登陆注册
23788900000031

第31章 电子政务安全保障(2)

目前有两个国家标准:GB17859—1999《计算机信息系统安全保护等级划分准则》和GB/T18336—2001《信息技术、安全技术、信息技术安全性评估准则》,可用于对操作系统安全级别的划分和评判。根据这两个国家标准,每种操作系统都有不同的安全级别需求,不宜笼统将两种不同的操作系统(如Linux和Windows)的安全性和等级进行比较。

安全操作系统是根据国家标准,正式通过国家权威机构评测的操作系统。GB17859第3级(或GB/T18336EAL4,对应于TCSESCB1)以上的操作系统,是真正意义上的安全操作系统。自主开发的安全操作系统,至少必须具有自主版权的安全内核。一般来说,安全级别高的安全操作系统在理论上已通过安全性验证,而安全级别较低的操作系统则未必是通过验证的。目前普遍使用的被病毒突破的操作系统,基本上都是非安全操作系统。

国内的安全操作系统有红旗安全操作系统、麒麟安全操作系统等。其中,麒麟安全操作系统是目前我国通过认证的安全等级最高的操作系统,先后通过了公安部、国家测评中心等权威认证机构的安全认证。

2004年12月,麒麟安全操作系统通过了公安部计算机信息系统安全产品质量监督检验中心的结构化保护级检验,是国内第一个通过结构化保护级检验的安全操作系统,是该中心通过检验的最高安全等级的操作系统。2005年1月,麒麟安全操作系统通过了中国信息安全产品测评认证中心的EAL3认证,也是国内第一个通过EAL3认证的安全操作系统。2009年3月,麒麟安全操作系统通过了公安部计算机信息系统安全产品质量监督检验中心的安全认证,符合《GB/T20272—2006信息安全技术操作系统安全技术要求》第四级结构化保护级的要求,是目前我国通过认证的安全等级最高的操作系统。

麒麟安全操作系统已广泛应用于军工、政府、金融、电力、教育、大型企业等众多领域,为我国的信息化建设保驾护航。

【2】加密技术

加密技术是电子政务、电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。

加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir Ad1eman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。

【3】防火墙技术

防火墙(FireWall)是保护计算机网络安全的常见技术性措施。它是一种隔离控制技术,主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。防火墙在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从机构内部的网络上被非法输出。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,机构内部的人就无法访问Internet,Internet上的人也无法和机构内部的人进行通信。作为一种网络安全技术,防火墙具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。

一般而言,防火墙应具备以下基本功能:

①访问控制:通过对特定网段和特定服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。

②攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时地检测出绝大多数攻击,并采取相应的行动,如断开网络连接、跟踪攻击源、报警等。

③加密通信:主动地实现数据加密传输,使攻击者即使截获数据包也无法读取或修改其中的数据内容。

④身份认证:建立良好的认证机制,防止不良信息伪装成正常信息通过系统检测。

⑤多层防御:延缓或阻止攻击者到达攻击目标,通过多种防御手段,确保系统的安全性。

⑥隐藏内部信息:通过代理机制,隐藏内部网络IP,使攻击者无法确认其攻击目标。

⑦安全监控:为系统提供安全管理、监控、报警及应急等信息服务。

防火墙的主要优点有:

A.防火墙可以通过执行访问控制策略而保护整个网络的安全,并且可以将通信约束在一个可管理和可靠性高的范围之内。

B.防火墙可以用于限制对某些特殊服务的访问。

C.防火墙功能单一,不需要在安全性,可用性和功能上做取舍。

D.防火墙有审记和报警功能,有足够的日志空间和记录功能,可以延长安全响应的周期。

但防火墙也有弱点,主要表现在:

A.不能防御已经授权的访问,以及存在于网络内部系统间的攻击。

B.不能防御合法用户恶意的攻击,以及社交攻击等非预期的威胁。

C.不能修复脆弱的管理措施和存在问题的安全策略。

D.不能防御不经过防火墙的攻击和威胁。

在具体应用防火墙技术时,要考虑到两个方面:

一是防火墙是不能防病毒的,尽管有不少的防火墙产品声称其具有这个功能。二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。并且,防火墙采用滤波技术,滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购置高速路由器,又会大大提高经济预算。

【4】入侵检测技术

入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。

入侵检测通过执行以下任务来实现:1.监视、分析用户及系统活动;2.系统构造和弱点的审计;3.识别反映已知进攻的活动模式并向相关人士报警;4.异常行为模式的统计分析;5.评估重要系统和数据文件的完整性;6.操作系统的审计跟踪管理,并识别用户违反安全策略的行为。

入侵检测系统的优点主要有:

1.网络入侵检测系统能够检测那些来自网络的攻击,它能够检测到超过授权的非法访问。

2.入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。

3.入侵检测系统不会成为系统中的关键路径。入侵检测系统发生故障不会影响正常业务的运行。布署一个网络入侵检测系统的风险比主机入侵检测系统的风险少得多。

入侵检测系统的主要弱点有:

1.入侵检测系统只检查它直接连接网段的通信,不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台入侵检测系统的传感器会使布署整个系统的成本大大增加。

2.入侵检测系统为了性能目标通常采用特征检测的方法,它可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析时间的攻击检测。

3.入侵检测系统可能会将大量的数据传回分析系统中。在一些系统中监听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量,对入侵判断的决策由传感器实现,而中央控制台成为状态显示与通信中心,不再作为入侵行为分析器。这样的系统中的传感器协同工作能力较弱。

4.入侵检测系统处理加密的会话过程较困难,目前通过加密通道的攻击尚不多,但随着IPv6的普及,这个问题会越来越突出。

5.随着网络流量的不断增长,对获得的数据进行实时分析的难度加大,这导致对所在入侵检测系统的要求越来越高。入侵检测产品能否高效处理网络中的数据是衡量入侵检测产品的重要依据。

【5】安全扫描技术

安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。

安全扫描技术主要分为两类:主机安全扫描技术和网络安全扫描技术。网络安全扫描技术主要针对系统中不合适的设置脆弱的口令,以及针对其它同安全规则抵触的对象进行检查等;而主机安全扫描技术则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。

网络安全扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。通过网络安全扫描,系统管理员能够发现所维护的Web服务器的各种TCP/IP端口的分配、开放的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。网络安全扫描技术也是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,并对结果进行分析。这种技术通常被用来进行模拟攻击实验和安全审计。

端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术,并且广泛运用于当前较成熟的网络扫描器中,如著名的Nmap和Nessus。

端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况,它仅能对接收到的数据进行分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一个系统的详细步骤。

漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。

【6】VPN技术

VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对机构内部网的扩展,通过它可以帮助远程用户、分支机构建立可信的安全连接,并保证数据的安全传输。客户只需连入所在地的互联网服务提供商(Internet Service Provider——ISP),就完全可以通过互联网将遍布全球的组织内部网络连接起来,不但节省了超远程长途专线的费用,也拥有了较好的安全性。

由于采用了“虚拟专用网”技术,即用户实际上并不存在一个独立专用的网络,用户不需要建设或租用专线,只需通过VPN设备就能组成一个属于用户自己专用的网络。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在VPN中,有高强度的加密技术来保护敏感信息;在远程访问VPN中能对远程用户进行认证。

目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。

①隧道技术

隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IPSecurity)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。

②加解密技术

加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。

③密钥管理技术

密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。

④使用者与设备身份认证技术

使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式,目前这方面做的比较成熟的有国内的深信福科技的VPN解决方案。

【7】数字证书

同类推荐
  • 崩溃边缘

    崩溃边缘

    本书探讨了精神病的性质及其中隐含的生物学机制,精神病与创造性天才之间的关系,并得出一个令人惊讶的结论:发疯和创造性的想象力正是人类的进化之处。
  • 阅读中华国粹-青少年应该知道的-风筝

    阅读中华国粹-青少年应该知道的-风筝

    中华民族在漫长的发展历程中,依靠勤劳的素质和智慧的力量,创造了灿烂的文化,从文学到艺术,从技艺到科学,创造出数不尽的文明成果。国粹具有鲜明的民族特色,显示出中华民族独特的艺术渊源以及技艺发展轨迹,这些都是民族智慧的结晶。《阅读中华国粹》丛书囊括占今,泛揽百科,不仅有相当的学术资料含量,而且有吸引人的艺术创作风味,是中华传统文化的经典之作。杨晓编著的这本《青少年应该知道的风筝》就是其中一册。《青少年应该知道的风筝》共分七章,内容包括:风筝的历史、制作、放飞、流派、名家名品、体育竞技、民俗文化等。
  • 中小学素质教育概述

    中小学素质教育概述

    素质教育是对人发展的理想素质的培养。素质教育应有以下三个方面的内容:首先,要使受教育者在身心两个方面都得到发展与锻炼,要有健康的身体和心理,发达的智力和能力;其次,要通过掌握知识和实践活动与世界发生各种对象性关系,也就是说把人能动改造世界的潜力发挥到极限。最后,能参加各种社会活动,进行正常而丰富的人际交往,为此需要理解社会生活的种种规范、礼仪,具有良好的道德、高尚的人格。
  • 高考错题本(历史)

    高考错题本(历史)

    高考历史试题的主要题型包括选择题和非选择题两大类,而这两大类题型中学生易出错的试题种类又有很多,掌握不同试题易错类型的解题方法与技巧,是历史高考取胜的重要手段之一;而快速确定不同类型试题的特点,区分其所属易错类型,准确把握其应对策略是高考取胜的关键。在系统掌握高考知识要点之后,重视对易错点的分析和研究,会更有助于高考的成功。在本书中,我们将从多个方面和不同角度,并结合近几年高考试题以及各地最新高考模拟试题,对高考历史试题的易错类型进行归类分析、指点应对策略,希望对参加高考的莘莘学子有所裨益。
  • 中国电力高等教育

    中国电力高等教育

    进行教育创新,已经成为新世纪中国高等教育发展的时代课题。武汉大学高等教育研究所编撰的《武汉大学高等教育研究丛书》是我校结合高等教育改革和发展的实际,推进高等教育创新的理论成果,也是我校高等教育研究发展的重要标志。
热门推荐
  • 他来自极光

    他来自极光

    看守他们的人过来,一副傲慢的神情,“怎么,还没有想通?”看守十分傲慢地问道。“我就是死也不会答应你们,别妄想了。”晓露掩掩一息,喘着粗气道。“看看你的心上人,你不答应,他就会付出代价,会老死,你们人类的心就这么狠吗?”晓露摸摸身边的森,眼泪止不住地流,觉得是自己害了他,森也同样泪流满面。他已经无力再站起来,身体各项机能都在退化,就是一个百岁老人状态。“我就是和他一起死也不会让你们如愿。”说完望了一眼森,森笑了笑,似乎明白她的意思。“晓露,对不起......”......这是一则关于人性弱点的故事,亲情友情爱情在人性面前被剥落的脆弱不堪......2025年的冬季,生物学博士生刑晓露在南极旅游时偶遇生命中最重要的人,却没想到他和自己不是一个世界的人。为了她,男人选择往返于人类和自己的世界,男人无意见发现自己在80多年前本应属于人类世界,却什么也不记得了,仅凭一张过去的照片寻找80年前丢失的记忆,同时人类也对他产生了浓厚的兴趣;在危机四伏里,和女博士之间也发生了很多刻骨铭心的事情,没想到她竟然是......
  • 在无限世界修仙

    在无限世界修仙

    西魔修识,东仙修体,无限为基,超脱为王漫影无限混穿
  • 废材小姐之冷傲天下

    废材小姐之冷傲天下

    在现代经常梦到那个帅老头,睡着在梦里跟老头聊天是家常便饭。穿越到异界,师傅居然真的存在玄幻世界里!失忆遗落在低等大陆的神尊,拥有上古血脉,转世轮回,只为寻找一份执念。他抱着没有气息的她说:“只要是你,地狱又何妨”!她看着慢慢消失在天际的他,撕心裂肺,挣开牢笼,化羽凤,成精灵,脚踏七种能量的血月花步步生莲,与天作对。“他若是魔我便陪他是魔!他若是神,我便踩上九重天!”“她是我的徒弟,谁敢碰她,我要他的命!”“吾之女,岂是你能惹的?”“月儿,你是娘觉得世界上最好的女孩子!”……
  • 恶毒女配成团宠

    恶毒女配成团宠

    开局就是一人之下,万人之上!莫希月穿越了,成了后宫唯一的贵妃,拿着团宠的剧本却干着恶毒女配的事,前有软弱渣男脚踏两只船真情表白求原谅,后有正义爆棚的江湖神医屡次相护,至于皇上?哪凉快哪呆着去吧!可是明明她在兢兢业业按照原来的剧情做坏事,怎么总有人上赶着给她洗白???
  • 天行

    天行

    号称“北辰骑神”的天才玩家以自创的“牧马冲锋流”战术击败了国服第一弓手北冥雪,被誉为天纵战榜第一骑士的他,却受到小人排挤,最终离开了效力已久的银狐俱乐部。是沉沦,还是再次崛起?恰逢其时,月恒集团第四款游戏“天行”正式上线,虚拟世界再起风云!
  • 夺宝也疯狂

    夺宝也疯狂

    我们是夺宝奇兵,不谓生死,捍卫着祖国的尊严,守护着国家宝藏。她是古墓丽影,他是致命武器……我叫冉奇迹,生于古墓之中,小名墓生。夺宝,我们是疯狂的!又名:《疯狂的宝藏》
  • 皇后在上,朕在下

    皇后在上,朕在下

    身为现代出色入殓师的她被丈夫一杯毒酒葬送生命,穿越到被冷落的待嫁皇后身上!皇帝心有所属?情深不悔?为了缅怀先皇后无心政事?很好!她以铁血手腕将前朝后宫都调教的服服帖帖,打打麻将调调情,捎带着管管军国大事!让皇帝玩儿勺子把儿去吧!坐不住了?!很好!就要这个效果!
  • 屠神帝尊

    屠神帝尊

    文掌古今,武贯苍穹,八荒六合,唯我不败!尹风羽重生之后开启了另类的征程。在他之前没有天子,在他之后无人敢称天子!执掌封神榜,头顶东皇塔,手握噬神枪,身穿仙金甲!这是一段不一样的装逼人生!少年!当年我装逼打脸的时候,你……只是一只蝌蚪!!屠神帝尊书友群:欢迎加入屠神卫书友群,群号码:491764908
  • 二货系统之闪耀天后

    二货系统之闪耀天后

    架空时代,宠文,一对一她没有喝孟婆汤带着前世的记忆直接投胎到了陌生的世界,开启了被亲情、友情、爱情宠溺的人生。情节一她的毒舌“大哥,天还没黑呢!我呢只会骂人,但是不会骂你的,你放心吧。再见,哦,是再也不见,记得出门的时候带上避雷针啊,这年头不光婊爱追渣,雷也爱追渣。还有,祝你不孕不育,子孙满堂。”情节二戏精的系统“宿主大大,你刚才有没有听见人说话?话说刚才一阵风刮过,贼大,有点耳鸣,感觉像是有人说话来着,其实什么都没有,真的,请看我真诚的眼睛!”
  • 宠妻上瘾:无赖萌妻很抠门

    宠妻上瘾:无赖萌妻很抠门

    [忘不掉的是回忆,继续的是生活,错过的,就当是路过]这场婚姻本是交易,在她离开之后,不知为何他的心处莫名变得空荡。再次相遇。亦是五年后……