第4 电子政务应用系统设计及安全分析 4.1.ppt

1 第4讲电子政务应用系统设计及安全性分析 4 1电子政务应用系统设计4 2电子政务系统安全4 3实例 M国S军内部电子政务需求 1 0版本 假设该军队现有一个集中式资料库 其中存放了各种敏感程度不同 类型不同的数据资料 需要提供一种方式 供S军内部不同部门 不同级别的人员通过网络访问 可以查阅 使用该资料库中的信息 在满足资料共享的同时 要求能保证系统中信息的安全 如果要你设计一种方案满足该需求 该如何进行 分组讨论 1总体上需要完成哪些任务 2列出完成计划 2 3 4 1电子政务应用系统设计 1 电子政务应用系统及组成一般分为两类一类对内 电子政务应用系统 主要面向公务员 办公二类对外 电子政务应用系统 面向公众 网上纳税 申报项目等由三部分组成 政务业务内网 政务外网 安全平台2 安全平台 4 2 安全平台 统一的安全电子政务平台提供一站式服务3 统一的安全电子政务平台的总体结构设计 5 一站式电子政务服务机制的总体结构图 6 一站式平台提供的职责 统一性 提供统一的接入平台 包括互联网接入 电信公网拨号接入 无线接入等 安全性 提供安全支撑平台Wsdl web服务描述语言Uddi 统一描述 发现和集成协议Soap 简单对象访问协议XML 能支持未来网络 应用的标记语言可信XML 提供元素级的细粒度安全机制WAP 利用XML构建的无线互联网协议GPRS 通用分组无线协议 中国移动第二代移动通讯网络4 统一的安全电子政务平台所在的网络信任域 7 4 统一的安全电子政务平台所在的网络信任域 是基于PKI PMI的服务平台 主要包括 Web门户服务平台 可信J2EE 结构设计 系统运行维护 基于PKI的可信发布 可信日志管理 服务机构 安全机构 门户应用服务平台 业务系统 安全保密服务平台 设置5级安全保密管理系统 国家 省等 安全保密管理系统 8 安全保密管理系统 1 安全策略配置和管 2 入侵检测 3 病毒监测 4 内部人员不规范操作的监测 审计 5 漏洞监测 网络安全监测 操作系统安全监测 6 风险趋势分析 9 安全保密管理系统 1 安全策略配置和管理 2 入侵检测 3 病毒监测 4 内部人员不规范操作的监测 审计 5 漏洞监测 网络安全监测 操作系统安全监测 6 风险趋势分析 10 统一的安全电子政务平台所在的网络信任域 11 5 电子政务应用示范工程示范工程确定6个应用示范点 1 市级电子政务应用示范工程2 部级电子政务应用示范工程3 政府办公厅电子政务应用示范工程4 省级电子政务应用示范工程5 直辖市电子政务应用示范工程6 西部省市电子政务应用示范工程例 电子政务示范工程的系统结构图 12 电子政务综合业务平台 门户Web 应用服务系统 安全保密系统 DB 某市政务网 互联网 个人 企业 移动用户 可信时间戳服务系统 系统运行维护系统 办公服务系统 网络信任域及管理系统 自然人RA中心 设备RA中心 机构RA中心 政书审核注册中心 根CA中心 自然人CA中心 设备CA中心 机构CA中心 政书注册中心 自然人KMA 设备KMA 机构KMA 密钥管理中心 单位1 单位2 单位N 13 14 4 2电子政务系统安全 1 计算机泄密的主要途径2 电子政务系统的安全子系统3 安全服务分类4 安全防御方法 15 1 计算机泄密的主要途径 1 计算机电磁波辐射泄露 1 传导发射 通过电源线和信号线辐射 2 计算机处理器 显示器有较强的电磁辐射在1000M以外能接受和还原计算机显示终端的信息 而且较清晰 微机工作时 在开阔地100M外 用监听设备能收到辐射信号 由计算机的运算控制和外部设备发射 频率在10MHz到1000MHz 用相应频段的接收器 但解读较复杂 16 1 计算机泄密的主要途径 由计算机显示器的阴级射线管辐射的视频电磁波 频率在6 5MHz以下 可在有效距离内 用普通电视机或相同型号的计算机直接接受 现为国外情报部门常用窃密技术2 计算机网络化造成的泄密 1 计算机连网 传输线路大多由载波线路和微波线路组成 可在网络中任一节点 终端截取 2 黑客利用网络安全中存在的问题进行网络攻击 3 Internet造成的泄密 网络上涉密 4 在Internet上 利用特洛伊木马技术攻击网络 17 1 计算机泄密的主要途径 如BO BO2000 5 网络管理员自身的保密意识不强3 计算机媒体泄密 1 使用过程中有疏忽和不懂的技术 2 大量使用磁盘 磁带 光盘等外存储器很容易被复制 3 处理废旧磁盘不彻底 4 计算机故障时 硬盘处理不当 18 1 计算机泄密的主要途径 5 媒体管理不规范 6 媒体失窃 7 设备在更新换代时没有进行技术处理4 内部工作人员泄密 1 无知泄密 2 违反规章制度泄密 3 故意泄密 19 2 信息系统的安全子系统 在开放的网络环境中 信息系统的安全子系统需要做2件事 1 区分本地网和外部网2 识别攻击并且减轻攻击所带来的危害 20 3 安全服务分类 1 认证2 访问控制3 数据的保密性 加密 4 数据的完整性 防篡改 5 不可否认性 抗抵赖性 21 4 安全防御方法 1 构建安全系统2 数据库安全3 操作系统安全4 网络安全 略 22 1 构建安全系统 1 以最小权限运行2 默认系统安全默认给予系统最小权限服务 默认下仅开启最必须的服务3 验证输入 1 验证应用程序的输入客户端验证是第一道防线 如ASP NET验证 23 1 构建安全系统 ASP NET验证 包括验证控件 RequiredFieldValidatorRangeValidatorRegularExpressionValidatorCompareValidatorCustomValidator 2 验证外部组件的输入在整合需用构件时 如ActiveX控件 自定义控件 COM组件 NET的程序集等 可能引入重大的安全威胁 后门 病毒 木马 24 1 构建安全系统 因此必须对所用组件的任何输入进行验证 3 安全异常是指有 NET代码中的安全错误被探测到 即执行了一个其没有权限的操作 关于错误处理的指导 对于经常发生的错误 返回空 不暴露过多的信息给用户 安全地停止运转 25 2 数据库安全 1 数据库系统面临的安全威胁2 数据库系统安全需求3 数据库安全需求 完整性 机密性 可用性4 安全配置微软SQL数据5 针对嗅探的防护6 Access的安全7 MSSQL的安全8 MYSQL的安全 26 1 数据库系统面临的安全威胁 1 按照导致的后果分类 信息泄露 未授权的用户有意 无意得到的信息 由授权读取的数据 通过推理得到不应访问的数据 数据修改 未授权的数据修改 违反信息完整性 拒绝服务 影响用户访问和数据库资源的使用 2 按照发生的方式分类 偶然的 无意的侵犯或破坏 自然或意外的灾害 硬件或软件的故障 错误导致的数据丢失和泄露 人为的失误 27 1 数据库系统面临的安全威胁 3 按照发生的方式分类 蓄意的侵犯或敌意的攻击 授权用户滥用 误用其权限 病毒 特洛伊木马 天窗 隐通道 绕过DBMS直接对数据进行读写 为了某种目的 故意注入错误数据到数据库 使之保存错误信息并随着时间的推移扩散 28 2 数据库系统安全需求 1 系统运行安全 环境的安全1 法律 政策的保护 如用户是否有合法权利 政策是否允许等 2 物理控制安全 如机房加锁等 3 硬件运行安全 4 操作系统 网络安全 如数据文件是否保护等 5 灾害 故障恢复 6 死锁的避免和解除 7 防止电磁信息泄漏 29 2 数据库系统安全需求 2 系统信息安全1 用户身份标识与鉴别2 用户访问控制权限3 数据存取权限 方式限制4 审计跟踪5 数据加密 30 3 数据库安全需求 完整性 机密性 可用性 1 数据库的完整性 数据的正确性和相容性 数据库的物理完整性 数据库的逻辑完整性 数据库元素完整性 31 3 数据库安全需求 数据库完整性 数据库的物理完整性 数据库的数据文件不受停电 失火等灾难的影响 可重建被灾难破坏的数据库 DBMS提供的方法 a 定期地备份数据库系统中的所有数据文件 联机备份 转储备份 增量备份 异地备份 32 3 数据库安全需求 数据库完整性 数据库的物理完整性 b 在故障点重建数据库 DBMS采用REDO和UNDO日志 使得系统在发生故障之后重起DBMS时使数据库恢复到故障前的状态 c 双机热备份 保持主从备份数据库的一致 当主数据库发生故障 从数据库自动取代主数据库 33 3 数据库安全需求 数据库完整性 数据库的逻辑完整性 保护数据库的结构不受到破坏 DBMS提供的方法 a 完整性约束数据值的约束 唯一性约束 引用完整性 b DBMS能够对并发事务加以控制 保证数据的一致性 相容性和数据库的完整性 34 3 数据库安全需求 数据库完整性 数据库的元素完整性 数据库元素的正确性或准确性 目前DBMS提供的方法 a DBMS可以利用域检查 确保某个域的所有值在合适的范围之内 b 访问控制 规定有指定权限的用户访问他可以访问的数据 35 3 数据库安全需求 访问控制 限制一些用户使其只能对数据库某些授权的数据子集进行访问或修改 同时也限制非法用户对数据库的任何访问行动 以免数据丢失或泄露困难的问题 当前的访问控制粒度是表和列 不能到行 推理 从已获得的数据和现有的知识推断更多的数据 36 3 数据库安全需求 其他 保证数据操作的完整性 并发事务的管理保证数据库中数据的逻辑一致性 保证数据的语义完整性 修改数据时 审计和日志 事后取证 标识与鉴别 建立帐号 验证身份 机密数据的管理 访问控制 数据加密 多级保护 基于BLP模型的多级安全保护 限界 防止程序之间出现非授权的信息传递 37 4 安全配置微软SQL数据库 1 准备工作2 使用安全的密码策略3 使用安全的账号策略4 管理扩展存储过程5 对网络连接进行IP限制 38 4 安全配置微软SQL数据库 1 准备工作 1 对操作系统进行安全配置 2 安全审核将使用的操作DB软件 如ASP PHP脚本 过滤 等字符 3 安装SQLServer2000后打补丁sql sql2 下载地址 39 4 安全配置微软SQL数据库 2 使用安全的密码策略 1 安装时默认SA用户密码为空 安装后尽快修改 2 定期修改 3 DBA定期检查是否有不符合密码要求的账号 Usermasterselectnamefromsysloginswherepasswodeisnull给用户密码修改命令的语句是 Sp passwode 原密码 新密码 用户账号名 40 4 安全配置微软SQL数据库 3 使用安全的账号策略 1 给DBA选择强壮的密码 因为SQLServer不能修改DBA用户名称 也不能删除超级用户DBA 2 SQLServer的认证模式有Windows身份认证和混合认证 DBA可将系统账号 BUILTIN Administrators 删除 但忘记后无法恢复 3 根据实际需要分配账号 41 4 安全配置微软SQL数据库 4 管理扩展存储过程 1 慎重处理调用系统存储过程 删除不必要的存储过程 2 去掉扩展存储过程xp cmdshell xp cmdshell是进入OS的最佳捷径 是DB留给OS的大后门 需要时可恢复 3 去掉不需要的注册表访问的存储过程因为注册表存储过程可以读出OSA的密码 42 4 安全配置微软SQL数据库 5 对网络连接进行IP限制SQLServer2000数据库系统没有提供网络连接的安全解决办法 但SQLServer2000提供的安全机制是 使用OS自己的IPSec可以实现IP数据包的安全性 措施 对IP连接进行限制 只保证自己的IP能够访问 拒绝其他IP进行的端口连接 对来自网络上的安全威胁进行有效的控制 43 43 5 针对嗅探的防护 1 采用基于windowsNT 2000的安全认证机制2 使用证书 采用SSL的通信方式3 使用交换网络 SQLServer安全认证机制信息都是以明文在网络上传输 容易被敌手通过嗅探方式窃听到 防护策略 44 由于敏感数据丢失和未授权的泄露事件越来越多 所以SQLServer安全性成为许多企业越来越关注的一个重要问题 通常 监管机构也要求给一些数据施加可靠的SQLServer加密 如信用卡和社交安全数据等 而SQLServer2014的特性可以帮助我们解决这个问题 SQLServer给DBA提供了几种加密数据并通过网络传输数据的方法 同时它还支持备份或将其存储在服务器或网络上 这些加密方法包括 透明数据加密 字段级加密 SQLServer对象定义加密 备份加密 SQLServer连接加密 通过WindowsEFS实现的数据文件级加密和BitLocket驱动器加密 45 45 6 Access的安全 1 为数据库设置密码2 数据库压缩编码3 用户级安全机制 46 46 7 MSSQL的安全 1 MSSQL安全设置 1 设置强壮的密码 2 删除不必要的存储过程 3 对用户权限的严格控制 4 及时打补丁2 MSSQL注入防范 1 规范化动态构造的SQL查询场合 2 用存储过程来执行所有的查询 3 限制表单或者查询字符串的输入长度 4 检查用户输入的合法性 确信输入的内容只包含合法数据 5 将用户登录名 密码等数据加密保存 6 检查提取数据的查询所返回的记录数量 47 47 8 MYSQL的安全 1 更改MYSQL密码2 及时打最新安全补丁3 用户权限的严格控制4 如果可能 禁止远程连接5 MYSQL注入防范 48 48 3 操作系统安全 1 操作系统安全概述2 设置安全强壮密码的原则3 windows操作系统安全4 UNIX操作系统安全 49 49 1 操作系统安全概述 进程控制块存储器保护运行域输入 输出访问控制安全核审计安全模型 50 50 2 设置安全强壮密码的原则 不使用普通的名字和昵称不使用普通的个人信息 如生日日期密码里不含用重复的字母或数字至少使用8个字符应该还要求用户42天必须修改一次密码 51 51 3 windows操作系统安全 1 强制使用安全强壮的密码2 设置安全的账号策略3 系统文件权限的分类4 保护注册表的安全5 消除默认安装目录风险6 消除默认系统账号风险7 删除默认共享风险8 加强系统打印驱动的安全9 加强共享系统对象的安全10 手动查找并清除木马程序11 加强对域和账号数据库的管理