在电子政务信息系统中.pptVIP

第9章 网络信息安全工程 9.1　网络信息安全方案的设计 9.1.1 网络信息安全方案设计概述 一份好的网络信息安全解决方案，应该包括技术、策略和管理三方面的内容。技术是关键，策略是核心，管理是保证。系统的安全配置，动态跟踪，人的有效管理，都要依据管理来约束和保证；而一个人的技术水平、思想行为和心理素质等都会影响到项目的质量。 9.1.2　网络信息安全方案评价的标准 9.1.3　网络信息安全方案的框架 　 4．安全产品 （1）防火墙。 （2）防病毒。 （3）身份认证。 （4）传输加密。 （5）入侵检测。 5．风险评估 6．安全服务 （1）网络拓扑安全。 （2）系统安全加固。 （3）应用安全。 （4）灾难恢复。 （5）紧急响应。 （6）安全规范。 （7）服务体系和培训体系。 9.2　企业网络信息安全工程 9.2.1　企业网络信息系统的风险 1．离职者的报复 2．在职员工的威胁 3．企业连带责任 4．应用程序的风险 5．病毒的影响 6．企业外联网的风险 7．安全软件的悖论 8．安全产品的安全问题 9.2.2　企业网络信息安全体制的建立 1．安全策略的制订 2．安全体制的建设 3．指导方针的确立 4．运营、监视和对策 5．监察、诊断、评估和修正 9.2.3　企业网络信息安全策略建设 1．安全策略的制定 （1）安全指导方针。 （2）安全运用制度。 （3）安全细则。 2．制定安全策略的要点 （1）明确安全策略的框架结构 （2）形成安全运用规则 （3）安全策略的可操作性 （4）安全策略的客观性 （5）安全策略的贯彻 9.2.4　企业网络信息系统的安全措施　 1．应用级别－Ⅰ 应用级别－Ⅰ是企业内部有局域网，利用互联网进行电子邮件通信，企业开设简单的主页等，属于小规模站点的水平。企业信息系统的最大的威胁来自于病毒感染而引起的系统性能下降、由于病毒向外扩散而导致信用下降和来自外部的Web篡改行为等。 应用 级别－Ⅰ的最低限要求是：采用防病毒软件、收集病毒信息以及定期进行软件升级；注意对网络免费软件下载的管理和日常彻底的病毒检查；防火墙的定期维护与管理；定期进行网络故障诊断、解析、服务器配置检查等日常的系统维护。 2．应用级别－Ⅱ 应用级别－Ⅱ是指企业基本建立完善的局域网系统，拥有并使用各种服务器，各种数据库联动运行。企业能够灵活利用互联网进行业务处理和客户服务，信息系统属于中等规模。 应用级别－Ⅱ的最低限要求是：通过浏览器和Web服务器之间的SSL，对互联网通信实施加密保护；采用入侵监测系统和全天候入侵监视体制；灾难恢复对策措施，恢复训练和任务分担等。 3．应用级别－Ⅲ 应用级别－Ⅲ是指用户从远程通过VPN登录企业内部网络，与往来厂商之间使用Extranet，以及企业职员使用移动通信设备通过互联网来访问企业网络的内外结合的网络使用水平。 应用级别－Ⅲ的最低限要求是：为了信息数据的高度保密而作相应的加密处理；为了防止交易纠纷和事故而利用数字证书；为了防止越权操作而建立基于安全策略的访问控制等。 4．应用级别－Ⅳ 应用级别－Ⅳ是涉及产品供应等交易结算和进行银行之间结算等复杂的大规模电子商务应用平台。对于电子商务交易，必须注意对系统进行实时的入侵监视，对客户隐私、数据资源、用户数据操作的管理方针进行保护、防止网络欺诈行为的产生。 应用级别－Ⅳ的最低限要求是：通过电子认证确保信用基础；灵活利用可信赖的第三方认证中心；确认承诺服务水平的SLA内容；实施网络系统的高度安全对策、严格运用标准和定期监察等。 9.3　电子商务安全工程9.3.1　电子商务的安全问题 目前在电子商务活动中存在的安全隐患主要体现在以下几个方面： 1．信息被窃取 2．信息被篡改 3．身份的冒充 4．拒绝服务 5．抵赖行为 6．黑客与病毒 9.3.2　电子商务主要的安全需求 1．有效性 2．机密性 3．完整性 4．可靠性 5．审查能力 9.3.3　电子商务安全体系结构 9.3.4　电子商务的安全措施 1．加密技术 2．认证技术 3．电子商务的安全协议 （1）安全套接层协议SSL。 （2）安全电子