網(wǎng)絡(luò)信息安全工程

第9章網(wǎng)絡(luò)信息平安工程9.1網(wǎng)絡(luò)信息平安方案的設(shè)計(jì)9.1.1網(wǎng)絡(luò)信息平安方案設(shè)計(jì)概述一份好的網(wǎng)絡(luò)信息平安解決方案，應(yīng)當(dāng)包括技術(shù)、策略和管理三方面的內(nèi)容。技術(shù)是關(guān)鍵，策略是核心，管理是保證。系統(tǒng)的平安配置，動(dòng)態(tài)跟蹤，人的有效管理，都要依據(jù)管理來(lái)約束和保證；而一個(gè)人的技術(shù)水平、思想行為和心理素養(yǎng)等都會(huì)影響到項(xiàng)目的質(zhì)量。9.1.2網(wǎng)絡(luò)信息平安方案評(píng)價(jià)的標(biāo)準(zhǔn)（1）體現(xiàn)惟一性。（2）綜合性。（3）實(shí)事求是。（4）對(duì)癥下藥。（5）服務(wù)支持。（6）按部就班。（7）溝通與溝通。（8）成熟的技術(shù)和標(biāo)準(zhǔn)化的產(chǎn)品。

1．概要平安風(fēng)險(xiǎn)分析2．實(shí)際平安風(fēng)險(xiǎn)分析（1）網(wǎng)絡(luò)的風(fēng)險(xiǎn)和威逼分析。（2）系統(tǒng)的風(fēng)險(xiǎn)和威逼分析。（3）應(yīng)用的風(fēng)險(xiǎn)和威逼分析。（4）對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的風(fēng)險(xiǎn)及威逼的具體實(shí)際的具體分析。3．網(wǎng)絡(luò)系統(tǒng)的平安原則（1）動(dòng)態(tài)性。（2）惟一性。（3）整體性。（4）專(zhuān)業(yè)性。（5）嚴(yán)密性。9.1.3網(wǎng)絡(luò)信息平安方案的框架4．平安產(chǎn)品（1）防火墻。（2）防病毒。（3）身份認(rèn)證。（4）傳輸加密。（5）入侵檢測(cè)。5．風(fēng)險(xiǎn)評(píng)估6．平安服務(wù)（1）網(wǎng)絡(luò)拓?fù)淦桨?。?）系統(tǒng)平安加固。（3）應(yīng)用平安。（4）災(zāi)難復(fù)原。（5）緊急響應(yīng)。（6）平安規(guī)范。（7）服務(wù)體系和培訓(xùn)體系。

9.2企業(yè)網(wǎng)絡(luò)信息平安工程9.2.1企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險(xiǎn)1．離職者的報(bào)復(fù)2．在職員工的威逼3．企業(yè)連帶責(zé)任4．應(yīng)用程序的風(fēng)險(xiǎn)5．病毒的影響6．企業(yè)外聯(lián)網(wǎng)的風(fēng)險(xiǎn)7．平安軟件的悖論8．平安產(chǎn)品的平安問(wèn)題9.2.2企業(yè)網(wǎng)絡(luò)信息平安體制的建立1．平安策略的制訂2．平安體制的建設(shè)3．指導(dǎo)方針的確立4．運(yùn)營(yíng)、監(jiān)視和對(duì)策5．監(jiān)察、診斷、評(píng)估和修正9.2.3企業(yè)網(wǎng)絡(luò)信息平安策略建設(shè)1．平安策略的制定（1）平安指導(dǎo)方針。（2）平安運(yùn)用制度。（3）平安細(xì)則。

（1）明確平安策略的框架結(jié)構(gòu)（2）形成平安運(yùn)用規(guī)則（3）平安策略的可操作性（4）平安策略的客觀性（5）平安策略的貫徹2．制定平安策略的要點(diǎn)9.2.4企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的平安措施1．應(yīng)用級(jí)別－Ⅰ應(yīng)用級(jí)別－Ⅰ是企業(yè)內(nèi)部有局域網(wǎng)，利用互聯(lián)網(wǎng)進(jìn)行電子郵件通信，企業(yè)開(kāi)設(shè)簡(jiǎn)潔的主頁(yè)等，屬于小規(guī)模站點(diǎn)的水平。企業(yè)信息系統(tǒng)的最大的威逼來(lái)自于病毒感染而引起的系統(tǒng)性能下降、由于病毒向外擴(kuò)散而導(dǎo)致信用下降和來(lái)自外部的Web篡改行為等。應(yīng)用級(jí)別－Ⅰ的最低限要求是：接受防病毒軟件、收集病毒信息以及定期進(jìn)行軟件升級(jí)；留意對(duì)網(wǎng)絡(luò)免費(fèi)軟件下載的管理和日常徹底的病毒檢查；防火墻的定期維護(hù)與管理；定期進(jìn)行網(wǎng)絡(luò)故障診斷、解析、服務(wù)器配置檢查等日常的系統(tǒng)維護(hù)。應(yīng)用級(jí)別－Ⅱ是指企業(yè)基本建立完善的局域網(wǎng)系統(tǒng)，擁有并運(yùn)用各種服務(wù)器，各種數(shù)據(jù)庫(kù)聯(lián)動(dòng)運(yùn)行。企業(yè)能夠敏捷利用互聯(lián)網(wǎng)進(jìn)行業(yè)務(wù)處理和客戶(hù)服務(wù)，信息系統(tǒng)屬于中等規(guī)模。應(yīng)用級(jí)別－Ⅱ的最低限要求是：通過(guò)閱讀器和Web服務(wù)器之間的SSL，對(duì)互聯(lián)網(wǎng)通信實(shí)施加密愛(ài)護(hù)；接受入侵監(jiān)測(cè)系統(tǒng)和全天候入侵監(jiān)視體制；災(zāi)難復(fù)原對(duì)策措施，復(fù)原訓(xùn)練和任務(wù)分擔(dān)等。2．應(yīng)用級(jí)別－Ⅱ

3．應(yīng)用級(jí)別－Ⅲ

應(yīng)用級(jí)別－Ⅲ是指用戶(hù)從遠(yuǎn)程通過(guò)VPN登錄企業(yè)內(nèi)部網(wǎng)絡(luò)，與往來(lái)廠商之間運(yùn)用Extranet，以及企業(yè)職員運(yùn)用移動(dòng)通信設(shè)備通過(guò)互聯(lián)網(wǎng)來(lái)訪問(wèn)企業(yè)網(wǎng)絡(luò)的內(nèi)外結(jié)合的網(wǎng)絡(luò)運(yùn)用水平。應(yīng)用級(jí)別－Ⅲ的最低限要求是：為了信息數(shù)據(jù)的高度保密而作相應(yīng)的加密處理；為了防止交易糾紛和事故而利用數(shù)字證書(shū)；為了防止越權(quán)操作而建立基于平安策略的訪問(wèn)限制等。4．應(yīng)用級(jí)別－Ⅳ應(yīng)用級(jí)別－Ⅳ是涉及產(chǎn)品供應(yīng)等交易結(jié)算和進(jìn)行銀行之間結(jié)算等困難的大規(guī)模電子商務(wù)應(yīng)用平臺(tái)。對(duì)于電子商務(wù)交易，必需留意對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)的入侵監(jiān)視，對(duì)客戶(hù)隱私、數(shù)據(jù)資源、用戶(hù)數(shù)據(jù)操作的管理方針進(jìn)行愛(ài)護(hù)、防止網(wǎng)絡(luò)欺詐行為的產(chǎn)生。應(yīng)用級(jí)別－Ⅳ的最低限要求是：通過(guò)電子認(rèn)證確保信用基礎(chǔ)；敏捷利用可信任的第三方認(rèn)證中心；確認(rèn)承諾服務(wù)水平的SLA內(nèi)容；實(shí)施網(wǎng)絡(luò)系統(tǒng)的高度平安對(duì)策、嚴(yán)格運(yùn)用標(biāo)準(zhǔn)和定期監(jiān)察等。9.3電子商務(wù)平安工程

9.3.1電子商務(wù)的平安問(wèn)題目前在電子商務(wù)活動(dòng)中存在的平安隱患主要體現(xiàn)在以下幾個(gè)方面：1．信息被竊取2．信息被篡改3．身份的冒充4．拒絕服務(wù)5．抵賴(lài)行為6．黑客與病毒9.3.2電子商務(wù)主要的平安需求1．有效性2．機(jī)密性3．完整性4．牢靠性5．審查實(shí)力9.3.3電子商務(wù)平安體系結(jié)構(gòu)

9.3.4電子商務(wù)的平安措施1．加密技術(shù)2．認(rèn)證技術(shù)3．電子商務(wù)的平安協(xié)議（1）平安套接層協(xié)議SSL。（2）平安電子交易協(xié)議SET1．系統(tǒng)的構(gòu)成電子政務(wù)信息系統(tǒng)是一個(gè)基于網(wǎng)絡(luò)的，符合Internet技術(shù)標(biāo)準(zhǔn)的面對(duì)政府機(jī)關(guān)內(nèi)部、其它政府機(jī)構(gòu)、企業(yè)以及社會(huì)公眾的信息服務(wù)和信息處理系統(tǒng)。它由政府部門(mén)內(nèi)部電子化和網(wǎng)絡(luò)化辦公子系統(tǒng)、政府部門(mén)之間通過(guò)網(wǎng)絡(luò)進(jìn)行的信息共享和實(shí)時(shí)通信子系統(tǒng)、政府部門(mén)與社會(huì)和公眾之間進(jìn)行的雙向信息溝通子系統(tǒng)組成。其系統(tǒng)構(gòu)成主要包括：政府電子政務(wù)綜合信息資源中心，以及各級(jí)政府辦公信息管理模塊、政府部門(mén)業(yè)務(wù)信息管理模塊和面對(duì)社會(huì)公眾綜合信息服務(wù)等模塊。在電子政務(wù)信息系統(tǒng)中，以政府電子政務(wù)綜合信息資源中心為政務(wù)平臺(tái)，連接政府部門(mén)辦公業(yè)務(wù)信息管理模塊，各級(jí)政府辦公業(yè)務(wù)信息管理模塊，面對(duì)社會(huì)公眾的綜合服務(wù)信息管理模塊。這三個(gè)信息管理模塊分別與政府辦公業(yè)務(wù)綜合信息資源中心相連，又彼此相連，從而構(gòu)成電子政務(wù)信息系統(tǒng)的總框架。9.4電子政務(wù)平安工程

9.4.1電子政務(wù)信息系統(tǒng)2．系統(tǒng)的特點(diǎn)

電子政務(wù)信息系統(tǒng)通過(guò)政務(wù)信息的共享、溝通、協(xié)作，使電子政務(wù)的管理活動(dòng)成為電子政務(wù)的增值過(guò)程；通過(guò)該系統(tǒng)實(shí)現(xiàn)政府在政治、經(jīng)濟(jì)、社會(huì)、生活等領(lǐng)域的管理服務(wù)職能；實(shí)現(xiàn)政府決策信息的發(fā)布與存取，支持決策活動(dòng)；實(shí)現(xiàn)辦公業(yè)務(wù)信息溝通和交互式處理，支持政務(wù)執(zhí)行活動(dòng)，以完成政務(wù)活動(dòng)的全過(guò)程。其特點(diǎn)為：（1）開(kāi)放性。指在法律允許的范圍內(nèi)政府信息的公開(kāi)和可獲得性，以及管理和溝通渠道的公開(kāi)，便于公眾獲得政府信息，辦事和監(jiān)督。（2）整合性。在電子政務(wù)信息系統(tǒng)中，政府機(jī)構(gòu)的每一個(gè)部門(mén)，由網(wǎng)絡(luò)連接起來(lái)協(xié)同工作，打破了地域、層級(jí)、部門(mén)的限制，促使政府組織和職能的整合，讓政府部門(mén)之間的信息能夠流通、共享，使公眾享受到無(wú)組織邊界的政治服務(wù)。（3）交互性。系統(tǒng)保證任何個(gè)人、企業(yè)和團(tuán)體組織，都可以干脆通過(guò)交互式的技術(shù)手段表達(dá)和傳遞信息，政府與公眾和企業(yè)等團(tuán)體組織可以干脆進(jìn)行溝通溝通。（4）服務(wù)性。電子政務(wù)信息系統(tǒng)最突出的功能便是供應(yīng)信息服務(wù)。這種理念使得公眾和企業(yè)等團(tuán)體組織成為政府機(jī)構(gòu)的服務(wù)的客戶(hù)，政府要確定服務(wù)標(biāo)準(zhǔn)，向客戶(hù)作出承諾，政府職能由限制型轉(zhuǎn)向?yàn)橄拗啤?wù)型。（5）直通性。電子政務(wù)信息系統(tǒng)通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)削減中間環(huán)節(jié)，尋求最佳途徑，保證信息交換的“直通”，確保信息暢通。9.4.2電子政務(wù)信息系統(tǒng)平安1．電子政務(wù)平安需求電子政務(wù)信息系統(tǒng)是基于網(wǎng)絡(luò)的信息系統(tǒng)，其平安內(nèi)容特別廣泛，平安要求各不相同。從網(wǎng)絡(luò)層次看，包括牢靠性、可控性、互操作性、可計(jì)算性等；從信息層次看，包括信息的完整性、保密性、不行否認(rèn)性等；從設(shè)備層次看，包括質(zhì)量保證、設(shè)備備份、物理平安等；從經(jīng)營(yíng)管理層次看，包括人員牢靠、規(guī)章制度完善等。通常電子政務(wù)的平安需求包括：（1）保證系統(tǒng)的穩(wěn)定運(yùn)行（2）愛(ài)護(hù)信息的隱私（3）政務(wù)活動(dòng)身份的認(rèn)證（4）政務(wù)權(quán)限的限制（5）政務(wù)信息的平安存儲(chǔ)（6）政務(wù)信息的平安傳輸（7）備份與復(fù)原機(jī)制2．電子政務(wù)平安的特殊性（1）部門(mén)平安與國(guó)家平安。從技術(shù)和管理的角度來(lái)看，電子政務(wù)平安和其他領(lǐng)域的信息平安沒(méi)有本質(zhì)的區(qū)分，但電子政務(wù)平安問(wèn)題所產(chǎn)生的影響往往危及整個(gè)國(guó)家。所以電子政務(wù)平安同時(shí)也是國(guó)家的平安，（2）政治平安與經(jīng)濟(jì)平安。政治秩序確定經(jīng)濟(jì)秩序、生活秩序的正常穩(wěn)定，電子政務(wù)是經(jīng)濟(jì)與社會(huì)信息化的先決條件，因此電子政務(wù)平安不僅僅是政治平安，同時(shí)也是經(jīng)濟(jì)平安和社會(huì)平安。（3）保密與公開(kāi)。電子政務(wù)不僅要求政府完善行政管理職能，還要加大公眾服務(wù)的力度。在這樣的要求下，政務(wù)信息既包括須要保密甚至是核心機(jī)密的部分，也包括面對(duì)公眾、具有確定公開(kāi)性的信息，因此給電子政務(wù)的平安性提出了更高的要求。（4）互聯(lián)與隔離。電子政務(wù)的公眾服務(wù)職能要求與公眾信息網(wǎng)互聯(lián)，但其核心業(yè)務(wù)層因有很多涉及國(guó)家機(jī)密的信息而要與外界隔離。9.4.3電子政務(wù)信息系統(tǒng)平安保障體系1．平安保障體系模型電子政務(wù)信息系統(tǒng)平安保障體系應(yīng)當(dāng)是一個(gè)建立在系統(tǒng)平安風(fēng)險(xiǎn)分析基礎(chǔ)之上，通過(guò)制定平安策略和實(shí)行科學(xué)、先進(jìn)的平安技術(shù)實(shí)現(xiàn)對(duì)系統(tǒng)進(jìn)行平安防護(hù)和監(jiān)控，使系統(tǒng)具有靈敏、快速的響應(yīng)機(jī)制的動(dòng)態(tài)化的、智能型的系統(tǒng)平安體系。其模型可用公式表示為：動(dòng)態(tài)化、智能的系統(tǒng)平安=風(fēng)險(xiǎn)評(píng)估+平安策略+防衛(wèi)體系+實(shí)時(shí)監(jiān)控+響應(yīng)機(jī)制+平安審計(jì)。其中，風(fēng)險(xiǎn)評(píng)估是對(duì)系統(tǒng)平安風(fēng)險(xiǎn)因素進(jìn)行的分析和報(bào)告，是平安策略制定的依據(jù)；平安策略是系統(tǒng)平安的總體規(guī)劃和具體措施，是整個(gè)平安保障體系的核心和綱要：防衛(wèi)體系是依據(jù)系統(tǒng)存在的各種平安漏洞和平安威逼所接受的相應(yīng)的技術(shù)防護(hù)措施，是平安保障體系的重心所在；實(shí)時(shí)監(jiān)控是隨時(shí)監(jiān)測(cè)系統(tǒng)的運(yùn)行狀況，剛好發(fā)覺(jué)和制止對(duì)系統(tǒng)進(jìn)行的各種攻擊；響應(yīng)機(jī)制是在平安防護(hù)機(jī)制失效的狀況下，進(jìn)行應(yīng)急處理和響應(yīng)，剛好地復(fù)原信息，削減被攻擊的破壞程度，包括備份、自動(dòng)復(fù)原、確保復(fù)原、快速?gòu)?fù)原等；平安審計(jì)是指記錄和分析平安審計(jì)數(shù)據(jù)，檢查系統(tǒng)中出現(xiàn)的違規(guī)行為，推斷是否違反法規(guī)，為改進(jìn)系統(tǒng)和實(shí)施法律供應(yīng)依據(jù)。在此平安保障體系模型中，“風(fēng)險(xiǎn)評(píng)估+平安策略”體現(xiàn)了管理因素，“防衛(wèi)體系+實(shí)時(shí)監(jiān)控+響應(yīng)機(jī)制”體現(xiàn)了技術(shù)因素，“平安審計(jì)”則體現(xiàn)了法律因素。并且系統(tǒng)還具備動(dòng)態(tài)調(diào)整的反饋功能，使得該體系模型能夠適應(yīng)系統(tǒng)的動(dòng)態(tài)性，支持信息系統(tǒng)平安性的動(dòng)態(tài)提升。2．平安保障體系方案9.4.4電子政務(wù)系統(tǒng)的平安設(shè)計(jì)1．系統(tǒng)平安設(shè)計(jì)的目標(biāo)電子政務(wù)系統(tǒng)對(duì)信息平安的要求較為嚴(yán)格，其主要實(shí)現(xiàn)的平安目標(biāo)包括：信息的保密性、數(shù)據(jù)的完整性、用戶(hù)身份的鑒別、數(shù)據(jù)原發(fā)者鑒別、數(shù)據(jù)原發(fā)者的不行抵賴(lài)性、合法用戶(hù)的平安性等。2．平安策略解決電子政務(wù)中的平安問(wèn)題，關(guān)鍵在于建立完善的平安管理體系。總體對(duì)策應(yīng)以技術(shù)為核心、以管理為根本、以服務(wù)為保障。（1）技術(shù)方面。應(yīng)當(dāng)加強(qiáng)核心技術(shù)的自主研發(fā)，尤其是操作系統(tǒng)技術(shù)和微處理芯片技術(shù)，無(wú)論是對(duì)國(guó)家信息平安基礎(chǔ)設(shè)施還是對(duì)政務(wù)信息平安保障系統(tǒng)都是至關(guān)重要的。（2）管理方面。可以通過(guò)平安評(píng)估、平安政策、平安標(biāo)準(zhǔn)、平安審計(jì)等四個(gè)環(huán)節(jié)來(lái)加以規(guī)范化并進(jìn)而實(shí)現(xiàn)有效的管理：（3）在服務(wù)方面，主要是構(gòu)建外部服務(wù)體系，包括相關(guān)法律支撐體系、平安詢(xún)問(wèn)服務(wù)體系、應(yīng)急響應(yīng)體系、平安培訓(xùn)