电子政务信息系统安全建设讨论.ppt

电子政务信息系统安全,建设讨论,目录,一、现状,二、面临的主要问题,三、措施及对策,四、小结,1、国内外信息安全日渐复杂,原因：计算机网络的联接形式多样性、终端分布不均匀性和网络的开放性,致使网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击,危害： A 攻击者可以窃听网络上的信息 B 攻击者可以窃取用户的口令和数据库信息 C 攻击者可以篡改数据库的内容 D 伪造用户身份、否认自己签名 E 极端情况下删除数据库内容、摧毁网络节点、释放计算机病毒 ,“既要使网络开放又要使信息安全”，已成为信息安全专家积极研究的课题,国内高科技犯罪事件呈现增长态势。 据国际权威的信息安全机构CERT分析和统计， 黑客攻击、网络病毒等违法犯罪活动日趋严重。 据不完全统计： A 2009年中国被境外控制的计算机IP地址达100多万个 B 被黑客篡改的网站达4.2万个； C 被“飞客”蠕虫网络病毒感染的计算机每月达1800多万，约占全球感染主机的30%,1、国内外信息安全日渐复杂,2、电子政务缺乏专业的信息安全人才,目前全国电子政务内部普遍缺乏专业的安全技术人员。 在单位信息安全建设上，很大程度上都需要依赖第三方安全服务商或安全厂商；而在后期使用上更是缺乏管理能力。 根据有关统计： A 95%以上的安全事故都是由于后期安全管理不力造成。 B 就安全防护设备本身而言，并没有由于过多的技术原因而造成安全事故。,安全管理包括安全意识和正确的安全策略部署等。,3、内部安全风险的管理和控制不足,电子政务系统内部部分信息安全技术人员， 存在如下不正确思想： A 政务内网与互联网完全物理隔离，外面的攻击根本进不来； B 鉴于电子政务系统内部缺乏计算机应用水平相对较高的人，无需担心会利用高技术含量的信息安全技术对内部进行破坏； C 部分电子政务网已经在一定程度上进行了安全建设，购置了如防火墙、入侵检测系统等安全设备，系统应该是安全的。,隔离导致无法与外部沟通，很多服务器无法实时进行在线升级，漏洞越积越多，手动升级只能解决部分漏洞，无法完全升级。若随着时间的推移，黑客在不断发布新的攻击程序的同时，如果确实有人在内部进行了攻击的话，系统是相当脆弱的，服务器也成了定时炸弹。,目录,一、现状,二、面临的主要问题,三、措施及对策,四、小结,电子政务可能遇到的问题汇总,A 跨站脚本漏洞 网站对用户提交的变量代码未进行有效的过滤或转换，允许攻击者插入恶意Web代码 B SQL注入漏洞 网站程序未对用户输入的字符进行特殊字符过滤或合法性校验，允许攻击者使用SQL语句进行数据库操作 C 表单绕过漏洞 是SQL注入的一种，网站管理后台/前台登录口对用户提交的登录数据未做合法性判断 D 网页已知木马 目前网站存在严重安全漏洞，已被恶意人员植入恶意执行代码,电子政务可能遇到的问题汇总,E 登录口令破解 网站管理后台/前台登录口、数据库连接存在弱口令，可暴力破解出管理账号，获取网站管理权限 F 跨站请求伪造 利用网站对用户标识的信任，欺骗用户的浏览器发送HTTP请求给目标站点，执行攻击者的恶意行为，如偷取账号信息、网页挂马等 G CGI漏洞 网站页面访问控制权限不当，允许攻击者访问敏感页面，如网站源代码、后台登录地址等 H 敏感信息泄露 网站WEB服务器配置不当，允许攻击者获取网站敏感信息，如数据库类型、版本等,需回答的问题,1、蠕虫攻击下网络的可用性 任何一个网络绝不能保证不会感染蠕虫病毒，一旦感染，后果严重 2、如何进行安全策略的实施 电子政务系统很少实施设备端点的安全状态验证，只通过身份认证情况较多 3、如何防护未知攻击 如何在出现未知攻击情况下去定位、解决安全问题是一大难题 4、如何控制内部人员的网络行为 很多泄密事件都是由于管理不善产生 5、如何构建事前的安全预警体系 6、如何构建新型信息安全攻击管理应急平台,目录,一、现状,二、面临的主要问题,三、措施及对策,四、小结,1、安全建设所必经的3个阶段,特点：依靠集成商提供的安全设备 成效：搭建最基础的信息安全防御平台 前景：不具备增值价值,现阶段大部分电子政务信息安全所处阶段,特点：有机形成大范围的防御整体 成效：提高安全防御的实施性，使信息安全服务融入到安全体系中 前景：未来5-10年的信息安全发展方向,特点：智能化的管理每一个信息化对象 成效：任何环节出问题，SOC将自动启动应急处理系统，并协调所有组件进行系统级调整和应急修复 前景：信息安全防御的终极目标,安全运维平台（SOC）,2、信息系统安全建设,A 加强自身安全技术能力 结合国家或更高级别电子政务部门有关文件和要求、本单位实际情况进行信息系统安全建设 可聘请国内知名的安全服务专家为系统安全管理员进行技术方案审定和培训工作，提高其综合素质 B 加强信息安全软硬件建设 “硬件”是指信息安全产品的软硬件配套的技术和设备； “软件”是指长期的安全服务，包括各类的咨询、加固、评估、渗透、巡检等专业服务 在自身技术能力不高的现状下，结合自身的需求，合理选择第三方的安全服务 C 加强信息安全管理工作 基础安全知识普及，安全及时加强，安全防护技术掌握，从意识上随时随地警惕，从而形成最佳的安全防护体系,目录,一、现状,二、面临的主要问题,三、措施及对策,四、小结,结语,电子政务信息系统安全建