电子政务安全体系.ppt

4、制定并贯彻安全管理制度在对系统安全方案和系统安全处理的同时，还必须制定出一套完整的安全管理制度。例如：外来人员网络访问制度，服务器机房出入管理制度，管理员网络维护管理制度等等。约束普通用户等网络访问者，督促管理员很好地完成自身的工作，增强大家的网络安全意识，防止因粗心大意或不贯彻制度而导致安全事故。尤其要注意制度的监督贯彻执行，否则就形同虚设。5、建立完善的安全保障体系建立完善的安全保障体系是系统安全所必需的，如管理人员安全培训、可靠的数据备份、紧急事件响应措施、定期系统安全评估及更新升级系统，如此这些都为系统的安全提供了有力的保障，确保系统能一直处于最佳的安全状态，即便系统受到攻击，也能最大程度地挽回损失。海信NetKey身份认证界面局域网终端01远程拨号终端02NT服务器03身份认证的网络拓扑结构通常将单钥、双钥密码结合在一起使用：01?单钥算法用来对数据进行加密；02?双钥算法用来进行密钥交换。03?数据加密可在通信的三个层次来实现：04?链路加密；05?节点加密；06?端到端加密。07（三）数据加密设备链路加密设备的特点?每个节点对收到的信息先解密，后加密；?它掩盖了被传输消息的源点与终点；?消息的报头和路由信息以密文方式传输。加密机密文加密机加密机密文明文明文明文加密机源点终点节点加密设备的特点在节点先对消息进行解密，后进行加密；不允许消息在节点以明文方式存在；?消息的报头和路由信息以明文方式传输。明文加密机密文密文密文明文加密机源点终点端到端加密设备的特点?数据从源点到终点始终以密文形式存在；?数据从源点加密后到终点才被解密；?安全性高，系统维护方便。加密机明文明文加密机源点终点密文密文加密机的应用图例网络中心安全路由器密码管理中心因特网加密机加密机加密机（四）安全日志与审计系统数据采集、还原处理及备份功能：提供丰富的采样条件设置；对电子邮件与传输文件的压缩部分自动解压；自动英汉翻译，提供全文本高速翻译系统。自动中标检查，即关键词检查；日志管理与审计：发件浏览审查，提供多种审查方式；发件统计分析，包括指定日期或时间段的发件数、中标数、中标率、涉密数等；报表生成和打印（包括年/月/日报表）；发件人、收件人档案记录。?Http、Ftp、E-mail、入侵、DNS请求等行为分析;?Web页面非法篡改检测。安全日志与审计系统运行环境服务器（中标）外部网内部网路由器集线器数据采集器数据库网关自动解压自动翻译综合管理打印机在战场上，你希望在要保护的地带布置哨兵；在网络中，你需要在要保护的关键部位布置入侵检测系统（IDS—IntrusionDetectionSystem）。许多企业或机构的网络负责人都声称，他们的网络是安全的，因为他们已经安装了最新版的防火墙和IDS。其实，网络安全是一个系统工程，仅靠安装防火墙和IDS，只能解决部分安全问题，而离全面解决安全问题还差得太远。IDS对于进出网络的全部活动进行检查。IDS可以识别出能够引发网络或系统攻击的可疑数据。一旦发现了不正常的数据模式，就意味着有人企图突入或损害系统。IDS可以是硬件系统，也可以是软件系统。它能监视和分析系统事件，以发现那些未经授权就企图访问系统资源的网络活动，并提供实时的或接近实时的事件告警。（五）入侵检测系统—IDS在滥用检测方式下，IDS对它收集到的信息进行分析，并与攻击签名数据库进行比较。为了做到更有效，这种类型的IDS依赖于那些已经被记录在案的攻击，它将收集到的可疑数据包与攻击签名数据库中的样本进行比较。象许多病毒检测系统一样，滥用检测软件的好坏直接取决于攻击签名数据库的好坏。1、滥用检测（AbuseDetection）01在异常检测中，首先要为系统设立一个正常活动的底线（Baseline）。它包括这样一些内容：网络业务流负荷的状态、故障死机、通信协议，及典型的数据包长度。在采用异常检测时，探测器监控网络数据段并将当前状态与正常底线状态相比较，以识别异常状况。2、异常检测（AbnormalDetection）021、入侵检测系统的分类基于网络的系统也称为NIDS。NIDS对流过网络的数据包进行逐个检查和评估，以确定该数据包是否是由黑客特意设计的数据包。这些数据包能够逃过许多防火墙的简单过滤规则的过滤，进入到内部网络。3、基于网络的系统（Network-basedIDS）在基于主机的系统中，IDS对单台计算机或主机上的网络活动进行检查。进行评估的项