行恢复和重建。信息保障阶段一个完整的信息安全保障体系应当包括：安全策略（Policy）保护（Protection）检测（Detection）响应（Reaction）恢复（Restoration）保护、检测、响应、恢复四个要素在策略的统一指导下，构成相互作用的有机整体，PPDRR模型从体系结构上给出了信息安全的基本模型。我国信息保障体系建设2003年中共中央办公厅和国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知（中办发[2003]27号），第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全的高度，并提出了“积极防御、综合防范”的信息安全管理方针。我国信息保障体系建设2006年5月中办和国办发布《2006-2020年国家信息化发展战略》，对未来我国信息化发展的目标、任务、战略重点以及措施等都做出了系统部署。将建设国家信息安全保障体系列入我国信息化发展的九大战略重点。九大战略重点：推进国民经济信息化；推行电子政务；建设先进网络文化；推进社会信息化；完善综合信息基础设施；加强信息资源的开发利用；提高信息产业的竞争力；建设国家信息安全保障体系；提高国民信息应用能力，造就信息化人才队伍。9.1.2电子政务信息安全面临的威胁

信息安全威胁信息安全威胁关系模型信息安全威胁技术风险信息安全威胁管理风险信息安全系统设计评价信息安全威胁的决定因素攻击者能力信息安全威胁的特征信息安全威胁电子政务信息安全威胁是指对电子政务信息的保密性、完整性、不可否认性、可用性、可控性或合法使用所造成的风险。信息安全面临的安全威胁分为以下三类：恶意攻击系统错误自然灾难事件信息安全作为一种系统工程是研究面对以上三种威胁而能可靠运行的系统。信息安全威胁安全工程的一个主要目标是减缓风险的发生，因此任何安全工程开始都需要对风险进行评估。风险评估是确定尚未发生的潜在问题的一种过程。安全攻击：指各种危害信息安全性的行为。主动攻击：包括破坏基础设施、电磁干扰、蓄意备份未授权信息、删除或修改政府网站上的信息、在网上扩散病毒等行为；被动攻击：包括对政府网站上的信息进行监听、截获、窃取、破译、业务流量分析和电磁信息提取等。信息安全威胁脆弱性脆弱性是信息资源内在的属性，相当于矛盾中的内因，包括其自身的弱点和不足。威胁与脆弱性相对应，相当于矛盾中的外因，是对信息资源产生破坏的行为或状态，攻击常常利用信息资源的脆弱性实现。影响影响是威胁发生后产生的后果，影响的程度也是某些威胁发生的一个关键因素。风险风险代表一种可能性，与以上三个要素直接相关，以上三个要素都对风险的发生产生直接的影响。信息安全威胁安全措施安全措施可针对威胁、脆弱性、影响和风险自身，安全措施的实施可以减轻风险。但无论如何，并不能消除所有威胁或根除某个具体威胁。这主要是因为风险消除的代价和相关的不确定性。因此，信息安全评估的结果必须接受“残余风险”。信息安全威胁关系模型所有者攻击者对策漏洞风险资源威胁信息安全威胁技术风险技术方面的安全风险主要包括：物理安全风险链路安全风险网络安全风险系统安全风险应用安全风险……信息安全威胁技术风险—物理安全风险物理安全风险主要包括：通信基础设施的威胁：如切断通信电缆、损毁通信设备和存储设备；供电系统的威胁：如切断电源、电源故障、电压不稳、电力供应不足，造成设备断电、信息毁坏或丢失；各种自然灾害（如水灾、火灾、地震、台风、雷电等）、物理设备（如计算机设备、网络设备、存储介质等）自身的老化和损坏等环境事故可能导致整个系统的损失；设备被盗、被毁造成数据丢失或信息泄漏；静电、强磁场、电磁辐射可能带来的威胁；信息媒体的威胁，如数据媒体保管不当，可能造成数据信息毁坏、被窃取或偷阅；报警系统的设计不足或故障可能造成误报或漏报。信息安全威胁技术风险—链路安全风险信息网络的开放性，很多时候信息是在不安全的网络上传输。入侵者可能在传输链路上利用搭线窃听等方式截获机密信息，再通过一些技术手段读出信息。通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息。可以是有线链路，也可以是无线链路。信息安全威胁技术风险—网络安全风险非授权访问信息泄漏破坏数据完整性拒绝服务攻击传播病毒信息安全威胁技术风险—系统安全风险系统自身的缺陷，漏洞增多设计者有意而为，如设置设备唯一码、系统后门很多支撑技术、支撑系统依靠国外信息安全威胁技术风险—应用安全风险应用系统业务本身的复杂性问题软件自身的脆弱性问题开发者的安全意识和职业道德问题运行管理问题应用的安全，应重点考虑应用系统的安全和数据信息的安全，包括：合法性规范性安全性兼容性

信息安全威胁技术风险—应用安全风险相关概念安全攻击：指各种危害信息安全性的行为。根据行为的特征又可以分为主动攻击和被动攻击。安全机制：主要指为了保护系统的安全所采取的安全技术、方法及实现策略。信息安全威胁技术风险—应用安全风险安全服务：可以提高数据或信息处理、传输安全性的服务。安全系统：指借助于一种或多种安全服务或机制实现的操作平台或应用系统。信息安全威胁管理风险意识风险组织风险人员风险策略风险实施风险监督风险信息安全威胁的决定因素安全威胁能否发生、程度如何取决于以下三个要素：攻击者的能力(capability)攻击者的动机(motivation)攻击者的机会(opportunity)信息安全威胁的特征威胁的多元性攻防的非对称性影响的广泛性后果的严重性事件的突发性威胁的多元性安全漏洞的多样性（包括脆弱性）攻击主体的多样性攻击目的的多样性攻击方法的多样性攻防的非对称性美国《信息系统保护国家计划》认为，从传统意义上讲，还没有哪个国家具有与其相匹配的国家实力，其关键基础设施一般处于对手能够作用到的物理范围之外。现在，基于信息技术建立起来的国家基础设施（如：通信、能源、交通、经济、金融、军事等）具有明显的脆弱性。从攻防角度看，表现出明显的不对称性。攻防的非对称性攻防技术非对称攻防成本非对称攻防主体非对称后果的严重性动摇国家政权1991年海湾战争。瘫痪国家基础设施2000年，澳大利亚人威泰克·波顿攻击了该国昆士兰州马鲁奇郡的污水管理系统。引发公共安全灾难美国及加拿大部分地区在2003年的大停电（5000万人）2008年，荷兰政府发布警告，指出目前广泛应用的恩智浦（NXP）公司生产的MIFARE经典芯片的安全算法已被两位大学生攻破。

事件的突发性安全威胁具有潜伏性和不可预测性。通常很难知道已经受到攻击以及谁在攻击、怎样攻击。我国面临的主要信息安全风险一、基础网络和重要系统安全防护能力不强二、泄密隐患严重三、信息技术自主可控能力不高四、对外风险意识欠缺，防范措施不够9.2电子政务信息安全的策略9.2.1电子政务信息安全的目标和原则9.2.2电子政务信息安全的针对性策略电子政务信息安全策略所谓信息安全策略，是指在一个特定环境里，为保证提供一定级别的安全保护所必须遵守的规则。电子政务信息安全涉及物理环境、设备、技术、人员、管理等多方面的复杂系统工程，在其各个安全环节中，安全管理策略是核心，安全技术为安全管理策略服务，是实施安全管理的工具与保障。9.2.1电子政务信息安全的目标和原则电子政务信息安全目标电子政务信息安全建设原则电子政务信息安全目标电子政务信息安全目标是：保护政务信息资源不受侵犯，保证信息面临最小的风险和获取最大的价值，保证政府的形象和权威，使信息服务体现最佳效果。电子政务信息安全目标技术安全目标按照统一的安全策略，以访问控制机制、身份认证机制、信息加密机制、网络扫描与入侵检测机制、病毒防治及更新，还有安全跟踪与审计等机制为基础，形成统一、系统、完整的技术保障体系，为电子政务系统建设提供整体上的技术保障（安全体系目标）为保证技术安全目标的实现，提高核心安全技术的国产化和自主开发能力是关键（安全产业目标）加强对信息安全产品质量的检测与审核，强化信息安全产品的认证与认可机制，是保证信息安全产品安全、可控的根本（产品质量目标）电子政务信息安全目标管理安全目标要从管理的层面上制定统一的安全管理规范和相关的法律保障，使电子政府的安全管理制度化、法律化。通过严格的安全管理制度、监督约束机制，提高管理者的安全意识，堵塞各种安全管理漏洞。电子政务信息安全目标为实现电子政务信息安全目标，国家制定了以下安全策略的指导思想：第一，国家主导、社会参与。第二，全局治理、积极防御。第三，等级保护、保障发展。电子政务信息安全建设原则适应性原则（针对性）安全分级原则（分级分产品）同步性原则（规划、建设、运行同步）多重防护原则（多层、多机制）合法性原则（产品生产、使用、管理）动态性原则（与时俱进）系统性原则（整体性、统一性、联动）9.2.2电子政务信息安全针对性策略针对电子政务信息安全基本需求的策略针对电子政务信息安全威胁的策略针对电子政务信息安全基本需求的策略访问控制机制（进不来）可用性授权机制（拿不走）可控性加密机制（看不懂）保密性数据完整性鉴别机制（改不了）完整性使用审计、监控、跟踪、防抵赖等机制（走不脱）可审计性针对电子政务信息安全威胁的策略针对层次化的安全风险威胁分析，安全策略可能包括以下内容：物理环境安全策略网络连接安全策略系统及应用安全策略信息安全策略管理安全策略……针对电子政务信息安全威胁的策略针对管理安全，政府采取的策略包括：安全评估安全政策安全标准安全制度(多人负责、任期有限、职责分离原则)安全审计安全相关部门—公安部公安机关具有双重身份，既是行政机关又是司法机关负责管理计算机信息系统、网络系统的安全保护工作，防范和打击计算机犯罪公安部是国家信息安全等级保护工作的主要领导部门公安部第三研究所安全产品生产监督、检测、指导；安全标准制定；等级保护评估；安全产品销售许可证发放等安全相关部门—安全部安全部是国务院组成部门，是中国政府的反间谍机关和政治保卫机关。依法打击利用信息网络从事的危害国家安全的犯罪活动；负责通信及信息网络的技术侦察、反窃密和反间谍工作。1993年，全国人大通过《国家安全法》，赋予国家安全机关对组织、个人使用的电子通信设备的技术安全查验权和对党政机关信息网络的安全保卫任务。安全相关部门—工业与信息化部工业和信息化部是国务院所属职能部门之一。工业和信息化部下设的信息安全协调司，负责：协调国家信息安全保障体系建设；协调推进信息安全等级保护等基础性工作；指导监督政府部门、重点行业的重要信息系统与基础信息网络的安全保障工作；承担信息安全应急协调工作，协调处理重大事件；电子认证管理办公室。系统集成资质电子认证服务资质电信运营资质安全相关部门—密码管理局国家密码管理局履行密码管理职能,负责：密码产品的研制、生产、销售与使用管理；密码算法的审批；密码产品和商密企业许可证的颁发和管理。国家对密码的管理政策实行"统一领导、集中管理、定点研制、专控经营、满足使用"的发展和管理方针;未经国家密码主管部门批准，任何单位和部门不得研制、生产和经销密码产品。需要使用密码技术手段加密保护信息安全的单位和部门，必须按照国家密码管理规定，使用国家密码管理委员会指定单位研制、生产的密码，不得使用自行研制的密码，也不得使用从国外引进的密码。安全相关部门—保密局国家保密局负责政府保密工作，查处泄密，涉密案件，国家保密局涉密信息系统安全保密测评中心负责：涉密系统测评涉密产品检测：对用于涉密信息系统的安全保密产品进行检测，颁发《涉密信息系统产品检测证书》，并列入国家保密局批准的在涉密信息系统中使用的产品目录。测评中心检测的产品包括防火墙、入侵检测系统、监控与审计系统、身份鉴别、移动存储介质管理系统、访问控制系统、漏洞扫描系统、终端安全与文件保护系统、安全隔离与信息交换系统等系统，已完成近600个产品的检测。企业涉密系统集成资质管理安全相关部门—国务院新闻办国务院新闻办公室负责信息内容的监察内容安全管理此外，国家还成立了：国家信息安全产品测评认证中心国家计算机网络与信息安全管理中心信息安全策略信息安全策略是一组规则，它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。信息安全策略可以划分为两个部分，问题策略（issuepolicy）和功能策略（functionalpolicy）。问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。功能策略描述如何解决所关心的问题，包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。信息安全策略信息安全策略要求：有清晰和完全的文档描述有相应的措施保证，强制执行需要不断地修改和补充制定者：技术管理者信息安全小组信息安全策略信息安全策略与技术方案的区别描述一个组织保证信息安全的指导性文件不涉及具体做什么和如何做的问题原则性的，不涉及具体细节不规定使用什么具体技术不描述技术配置参数可以被审核，即能够对组织内各个部门信息安全策略的遵守程度给出评价信息安全策略信息安全策略的描述方式语言简洁、非技术性、具有指导性。比如一个涉及对敏感信息加密的信息安全策略的描述：“任何类别为机密的信息，无论存贮在计算机中，还是通过公共网络传输时，必须使用本单位信息安全部门指定的加密硬件或者加密软件予以保护。”这个叙述没有谈及加密算法和密钥长度，所以当旧的加密算法被替换，新的加密算法被公布的时候，无须对信息安全策略进行修改。信息安全策略基本组成威严的法律先进的技术严格的管理信息安全策略制定过程组织和人员保证作用范围确定安全目标和原则制定安全威胁风险分析安全需求确定制订安全策略草案进行策略评估发布安全策略随需修订策略9.3电子政务技术安全体系设计9.3.1常用的电子政务信息安全机制9.3.2电子政务技术安全体系结构的要素9.3.3电子政务技术安全体系架构9.3.1常用的电子政务信息安全机制“机制”一词最早源于希腊文，原指机器的构造和动作原理。机制是以一定的运作方式把事物的各个部分联系起来，使它们协调运行而发挥作用的。安全机制：主要指为了保护系统的安全所采取的安全技术、方法及实现策略。9.3.1常用的电子政务信息安全机制信息安全机制有很多，在电子政务系统中主要采用的信息安全机制包括：访问控制机制数据加密机制数字签名机制身份认证机制病毒防护机制数据备份与灾难恢复机制1、访问控制机制授权访问控制口令设置防火墙入侵检测漏洞扫描授权身份认证解决了“你是谁”的问题授权解决“你能干什么”的问题授权是确定主体对所访问的资源拥有什么样的权限通常遵循最小特权原则授权也可以对用户访问时间授权授权的主体可以是用户、可以是设备、也可以是系统或进程授权的目标（客体）范围很广，可以是网络、设备、系统、程序，也可以是数据授权策略基于身份的授权策略基于个体的策略基于组的策略基于角色的授权策略只需确定授权主体属于什么角色基于角色的权限服务模型

资源1

资源2

资源3

资源4

资源5

︰

︰

资源n

客体

权限

角色

主体

用户1

用户2

用户3

用户4

用户5

︰

︰

用户n

角色1

角色2

角色3

角色4

角色5

︰

︰

角色n

权限1

权限2

权限3

权限4

权限5

︰

︰

权限n

访问控制访问控制(AccessControl)的主要任务是保证资源不被非法访问访问控制决定了谁能够访问系统，在哪访问，能访问系统的何种资源以及什么时候、如何使用这些资源（Who,Where,What,When，How）4WH模型访问控制系统一般包括以下几个实体：主体（subject）：发出访问请求的一方客体（object）：被访问的对象安全访问策略：一套规则，用以确定一个主体是否对客体拥有访问能力典型访问控制模型访问控制授权方案有很多种，但是都可以表示成下图所示的基本元素和抽象。访问控制决策单元ADF访问控制执行单元AEF访问主体目标客体提交访问请求执行访问请求决策请求决策结果授权数据库口令设置口令是访问控制中最简单，也是最基本的身份认证手段，是很多信息安全的基础。用户的困惑各系统采用完全不同的口令，口令的记忆和管理很困难各系统采用完全相同的口令安全隐患又很大身份认证的三种方式口令设置悉尼大学实验调查向学校336名计算机科学专业的学生发送电子邮件，声称发现了入侵者，而需要“验证”口令数据库其中138名学生填写了有效口令一些人怀疑，30人返回看似正确实际无效的口令一半人在没有正式提醒的情况下更改了口令几乎没有人向管理机构通报这份电子邮件可靠口令输入口令越长，破译的难度越大，但也越不容易记忆。口令不是越长越好。环境不同，密码长度确定原则也不一样。美国核武器发射密码只包含12位十进制数字。实验表明，12位数字是在人员极度紧张或恶劣通信环境中可靠传输的最大值。口令记忆问题在法国，有一家连锁酒店实行完全无人值守服务。人们找到旅馆，在收银机上划信用卡，取得一张收据，上面印有数字访问码，用此号码可以打开房间。为了降低成本，房间不设浴室，客人必须使用公共浴室。常常发生的问题是客人洗完澡忘记了访问码。口令检测问题在银行系统中，通常规定，输入三次错误口令后，终端和用户账号就被冻结，然后要与管理员联系重新激活。但在有些场合不行，在军队系统中这样很危险。敌对一方可以进入网络后，采用大量虚假登录请求，从而产生拒绝服务攻击，如果给出系统中所有用户名字列表，很可能使服务完全崩溃。很多口令攻击通过攻击程序实现，为避免程序攻击，有些系统采用结合验证码的方式来登录。口令攻击的方式很多有些攻击以口令输入机制为目标而有些则着眼于口令存储防火墙是一种访问控制设备置于不同网络安全域之间是不同网络安全域之间信息流的唯一通道能根据有关的安全策略控制（允许、拒绝、监视、记录）进出网络的访问行为防火墙构成：服务访问规则验证工具包过滤应用网关防火墙防火墙属于用户网络边界的安全保护设备，对不同网络安全域进行隔离。所谓网络边界即是采用不同安全策略的两个网络连接处。网络安全域指根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络。防火墙防火墙的基本设计目标对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙防火墙的基本目标是通过隔离达到访问控制的目的通过一些安全策略，来保证只有经过授权的数据流才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上入侵检测入侵检测（IntrusionDetection，ID）是通过对计算机网络或计算机系统中若干关键点信息的收集和分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击迹象的一种安全技术。入侵检测系统通常包含3个必要的功能组件：信息收集、分析引擎和响应组件入侵检测按照检测对象划分，入侵检测技术又可分为：基于主机的入侵检测系统基于网络的入侵检测系统（NIDS）混合型检测响应协同IDS与防火墙的协同IDS与防病毒系统的协同漏洞扫描安全漏洞安全漏洞是指硬件、软件或策略的自身缺陷，从而使得攻击者能够利用这些缺陷在未授权的情况下访问、控制系统。是某种可能被入侵者恶意利用的内在属性。安全漏洞存在的原因技术方面的客观事实主观上未能避免的原因（默认值配置、缺乏有效漏洞管理、安全意识）客观认识漏洞不可能消失漏洞扫描通过对网络的扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，调整系统配置，修补系统漏洞。漏洞扫描技术与防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。漏洞扫描是一种主动的防范措施，可以有效地避免系统、网络遭到攻击。2、数据加密机制数据加密是保证信息可用和信息真实的根本手段，数据加密机制的基础是密码学理论。密码学发展史公元前5世纪，古希腊就出现了原始的密码器。加密过程：用带子缠绕木棍，沿木棍纵向写好明文，解下来的带子上就是杂乱无章的密文。解密时将带子缠绕到相同规格的木棍上，读出原文。密码学发展阶段密码学发展可以分为三个阶段：1949年之前传统密码学阶段，密码学被认为是一门艺术1949～1975年现代密码学，密码学成为科学，标志是对称密码理论建立1976年以后现代密码学新阶段，标志是公钥密码理论建立密码学基本概念密码学(Cryptology)是研究信息系统安全保密的科学,它包括两个分支：密码编码学(Cryptography)：密码编码学研究是对信息进行编码实现信息保密性的科学。密码分析学(Cryptanalytics)：密码分析学则是研究、分析、破译密码的科学。密码学基本概念—术语消息原文被称为明文(Plaintext)用某种方法伪装消息以隐藏它的内容的过程称为加密(Encrtption)消息被加密之后形成的消息称为密文(Ciphertext)而把密文转变为明文的过程称为解密(Decryption)用于加密的数学函数加密算法(EncryptionAlgorithm)用于解密的数学函数解密算法(DecryptionAlgorithm)加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称为加密密钥(EncryptionKey)和解密密钥(DecryptionKey)密码系统（体制）一个密码系统(体制)包括所有可能的明文、密文、密钥、加密算法和解密算法。加密强度通常指信息加密后，破解的难易程度，一般与密钥的长度直接相关，密钥越长，越难以破解。密钥的长度用密钥的位数来标明（0，1），一个长度为40位的密钥，则可能的密钥数量为2的40次方，长度为n的密钥，可能的密钥个数为2n。如果用穷举法破解密钥，在知道加解密算法，知道密文的情况下，破解出明文需要的计算次数为2n数量级。简单加密举例明文abcdefghijklm密文WJANDYUQIBCEF明文nopqrstuvwxyz密文GHKLMOPRSTVXZ方法:列出明文字母与密文字母的一一对应关系。例:明文为networksecurity,则相就的密文为:GDPTHMCODARMIPX简单加密举例猪笔密码加密法由英文名pigpencipher得名。猪笔密码属于替换密码，但它不是用一个字母替代另一个字母，而是用一个符号来代替一个字母，把26个字母写进下四个表格中,然后加密时用这个字母所挨着表格的那部分来代替。对称密钥密码体制对称密钥密码体制是从传统的简单代换发展而来的。其主要特点是：加密算法公开，密钥保密加解密双方在加解密过程中使用的是完全相同或本质上等同（即从其中一个容易推出另一个）的密钥对称密钥密码体制也称为经典密钥密码体制、常规密钥密码体制、私钥密码体制、单钥密码体制等。对称密钥密码体制的通信模型：对称加密特点优点是运算效率高，硬件容易实现。主要缺点：在公开的网络上进行密钥的安全传送和管理很困难需要管理的密钥数量多（n*(n-1)）不适合陌生人之间进行密钥传递和安全通信对传输信息的完整性不作检查无法解决信息的不可抵赖需求（两个人知道密钥）缺乏自动检测密钥泄露的能力等公钥密码体制1976斯坦福大学学生Diffie和他的导师Hellman提出了公开密钥密码体制(简称公钥体制)，它的加密、解密密钥是不同的，从一个密钥不能(在有效的时间内)推导出另一个密钥，用任何一个密钥加密，都可以用另一个密钥解密。加密密钥公开，解密密钥保密。公钥密码体制也称为双钥密码体制、非对称密钥密码体制或公开密钥密码体制。公钥密码体制的产生，有效地解决了密码技术的瓶颈——密钥分配问题。比较著名的公钥密码算法:RSA、椭圆曲线。公钥密码体制原理和特点基本原理：加密与解密采用不同的密钥。其中，加密密钥PK是公开密钥，解密密钥SK是秘密密钥。加密算法E和解密算法D也是公开的。公钥算法的加密公开密钥与对称密钥相结合的加密公钥密码体制的特点对明文X用加密密钥PK加密后，再用解密密钥SK进行解密，即可以恢复原明文X，即:DSK（EPK（X））＝X。加密密钥PK是公开的，但是不能用它来解密，即:DPK（EPK（X））≠X。虽然解密密钥SK是由加密密钥PK决定的，但是根据PK不能计算得到SK

。加密算法E和解密算法D,公钥是公开的。对称加密和非对称加密比较序号对比项对称密钥加密非对称密钥加密1加/解密效率高低2加/解密密钥相同密钥不同密钥3密钥交换问题很大没问题4需管理密钥数量需加密通信用户数的平方等于需加密通信用户数5大范围应用不适合适合6加密支持支持7陌生人之间通信很困难很方便8数字签名不支持支持3、数字签名机制《中华人民共和国电子签名法》由第十届全国人大常委会第十一次会议于２００４年８月２８日通过，自２００５年４月１日起施行。为了规范电子签名行为，确立电子签名的法律效力，维护有关各方的合法权益。（第一章总则第一条）电子签名：指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。电子签名同时符合下列条件的，视为可靠的电子签名：电子签名制作数据用于电子签名时，属于电子签名人专有；签署时电子签名制作数据仅由电子签名人控制；签署后对电子签名的任何改动能够被发现；签署后对数据电文内容和形式的任何改动能够被发现。

数字签名与传统签名比较，二者的功能和作用类似，但在签名验证的方法上，数字签名利用一种公开的方法对签名进行验证，任何人可以对签名进行验证，而传统手写签名的验证相对要困难多重数字签名方案有序多重数字签名使用公开密钥的签名完整的加密与签名4、身份认证机制身份认证（IdentityandAuthenticationManagement）是用户在进入系统或访问系统资源时，系统确认该用户的身份是否真实、可信的过程。单纯的用户名口令机制是传统的身份认证的方式，一直沿用至今，但其存在天然的安全缺陷。身份认证机制简单口令认证两次认证基于生物特征的认证基于PKI的身份认证基于PKI的身份认证PKI概念PKI（PublicKeyInfrastructure）公钥基础设施。PKI是由硬件、软件、证书管理策略、人员、各种过程组成的综合系统，系统用于生成、管理、存储、分发、恢复基于公钥加密技术的公钥证书。[RFC2510]基于PKI的身份认证PKI以公钥密码技术为基础。以身份认证、数据的机密性、完整性和不可抵赖性为安全目标和安全需求。构筑的公共信息安全基础平台，解决网络信息安全问题。PKI中最基本的元素是数字证书，数字证书将证书实体（人员、机构、设备）的身份信息和实体的公钥进行绑定，由PKI的核心实体认证权威（CA）来管理。PKI发展过程公钥密码理论的提出和建立：1976年Diffie和Hellman在“密码技术新方向”的论文中，

提出了公开密钥密码体制(简称公钥体制)，特点是加密解密密钥不同，加密密钥可以公开，解密密钥由拥有者保密存储。在该体制中，核心是解决好公钥的有效安全管理问题。为了方便提取公钥，人们提出了公共文件（PublicFile）的概念，构建一个公共文件来存贮用户的公钥，大大简化公钥分发的过程。当两个用户要进行安全通信时，到公共文件中通过用户名取到对方用户的公钥，私钥保存在用户自己处，这样双方就可以进行安全通信。在该系统中，存在一个很严重的安全隐患，就是公共文件的权威性问题，公钥被伪造或冒充的风险很大，尤其是在开放的网络应用中会更大。问题提出，公钥如何管理才安全。PKI发展过程公钥证书的提出及标准的建立：1978年，麻省理工大学的学生罗兰•科恩菲尔德（LorenKohnfelder）在他的毕业论文中，创造性地提出了“公钥证书”的概念。在基于用户证书的公钥管理方案中，用户证书将用户身份的属性信息和自身的公钥等信息组成一个整体，由公认的第三方对证书签名。“公钥证书”概念提出10年之后，1988年国际电信联盟（ITU）在X.500标准中，确定了数字证书概念和标准化结构定义，再后来制订了X.509标准，确定了PKI的体系结构。通过基于PKI体系建立的权威公正第三方机构CA来签发并管理公钥证书。数字证书数字证书也叫公钥证书、身份证书、电子证书。是网络通信中标识各实体身份的一系列数据。它将实体的公钥和实体的身份信息结合。由CA签发并管理，是PKI的重要组成部分。数字证书认证权威数字证书由各方都信任的权威第三方机构来专门负责签发和管理。通常将这个第三方机构称为CA认证机构，也叫CA中心或认证权威。CA中心需要对数字证书整个生命周期内所有方面进行管理，包括证书审计、签发、更新、注销、查询、存档等。作为权威第三方机构，认证中心要保证物理环境、网络、设备、系统、软件、人员管理、操作规范及标准、过程等多方面的安全。PKI主要系统和功能双中心双密钥机制双中心认证中心密钥管理中心双密钥对加密密钥对签名密钥对证书签发流程状态查询认证机构证书资料库注册机构RA发布证书及CRL私钥证书证书申请证书公钥密钥管理中心申请密钥证书证书生成签名密钥对生成或提取加密密钥对证书签发流程按照证书格式要求通过注册系统录入用户基本信息；系统自动在USBKey中生成签名密钥对；用户的签名私钥保存在USBKey中；系统自动将签名公钥和用户信息提交给认证中心的签发系统；签发系统收到用户提交的证书请求后，对用户身份和用户提交的信息进行审核；审核通过后，签发系统向密钥管理中心发出加上认证中心签名的密钥请求，并将用户生成的签名公钥一同发给密钥管理中心；密钥管理中心的密钥管理系统收到密钥请求后，通过签名信息验证认证中心的身份；验证通过后，密钥管理系统根据密钥生成策略，生成或从备份密钥库中选取一对加密密钥；证书签发流程密钥管理系统将生成的加密密钥归档，对密钥对进行托管；密钥管理系统用用户的签名公钥对加密私钥进行加密，然后，再加上密钥管理中心的签名，将加密、签名后的密钥等信息发送给认证中心的签发系统；认证中心签发系统收到信息后，通过签名信息验证密钥管理中心的身份；验证通过后，签发系统取出用户信息、加密公钥、签名公钥，生成加密证书和签名证书，在证书中加上认证中心的签名；签发系统对生成的加密证书和签名证书进行归档，并将证书信息发送到LDAP目录服务器，便于证书的查询，并为用户提供OCSP服务；签发系统将生成的证书和经过密钥管理中心加密、签名后的用户加密私钥反馈给注册系统；注册系统收到证书和密钥信息后，对信息进行验证，验证通过后，将加密私钥写到USBKey中。基于PKI的身份认证提出请求的主体提交自己的身份证书，接受请求方根据身份证书的内容和自己的信任策略对申请方的身份进行确认如果请求方需要对服务方的身份进行确认，对方也需提交自己的身份证书安全通信：身份认证通过后，双方可以进行安全通信这一过程可以实现在不安全的信道中实现有效的身份认证和加密密钥的交换5、病毒防治机制1949年，著名数学家、计算机的创始人冯.诺依曼在《复杂自动机组织论》中有这样的描述：一部事实上足够复杂的机器能够复制自身。此处所说的“机器”不仅包含硬件，而是包含硬件和软件的特殊组合，即现在所谓的系统。病毒防治机制1977年夏天，美国作家托马斯在科幻小说《p-1的青春》中构思了一种能够自我复制的计算机程序，最后控制了7000台计算机，造成了异常灾难。书中第一次将这种程序称为“计算机病毒”。1983年11月，在国际计算机安全学术研讨会上，美国专家首次将病毒程序在VAX/750计算机上进行了演示。病毒防治机制1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒。1991年在“海湾战争”中，美军第一次将计算机病毒用于实战，在空袭巴格达的战斗中，成功地破坏了对方的指挥系统并使之瘫痪。1992年出现针对杀毒软件的“幽灵”病毒。1996年出现针对微软公司Office的“宏病毒”。1998年出现针对Windows95/98系统的病毒。病毒防治机制1988年11月2日下午美国发生了“蠕虫计算机病毒”事件。蠕虫计算机病毒是由美国康奈尔大学研究生（研一）莫里斯编写。莫里斯本人讲，他原本只想通过自己编写的程序，估计当时的互联网规模。这个只有99行的小程序，专门攻击Unix系统中的缺陷，破译用户口令，用邮件系统复制传播源程序，最终令计算机“耗尽所有资源”而瘫痪。“蠕虫”在Internet上大肆传染，使得6200台联网的计算机停止运行，并造成巨额损失。这个计算机病毒是历史上第一个通过Internet传播的计算机病毒。他也因此被判3年缓刑，罚款1万美元，还被命令进行400小时的社区服务，成为历史上因为制造计算机病毒受到法律惩罚的第一人。病毒的定义计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码。（《中华人民共和国计算机信息系统安全保护条例》）病毒的组成计算机病毒程序由引导模块、传染模块、表现模块三部分组成。后两个模块包含一段触发代码，当代码检查出传染和表现或破坏的触发条件时，病毒才会进行传染和表现或破坏。病毒使用的触发条件主要有以下三种：利用计算机内的时钟提供的时间作为触发器利用计算机病毒体内自带的计数器作为触发器利用计算机内执行的某些特定操作作为触发器6、数据备份和灾难恢复机制任何系统资源，出现失效或损坏的可能性始终存在。备份包括：供电系统备份多路网络接入主干网络设备多路复用核心业务服务设备多机热备多种介质数据备份建立异地容灾备份中心更重要的是制定系统备份策略和应急指挥方案，从总体上保证业务、服务的连续可用在所有备份中，数据的备份尤为重要，由于数据的丢失、损坏带来的损失有时是很难弥补的，有些是灾难性的9.3.2电子政务技术安全体系的构成要素电子政务安全体系包括很多要素，最根本的是要在总体安全策略的指导下，坚持管理和技术并重，充分发挥各种安全技术的作用，构建电子政务信息安全保障体系，从根本上保证电子政务系统的安全、可用安全防御是整个安全体系的基本要素，保证绝大多数的入侵行为被拦截、阻断实时网络检查和监控是发现系统漏洞和入侵行为的核心手段，通过检查、监控，可以持续提高整个网络系统的安全防护能力，通过对入侵行为的分析，各种安全机制联动，可以很好地限制、阻断破坏的进一步加大安全认证是整个网络系统安全的基础，是访问控制真正发挥作用、系统安全可用的前提和保证，尤其是基于PKI体系的安全认证的应用，在有效解决身份认证的同时，为整个系统的安全数据传输、安全数据存储、以及操作和数据的真实性和完整性提供保证，以及为事后的审计跟踪提供可靠的保证9.3.3电子政务技术安全体系框架信息安全技术以保证信息安全基本需求为目标，以安全策略为指导，依靠各种信息安全机制和服务构建信息安全保障体系，全面提高系统的防护、检测、响应、恢复和对抗攻击的能力。技术安全隐患不可能依靠某种单一的安全技术就能得到解决，必须在综合分析电子政务整体安全需求的基础上构筑一个完整的技术安全体系框架。9.3.3电子政务技术安全体系框架应用层表示层会话层传输层网络层链路层物理层OSI网络参考模型OSI网络安全参考模型应用层安全系统层安全网际层安全物理层安全9.3.3电子政务技术安全体系框架电子政务技术安全框架物理层安全系统层安全网际层安全应用层安全用户及目录管理技术信息加密技术数字认证技术备份和恢复技术系统目录管理技术帐号管理与口令设置入侵检测与漏洞扫描安全审计技术病毒防护系统访问控制技术地址翻译技术监控与防御技术设备维护技术线路检测技术抗干扰技术

电子政务技术安全框架9.3.3电子政务技术安全体系框架OSI参考模型7应用层6表示层5会话层4传输层3网络层2链路层1物理层安全机制加密数字签名访问控制数据完整性数据交换业务流填充路由控制公证安全服务鉴别服务访问控制数据完整性数据保密性抗抵赖9.4电子政务信息安全整体解决方案电子政务规划过程中，在制定电子政务总体业务解决方案的同时，以业务解决方案为基础，制定电子政务信息安全整体解决方案，是电子政务工程得以安全、有效实施的重要保证。9.4电子政务信息安全整体解决方案9.4.1电子政务信息安全整体解决方案制定的准备9.4.2电子政务信息安全整体解决方案的内容9.4.1电子政务信息安全

整体解决方案制定的准备定义：解决方案（Solution）就是针对某些已经体现出的，或者可以预期的问题，不足，缺陷，需求等等，所提出的一个解决问题的方案，同时能够确保方案有效执行。9.4.1电子政务信息安全

整体解决方案制定的准备不同的解决方案，准备的工作内容和侧重点有所差别，包括：组织人员准备（建立专门的组织、技术管理队伍）业务准备（熟悉业务需求和方案）目标确定（制定安全总体目标、原则、范围）评估信息安全威胁和风险明确信息安全需求制定技术安全和管理安全策略形成信息安全体系框架9.4.1电子政务信息安全

整体解决方案制定的准备具体工作包括：信息分类，访问权限划分原则信息传输、存储、处理中的加密、签名机制确定用户分类，角色定义原则用户身份认证与鉴别其他资源分类，访问控制策略明确信息安全防御手段、检测手段、响应机制包括那些系统，确定系统操作记录与跟踪机制9.4.2电子政务信息安全

整体解决方案的内容电子政务系统分类：对内实现行政办公、行政决策对外实现社会管理和公共服务为保证电子政务内外两个职能有效实施，《国家信息化领导小组关于我国电子政务建设指导意见》（2002）中明确：整个电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离国家电子政务网络规划不仅体现了电子政务网络划分，更反映出电子政务整体业务的需求和安全特性内外网划分政务内外网的差别信息密级不同：内网运行政府核心业务，信息是涉密信息；产品密级不同：内网普密级产品；适用级别不同：内网适用于副省级以上的政府部门；主要的服务对象不同：内网服务于政府工作人员（包括公务员）；主要功能不同，内网侧重于政府内部办公、管理和决策功能。政府内外网在实际应用过程中，存在业务交互和信息交换的需求。内外网在物理隔离的基础上，需要解决信息安全交换的问题。网络拓扑结构政务内网安全政务内网与外网及互联网物理隔离，直接受到外界人为网络攻击的几率相对较低。内网中的用户主体类别相对单一，主体的行政可控性