（计算机应用技术专业论文）北京电子政务系统安全策略.pdf

摘要 摘要 上一世纪九十年代初期，伴随着网络的不断普及，运用网络来处理政府的f f 常事务，提高政府工作效率，改善政府行政形象，已经成为各国政府的共识，丁 是，电子政务这一新生事务应运而生了。在过去的几年中，电子政务系统迅速地 在各国得到广泛地应用。经过几年的不懈努力，我国的部分经济发达地区的电r 政务系统已经迅速地普及到公安、工商、税务、物价等多个部门，给人们提供了 另外一种与政府部门交往的途径，收到了良好的效果。但是，电子政务在给人们 带来方便和快捷的同时，其安全性也越来越广泛地受到人们的关注，利用窃取权 限、非法侵入等手段对电子政务系统进行入侵、破坏等活动已经成为黑客的惯用 手段。 所有的这些破坏活动给政府和社会带来的损失j 下在以很快的速度增长。如何 在利用电子政务的方便与快捷的同时，充分保障系统的安全性和防破坏性，已经 成为各国政府极为关注的严重社会问题。本文从实践角度出发，通过对现行电子 政务系统的全方位研究和网络模拟环境的入侵与防入侵实验，从计算机系统的安 全、网络的安全、网上身份认证的安全、w e b 的安全、信息系统的安全等几个方 面进行了详细的论述和深入的剖析，对目前我国电子政务系统所面i 临的主要威胁 进行了阐述，并且从技术和管理两方面提出了应对策略及解决方案。 关键词电子政务、系统安全、策略、解决方案 北京t 业人学t 学硕】：学位论文 a b s tr a c t 1 ne a r l yd a y so ft h e1 9 9 0 s ，w i t ht h en e t w o r kc o n t i n u o u s l yu s e s ，t o u s et h en e t w o r kt o h a n d l i n gg o v e r n m e n t o fg o v e r n m e n tw o r ke f f i c i e n c y ， i m p r o v i n gg o v e r n m e n ta d m i n i s t r a t i o nv i s u a l iz a t i o n ， h a v ea l r e a d yh e c o m e c o m m o ng r o u n di nt h eg o v e r n m e n ta 1 1o v e rt h ew o r l d ，h e n c e ， e l e c t r o n i c s g o v e r n m e n t ， t h en e w b o r nb u s i n e s se m e r g ew i t ht h et i d eo ft h eti m e s in t h e p a s t o fy e a r s ，e l e c t r o n i c sg o v e r n m e n t a lisq u i c k l yt og e tb r o a d ly a p p l i o di na 1 1c o u n t r i e s f o rt h ef e wy e a r so fe f f o r t ，0 u rc o u n t r y sp a r l t h ee e c t r o n i c sg o v e r n m e n t a la f f a i r so ft h ee c o n o m i ca n dp r o s p e r o u sr e g i o n t h e s y s t e ma l r e a d ya n dq u i c k l ym a k ew i d e l ya v a i l a b l em a n i e so fp u b ljc s e c u r i t yo f f i c i a l ，i n d u s t r ya n db u s i n e s s ，t a xa d m i n i s t r a t i o n ，c o m m o d i t y p r i c e e t c t h i sp r o v i d e st op e o p l ea n o t h e rp a t ht oa f f i1i a t ew it hl h e g o v e r n m e n t ， a n dr e c e i v e d v e r yg o o d r e s u lt s b u t ， a tt h es a m eti m e ， e l e c tr o n i c s g o v e r n m e n tb r i n g c o n v e n i e n c et o p e o p l e ， it s s a f e t y a l s o c o n c e r nb yp e o p l em o r ea n dm o r e ，b yu s i n go fp j 】f e r a g el e g a lp o w e r ，jj 】e g a 】 b r o k e ne t ct oi n v a d et h ee l e c t r o n i c sg o v e r n m e n ts y s t e mh a v ea l r e a d yb e c o m e t h eh a c k s m a inm e t h o d s a 1lo ft h i ss a b o t a g eb r i n g i n gt ot h eg o v e r n m e n ta n dt h es o c ie t yis q u i c ki n c r e a s i n g h o wt o e x p l o i t a t i o n t h ee l e c t r o n i c s g o v e r n m e n t s c o n v e n i e n c e ， a tt h es a m et i m e ， g u a r a n t e et h es y s t e m ss a f e t yw it hd e f e n d t h ed ，1 m a g e ，h a v ea l r e a d yb e c o m ea l l t h ec o u n t r i e sg o v e r n m e n tm u s tb ef a c e d s o c i a l p r o b l e m t h i st e x ts e to u tf r 。mt h e p r a c ti c e ，p a s s e s t h e a l l d i r e c t i o n sr e s e a r c ho ft h e s y s t e m o f r i g h t c u r r e n te l e c t r o n i c s g o v e r n m e n t f r o mt h ef u l f i l l m e n ta n g l e st oi m i t a t et h ee n v i r o n m e n tw it h t h en o t w o r ko fi n v a d ea n dd e f e n dt ot h ei n v a d e re x p e r i m e n t ，f r o mt h es y s t e m s a f e t y ， n e ts a f e t y ，i n f o r m a t i o ns y s t e ms a f e t y ，w e bs a f e t yp o in to fv i e w t o p r o c e e dd e t a i l e d t r e a tw i t h i n d e p t h ， t oc u r r e n t l y o u rc o u n l r y 。f - e l e c t r o n ic sg o v e r n m e n ts y s t e mf a c i n gi n t i m i d a t e ，a n df r o mt h e t e c h n i q u e a n dm a n a g e m e n tt ob r i n gu pt h e s t r a t e g ya n ds 0 1 u t i o n k e yw 0 r d s e 】e c t r o n i c sg o v e r n m e n t ，s y sl e ms a f e t y ， s t r a t e g y ， s 。l u t i o n f i 第1 章绪论 第1 章绪论 从2 0 世纪5 0 年代现代开始，随着电子计算机应用的普及，计算机的应用 已经逐步渗透到人类社会生活的各个层面。随着时间的推移，人类已经进入了 2 1 世纪，2 l 世纪的主要特征就是数字化、网络化和信息化，当前的世界经济正 在从工业经济向知识经济( k n o w l e d g e _ b a s e de c o n o m y ) 转变。知识经济中的两 个重要特点就是信息化和全球化，要实现信息化和全球化，就必须依靠完善的网 络，因此网络已经成为信息社会的命脉和发展知识经济的重要基础。伴随羞通讯 信息技术的普及和快速发展，世界各国政府都积极探索适应信息时代的新型管理 模式。这是一场重要性不亚于工业革命的革新，它的压力来自于包括全球化、知 识经济和新技术的发展，将有可能改造政府部门在社会经济事务中的地位和作 用，使政府更加高效快速廉洁运转，从而缔造经济强国，并全力为社会服务，提 高民众生活质量，使民众一政府、企业一政府、政府政府之间的联系更加密切。 这种不同的方式就是“电予政务”( e g o v e r n m e n t ) 。电子政务不仅是项战略举 措，也是一项系统工程。网上办公是电子政务策略和工程中最重要、也是最主要 的组成部分之一。 当今社会已经进入到信息时代，电子政务的浪潮正在席卷全球，据调查， 到2 0 0 6 年，美国政府将推出1 4 万种网上申请服务项目；到2 0 0 5 年，英国政府 服务将全部上网；到2 0 0 3 年底前，香港9 0 的服务将提供电子选择。与之相比， 国内的兄弟省市都在积极的推进电子政务的进程：江苏省计划通过3 年实现全省 “政府上网”的目标；上海市信息化工作办公室政务信息化处牵头负责开展网上 办公，推行电子政务；杭州市积极申请成为全国“电子政务试点工程”。 北京作为祖国的首都，国际化的大都市，实现电子政务已经成为历史发展的 必然。但是，网络在带给人们方便与快捷的同时，也带来了形形色色不稳定的因 素，人们在网络中扮演着与现实生活不同的角色，这在无形中为电子政务的普及 带来了相当大的难度。如何在保障信息安全的前提下使用电子政务，成为摆在信 息工作者面前的一个殛待解决的问题，研究网络安全策略已经成为事关电子政务 成功与否的关键环节。 为了充分分析电子政务中网络安全所面l | 缶的种种威胁，并针对各种威胁制 定出相应的防范策略，我在指导老师张书杰老师的指导下，对电子政务的网络安 全进行了以下的研究。 1 1 计算机系统的安全 从计算机系统的角度而言，主要包括软件系统的安全和硬件系统的安全。软 件系统又包括系统软件和应用软件。系统软件主要包括操作系统和数据库，由于 操作系统负责分配和管理整个计算机系统的全部资源，数据库负责存储电子政务 系统的主要数据资料，所以系统软件的安全直接关系到电子政务系统的安全，这 一点是显而易见的，与之相对应的，常常被人们所忽略的是应用软件的安全问题， 一个应用软件如果存在漏洞、后门或陷阱，给电子政务系统所带来的损失丝毫也 不会小于系统软件。另外，硬件的安全也会直接关系到整个系统的安全，由于电 磁辐射、废品回收等硬件问题带来的损失也在日益增加。因此，政府机关网上办 公的安全基础设施应包括安全硬件系统、安全操作系统和安全应用系统； 1 2 网络的安全 作为电子政务的主要工作平台，网络系统的稳固直接关系着电子政务系统的 安全，令人不安的是，当前网络流行的协议t c p i p 协议的开发初衷并不是出于 网络安全角度考虑的，尽管近几年来在网络安全方面做出了比较大的修改，但还 是难以脱离先天不足的窘境。随着计算机网络知识的不断普及，形形色色的黑客 和准黑客( 拥有部分黑客工具，具有攻击倾向的人) 随时都可能对电子政务网络 系统进行主动攻击或被动攻击。网络中提供的形形色色的攻击工具使得一些不具 备计算机网络深层次知识的人也可以轻易的入侵到网络中来，这些都直接威胁到 了电子政务网上信息的安全。在国外，几乎所有的电子商务、电子政务网站都有 过被入侵的记录，由此带来的损失每年都在以级数级增长。为了最大程度地保护 电子政务网络的安全，必须从技术和管理两个方面入手，采取行之有效的手段防 范主动攻击和被动攻击，只有这样，才可以最大程度地保证电子政务网在保证网 络安全的前提下尽可能的向社会开放； 1 3 网上身份认证的安全 从安全体系结构来看，政府机关网上办公的安全基础设施包括密钥证书基础 设施、各种安全机制和安全服务。由于网络是虚拟的，任何人都可以以自己所宣 称的身份出现，而电子政务又要求对访问者的真实身份进行甄别，这就产生了一 第l 苹绪论 个矛盾。基于公钥体制的网上身份认证机制可以很好地解决网络虚拟与真实身份 相对应的问题，但随之而来的问题是：如何合理地使用身份认证机制，合理地保 存密钥，最大程度地保护网上身份认证的安全； 1 4 b 的安全 从当前的电子政务系统可以看出，当今的电子政务系统大部分的用户界面 都是在w e b 页面上处理的。这样做的最主要好处在于：目前的w e b 浏览已经变 得十分普遍，利用w e b 界面作为用户界面，可以提高用户界面的友好程度，也 可以减低用户使用前的培训时间。但是，从信息安全角度来看，我们不得不清 楚的认识到，如果在电子政务系统中忽略了w e b 的安全，就会为整个系统埋下 信息泄露、系统受到攻击的隐患。w e b 的安全主要包括w e b 服务器安全、w e b 传 输安全和w e b 浏览器的安全。w e b 安全面临的威胁有多种，可以大致分为以下5 类：信息泄露、非法使用、拒绝服务、系统崩溃和跳板。信息泄露是指攻击者 非法访问、获取目标机( w 髓服务器或浏览器) 上的敏感信息，或中途截取w e b 服务器和浏览器之间传输的敏感信息；或者由于配置或软件的原因，无意中泄 露敏感信息；非法使用是指：允许外部人员执行服务器主机上的命令，使它们 能够修改或破坏系统；拒绝服务( d e n i a lo fs e r v i c e s ) 是指：攻击者的直接目 的不在于侵入目标机，而是在短时间内向目标发送大量正常的请求包并使目标 机维持相应连接，或发送需要目标机解析的大量无用的数据包，使目标机资源 耗尽也接应不暇，更无法响应正常的服务请求。最近出现的分布式拒绝服务攻 击，更是这类威胁的升级形式，正是这类攻击，在2 0 0 0 年2 月使y a h o o 等一些 著名网络公司的网络接二连三地瘫痪；系统崩溃( s y s t 铷c o r r u p t i o n ) 是指： w e b 的核心协议h t 什的重要特色在于简单有效和开放式结构，而在安全方面的 考虑明显不足，因此，通过w e b 篡改、毁坏信息，甚至篡改、删除关键文件， 格式化磁盘，使w e b 服务器或浏览器系统崩溃都不是不可能的；跳板是指：攻 击者非法侵入目标机，并以次为基地，进一步攻击其他的目标，从而给这些目 标机成为“替罪羔羊”，遭受不必要的舆论甚至法律困扰。人们不禁要问：“为 什么w e b 如此不安全呢? j 暖简单的回答是：“因为w e b 站点连在计算机网络上， 尤其是在i n t e r n e t 上。” 1 5 信息管理的安全 网络归根结底是人类智慧的产物，他从一定的方面体现了人的智慧，但却无 法超越人的智慧，因此，同样的一个网络，其使用者的水平不同，网络的安全性 也会大相径庭。仅仅从技术角度来讨论网络的安全性的问题无疑是片面的。要达 到网络真正意义上的安全，就要从技术和管理两个方面来考虑，其中，管理所占 的比重应该大于技术，再好的技术如果放在一个管理涣散的环境下，都会变得很 不安全，因此，要讨论电子政务的安全问题，如何实现安全的管理是不容回避的 问题。从管理上看，必须为政府机关网上办公建立相应的安全管理基础设施，它 一方面包括对安全基础设施本身的管理，如设备的物理安全和电磁泄露问题等； 另一个方面还包括对相关人员的管理，安全基础设施做得再好，如果人为地泄露 有关安全信息，安全设旅则形同虚设，所以规范的网络管理制度也是电子政务网 络安全的个重要研究方向。 为了能更好的把理论同实践有机地结合起来，在研究理论的同时，我还选择 了“中国人民公安大学计算中心”作为实验单位，从硬件环境上看，该单位内部 有校园网接口、公安内部网接口和i n t e r n e t 网络接口；从软件环境上看，该单 位的计算机操作系统有毗n d o w sn t 、1 j r i n d o 坩s 2 0 0 0 、l i n i x 、u n i x 等当前比较流 行的操作系统，完全符合一个中小型电子政务系统的规模要求，完全可以满足实 验所需的软硬件要求。 1 6 防灾备份 所谓防灾备份，是为防止电子政务系统因自然灾害、突然断电、意外死机或 人为破坏等原因造成数据丢失，而采取的一种解决方案。理想的容灾备份能够进 行远程数据的同步复制和重要系统的自动恢复，是保证整个电子政务系统安全稳 定运行眠必不可少的新型信息基础设施。 根据对北京电子政务系统的存储量的预估和分析，应该用发展的眼光，根据 帝起点、高标准的要求，采用先进的备份存储设备对重要系统信息进行及时准确 的备份，以便在发生自然灾害或意外事件时能及时准确地对整个电子政务系统进 行恢复，把损失减低到最低程度。 人们在长期的对计算机系统的使用过程中，养成了一个认识上的误区，就是， 第1 章绪论 防灾备份系统可有可无。为什么会产生这样的认识错误呢? 主要是因为系统大部 分时间都是可以正常工作的，发生意外事件的几率相对于系统的正常工作时间是 微乎其微的。所以，很多人认为，花费巨大的财力物力进行防灾备份是一项多余 之举。事实上，这种认识是十分错误并危险的，防灾备份是整个电子政务系统的 重要组成部分，必须像关注其他部分安全一样来关注防灾备份，否则，就很有可 能给整个电子政务系统带来巨大的灾害。 北京工业大学工学硕士论文 第2 章计算机系统的安全 对于政府机关的网上办公而言，计算机安全主要包含三个层面的内容：硬件 系统的安全、操作系统的安全和应用软件( o a 软件) 的安全。 早在1 9 8 5 年，美国国防部就开发出计算机安全标准，也就是今天所经常谈 到的“可信任计算机标准准则( t r u s t e dc o m p u t e rs t a n d a r d se v a l u a t i o n c r i t e r i a ) ”，这个准则由于对计算机系统的安全等级划分的比较合理，所以广泛 地被各国计算机安全界所采用，成为了世界标准，也就是我们俗称的橙皮书，在 橙皮书中把计算机系统的安全等级划分成七级，分别是： d 级：最小保护级，该级别提供低级保护，不分等级，适用于个人计算机； c 1 级：自主型安全保护级，该级别提供自主存取控制，多用户工作中可防 止事故的保护。该级别下的操作系统具有两种状态：管态与用户态； c 2 级：可控访问保护级，该级别提供独立的可查性，广泛的审核跟踪。金 融邮电系统的计算机系统至少要达到c 2 级； b l 级：标记安全保护级，该级别提供强制存取控制，安全标记数据，对数 据流监视等功能； b 2 级：结构化保护级，该级别可提供隐秘通道约束，安全体系结构，较好 的抗渗透能力。用于各级安全保密，实行强制性控制； b 3 级：安全域级，该级别提供存取监督器安全内核，可信恢复等功能，具 有高抗渗透能力，用于秘密、机密，即使系统崩溃也不会泄密； a 级：验证设计级，该级别提供形式化最高级描述、验证与隐秘通道分析， 非形式化代码对应证明等功能，用于绝密级。 各级电子政务系统在设计初期，就应该对本系统所涉及的业务范围、涉密程 度、要害等级等进行充分的论证，以便选取比较恰当的安全级别。 2 1 操作系统的安全： 操作系统在计算机中占有极其重要的位置，首先操作系统提供用户与计算机 系统的交互界面和运行环境，任何的应用程序( 包括电子政务中的办公自动化软 件) 要想正确运行，都必须借助操作系统这个平台；其次，操作系统可以为用户 第2 章计算机系统的安全 建立一座安全屏障，目前的操作系统都或多或少的采取了一定的安全措施以防止 恶意攻击和非授权访问，入侵者要攻入某台计算机，其首要目标就是该计算机系 统的操作系统；再次，操作系统负责为用户管理计算机的所有软硬件资源，为各 个程序的正常使用提供运行基础，它是各种应用系统成败的关键。 操作系统的功能和权力如此之大，使它也成为攻击的首要目标。一旦攻破操 作系统的防御，就获得了计算机系统保密信息的存取权。既要防止操作系统本身 的隐患和不安全漏洞，也要防止对操作系统的滥用、破坏和窃取服务。计算机系 统的安全极大地取决于操作系统的安全，计算机操作系统的安全是指利用安全手 段防止操作系统本身被破坏，防止非法用户对计算机资源( 如软件、硬件、时间、 空间、数据、服务等资源) 的窃取。操作系统安全的实施将保护计算机硬件、软 件和数据，防止人为因素造成的故障和破坏。 目前，网上用户所选用的操作系统主要有u n i x 操作系统、1 i n u x 操作系统、 w i n d o w s 系列操作系统以及m a c i n t o s h 系列操作系统，这些操作系统在设计和使 用上是各有长处的，但都存在一定的安全漏洞，可以根据实际计算机系统要求的 安全等级来决定选用何种操作系统，比如，对于存储比较重要数据的网络服务器， 可采用u n i x 操作系统或l i n u x 操作系统来提高系统的安全级别，对于只是安装 简单客户端程序的计算机系统可采用安全级别较低但界面较为友好的w i n d o w s 系列操作系统。不管使用了何种操作系统，都不可能达到绝对的安全，庆幸的是， 各个操作系统开发商会根据自己的操作系统产品的漏洞进行及时的修正( 补丁) ， 及时地为操作系统打补丁是维护计算机系统安全的另一个行之有效的途径。 在维护操作系统本身的稳定的基础之上，作为系统管理员，还应该为本系统 制定出合适的资源与文件的访问策略，通过这些策略，来拒绝恶意攻击和非授权 访问。在操作系统中主要的策略应包括：帐户管理策略、资源访问策略、文件访 问策略，审计策略、域策略、组策略、日志策略等，对一个已经安装的操作系统 制定出一套符合实际要求的策略，可以极大地增强操作系统的安全性，并可以及 时发现针对操作系统的攻击。 2 2 应用软件的安全 在电子政务系统中，一套功能齐备、界面友好的办公自动化软件是电子政务 系统的核心部分，换句话说，办公自动化软件的成功与否直接关系着电子政务系 北京工业大学工学碗士论文 统的成败，因此，各个软件设计公司纷纷把目光聚焦在如何开发出能够吸引人们 眼球的界面上，在界面、功能方面常常是不遗余力。但是，很少有人注意到由于 办公自动化软件给系统带来的不安全隐患。这类隐患常常会导致对系统数据的非 授权访问和修改，轻者可造成消息失密，重者可导致整个电子政务系统的崩溃。 常见的不安全因素有以下几种： 1 后门( b a c kd o o r ) ：有的程序员为了避免程序调试期间反复的进入身份认 证程序，往往会在程序中设置一个进入程序的便捷通道( 该通道可绕过系统的身 份认证机制而直接进入系统) ，在程序交付时，程序员有意或无意地没有取消这 一便捷通道，就会给恶意攻击者留下可以自由进入系统的后门，为系统的安全埋 下隐患； 2 逻辑炸弹：有的程序员出于要挟领导或恶意攻击等种种目的，在正常的 程序中加入了恶意代码，旦条件成熟，代码会自动摧毁系统数据或向黑客敞开 系统的大门； 3 病毒：系统中由于种种原因带入了病毒，一旦条件成熟，病毒会开始干 扰程序的正常工作或摧毁系统数据，使系统不能正常工作； 4 存在服务漏洞：和操作系统一样，受程序设计人员的水平和技术条件等 诸多方面因素的限制，办公自动化系统往往会出现各种各样的漏洞，黑客们一旦 捕捉到这些漏洞( 如非法开辟的端口、不完善的协议等) ，就可以借助这些漏洞 来达到侵入系统的目的了； 5 偷取特权：使用特洛伊木马程序，或者缓冲区溢出程序都有可能到系统 特权。 作为电子政务系统的管理员，在实际使用过程中，一方面应该对所使用的办 公自动化系统进行充分的分析，彻底清楚残留在里面的后门、特洛伊木马、逻辑 炸弹、病毒等有害代码，还应该在使用过程中对软件进行全方面的监控( 病毒监 控、端口监控、日志监控) 以随时发现软件中存在的安全隐患；另一方面，系统 管理员还应该养成一个数据备份的良好习惯，以应付突如其来的攻击，把整个系 统的损失减少到最小程度。 另外，在软件的使用上，也存在着用户权限分配的策略闯题，一个良好的权 限分配策略可以更好地保护电子政务系统的安全，在系统权限划分时，可遵循以 下策略： s - 第2 章计算机系统的安全 1最小特权策略：该策略是办公自动化系统安全保护的最主要的策略， 适合于任何系统的安全保护。该策略使用户只了解自己工作所需的信息，对于其 他信息都加以屏蔽和保护，使信息泄漏的可能性最小，从而使数据完整性受到损 害的程度也最小。最小策略也称为“知所必需”的策略。 2 最大共享策略：它是一个基本的可供选择的策略，使数据信息得到最 大程度的共享。这要求在保密控制的条件下得到最大的共享，不是任何人都可以 随意存取信息。 3 开放与封闭系统：存取控制的一种策略问题就是究竟是建立一个开放 系统，还是建立一个封闭系统。所谓开放系统，是指只当明确地禁止时，才不能 对该系统进行存取操作。而封闭系统正好相反，仅当明确地授权后才能对该系统 进行存取操作。从安全保密的角度来讲封闭系统具有比较安全的特点，且符合 “最小特权”原则。 4 按名存取控制：这种控制策略是最小特权策略的扩展，能达到细化求 精的目的。它要求办公自动化系统提供允许的最小的“颗粒”，以达到最小特权 的存取控制。最后，当系统中的办公自动化软件作了升级或安装了新的软硬 件产品后，应该对整个电子政务系统的安全性进行重新评价，克服管理人员的麻 痹思想，因为，一个软件的升级或新软硬件的安装，都可能给原来安全的系统带 来不安全的隐患。 2 3 硬件系统的安全 计算机系统的由软件系统和硬件系统两部分组成，软件系统包括系统软件和 应用软件两部分，主要提供用户界面和对计算机硬件的控制；硬件系统主要以一 条条指令的形式完成用户所需求的功能，因此，所有的用户功能都是由硬件系统 来具体完成的。硬件系统在整个电子政务系统中起到基础和支撑作用，硬件系统 的安全直接关系到整个电子政务系统的安全。 从实际出发，计算机硬件系统主要面临的威胁有： 1 计算机硬件被盗窃、破坏和信息泄漏：一旦存有重要信息的计算机硬件 被盗窃或破坏，将会导致电子政务系统的瘫痪和信息泄露，造成极大损失，解决 的关键是建立科学合理的计算机管理制度，防止计算机硬件被盗窃或破坏； 北京工业大学工学硕士论文 2 自然灾害、意外事故：自然界有很多自然灾害情况，如地震、飓风、雷 击等，这些自然灾害都可能毁坏计算机硬件系统，导致该系统承载的电子政务系 统的崩溃和数据丢失，为有效防止自然灾害对电子政务系统的破坏，应对计算机 硬件系统采取合理的防护措施，并对重要数据定期备份； 3 废物搜寻：在电子政务系统中，硬件的升级是经常会遇到的问题，被替 换下来的硬件在处理前一定要进行认真的清理，以防止别有用心的人通过废物回 收的途径获得电子政务系统中的重要数据： 4 电子辐射导致信息泄露：计算机系统作为电子设备，和其它电子设备一 样，具有电磁辐射( 主要表现在中央处理器、显示器和网络设备上) ，而这些电 磁辐射会或多或少的向外界泄露当前计算机正在处理的信息，为了防止重要信息 通过电磁辐射被泄露，应在处理电子政务系统的机密数据的计算机房外加装屏蔽 设备( 如铜栅) 以防止电磁泄露： 5 网络设备被破坏或被窃听：电子政务系统中，网络是信息流动的载体， 各种网络设备( 如交换机、路由器、网线) 中要经常传输重要信息，别有用心的 人常常会通过破坏网络设备或对网线搭线窃听等方式来达到干扰系统正常工作 或窃取系统数据的目的。 对于计算机硬件系统的安全，仅仅通过技术手段是无法完全解决的，要解决 硬件系统的安全问题，重要的是从管理的途径入手，建立起一套行之有效的计算 机使用、管理机制，从而最终达到计算机硬件系统安全的目的。 以上从硬件安全和软件安全两方面对计算机系统的安全进行了分析，对于计 算机系统的安全，要从物理安全和逻辑安全两个方面着手，所谓物理安全，是指 保护计算机系统的硬件系统不被非法破坏和窃听；所谓逻辑安全，包含以下几重 含义： 1 数据保密性：保证只有授权用户可以访问数据，可通过访问控制实现对 数据保密性的控制； 2 数据完整性：保证数据和信息未被改变或丢失，可通过数据备份对数据 的完整性进行保证； 3 数据可用性：保证数据完整及系统运行正常，可通过网络防范技术实现 数据的可用性。 第2 章计算# l 系统的安全 用一句最简单、最通俗的话来说，计算机系统的安全的最终目标就是要实现： “进不来，拿不走，看不懂，打不跨”。要实现这一目标，单单通过管理或是技 术的手段都是不可能完成的，在实际使用中，只用充分利用技术和管理两方砸的 手段，双管齐下，才能最终保证电子政务系统中计算机系统的安全。 2 4 电子政务中的计算机系统安全 电子政务系统是一个比较特殊的计算机系统，说其特殊，是因为，在这个系 统上存储和传输的都是政府和企业的比较机密的数据，而出于系统开放性的考 虑，整个系统应遵循“最大共享原则”，这就给电子政务系统的计算机系统的安 全增加了新的内容。通过对实际的电子政务系统的考察和在模拟环境下试验等多 种途径，我归纳出在电子政务系统中维护计算机系统的安全应遵循如下策略： 1 建立完善的规章制度：人在电子政务系统中始终处于主导地位，如果没有 一套良好的规章制度对使用人员进行规范，再好的技术也会出现漏洞，因此，必 须建立健全一套规章制度，来约束电子政务管理、使用人员的行为。规章制度应 主要包括系统管理人员守则、系统管理人员保密守则、废品回收制度、机房保安 人员守则、应急处理规范等，如条件成熟，北京市也可出台相关的计算机系统安 全法规，以法规的形式来规范每一个电子政务系统使用人员的行为； 2 定期对管理人员进行安全培训：当今，计算机技术的发展可谓日新月异， 作为电子政务系统的管理人员，技术水平和管理水平必须要和世界最先进的技术 随时保持同步，这就给电子政务系统的管理人员提出了更高的要求，只有不断地 从技术和管理两个方面不断地进行培训，才能适应电子政务系统所面临的新的挑 战； 3 定期检查操作系统漏洞和补丁：操作系统掌管着系统的全部数据和资源， 黑客们往往把入侵计算机系统的第一站就定位在操作系统上，另人担忧的是，目 前的操作系统普遍存在漏洞，这就给电子政务系统的安全性带来很大的隐患，另 人庆幸的是，各操作系统的生产商已经认识到了这一问题的严重性，会定期的发 布一些针对特定漏洞或攻击形式的补丁，及时给系统打补丁是保护操作系统安全 的有效手段； 4 定期进行安全审计：各种针对系统( 软件、硬件) 的攻击都会或多或少的 留下定的蛛丝马迹，系统的安全审计机制会自动的以日志形式对这些恶意行为 北京工业大学工学硕士诧文 进行记录，作为电子政务系统的管理者，应充分发挥这些日志的作用并对曰志文 件进彳亍定期检查和分析，以及时发现潜在的危险并及时改正； 5 及时查杀病毒：计算机病毒一直是威胁计算机系统正常工作的一个巨大隐 患，近几年来，随着脚本病毒的不断出现，病毒对电子政务系统的损害也变得越 来越严重，电子政务系统中常用的信息传递工具一电子邮件已经成为脚本病毒 的最大载体，为了有效的隔离病毒，须建立病毒防火墙，并及时对防火墙的病毒 库进行更新，以防止因病毒、木马而造成系统崩溃； 6 查找软件的漏洞与后门：电子政务系统中，不可避免地要使用到o a 软件， 由于大部分的o a 开发者并不是电子政务系统的内部人员，因此，在0 a 软件投入 正常使用前，应进行全方面的测试，及时发现其中的后门、木马和逻辑炸弹，可 采用端口监测软件进行辅助查找； 7 及时更改路由器和防火墙的配置：路由器和防火墙是电子政务系统中常用 的网络设备，对于防止外部的恶意攻击具有很大的作用，电子政务的网络管理人 员应该定期的修改路由器和防火墙配置，以应对新发的威胁； 8 对重要数据进行加密保存和传输：电予政务系统中不可避免的要存储和处 理一些涉密内容，为了达到“看不懂”的目标，应对系统中的涉密内容进行加密， 随着计算机技术的不断发展，传统流行的d e s 加密方法已经不能达到很好的保密 效果了，建议采用多重d e s 或其他新兴的加密方法。 第3 章网络的安全 第三章网络的安全 计算机网络是计算机技术和通讯技术发展和结合的产物，一组计算机和其他 终端设备通过通讯予网相互连接，实现相互的通讯和资源共享，这样的一个系统 就是计算机网络。具体来说，计算机网络主要包括网络工作站、网络服务器、局 域网交换设备、网络互连设备、传输设备、网络外部设备和网络软件等几个部分。 而新兴的电子政务系统正是奠基于当今强大的网络基础之上的。 随着局域网技术不断成熟，网速在不断地提高，从l o m 以太网到1 0 0 f i 以太 网，接着又到1 0 0 0 m 以太网，现在，】o g m 的以太网标准已经提到议程中，不久 的将来将有相应的产品出现。与性能不断提高相反，建网的价格却在不断下降， 在软件方面，u n i x 系统早在8 0 年代就包含了t c p i p 系统，并因此获得了巨大 的成功。m i c r o s o f t 公司把网络功能也嵌入了w i n d o w s 操作系统，使1 i i n d o w9 5 9 8 和w i n d o w sn t 真正成为了一种网络操作系统。 当前大多数的局域网采用的是t c p i p 协议。该协议在实现上力求简单高效， 但是并没有考虑安全因素，因为那样无疑会增协议的复杂程度，不但程序的代码 量会大大增加，而且t c p i p 的运行效率将降低，所以说t c p i p 本身在设计上就 是不安全的。局域网内通讯媒介的共享和广播式的通讯使局域网中的通信过程极 易被监听。局域网，如以太网，令牌网，都是广播型网络，所谓“广播”就是一 台主机发布消息，网上任何台机器都可以检测并收到这个消息。处于混杂模式 的网卡会将广播域内的所有数据包向上层传递。如果没有采取适当的保密措施， 广播式的同享信道上的各个设备之间没有秘密可言。而实际中，大多数的局域网 上的通讯确实是没有加密的。监听技术本身并不是破坏网络安全的罪魁祸首，网 络管理员利用监听技术可以进一步确保网络的安全，维护企业的利益，比如在完 成攻击检测、控制内部员工对不安全或不健康的w 唧站点的访问、防止内部敏感 信息外流等任务时，都会用到监听技术；网桥还有许多网络分析仪的工作基础也 依靠的是监听技术。然而，如果是网络上传输的敏感信息，如系统登录口令，机 密文件等在管理人员不知不觉的情况下被非法监听和劫持，则将会给电子政务系 统带来不可预计的损失，而实现网络监听的工具很多，并且在网上很容易就可以 免费得到。 北京工业大学工学硕士论文 3 1 常见的网络攻击分类 网络攻击的案例非常之多，针对政府的电子政务和电子商务的攻击更是不胜 枚举。如何对它们进行有效的分类是一个有待解决的难题。就目前的研究来看， 有如下几种分类方法。 1术语列表 这是最简单的分类方法，仅仅是把曾经出现的各种网络攻击方法简单地列 举，比如c o h e n 给出的攻击术语列表：特洛伊木马( t r o j a nh o r s e s ) 、费用欺骗 网络( t o l lf r a u dn e t w o r k s ) 、虚构用户( f i c t i t i o u sp e o p l e ) 、基础设施观察 ( i n l r a s t r u c t u r eo b s e r v a t i o n ) 、e m a i l 溢出( e m a i lo v e r f l o w ) 、时间炸弹 ( t i m eb o m b s ) 、作业获取( g e taj o b ) 、保护极限戳穿( p r o t e c t i o nl i m i t p o k i l l g ) 、基础设施串扰( i n f r a s t r u c t u r ei n t e r f e r e n c e ) 、人员工程( h u m a n e n g i n e e r i n g ) 、贿赂( b r i b e s ) 、垃圾搜索( d u m p s t e rd i v i n g ) 、共振摆动 ( s y m p a t h e t i cv i b r a t i o n ) 、口令猜测( p a s s w o r dg u e s s i n g ) 、报文插入( p a c k e t i n s e r t i o n ) 、数据欺骗( d a t ad i d d l i n g ) 、计算机病毒( c o m p u t e rv i r u s e s ) 、 无效参数调用( i n v a l i dv a l u e so nc a l l s ) 、v a ne c k 臭虫( v a ne c kb u g g i n g ) 、 报文监视( p a c k e tw a t c h i n g ) 、p b x 臭虫( p b xb u g g i n g ) 、侧翼冲浪( s h o u l d e r s u r f n g ) 、开放式麦克风侦听( o p e nm i c r o p h o n e1 i s t e n i n g ) 、老磁盘信息( 0 1 d d i s ki n f o r m a t i o n ) 、视频浏览( v i d e ov i e w i n g ) 、盗窃备份( b a c k u pt h e f t ) 、 数据聚簇( d a t aa g g r e g a t i o n ) 、损耗或条件炸弹( u s eo rc o n d i t i o nb o m b s ) 、 饶过处理( p r o c e s sb y p a s s i n g ) 、错误的磁盘更新( f a l s eu p d a t ed i s k s ) 、输 入溢出( i n p u to v e r f l o 霄) 、挂断蕴用( h a n g u ph o o k i n g ) 、电话中转伪造( c a l l f o r w a r d i n gf a k e r y ) 、违法数值插入( i l l e g a lv a l u ei n s e r t i o n ) 、e m a i l 欺 骗( e 一眦i 1s p o o f i n g ) 、等录欺骗( l o g i ns p o o f i n g ) 、引诱压力失效( i n d u c e d s t r e s sf a i l u r e s ) 、网络服务攻击( n e t w o r ks e r v i c e sa t t a c k s ) 、组合攻击 ( c o m b i n e da t t a c k s ) 。 这种分类方式的缺点是没有明确的分类原则，分类的容余度很大，各类之间 相互交错，而且分类列表将随着新的攻击案例的出现而无限增大，难以管理。另 一个基本的存在问题是业界对这些攻击方法的术语的定义并不一致。 第3 章网络的安全 2 分类列表 分类列表对各种攻击方法按照一定的方法进行归类，并对各类做简单的定 义。这比前一种列表方法有改进，但不容易给出明确无二义的分类原则。 c h e s e i c k 和b e l l o v i n 在论述防火墙时把网络攻击分为7 类： 1 ) 口令偷窃( s t e a i n gp a s s 们r d s ) ：用以获取其他用户口令的攻击方法。 2 ) 社会工程( s o c i a ie n g i n e e r i n g ) ：以不适当的方式谈论信息。 3 ) b u g s 和后门( b u g sa n d b a c k d o o r s ) ：从不符和技术说明的系统中获利， 或者以在控制之中的版本来取代原有的软件。 4 ) 认证失效( a u t h e n t i c a t i o nf a i l u r e s ) ：击败用以认证的机制。 5 ) 协议的缺陷( p r o t o c o lf a iu r e s ) ：协议本身在设计或实现方面存在的 缺陷。 6 ) 信息泄露( i n f o m a t i o ni e a k a g e ) ：使用系统命令( 如，增管r 或者删卵 来获取网络有关信息。 7 ) 拒绝服务攻击( d e n ia i _ o f s e r v i c e ) ：致使正常用户无法使用他们的系 统的攻击方法。 3 、按攻击后果分类 按照攻击后果来分类可以得到比较令人满意的结果。c o h e n 曾经按这种方法 把网络攻击分为三类： 1 ) 毁坏( c o r r u p t i o n ) ：非授权修改信息： 2 ) 泄露( i e a k a g e ) ：信息延伸到了它不应该到达的范围； 3 ) 拒绝( d e n i a i ) ：计算机或网络服务无法供正常使用。 从目前的攻击案例来看，还有一种攻击的结果是使目标机成为进一步攻击的中转 站攻击跳板( s p r i n g b o a r d ) 。 另一种按照结果分类的方法是对实际统计的数据进行归类，s r i ( s t a n f o r d r e s e a r c hi n s t i t u t e ，斯坦福研究所) 的n e u m a n na n dp a r k e r 把他们收集到网 络攻