电子政务网络安全风险分析
电子政务网络安全风险分析
对于电子政务专用网络内部而言,具有资源分类别、分级别、密级区别等特点,各个用户、各个部门拥有自主储存、使用和传递共享的资源。因此,电子政务专用网络内部也必须对各种信息的储存、传递和使用进行严格的权限管理。我们认为在指导思想上,首先应在对电子政务专用网络安全风险分析的基础上,做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟交换网络(VLAN)、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI技术等,并实现集中统一的配置、监控、管理;最后,应加强有关网络安全保密的各项制度和规范的制定,并予以严格实行。为了便于分析网络安全风险和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。
从系统和应用出发,网络的安全因素可以划分到如下的五个安全层中,即物理层安全风险分析、网络层安全风险分析、系统层安全风险分析、应用层安全风险分析、管理层安全风险分析。
电子政务网络安全方案设计
1. 网络安全方案设计原则
网络安全建设是一个系统工程,电子政务专用网络系统安全体系建设应按照“统一规划、统筹安排、统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。
在进行网络系统安全方案设计、规划时,应遵循以下原则:需求、风险、代价平衡的原则,综合性、整体性原则、一致性原则,易操作性原则,适应性、灵活性原则,多重保护原则,可评价性原则。
2. 电子政务网络安全解决方案
(1)物理层安全解决方案
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:环境安全、设备安全、线路安全。
为了将不同密级的网络隔离开,我们还要采用隔离技术将核心密和普密两个网络在物理上隔离,同时保证在逻辑上两个网络能够连通。
(2)网络层安全解决方案
防火墙安全技术建议:电子政务网络系统是一个由省、各地市、各区县政府网络组成的
三级网络体系结构,从网络安全角度上讲,它们属于不同的网络安全域,因此在各中心的网络边界,以及政务网和Internet边界都应安装防火墙,并需要实施相应的安全策略控制。另外,根据对外提供信息查询等服务的要求,为了控制对关键服务器的授权访问控制,建议把对外公开服务器集合起来划分为一个专门的服务器子网,设置防火墙策略来保护对它们的访问。网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问控制,采用安全检测手段防范非法用户的主动入侵。
入侵检测安全技术建议:入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如发现违规访问、阻断网络连接、内部越权访问等,发现更为隐蔽的攻击。目前网络入侵安全问题主要采用网络入侵监测系统等成熟产品和技术来解决。
数据传输安全建议:为保证数据传输的机密性和完整性,同时对拨号用户接入采用强身份认证,建议在电子政务专用网络中采用安全VPN系统。系统部署如下:在省交互中心、各地市和各区县统一安装VPN设备,对于移动用户安装VPN客户端软件。
(3)系统层安全解决方案
系统层安全主要包括两个部分:操作系统安全技术以及数据库安全技术。对于关键的服务器和工作站应该采用服务器版本的操作系统。
(4)应用层安全技术方案
根据电子政务专用网络的业务和服务,我们采用身份认证技术、防病毒技术、以及对各种应用服务的安全性增强配置服务来保障网络系统在应用层的安全。
(5)安全管理方案建议
1)安全体系建设规范
电子政务网络系统建设整网安全需要一套统一的安全体系建设规范,此规范应结合电子政务专用网络的实际情况制定,然后在全网统一实施。
2)安全组织体系建设
实施安全应管理先行,安全组织体系的建设势在必行。应在省中心和各地市建立网络安全建设领导委员会,该委员会应由一个主管领导、网络管理员、安全操作员等人员组成。省中心的安全委员会负责安全系统的总体实施。
3)安全管理制度建设
面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。
制定安全管理制度,实施安全管理的原则为:多人负责原则、任期有限原则、职责分离原则。
4)安全管理手段
安全技术管理体系是实施安全管理制度的技术手段,是安全管理智能化、程序化、自动化的技术保障。安全技术管理对OSI的各层进行综合技术管理。
电子政务网络安全风险分析
电子政务网络安全风险分析 对于电子政务专用网络内部而言,具有资源分类别、分级别、密级区别等特点,各个用户、各个部门拥有自主储存、使用和传递共享的资源。因此,电子政务专用网络内部也必须对各种信息的储存、传递和使用进行严格的权限管理。我们认为在指导思想上,首先应在对电子政务专用网络安全风险分析的基础上,做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟交换网络(VLAN)、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI技术等,并实现集中统一的配置、监控、管理;最后,应加强有关网络安全保密的各项制度和规范的制定,并予以严格实行。为了便于分析网络安全风险和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。 从系统和应用出发,网络的安全因素可以划分到如下的五个安全层中,即物理层安全风险分析、网络层安全风险分析、系统层安全风险分析、应用层安全风险分析、管理层安全风险分析。 电子政务网络安全方案设计 1. 网络安全方案设计原则 网络安全建设是一个系统工程,电子政务专用网络系统安全体系建设应按照“统一规划、统筹安排、统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。 在进行网络系统安全方案设计、规划时,应遵循以下原则:需求、风险、代价平衡的原则,综合性、整体性原则、一致性原则,易操作性原则,适应性、灵活性原则,多重保护原则,可评价性原则。 2. 电子政务网络安全解决方案 (1)物理层安全解决方案 保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:环境安全、设备安全、线路安全。 为了将不同密级的网络隔离开,我们还要采用隔离技术将核心密和普密两个网络在物理上隔离,同时保证在逻辑上两个网络能够连通。 (2)网络层安全解决方案 防火墙安全技术建议:电子政务网络系统是一个由省、各地市、各区县政府网络组成的
电子政务内网安全现状分析与对策
电子政务内网安全现状分析与对策 4.29首都网络安全日电子政务应用论坛分享 上世纪80年代末,我国首次提出发展电子政务,打造高效、精简的政府运作模式。 近年来,随着政府机构的职能逐步偏向社会公共服务,电子政务系统的高效运作得到民众的肯定,但同时,各类业务通道的整合并轨也让电子政务系统数据安全问题“开了口子“:“国家旅游局漏洞致6套系统沦陷,涉及全国6000万客户信息” “4.22事件,多省社保信息遭泄露,数千万个人隐私泄密” “国家外国专家局被曝高危漏洞,分站几乎全部沦陷” …… 一. 电子政务内网数据库安全面临的风险 虽然基于安全性的考虑,电子政务系统实行政务外网、政务专网、政务内网的三网并立模式,但通过对系统安全性能的研究,安华金和发现:当前电子政务内网信息系统中的涉密数据集中存储在数据库中,即使是与互联网物理隔离的政务内网,一系列来自数据库系统内部的安全风险成为政府机构难以言说的痛。 风险一、数据库管理员越权操作: 数据库管理员操作权限虽低,但在数据库维护中可以看到全部数据,这造成安全权限与实际数据访问能力的脱轨,数据库运维过程中批量查询敏感信息,高危操作、误操作等行为均无法控制,内部泄露风险加剧。 风险二、数据库漏洞攻击: 由于性能和稳定性的要求,政务内网多数使用国际主流数据库,但其本身存在的后门程序使数据存储环境危机四伏,而使用国产数据库同样需要担心黑客利用数据库漏洞发起攻击。 风险三、来自SQL注入的威胁:
SQL注入始终是网站安全的顽疾,乌云、补天、安华等平台爆出的数据漏洞绝大多数与SQL注入攻击有关,内外网技术架构相同,随着政务内网的互联互通,SQL注入攻击构成政务内网的严重威胁。 风险四、弱口令: 由于账户口令在数据库中加密存储,DBA也无法确定哪些是弱口令,某国产数据库8位及以下就可以快速破解,口令安全配置低,有行业内部共知的弱口令,导致政务内网安全检查中发现大量弱口令和空口令情况,弱口令有被违规冒用的危害,即使审计到记录也失效。 传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术形成应对策略,但对于核心数据库的防护欠缺针对有效的防护措施。 二. 电子政务内网数据库防护解决方案 电子政务系统的数据安全防护,在业务驱动的同时,保障政策要求同样重要,在此前提下,国家保密局于2007年发布并实施分级保护保密要求: 特别是对于系统中数据的保密,要求中明确指出:对于机密级以上的系统要从运行管理三权分立、身份鉴别、访问控制、安全审计等方面进行一系列的技术和测评要求,具体涉及以下三方面: 访问审计: 1、审计范围应覆盖到服务器和重要客户端上的每个数据库用户 2、审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等 3、应能够根据记录数据进行分析,并生成审计报表 4、应保护审计进程避免受到未预期的中断 5、应保护审计记录避免受到未预期的删除、修改或覆盖等 6、审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 二、主动预防 1、通过三权分立,独立权控限制管理员对敏感数据访问。 2、应针对SQL注入攻击特征有效防护 3、应检测对数据库进行漏洞攻击的行为,能够记录入侵的源IP、攻击的类型,并在发生严重入侵事件时主动防御
网络安全风险评估
网络安全风险评估 网络安全主要包括以下几个方面:一是网络物理是否安全;二是网络平台是否安全;三是系统是否安全;四是信息数据是否安全;五是管理是否安全。 一、安全简介: (一)网络物理安全是指计算机网络设备设施免遭水灾、火 灾等以及电源故障、人为操作失误或错误等导致的损坏,是整个网络系统安全的前提。 (二)网络平台安全包括网络结构和网络系统的安全,是整 个网络安全的基础和。安全的网络结构采用分层的体系结构,便于维护管理和安全控制及功能拓展,并应设置冗余链路及防火墙、等设备;网络系统安全主要涉及及内外网的有效隔离、内网不同区域的隔离及、网络安全检测、审计与监控(记录用户使用的活动过程)、网络防病毒和等方面内容。 二、安全风险分析与措施: 1、物理安全:公司机房设在4楼,可以免受水灾的隐患;机 房安装有烟感报警平台,发生火灾时可以自动灭火;机房 安装有UPS不间断电源、发电机,当市电出现故障后, 可以自动切换至UPS供电;机房进出实行严格的出入登 记流程,机房大门安装有门禁装置,只有授权了的管理员 才有出入机房的权限,机房安装了视频监控,可以对计算 机管理员的日常维护操作进行记录。
2、网络平台安全:公司网络采用分层架构(核心层、接入层), 出口配备有电信、联通双运营商冗余链路,主干链路上安 装有H3C防火墙、H3C入侵防御设备,防火墙实现内外 网边界,互联网区、DMZ区、内网区的访问控制及逻辑 隔离,入侵防御设备可以有效抵御外来的非法攻击;在内 网办公区与服务器区之间,部署防火墙,实现办公区与服 务器区的访问控制及隔离,内网部署了堡垒机、数据库审 计与日志审计系统,可以有效记录用户使用计算机网络系 统的活动过程。 3、系统安全:公司各系统及时安装并升级补丁,可以及时的 修复系统漏洞,同时在关键应用系统前部署WAF,防护 来自对网站源站的动态数据攻击,电脑终端与服务器系统 安装杀毒软件,可以对病毒进行查杀。 4、信息数据安全:公司通过防火墙实现了内外网的逻辑隔离, 内网无法访问外网;同时部署了IP-guard加解密系统,借 助IP-guard,能够有效地防范信息外泄,保护信息资产安 全;对重要数据提供数据的本地备份机制,每天备份至本 地。 5、管理安全:公司严格按照等级保护之三级等保技术要求和 管理要求制定了一套完善的网络安全管理制度,对安全管 理制度、安全管理机构、人员安全管理、系统建设管理、 系统运维管理各个方面都做出了要求。
网络系统安全风险分析
大型企业网络安全解决方案 第一章引言 (1) 第二章网络系统概况 (2) 2」网络概况 (2) 2.2网络结构的特点 (3) 第三章网络系统安全风险分析 (3) 3」网络平台的安全风险分析 (4) 3.2系统的安全风险分析 (5) 3.3应用的安全风险分析 (5) 第四章安全需求与安全目标 (6) 4」安全需求分析 (6) 4.2系统安全目标 (7) 第五章网络安全方案总体设计 (7) 5」安全方案设计原则 (8) 5.2安全服务、机制与技术 (9) 第六章网络安全体系结构 (9) 6」网络结构 (10) 6.2网络系统安全 (10) 6.2.1网络安全检测 (10) 6.2.2网络防病毒 (11) 6.2.3网络备份系统 (11) 6.3系统安全 (12) 6.4应用安全 (12) 第一章引言
本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、 安全需求分析、安全LI标的确立、安全体系结构的设计等。本安全解 决方案的LI标是在不影响某大型企业局域网当前业务的前提下,实现 对他们局域网全面的安全管理。 1 ?将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。 2.定期进行漏洞扫描,及时发现问题,解决问题。 3?通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。 4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。 5.在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。 第二章网络系统概况 2.1网络概况 这个企业的局域网是一个信息点较为密集的千兆局域网络系统,它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此,通过专线与Internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器,企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设汁为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险。因此,在原有网络上实施一套完整、可操
电子政务网络安全体系的标准规范
电子政务网络安全体系的标准规范 在电子政务信息系统安全保障体系结构中,首先要健全系统安全保障的法律法规,强化电子政务信息系统安全的法制管理。迄今为止,世界上很多国家制定了与网络安全有关的法律法规,一些国家还制定了专门的政府网络安全保护方面的法律法规,我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统保密管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》,却很零散,还缺乏关于电子政务网络安全的专门法规。今后,在完善电子政务网络安全法律法规的同时,还应该加大执法力度严格执法,为电子政务网络安全提供法律保障。这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。 在电子政务信息系统安全保障体系结构中,首先要健全系统安全保障的法律法规,强化电子政务信息系统安全的法制管理。迄今为止,世界上很多国家制定了与网络安全有关的法律法规,一些国家还制定了专门的政府网络安全保护方面的法律法规,如英国的《官方信息保护法》,俄罗斯的《联邦信息、信息化和信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统保密管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》,却很零散,还缺乏关于电子政务网络安全的专门法规。今后,在完善电子政务网络安全法律法规的同时,还应该加大执法力度,严格执法,为电子政务网络安全提供法律保障。这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。 建立健全网络安全组织管理制度,明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门。发达国家一般都建立有网络安全管理机构,美国安全委员会下设了国家保密政策委员会和信息系统安全保密委员会;英法等国家建立了“国家网络安全委员会”;德国成立了“国家网络安全局”。在我国,安全职能部门包括国家公安部、国家安全局、国家保密局、国家密码管理委员会、信息产业部、中央军委总参谋部等。国家信息化工作领导小组负责对网络安全的国家总体发展战略进行规划、设计、研究,组织、协调等工作,配合有关部门进行立法调研。但地方政府和重点保护的重要领域相应的组织机构还很不健全;《计算机信息系统安全保护条例》中确立了由公安部主管全国计算机信息系统安全保护工作,但由于机构编制等原因,许多地方公安机关没有成立专门的计算机信息系统安全保护机构,适应计算机信息技术高速发展的警力配备不足等。建议组建国家网络安全委员会,组织和协调国家安全、公安、保密等职能部门,在信息化建设中网络安全领域进行分工协作,对国家网络安全政策统一步调、统筹规划。 建立政府上网信息保密审查制度,坚持“谁上网谁负责”的原则,信息上网必须经过信息提供单位的严格审查和批准。各级保密工作部门和机构负责本地区本部门网上信息的保密检查,发现问题,及时处理。涉密信息网络必须与公共信息网实行物理隔离。在与公共信息网相连的信息设备上不得存储、处理和传递国家秘密信息。加强对上网人员的监督与管理,明确责任,确保在公共信息网上不发生泄露国家秘密的事件。 国家已经正式成立“网络安全标准化委员会”,近期建立了网络安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)、密码算法与密码模块/KMI/VPN工作组(WG3)、PKI/PMI工作组(WG4)、网络安全评估工作组(WG5)、应急处理工作组(WG6)、身份标识与鉴别协议工作组(WG9)、操作系统与数据库安全工作组(WG10),开展电子政务安全相关标准的研制工作。 目前中国无论是关键技术、经营管理还是生产规模、服务观念,都不具备力量在短时间内使国产信息产品占领国内的信息安全产品主要市场。国家要集中人力、物力,制订相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保关键政府部门的信息系统的网络安全。此外,权衡考虑安全、成本、效率三者的关系。实际上,绝对
网络安全风险评估最新版本
网络安全风险评估 从网络安全威胁看,该集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及安全管理漏洞等方面。因此要采取以下措施增强该集团网络安全: A:建立集团骨干网络边界安全,在骨干网络中Internet出口处增加入侵检测系统或建立DMZ区域,实时监控网络中的异常流量,防止恶意入侵,另外也可部署一台高档PC服务器,该服务器可设置于安全管理运行中心网段,用于对集团骨干网部署的入侵检测进行统一管理和事件收集。 B:建立集团骨干网络服务器安全,主要考虑为在服务器区配置千兆防火墙,实现服务器区与办公区的隔离,并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统,在网络中配置百兆网络入侵检测系统,实现主机及网络层面的主动防护。 C:漏洞扫描,了解自身安全状况,目前面临的安全威胁,存在的安全隐患,以及定期的了解存在那些安全漏洞,新出现的安全问题等,都要求信息系统自身和用户作好安全评估。安全评估主要分成网络安全评估、主机安全评估和数据库安全评估三个层面。 D:集团内联网统一的病毒防护,包括总公司在内的所有子公司或分公司的病毒防护。通过对病毒传播、感染的各种方式和途径进行分析,结合集团网络的特点,在网络安全的病毒防护方面应该采用“多级防范,集中管理,以防为主、防治结合”的动态防毒策略。 E:增强的身份认证系统,减小口令危险的最为有效的办法是采用双因素认证方式。双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素,而且需要第二个要素,也即用户拥有的,通常是认证令牌,这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别。用户除了知道他的PIN号码外,还必须拥有一个认证令牌。而且口令一般是一次性的,这样每次的口令是动态变化的,大大提高了安全性。 补充:最后在各个设备上配置防火墙、杀毒软件,通过软件加强网络安全
电子政务网络安全风险评估问题发现及保障建议【最新】
电子政务网络安全风险评估问题发现及保障建议 近些年,随着统筹协调机制、“互联网政务服务”、信息资源整合共享等概念的出现和逐步落地,以及数字化、网络化、智能化为特质的新一代信息通信技术(ICT)加快驱动,政府再次转型驶入新型电子政务建设快车道。电子政务领域信息系统也从早期的门户网站、邮件系统、办公系统不断得到创新和运用,网上办公、数据集中、各种业务支撑系统层出不穷。与此同时,这些信息系统面临的网络安全问题也越来越突出。本文总结分析近些年对电子政务领域各种信息系统进行风险评估过程中发现的网络安全问题,分析电子政务网络安全发展趋势,提出安全保障建议,旨在为新型电子政务建设以及政府治理体系根本性变革提供参考。 一、电子政务信息系统网络安全面临的问题和挑战 (一)安全设计与应用实现存在匹配失衡现象,敏感数据防护手段不成熟,数据安全不容乐观 电子政务作为国家重要信息系统,承载包括国家、企业以及个人的敏感信息,成为黑客组织、商业情报机构的关注焦点。我国电子政务领域信息系统建设“交钥匙工程”现象仍然存在,安全设计和应用实现不够合理和科学,不能抓住安全和业务的平衡点,业务系统最终
呈现出的结果背离最初安全设计目标和预期使命。粗放型的管理理念和管理体系与现有安全管理工具不能相互融合支撑。同时,注重外围边界安全,忽视内网安全,只重视以网关产品为主要形式的边界防御,对内部网络、业务应用和数据安全的管理不够重视,无法保证整体网络安全性。数据加密存储或加密传输手段实现比例很低,缺乏切实有效的数据防外泄手段,敏感数据得不到重点保护,缺少实质性的安全防护措施。目前,数据窃取的技术手段与工具也在快速发展,数据泄露的风险进一步加大,数据安全形势不容乐观。 (二)信息系统建设运维人员组成复杂,面对新应用新技术应急资源未得到合理有效整合 电子政务信息系统设备非国产化问题还未得到彻底解决,安全设备购买后要么“裸奔”,要么被束之高阁。一些单位还购买了专门的安全服务,将信息系统安全配置与管理全权交给集成或安服公司,虽然在一定程度上节省了专业人员的培养成本,但是,随着厂商业务的拓展、售后服务人员的更迭、产品质保期的结束,会产生很多不可控的因素,人员安全意识、安全技能以及安全防护水平均存在参差不齐的现象,网络安全保障受制于人。随着无线网络、云计算、大数据等技术的不断普及,移动执法、移动监测、移动服务、移动媒体等广泛应用,恶意代码攻击、个人隐私泄露的途径也在不断扩大。电子政务领域网络安全应急方面主要问题表现在缺少供决策者作战指挥的固
电子政务案例分析-习题集(含答案)
《电子政务案例分析》课程习题集 西南科技大学成人、网络教育学院版权所有 习题 【说明】:本课程《电子政务案例分析》(编号为04002)共有单选题,论述题,简答题,判断题等多种试题类型,其中,本习题集中有[简答题]等试题类型未进入。 一、单选题 1. 各级政府机构的政务处理电子化包括内部核心政务电子化、信息公布与发布电子化、信息传递与交换电子化、公众服务电子化等。这称为 A、电子政务 B、电子政府 C、电子商务 D、办公自动化 2. 运用信息技术打破行政机关的组织界限,建构一个电子化的虚拟机关,使得人们可以从不同的渠道取用政府的信息和服务。人们可以利用不同的形式,非特定的时间及地点,与政府进行沟通,这称为 A、电子政务 B、电子政府 C、电子商务 D、办公自动化 3. 电子政务相对与办公自动化来说,参与的对象是 A、公务员 B、领导干部 C、公众 D、由公务员扩展到全社会的各类用户角色
4. 是电子商务发展的保障 A、电子数据交换 B、电子资料库 C、电子政务 D、电子身份认证 5. 信息系统和电子政务的安全风险来自与 A、物理风险 B、无意错误风险 C、有意破坏风险 D、以上都是 6. 地址又称为互联网地址是一个位的二进制整数,由个字节组成 A、48,4 B、32,4 C、24,4 D、32,2 7. 国际标准化组织提出了开放式网络互联分层模型()把互联网分为层 A、5 B、7 C、3 D、以上都不对 8. 为适应业务发展和安全保密的要求,有效遏制重复建设。要加快建设和整合统一的网络平台。电子政务网络由政府内网和政务外网构成,两网之间隔离,政务外网与互联网之间隔离 A、物理,物理 B、逻辑,逻辑 C、物理,逻辑 D、逻辑,物理 9. 常用的信息加密技术是 A、数字证书 B、链路加密 c、网络层加密 d、以上答案
华为电子政务网络安全解决方案
华为电子政务网络安全解决方案 编者按:没有安全的网络,就像没有围墙的院落,随时随地会受到骚扰和侵犯。随着政务网络的不断发展和应用,网络受到的安全挑战越来越多。如何保证政务网络的全面安全?华为电子政务网络安全解决方案为此提供了解决办法…… 没有安全的网络,就像没有围墙的院落,随时随地会受到骚扰和侵犯。随着政务网络的不断发展和应用,网络受到的安全挑战越来越多。如何保证政务网络的全面安全是摆在建设与管理者面前的一个难题。 随着政务网络的层次化、分组化以及宽带化发展,政府部门越来越多的统计决策业务、日常监督检查业务、OA等管理性业务以及面向多媒体的综合业务都开始向数字化、网络化转变,这符合当前信息网络融合发展的趋势。多网融合对应用的安全性提出了更高的要求。 但目前政务网络还存在一些常见的问题:一是没有统一的网络授权控制策略,仅采用简单的口令控制,使用不便,而且难以确保口令的时效限制。二是机房中心访问控制与未来跨主机业务之间的矛盾,如不同政府部门之间的业务开展和结算等。三是网络规划基本上还是以简单办公业务需求为主,没有考虑到将来政府网络支持的业务对网络架构和安全要求提高后的平滑过渡。四是政务内网与政务外网之间的数据交换存在实时性与安全性之间的矛盾。因此,政务网络需要整体性的安全解决方案。
政务网络安全策略 完整的安全体系结构应覆盖系统的各个层面,由“网络级安全、应用级安全、系统级安全和管理级安全”四大部分组成。 网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障政务网络的安全;应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制,在应用层保证对政务网络各种应用系统的信息访问合法性;系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控,防止不法分子利用操作系统的安全漏洞对政务网络构成安全威胁;管理级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障政务网的安全。因此作为一个完整的系统,政务网络必须对网络系统进行全方位的考虑。 网络的安全覆盖系统的各个层面,包括网络传送、网络服务、应用安全、安全识别、安全防御、安全监控、审计分析、集中管理等多个方面。这需要依靠安全保护和安全管理进行全面防护。
电子政务中的网络安全问题分析与研究
电子政务中的网络安全问题分析与研究 【摘要】随看互联网技术的不断进步与发展,电子政务中的网络安全问题也成为政府部门关注的重要内容。尤其在日常检查、统计决策等业务的开展方面,要求实现数字化与网络化,以满足信息融合发展的要求。本文主要对电子政务网络安全的基本概述、电子政务系统安全风险以及构建网络安全体系的措施进行探析。 【关键词】电子政务安全风险网络安全体系前言:在信息网络融合发展的趋势下,政府部门也开始应用互联网技术以实现办公网络化、电子化以及自动化的目标。然而电子政务实际运行过程中存在一定的网络安全问题,导致其应有的效果无法充分发挥出来。因此对电子政务中网络安全问题及其相应的完善策略分析具有十分重要的意义。 一、电子政务网络安全的基本概述 对电子政务网络安全的概念目前仍未形成比较全面的定义。但从广义角度分析,其主要以网络信息安全为基础,将网络系统中涉及的数据信息及其自身的软件与硬件进行保护,避免因恶意侵入所造成的泄露、修改以及破坏情况的发生。在内容方面既存在管理问题,也包括技术问题。其中管理方面主要指通过内部使用人员的管理确保电子政务实现政
府要求的信息化与开放化,而技术问题侧重于对不法分子攻击的预防。因此针对现阶段电子政务中的网络安全问题,需从技术与管理方面进行完善。 二、电子政务中存在的网络安全问题分析 1、从网络层安全风险角度。电子政务的网络层安全风险主要体现在数据传输风险、网络边界风险以及网络设备安全风险等方面。在数据传输风险中,往往存在业务数据泄露以及数据被破坏的情况。利用上下级网络或同级局域网络进行数据传输过程中由于包含相关的敏感信息或其他登录通行字且缺乏专门控制数据的软件与硬件,不法分子会采用不同的攻击手段窃取或直接破坏数据信息。在网络边界风险方面,由于电子政务中的网络节点多为不可信任域,入侵者很可能利用Sniffe 等程序对系统中的安全漏洞进行探测,并在此基础上窃取内部网中的用户名或口令等信息,导致系统瘫痪的情况发生。同时内网与外网的互通也是产生网络边界风险的重要原因。在网络设备安全风险方面,主要体现在如路由器或交换机等设备方面,其安全性关乎电子政务系统的运行。 2、从物理层、系统层与应用层角度。电子政务系统中的物理层风险主要指周边环境对网络或线路所造成的影响,如设备的毁坏、设备被盗或线路老化等情况,也存在自然灾害等对设备造成的破坏。通常可利用物理隔离技术解决
网络安全的定义
网络安全概述 网络安全的定义 什么是计算机网络安全,尽管现在这个词很火,但是真正对它有个正确认识的人并不多。事实上要正确定义计算机网络安全并不容易,困难在于要形成一个足够去全面而有效的定义。通常的感觉下,安全就是"避免冒险和危险"。在计算机科学中,安全就是防止: 未授权的使用者访问信息 未授权而试图破坏或更改信息 这可以重述为"安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力"。注意第二个定义的范围包括系统资源,即CPU、硬盘、程序以及其他信息。 在电信行业中,网络安全的含义包括:关键设备的可靠性;网络结构、路由的安全性;具有网络监控、分析和自动响应的功能;确保网络安全相关的参数正常;能够保护电信网络的公开服务器(如拨号接入服务器等)以及网络数据的安全性等各个方面。其关键是在满足电信网络要求,不影响网络效率的同时保障其安全性。 电信行业的具体网络应用(结合典型案例) 电信整个网络在技术上定位为以光纤为主要传输介质,以IP为主要通信协议。所以我们在选用安防产品时必须要达到电信网络的要求。如防火墙必须满足各种路由协议,QOS的保证、MPLS技术的实现、速率的要求、冗余等多种要求。这些都是电信运营商应该首先考虑的问题。电信网络是提供信道的,所以IP优化尤其重要,至少包括包括如下几个要素: 网络结构的IP优化。网络体系结构以IP为设计基础,体现在网络层的层次化体系结构,可以减少对传统传输体系的依赖。 IP路由协议的优化。 IP包转发的优化。适合大型、高速宽带网络和下一代因特网的特征,提供高速路由查找和包转发机制。 带宽优化。在合理的QoS控制下,最大限度的利用光纤的带宽。 稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力,快速恢复网络连接,避免路由表颤动引起的整网震荡,提供符合高速宽带网络要求的可靠性和稳定性。 从骨干层网络承载能力,可靠性,QoS,扩展性,网络互联,通信协议,网管,安全,多业务支持等方面论述某省移动互联网工程的技术要求。 骨干层网络承载能力
网络安全设计方案87894
1.1 某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统
某市政府中心网络安全方案设计 1.2 安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2) 通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1 防火墙系统设计方案 1.2.1.1 防火墙对服务器的安全保护 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。 如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。 1.2.1.2 防火墙对内部非法用户的防范 网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。 对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安
企业网络安全风险分析及可靠性设计与实现研究
编号:AQ-Lw-02511 ( 安全论文) 单位:_____________________ 审批:_____________________ 日期:_____________________ WORD文档/ A4打印/ 可编辑 企业网络安全风险分析及可靠性设计与实现研究 Enterprise network security risk analysis and reliability design and Implementation
企业网络安全风险分析及可靠性设 计与实现研究 备注:加强安全教育培训,是确保企业生产安全的重要举措,也是培育安全生产文化之路。安全事故的发生,除了员工安全意识淡薄是其根源外,还有一个重要的原因是员工的自觉安全行为规范缺失、自我防范能力不强。 摘要:现今,伴随信息、通信技术的完善,网络攻击技术的革新,网络安全问题日益显现。网络安全的管控,可以从侧面反映网络的安全状态,确保企业的网络安全。网络的安全性,关系企业的长远发展问题,同时也会间接影响社会的发展,作为企业的管理者我们应确保企业网络的安全,进而提高企业的经济效益。因此,本文就从网络安全风险分析、网络可靠性设计、企业网络安全的实现几方面进行一定的探讨,期望可以为企业的正常运行提供一定的帮助。 关键词:企业;网络风险分析;可靠性设计与实现 现今,伴随信息、通信技术的完善,计算机网络中信息与数据的汇聚,都给人们的生活带来了极大的便捷性。经由网络系统,不
仅提高了企业信息保存、传输的速度;提高了市场的反映速度;还带动了企业业务的新发展。企业内部中的网络信息,在现实运用中都实现了资源共享[1]。但是,在资源共享的前提下,就存在企业内部机密的安全性问题,尤其是现今的网络安全问题频发,我们更应提高对于企业的网络安全问题的关注度。因此,本文就对企业网络安全进行一定的探讨,期望可以对企业的正常运行提供有效帮助。 1网络安全风险分析 1.1安全威胁的分类 网络安全威胁,具体就是指潜在的、会对企业资产形成损失的安全问题。导致安全威胁的因素诸多,具体分类为:恶意攻击;系统软件问题;自然灾害;人为因素等[2]。 1.2网络系统安全影响因素[3] 1.2.1缺乏完善的管理体系 完善的网络管理体系,不单需要投入大量的网络设备,同时也要求有技术的支持。网络安全建设,其主要因素还应建立规范的网络安全管理机制。在任何企业,为了有效的保证网络的安全性,都
我国电子政务建设的五个阶段及七点建议
我国电子政务建设的五个阶段及七点建议 政府部门的电子政务建设是一个长期投入、随时修正和不断学习的复杂的实施过程,本文对新时期电子政务建设的特点进行了归纳和总结,并指出容易出现的7个问题。 电子政务是指政府部门应用计算机和通信技术,把管理和服务进行集成,同时,借助互联网实现组织结构和工作流程的优化和重组,并超越时间、空间和部门的限制全方位地向社会提供优质、规范、透明、符合一定标准的管理和服务。 我国的电子政务起始于20世纪80年代中期的办公自动化(OA)工程,到90年代末多部委联合发起了政府上网工程,到2001年有95%以上的地级及地级市以上的政府管理部门建设了政府网站,办事指南、政策法规、表格下载等基本上网,这之后我国的电子政务建设进入了实质性发展阶段。附表列出了我国电子政务发展的5个阶段。 电子政务的5个发展阶段 阶段划分举例 主要特征描述 1.起步阶段 刚开通政府网站,网站发布的信息简单,网站内容多数静态,网站相互独立。 2.提高阶段 政府网站逐渐增多,网站之间相互链接;开始提供动态信息和专业信息,发布有关政府出版物、法律法规和新闻等内容;提供检索功能和相关电子邮件地址,还可能提供某些政府部门的链接。 3.交互阶段 用户可以从政府网站下载表格和申请材料,通过电子邮件等与政府官员进行交流和沟通;能检索专业数据库;网站内容和信息定期更新。 4.在线处理阶段 用户事务能在线处理;数字签名被广泛使用;信息安全得到保证。我国的电子政务建设正处于这一阶段。 5.无缝阶段 在线服务实现完全整合;政府日常业务被转移到网络空间等。 如果说2002年之前我国的政府信息化还主要停留在网络设施、政府上网、若干重点领域和相对比较基础层面建设,那之后,政府信息化建设则进入了全面启动的阶段,发展速度明显加快,并把更多的信息化服务、特别是政府利用网络和门户为社会公众提供的信息服务和网上办事放在了突出的地位。近期,我国党政机关信息化建设的重点方向主要是电子政务业务系统(主要包括行政审批)、办公自动化、内外网建设、数据库建设和信息安全。 总体上,现阶段我国电子政务建设的特点是内网建设速度加快、投资大,实现了信息发布和网上办公,如行业内网站建设初见成效,OA办公平台全面应用,其他的还有网上申报、网上审批等得到广泛应用,但也存在一些问题。在最近的“中国经济50人长安论坛”上,著名经济学家吴敬琏归纳了四“重”四“轻”,可谓精辟,即重新建、轻整合;重硬件、轻软件;重管理、轻服务;重电子、轻政务。 本文结合国内外电子政务的发展历程,从以下几个方面具体探讨电子政务项目实施过程中需要注意的几个问题。 政策变动对项目实施的影响 政策变动包括几方面的因素,一是国家宏观调控导致的法律法规的变动;二是政府部门内部工作流程的改变导致的变动;另外还有管理模式发生变化所导致的变动。 经过近20年的发展,电子政务建设进入了一个全新的整体规划阶段,随着政府角色从管理向服务转变,如何能够更好地服务于社会已经成为了近期电子政务工作内容的重点。举
电子政务网络安全管理办法
电子政务网络安全管理办法 为加强我县电子政务网络安全管理工作,确保网络安全运行,结合我县的实际情况特制定电子政务网络安全管理办法。 1、各单位网络管理人员必须精心维护好单位的网络设备,做到防尘、防热、防潮、防水、防磁、防静电等,以增加设备使用年限。县政府办将定期对各单位的网络管理情况进行检查,发现不能达到以上要求的单位,将对其进行通报批评,对由于管理人员疏忽造成网络安全事故的,将追究相关管理员及单位领导责任。 2、各联网单位不得随意更改政务网络接入设备配置,不得擅自切断电子政务网络设备电源,不得擅自挪动相关设备和切断、移动相关传输线路,不得擅自与其他网络对接,不得随意增加交换机、集线器以及接入信息点数量,如需进行以上变动,应向县政府办信息科提出申请,经批准后方可实施。 3、各联网单位要增强网络安全意识,严禁登陆浏览黄色网站(网页),禁止下载、使用存在安全隐患的软件,不得打开来历不明的电子邮件附件,不得随意使用计算机文件共享功能,防止计算机受到病毒的侵入。 4、工作时间禁止玩网游、下载电影及大型软件,以保证本单位网络速度。县政府办信息科将采取技术措施对互联网出入口的数据进行监控,对发现的问题将在全县范围内进行通报,并按照相关规定严肃处理。 5、政务网计算机使用单位和个人,都有保护政务网信息与网络安全的责任和义务,所有关于本单位网站、论坛、信息录入等密码要严格保密不得泄露,一旦泄露立即报政府办信息科进行密码修改。 6、各接入单位应当定期制作计算机信息系统备份,备份介质实行异地存放。对可能遭受的侵害和破坏,应当制定灾难防治预案。
7、要配备计算机系统补丁升级和病毒防治工具,定期进行系统补丁升级和病毒检查。使用新机、新盘及拷贝的软件、数据,上机前应进行系统补丁升级和病毒检查。 8、办工人员严禁下列操作行为: (1)非法侵入他人计算机信息系统和联网设备操作系统; (2)未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰,影响计算机信息系统正常运行; (3)故意制作、传播计算机病毒等破坏程序; (4)将非业务用计算机或网络擅自接入政务内网,将业务用计算机或网络接入互联网或其他非政府机关的网络; (5)在政务网使用的计算机及网络设备在未采取安全隔离措施的情况下同时连接政务网和其它网络; (6)将存有涉密信息的计算机擅自连接国际互联网或其他公共网络; (7)擅自在政务网上开设与工作无关的网络服务; (8)发布反动、淫秽色情等有害信息; (9)擅自对政务网计算机信息系统和网络进行扫描; (10)对信息安全事(案)件或重大安全隐患隐瞒不报; (11)擅自修改计算机ip或mac地址。 9、在发生紧急事件时,为避免造成更大损失和影响,信息科有权或者要求有关部门采取以下措施: (1)拆除可能影响安全或有安全隐患的设备或部件;
电子政务中存在的安全问题
电子政务中存在的安全问题 随着计算机信息技术的飞速发展,电子政务在政府实际工作中已经发挥了越来越重要的作用。可以毫不夸张地说,现在如果缺少了电子信息技术这个手段,或者说如果因为安全问题导致电子政务系统无法正常运行,大量的政府部门将完全无法进行正常的工作,将直接给地方的经济发展带来巨大的负面影响。因此,目前对电子政务安全问题进行研讨是十分及时和必要的。 电子政务中存在的安全问题 通过实地的调查研究,尤其是针对杭州地区政府部门在电子政务应用中发现的问题进行总结,发现当前主要存在五方面的问题,应该引起各有关方面的高度重视: 1.网络安全域的划分和控制问题 很显然,安全与开放是矛盾的,这个在电子政务的应用中也同样存在且显得尤为重要。电子政务中的信息涉及到国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向,一是要为社会提供行政监管的渠道,二是要为社会提供公共服务,如社保医保、大量的公众咨询、投诉等等,它同时又需要一定程度的开放。因此如何合理地划分安全域,通俗地讲,能让老百姓看什么,不能让老百姓看什么,在这两者之间寻求一个平衡点就显得非常重要。如一些单位采用VPN的形式进行某些业务操作,但是操作中的部分数据又想通过WEB方式给公众浏览,这时就存在在网络拓扑中WEB应该摆在什么位置、业务数据中心库应该摆在什么位置、如何利用防火墙等网络安全设备合理划分这些域等等问题。 而同时前一阶段正是由于政府公开的信息中过分强调了“安全”这个问题,弱化了“开放”,导致了很多政府部门在电子政务的实际应用中发挥不了多大的正面作用,甚至有负面作用的存在,如制作了一个网页以后无人定期进行维护导致与实际内容有所偏差,甚至有的是明显的错误等。在全社会广泛关注的情况下,一些部门为了迅速扭转在社会公众面前的形象,盲目地将一些信息公开化,导致了一些泄密事件的发生。 2.内部监控、审核问题 电子政务与电子商务的不同点在很大程度上是体现在对公网的利用率上。就像前面提到的电子政务模型中的政府部门内部利用先进的网络信息技术实现办公自动化、管理信息化、决策科学化这一块,就基本是利用VPN等技术实现的专网。抛开公网的庞大黑客群体不谈,内部人员是否对网络进行恶意的操作和是否具有一定程度的网络安全意识,在很大程度上决定该单位网络本身的安全等级系数和防护能力。目前绝大部分单位都没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录,更不用谈对一些非法操作进行屏蔽和阻断了。 3.电子政务的信任体系问题 电子政务要做到比较完善的安全保障体系,第三方认证是必不可少的。只有通过一定级别的第三方认证,才能说建立了一套完善的信任体系。 目前比较流行的或者说使用比较广泛的就是PKI信任体系。它包括了密码算法的选择、CPS的制定、捆绑的安全强度等等,但是不能忽视的一点是,这些都是基于电子商务的基础之上建立起来的。电子商务与电子政务毕竟是有很大的不同,如果我们只是简单地把PKI 的电子商务应用模式应用到电子政务中来的话,虽然不能说是一团糟,但是它肯定会“水土不服”,出现问题将在所难免。 4.数字签名(签发)问题 在电子政务中,要真正实行无纸化办公,很重要的一点是实现电子公文的流转,而在这之中,数字签名(签发)问题又是重中之重。原因在于这是使公文有效的必要条件。一旦
网站安全风险分析及对策(正式)
编订:__________________ 审核:__________________ 单位:__________________ 网站安全风险分析及对策 (正式) Deploy The Objectives, Requirements And Methods To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-1034-22 网站安全风险分析及对策(正式) 使用备注:本文档可用在日常工作场景,通过对目的、要求、方式、方法、进度等进行具体的部署,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 定义: 网站安全性分析即指,分析者论述威胁网站安全的原因,提出在建立网站时应考虑的安全性目标以及防范手段。网站安全分析: 1.登录页面必须加密 在登录之后实施加密有可能有用,这就像把大门关上以防止马儿跑出去一样,不过他们并没有对登录会话加密,这就有点儿像在你锁上大门时却将钥匙放在了锁眼里一样。即使你的登录会话被传输到了一个加密的资源,在许多情况下,这仍有可能被一个恶意的黑客攻克,他会精心地伪造一个登录表单,借以访问同样的资源,并访问敏感数据。 2.采取专业工具辅助 在市面目前有许多针对于网站安全的检测平台,
不过这些大多数是收费的,而目前标榜免费就只有亿思网站安全检测平台(iiscan)。通过这些网站安全检测平台能够迅速找到网站的安全隐患,而且这些平台都会提供针对其隐患做出相应措施。 3.通过加密连接管理你的站点 使用不加密的连接(或仅使用轻度加密的连接),如使用不加密的FTP或HTTP用于Web站点或Web服务器的管理,就会将自己的大门向“中间人”攻击和登录/口令的嗅探等手段敞开大门。因此请务必使用加密的协议,如SSH等来访问安全资源,要使用经证实的一些安全工具如OpenSSH等。否则,一旦某人截获了你的登录和口令信息,他就可以执行你可做的一切操作。 4.使用强健的、跨平台的兼容性加密根据目前的发展情况,SSL已经不再是Web网站加密的最先进技术。可 以考虑TLS,即传输层安全,它是安全套接字层加密的继承者。要保证你所选择的任何加密方案不会