1、第第8 8章章 电子政务信息安全体系电子政务信息安全体系主讲人:主讲人:郑天鹏郑天鹏安全l“无危则安,无缺则全”。l安全是指不受威胁,没有危险,是免除了不可接受的损害和风险的状态,指损害和风险在允许范围之内的状态。l英文对应词security,主要含义:指安全的状态,即免于危险,没有恐惧;指对安全的维护,指安全措施和安全机构。l安全概念宽泛:个人,集体,国家安全传统安全、非传统安全l电子政务建设与发展离不开信息安全的保障l政府重视信息安全建设l攻击者的目的:经济、军事以及政治动机l犯罪行为日趋组织化、系统化l简单安全防御满足不了需求目录9.1 电子政务信息安全的需求9.2 电子政务信息安全的策
2、略9.3 电子政务技术安全体系设计9.4 电子政务信息安全整体解决方案本章目标l掌握信息安全的基本概念l掌握信息安全的基本需求l掌握基本的技术安全机制l了解电子政务信息安全的特殊性l了解电子政务信息安全的基本策略l了解电子政务信息安全体系9.1电子政务信息安全的需求l9.1.1 电子政务信息安全的基本需求 l9.1.2 电子政务信息安全面临的威胁 9.1.1 电子政务信息安全的基本需求 l信息概念l信息安全l信息安全基本需求l信息安全发展阶段信息概念lISO国际标准化组织在信息技术安全管理指南中对信息的定义:信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。信息是无形的,借助于信息媒体以
3、多种形式存在和传播;同时,信息也是一种重要资产,具有价值,需要保护。 l信息被数字化之后,常常被称为数据。l信息安全的任务是确保信息功能的正确实现,信息的真实可用,这也是信息安全的核心目标。l信息处理包括信息的采集、审核、加工、传输、存储、发布、使用等过程。信息概念美国前国务卿基辛格70年代断言:l如果你控制了石油,你就控制了所有国家l如果你控制了粮食,你就控制了所有的人l如果你控制了货币,你就控制了整个世界今天有人断言:l谁控制了信息,谁就控制了石油、粮食和货币信息安全 l信息安全指信息网络的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常
4、地运行,信息服务不中断。(ISO)信息安全的保护对象:信息资产(计算机硬件、软件和数据)。信息安全面临的威胁:恶意攻击、系统错误、灾难事件。信息安全的目标:信息资产不被破坏、更改、泄露,系统能够可靠运行,提供的服务不中断。信息安全的基本需求l保密性是指阻止非授权主体对信息访问的特性。l完整性是指防止信息被未经授权主体篡改的特性,是信息保持原始状态,使信息保持其真实性的特性。l可用性是指授权主体在需要信息服务时能及时得到信息服务的能力和特性。l可控性是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息资源的特性。 l不可否认性是指信息访问主体不可否认曾经对信息进行过处理的特性。l真实性是
5、指信息所反映的内容与客观事物主体一致的特性。l除了上述的信息安全需求外,还有信息安全的可审计性、可鉴别性等信息安全基本需求。信息的保密性(Confidentiality)l确保信息在信息处理(存储、使用、传输等)过程中不会泄露给非授权主体,常用信息保密技术有:防侦听:使对手侦收不到有用信息。信息加密:非授权主体无法阅读和解释。物理防护:以限制、隔离、屏蔽等防止信息外露。信息隐形:将信息隐藏于其他客体中,难于分辨。l信息保密,除信息内容保密外,还应注意信息状态的保密,均衡流量控制也是某些重要部门保证信息保密性的重要手段。(如信息流均衡)信息的完整性(Integrality)l信息完整性的目的是为
6、了保证信息在信息处理(存储、使用、传输)过程中不被偶然或蓄意修改、伪造、乱序、重放、插入等行为所破坏。l影响信息完整性的主要因素包括设备故障、误码、人为攻击等。l保护信息完整性的主要手段包括:协议纠错编码方法密码校验方法(数据完整性技术)数字签名l不完整的信息有时危害性更大。信息的可用性(Availability)l对于信息或信息系统而言,当受到攻击而遭到破坏时,应该尽量保证在降低信息使用要求的情况下(如效率降低)为授权用户提供必要的服务。可通过备份网络、设备、人员、链路、软件、数据来提供保障。l当互联网受到严重破坏,整个网络陷于瘫痪,如何提供必要的信息服务,保障决策指挥顺畅,受到世界各国普遍
7、关注。l美国制定并实施了核心应急网络计划。l伊朗2012年9月开始实施内联网计划。信息的可控性(controllability )l信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。l也涉及信息安全产品、市场、人员的安全可控。l授权访问机制、信息审计、跟踪是信息可控的重要手段。不可否认性(Non-repudiation)l也称抗抵赖性,是物理世界不可否认的延伸。l现实中印章、签名的使用。l有效手段是数字签名。l信息处理的所有行为都存在不可否认性:信息采集不可否认信息审核不可否认信息传输不可否认信息接收不可否认信息修改不可否认信息使用不可否认真实性(Reality)l信息真实可靠是信息
8、可用的基本要求,也是信息价值的根本所在。l有一本书中写到,当今世界,尤其是网络世界,缺的不是信息,而是真相。l信息的完整性是信息真实性的根本要求,可通过身份认证、数字签名等机制和技术来保证信息的真实性。l政府信息真实性,反映政府:服务质量高低政府的可信度政府的权威性电子政务信息安全的特殊性l电子政务信息安全与一般概念的信息安全在管理和技术上相一致的同时,又存在自身的特点和要求。体现在:既是部门安全,又是国家安全既是政治安全,又是经济安全和社会安全既要求保密,又要求公开既要求公共服务职能与互联网互联,又要求核心业务层与外界隔离政府涉密网络的密级要求更高信息安全的发展阶段l通信保密阶段l计算机安全
9、阶段l信息安全阶段l信息保障阶段通信保密阶段l开始时间20世纪40年代,其标志是1949年美国数学家香农(Shannon)发表的保密系统信息理论,该理论将密码学的研究纳入了科学轨道。l该阶段所面临的主要安全威胁是通信过程中的窃听和密码分析,主要安全需求是数据的保密性,主要防护措施是数据加密。l安全目标是保证军队、政府通讯过程中信息的安全。l计算机本身的安全处在研究阶段。l阶段特征:现代密码理论建立,对称密码在军队、政府普遍应用,计算机技术逐渐成熟,产品出现。计算机安全阶段l20世纪70年代,计算机性能大幅度提高,计算机作为信息处理的主要工具,应用范围迅速扩大,计算机本身的安全问题日益突出。l计
10、算机在信息处理、存储、传输和使用时很容易被干扰、滥用、遗漏和丢失,甚至被泄露、篡改、冒充和破坏。l信息安全局限于信息的保密性已经满足不了安全需求,信息的完整性和可用性需求出现。l此阶段信息安全威胁主要表现,计算机病毒大量出现并开始蔓延。(介质传播)计算机安全阶段l国际标准化组织(ISO)计算机安全定义为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。l其核心是保护计算机的安全。l在该阶段,从70年代开始,ARPANET投入使用,进入80年代,ARPANET对社会开放形成真正意义上的互联网,并发展迅速,网络安全问题显现出来。l阶段特征:计算机技术迅
11、速发展,计算机病毒大量出现,公钥密码理论提出,互联网开始全球推广。信息安全阶段l20世纪90年代,通信和计算互相依存度提升,计算机网络发展,尤其是互联网迅速普及,加快了电子商务、电子政务的发展,极大地带动了社会各领域信息的应用,由此而产生的信息安全需求日益突出。l全球网络互联需求,使得信息使用的范围和复杂度大幅度提高,信息使用的安全可控以及信息交换的责任认证受到普遍关注,也成为全球网络能否健康发展的关键,对于信息安全的需求,还停留在信息处理过程中的保密性、完整性和可用性已经满足不了人们对信息的要求,信息的可控性和不可否认性需求成为必然。信息安全阶段l阶段特征:互联网在全球迅速普及公钥密码理论体
12、系形成密码社会化应用开始国家商用密码管理条例出台国家机要局成立商用密码管理处PKI体系建立,并在全球推广应用无线通信发展迅速信息安全阶段互联网发展l1962年,在古巴导弹危机的大背景之下,美国国防部为了保证美国本土防卫力量和海外防御武装在受到前苏联第一次核打击以后仍然具有一定的生存和反击能力,认为有必要设计出一种分散的网络指挥系统。l1969年,美国国防部国防高级研究计划署(DoD/DARPA)资助建立了一个名为ARPANET(即“阿帕网”)的网络,这个网络把位于洛杉矶的加利福尼亚大学、位于圣芭芭拉的加利福尼亚大学、斯坦福大学,以及位于盐湖城的犹它州州立大学的计算机主机连接起来。l80年代中后
13、期在世界范围推广使用。l我国正式接入互联网是在1994年。l目前,已经成为世界互联网网民数量最多的国家。信息保障(Information Assurance)l信息生存环境日趋严峻,网络攻击、破坏急剧增加,手段不断翻新,单纯的信息保护(防护)已不能满足飞速发展的信息安全需求。l20世纪90年代中期,美国军方开展了国防部信息保障计划,通过美国国家安全局与国家标准和技术研究所联合成立国家信息保障联盟,信息保障概念逐渐推至美国社会各个层面,并逐渐影响世界信息安全的发展。信息保障阶段l信息保障(Information Assurance)概念最早由美国国防部在1995年S-3600.1信息作战指令中提
14、出:l“通过确保信息和信息系统的可用性、完整性、鉴别性、保密性和不可抵赖性来保护信息和信息系统的信息作战行动,包括综合利用保护、探测和响应能力恢复系统的功能”。l1998年5月22日,美国政府颁发了保护美国关键基础设施总统令(PDD-63)。l围绕“信息保障”成立了多个组织。信息保障阶段信息保障体系四个要素:l防护:采用相关安全策略、机制、管理、服务和安全产品,实现系统的安全防护。l检测:使用实时监控、入侵检测、漏洞扫描等技术,对系统进行安全检测。 l响应:对安全事件作出快速反应,尽量减少和控制对系统影响的程度。 l恢复:对遭受破坏的系统数据和系统服务进行恢复和重建。 信息保障阶段l一个完整的
15、信息安全保障体系应当包括:安全策略(Policy)保护(Protection)检测(Detection)响应(Reaction)恢复(Restoration)l保护、检测、响应、恢复四个要素在策略的统一指导下,构成相互作用的有机整体,PPDRR模型从体系结构上给出了信息安全的基本模型。我国信息保障体系建设l2003年中共中央办公厅和国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见的通知(中办发200327号),第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全的高度,并提出了“积极防御、综合防范”的信息安全管理方针。我国信息保障体系建设l2006年5月中办和国办发布
16、2006-2020年国家信息化发展战略,对未来我国信息化发展的目标、任务、战略重点以及措施等都做出了系统部署。将建设国家信息安全保障体系列入我国信息化发展的九大战略重点。l九大战略重点:推进国民经济信息化;推行电子政务;建设先进网络文化;推进社会信息化;完善综合信息基础设施;加强信息资源的开发利用;提高信息产业的竞争力;建设国家信息安全保障体系;提高国民信息应用能力,造就信息化人才队伍。 9.1.2 电子政务信息安全面临的威胁 l信息安全威胁l信息安全威胁关系模型l信息安全威胁技术风险l信息安全威胁管理风险l信息安全系统设计评价l信息安全威胁的决定因素l攻击者能力l信息安全威胁的特征信息安全威
17、胁l电子政务信息安全威胁是指对电子政务信息的保密性、完整性、不可否认性、可用性、可控性或合法使用所造成的风险。l信息安全面临的安全威胁分为以下三类:恶意攻击系统错误自然灾难事件l信息安全作为一种系统工程是研究面对以上三种威胁而能可靠运行的系统。信息安全威胁l安全工程的一个主要目标是减缓风险的发生,因此任何安全工程开始都需要对风险进行评估。l风险评估是确定尚未发生的潜在问题的一种过程。l安全攻击:指各种危害信息安全性的行为。主动攻击:包括破坏基础设施、电磁干扰、蓄意备份未授权信息、删除或修改政府网站上的信息、在网上扩散病毒等行为;被动攻击:包括对政府网站上的信息进行监听、截获、窃取、破译、业务流
18、量分析和电磁信息提取等。信息安全威胁l脆弱性脆弱性是信息资源内在的属性,相当于矛盾中的内因,包括其自身的弱点和不足。l威胁与脆弱性相对应,相当于矛盾中的外因,是对信息资源产生破坏的行为或状态,攻击常常利用信息资源的脆弱性实现。l影响影响是威胁发生后产生的后果,影响的程度也是某些威胁发生的一个关键因素。n风险风险代表一种可能性,与以上三个要素直接相关,以上三个要素都对风险的发生产生直接的影响。信息安全威胁安全措施l安全措施可针对威胁、脆弱性、影响和风险自身,安全措施的实施可以减轻风险。但无论如何,并不能消除所有威胁或根除某个具体威胁。l这主要是因为风险消除的代价和相关的不确定性。因此,信息安全评
19、估的结果必须接受“残余风险”。信息安全威胁关系模型所有者所有者攻击者攻击者对策对策漏洞漏洞风险风险资源资源威胁威胁信息安全威胁技术风险技术方面的安全风险主要包括:l物理安全风险l链路安全风险l网络安全风险l系统安全风险l应用安全风险l信息安全威胁技术风险物理安全风险物理安全风险主要包括:l通信基础设施的威胁:如切断通信电缆、损毁通信设备和存储设备;l供电系统的威胁:如切断电源、电源故障、电压不稳、电力供应不足,造成设备断电、信息毁坏或丢失;l各种自然灾害(如水灾、火灾、地震、台风、雷电等)、物理设备(如计算机设备、网络设备、存储介质等)自身的老化和损坏等环境事故可能导致整个系统的损失;l设备被
20、盗、被毁造成数据丢失或信息泄漏;l静电、强磁场、电磁辐射可能带来的威胁;l信息媒体的威胁,如数据媒体保管不当,可能造成数据信息毁坏、被窃取或偷阅;l报警系统的设计不足或故障可能造成误报或漏报。信息安全威胁技术风险链路安全风险l信息网络的开放性,很多时候信息是在不安全的网络上传输。l入侵者可能在传输链路上利用搭线窃听等方式截获机密信息,再通过一些技术手段读出信息。l通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息。l可以是有线链路,也可以是无线链路。信息安全威胁技术风险网络安全风险l非授权访问l信息泄漏l破坏数据完整性l拒绝服务攻击l传播病毒信息安全威胁技术风险系统安全风险l系统自
21、身的缺陷,漏洞增多l设计者有意而为,如设置设备唯一码、系统后门l很多支撑技术、支撑系统依靠国外信息安全威胁技术风险应用安全风险l应用系统业务本身的复杂性问题l软件自身的脆弱性问题l开发者的安全意识和职业道德问题l运行管理问题l应用的安全,应重点考虑应用系统的安全和数据信息的安全,包括:合法性规范性安全性兼容性信息安全威胁技术风险应用安全风险相关概念l安全攻击:指各种危害信息安全性的行为。根据行为的特征又可以分为主动攻击和被动攻击。n安全机制:主要指为了保护系统的安全所采取的安全技术、方法及实现策略。信息安全威胁技术风险应用安全风险l安全服务:可以提高数据或信息处理、传输安全性的服务。l安全系统
22、:指借助于一种或多种安全服务或机制实现的操作平台或应用系统。信息安全威胁管理风险l意识风险l组织风险l人员风险l策略风险l实施风险l监督风险信息安全威胁的决定因素l安全威胁能否发生、程度如何取决于以下三个要素:攻击者的能力(capability)攻击者的动机 (motivation) 攻击者的机会 (opportunity)信息安全威胁的特征l威胁的多元性l攻防的非对称性l影响的广泛性l后果的严重性l事件的突发性威胁的多元性l安全漏洞的多样性(包括脆弱性)l攻击主体的多样性l攻击目的的多样性l攻击方法的多样性攻防的非对称性l美国信息系统保护国家计划认为,从传统意义上讲,还没有哪个国家具有与其相
23、匹配的国家实力,其关键基础设施一般处于对手能够作用到的物理范围之外。l现在,基于信息技术建立起来的国家基础设施(如:通信、能源、交通、经济、金融、军事等)具有明显的脆弱性。l从攻防角度看,表现出明显的不对称性。攻防的非对称性l攻防技术非对称l攻防成本非对称l攻防主体非对称后果的严重性 l动摇国家政权1991年海湾战争。l瘫痪国家基础设施2000年,澳大利亚人威泰克波顿攻击了该国昆士兰州马鲁奇郡的污水管理系统。l引发公共安全灾难美国及加拿大部分地区在2003年的大停电(5000万人)2008年,荷兰政府发布警告,指出目前广泛应用的恩智浦(NXP)公司生产的MIFARE经典芯片的安全算法已被两位大
24、学生攻破。 事件的突发性l安全威胁具有潜伏性和不可预测性。l通常很难知道已经受到攻击以及谁在攻击、怎样攻击。我国面临的主要信息安全风险一、基础网络和重要系统安全防护能力不强二、泄密隐患严重三、信息技术自主可控能力不高四、对外风险意识欠缺,防范措施不够9.2 电子政务信息安全的策略l9.2.1 电子政务信息安全的目标和原则 l9.2.2 电子政务信息安全的针对性策略电子政务信息安全策略l所谓信息安全策略,是指在一个特定环境里,为保证提供一定级别的安全保护所必须遵守的规则。l电子政务信息安全涉及物理环境、设备、技术、人员、管理等多方面的复杂系统工程,在其各个安全环节中,安全管理策略是核心,安全技术
25、为安全管理策略服务,是实施安全管理的工具与保障。9.2.1 电子政务信息安全的目标和原则l电子政务信息安全目标l电子政务信息安全建设原则电子政务信息安全目标l电子政务信息安全目标是:保护政务信息资源不受侵犯,保证信息面临最小的风险和获取最大的价值,保证政府的形象和权威,使信息服务体现最佳效果。电子政务信息安全目标l技术安全目标按照统一的安全策略,以访问控制机制、身份认证机制、信息加密机制、网络扫描与入侵检测机制、病毒防治及更新,还有安全跟踪与审计等机制为基础,形成统一、系统、完整的技术保障体系,为电子政务系统建设提供整体上的技术保障(安全体系目标)为保证技术安全目标的实现,提高核心安全技术的国
26、产化和自主开发能力是关键(安全产业目标)加强对信息安全产品质量的检测与审核,强化信息安全产品的认证与认可机制,是保证信息安全产品安全、可控的根本(产品质量目标)电子政务信息安全目标l管理安全目标要从管理的层面上制定统一的安全管理规范和相关的法律保障,使电子政府的安全管理制度化、法律化。通过严格的安全管理制度、监督约束机制,提高管理者的安全意识,堵塞各种安全管理漏洞。电子政务信息安全目标l为实现电子政务信息安全目标,国家制定了以下安全策略的指导思想:l第一,国家主导、社会参与。l第二,全局治理、积极防御。l第三,等级保护、保障发展。电子政务信息安全建设原则l适应性原则(针对性)l安全分级原则(分
27、级分产品)l同步性原则(规划、建设、运行同步)l多重防护原则 (多层、多机制)l合法性原则(产品生产、使用、管理)l动态性原则(与时俱进)l系统性原则(整体性、统一性、联动)9.2.2 电子政务信息安全针对性策略l针对电子政务信息安全基本需求的策略l针对电子政务信息安全威胁的策略针对电子政务信息安全基本需求的策略l访问控制机制(进不来) 可用性l授权机制(拿不走) 可控性l加密机制(看不懂) 保密性l数据完整性鉴别机制(改不了) 完整性l使用审计、监控、跟踪、防抵赖等机制(走不脱) 可审计性针对电子政务信息安全威胁的策略l针对层次化的安全风险威胁分析,安全策略可能包括以下内容:物理环境安全策略
28、网络连接安全策略系统及应用安全策略信息安全策略管理安全策略针对电子政务信息安全威胁的策略l针对管理安全,政府采取的策略包括:安全评估安全政策安全标准安全制度(多人负责、任期有限、职责分离原则)安全审计安全相关部门公安部l公安机关具有双重身份,既是行政机关又是司法机关l负责管理计算机信息系统、网络系统的安全保护工作,防范和打击计算机犯罪l公安部是国家信息安全等级保护工作的主要领导部门l公安部第三研究所安全产品生产监督、检测、指导;安全标准制定;等级保护评估;安全产品销售许可证发放等安全相关部门安全部l安全部是国务院组成部门,是中国政府的反间谍机关和政治保卫机关。 l依法打击利用信息网络从事的危害
29、国家安全的犯罪活动;负责通信及信息网络的技术侦察、反窃密和反间谍工作。 l1993年,全国人大通过国家安全法,赋予国家安全机关对组织、个人使用的电子通信设备的技术安全查验权和对党政机关信息网络的安全保卫任务。安全相关部门工业与信息化部l工业和信息化部是国务院所属职能部门之一。l工业和信息化部下设的信息安全协调司,负责:协调国家信息安全保障体系建设;协调推进信息安全等级保护等基础性工作;指导监督政府部门、重点行业的重要信息系统与基础信息网络的安全保障工作;承担信息安全应急协调工作,协调处理重大事件;电子认证管理办公室。l系统集成资质l电子认证服务资质l电信运营资质安全相关部门密码管理局l国家密码
30、管理局履行密码管理职能, 负责:密码产品的研制、生产、销售与使用管理;密码算法的审批;密码产品和商密企业许可证的颁发和管理。l国家对密码的管理政策实行统一领导、集中管理、定点研制、专控经营、满足使用的发展和管理方针;l未经国家密码主管部门批准,任何单位和部门不得研制、生产和经销密码产品。需要使用密码技术手段加密保护信息安全的单位和部门,必须按照国家密码管理规定,使用国家密码管理委员会指定单位研制、生产的密码,不得使用自行研制的密码,也不得使用从国外引进的密码。安全相关部门保密局l国家保密局负责政府保密工作,查处泄密,涉密案件,l国家保密局涉密信息系统安全保密测评中心负责:涉密系统测评涉密产品检
31、测:对用于涉密信息系统的安全保密产品进行检测,颁发涉密信息系统产品检测证书,并列入国家保密局批准的在涉密信息系统中使用的产品目录。测评中心检测的产品包括防火墙、入侵检测系统、监控与审计系统、身份鉴别、移动存储介质管理系统、访问控制系统、漏洞扫描系统、终端安全与文件保护系统、安全隔离与信息交换系统等系统,已完成近600个产品的检测。企业涉密系统集成资质管理安全相关部门国务院新闻办l国务院新闻办公室负责信息内容的监察l内容安全管理l此外,国家还成立了:国家信息安全产品测评认证中心国家计算机网络与信息安全管理中心信息安全策略l信息安全策略是一组规则,它们定义了一个组织要实现的安全目标和实现这些安全目
32、标的途径。信息安全策略可以划分为两个部分,问题策略(issue policy)和功能策略( functional policy)。l问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。l功能策略描述如何解决所关心的问题,包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。信息安全策略l信息安全策略要求:有清晰和完全的文档描述有相应的措施保证,强制执行需要不断地修改和补充l制定者:技术管理者信息安全小组信息安全策略信息安全策略与技术方案的区别l描述一个组织保证信息安全的指导性文件l不涉及具体做什么和如何做的问题l原则性的,不涉及具体细节l不规定使用什么具体技术l不
33、描述技术配置参数l可以被审核,即能够对组织内各个部门信息安全策略的遵守程度给出评价 信息安全策略信息安全策略的描述方式l语言简洁、非技术性、具有指导性。l比如一个涉及对敏感信息加密的信息安全策略的描述:l“任何类别为机密的信息,无论存贮在计算机中,还是通过公共网络传输时,必须使用本单位信息安全部门指定的加密硬件或者加密软件予以保护。”l这个叙述没有谈及加密算法和密钥长度,所以当旧的加密算法被替换,新的加密算法被公布的时候,无须对信息安全策略进行修改。 信息安全策略基本组成l威严的法律l先进的技术l严格的管理信息安全策略制定过程l组织和人员保证l作用范围确定l安全目标和原则制定l安全威胁风险分析
34、l安全需求确定l制订安全策略草案l进行策略评估l发布安全策略l随需修订策略9.3 电子政务技术安全体系设计l9.3.1 常用的电子政务信息安全机制 l9.3.2 电子政务技术安全体系结构的要素l9.3.3 电子政务技术安全体系架构9.3.1 常用的电子政务信息安全机制l“机制”一词最早源于希腊文,原指机器的构造和动作原理。l机制是以一定的运作方式把事物的各个部分联系起来,使它们协调运行而发挥作用的。n安全机制:主要指为了保护系统的安全所采取的安全技术、方法及实现策略。9.3.1 常用的电子政务信息安全机制l信息安全机制有很多,在电子政务系统中主要采用的信息安全机制包括:1.访问控制机制2.数据
35、加密机制3.数字签名机制4.身份认证机制5.病毒防护机制6.数据备份与灾难恢复机制1、访问控制机制l授权l访问控制l口令设置l防火墙l入侵检测l漏洞扫描授权l身份认证解决了“你是谁”的问题l授权解决“你能干什么”的问题l授权是确定主体对所访问的资源拥有什么样的权限l通常遵循最小特权原则l授权也可以对用户访问时间授权l授权的主体可以是用户、可以是设备、也可以是系统或进程l授权的目标(客体)范围很广,可以是网络、设备、系统、程序,也可以是数据授权策略l基于身份的授权策略基于个体的策略基于组的策略l基于角色的授权策略只需确定授权主体属于什么角色基于角色的权限服务模型 资源1 资源2 资源3 资源4
36、资源5 资源n 客体 权限 角色 主体 用户1 用户2 用户3 用户4 用户5 用户n 角色1 角色2 角色3 角色4 角色5 角色n 权限1 权限2 权限3 权限4 权限5 权限n 访问控制l访问控制(Access Control)的主要任务是保证资源不被非法访问l访问控制决定了谁能够访问系统,在哪访问,能访问系统的何种资源以及什么时候、如何使用这些资源l(Who,Where,What,When,How)4WH模型l访问控制系统一般包括以下几个实体:主体(subject):发出访问请求的一方客体(object):被访问的对象安全访问策略:一套规则,用以确定一个主体是否对客体拥有访问能力典型访
37、问控制模型l访问控制授权方案有很多种,但是都可以表示成下图所示的基本元素和抽象。访问控制决策单元ADF访问控制执行单元AEF访问主体目标客体提交访问请求执行访问请求决策请求决策结果授权数据库口令设置l口令是访问控制中最简单,也是最基本的身份认证手段,是很多信息安全的基础。l用户的困惑各系统采用完全不同的口令,口令的记忆和管理很困难各系统采用完全相同的口令安全隐患又很大l身份认证的三种方式口令设置悉尼大学实验调查l向学校336名计算机科学专业的学生发送电子邮件,声称发现了入侵者,而需要“验证”口令数据库l其中138名学生填写了有效口令l一些人怀疑,30人返回看似正确实际无效的口令l一半人在没有正
38、式提醒的情况下更改了口令l几乎没有人向管理机构通报这份电子邮件可靠口令输入l口令越长,破译的难度越大,但也越不容易记忆。l口令不是越长越好。l环境不同,密码长度确定原则也不一样。l美国核武器发射密码只包含12位十进制数字。实验表明,12位数字是在人员极度紧张或恶劣通信环境中可靠传输的最大值。口令记忆问题l在法国,有一家连锁酒店实行完全无人值守服务。人们找到旅馆,在收银机上划信用卡,取得一张收据,上面印有数字访问码,用此号码可以打开房间。l为了降低成本,房间不设浴室,客人必须使用公共浴室。l常常发生的问题是客人洗完澡忘记了访问码。口令检测问题l在银行系统中,通常规定,输入三次错误口令后,终端和用
39、户账号就被冻结,然后要与管理员联系重新激活。l但在有些场合不行,在军队系统中这样很危险。敌对一方可以进入网络后,采用大量虚假登录请求,从而产生拒绝服务攻击,如果给出系统中所有用户名字列表,很可能使服务完全崩溃。l很多口令攻击通过攻击程序实现,为避免程序攻击,有些系统采用结合验证码的方式来登录。口令攻击的方式很多l有些攻击以口令输入机制为目标l而有些则着眼于口令存储防火墙l是一种访问控制设备l置于不同网络安全域之间l是不同网络安全域之间信息流的唯一通道l能根据有关的安全策略控制(允许、拒绝、监视、记录)进出网络的访问行为l防火墙构成:服务访问规则验证工具包过滤应用网关防火墙l防火墙属于用户网络边
40、界的安全保护设备,对不同网络安全域进行隔离。l所谓网络边界即是采用不同安全策略的两个网络连接处。l网络安全域指根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络。防火墙l防火墙的基本设计目标对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙防火墙的基本目标是通过隔离达到访问控制的目的通过一些安全策略,来保证只有经过授权的数据流才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上内部网络防火墙外部网络入侵检测l入侵检测(Intrusion Detection,ID)是通过对计算机网络或计算机系统中若干关键点信息的收集和分析,从中发现网络或系统中是
41、否有违反安全策略的行为和被攻击迹象的一种安全技术。l入侵检测系统通常包含3个必要的功能组件:信息收集、分析引擎和响应组件入侵检测按照检测对象划分,入侵检测技术又可分为:l基于主机的入侵检测系统l基于网络的入侵检测系统(NIDS)l混合型检测响应协同lIDS与防火墙的协同lIDS与防病毒系统的协同漏洞扫描l安全漏洞安全漏洞是指硬件、软件或策略的自身缺陷,从而使得攻击者能够利用这些缺陷在未授权的情况下访问、控制系统。是某种可能被入侵者恶意利用的内在属性。l安全漏洞存在的原因技术方面的客观事实主观上未能避免的原因(默认值配置、缺乏有效漏洞管理、安全意识)l客观认识漏洞不可能消失漏洞扫描l通过对网络的
42、扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,调整系统配置,修补系统漏洞。l漏洞扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。l漏洞扫描是一种主动的防范措施,可以有效地避免系统、网络遭到攻击。2 2、数据加密机制l数据加密是保证信息可用和信息真实的根本手段,数据加密机制的基础是密码学理论。l密码学发展史公元前5世纪,古希腊就出现了原始的密码器。加密过程:用带子缠绕木棍,沿木棍纵向写好明文,解下来的带子上就是杂乱无章的密文。解密时将带子缠绕到相同规格的木棍上,读出原文。密码学发展阶段密码学发展可以分为三个阶段:l1949年之前传统密码学阶段,密码学
43、被认为是一门艺术l19491975年现代密码学,密码学成为科学,标志是对称密码理论建立l1976年以后现代密码学新阶段,标志是公钥密码理论建立密码学基本概念l密码学(Cryptology)是研究信息系统安全保密的科学,它包括两个分支:密码编码学(Cryptography):密码编码学研究是对信息进行编码实现信息保密性的科学。密码分析学(Cryptanalytics):密码分析学则是研究、分析、破译密码的科学。密码学基本概念术语l消息原文被称为明文(Plaintext)l用某种方法伪装消息以隐藏它的内容的过程称为加密(Encrtption)l消息被加密之后形成的消息称为密文(Ciphertext
44、)l而把密文转变为明文的过程称为解密(Decryption)l用于加密的数学函数加密算法(Encryption Algorithm)l用于解密的数学函数解密算法(Decryption Algorithm)l加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称为加密密钥(Encryption Key)和解密密钥(Decryption Key)密码系统(体制)l一个密码系统(体制)包括所有可能的明文、密文、密钥、加密算法和解密算法。 加密变换 解密变换 密文 C 密码分析 密钥 K 密钥 K 明文 M 明文 M 不安全信道 加密强度l通常指信息加密后,破解的难易程度,一般与密钥的长度直接相
45、关,密钥越长,越难以破解。l密钥的长度用密钥的位数来标明(0,1),一个长度为40位的密钥,则可能的密钥数量为2的40次方,长度为n的密钥,可能的密钥个数为2n。l如果用穷举法破解密钥,在知道加解密算法,知道密文的情况下,破解出明文需要的计算次数为2n数量级。简单加密举例明文abcdefghijklm密文WJANDYUQIBCEF明文nopqrstuvwxyz密文GHKLMOPRSTVXZl方法:列出明文字母与密文字母的一一对应关系。例:明文为network security,则相就的密文为:GDPTHMC ODARMIPX简单加密举例l猪笔密码加密法由英文名pigpen cipher得名。l
46、猪笔密码属于替换密码,但它不是用一个字母替代另一个字母,而是用一个符号来代替一个字母, 把26个字母写进下四个表格中,然后加密时用这个字母所挨着表格的那部分来代替。对称密钥密码体制l对称密钥密码体制是从传统的简单代换发展而来的。其主要特点是:加密算法公开,密钥保密加解密双方在加解密过程中使用的是完全相同或本质上等同(即从其中一个容易推出另一个)的密钥l对称密钥密码体制也称为经典密钥密码体制、常规密钥密码体制、私钥密码体制、单钥密码体制等。对称密钥密码体制的通信模型:密 钥 密 文 明 文 明 文 加 密 解 密 对称加密特点l优点是运算效率高,硬件容易实现。l主要缺点:在公开的网络上进行密钥的
47、安全传送和管理很困难需要管理的密钥数量多(n*(n-1))不适合陌生人之间进行密钥传递和安全通信对传输信息的完整性不作检查无法解决信息的不可抵赖需求(两个人知道密钥)缺乏自动检测密钥泄露的能力等 公钥密码体制l1976斯坦福大学学生Diffie 和他的导师Hellman提出了公开密钥密码体制(简称公钥体制),它的加密、解密密钥是不同的,从一个密钥不能(在有效的时间内)推导出另一个密钥,用任何一个密钥加密,都可以用另一个密钥解密。l加密密钥公开,解密密钥保密。l公钥密码体制也称为双钥密码体制、非对称密钥密码体制或公开密钥密码体制。l公钥密码体制的产生,有效地解决了密码技术的瓶颈密钥分配问题。 l
48、比较著名的公钥密码算法:RSA、椭圆曲线。公钥密码体制原理和特点l基本原理:加密与解密采用不同的密钥。其中,加密密钥PK是公开密钥,解密密钥SK是秘密密钥。加密算法E和解密算法D也是公开的。公钥算法的加密公开密钥与对称密钥相结合的加密公钥密码体制的特点l对明文X用加密密钥PK加密后,再用解密密钥SK进行解密,即可以恢复原明文X,即:DSK(EPK(X)X。l加密密钥PK是公开的,但是不能用它来解密,即:DPK(EPK(X)X。l虽然解密密钥SK是由加密密钥PK决定的,但是根据PK不能计算得到SK 。l加密算法E和解密算法D,公钥是公开的。 对称加密和非对称加密比较序号对比项对称密钥加密非对称密
49、钥加密1加/解密效率高低2加/解密密钥相同密钥不同密钥3密钥交换问题很大没问题4需管理密钥数量需加密通信用户数的平方等于需加密通信用户数5大范围应用不适合适合6加密支持支持7陌生人之间通信很困难很方便8数字签名不支持支持3、数字签名机制l中华人民共和国电子签名法l由第十届全国人大常委会第十一次会议于年月日通过,自年月日起施行。l为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益。(第一章 总则第一条)l电子签名:指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。l电子签名同时符合下列条件的,视为可靠的电子签名:电子签名制作数据用于电子签名时,属
50、于电子签名人专有;签署时电子签名制作数据仅由电子签名人控制;签署后对电子签名的任何改动能够被发现;签署后对数据电文内容和形式的任何改动能够被发现。数字签名l与传统签名比较,二者的功能和作用类似,但在签名验证的方法上,数字签名利用一种公开的方法对签名进行验证,任何人可以对签名进行验证,而传统手写签名的验证相对要困难l多重数字签名方案l有序多重数字签名使用公开密钥的签名完整的加密与签名 4、身份认证机制l身份认证(Identity and Authentication Management)是用户在进入系统或访问系统资源时,系统确认该用户的身份是否真实、可信的过程。l单纯的用户名口令机制是传统的身
