电子政务信息系统安全建设讨论ppt电子政务信息系统安全建设讨论ppt.pptVIP

电子政务信息系统安全;目录;原因：计算机网络的联接形式多样性、终端分布不均匀性和网络的开放性;国内高科技犯罪事件呈现增长态势。 据国际权威的信息安全机构CERT分析和统计， 黑客攻击、网络病毒等违法犯罪活动日趋严重。 据不完全统计： A 2009年中国被境外控制的计算机IP地址达100多万个 B 被黑客篡改的网站达4.2万个； C 被“飞客”蠕虫网络病毒感染的计算机每月达1800多万，约占全球感染主机的30% ;目前全国电子政务内部普遍缺乏专业的安全技术人员。 在单位信息安全建设上，很大程度上都需要依赖第三方安全服务商或安全厂商；而在后期使用上更是缺乏管理能力。 根据有关统计： A 95%以上的安全事故都是由于后期安全管理不力造成。 B 就安全防护设备本身而言，并没有由于过多的技术原因而造成安全事故。;电子政务系统内部部分信息安全技术人员， 存在如下不正确思想： A 政务内网与互联网完全物理隔离，外面的攻击根本进不来； B 鉴于电子政务系统内部缺乏计算机应用水平相对较高的人，无需担心会利用高技术含量的信息安全技术对内部进行破坏； C 部分电子政务网已经在一定程度上进行了安全建设，购置了如防火墙、入侵检测系统等安全设备，系统应该是安全的。;目录;A 跨站脚本漏洞 网站对用户提交的变量代码未进行有效的过滤或转换，允许攻击者插入恶意Web代码 B SQL注入漏洞 网站程序未对用户输入的字符进行特殊字符过滤或合法性校验，允许攻击者使用SQL语句进行数据库操作 C 表单绕过漏洞 是SQL注入的一种，网站管理后台/前台登录口对用户提交的登录数据未做合法性判断 D 网页已知木马 目前网站存在严重安全漏洞，已被恶意人员植入恶意执行代码;E 登录口令破解 网站管理后台/前台登录口、数据库连接存在弱口令，可暴力破解出管理账号，获取网站管理权限 F 跨站请求伪造 利用网站对用户标识的信任，欺骗用户的浏览器发送HTTP请求给目标站点，执行攻击者的恶意行为，如偷取账号信息、网页挂马等 G CGI漏洞 网站页面访问控制权限不当，允许攻击者访问敏感页面，如网站源代码、后台登录地址等 H 敏感信息泄露 网站WEB服务器配置不当，允许攻击者获取网站敏感信息，如数据库类型、版本等;1、蠕虫攻击下网络的可用性 任何一个网络绝不能保证不会感染蠕虫病毒，一旦感染，后果严重 2、如何进行安全策略的实施 电子政务系统很少实施设备端点的安全状态验证，只通过身份认证情况较多 3、如何防护未知攻击 如何在出现未知攻击情况下去定位、解决安全问题是一大难题 4、如何控制内部人员的网络行为 很多泄密事件都是由于管理不善产生 5、如何构建事前的安全预警体系 6、如何构建新型信息安全攻击管理应急平台;目录;智能化的自适应 信息安全防御体系;A 加强自身安全技术能力 结合国家或更高级别电子政务部门有关文件和要求、本单位实际情况进行信息系统安全建设 可聘请国内知名的安全服务专家为系统安全管理员进行技术方案审定和培训工作，提高其综合素质 B 加强信息安全软硬件建设 “硬件”是指信息安全产品的软硬件配套的技术和设备； “软件”是指长期的安全服务，包括各类的咨询、加固、评估、渗透、巡检等专业服务 在自身技术能力不高的现状下，结合自身的需求，合理选择第三方的安全服务 C 加强信息安全管理工作 基础安全知识普及，安全及时加强，安全防护技术掌???，从意识上随时随地警惕，从而形成最佳的安全防护体系;目录;结语