电子政务安全保障体系.pptVIP

7.3.2 电子政务的安全防护技术 2、防火墙技术 防火墙技术是一种用来加强网络之间访问控制，防治外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互连设备。它对两个或多个网络之间传输的数据包，按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。 防火墙技术的发展大概经历四个阶段： （1）第一代是基于路由器的防火墙； （2）第二代是用户化的防火墙工具包； （3）第三代是建立在通用操作系统上的防火墙。 （4）第四代是具有安全操作系统的防火墙。 7.3.2 电子政务的安全防护技术 防火墙的发展方向是： （1）防火墙将从目前对子网或内部网管理的方式向远程上网信中管理的方式发展； （2）过滤深度会不断加强； （3）利用防火墙建立专用网是较长一段时间用户使用的主流； （4）单向防火墙将作为一种产品门类而出现； （5）对网络攻击的检测和各种告警将成为防火墙的重要功能； （6）安全管理工具不断完善 7.3.2 电子政务的安全防护技术 3、虚拟专用网络（VPN） 虚拟专用网络指的是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网络资源而动态组成的。 目前VPN主要采用四项技术来保证安全： （1）隧道技术 （2）加解密技术 （3）密钥管理技术 （4）信息认证和身份认证 7.3.2 电子政务的安全防护技术 4、入侵侦测技术 入侵侦测就是对计算机网络和计算机系统的关键节点的信息进行收集分析，检测其中是否有违反安全策略的事件发生或攻击现象，并通知系统安全管理员。一般把用于入侵检测的软件、硬件合称为入侵检测系统。 概括起来，入侵侦测就是对指向计算机和网络资源的恶意行为的识别和响应过程。 7.3.2 电子政务的安全防护技术 具体的入侵检测模式包括模式匹配和统计分析： 模式匹配：使用一套静态的模式，在通信节点截获数据包，然后将会话特征与知识库保存的攻击特征进行对比，提供防止包序列和内容攻击的保护。 统计分析：该方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数等），即统计过程来侦测反常事件。 入侵检测还分为基于主机的和基于网络的。网络型入侵检测系统的数据源是网络上的数据包。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，从所在主机收集信息进行分析。防火墙内部的Web、DNS和E-mail等服务器是大部分非法攻击的目标，这些服务器应安装基于主机的入侵检测系统，以提高整体安全性。 7.3.2 电子政务的安全防护技术 5、物理隔离技术 在电子政务系统中，防火墙、代理服务器、通道控制机制等都属于软件保护，是逻辑机制。它无法保障某些政府组织提出的高度数据安全要求，所以必须应用物理隔离技术。 物理隔离指的是内部网不直接或间接地连接公共网。只有内部网和公共网物理隔离，才能真正保证党政机关的内部信息网路不受来自互联网的黑客攻击。 7.3.2 电子政务的安全防护技术 物理隔离的解决思路是：在同一时间、同一空间，单个用户是不可能同时使用两个系统的，只要使两个系统在空间上物理隔离，就可以使他们的安全性相互独立。 物理隔离技术的发展经历了以下几个阶段： （1）双网双机技术 （2）双硬盘物理隔离卡技术 （3）单硬盘物理隔离卡技术 （4）基于服务器端的物理隔离技术 7.3.2 电子政务的安全防护技术 6、安全审计技术 （1）审计技术 可分为三种： 了解系统技术 验证处理技术：1、事务选择 2、测试数据 3、并行仿真 验证处理结果技术：1、如何选择和选取数据 2、抽取数据后，如何处理 7.3.2 电子政务的安全防护技术 （2）审计范围 包括操作系统和各种应用程序 操作系统审计子系统：主要目标是检测和判定对系统的渗透及识别误操作。基本功能为审计对象的选择；审计文件的定义与自动转换；文件系统完整性的定时检测；审计信息的格式和输出媒体；逐出系统、报警阀值的设置与选择；审计日志记录及其数据的安全保护等。 应用程序审计子系统：重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制，是否在发挥正确作用；判断程序和数据是否完整；依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。 7.3.2 电子政务的安全防护技术 （3）审计跟踪 通常审计跟踪和日志恢复可结合起来使用，但在概念上它们之间是有区别的。主要区别是日志恢复通常