电子政务安全系统框架

北京远东网络平安研究院

://

FERC北京远东网络平安研究院电子政务内容提要第一局部：研究单位介绍第二局部：电子政务应用系统第三局部：电子政务平安系统第四局部：远东RealGov平安解决方案FERCFareastResearchCenter第一局部第一局部研究单位简介FERCFareastResearchCenter北京远东网络平安研究院由远东股份和信息平安国家重点实验室联合组建以将实验室的平安理论和平安技术研究工程化为目标以专用网络平安系统的研究和开发为主要任务，平安产品包括：RealCertCA认证系统RealGuardVPN系统RealEye防火墙系统RealHundred入侵检测系统RealDID动态口令认证系统提供整体的平安解决方案和平安技术效劳FERCFareastResearchCenter中国科学院信息平安国家重点实验室国内信息平安领域唯一的国家级重点实验室国家商用密码管理委员会指定的七家定点研制单位之一承接了包括863和973在内的众多国家重点支持的课题研究，并获得多个国家级奖项拥有知名的密码学专家和大量专业技术人员研究领域包括：密码学算法和协议加密芯片和加密卡/加密机PKI构架和CA认证系统平安传输系统和VPN防火墙和入侵检测系统DID动态口令认证系统国家级CERT网络应急响应中心FERCFareastResearchCenter第二局部第二局部电子政务系统FERCFareastResearchCenter电子政务系统信息社会的五大领域电子政务、电子商务、远程教育、远程医疗、电子娱乐，政府部门信息化是社会信息化的重要根底，是信息高速公路的五个重要主题电子政务的内容网络平台、信息效劳、政务应用系统电子政务系统的组成应用系统和平安系统FERCFareastResearchCenter政府上网工程1999年1月22日，由中国电信和国家经贸委经济信息中心主办、联合四十八家部委〔办、局〕信息主管部门共同建议发起各级电信部门支持落实，联合信息产业界的各方面力量〔ISP/ICP、软硬件厂商、新闻媒体〕，推动我国各级政府部门建立正式网上站点并提供信息效劳目前已有超过300个政府网站开始对社会发布信息，提供效劳FERCFareastResearchCenter政府上网工程内容在中国电信163/169网络平台上建立政府站点，提供信息效劳目标将政府可公开信息面向社会，提高政府效劳质量促进政府部门同社会各界的沟通，优化社会资源的配置扩大政策宣传、增加执政透明度，树立政府形象转变政府职能、提高国民经济运行的质量和效益FERCFareastResearchCenter电子政务应用系统概念电子政务系统是基于网络的、面向政府机关内部的、信息处理和信息效劳系统。效劳对象政府机关处理对象政府机关内部信息处理方法工作流程电子化、信息采集、处理的自动化输出结果领导信息效劳、公众信息效劳FERCFareastResearchCenter电子政务应用系统内容政府机关电脑专网建设政府OA系统政务管理信息系统统计信息系统决策支持系统

关键技术网络技术、Internet/Intranet技术、群件技术、数据库处理技术、数据仓库/分析、预测技术

FERCFareastResearchCenter电子商务应用系统应用系统的技术方案外部信息效劳系统多采用浏览器/Web应用效劳器＋数据库的应用模式内部信息效劳系统多采用群件(Groupware)和数据库管理系统(DBMS)结合的应用模式，也有一局部采用浏览器/Web应用效劳器＋数据库的应用模式FERCFareastResearchCenter电子政务应用系统FERCFareastResearchCenter第三局部第三局部电子政务平安系统FERCFareastResearchCenter电子政务平安系统电子政务平安系统涵盖以下内容身份认证授权和访问控制数据加密和完整性保护防火墙入侵检测病毒防治和查杀网络平安隔离平安评估平安审计FERCFareastResearchCenter身份认证采用基于PKI技术的CA证书认证机制提供全面统一的身份认证注重CA认证系统的开放性和标准性可以与其他的CA认证系统互操作，建立信任体系FERCFareastResearchCenter授权与访问控制在CA认证的根底上，对用户进行授权和访问控制严格区分系统内部用户的级别和权限可以进行效劳级和应用级的访问控制基于角色的访问控制策略FERCFareastResearchCenter数据加密和完整性保护传输中的数据加密和完整性保护使用平安通信协议和高强度的密码算法实现存储中的数据加密和完整性保护使用高强度的密码算法实现FERCFareastResearchCenter防火墙和入侵检测为网络环境提供平安保护控制网络中允许传输的数据流实时检测网络中的攻击行为，并作出响应动作FERCFareastResearchCenter病毒防治和网络隔离建立立体的网络病毒防治体系通过网络物理隔离技术，保护内部网络的平安FERCFareastResearchCenter平安评估和平安审计通过平安评估，寻找并且弥补系统的平安弱点和漏洞，降低系统的平安风险通过平安审计分析，对异常平安事件的事后处理提供依据，并且可以发挥决策支持的重要作用FERCFareastResearchCenter第四局部第四局部远东RealGov平安解决方案FERCFareastResearchCenterFERCFareastResearchCenter平安系统面临的问题专用性问题很多平安系统往往专门为特定的应用系统所设计，依赖于应用系统，存在通用性差的问题。片面性问题侧重于某一方面的平安技术，缺乏整体的平安规划，很难做到面面俱到。专业性问题由于平安系统需要专业的知识背景，所以维护和使用一个平安系统往往对人员的专业素质要求较高，并且会增加用户操作的复杂程度。造价问题平安系统的造价通常比较高，而且大多数用户对于平安系统的重要性认识缺乏，通常不认可目前的价格水平。远东RealGov的设计目标综合多重平安机制，为用户提供一套全面的平安解决方案为上层的多重应用系统提供通用性良好的，透明的平安效劳在保证平安性的前提下，尽量简化用户的操作步骤整个系统保持一个最正确的性能价格比。FERCFareastResearchCenter远东RealGov的平安机制基于公钥密码体制的CA证书身份认证机制基于角色的授权和访问控制机制标准的SSL平安通信协议，内嵌国内领先的密码算法，提供数据加密和完整性保护高速防火墙和入侵检测系统大规模分布式的平安审计和应急响应中心一套平安评估策略和平安评估工具包网络病毒防治〔集成其他厂商的产品〕FERCFareastResearchCenter远东RealGov中的平安产品RealCertCA认证系统RealGuardVPN系统RealEye防火墙系统黑客煞星入侵检测系统远东平安审计和应急响应中心RealToolkit平安评估工具包FERCFareastResearchCenterRealCertCA认证系统基于标准开放的PKI构架，遵循X.509和PKCS系列标准灵活的证书管理策略支持层次结构的CA认证体系，可扩展性良好支持主流的UNIX操作系统，具有优秀的平安性和稳定性能适应大规模系统的应用需求FERCFareastResearchCenterRealGuard

VPN系统支持多个平安域，具有良好的可扩展性对上层的应用提供完全透明的平安效劳，支持所有的TCP/IP网络应用基于角色的授权和访问控制管理遵循SSL平安通信协议，内嵌高强度的国内算法提供负载均衡，为大规模应用系统提供优秀的并发和数据处理能力FERCFareastResearchCenterRealGuardVPN的结构FERCFareastResearchCenterRealEye防火墙系统基于动态的包过滤机制具有良好的数据吞吐能力自身平安性优秀与IDS系统实现联动，隔绝网络攻击行为FERCFareastResearchCenter黑客煞星IDS系统基于网络的入侵检测系统动态维护和扩充的检测规那么库高检测率和低误报率可以灵活定制响应策略与防火墙系统实现联动，隔绝网络攻击行为FERCFareastResearchCenter远东平安审计分析系统提供分布式