第9章網(wǎng)絡(luò)信息平安工程9.1網(wǎng)絡(luò)信息平安方案的設(shè)計9.1.1網(wǎng)絡(luò)信息平安方案設(shè)計概述一份好的網(wǎng)絡(luò)信息平安解決方案，應(yīng)該包括技術(shù)、策略和管理三方面的內(nèi)容。技術(shù)是關(guān)鍵，策略是核心，管理是保證。系統(tǒng)的平安配置，動態(tài)跟蹤，人的有效管理，都要依據(jù)管理來約束和保證；而一個人的技術(shù)水平、思想行為和心理素質(zhì)等都會影響到工程的質(zhì)量。1整理ppt9.1.2網(wǎng)絡(luò)信息平安方案評價的標準〔1〕表達惟一性。〔2〕綜合性。〔3〕實事求是。〔4〕對癥下藥。〔5〕效勞支持?！?〕循序漸進?！?〕溝通與交流。〔8〕成熟的技術(shù)和標準化的產(chǎn)品。2整理ppt

1．概要平安風(fēng)險分析2．實際平安風(fēng)險分析〔1〕網(wǎng)絡(luò)的風(fēng)險和威脅分析?！?〕系統(tǒng)的風(fēng)險和威脅分析。〔3〕應(yīng)用的風(fēng)險和威脅分析。〔4〕對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的風(fēng)險及威脅的具體實際的詳細分析。3．網(wǎng)絡(luò)系統(tǒng)的平安原那么〔1〕動態(tài)性?！?〕惟一性?！?〕整體性?！?〕專業(yè)性?！?〕嚴密性。9.1.3網(wǎng)絡(luò)信息平安方案的框架3整理ppt4．平安產(chǎn)品〔1〕防火墻?！?〕防病毒。〔3〕身份認證?！?〕傳輸加密?！?〕入侵檢測。5．風(fēng)險評估6．平安效勞〔1〕網(wǎng)絡(luò)拓撲平安。〔2〕系統(tǒng)平安加固?！?〕應(yīng)用平安。〔4〕災(zāi)難恢復(fù)?！?〕緊急響應(yīng)?！?〕平安標準?！?〕效勞體系和培訓(xùn)體系。

4整理ppt9.2企業(yè)網(wǎng)絡(luò)信息平安工程9.2.1企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險1．離職者的報復(fù)2．在職員工的威脅3．企業(yè)連帶責(zé)任4．應(yīng)用程序的風(fēng)險5．病毒的影響6．企業(yè)外聯(lián)網(wǎng)的風(fēng)險7．平安軟件的悖論8．平安產(chǎn)品的平安問題5整理ppt9.2.2企業(yè)網(wǎng)絡(luò)信息平安體制的建立6整理ppt1．平安策略的制訂2．平安體制的建設(shè)3．指導(dǎo)方針確實立4．運營、監(jiān)視和對策5．監(jiān)察、診斷、評估和修正7整理ppt9.2.3企業(yè)網(wǎng)絡(luò)信息平安策略建設(shè)1．平安策略的制定〔1〕平安指導(dǎo)方針?！?〕平安運用制度?！?〕平安細那么。

8整理ppt〔1〕明確平安策略的框架結(jié)構(gòu)〔2〕形成平安運用規(guī)那么〔3〕平安策略的可操作性〔4〕平安策略的客觀性〔5〕平安策略的貫徹2．制定平安策略的要點9整理ppt9.2.4企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的平安措施1．應(yīng)用級別－Ⅰ應(yīng)用級別－Ⅰ是企業(yè)內(nèi)部有局域網(wǎng)，利用互聯(lián)網(wǎng)進行電子郵件通信，企業(yè)開設(shè)簡單的主頁等，屬于小規(guī)模站點的水平。企業(yè)信息系統(tǒng)的最大的威脅來自于病毒感染而引起的系統(tǒng)性能下降、由于病毒向外擴散而導(dǎo)致信用下降和來自外部的Web篡改行為等。應(yīng)用級別－Ⅰ的最低限要求是：采用防病毒軟件、收集病毒信息以及定期進行軟件升級；注意對網(wǎng)絡(luò)免費軟件下載的管理和日常徹底的病毒檢查；防火墻的定期維護與管理；定期進行網(wǎng)絡(luò)故障診斷、解析、效勞器配置檢查等日常的系統(tǒng)維護。10整理ppt應(yīng)用級別－Ⅱ是指企業(yè)根本建立完善的局域網(wǎng)系統(tǒng)，擁有并使用各種效勞器，各種數(shù)據(jù)庫聯(lián)動運行。企業(yè)能夠靈活利用互聯(lián)網(wǎng)進行業(yè)務(wù)處理和客戶效勞，信息系統(tǒng)屬于中等規(guī)模。應(yīng)用級別－Ⅱ的最低限要求是：通過瀏覽器和Web效勞器之間的SSL，對互聯(lián)網(wǎng)通信實施加密保護；采用入侵監(jiān)測系統(tǒng)和全天候入侵監(jiān)視體制；災(zāi)難恢復(fù)對策措施，恢復(fù)訓(xùn)練和任務(wù)分擔(dān)等。2．應(yīng)用級別－Ⅱ

11整理ppt3．應(yīng)用級別－Ⅲ

應(yīng)用級別－Ⅲ是指用戶從遠程通過VPN登錄企業(yè)內(nèi)部網(wǎng)絡(luò)，與往來廠商之間使用Extranet，以及企業(yè)職員使用移動通信設(shè)備通過互聯(lián)網(wǎng)來訪問企業(yè)網(wǎng)絡(luò)的內(nèi)外結(jié)合的網(wǎng)絡(luò)使用水平。應(yīng)用級別－Ⅲ的最低限要求是：為了信息數(shù)據(jù)的高度保密而作相應(yīng)的加密處理；為了防止交易糾紛和事故而利用數(shù)字證書；為了防止越權(quán)操作而建立基于平安策略的訪問控制等。12整理ppt4．應(yīng)用級別－Ⅳ應(yīng)用級別－Ⅳ是涉及產(chǎn)品供給等交易結(jié)算和進行銀行之間結(jié)算等復(fù)雜的大規(guī)模電子商務(wù)應(yīng)用平臺。對于電子商務(wù)交易，必須注意對系統(tǒng)進行實時的入侵監(jiān)視，對客戶隱私、數(shù)據(jù)資源、用戶數(shù)據(jù)操作的管理方針進行保護、防止網(wǎng)絡(luò)欺詐行為的產(chǎn)生。應(yīng)用級別－Ⅳ的最低限要求是：通過電子認證確保信用根底；靈活利用可信賴的第三方認證中心；確認承諾效勞水平的SLA內(nèi)容；實施網(wǎng)絡(luò)系統(tǒng)的高度平安對策、嚴格運用標準和定期監(jiān)察等。13整理ppt9.3電子商務(wù)平安工程

9.3.1電子商務(wù)的平安問題目前在電子商務(wù)活動中存在的平安隱患主要表達在以下幾個方面：1．信息被竊取2．信息被篡改3．身份的冒充4．拒絕效勞5．抵賴行為6．黑客與病毒14整理ppt9.3.2電子商務(wù)主要的平安需求1．有效性2．機密性3．完整性4．可靠性5．審查能力15整理ppt9.3.3電子商務(wù)平安體系結(jié)構(gòu)

16整理ppt9.3.4電子商務(wù)的平安措施1．加密技術(shù)2．認證技術(shù)3．電子商務(wù)的平安協(xié)議〔1〕平安套接層協(xié)議SSL?！?〕平安電子交易協(xié)議SET17整理ppt1．系統(tǒng)的構(gòu)成電子政務(wù)信息系統(tǒng)是一個基于網(wǎng)絡(luò)的，符合Internet技術(shù)標準的面向政府機關(guān)內(nèi)部、其它政府機構(gòu)、企業(yè)以及社會公眾的信息效勞和信息處理系統(tǒng)。它由政府部門內(nèi)部電子化和網(wǎng)絡(luò)化辦公子系統(tǒng)、政府部門之間通過網(wǎng)絡(luò)進行的信息共享和實時通信子系統(tǒng)、政府部門與社會和公眾之間進行的雙向信息交流子系統(tǒng)組成。其系統(tǒng)構(gòu)成主要包括：政府電子政務(wù)綜合信息資源中心，以及各級政府辦公信息管理模塊、政府部門業(yè)務(wù)信息管理模塊和面向社會公眾綜合信息效勞等模塊。在電子政務(wù)信息系統(tǒng)中，以政府電子政務(wù)綜合信息資源中心為政務(wù)平臺，連接政府部門辦公業(yè)務(wù)信息管理模塊，各級政府辦公業(yè)務(wù)信息管理模塊，面向社會公眾的綜合效勞信息管理模塊。這三個信息管理模塊分別與政府辦公業(yè)務(wù)綜合信息資源中心相連，又彼此相連，從而構(gòu)成電子政務(wù)信息系統(tǒng)的總框架。9.4電子政務(wù)平安工程

9.4.1電子政務(wù)信息系統(tǒng)18整理ppt2．系統(tǒng)的特點

電子政務(wù)信息系統(tǒng)通過政務(wù)信息的共享、交流、協(xié)作，使電子政務(wù)的管理活動成為電子政務(wù)的增值過程；通過該系統(tǒng)實現(xiàn)政府在政治、經(jīng)濟、社會、生活等領(lǐng)域的管理效勞職能；實現(xiàn)政府決策信息的發(fā)布與存取，支持決策活動；實現(xiàn)辦公業(yè)務(wù)信息交流和交互式處理，支持政務(wù)執(zhí)行活動，以完成政務(wù)活動的全過程。其特點為：〔1〕開放性。指在法律允許的范圍內(nèi)政府信息的公開和可獲得性，以及管理和溝通渠道的公開，便于公眾獲得政府信息，辦事和監(jiān)督。〔2〕整合性。在電子政務(wù)信息系統(tǒng)中，政府機構(gòu)的每一個部門，由網(wǎng)絡(luò)連接起來協(xié)同工作，打破了地域、層級、部門的限制，促使政府組織和職能的整合，讓政府部門之間的信息能夠流通、共享，使公眾享受到無組織邊界的政治效勞?！?〕交互性。系統(tǒng)保證任何個人、企業(yè)和團體組織，都可以直接通過交互式的技術(shù)手段表達和傳遞信息，政府與公眾和企業(yè)等團體組織可以直接進行交流溝通?！?〕效勞性。電子政務(wù)信息系統(tǒng)最突出的功能便是提供信息效勞。這種理念使得公眾和企業(yè)等團體組織成為政府機構(gòu)的效勞的客戶，政府要確定效勞標準，向客戶作出承諾，政府職能由控制型轉(zhuǎn)向為控制——效勞型?！?〕直通性。電子政務(wù)信息系統(tǒng)通過計算機網(wǎng)絡(luò)減少中間環(huán)節(jié)，尋求最正確途徑，保證信息交換的“直通〞，確保信息暢通。19整理ppt9.4.2電子政務(wù)信息系統(tǒng)平安1．電子政務(wù)平安需求電子政務(wù)信息系統(tǒng)是基于網(wǎng)絡(luò)的信息系統(tǒng)，其平安內(nèi)容十分廣泛，平安要求各不相同。從網(wǎng)絡(luò)層次看，包括可靠性、可控性、互操作性、可計算性等；從信息層次看，包括信息的完整性、保密性、不可否認性等；從設(shè)備層次看，包括質(zhì)量保證、設(shè)備備份、物理平安等；從經(jīng)營管理層次看，包括人員可靠、規(guī)章制度完善等。通常電子政務(wù)的平安需求包括：〔1〕保證系統(tǒng)的穩(wěn)定運行〔2〕保護信息的秘密〔3〕政務(wù)活動身份的認證〔4〕政務(wù)權(quán)限的控制〔5〕政務(wù)信息的平安存儲〔6〕政務(wù)信息的平安傳輸〔7〕備份與恢復(fù)機制20整理ppt2．電子政務(wù)平安的特殊性〔1〕部門平安與國家平安。從技術(shù)和管理的角度來看，電子政務(wù)平安和其他領(lǐng)域的信息平安沒有本質(zhì)的區(qū)別，但電子政務(wù)平安問題所產(chǎn)生的影響往往危及整個國家。所以電子政務(wù)平安同時也是國家的平安，〔2〕政治平安與經(jīng)濟平安。政治秩序決定經(jīng)濟秩序、生活秩序的正常穩(wěn)定，電子政務(wù)是經(jīng)濟與社會信息化的先決條件，因此電子政務(wù)平安不僅僅是政治平安，同時也是經(jīng)濟平安和社會平安。〔3〕保密與公開。電子政務(wù)不僅要求政府完善行政管理職能，還要加大公眾效勞的力度。在這樣的要求下，政務(wù)信息既包括需要保密甚至是核心機密的局部，也包括面向公眾、具有一定公開性的信息，因此給電子政務(wù)的平安性提出了更高的要求?！?〕互聯(lián)與隔離。電子政務(wù)的公眾效勞職能要求與公眾信息網(wǎng)互聯(lián)，但其核心業(yè)務(wù)層因有許多涉及國家機密的信息而要與外界隔離。21整理ppt9.4.3電子政務(wù)信息系統(tǒng)平安保障體系1．平安保障體系模型電子政務(wù)信息系統(tǒng)平安保障體系應(yīng)該是一個建立在系統(tǒng)平安風(fēng)險分析根底之上，通過制定平安策略和采取科學(xué)、先進的平安技術(shù)實現(xiàn)對系統(tǒng)進行平安防護和監(jiān)控，使系統(tǒng)具有靈敏、迅速的響應(yīng)機制的動態(tài)化的、智能型的系統(tǒng)平安體系。其模型可用公式表示為：動態(tài)化、智能的系統(tǒng)平安=風(fēng)險評估+平安策略+防御體系+實時監(jiān)控+響應(yīng)機制+平安審計。其中，風(fēng)險評估是對系統(tǒng)平安風(fēng)險因素進行的分析和報告，是平安策略制定的依據(jù)；平安策略是系統(tǒng)平安的總體規(guī)劃和具體措施，是整個平安保障體系的核心和綱要：防御體系是根據(jù)系統(tǒng)存在的各種平安漏洞和平安威脅所采用的相應(yīng)的技術(shù)防護措施，是平安保障體系的重心所在；實時監(jiān)控是隨時監(jiān)測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊；響應(yīng)機制是在平安防護機制失效的情況下，進行應(yīng)急處理和響應(yīng)，及時地恢復(fù)信息，減少被攻擊的破壞程度，包括備份、自動恢復(fù)、確?；謴?fù)、快速恢復(fù)等；平安審計是指記錄和分析平安審計數(shù)據(jù)，檢查系統(tǒng)中出現(xiàn)的違規(guī)行為，判斷是否違反法規(guī)，為改進系統(tǒng)和實施法律提供依據(jù)。在此平安保障體系模型中，“風(fēng)險評估+平安策略〞表達了管理因素，“防御體系+實時監(jiān)控+響應(yīng)機制〞表達了技術(shù)因素，“平安審計〞那么表達了法律因素。并且系統(tǒng)還具備動態(tài)調(diào)整的反響功能，使得該體系模型能夠適應(yīng)系統(tǒng)的動態(tài)性，支持信息系統(tǒng)平安性的動態(tài)提升。22整理ppt2．平安保障體系方案23整理ppt9.4.4電子政務(wù)系統(tǒng)的平安設(shè)計1．系統(tǒng)平安設(shè)計的目標電子政務(wù)系統(tǒng)對信息平安的要求較為嚴格，其主要實現(xiàn)的平安目標包括：信息的保密性、數(shù)據(jù)的完整性、用戶身份的鑒別、數(shù)據(jù)原發(fā)者鑒別、數(shù)據(jù)原發(fā)者的不可抵賴性、合法用戶的平安性等。24整理ppt2．平安策略解決電子政務(wù)中的平安問題，關(guān)鍵在于建立完善的平安管理體系。總體對策應(yīng)以技術(shù)為核心、以管理為根本、以效勞為保障?！?〕技術(shù)方面。應(yīng)該加強核心技術(shù)的自主研發(fā)，尤其是操作系統(tǒng)技術(shù)和微處理芯片技術(shù)，無論是對國家信息平安根底設(shè)施還是對政務(wù)信息平安保障系統(tǒng)都是至關(guān)重要的?！?〕管理方面。可以通過平安評估、平安政策、平安標準、平安審計等四個環(huán)節(jié)來加以標準化并進而實現(xiàn)有效的管理：〔3〕在效勞方面，主要是構(gòu)建外部效勞體系，包括相關(guān)法律支撐體系、平安咨詢效勞體系、應(yīng)急響應(yīng)體系、平安培訓(xùn)體系等。相關(guān)法律是從法制角度對政府信息化及