網(wǎng)絡(luò)信息安全工程

1、關(guān)于網(wǎng)絡(luò)信息安全工程第一張，PPT共二十七頁，創(chuàng)作于2022年6月9.1.2網(wǎng)絡(luò)信息安全方案評價的標(biāo)準(zhǔn) （1）體現(xiàn)惟一性。 （2）綜合性。 （3）實(shí)事求是。 （4）對癥下藥。 （5）服務(wù)支持。 （6）循序漸進(jìn)。 （7）溝通與交流。 （8）成熟的技術(shù)和標(biāo)準(zhǔn)化的產(chǎn)品。第二張，PPT共二十七頁，創(chuàng)作于2022年6月 1概要安全風(fēng)險分析2實(shí)際安全風(fēng)險分析 （1）網(wǎng)絡(luò)的風(fēng)險和威脅分析。 （2）系統(tǒng)的風(fēng)險和威脅分析。 （3）應(yīng)用的風(fēng)險和威脅分析。 （4）對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的風(fēng)險及威脅的具體實(shí)際的詳細(xì)分析。3網(wǎng)絡(luò)系統(tǒng)的安全原則 （1）動態(tài)性。 （2）惟一性。 （3）整體性。 （4）專業(yè)性。 （5）嚴(yán)密性。9

2、.1.3網(wǎng)絡(luò)信息安全方案的框架第三張，PPT共二十七頁，創(chuàng)作于2022年6月4安全產(chǎn)品 （1）防火墻。 （2）防病毒。 （3）身份認(rèn)證。 （4）傳輸加密。 （5）入侵檢測。5風(fēng)險評估6安全服務(wù) （1）網(wǎng)絡(luò)拓?fù)浒踩?（2）系統(tǒng)安全加固。 （3）應(yīng)用安全。 （4）災(zāi)難恢復(fù)。 （5）緊急響應(yīng)。 （6）安全規(guī)范。 （7）服務(wù)體系和培訓(xùn)體系。 第四張，PPT共二十七頁，創(chuàng)作于2022年6月9.2企業(yè)網(wǎng)絡(luò)信息安全工程9.2.1企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險1離職者的報復(fù)2在職員工的威脅3企業(yè)連帶責(zé)任4應(yīng)用程序的風(fēng)險5病毒的影響6企業(yè)外聯(lián)網(wǎng)的風(fēng)險7安全軟件的悖論8安全產(chǎn)品的安全問題第五張，PPT共二十七頁，創(chuàng)作于

3、2022年6月9.2.2企業(yè)網(wǎng)絡(luò)信息安全體制的建立 第六張，PPT共二十七頁，創(chuàng)作于2022年6月1安全策略的制訂2安全體制的建設(shè)3指導(dǎo)方針的確立4運(yùn)營、監(jiān)視和對策5監(jiān)察、診斷、評估和修正第七張，PPT共二十七頁，創(chuàng)作于2022年6月9.2.3企業(yè)網(wǎng)絡(luò)信息安全策略建設(shè) 1安全策略的制定 （1）安全指導(dǎo)方針。 （2）安全運(yùn)用制度。 （3）安全細(xì)則。 第八張，PPT共二十七頁，創(chuàng)作于2022年6月（1）明確安全策略的框架結(jié)構(gòu)（2）形成安全運(yùn)用規(guī)則（3）安全策略的可操作性（4）安全策略的客觀性（5）安全策略的貫徹 2制定安全策略的要點(diǎn)第九張，PPT共二十七頁，創(chuàng)作于2022年6月9.2.4企業(yè)網(wǎng)絡(luò)信

4、息系統(tǒng)的安全措施1應(yīng)用級別 應(yīng)用級別是企業(yè)內(nèi)部有局域網(wǎng)，利用互聯(lián)網(wǎng)進(jìn)行電子郵件通信，企業(yè)開設(shè)簡單的主頁等，屬于小規(guī)模站點(diǎn)的水平。企業(yè)信息系統(tǒng)的最大的威脅來自于病毒感染而引起的系統(tǒng)性能下降、由于病毒向外擴(kuò)散而導(dǎo)致信用下降和來自外部的Web篡改行為等。 應(yīng)用 級別的最低限要求是：采用防病毒軟件、收集病毒信息以及定期進(jìn)行軟件升級；注意對網(wǎng)絡(luò)免費(fèi)軟件下載的管理和日常徹底的病毒檢查；防火墻的定期維護(hù)與管理；定期進(jìn)行網(wǎng)絡(luò)故障診斷、解析、服務(wù)器配置檢查等日常的系統(tǒng)維護(hù)。第十張，PPT共二十七頁，創(chuàng)作于2022年6月 應(yīng)用級別是指企業(yè)基本建立完善的局域網(wǎng)系統(tǒng)，擁有并使用各種服務(wù)器，各種數(shù)據(jù)庫聯(lián)動運(yùn)行。企業(yè)能夠

5、靈活利用互聯(lián)網(wǎng)進(jìn)行業(yè)務(wù)處理和客戶服務(wù)，信息系統(tǒng)屬于中等規(guī)模。 應(yīng)用級別的最低限要求是：通過瀏覽器和Web服務(wù)器之間的SSL，對互聯(lián)網(wǎng)通信實(shí)施加密保護(hù)；采用入侵監(jiān)測系統(tǒng)和全天候入侵監(jiān)視體制；災(zāi)難恢復(fù)對策措施，恢復(fù)訓(xùn)練和任務(wù)分擔(dān)等。2應(yīng)用級別第十一張，PPT共二十七頁，創(chuàng)作于2022年6月3應(yīng)用級別 應(yīng)用級別是指用戶從遠(yuǎn)程通過VPN登錄企業(yè)內(nèi)部網(wǎng)絡(luò)，與往來廠商之間使用Extranet，以及企業(yè)職員使用移動通信設(shè)備通過互聯(lián)網(wǎng)來訪問企業(yè)網(wǎng)絡(luò)的內(nèi)外結(jié)合的網(wǎng)絡(luò)使用水平。 應(yīng)用級別的最低限要求是：為了信息數(shù)據(jù)的高度保密而作相應(yīng)的加密處理；為了防止交易糾紛和事故而利用數(shù)字證書；為了防止越權(quán)操作而建立基于安全策

6、略的訪問控制等。 第十二張，PPT共二十七頁，創(chuàng)作于2022年6月4應(yīng)用級別 應(yīng)用級別是涉及產(chǎn)品供應(yīng)等交易結(jié)算和進(jìn)行銀行之間結(jié)算等復(fù)雜的大規(guī)模電子商務(wù)應(yīng)用平臺。對于電子商務(wù)交易，必須注意對系統(tǒng)進(jìn)行實(shí)時的入侵監(jiān)視，對客戶隱私、數(shù)據(jù)資源、用戶數(shù)據(jù)操作的管理方針進(jìn)行保護(hù)、防止網(wǎng)絡(luò)欺詐行為的產(chǎn)生。 應(yīng)用級別的最低限要求是：通過電子認(rèn)證確保信用基礎(chǔ)；靈活利用可信賴的第三方認(rèn)證中心；確認(rèn)承諾服務(wù)水平的SLA內(nèi)容；實(shí)施網(wǎng)絡(luò)系統(tǒng)的高度安全對策、嚴(yán)格運(yùn)用標(biāo)準(zhǔn)和定期監(jiān)察等。 第十三張，PPT共二十七頁，創(chuàng)作于2022年6月9.3電子商務(wù)安全工程9.3.1電子商務(wù)的安全問題 目前在電子商務(wù)活動中存在的安全隱患主要體

7、現(xiàn)在以下幾個方面： 1信息被竊取 2信息被篡改 3身份的冒充 4拒絕服務(wù) 5抵賴行為 6黑客與病毒第十四張，PPT共二十七頁，創(chuàng)作于2022年6月9.3.2電子商務(wù)主要的安全需求 1有效性2機(jī)密性3完整性4可靠性5審查能力第十五張，PPT共二十七頁，創(chuàng)作于2022年6月9.3.3電子商務(wù)安全體系結(jié)構(gòu) 第十六張，PPT共二十七頁，創(chuàng)作于2022年6月9.3.4電子商務(wù)的安全措施1加密技術(shù)2認(rèn)證技術(shù)3電子商務(wù)的安全協(xié)議 （1）安全套接層協(xié)議SSL。 （2）安全電子交易協(xié)議SET第十七張，PPT共二十七頁，創(chuàng)作于2022年6月 1系統(tǒng)的構(gòu)成 電子政務(wù)信息系統(tǒng)是一個基于網(wǎng)絡(luò)的，符合Internet技術(shù)

8、標(biāo)準(zhǔn)的面向政府機(jī)關(guān)內(nèi)部、其它政府機(jī)構(gòu)、企業(yè)以及社會公眾的信息服務(wù)和信息處理系統(tǒng)。它由政府部門內(nèi)部電子化和網(wǎng)絡(luò)化辦公子系統(tǒng)、政府部門之間通過網(wǎng)絡(luò)進(jìn)行的信息共享和實(shí)時通信子系統(tǒng)、政府部門與社會和公眾之間進(jìn)行的雙向信息交流子系統(tǒng)組成。其系統(tǒng)構(gòu)成主要包括：政府電子政務(wù)綜合信息資源中心，以及各級政府辦公信息管理模塊、政府部門業(yè)務(wù)信息管理模塊和面向社會公眾綜合信息服務(wù)等模塊。 在電子政務(wù)信息系統(tǒng)中，以政府電子政務(wù)綜合信息資源中心為政務(wù)平臺，連接政府部門辦公業(yè)務(wù)信息管理模塊，各級政府辦公業(yè)務(wù)信息管理模塊，面向社會公眾的綜合服務(wù)信息管理模塊。這三個信息管理模塊分別與政府辦公業(yè)務(wù)綜合信息資源中心相連，又彼此相連

9、，從而構(gòu)成電子政務(wù)信息系統(tǒng)的總框架。 9.4電子政務(wù)安全工程9.4.1電子政務(wù)信息系統(tǒng)第十八張，PPT共二十七頁，創(chuàng)作于2022年6月2系統(tǒng)的特點(diǎn) 電子政務(wù)信息系統(tǒng)通過政務(wù)信息的共享、交流、協(xié)作，使電子政務(wù)的管理活動成為電子政務(wù)的增值過程；通過該系統(tǒng)實(shí)現(xiàn)政府在政治、經(jīng)濟(jì)、社會、生活等領(lǐng)域的管理服務(wù)職能；實(shí)現(xiàn)政府決策信息的發(fā)布與存取，支持決策活動；實(shí)現(xiàn)辦公業(yè)務(wù)信息交流和交互式處理，支持政務(wù)執(zhí)行活動，以完成政務(wù)活動的全過程。其特點(diǎn)為： （1）開放性。指在法律允許的范圍內(nèi)政府信息的公開和可獲得性，以及管理和溝通渠道的公開，便于公眾獲得政府信息，辦事和監(jiān)督。 （2）整合性。在電子政務(wù)信息系統(tǒng)中，政府機(jī)

10、構(gòu)的每一個部門，由網(wǎng)絡(luò)連接起來協(xié)同工作，打破了地域、層級、部門的限制，促使政府組織和職能的整合，讓政府部門之間的信息能夠流通、共享，使公眾享受到無組織邊界的政治服務(wù)。 （3）交互性。系統(tǒng)保證任何個人、企業(yè)和團(tuán)體組織，都可以直接通過交互式的技術(shù)手段表達(dá)和傳遞信息，政府與公眾和企業(yè)等團(tuán)體組織可以直接進(jìn)行交流溝通。 （4）服務(wù)性。電子政務(wù)信息系統(tǒng)最突出的功能便是提供信息服務(wù)。這種理念使得公眾和企業(yè)等團(tuán)體組織成為政府機(jī)構(gòu)的服務(wù)的客戶，政府要確定服務(wù)標(biāo)準(zhǔn)，向客戶作出承諾，政府職能由控制型轉(zhuǎn)向?yàn)榭刂品?wù)型。 （5）直通性。電子政務(wù)信息系統(tǒng)通過計(jì)算機(jī)網(wǎng)絡(luò)減少中間環(huán)節(jié)，尋求最佳途徑，保證信息交換的“直通”，確

11、保信息暢通。第十九張，PPT共二十七頁，創(chuàng)作于2022年6月9.4.2電子政務(wù)信息系統(tǒng)安全 1電子政務(wù)安全需求 電子政務(wù)信息系統(tǒng)是基于網(wǎng)絡(luò)的信息系統(tǒng)，其安全內(nèi)容十分廣泛，安全要求各不相同。從網(wǎng)絡(luò)層次看，包括可靠性、可控性、互操作性、可計(jì)算性等；從信息層次看，包括信息的完整性、保密性、不可否認(rèn)性等；從設(shè)備層次看，包括質(zhì)量保證、設(shè)備備份、物理安全等；從經(jīng)營管理層次看，包括人員可靠、規(guī)章制度完善等。通常電子政務(wù)的安全需求包括： （1）保證系統(tǒng)的穩(wěn)定運(yùn)行 （2）保護(hù)信息的秘密 （3）政務(wù)活動身份的認(rèn)證 （4）政務(wù)權(quán)限的控制 （5）政務(wù)信息的安全存儲 （6）政務(wù)信息的安全傳輸 （7）備份與恢復(fù)機(jī)制 第二

12、十張，PPT共二十七頁，創(chuàng)作于2022年6月2電子政務(wù)安全的特殊性 （1）部門安全與國家安全。 從技術(shù)和管理的角度來看，電子政務(wù)安全和其他領(lǐng)域的信息安全沒有本質(zhì)的區(qū)別，但電子政務(wù)安全問題所產(chǎn)生的影響往往危及整個國家。所以電子政務(wù)安全同時也是國家的安全， （2）政治安全與經(jīng)濟(jì)安全。 政治秩序決定經(jīng)濟(jì)秩序、生活秩序的正常穩(wěn)定，電子政務(wù)是經(jīng)濟(jì)與社會信息化的先決條件，因此電子政務(wù)安全不僅僅是政治安全，同時也是經(jīng)濟(jì)安全和社會安全。 （3）保密與公開。 電子政務(wù)不僅要求政府完善行政管理職能，還要加大公眾服務(wù)的力度。在這樣的要求下，政務(wù)信息既包括需要保密甚至是核心機(jī)密的部分，也包括面向公眾、具有一定公開性的

13、信息，因此給電子政務(wù)的安全性提出了更高的要求。 （4）互聯(lián)與隔離。 電子政務(wù)的公眾服務(wù)職能要求與公眾信息網(wǎng)互聯(lián)，但其核心業(yè)務(wù)層因有許多涉及國家機(jī)密的信息而要與外界隔離。 第二十一張，PPT共二十七頁，創(chuàng)作于2022年6月9.4.3電子政務(wù)信息系統(tǒng)安全保障體系 1安全保障體系模型 電子政務(wù)信息系統(tǒng)安全保障體系應(yīng)該是一個建立在系統(tǒng)安全風(fēng)險分析基礎(chǔ)之上，通過制定安全策略和采取科學(xué)、先進(jìn)的安全技術(shù)實(shí)現(xiàn)對系統(tǒng)進(jìn)行安全防護(hù)和監(jiān)控，使系統(tǒng)具有靈敏、迅速的響應(yīng)機(jī)制的動態(tài)化的、智能型的系統(tǒng)安全體系。其模型可用公式表示為：動態(tài)化、智能的系統(tǒng)安全=風(fēng)險評估+安全策略+防御體系+實(shí)時監(jiān)控+響應(yīng)機(jī)制+安全審計(jì)。 其中，

14、風(fēng)險評估是對系統(tǒng)安全風(fēng)險因素進(jìn)行的分析和報告，是安全策略制定的依據(jù)；安全策略是系統(tǒng)安全的總體規(guī)劃和具體措施，是整個安全保障體系的核心和綱要：防御體系是根據(jù)系統(tǒng)存在的各種安全漏洞和安全威脅所采用的相應(yīng)的技術(shù)防護(hù)措施，是安全保障體系的重心所在；實(shí)時監(jiān)控是隨時監(jiān)測系統(tǒng)的運(yùn)行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進(jìn)行的各種攻擊；響應(yīng)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和響應(yīng)，及時地恢復(fù)信息，減少被攻擊的破壞程度，包括備份、自動恢復(fù)、確保恢復(fù)、快速恢復(fù)等；安全審計(jì)是指記錄和分析安全審計(jì)數(shù)據(jù)，檢查系統(tǒng)中出現(xiàn)的違規(guī)行為，判斷是否違反法規(guī)，為改進(jìn)系統(tǒng)和實(shí)施法律提供依據(jù)。在此安全保障體系模型中，“風(fēng)險評估+安全策

15、略”體現(xiàn)了管理因素，“防御體系+實(shí)時監(jiān)控+響應(yīng)機(jī)制”體現(xiàn)了技術(shù)因素，“安全審計(jì)”則體現(xiàn)了法律因素。并且系統(tǒng)還具備動態(tài)調(diào)整的反饋功能，使得該體系模型能夠適應(yīng)系統(tǒng)的動態(tài)性，支持信息系統(tǒng)安全性的動態(tài)提升。第二十二張，PPT共二十七頁，創(chuàng)作于2022年6月2安全保障體系方案第二十三張，PPT共二十七頁，創(chuàng)作于2022年6月9.4.4電子政務(wù)系統(tǒng)的安全設(shè)計(jì) 1系統(tǒng)安全設(shè)計(jì)的目標(biāo) 電子政務(wù)系統(tǒng)對信息安全的要求較為嚴(yán)格，其主要實(shí)現(xiàn)的安全目標(biāo)包括：信息的保密性、數(shù)據(jù)的完整性、用戶身份的鑒別、數(shù)據(jù)原發(fā)者鑒別、數(shù)據(jù)原發(fā)者的不可抵賴性、合法用戶的安全性等。第二十四張，PPT共二十七頁，創(chuàng)作于2022年6月2安全策略

16、 解決電子政務(wù)中的安全問題，關(guān)鍵在于建立完善的安全管理體系。總體對策應(yīng)以技術(shù)為核心、以管理為根本、以服務(wù)為保障。 （1）技術(shù)方面。應(yīng)該加強(qiáng)核心技術(shù)的自主研發(fā)，尤其是操作系統(tǒng)技術(shù)和微處理芯片技術(shù)，無論是對國家信息安全基礎(chǔ)設(shè)施還是對政務(wù)信息安全保障系統(tǒng)都是至關(guān)重要的。 （2）管理方面?？梢酝ㄟ^安全評估、安全政策、安全標(biāo)準(zhǔn)、安全審計(jì)等四個環(huán)節(jié)來加以規(guī)范化并進(jìn)而實(shí)現(xiàn)有效的管理： （3）在服務(wù)方面，主要是構(gòu)建外部服務(wù)體系，包括相關(guān)法律支撐體系、安全咨詢服務(wù)體系、應(yīng)急響應(yīng)體系、安全培訓(xùn)體系等。相關(guān)法律是從法制角度對政府信息化及其安全問題做出嚴(yán)格的規(guī)定；咨詢服務(wù)體系是由第三方為政府機(jī)構(gòu)提供技術(shù)解決方案、安全技術(shù)分析等；應(yīng)