电子政务理论与实务第11章课件.ppt

《电子政务理论与实务第11章课件.ppt》由会员分享，可在线阅读，更多相关《电子政务理论与实务第11章课件.ppt（103页珍藏版）》请在三一办公上搜索。

1、第11章 电子政务系统的安全,11.1 网络安全所面临的威胁11.2 国外计算机犯罪的现状 11.3 电子政务安全概述11.4 网络安全技术 11.5 入侵检测系统 思考题与习题,1,11.1 网络安全所面临的威胁,11.1.1 网络安全威胁概述 Internet为人类交换信息，促进科学、技术、文化、教育、生产的发展，提高现代人的生活质量提供了极大的便利，但同时对国家、单位和个人的信息安全带来了严重的威胁。由于因特网的全球性、开放性、无缝连通性、共享性、动态性发展，使得任何人都可以自由地接入Internet，其中有善者，也有恶者。恶者会采用各种攻击手段进行破坏活动。网络安全面临的攻击有独立的犯

2、罪者、有组织的犯罪集团和国家情报机构。对网络的攻击具有以下新特点：无边界性、突发性、蔓延性和隐蔽性。因此我们考虑网络安全，就要首先知道网络安全面临有哪些威胁。,2,网络安全所面临的威胁来自很多方面，并且随着时间的变化而变化。这些威胁可以宏 观地分为人为威胁和自然威胁。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件，有时会直接威胁网络的安全，影响信息的存储媒体。我们主要讨论人为威胁，也就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治上不可估量的损失。,3,图11-1 攻击类型

3、示意图,4,(1)中断：是对系统的可用性进行攻击，如破坏计算机硬件、线路或文件管理系统。(2)窃听：是对系统的保密性进行攻击，如搭线窃听、对文件或程序的非法拷贝。(3)篡改：是对系统的完整性进行攻击，如修改数据文件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的信息内容。(4)伪造：是对系统的真实性进行攻击。如在网络中插入伪造的消息或在文件中插入伪造的记录。,5,图11-2 被动攻击和主动攻击,6,1被动攻击 被动攻击相应于攻击类型中的窃听，敌手的目标是窃取传输中的信息。被动攻击又分为两类，一类是获取信息的内容，很容易理解；第二类是进行业务流分析，假如我们通过某种手段，比如加密，使得

4、敌手从截获的信息中无法得到信息的真实内容，然而敌手却有可能获得信息的格式、确定通信双方的位置和身份以及通信的次数和信息的长度，这些信息可能对通信双方来说是敏感的，例如政府间的公文传输可能是保密的，电子函件用户可能不想让他人知道自己正在和谁通信，电子现金的支付者可能不想让别人知道自己正在消费，Web浏览器用户也可能不愿意让别人知道自己正在浏览哪一站点。被动攻击因不对传输的信息做任何修改，因而是难以检测的，所以抗击这种攻击的重点在于预防。,7,2主动攻击 这种攻击包括对数据流的某些篡改或产生某些假的数据流。主动攻击又可分为以下4个子类。(1)假冒：某个实体(人或者系统)假装成另外一个实体，以使某一

5、防线的守卫者相信它是一个合法的实体，此后便可窃取合法用户的权利和权限。这是侵入安全防线最为常用的方法。(2)重放：攻击者对截获的某次合法数据进行拷贝，以后出于非法的目的而重新发送。(3)消息的篡改：指某一通信数据在传输过程中被改变、删除或替代，如“授权甲读机密文件”改为“授权乙读机密文件”。,8,(4)业务拒绝：对通信设备的使用和管理被无条件地拒绝。这种攻击可能有一个特定的目标，例如某个实体对到某一特定终端的所有消息，都予以阻止。还有一类业务拒绝是对整个网络实施破坏，例如使网络瘫痪或用大量无用信息使其资源耗尽。绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信线路进行物理保护，因此

6、抗击主动攻击的主要途径是检测，以及对此攻击造成的破坏进行恢复。,9,11.1.2 网络入侵者和病毒 1.黑客与恶意软件 网络安全的人为威胁主要来自用户(恶意的或无恶意的)和恶意软件的非法侵入。入侵网络的用户也称为黑客，黑客可能是某个无恶意的人，其目的仅仅是以破译和进入一个计算机系统为满足，或者是某个心怀不满的雇员，其目的是对计算机系统实施破坏，也可能是一个犯罪分子，其目的是非法窃取系统资源(如窃取信用卡号或非法资金传送)，对数据进行未授权的修改或破坏计算机系统。恶意软件是病毒、蠕虫等恶意程序，分为两类，如图11-3所示，一类需要主程序，另一类不需要。前者是某个程序中的一段，不能独立于实际的应用

7、程序或系统程序；后者是能被操作系统调度和运行的独立程序。,10,图11-3 恶意程序分类,11,对恶意软件也可根据其能否自我复制来进行分类。不能自我复制的是程序段，这种程序段在主程序被调用执行时就可激活；能够自我复制的或者是程序段(病毒)或者是独立的程序(蠕虫、细菌等)，当这种程序段或独立的程序被执行时，可能复制一个或多个自己的副本，以后这些副本可在这一系统或其他系统中被激活。以上仅是大致分类，因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一部分。下面对恶意程序作一简单介绍。,12,1)陷门 陷门是进入程序的秘密入口，掌握陷门的人可不经过通常的安全访问程序而访问该程序。陷门通常是由程序员调试程序时

8、合法使用的，程序员在调试具有认证功能且设置很长的应用程序时，也许希望有特别的权限或避免所有必要的设置和认证，因此希望有一种激活程序的方法。陷门是识别某些特定输入序列或通过运行某个特定用户ID或一个不可能事件序列能激活的码。,13,陷门一旦被恶意的程序员利用，或者被无意或有意的人发现将会带来严重的安全后果。比如，可能利用陷门在程序中建立隐蔽通道，甚至植入一些隐蔽的恶意程序。非法利用陷门可以使原来相互隔离的网络信息形成某种潜在的关联，进而可以非法访问网络，达到窃取、篡改、伪造和破坏信息等目的，甚至造成网络的大面积瘫痪。,14,2)逻辑炸弹 逻辑炸弹是早于病毒和蠕虫出现的最早的恶意程序之一，它是镶嵌

9、于合法程序并且设置了“爆炸”条件的代码。一旦满足设置的条件(例如某个特定文件的存在或缺省、某个特定的日期、运行应用程序的某个特定的用户等)，逻辑炸弹可能会修改或删除数据甚至整个文件，造成死机甚至网络瘫痪。,15,3)特洛伊木马 特洛伊木马是包含在有用程序中的隐藏码，当有用程序被调用时，这种隐藏码将执行某些有害功能。特洛伊木马能用于间接实现非授权用户不能直接实现的功能，例如一用户欲访问共享系统中另一用户的文件，他可建立一个特洛伊木马程序，该程序执行时能修改被访问用户文件的访问许可权限，使得任一用户都能读这一文件。特洛伊木马一般难于被发现，例如编译程序中的特洛伊木马程序，可在编译某个程序(如系统登

10、录程序)时在其中插入附加的码，这个码在登录程序中就建立了一个陷门以便特洛伊木马的作者使用某个特定的口令登录系统。这种特洛伊木马程序无法通过读登录程序的源代码而被发现。,16,4)病毒 病毒是一个程序，它能通过修改其他程序而将其感染。其中修改过程包括病毒程序本身的复制，复制得到的副本又可继续感染其他程序。生物病毒是遗传代码DNA或RNA的一个片段。它能进入并欺骗生物细胞，从而由生物为其复制成千上万个副本。与生物病毒类似，计算机病毒也可被复制。驻留在机器中的病毒可暂时控制计算机的磁盘操作系统，被感染的计算机一旦与其他软件接触，病毒将给这一软件复制自己的一个新副本。因此病毒的感染可通过用户之间交换磁

11、盘或在网络中发送程序而得以蔓延。,17,5)蠕虫 网络中的蠕虫程序通过网络连接关系从一个系统蔓延到另一系统。系统中，网络蠕虫一旦被激活，其行为或者与病毒或细菌一样、或者在网络中植入特洛伊木马程序、或者直接进行破坏活动。为了复制自己，网络蠕虫需利用某种网络载体，例如：(1)电子邮件：网络蠕虫可通过电子邮件将自己复制到其他系统。(2)远程执行能力：蠕虫可将自己复制到另一系统。(3)远程登录能力：蠕虫可像用户一样登录到某个远程系统，然后又将自己从这一系统复制到另一系统。和计算机病毒一样，网络蠕虫也有以下四个阶段：潜伏阶段、传播阶段、激活阶段和执行阶段。,18,传播阶段一般有以下方式：(1)检查主表或

12、类似的远程系统地址库，以搜索并感染其他系统。(2)建立和远程系统的连接。(3)将自己复制到远程系统并引起副本运行。网络蠕虫在将自己复制到某个系统时，也可能检查这个系统以前是否已被感染。在多 道程序系统中，蠕虫可能会将自己伪装成一个系统程序或使用某些不被系统操作员注意的其他名称。,19,6)细菌 细菌是不明显危害其他文件的程序，它们的惟一目的是复制自己。一个典型的细菌程 序在多道程序系统中可能同时建立自己的两个副本，或者建立两个新文件，每个新文件都是细菌程序最初源文件的副本，而每个副本又继续建立两个新的副本。如此下去，细菌数目指数地增长，最终占据所有处理器、存储器或磁盘空间，拒绝用户对这些资源的

13、访问。,20,11.2.1 美国的计算机犯罪状况 从20世纪70年代起，美国的官方和民间就开始收集、统计计算机犯罪案件。联邦调查局(FBI)和美国计算机安全协会(CSI)每年都联合对美国的计算机犯罪与信息安全状况进行调查，并将结果公布于众。2001年，他们对政府机构和企业的计算机安全与犯罪状况进行了调查，共收到538份反馈资料。,11.2 国外计算机犯罪的现状,21,基本状况是：政府机构和企业的计算机网络受到内外攻击的威胁越来越大，攻击的方式越来越多样化，造成的损失越来越严重，防范越来越困难。其中，91的调查对象承认在一年中曾遭受过不同形式的攻击，64的调查对象承认因攻击而导致经济损失，36的

14、调查对象向执法部门报告受到过攻击，94的调查对象承认感染过计算机病毒。犯罪的主要类型依次是拒绝服务攻击(78)、信息泄露(13)和经济欺诈(8)。,22,2001年8月，美国国会的一个下属机构公布了一份美国计算机犯罪年增长情况调查报告（见表11-1），报告中谈到，2000年由于电脑病毒以及黑客的攻击，至少给美国企业带来了2660亿美元的损失。这相当于美国GDP的2.5%。,表11-1 美国计算机犯罪年增长情况,23,11.2.2 日本的计算机犯罪状况 20世纪90年代，日本计算机犯罪问题日趋严重。日本警察厅在1998年发表的白皮书中称，日本国内利用电脑和网络犯罪的事件正在增多，有必要“采取有力

15、的对策”。这是日本首次在警察白皮书中重点论述高科技犯罪。白皮书称，1997年仅警察承认的高科技犯罪就达263起，比1993年增加了7倍。其中包括入侵银行系统非法转移多达十几亿日元的款项及在网络上发送淫秽图像等重大案件。白皮书称，随着电子货币的普及，日本高科技犯罪状况将更加严重。白皮书还承认，日本在对付电脑高科技犯罪方面比较落后，因此有必要健全有关法制，并建立相应组织以对付高科技犯罪。2001年，日本警方对计算机犯罪的发展趋势和类型进行了统计分析，总体情况是，随着网络的普及，与因特网有关的犯罪迅猛增长(见表11-2和表11-3)。,24,表11-2 日本计算机犯罪年增长情况,25,表11-3 日

16、本计算机犯罪类型情况,26,11.2.3 新加坡的计算机犯罪状况 新加坡警方一直坚持对计算机犯罪进行统计，表11-4是根据计算机滥用法第50条A款规定的罪名对1997至2000年间的计算机犯罪案件进行的统计。从表11-4可以看出，新加坡的计算机犯罪增长率较快。其中，非授权使用计算机提供的服务是主要的犯罪类型。,27,表11-4 新加坡计算机犯罪统计,28,11.2.4 韩国计算机犯罪状况,表11-5 韩国计算机犯罪统计,29,11.2.5 澳大利亚计算机犯罪状况 据澳大利亚计算机应急响应中心报告，2000年全国各地向该中心报告的计算机安全事件达8197起，比1999年增长了4倍多，比1998年

17、增长了近8倍，主要类型是网络入侵、病毒和拒绝服务攻击，见表11-6。,30,表11-6 澳大利亚计算机犯罪统计,31,11.3 电子政务安全概述,电子政务系统中有相当一部分信息涉及到国家安全和机密，电子政务系统必须形成有效的管理机制，维护自身的安全，以保守国家秘密，捍卫国家和社会公众的利益。因此，对于电子政务而言，安全问题由于它本身所具有的特殊性而显得尤为重要。在网络发展相对落后的中国，这一情况更为突出，根据媒体调查显示，尽管从技术层面来看，国内现在已经有了各种各样的解决方案，但在实际应用过程中，真正重视网络安全的政府机构、企业并不是很多。在国外企业的IT投资中，网络安全投资将占20%30%，

18、而在中国，企业对网络安全的投资在整个IT系统投资中的比例不到10%。IDC去年对亚太地区819家公司和政府机构调查发现，其中仅有不到1/4采取了网络安全防范措施。,32,据中国公安部公共信息网络安全监察局透露，近年来中国的计算机违法犯罪案件一直呈上升趋势：1998年立案侦查计算机违法犯罪案件仅为百余起；1999年增至400余起；2000年剧增为2700余起，比上年增加了5倍；2001年又涨到4500余起，比上年上升70%。网络安全问题形势严峻，严重影响着国内网络的正常发展，也对政府上网构成了现实威胁。对此，我们要给予充分的考虑和重视。,33,目前大部分网络安全问题都是由于管理人员的素质低下，缺

19、乏必要的安全知识所造成的。前不久新疆乌鲁木齐警方侦破一起电脑黑客非法侵入攻击政府网站案件，犯罪嫌疑人竟是一名17岁的学生。据来自国内某黑客组织的消息，经测试，国内很大一部分网站都能被黑掉，有些站点甚至可以说是轻而易举就能被黑掉。为此，提高网络管理技术人员的技术水平，增强相关人员的安全意识，就成了当务之急。电子政务作为网络应用的一个特殊领域，其安全性具有相当特殊的要求。除了上述一般性的安全问题是必须考虑的之外，电子政务安全问题中具有特殊要求的部分我们也必须考虑到，下面我们以电子政务所要考虑的“五化”问题为线索进行分析。,34,政府工作标准化建设中非常重要的安全问题，就是安全管理本身的标准建设。目

20、前国际上已有通行的ISO17799标准，而国内尚没有统一的标准，相当多的法律法规需要充分考虑，这方面通常是安全问题的最薄弱环节。这主要是由于管理意识不强，往往没有建立任何标准和管理制度所致；或者是由于缺乏经验，即便是建立了相应的制度也不能够考虑全面，许多建立了制度的单位也由于组织的不完善而得不到真正的贯彻执行。,35,政府工作服务化是政府直接的对外服务窗口，它在很大程度上代表了政府形象，其服务的真实性、服务的可靠性、服务的及时性、服务的方便性都是十分关键的。要保证这几点的实现并不是太难。但以下几方面的安全隐患应该引起特别关注，如系统信息被篡改、虚假信息被发布、系统平台被攻击、系统服务被阻塞等。

21、政府工作信息化是办公自动化的重要组成部分，对于这项基础性工作而言，存在的主要安全隐患表现在两个方面：一个是应用系统的安全问题，包括系统自身安全、非法访问等；另一个是数据的安全问题，数据作为系统最终的元素，是系统安全保障的根本，对于电子政务而言尤其重要。数据安全的主要隐患是窃取、篡改、假冒、抵赖和销毁。,36,政府工作网络化与网络安全是一对实际存在的矛盾，网络化要求通畅交流，安全则要求控制交流。这里除了网络技术本身存在的安全隐患外，主要问题是政府网络要求隔离，而各种交流可能直接引起网络的连通，并会由于连通而引起外部的攻击。同时，由于政府的大部分工作是在政府内部网络进行的，因而政府内部人员通过内部

22、网络安全防护不严的特点直接攻击系统漏洞，并窃取信息、假冒身份等现象也是政府工作网络化的重要安全问题。政府工作公开化将带来政府工作的社会化，即电子政务系统可能与电子商务系统、企业办公系统、Internet网站等相互交流，因而实际控制点数就会随之增加。但由于涉及面太广，实际上会造成系统的漏洞百出，并成为外部攻击的主要途径，从而使得其他方面的防患工作效果大大降低。,37,11.4 网络安全技术,11.4.1 虚拟专用网技术 VPN(Virtual Private Network)是一项非常适合电子数据交换(EDI)的技术，它可以在不同地理位置的两台计算机之间建立一个按需的连接，以此达到在公共的Int

23、ernet上或政府网之间实现安全的电子公文传递的目的。,38,所谓虚拟是指用户并没有拥有一个物理网，而是采用DDN(数字数据网)的部分网络资源所形成的一个用户可以管理监控的专用网络。用户通过VPN管理站对所属网各部分的端口进行状态监视、数据查询、端口控制和测试以及告警、计费、统计信息的收集等网络管理操作。公用数字数据网络的管理人员仍然保留对各个VPN进行控制和管理的能力，协助管理各个VPN。VPN包括需要相互通信的两台计算机、一条通过拨号建立的隧道，以及公共的Internet或政府间及政府部门间的局域网。为了确保通信的安全性，在两台计算机之间的数据传输是经过加密的。VPN可以支持数据、话音及图

24、像业务，也可以支持DDN所具有的其他业务。虚拟专用网的优点是经济、便于管理、方便快捷、适应变化等。当然，虚拟专用网也存在着一些问题，如当虚拟专用网使用公共线路时，其安全性会降低，容易受到攻击。,39,11.4.2 防火墙技术 当内部网络与外部网络互连时，防止外部用户非法使用内部网络的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，最有效的防范措施之一就是在内部网络和外部网络之间设置一个防火墙。防火墙技术是目前网络不受侵犯的最主要技术之一。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问。在电子政务活动中

25、，网络管理者在排除外部因素对数据的威胁时使用最多的是防火墙。防火墙是一种隔离控制技术，通过在内部网络(可信赖的网络)和外部网络(不可信赖的网络)之间设置一个或多个电子屏障(包括包过滤、电路网关和应用网关)来提供网络安全环境。其目的是阻止对信息资源的非法访问。,40,1.防火墙的功能及特点 1)防火墙的主要功能(1)保护数据的完整性。当某个人或某一组织对网络中所存储的数据进行非法修改（有意或无意）时，它就破坏了数据的完整性。因此，网络可依靠设定用户权限和文件保护来控制用户访问敏感性信息，网络可以限制一个特定用户能够访问信息的数量和种类。(2)保护网络的有效性。有效性是指一个合法用户能够如何快速、

26、简便地访问网络的资源。(3)保护数据的机密性。一个网络不能保证数据的机密性时，非法用户就会获得敏感信息的拷贝。为了保护机密性，网络管理者必须对敏感数据加密。,41,2)防火墙的优点(1)可以提供安全决策的集中控制点，使所有进出网络的信息都通过这个惟一的检查点，形成信息进出网络的一道关口。(2)可以针对不同用户对网络的不同需求，强制实施复杂的安全策略，起到“交通警察”的作用。(3)具有审计功能，对通过防火墙进出内部网络的用户、操作和信息进行记录和审计，分析网络侵袭和攻击，并及时发出报警信息，这样就能有效地防止网络黑客入侵和计算机犯罪以及抑制网络病毒和其他软件方法的攻击。,42,3)防火墙存在的不

27、足之处(1)不能防止来自内部人员(恶意的知情者)和不经心的用户们带来的威胁。(2)无法防范通过防火墙以外的其他途径的攻击，即对不通过它的连接难有所作为。(3)不能防止传送已感染病毒的软件或文件所带来的病毒。(4)无法防范数据驱动型的攻击。数据驱动型的数据从表面上看是无害的数据被邮寄或拷贝到Internet主机上，但一旦执行就开始攻击。,43,2实现防火墙的主要技术 在实现防火墙的网络安全策略中，有两种截然相反的规则，它们是“没有明确允许的就是禁止的”和“没有明确禁止的就是允许的”。前者是指你的组织提供了一个明确的和记录在册的服务集合，那么，所有其他的服务都在禁止之列；后者是指除非你明确指出一种

28、服务不可用，否则所有服务均是可用的。采用前者的方案，其建立的是一个非常安全的环境，因为只有慎重选择的服务才被支持。当然这种方案也有缺点，就是不易使用，因为限制了提供给用户们的选择范围。采用后者的方案，其建立的是一个非常灵活的环境，能提供给用户更多的服务。其缺点是，由于将易使用这个特点放在了安全性的前面，网络管理员处于不断的响应当中，因此，随着网络规模的增大，很难保证网络的真正安全。实现防火墙的主要技术有数据包过滤、应用网关和代理服务等。,44,2实现防火墙的主要技术 在实现防火墙的网络安全策略中，有两种截然相反的规则，它们是“没有明确允许的就是禁止的”和“没有明确禁止的就是允许的”。前者是指你

29、的组织提供了一个明确的和记录在册的服务集合，那么，所有其他的服务都在禁止之列；后者是指除非你明确指出一种服务不可用，否则所有服务均是可用的。采用前者的方案，其建立的是一个非常安全的环境，因为只有慎重选择的服务才被支持。当然这种方案也有缺点，就是不易使用，因为限制了提供给用户们的选择范围。采用后者的方案，其建立的是一个非常灵活的环境，能提供给用户更多的服务。其缺点是，由于将易使用这个特点放在了安全性的前面，网络管理员处于不断的响应当中，因此，随着网络规模的增大，很难保证网络的真正安全。实现防火墙的主要技术有数据包过滤、应用网关和代理服务等。,45,1)数据包过滤 包过滤(Packet Filte

30、r)技术是在网络层中对数据包实施有选择的通过(如图11-4所示)。依据系统内事先设定的过滤逻辑规则，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的TCP端口与TCP链路状态等因素来确定是否允许数据包通过。包过滤技术作为防火墙的应用有三类：一是路由设备除完成路由选择的数据转发之外，同时进行包过滤，这是目前较常用的方式；二是在工作站使用软件进行包过滤，但是价格较贵；三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。,46,图11-4 包过滤技术示意图,47,2)应用网关 应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤，在内部网络和外部网络之间

31、使用一代理主机(如图11-5所示，其中I处为代理主机)。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信环境给予严格的控制，以防有价值的程序和数据被窃取。在实际工作中，应用网关一般由专用工作站系统来完成。,48,图11-5 应用网关技术示意图,49,3)代理服务 代理服务(Proxy Server)是设置在Internet防火墙网关内的专用级代码(代理服务在应用层上进行)。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关技术是通过特定的逻辑判断来决定是否允许特定的数据包通过，

32、一旦判断条件满足，防火墙内部网络的结构和运行状态便“暴露”在外来用户面前，这就引入了代理服务的概念，即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现，这就成功地实现了防火墙内外计算机系统的隔离(如图11-6所示)。同时，代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站)来承担。,50,图11-6 通过代理服务器的数据传送示意图,51,表11-7 防火墙技术的优缺点比较,52,3.防火墙的主要类型 现实中的防火墙是基于上述3种防火墙技术建立的，常见的防火墙体系结构有以下几种。1)基于IP包过滤器的体系结构 IP包

33、过滤器是基于包过滤技术的，它位于内部网络和外部网络的连接处，有两个网络接口，其主要功能是过滤IP包。对于每个试图通过的IP包，都要和安全访问控制表进行比较，以确定该包是否可以通过防火墙。这种体系结构是完全按照包过滤技术原理建立的，因而具有包技术的优点和缺点，但需要注意的是，现有的包过滤系统只能提供静态安全规则配置，对使用动态IP地址分配的主机及不使用固定端口的服务，无法提供有效的控制。,53,2)堡垒主机体系结构 这种体系结构是基于应用网关和代理服务两种技术上的。堡垒主机是一个组织网络安全中的中心主机，是网络管理员就近监控的。堡垒主机是连接及隔离内部网络和外部网络的惟一通道，它有两个网络接口，

34、分别与内部网络和外部网络相连。堡垒主机为每种服务提供专门的应用代理程序，其典型的结构为双重宿主主机（Dual-Home Host）体系结构。这种体系结构具有应用网关和代理服务两种技术的优点和缺点，但值得一提的是，堡垒主机需要对软件和系统安全进行定期的审核，还应检查一些有关潜在的安全破坏和企图对堡垒主机进行攻击的访问记录。,54,3)被屏蔽主机体系结构 这种体系结构是综合IP包过滤器和堡垒主机两种结构而成的。图11-7为被屏蔽主机体系结构图，该图也示出了进出内部网络的数据流动。这种体系结构的优点是：提供了更完善的网络层的安全控制；同时也实现了基于用户的应用层安全控制；它也具有一定的灵活性，可方便

35、地结合网络地址转换及虚拟内部网络技术。其缺点是：对屏蔽过滤路由器安全规则配置的要求很高，一旦它被攻破，内外用户就可畅通无阻地进出内外网络。,55,图11-7 被屏蔽主机结构,56,4)被屏蔽子网体系结构 这种体系结构是在被屏蔽主机体系结构基础上发展而来的。图11-8为被屏蔽子网体系结构图，在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。有的屏蔽子网中还设有堡垒主机作为惟一可访问点，支持终端交互或作为应用网关代理。这种体系结构的优点是，更有效地保护了受保护子网，黑客至少需要攻破屏蔽过滤路由器的两道防线才能进入内部网络。,57,图11-8

36、被屏蔽子网结构,58,11.4.3 病毒防范措施 1病毒及其种类 在计算机世界里，病毒是最容易被误解的概念之一。当得知自己的系统里有病毒时，很多人感到慌乱并开始删除文件、格式化硬盘或做一些比病毒本身带来更多问题的事。当碰到病毒时最重要的原则是保持冷静并设法获取与病毒有关的更多信息，依照规程来加以处理。为了预防病毒所造成的数据（信息）的丢失，应采取以下预防措施：(1)装入反病毒程序：把反病毒程序装入防火墙和每一个桌面，在网络上提供更新版本。(2)备份策略：为所有重要数据进行备份，并确保对备份进行病毒检查。,59,病毒有以下3种常见类型：(1)引导区病毒对于利用计算机上网的人们来说，最糟糕的事是一

37、个病毒驻留在你的计算机的主引导区，每当启动计算机时病毒也被启动。这意味着当引导信息装入时病毒会感染硬盘上所有的文件。多数情况下，用户必须用其他设备启动，如CD-ROM等以跳过病毒启动。然而，最坏的情况是病毒识别出反病毒程序，并在用户启动这些程序前删除它们。,60,(2)可执行病毒病毒通过感染可执行文件起作用，一旦病毒启动，它把自己和所有启动的可执行文件连接在一起，通常是在程序后端加上病毒代码。当受感染文件执行时，病毒自身也执行，并开始邪恶地循环。一个可执行病毒从它运行到用户关机一直驻留在内存中，即使用户退出已感染程序也是如此。比如病毒感染了Word，则所有在Word之后运行的应用也会被感染，这

38、样病毒会散布到整个系统。,61,(3)宏病毒宏语言是一种应用的集成语言，它允许某些应用的自动化集成操作，通常宏语言基于用户的输入执行运行，它们允许用户扩展应用程序功能。在绝大多数情况 下，宏语言是有用而无害的，但由于在很多应用中缺少安全约束，宏语言也可用来创建病毒。很多情况下宏病毒经常感染Microsoft Word和Excel这类最流行的办公软件，它们使用Visual Basic运行它们的宏，而Visual Basic对每个人来说不仅易学，而且功能强大。与可执行病毒不一样，当用户关闭宿主应用时，宏病毒并不驻留内存，当其他应用在Word或Excel系统环境下工作时，由于它们不理解这个宏，因此不

39、会受感染。,62,删除宏病毒非常简单，比如用户在Star Writer中打开一个Word文档，只需把它重新保存一次，病毒就会消失。值得指出的是，病毒攻击的主要对象经常是Windows和Macintosh计算机，且在有宏语言标准应用的用户中非常普遍。而Unix平台却很安全，甚至没有病毒，这主要取决于UNIX系统的安全约束机制和开放标准。引导区和可执行病毒在Intranet和部门内部计算机上并不是大问题，但盗版软件却可能成为病毒的一个重要来源。,63,需要指出的是，HTML页中有病毒是一个误解，虽然可能有一个特定的Web使用户的浏览器崩溃，但这只是因为浏览器中恶劣的代码编写，而不是因为有人想崩溃用

40、户的计算机。Java Applet病毒也并不存在，因为它的沙箱原则(Sand Box Principle)，Java Applet不可能攻击其他资源。如果用户不允许，则Java Applet不能存入、读取或格式化用户硬盘。Activex组件可能是有害的，因为它们只是具有普通程序全部权力的可执行代码，所以可删除文件或格式化用户硬盘。Internet Explorer可通过设置来关闭这些特性，因此上网从事电子政务活动的每个人都应理解这种浏览器的安全水平及其操作。如果Activex组件有一个沙箱模型会更好，这样程序就看不见计算机上的任何资源。,64,作为首要原则,如果用户在一台计算机中发现主引导区病

41、毒或可执行病毒，则首先应该检查那台计算机中是否使用盗版软件；病毒的另一个来源是一些被四处散发的有趣程序或电子邮件。,65,2.反病毒解决方案 由于政府外网（Intranet）和Internet直接相连，因而把网络作为一个整体来保护变得越来越重要。因此仅在每台计算机上安装反病毒程序是不够的，需要一种标准解决方案，它不仅适合于计算机网络，而且适用于单机。这种保护可以防止病毒通过软盘、zip盘和其他可移动媒介渗透计算机。目前，在市场上可以得到多种不同的解决方案，这些方案中绝大多数都有相同的基本功能，并在价格、速度以及兼容性方面也各有千秋。不管用户选择哪一种解决方案，至少都应包含以下组件：,66,(1

42、)扫描程序解决方案中的这一组成部分扫描本地硬盘，软盘和网络驱动器以查找病毒。这种程序通常并不能在后台自动工作，而需要用户启动运行。(2)屏蔽保护(Shield)解决方案中的这一部分在幕后工作，当从Internet上下载软件或在驱动器中插入一张软盘时它会搜寻病毒，这部分处理是自动的。(3)清除程序 一旦发现病毒就需要删除它，解决方案中这一部分就是用于删除病毒，为了删除病毒它会搜索数据库。,67,一旦用户安装了上述某个解决方案，像Michelangelo或Melissa这些病毒就不会再有机会出现在用户的计算机和局域网上。当用户以任何方式收到新文件时，屏幕保护就会开始检查病毒，如果发现病毒就会发出警

43、告。绝大多数反病毒解决方案会立即删除病毒，而不需要用户做任何事情。由于防火墙反病毒解决方案不是一种最可行的解决方案，因此用户应该对Web和FTP服务器采取一些附加措施。例如，如果不能在忙碌中对所有文件进行病毒检查，则可以让脚本(Script)在Web服务器上每周运行一次以检查病毒。,68,11.4.4 综合网络安全体系 俗话说：“道高一尺，魔高一丈”，仅靠某一种安全手段是无法满足电子政务对安全的要求的，因此要保障网络信息的安全、有效。要安全可靠地在网上施实电子政务，就应当把各种保护网络安全的工具手段有机地结合起来，建立全方位网络安全保障防卫体系。一种可参考的全方位网络安全保障防卫体系结构如图1

44、1-9所示。,69,图11-9 系统的全方位防卫示意图,70,在图11-9中，第一道防线主要防止黑客获得系统的访问权；第二道防线主要防止黑客获得系统更大的访问权，也可以阻止内部用户作案：第三道防线主要对黑客行为进行审计与分析。系统审计既可以针对网络连接，也可以针对内部用户行为，实际上涉及各道防线。弱点分析探测软件是一种重要工具，可以发现系统中各个层次、各种软件中可能存在的安全弱点，并提醒修补这些安全弱点。系统备份是最后的防线，目的在于经历黑客攻击后，能够将系统恢复到被攻击前的状态。从图11-9中我们不难看出，该全方位保障防卫体系把防火墙、加密、认证等各种保护网络安全的工具手段有机地结合起来。这

45、样，我们就可以形成一个全方位的网络安全整体屏障，就能有效地开展电子政务。,71,11.4.5 加密技术 在电子政务活动中，也可以采取给网上传输的数据加密的办法来加强网络的安全性。采用加密技术对信息进行加密，是最常用的安全手段。加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户获取和理解原始数据，从而确保数据的保密性。明文变成密文的过程称为加密，由密文还原成明文的过程称为解密，加密和解密的规则称密码算法。在加密和解密的过程中，由加密者和解密者使用的加解密可变参数叫做密钥。,72,对同样的明文，可使用不同的加密算法或相同加密算法，但使用不同的

46、密钥会得出不同的密文。一个加密算法是安全的，当且仅当它的安全性仅仅取决于密钥的长度，而不取决于加密算法的保密、密文的不可存取或其他因素。这时第三方为了对密文进行非法解密，惟一可行的办法就是蛮力攻击，即用所有可能的密钥进行尝试，直至找到那个真正的密钥，因此当密钥空间足够大时，即使蛮力攻击，对安全算法来说也是不可行的。目前，在电子政务中，获得广泛应用的最典型的两种加密技术是对称密钥加密体制(私钥加密体制)和非对称密钥加密体制(公钥加密体制)。对称密钥加密体制和非对称密钥加密体制的主要区别在于二者所使用的加密和解密的密码不同。,73,1.对称密钥加密体制 对称密钥加密体制，也称私钥加密体制或单钥加密

47、体制，是指发送和接收数据的双方必须使用相同的密钥进行加密和解密运算，这时的密钥称为对称密钥。其优点在于加密速度快，适用于对大量数据的加密处理，目前最著名和代表性的对称密钥加密算法是美国数据加密标准DES(Data Encrypt Standard)。,74,2.非对称密钥加密体制 非对称密钥加密体制，又称为公钥密码体制，是指对信息加密和解密所使用的是不同的密钥，即有两个密钥：一个是公开密钥，一个是私有密钥。这两个密钥称为“密钥对”。如果用公开密钥对数据进行加密，则只有用对应的私有密钥才能解密；反之，若用私有密钥对数据进行加密，则须用相应的公开密钥才能解密。公钥加密体制的优点是：增加了安全性，私

48、有密钥无需传输给任何人，不需要通信双方交换，从而保证了密钥的安全；提供了一种源鉴别(通过数字签名)的方法，从而能对密文的发送方进行鉴别，公钥加密体制用于数字签名。公钥加密体制的主要缺点是其加密算法一般速度较慢，特别是用于大批量数据加密时。采用这种加密技术的主要有RSA。,75,RSA是公钥密码体制中的一种，其算法如下：(1)选取两个足够大的质数P和Q。(2)计算P和Q相乘所产生的乘积n=PQ。(3)找出一个小于n的数e，使其符合与(P-1)(Q-1)互为质数。(4)另找一个数d，使其满足(ed)mod(P-1)(Q-1)1(其中mod为相除取余)。(5)(n，e)即为公开密钥，(n，d)即为私

49、有密钥。(6)加密和解密的运算方式为：密文c=me(mod n)；明文mce(mod n)。,76,这两个质数无论哪一个先与原文密码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是非常困难的。因此将这一对质数称为密钥对(Key Pair)。在文件传输过程中，如果只使用对称密钥技术将文件加密，那么接收方在收到发送方传来的加密文件后，通常还要知道发送方的密钥，才能对文件进行解密。发送方将密钥通过网络传输给接收方时，如果被他人非法获取，那么其他人便也能用发送方的密钥对截获的加密文件进行解密，而得到文件的原文。一旦发生这样的情况，文件的保密性就无法保证了。采用非对称

50、的密钥密码技术公开密钥和私有密钥，这一问题就可以被很好地解决了。,77,运用非对称密码技术传送文件时，文件发送者用接收者的公开密钥对文件原文进行加密，接收者收到文件后，用只有自己知道的私用密钥对其进行解密，便可以保证文件传输的保密性。将对称密钥密码技术与非对称密钥密码技术结合使用，运用数字信封、数字签名等安全认证手段，便可以解决电子政务信息传送的安全性问题。,78,3.数字摘要 数字摘要技术是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码(数字指纹Finger Print)，并在传输信息时将之加入文件一同送给接收方，接收方接到文件后，用相同的方法进行变换计算，若得