電子政務(wù)-安全保障課件

1第十講電子政務(wù)安全體系一、電子政務(wù)的安全問題二、電子政務(wù)安全體系

1、技術(shù)體系

2、管理保障體系

3、服務(wù)保障體系

4、基礎(chǔ)設(shè)施保障體系電子政務(wù)-安全保障+-嘉庚學(xué)院2電子政務(wù)的安全問題

惡意破壞自然災(zāi)害

意識不強(qiáng)操作不當(dāng)

管理疏漏軟硬件漏洞

濫用職權(quán)內(nèi)外勾結(jié)內(nèi)部資源信息戰(zhàn)爭黑客攻擊信息間諜

病毒傳染信息恐怖外部威脅內(nèi)部威脅電子政務(wù)-安全保障+-嘉庚學(xué)院信息安全保障信息的機(jī)密性、完整性、可用性、可控性和不可否認(rèn)性等幾個方面。1、機(jī)密性：保證信息不泄露給未經(jīng)授權(quán)的人。2、完整性：信息無失真地傳達(dá)到目的地。3、可用性：授權(quán)人使用時不能出現(xiàn)系統(tǒng)拒絕服務(wù)的情況。4、可控性：對信息及信息系統(tǒng)實(shí)施安全監(jiān)控管理。5、不可否認(rèn)性：信息行為可安全管理。電子政務(wù)-安全保障+-嘉庚學(xué)院計算機(jī)安全和網(wǎng)絡(luò)安全都是信息安全。計算機(jī)安全是指計算機(jī)系統(tǒng)資源和信息資源不受自然和人為的威脅與損壞。計算機(jī)安全更關(guān)心信息的存儲和處理的安全。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受保護(hù)，系統(tǒng)能可靠連續(xù)地運(yùn)行。網(wǎng)絡(luò)安全更關(guān)系的是信息在網(wǎng)絡(luò)傳播過程中所涉及的各種安全問題。電子政務(wù)安全問題就是一種信息安全問題。電子政務(wù)-安全保障+-嘉庚學(xué)院電子政務(wù)的安全需求身份認(rèn)證服務(wù)：為政務(wù)實(shí)體定義唯一的電子身份標(biāo)識，并通過該標(biāo)識進(jìn)行身份認(rèn)證，保證身份的真實(shí)性。權(quán)限控制服務(wù)：把信息資源劃分成不同級別，并把使用信息資源的用戶劃分成不同類型，實(shí)現(xiàn)不同類型人員對不同級別信息訪問的控制策略。信息保密服務(wù)：對于傳輸中需要保密的信息，采用密碼技術(shù)進(jìn)行加解密處理，防止信息的非授權(quán)泄漏。數(shù)據(jù)完整性服務(wù)：保證收發(fā)雙方數(shù)據(jù)的一致性，防止信息被非授權(quán)修改。不可否認(rèn)服務(wù)：為第三方驗(yàn)證信息源的真實(shí)性和信息的完整性提供證據(jù)，它有助于責(zé)任機(jī)制的建立，為解決電子政務(wù)中的爭議提供法律證據(jù)。電子政務(wù)-安全保障+-嘉庚學(xué)院6保障電子政務(wù)安全的重要性1、國家安全問題。電子政務(wù)的安全體現(xiàn)了國家防御國外信息和網(wǎng)絡(luò)優(yōu)勢威脅的能力，以信息手段維護(hù)國家安全的能力。2、保障電子政務(wù)安全即維護(hù)了社會各階層利益。電子政務(wù)的應(yīng)用不僅代表政府部門的利益更代表了企業(yè)和廣大民眾的利益。3、電子政務(wù)安全是社會穩(wěn)定的基本保障。電子政務(wù)的社會服務(wù)職能使得電子政務(wù)系統(tǒng)的安全運(yùn)行更加重要。電子政務(wù)-安全保障+-嘉庚學(xué)院國內(nèi)電子政務(wù)安全存在的一些問題大部分的政府機(jī)構(gòu)都沒有精力對網(wǎng)絡(luò)安全進(jìn)行必要的人力投入；很多重要站點(diǎn)的管理員都是Internet的新手，很多服務(wù)器存在的漏洞可以使入侵者獲取系統(tǒng)的最高控制權(quán)。我國現(xiàn)有信息安全專業(yè)人才少，有必要采取措施來逐步改善目前安全人才極為缺乏的狀況。電子政務(wù)-安全保障+-嘉庚學(xué)院2、缺乏整體安全方案在大多數(shù)人的眼中，在服務(wù)器前加一個防火墻就解決了安全問題，這是一種很狹隘的安全思路。防火墻僅僅是一個訪問控制、內(nèi)外隔離的安全設(shè)備，在底層包過濾、IP偽裝、碎片攻擊，端口控制等方面的確有著不可替代的作用，但它在應(yīng)用層的控制和檢測能力是很有限的。另外，沒有設(shè)置好密碼策略、沒有設(shè)置安全日志策略或沒有定期分析日志發(fā)現(xiàn)異?，F(xiàn)象等等。說到底就是缺乏一套整體安全方案，一個沒有整體安全規(guī)劃的系統(tǒng)，安全是肯定沒有保障的。

電子政務(wù)-安全保障+-嘉庚學(xué)院3、系統(tǒng)本身不安全沒有對用戶和目錄權(quán)限進(jìn)行設(shè)置及建立適當(dāng)?shù)陌踩呗?；沒有打安全補(bǔ)丁；安裝時為方便使用簡單口令而后來又不更改；沒有進(jìn)行適當(dāng)?shù)哪夸浐臀募?quán)限設(shè)置；沒有進(jìn)行適當(dāng)?shù)挠脩魴?quán)限設(shè)置，打開了不必要的服務(wù)；沒有對自己的應(yīng)用系統(tǒng)進(jìn)行安全檢測等等。事實(shí)上系統(tǒng)和應(yīng)用大多是由系統(tǒng)集成商來完成的，其做法往往是最大化安裝，以方便安裝調(diào)試，把整個系統(tǒng)調(diào)通就算完成了任務(wù)，遺憾的是留下很多的安全隱患；而安全卻恰恰相反，遵循最小化原則，要求沒必要的東西一定不要。電子政務(wù)-安全保障+-嘉庚學(xué)院4、沒有安全管理機(jī)制

安全和管理是分不開的，有好的安全設(shè)備和系統(tǒng)還不夠，還必須有一套好的安全管理方法，并貫徹實(shí)施。建立定期的安全檢測、口令管理、人員管理、策略管理、備份管理、日志管理等一系列管理方法和制度是非常必要的。電子政務(wù)-安全保障+-嘉庚學(xué)院5、不理解安全的相對性未持續(xù)提高系統(tǒng)安全能力

需要指出的是安全是相對的，主要因?yàn)椋翰僮飨到y(tǒng)和應(yīng)用系統(tǒng)漏洞的不斷發(fā)現(xiàn)新的黑客技術(shù)所以，安全是相對的，是動態(tài)的，只有及時對系統(tǒng)安全問題進(jìn)行跟蹤處理，定期進(jìn)行整體安全評估，及時發(fā)現(xiàn)問題并加以解決，才能確保系統(tǒng)具有良好的安全性。電子政務(wù)-安全保障+-嘉庚學(xué)院12電子政務(wù)-安全保障+-嘉庚學(xué)院安全威脅的形式非授權(quán)訪問信息泄漏和丟失數(shù)據(jù)完整性破壞拒絕服務(wù)攻擊技術(shù)保障體系電子政務(wù)-安全保障+-嘉庚學(xué)院數(shù)據(jù)加密技術(shù)對稱密碼技術(shù)：加解密的密鑰相同，不能公開。DES、IDEA算法。非對稱密碼技術(shù)：兩個不同的密鑰，一個用于加密，一個用于解密，公鑰加密技術(shù)。RSA算法。電子政務(wù)-安全保障+-嘉庚學(xué)院安全威脅

操作系統(tǒng)的安全性；防火墻的安全性；來自內(nèi)部網(wǎng)用戶的安全威脅；

TCP/IP協(xié)議族軟件本身缺乏安全性；電子郵件病毒、邏輯炸彈等；

Web頁面中存在惡意的Java/ActiveX控件；

應(yīng)用服務(wù)的訪問控制、安全設(shè)計存在漏洞；缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)的安全性。電子政務(wù)-安全保障+-嘉庚學(xué)院2、黑客常用的攻擊手段和方式

利用系統(tǒng)管理的“漏洞”進(jìn)入；

利用操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞攻擊；

利用竊聽獲取用戶信息及更改數(shù)據(jù)；

偽造用戶身份、否認(rèn)自己的簽名；

傳播和釋放病毒對系統(tǒng)進(jìn)行有效控制；

IP欺騙攻擊；

拒絕服務(wù)（DoS）攻擊；

消耗主機(jī)資源使其癱瘓或死機(jī)。電子政務(wù)-安全保障+-嘉庚學(xué)院防病毒系統(tǒng)單機(jī)版殺毒軟件網(wǎng)絡(luò)版殺毒軟件一般采用B/S架構(gòu)，具有“染毒電腦隔離”“文件自動分發(fā)”“全網(wǎng)漏洞管理”等眾多功能，并具有詳盡的病毒疫情分析、IT資產(chǎn)管理等創(chuàng)新功能，為企業(yè)用戶提供了更加強(qiáng)大的網(wǎng)絡(luò)安全管理利器。全網(wǎng)安全主動管理：網(wǎng)絡(luò)管理員通過此設(shè)置頁面就可以實(shí)現(xiàn)對整個網(wǎng)絡(luò)客戶端的集中管理，對全網(wǎng)客戶端進(jìn)行統(tǒng)一或個性化設(shè)置，清楚地掌握整個網(wǎng)絡(luò)環(huán)境中各個節(jié)點(diǎn)的病毒狀態(tài)。既方便管理員管理，又可以有效地減少網(wǎng)絡(luò)安全風(fēng)險，為用戶的網(wǎng)絡(luò)系統(tǒng)提供了可靠的安全解決方案。防毒墻（網(wǎng)關(guān)）電子政務(wù)-安全保障+-嘉庚學(xué)院防火墻的類型防火墻的類型應(yīng)用代理Application-LevelGateway電路級網(wǎng)關(guān)Circuit-LevelGateway包過濾路由器Packet-FilteringRouter電子政務(wù)-安全保障+-嘉庚學(xué)院1、靜態(tài)包過濾器工作于網(wǎng)絡(luò)層應(yīng)用層表示層會話層網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口傳輸層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)層鏈路層物理層電子政務(wù)-安全保障+-嘉庚學(xué)院IP頭TCP頭應(yīng)用級頭數(shù)據(jù)源/目的IP地址源/目的端口應(yīng)用狀態(tài)和數(shù)據(jù)流凈荷包過濾器靜態(tài)包過濾器所過濾的內(nèi)容

電子政務(wù)-安全保障+-嘉庚學(xué)院應(yīng)用層表示層會話層網(wǎng)絡(luò)層鏈路層物理層傳輸層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)2、動態(tài)包過濾防火墻工作于傳輸層網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口電子政務(wù)-安全保障+-嘉庚學(xué)院會話層物理層表示層鏈路層網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)層傳輸層應(yīng)用層3、電路級網(wǎng)關(guān)工作于會話層電子政務(wù)-安全保障+-嘉庚學(xué)院IP頭TCP頭應(yīng)用級頭數(shù)據(jù)源/目的IP地址源/目的端口應(yīng)用狀態(tài)和數(shù)據(jù)流凈荷電路級網(wǎng)關(guān)電路級網(wǎng)關(guān)所過濾的內(nèi)容

電子政務(wù)-安全保障+-嘉庚學(xué)院表示層會話層鏈路層物理層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)傳輸層網(wǎng)絡(luò)層應(yīng)用層網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口4、應(yīng)用代理工作于應(yīng)用層電子政務(wù)-安全保障+-嘉庚學(xué)院防火墻的主要功能防火墻的功能過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)出網(wǎng)絡(luò)的訪問行為封堵某些禁止的業(yè)務(wù)記錄進(jìn)出網(wǎng)絡(luò)的信息和活動對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警電子政務(wù)-安全保障+-嘉庚學(xué)院防火墻的局限性防火墻的局限性不能防范惡意知情者泄密不能控制不經(jīng)過它的連接不能防備完全新的威脅不能防止病毒和特洛伊木馬不能防止內(nèi)部用戶的破壞電子政務(wù)-安全保障+-嘉庚學(xué)院防火墻技術(shù)的發(fā)展趨勢

從目前對專網(wǎng)管理的方式，向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展；過濾深度不斷加強(qiáng)，從目前的地址過濾、服務(wù)過濾，發(fā)展到頁面過濾、關(guān)鍵字過濾及對ActiveX/Java等的過濾；用防火墻建立VPN，IP加密越來越強(qiáng)；單向防火墻（網(wǎng)絡(luò)二極管）將出現(xiàn)；對攻擊的檢測和告警將成為重要功能；附加安全管理工具（如日志分析）；安全協(xié)議的開發(fā)將成為一大熱點(diǎn)。電子政務(wù)-安全保障+-嘉庚學(xué)院（二）安全身份認(rèn)證系統(tǒng)基于生物特征的身份認(rèn)證：如DNA，視網(wǎng)膜，虹膜、指紋等；基于IC卡的身份認(rèn)證：如磁存儲卡、邏輯加密卡，CPU卡等；基于零知識證明的身份認(rèn)證；基于“用戶名+口令”的身份認(rèn)證；基于電子鑰匙的身份認(rèn)證系統(tǒng)。電子政務(wù)-安全保障+-嘉庚學(xué)院具有文件加密和文件夾隱藏功能支持熱插拔（hotplug）外型小巧、靈活方便、安全可靠支持網(wǎng)絡(luò)登錄與身份認(rèn)證占用單獨(dú)的USB口、節(jié)省系統(tǒng)資源

支持公鑰證書（CA）

具有屏幕鎖定功能基于電子鑰匙的身份認(rèn)證電子政務(wù)-安全保障+-嘉庚學(xué)院海信NetKey身份認(rèn)證界面電子政務(wù)-安全保障+-嘉庚學(xué)院局域網(wǎng)終端遠(yuǎn)程撥號終端NT服務(wù)器身份認(rèn)證的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)電子政務(wù)-安全保障+-嘉庚學(xué)院（三）數(shù)據(jù)加密設(shè)備

通常將單鑰、雙鑰密碼結(jié)合在一起使用：

單鑰算法用來對數(shù)據(jù)進(jìn)行加密；

雙鑰算法用來進(jìn)行密鑰交換。

數(shù)據(jù)加密可在通信的三個層次來實(shí)現(xiàn)：

鏈路加密；

節(jié)點(diǎn)加密；

端到端加密。電子政務(wù)-安全保障+-嘉庚學(xué)院鏈路加密設(shè)備的特點(diǎn)

每個節(jié)點(diǎn)對收到的信息先解密，后加密；

它掩蓋了被傳輸消息的源點(diǎn)與終點(diǎn)；

消息的報頭和路由信息以密文方式傳輸。加密機(jī)密文加密機(jī)加密機(jī)密文明文明文明文加密機(jī)源點(diǎn)終點(diǎn)電子政務(wù)-安全保障+-嘉庚學(xué)院節(jié)點(diǎn)加密設(shè)備的特點(diǎn)在節(jié)點(diǎn)先對消息進(jìn)行解密，后進(jìn)行加密；不允許消息在節(jié)點(diǎn)以明文方式存在；

消息的報頭和路由信息以明文方式傳輸。明文加密機(jī)密文密文密文明文加密機(jī)源點(diǎn)終點(diǎn)電子政務(wù)-安全保障+-嘉庚學(xué)院端到端加密設(shè)備的特點(diǎn)

數(shù)據(jù)從源點(diǎn)到終點(diǎn)始終以密文形式存在；

數(shù)據(jù)從源點(diǎn)加密后到終點(diǎn)才被解密；

安全性高，系統(tǒng)維護(hù)方便。加密機(jī)明文明文加密機(jī)源點(diǎn)終點(diǎn)密文密文電子政務(wù)-安全保障+-嘉庚學(xué)院加密機(jī)的應(yīng)用圖例網(wǎng)絡(luò)中心安全路由器密碼管理中心因特網(wǎng)加密機(jī)加密機(jī)加密機(jī)電子政務(wù)-安全保障+-嘉庚學(xué)院（四）安全日志與審計系統(tǒng)

數(shù)據(jù)采集、還原處理及備份功能：提供豐富的采樣條件設(shè)置；對電子郵件與傳輸文件的壓縮部分自動解壓；自動英漢翻譯，提供全文本高速翻譯系統(tǒng)。自動中標(biāo)檢查，即關(guān)鍵詞檢查；日志管理與審計：發(fā)件瀏覽審查，提供多種審查方式；發(fā)件統(tǒng)計分析，包括指定日期或時間段的發(fā)件數(shù)、中標(biāo)數(shù)、中標(biāo)率、涉密數(shù)等；

報表生成和打?。ò?月/日報表）；發(fā)件人、收件人檔案記錄。

Http、、入侵、DNS請求等行為分析;

Web頁面非法篡改檢測。電子政務(wù)-安全保障+-嘉庚學(xué)院安全日志與審計系統(tǒng)運(yùn)行環(huán)境服務(wù)器（中標(biāo)）外部網(wǎng)內(nèi)部網(wǎng)路由器集線器數(shù)據(jù)采集器數(shù)據(jù)庫網(wǎng)關(guān)自動解壓自動翻譯綜合管理打印機(jī)電子政務(wù)-安全保障+-嘉庚學(xué)院（五）入侵檢測系統(tǒng)—IDS

在戰(zhàn)場上，你希望在要保護(hù)的地帶布置哨兵；在網(wǎng)絡(luò)中，你需要在要保護(hù)的關(guān)鍵部位布置入侵檢測系統(tǒng)（IDS—IntrusionDetectionSystem）。許多企業(yè)或機(jī)構(gòu)的網(wǎng)絡(luò)負(fù)責(zé)人都聲稱，他們的網(wǎng)絡(luò)是安全的，因?yàn)樗麄円呀?jīng)安裝了最新版的防火墻和IDS。其實(shí)，網(wǎng)絡(luò)安全是一個系統(tǒng)工程，僅靠安裝防火墻和IDS，只能解決部分安全問題，而離全面解決安全問題還差得太遠(yuǎn)。

IDS對于進(jìn)出網(wǎng)絡(luò)的全部活動進(jìn)行檢查。IDS可以識別出能夠引發(fā)網(wǎng)絡(luò)或系統(tǒng)攻擊的可疑數(shù)據(jù)。一旦發(fā)現(xiàn)了不正常的數(shù)據(jù)模式，就意味著有人企圖突入或損害系統(tǒng)。IDS可以是硬件系統(tǒng)，也可以是軟件系統(tǒng)。它能監(jiān)視和分析系統(tǒng)事件，以發(fā)現(xiàn)那些未經(jīng)授權(quán)就企圖訪問系統(tǒng)資源的網(wǎng)絡(luò)活動，并提供實(shí)時的或接近實(shí)時的事件告警。電子政務(wù)-安全保障+-嘉庚學(xué)院1、濫用檢測（AbuseDetection）在濫用檢測方式下，IDS對它收集到的信息進(jìn)行分析，并與攻擊簽名數(shù)據(jù)庫進(jìn)行比較。為了做到更有效，這種類型的IDS依賴于那些已經(jīng)被記錄在案的攻擊，它將收集到的可疑數(shù)據(jù)包與攻擊簽名數(shù)據(jù)庫中的樣本進(jìn)行比較。象許多病毒檢測系統(tǒng)一樣，濫用檢測軟件的好壞直接取決于攻擊簽名數(shù)據(jù)庫的好壞。2、異常檢測（AbnormalDetection）在異常檢測中，首先要為系統(tǒng)設(shè)立一個正?；顒拥牡拙€（Baseline）。它包括這樣一些內(nèi)容：網(wǎng)絡(luò)業(yè)務(wù)流負(fù)荷的狀態(tài)、故障死機(jī)、通信協(xié)議，及典型的數(shù)據(jù)包長度。在采用異常檢測時，探測器監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)段并將當(dāng)前狀態(tài)與正常底線狀態(tài)相比較，以識別異常狀況。1、入侵檢測系統(tǒng)的分類電子政務(wù)-安全保障+-嘉庚學(xué)院1、入侵檢測系統(tǒng)的分類3、基于網(wǎng)絡(luò)的系統(tǒng)（Network-basedIDS）基于網(wǎng)絡(luò)的系統(tǒng)也稱為NIDS。NIDS對流過網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行逐個檢查和評估，以確定該數(shù)據(jù)包是否是由黑客特意設(shè)計的數(shù)據(jù)包。這些數(shù)據(jù)包能夠逃過許多防火墻的簡單過濾規(guī)則的過濾，進(jìn)入到內(nèi)部網(wǎng)絡(luò)。4、基于主機(jī)的系統(tǒng)（Host-basedIDS）在基于主機(jī)的系統(tǒng)中，IDS對單臺計算機(jī)或主機(jī)上的網(wǎng)絡(luò)活動進(jìn)行檢查。進(jìn)行評估的項(xiàng)目包括：對重要系統(tǒng)文件的修改、異常的或過度的CPU活動、root或管理權(quán)限的濫用等。電子政務(wù)-安全保障+-嘉庚學(xué)院1、入侵檢測系統(tǒng)的分類

5、被動系統(tǒng)（PassiveIDS）

在被動系統(tǒng)中，IDS僅檢測潛在的安全缺陷，記錄可疑信息，并發(fā)出提示信息或報警，而系統(tǒng)并不采取任何直接的行動。6、反動系統(tǒng)（ReactiveIDS）

在反動系統(tǒng)中，IDS能夠以不同方式對各種可疑的活動作出響應(yīng)。這些對可疑活動的反應(yīng)方式包括：對離線的用戶進(jìn)行記錄，關(guān)掉某個連接，或甚至重新對防火墻進(jìn)行編程以阻斷來自可疑源地址的惡意網(wǎng)絡(luò)數(shù)據(jù)流。

電子政務(wù)-安全保障+-嘉庚學(xué)院2、IDS的發(fā)展趨勢1、具有預(yù)測功能安全廠商們正在開發(fā)下一代具有預(yù)測功能的IDS，即IDS能夠識別并記錄攻擊，并且不會受到自身日志數(shù)據(jù)的影響，而且能夠進(jìn)行無憂的最小差錯告警。2、能夠辨別攻擊發(fā)生的時態(tài)下一代IDS將能夠辨別攻擊已經(jīng)發(fā)生、正在發(fā)生或可能發(fā)生。它利用指示器和告警、網(wǎng)絡(luò)監(jiān)控和管理數(shù)據(jù)、已知漏洞和威脅等信息，構(gòu)造一個攻擊復(fù)原程序。3、采用蜜罐技術(shù)密罐在設(shè)計時就是能夠使攻擊者進(jìn)入，一旦黑客進(jìn)入，我們就可以實(shí)現(xiàn)我們的許多目的。我們可以預(yù)警、建立入侵檢測機(jī)制，或阻斷入侵。電子政務(wù)-安全保障+-嘉庚學(xué)院4、分布式跨平臺運(yùn)行

IDS系統(tǒng)是否能在不同的操作系統(tǒng)平臺（如Windows，UNIX，Linux等）上運(yùn)行，也會限制這些技術(shù)的使用。5、多系統(tǒng)聯(lián)動

未來的IDS將不是作為一個獨(dú)立的系統(tǒng)來運(yùn)行，它必須能夠與網(wǎng)絡(luò)中的其他設(shè)備實(shí)現(xiàn)互動。它能夠從其它系統(tǒng)中獲得更多的有關(guān)攻擊的信息，降低誤報率，并采取主動防御措施，以阻斷攻擊。6、保留高質(zhì)量的日志作為起訴證據(jù)日志必須保持特定的質(zhì)量，并且必須對網(wǎng)絡(luò)上所有計算機(jī)的操作、登錄和退出類型進(jìn)行記錄。同時，對所收集的信息進(jìn)行保護(hù)以保持法律上的價值，是即時響應(yīng)計劃的一部分。如果IDS沒有即時響應(yīng)計劃，實(shí)際上降低了IDS自身的價值，IDS的日志就變成毫無價值的數(shù)據(jù)。2、IDS的發(fā)展趨勢電子政務(wù)-安全保障+-嘉庚學(xué)院3、IDS應(yīng)用中的幾個問題1、IDS的選型要合理在系統(tǒng)中IDS的布置也特別重要，究竟是選用基于主機(jī)的IDS還是基于網(wǎng)絡(luò)的IDS，或者兩種都要，這些需要根據(jù)組織機(jī)構(gòu)的安全策略而定。2、要根據(jù)安全策略進(jìn)行評估在選擇入侵檢測系統(tǒng)策略和產(chǎn)品之前，用戶必須對網(wǎng)絡(luò)的安全需求作徹底的分析。投資回報（ROI—returnoninvestment）雖然難以計算，但是在任何情況下，成本和收益需要加以權(quán)衡。在IDS的成本得到正確判定之前，我們需要關(guān)注整個信息安全架構(gòu)中的許多問題。評估的最后結(jié)果也許會認(rèn)為，選擇和實(shí)施IDS是一種浪費(fèi)。用戶網(wǎng)絡(luò)中也許已經(jīng)擁有了某些技術(shù)，只不過沒有得到充分利用或沒有得到合理配置。

電子政務(wù)-安全保障+-嘉庚學(xué)院3、IDS應(yīng)用中的幾個問題（續(xù)）3、成立安全協(xié)作小組在對網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析時，要求服務(wù)器的管理人員和網(wǎng)絡(luò)設(shè)備管理人員一起進(jìn)行協(xié)作。只有這樣，我們才能知道系統(tǒng)是否已經(jīng)對漏洞打了補(bǔ)丁，訪問控制方案是否存在弱口令，對root或管理員的訪問是否控制得當(dāng)。4、對已知的漏洞打安全補(bǔ)丁在所有廠商中，安全補(bǔ)丁是重點(diǎn)考慮的事情，應(yīng)該得到重點(diǎn)開發(fā)。因此，在安裝IDS之前，首先準(zhǔn)確認(rèn)識你的網(wǎng)絡(luò)或主機(jī)的安全狀態(tài)，把它們提高到一個基本的安全級別上，并且采用一定的維護(hù)手段使它們穩(wěn)定在所期望的安全等級上，也許更加有效。一旦完成了以上工作，IDS會對整個網(wǎng)絡(luò)的安全性發(fā)揮更大的作用。電子政務(wù)-安全保障+-嘉庚學(xué)院4、一個好的IDS應(yīng)具備哪些特性1、用最少的人力干預(yù)連續(xù)運(yùn)行它應(yīng)該在后臺運(yùn)行。內(nèi)部的工作應(yīng)該能夠從外部檢查到，所以它不是黑盒子。2、容錯是必須的

容錯使它能夠從系統(tǒng)災(zāi)難中幸存下來，并且不需要重新啟動，就可以重建知識數(shù)據(jù)庫。3、它必須難以破壞它應(yīng)該能夠監(jiān)視其本身存在的可疑活動，這些活動試圖削弱IDS的檢測系統(tǒng)或試圖關(guān)機(jī)，從這個意義上講系統(tǒng)必須是自動修復(fù)的（self-healing）。4、性能是非常關(guān)鍵的如果產(chǎn)生了性能問題，IDS就不能用。電子政務(wù)-安全保障+-嘉庚學(xué)院5、能夠發(fā)現(xiàn)異常行為它必須能夠發(fā)現(xiàn)與正常網(wǎng)絡(luò)行為的偏離；6、易于配置對于它所監(jiān)控的系統(tǒng)來說，IDS必須易于配置。每一系統(tǒng)都有一個不同的使用模式，IDS的防護(hù)機(jī)制應(yīng)該易于適應(yīng)這些模式。7、對環(huán)境有很強(qiáng)的適應(yīng)性它應(yīng)該象一個變色龍，能夠適應(yīng)于它所處的環(huán)境，當(dāng)系統(tǒng)變化時，如當(dāng)系統(tǒng)增加新的應(yīng)用、升級和任何其它改變時，應(yīng)該能與系統(tǒng)保持同步改變。8、必須考慮對其自身的防護(hù)為了更有效，IDS必須具有嵌入式防護(hù)機(jī)制，并且它周圍的環(huán)境應(yīng)該得到加固，使它難于被欺騙。4、一個好的IDS應(yīng)具備哪些特性電子政務(wù)-安全保障+-嘉庚學(xué)院5、建立IDS保護(hù)系統(tǒng)的步驟行動1：用戶必須愿意提供資源（資金、人力和時間）對當(dāng)前系統(tǒng)和網(wǎng)絡(luò)中存在的缺陷打安全補(bǔ)丁，并且把網(wǎng)絡(luò)和主機(jī)的安全放在工作首位。行動2：所有的系統(tǒng)和網(wǎng)絡(luò)管理員必須通過培訓(xùn)，掌握基本的安全技能，并專注于消除基本的安全缺陷。培訓(xùn)主要應(yīng)集中在以下幾個方面：系統(tǒng)安全性泄露、漏洞測試、通常的攻擊及解決方案、防火墻設(shè)計和配置，以及一些其它的安全技巧。行動3：一旦安全目標(biāo)已定，我們就必須采取適當(dāng)?shù)男袆?。網(wǎng)絡(luò)和系統(tǒng)管理員需要保持技術(shù)更新，并在系統(tǒng)和網(wǎng)絡(luò)的適當(dāng)位置布置安全防護(hù)措施和設(shè)備，來監(jiān)控和維護(hù)系統(tǒng)的安全性。電子政務(wù)-安全保障+-嘉庚學(xué)院（六）虛擬專網(wǎng)—VPNVPN是在公眾數(shù)據(jù)網(wǎng)上建立私有數(shù)據(jù)網(wǎng)；

VPN技術(shù)主要是隧道技術(shù)和密碼技術(shù)；按其在不同層次上實(shí)現(xiàn)，可分四種：

鏈路層VPN

網(wǎng)絡(luò)層VPN

傳輸層VPN

非IP類VPN

VPN應(yīng)用領(lǐng)域包括：

遠(yuǎn)程移動用戶遠(yuǎn)程訪問公司總部；

總部與分支機(jī)構(gòu)在公網(wǎng)上組建內(nèi)域網(wǎng)；

內(nèi)域網(wǎng)與合作伙伴網(wǎng)絡(luò)連接形成外域網(wǎng)。電子政務(wù)-安全保障+-嘉庚學(xué)院VPN隧道示意圖Internet隧道包虛擬隧道隧道端點(diǎn)數(shù)據(jù)包隧道包報頭數(shù)據(jù)包電子政務(wù)-安全保障+-嘉庚學(xué)院VPN應(yīng)用實(shí)例VPNVPN服務(wù)器服務(wù)器服務(wù)器數(shù)據(jù)庫數(shù)據(jù)庫數(shù)據(jù)庫PC機(jī)PC機(jī)PC機(jī)電話電話電話傳真?zhèn)髡鎮(zhèn)髡婵偣痉止痉止綱PNInternet電子政務(wù)-安全保障+-嘉庚學(xué)院VPN支持移動用戶遠(yuǎn)程上網(wǎng)遠(yuǎn)程LAN公司LANVPNVPNModems移動終端（VPN客戶端）Internet

電子政務(wù)-安全保障+-嘉庚學(xué)院物理隔離系統(tǒng)內(nèi)外網(wǎng)的安全隔離。電子政務(wù)-安全保障+-嘉庚學(xué)院管理保障1、成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組1、要從上到下把網(wǎng)絡(luò)安全重視起來，由行政領(lǐng)導(dǎo)牽頭，技術(shù)部門負(fù)責(zé)，系統(tǒng)和管理員參與，成立安全管理領(lǐng)導(dǎo)監(jiān)督小組。

2、加強(qiáng)網(wǎng)絡(luò)安全項(xiàng)目的建設(shè)和管理，負(fù)責(zé)貫徹國家有關(guān)網(wǎng)絡(luò)安全的法律、法規(guī)，落實(shí)各項(xiàng)網(wǎng)絡(luò)安全措施；

3、督促有關(guān)部門對用戶進(jìn)行安全教育，監(jiān)督、檢查、指導(dǎo)網(wǎng)絡(luò)安全工作。

4、監(jiān)督網(wǎng)絡(luò)安全管理制度的執(zhí)行和貫徹，查處違反網(wǎng)絡(luò)安全管理的違紀(jì)、違規(guī)行為。

5、協(xié)助、配合公安機(jī)關(guān)查處網(wǎng)絡(luò)犯罪行為。電子政務(wù)-安全保障+-嘉庚學(xué)院2、制訂一套完整的安全方案

一套完整的安全方案是整個系統(tǒng)安全的有力保障，要結(jié)合自己實(shí)際的網(wǎng)絡(luò)狀況，從人力、物力、財力做好部署與配置，由于安全方案涉及到了安全理論、安全產(chǎn)品、網(wǎng)絡(luò)技術(shù)、系統(tǒng)技術(shù)實(shí)現(xiàn)等多方面專業(yè)技能，并且要求要有較高的認(rèn)知能力，大多數(shù)企業(yè)、公司、政府等可能不具備此能力，此時可以聘請專業(yè)安全顧問公司來完成。大多安全顧問公司在做安全方案方面有著豐富的經(jīng)驗(yàn)，能夠制訂出符合需要的合理的安全方案。電子政務(wù)-安全保障+-嘉庚學(xué)院1、五類安全業(yè)務(wù)五大類安全業(yè)務(wù)訪問控制業(yè)務(wù)數(shù)據(jù)保密性業(yè)務(wù)數(shù)據(jù)完整性業(yè)務(wù)對象認(rèn)證業(yè)務(wù)不可否認(rèn)業(yè)務(wù)電子政務(wù)-安全保障+-嘉庚學(xué)院2、規(guī)定的八個安全機(jī)制規(guī)定的八個安全機(jī)制加密數(shù)字簽名訪問控制數(shù)據(jù)完整性認(rèn)證交換數(shù)據(jù)流填充路由控制公證電子政務(wù)-安全保障+-嘉庚學(xué)院3、網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全的七個安全技術(shù)防火墻技術(shù)加密技術(shù)認(rèn)證技術(shù)數(shù)字簽名技術(shù)安全審計技術(shù)監(jiān)控技術(shù)病毒防治技術(shù)電子政務(wù)-安全保障+-嘉庚學(xué)院（四）安全工作的目標(biāo)安全工作的目標(biāo)1、“進(jìn)不來”——訪問控制機(jī)制2、“拿不走”——授權(quán)機(jī)制3、“看不懂”——加密機(jī)制4、“改不了”——數(shù)據(jù)完整性機(jī)制5、“逃不掉”——審計/監(jiān)控/簽名機(jī)制電子政務(wù)-安全保障+-嘉庚學(xué)院（五）安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)簡介物理安全—機(jī)房屏蔽門鎖防電磁輻射網(wǎng)絡(luò)安全—服務(wù)器入侵檢測防毒備份信息安全—加密完整性防抵賴數(shù)據(jù)庫安全管理—多人原則任期有限職責(zé)分離電子政務(wù)-安全保障+-嘉庚學(xué)院4、制定并貫徹安全管理制度

在對系統(tǒng)安全方案和系統(tǒng)安全處理的同時，還必須制定出一套完整的安全管理制度。例如：外來人員網(wǎng)絡(luò)訪問制度，服務(wù)器機(jī)房出入管理制度，管理員網(wǎng)絡(luò)維護(hù)管理制度等等。約束普通用戶等網(wǎng)絡(luò)訪問者，督促管理員很好地完成自身的工作，增強(qiáng)大家的網(wǎng)絡(luò)安全意識，防止因粗心大意或不貫徹制度而導(dǎo)致安全事故。尤其要注意制度的監(jiān)督貫徹執(zhí)行，否則就形同虛設(shè)。電子政務(wù)-安全保障+-嘉庚學(xué)院5、建立完善的安全保障體系

建立完善的安全保障體系是系統(tǒng)安全所必需的，如管理人員安全培訓(xùn)、可靠的數(shù)據(jù)備份、緊急事件響應(yīng)措施、定期系統(tǒng)安全評估及更新升級系統(tǒng)，如此這些都為系統(tǒng)的安全提供了有力的保障，確保系統(tǒng)能一直處于最佳的安全狀態(tài)，即便系統(tǒng)受到攻擊，也能最大程度地挽回?fù)p失。電子政務(wù)-安全保障+-嘉庚學(xué)院服務(wù)保障安全管理的概念解析安全管理，可以從IT治理的層面看，也可以從IT運(yùn)行的層面看。在不同的層面，安全管理有著不同的內(nèi)涵和外延。并可作為落實(shí)IT治理的技術(shù)手段。安全管理的目標(biāo)是要以業(yè)務(wù)安全需求為導(dǎo)向，以保證政府業(yè)務(wù)連續(xù)性為目的，通過對業(yè)務(wù)信息系統(tǒng)的運(yùn)行狀態(tài)、安全事件、資產(chǎn)、漏洞、威脅、風(fēng)險、預(yù)警、安全策略、安全知識等安全要素進(jìn)行收集、分析、管理，提供以業(yè)務(wù)風(fēng)險管理為核心的安全運(yùn)行管理平臺。集中的監(jiān)測、集中的安全分析、集中的安全決策和集中的響應(yīng)控制。電子政務(wù)-安全保障+-嘉庚學(xué)院驅(qū)動當(dāng)今安全管理發(fā)展的主要因素內(nèi)因：國內(nèi)信息化水平發(fā)展階段使然。經(jīng)過多年的發(fā)展，國內(nèi)的信息化基建建設(shè)已經(jīng)初具規(guī)模，很多政府部門的基礎(chǔ)設(shè)施都基本搭建完成，維護(hù)著大量的IT設(shè)施。面對這些復(fù)雜的IT資源及其所承載的業(yè)務(wù)系統(tǒng)的管理，尤其是安全管理，越來越成為制約企業(yè)信息化水平進(jìn)一步提升的瓶頸，越來越多的用戶已經(jīng)主動提出要部署安全管理產(chǎn)品了。外因：法律法規(guī)和風(fēng)險與內(nèi)控管理。通過安全管理系統(tǒng)可以有效地進(jìn)行IT信息系統(tǒng)的審計與合規(guī)管理。在國內(nèi)，近來國資委、銀監(jiān)會、證監(jiān)會、電信、移動、民航等等，紛紛發(fā)布了風(fēng)險管理的相關(guān)法規(guī)和指引，都強(qiáng)調(diào)了IT信息系統(tǒng)安全管理的重要性，尤其提出了企業(yè)的一把手責(zé)任制。電子政務(wù)-安全保障+-嘉庚學(xué)院IT資源環(huán)境的定義IT資源環(huán)境是指包括網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施、主機(jī)、服務(wù)器、支撐服務(wù)和應(yīng)用中間件，以及業(yè)務(wù)運(yùn)營系統(tǒng)在內(nèi)的企業(yè)和組織所有IT設(shè)施的總和，它既有硬件，也有軟件。在安全管理中，IT資源環(huán)境就是被保護(hù)對象，可以劃分為三個層次：基礎(chǔ)設(shè)施層、應(yīng)用層和業(yè)務(wù)層。電子政務(wù)-安全保障+-嘉庚學(xué)院業(yè)務(wù)的定義業(yè)務(wù)，是業(yè)務(wù)系統(tǒng)的簡稱。從技術(shù)層面上看，業(yè)務(wù)是一組IT資源及其相互關(guān)系的集合。例如，一個OA業(yè)務(wù)可能包括了OA的中間件，承載這個中間件系統(tǒng)運(yùn)行的服務(wù)器、數(shù)據(jù)庫系統(tǒng)和承載數(shù)據(jù)庫運(yùn)行的服務(wù)器，包括這些服務(wù)器連接的交換機(jī)、防火墻，甚至還包括服務(wù)器所在的機(jī)房。這些IT資源有機(jī)的結(jié)合在一起，共同承擔(dān)一組產(chǎn)生特定客戶價值的任務(wù)，就形成了業(yè)務(wù)。在我國信息安全領(lǐng)域，一般把業(yè)務(wù)的技術(shù)支撐架構(gòu)稱為計算機(jī)信息系統(tǒng)，簡稱信息系統(tǒng)。在GB17859-1999中，計算機(jī)信息系統(tǒng)定義為：由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。在GB/T220271-2006中，進(jìn)一步指出信息系統(tǒng)一般由支持軟件運(yùn)行的硬件系統(tǒng)（含計算機(jī)硬件和網(wǎng)絡(luò)硬件系統(tǒng)）、對系統(tǒng)資源進(jìn)行管理和為用戶使用提供基本支持的系統(tǒng)軟件（含計算機(jī)操作系統(tǒng)軟件、數(shù)據(jù)庫管理系統(tǒng)軟件、網(wǎng)絡(luò)協(xié)議軟件和管理軟件）、實(shí)現(xiàn)信息系統(tǒng)應(yīng)用功能的應(yīng)用系統(tǒng)軟件等組成。這些硬件和軟件共同協(xié)作運(yùn)行，實(shí)現(xiàn)信息系統(tǒng)的整體功能。電子政務(wù)-安全保障+-嘉庚學(xué)院

在兩年前國內(nèi)還沒有一家具有真正意義上的網(wǎng)絡(luò)安全公司，但由于目前形勢的需要，國內(nèi)的安全顧問公司可以說是蓬勃發(fā)展，百花齊放，但主要是從以下幾種公司轉(zhuǎn)型而來的：

（1）網(wǎng)絡(luò)安全產(chǎn)品公司兼做網(wǎng)絡(luò)安全服務(wù)

（2）傳統(tǒng)系統(tǒng)集成公司設(shè)立網(wǎng)絡(luò)安全部門

（3）自由黑客組織轉(zhuǎn)型為專業(yè)網(wǎng)絡(luò)安全公司

（4）國家科研教育機(jī)構(gòu)成立的網(wǎng)絡(luò)安全公司電子政務(wù)-安全保障+-嘉庚學(xué)院

選擇安全顧問公司是要必須非常謹(jǐn)慎的，要從安全公司的背景、理念、實(shí)力、管理等多方面進(jìn)行考查，不僅要看一個安全公司的技術(shù)和資金實(shí)力，而且還要看公司人員的組成，因?yàn)橐坏┠愕南到y(tǒng)交給了安全公司，其實(shí)你的系統(tǒng)就等于對其百分之百地開放，但大多網(wǎng)絡(luò)安全公司人員層次不齊，即便技術(shù)和資金很強(qiáng)，但若管理不善，人員流失較大，就會使得其客戶的系統(tǒng)資料處于不可控狀態(tài)，從而帶來極大的安全隱患，所以一旦選擇失誤，不僅不能帶來安全保障，而且可能會帶來無盡的夢魘。電子政務(wù)-安全保障+-嘉庚學(xué)院基礎(chǔ)設(shè)施保障電子政務(wù)的基礎(chǔ)—PKI

20世紀(jì)80年代，美國學(xué)者提出了PKI（公開密鑰設(shè)施）的概念。

為了推進(jìn)PKI在聯(lián)邦政府范圍內(nèi)的應(yīng)用，美國在1996年成立了聯(lián)邦PKI指導(dǎo)委員會；

1999年，PKI論壇成立；

2000年4月，美國國防部宣布要采用PKI安全倡議方案。

2001年6月13日，在亞洲和大洋洲推動PKI進(jìn)程的國際組織宣告成立，它就是“亞洲PKI論壇”，其宗旨是在亞洲地區(qū)推動PKI標(biāo)準(zhǔn)化，為實(shí)現(xiàn)全球電子商務(wù)奠定基礎(chǔ)。電子政務(wù)-安全保障+-嘉庚學(xué)院7月初，“亞洲PKI論壇”第二屆年會在北京召開，這將是迄今為止國內(nèi)最具規(guī)模的PKI專題研討會。作為提供信息安全服務(wù)的公共基礎(chǔ)設(shè)施，PKI目前是公認(rèn)的保障網(wǎng)絡(luò)社會安全的最佳體系。在我國，PKI建設(shè)在幾年前就已開始啟動。目前，金融、政府、電信等部門已經(jīng)建立了30多家CA認(rèn)證中心。如何推廣PKI應(yīng)用，加強(qiáng)系統(tǒng)之間、部門之間、各國之間PKI體系的互通互聯(lián)，已經(jīng)成為PKI建設(shè)亟待解決的重要問題。為了推廣PKI在國內(nèi)的應(yīng)用，加強(qiáng)國內(nèi)PKI建設(shè)與國際間的合作，國家計委批準(zhǔn)成立了“中國PKI論壇”，它將為PKI在中國的推廣應(yīng)用起到積極促進(jìn)作用。電子政務(wù)-安全保障+-嘉庚學(xué)院1、PKI的概念PKI是PublicKeyInfrastructure（公開密鑰基礎(chǔ)設(shè)施）的縮寫，是一種普遍適用的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。有了PKI，安全應(yīng)用程序的開發(fā)者就不必再關(guān)心復(fù)雜的數(shù)學(xué)模型和運(yùn)算，只需要直接按照標(biāo)準(zhǔn)使用一種插座（接口）即可。PKI的組成：

數(shù)字證書是PKI中最基本的元素，所有安全操作都主要通過證書來實(shí)現(xiàn)。

CA—簽署這些證書的認(rèn)證機(jī)構(gòu)、

RA—登記和批準(zhǔn)證書簽署的登記機(jī)構(gòu)

電子目錄—存儲和發(fā)布這些證書的機(jī)構(gòu)。除此之外，PKI中還包括證書策略、證書路徑、證書的使用者等。所有這些都是PKI的基本部件，它們有機(jī)地結(jié)合在一起就構(gòu)成了PKI。電子政務(wù)-安全保障+-嘉庚學(xué)院

證書格式

我國PKI體系中的證書格式完全遵照X.509協(xié)議。公鑰加密標(biāo)準(zhǔn)

我國的PKI體系目前普遍采用RSA算法，這是目前公認(rèn)比較安全的算法。橢圓曲線加密（ECC）雖然被認(rèn)為是很有發(fā)展前途的一種新型公鑰加密算法，但目前離實(shí)際應(yīng)用還有一定距離，同時ECC的標(biāo)準(zhǔn)化問題尚未完全解決。

3、國內(nèi)PKI標(biāo)準(zhǔn)化現(xiàn)狀電子政務(wù)-安全保障+-嘉庚學(xué)院4、國內(nèi)PKI問題與思考

在我國，自1998年第一家CA認(rèn)證中心（CTCA）成立以來，全國已經(jīng)有超過30家CA存在。但是無庸諱言的是，我國PKI/CA建設(shè)還處在起步的階段，存在不少亟待解決的問題。電子政務(wù)-安全保障+-嘉庚學(xué)院各家在建立CA的過程中對技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的理解有較大差距；各家CA基本處于互相分割狀態(tài)，成為互不關(guān)聯(lián)的信任孤島，尚未形成完整的國家PKI體系；已建成的CA規(guī)模小、利用率低且產(chǎn)業(yè)有待重組，距離可商業(yè)化運(yùn)作的規(guī)模還相差很遠(yuǎn)；有些單位過低估計了建設(shè)CA應(yīng)負(fù)的社會責(zé)任和經(jīng)濟(jì)責(zé)任；有些單位過低估計了建設(shè)CA的難度，一些已經(jīng)建立的CA對自身的安全性普遍考慮不夠全面。4、國內(nèi)PKI問題與思考（續(xù)）電子政務(wù)-安全保障+-嘉庚學(xué)院●證書中心CA

它是整個證書與密鑰管理系統(tǒng)的核心，可完成系統(tǒng)的核心處理功能，包括：產(chǎn)生和管理CA與用戶的密鑰、簽發(fā)各種證書和CRL（證書撤消列表）、管理和維護(hù)核心數(shù)據(jù)庫中的用戶證書及密鑰信息，以及對其他模塊的請求進(jìn)行處理和應(yīng)答。

●注冊中心RA

它是注冊和審核處理機(jī)構(gòu)，主要負(fù)責(zé)用戶的注冊管理和各種業(yè)務(wù)申請信息的審核管理，是CA的業(yè)務(wù)前端。

●管理工具Admin

它可以實(shí)現(xiàn)對整個系統(tǒng)的配置和管理。

●目錄服務(wù)系統(tǒng)LDAP

它可以完成證書系統(tǒng)的發(fā)布功能，負(fù)責(zé)存放用戶證書、CRL、授權(quán)信息及其他用戶信息。5、數(shù)字證書是PKI的核心電子政務(wù)-安全保障+-嘉庚學(xué)院根CA根CA一級子CA一級子CA一級子CA二級子CA二級子CARARARA受理點(diǎn)受理點(diǎn)受理點(diǎn)受理點(diǎn)RA交叉認(rèn)證（四）基于PKI的CA認(rèn)證架構(gòu)電子政務(wù)-安全保障+-嘉庚學(xué)院CA服務(wù)器申請證書獲取證書個人用戶機(jī)構(gòu)用戶

申請證書

獲取證書數(shù)據(jù)加密：密文傳送數(shù)字簽名：身份確認(rèn)數(shù)字證書的申請/發(fā)放過程電子政務(wù)-安全保障+-嘉庚學(xué)院（五）建立電子政務(wù)安全系統(tǒng)電子政務(wù)-安全保障+-嘉庚學(xué)院威海政務(wù)網(wǎng)安全解決方案電子政務(wù)-安全保障+-嘉庚學(xué)院合作伙伴防火墻+VPN防火墻+VPN防火墻+VPN防火墻+VPN安全服務(wù)器網(wǎng)絡(luò)SSNWeb服務(wù)器Email服務(wù)器DNS服務(wù)器移動用戶防病毒服務(wù)器

CA認(rèn)證服務(wù)器信息審計系統(tǒng)網(wǎng)絡(luò)監(jiān)控系統(tǒng)Internet分支機(jī)構(gòu)公開服務(wù)網(wǎng)安全服務(wù)網(wǎng)內(nèi)部網(wǎng)VPN電子政務(wù)-安全保障+-嘉庚學(xué)院82建立安全的物理層，保障電子政務(wù)系統(tǒng)的物理安全保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機(jī)犯罪行為導(dǎo)致的破壞過程.它主要