税务系统网络与信息安全教育案例.ppt

* * * * * * * * * * * * * * * * * * 证书管理中心（Certificate Authority，CA） 一个被终端实体所信任的签发公钥证书的证书认证实体，它是一个可信的权威机构。 注册机构（Registration Authority，RA） 为用户办理证书申请，身份审核，证书下载、更新、注销以及密钥恢复等实际业务的办事机构或业务受理点，也叫证书注册审核中心。 属性证书管理机构（Attribute Authority，AA） 通过生成并签发属性证书向实体分配权限的机构，它负责属性证书整个生命周期的管理。 属性证书注册受理点（Attribute Registration Authority，ARA） 接受并审核属性证书申请，并将合法的申请提交AA/SOA以签发属性证书。 在线证书状态查询协议（Online Certificate Status Protocol，OCSP） 用户可使用OCSP协议，通过网络到OCSP服务器实时查询系统中证书的当前有效/无效状态。 目录查询协议 （Lightweight Directory Access Protocol，LDAP） 用户可使用LDAP协议，通过网络到目录服务器查询系统中的证书或证书撤消列表。 * 策略管理机构（Policy Management Authority，PMA） 负责策略的制定和维护，其中需发布的策略提交AA/SOA签发策略属性证书，并发布。 权限管理基础设施（Privilege Management Infrastructure，PMI） 属性证书管理源（Source Of Authority，SOA） 是被特定资源的权限校验者信任的最高属性权威。 管理终端（SMT） 属性证书注册受理点（Attribute Registration Authority，ARA） 接受并审核属性证书申请，并将合法的申请提交AA/SOA以签发属性证书。 权限分配终端（PAT） * * * * * * * * * * * * * * * * * * * * 常用的解决办法 基于口令的限制 基于密码的保护 安全总体方案要求：基于密码 业务系统需要什么样的安全？ 从管理的角度要求能够了解操作者使用业务系统 的情况，尤其在工作中出现问题、事件后能够追 查，找出原因或分清责任，作出合理地处置。 因此：业务系统本身必须能够对操作者的行为进行跟 踪、记录、统计和审计，及时发现工作中出现 的问题，使系统可管理，事件可追查。 常用的解决办法 日志；安全事件审计。 安全总体方案要求：日志与安全事件审计。 安全应用子系统 采用安全中间件和门户网站相结合的技术，提供以PKI/PMI技术为核心的各种安全服务功能，实现单点登录和访问控制。 实现全系统统一的安全服务接口。 身份认证 访问控制 数字签名与验证 密押与密押验证 数据加密 传输信道加密 安全事件审计 时间戳 应用程序 中间件 （接口） 面向应用的安全服务功能 开始 结束 出示证书 访问控制 权限控制 数字签名 安全审计 安全管理子系统 安全管理子系统的组成 安全策略子系统 网络管理与网络安全防护管理 事件监控管理 安全设备管理 策略执行管理 （安全互动） 审计管理 病毒防治管理 安全评估与事件分析 软件升级管理 信息安全策略体系 定义： 信息安全策略是为发布、管理和保护税务系统内部信息资源而制定的一组法律、法规和措施的总和，是对税务系统信息资源使用和管理的规范描述，是全系统都要遵守的规则。 地位：策略体系是税务信息安全体系的核心。安全策略内容由信息安全目标制约，安全策略实施依靠安全体系的各种执行系统。 税务系统信息安全策略创建与执行流程图 总局信息安全管理中心 信息安全管理平台 目 标 信息安全策略管理系统 创 建 安全机制 审 计 评 估 安全要求 规 章 规 范 标 准 主策略 上层策略 发 布 中层策略 不可否认 可用性 保密性 访问控制 鉴 别 执 行 策略库 底层策略 安全标签 访问控制 口令配置 IDS配置 防火墙 安全性能要求 信息共享 策略维护 翻 译 翻 译 省局信息安全 管理中心 地市局信息安全管理中心 税务信息安全策略体系的主要内容 策略管理和建设 职责管理策略 技术管理策略 人员管理策略 运行管理策略 信息资产管理策略 业务连续性策略 法律和其它策略的符合性 安全管理子系统的逻辑图 总局 省局 策略执 行 模 块 策略