电子政务网络与信息安全保障体系设计.pdf

资源描述

1、技术创新中文核心期刊微计算机信息(管控一体化)2009年第25卷第1-3期360元/年邮局订阅号：82-946 现场总线技术应用200例信息安全电子政务网络与信息安全保障体系设计An E- Government System Design of the Network & Information Security（西安科技大学）朱周华ZHU Zhou-hua摘要:电子政务网络与信息安全保护是一个重要而实际的问题。文中基于APPDRR网络安全保障模型,加入应急救援服务,合理组织规划安全保护各环节的管理活动,提出了一种新的网络与信息安全体系结构模型(IBN_M_APPDRRS),并研究

2、了如何应用IBN_M_APPDRRS模型建设完善的安全保障体系。关键词:电子政务;网络与信息安全体系;安全策略; PKI/PMI中图分类号: TP393.08文献标识码: AAbstract:The network & information security of e -government is very important. This paper gives a new structure model(IBN_M_APPDRRS) of network & information security system on the base of APPDRR, and researches

3、how IBN_M_APPDRRS hasbeen applied to build integrated security system.Key words: e-government; network & information security system; security strategy; PKI/PMI文章编号:1008-0570(2009)01-3-0056-02引言电子政务是推动政府职能转变和管理创新，提升宏观管理和服务水平的重要途径。电子政务的作用和目标决定了电子政务系统是以社会公共网络为基础的开放式系统而不能是一个封闭的、独立的系统。因此Internet是电子政务

4、系统无法回避的选择。Internet所具有的开放性、自由性和国际性使其面临着各种各样的威胁。电子政务系统中有大量政务信息和社会公共服务基础数据，这些信息的泄露和破坏、电子政务系统的服务的中断，直接影响到国家安全和社会的稳定。而电子政务网络与信安全（网信安全）保护涉及安全威胁、安全防范技术、管理方法、人员素质等多方面的因素，是一项复杂的系统工程。必须以网信安全模型理论为指导，综合技术、管理、人员、活动建立动态调整的安全保障体系，保证电子政务的网信安全。1 APPDRR网信安全保障模型网络安全的动态特性在DR模型中得到了一定程度的体现，其中主要是通过入侵的检测和响应完成网络安全的动态防

5、护。但DR模型不能描述网络安全的动态螺旋上升过程。为了使DR模型能够贴切地描述网络安全的本质规律，人们对DR模型进行了修正和补充，在此基础上提出了APPDRR模型。APPDRR模型认为网络安全由风险评估（Assessment）、安全策略（Policy）、系统防护（Protection）、动态检测（Detection）、实时响应（Reaction）和灾难恢复（Restoration）六部分完成。APPDRR动态安全模型如图1所示。图1 APPDRR模型通过风险分析评估，确认信息系统面临的安全风险，寻找安全风险与安全成本之间的平衡点，确定实际可行的安全策略。防护包括了认证、

6、访问控制、加密、签名、信息隐藏、防火墙等技术措施；检测包括入侵检测、漏洞扫描、数据完整性检测、攻击性检测等技术；响应包括入侵分析、安全状况评估、安全事件响应机制等措施；恢复包括系统备份、系统恢复、数据修复等技术措施。2IBN_M_APPDRRS网信安全保障模型通过对电子政务系统安全风险的分析，可发现电子政务网信安全问题的解决不仅仅是技术问题，更重要的是要有对安全保护各环节的管理和组织，形成目标明确、技术措施有效、组织管理有力的网信安全保障体系。电子政务网信安全的各层面对系统整体安全性的影响是遵循木桶效应的。网信安全问题是一个全方位的、整体的、复杂问题。以系统安全保护的特性需求为出发点，在A

7、PPDRR模型的基础上，加入应急救援服务，合理组织规划安全保护各环节的管理活动，构成IBN_M_APPDRRS电子政务网信安全保障模型。其核心思想是将信息安全（I）、业务安全（B）、网络安全（N）和物理安术措施设计为统一全面的安全保护平台，并以管理活动(M)为主线的分层防御思想。IBN_M_APPDRRS模型如图2所示：图2 IBN_M_APPDRRS模型朱周华:讲师硕士?56-邮局订阅号：82-946 360元/年技术创新信息安全PLC技术应用200例您的论文得到两院院士关注3基于IBN_M_APPDRRS安全模型的安全保障体系设计以IBN_M_APPDRRS安全模型的核心思

8、想形成如图3所示的安全保障体系。图3安全保障体系框架3.1安全基础设施安全基础设施包括PKI/PMI基础设施，病毒防治与预报，容灾备份，安全测评，应急救援五部分。通过PKI (Pubic Key Infrastructure)公钥基础设施和PMI（Privilege Management Infrastructure）授权管理基础设施建设，建立全系统范围内统一的身份认证、授权服务和访问控制机制；建立病毒防治与漏洞修补预报机制，确保系统防护措施能够动态的完善；建立系统的容灾备份设施，确保在发生自然灾害、非法攻击等突发事件时，或系统的备份/恢复系统不能正常工作时能够快速有效的恢复数据和业务活

9、动；网络与计算机系统软硬件产品的选型、测试认证以及安全风险评估等工作，需要合法权威的专业机构来完成，安全测评机构是系统安全的可靠保证；应急救援不仅仅局限于发生突发事件或安全事故时的技术支持，在安全保护的风险分析、策略制定、防护、检测、响应、恢复等各环节，均需要为电子政务系统管理单位提供及时的技术支援。建立应急救援机制，是安全保障体系不可缺少的重要环节。3.2安全保护平台在风险评估和制定策略的基础上，综合使用各种安全技术措施，构建覆盖TCP/IP协议层、物理安全和网信安全保护各层（网络安全、业务系统安全、信息安全）的安全保护平台，如图4所示。图4安全保护平台物理安全是电子政务系统安全的

10、基础，从机房与设施安全、技术控制（智能门禁、监控系统等）、环境与人身安全、电磁泄漏四个方面采取技术和管理措施，建设物理安全保护机制。部署统一的基于数字证书的、独立的身份认证、授权服务和访问控制系统，为网络和业务系统提供身份认证、权限管理和访问控制服务；构建基于数字证书的加密系统，提供链路加密和端对端加密方式，提供数据传输、处理和存储过程中的加密服务调用；在重要网络区域部署基于网络的分布式入侵检测系统，监控网络通信数据流和业务数据流，确保及时发现系统中的异常行为；采用集中管理、分布式工作的病毒防范策略，部署防病毒管理服务器，自动实现全网计算机终端防病毒软件的升级、配置管理、定期自动查杀病毒

11、；建立由漏洞扫描系统、系统更新服务、漏洞预报构成的系统修补机制，确保系统漏洞的零时差修补；部署基于国家权威时间源和数字签名技术的时间戳签发系统，为系统中的其他应用提供功能接口；在重要或涉密网络，安装内容审计系统，实时对进出内网的信息进行内容审计，防止或追查可能的泄密行为；部署安全监控审计系统，实时监控系统的网络操作、主机操作、业务系统等资源的日志信息，并提供事后的追查功能；对关键主机、主要网络设备、重要数据、通信链路、系统软件、业务系统等资源建立冗余备份与故障恢复机制；各内部网络之间应用VLAN、防火墙技术等隔离技术实现网络逻辑隔离和网络边界的保护；通过合理规划部署、关闭无用端口、限制远程操

12、作、重要文件防篡改、加强账户密码策略等措施加强对应用服务器、数据库服务器、Web服务器、电子邮件服务器等等关键主机的保护。3.3安全管理体系安全管理体系包括安全管理组织体系，安全管理策略，安全培训三部分。安全管理组织体系的建立是安全管理的必要条件；安全管理策略以国际标准ISO/IEC 17799:2000所列的10项控制点出发，结合系统安全保护需求、目标和面临的安全风险，制定电子政务安全管理策略；安全培训策略按照安全组织体系分层结构实施。3.4法规标准体系信息安全法律法规，明确信息安全的基本原则和基本制度、信息安全相关行为的规范、信息安全中各方权利义务的明确、违反信息安全行为的处罚等等。

13、目前国家相关部门正在抓紧制定信息安全基本法和面向电子政务领域的专门法律。4结束语信息技术的发展加速了信息技术向各行各业渗透的趋势，电子政务已成为国家信息化建设的关键推动力，当电子政务为我们带来高效率服务的同时，也面临着日益严峻的安全威胁。本文在传统APPDRR网信安全保障模型基础上，提出了IBN_M_APPDRRS安全模型，不仅解决了技术问题，而且对于安全保护各环节都能有效地管理和组织，形成目标明确、技术措施有效、组织管理有力网信安全保障体系。本文作者创新点：在传统APPDRR网信安全保障模型基础上，提出了IBN_M_APPDRRS安全模型,新模型加入应

14、急救援服务，合理组织规划安全保护各环节的管理活动，更加全面有效地实现电子政务的网信安全。参考文献1周明全,吕林涛,李军怀.网络信息安全技术（Network & Information Security Techology）.西安电子科技大学出版社.2003.2国家标准化委员会,国务院信息化工作办公室.电子政务标准化指南. 2005.（下转第46页）?57-技术创新中文核心期刊微计算机信息(管控一体化)2009年第25卷第1-3期360元/年邮局订阅号：82-946 现场总线技术应用200例信息安全5结论在本篇论文中，根据公钥签名方案验证签名需要大量计算，不适合移动设备的特点，我

15、们提出了DSS签名方案的一种服务器辅助验证签名的方案。该方案满足M.Girault与D.Lefranc的安全性要求，并且验证方的计算量只有原协议验证方计算量的17%。本文作者创新点:对于当前的公钥数字签名方案，如果验证方是计算能力较弱的移动智能设备，由于验证签名需要大量的模幂运算，移动智能设备不能胜任这种大量的计算，本文提出了DSS签名方案在验证签名时委托服务器辅助验证签名的方案。该方案符合了M.Girault与D.Lefranc辅助验证模型的安全性，验证方的计算量只有原协议验证方计算量的17%，适合作为移动智能设备的数字签名辅助验证方案。参考文献1R.L

16、.Rivest, A.Shamir and L.Adleman. A method for obtainingdigital signatures and public-key cryptosystems C. Communications of the ACM, 1978,21(2):120-126.2NIST.A Proposed Federal Information Processing Standard forDigital Signature Standard (DSS)S.Federal Register AnnouncementAugust 30,1991.National I

17、nstitute of Standards and Technology.3NIST. Digital Signature Standard S. Federal Information Processing Standards Publication 186,1994.U.S. Department of Commerce/N.I.S.T.4 Chae Hoon Lim and Pil Joong Lee. Security and Performance ofServer -Aided RSA Computation Protocols C. In Advances inCryptolog

18、y - Proceedings of Crypto95, volume 963 of LectureNotes in Computer Science, Springer Verlag, 1995, 70-83.5S. Hohenberger, and A. Lysyanskaya. How to Securely OutsourceCryptographic ComputationsC, TCC 2005, 2004(18):264-282.6M.Cirault and D.Leframc Server-Aided Verification: Theory andPracticeC,ASIA

19、CRYPT 2005,LNCS 3788, 2005,605-623.7张栓记,傅和平.数字签名技术的应用研究J.微计算机信息,2007,23-6:48-49.作者简介:王宝忠(1981),男,山东临沂人,中国矿业大学硕士研究生,主要研究领域为密码学;曹天杰(1967),男,江苏徐州人,博士,中国矿业大学教授,主要研究领域为密码学与信息安全;权涛（1977-）,男,江苏徐州人,硕士研究生,主要研究领域为计算机取证。Biography:WANG Bao-zhong (1981-), Male, Han Nationality,Linyi city, ShanDong Province, Mast

20、er, Research field: Cryptology（221116江苏省徐州市中国矿业大学南湖校区计算机学院）王宝忠曹天杰权涛(SchoolofComputerScienceandTechnology,ChinaUniversityofMiningandTechnology,Xuzhou,Jiangsu,221116, P.R. China) WANG Bao-zhong CAO Tian-jieQUAN Tao通讯地址:（221116江苏徐州中国矿业大学南湖校区计算机学院计硕06）王宝忠(收稿日期:2008.12.15)(修稿日期:2009.01.13)(上接第57页

21、)3Martinez A M. Recognizing imprecisely localized ,partiallyoccluded , and expression variant faces from a single sampleperclassJ . IEEE Trans. on PAMI , 2002 ,24(6) :7482763.4王爱红.一种安全电子政务系统的开发 J微计算机信息，2007，1-3：167-168.5王谦,陈放.我国电子政务信息安全及保障体系J.网络安全技术与应用, 2006,(04)作者简介：朱周华（1976），女，陕西西安人，西安科技大学通信学院讲师，

22、硕士，主要从事网络安全和信号处理研究。Biography:ZHU Zhou-hua(1976-),female Shanxi xian ,com-munication and information engineering college,xianuniversityof science and technology , Research area: network security ,signal processing.(710054陕西西安西安科技大学)朱周华(Xian University of Science and Technology, 710054)ZHU Zhou-hua通讯

23、地址(710054陕西西安西安科技大学)朱周华(收稿日期:2008.12.15)(修稿日期:2009.01.13)（上接第62页）3SVENSSONM，MALMQUISTJEAsimplesecurecommunications system utilizing chaotic functions to control theencryption and decryption of messages EB/OLhttp:/ citeseernjuneccom，1996-01-294Li Shujun，Mou Xuanqin，Cai YuanlongImproving security of

24、 achaotic encryption approachJPhysics Letters A，2001，29：1271335徐光宪，刘建辉.一种混沌伪随机加密算法的FPGA设计J .微计算机信息，2007.10-2：179-181作者简介：游晓黔(1962 -),男（汉族)，重庆邮电大学数理学院副教授，硕士生导师,主要研究方向：信息安全；何静(1982-),女（汉族)，重庆邮电大学计算机学院硕士研究生，研究方向：信息安全;周平（1965-），男（汉族），重庆邮电大学数理学院教授，硕士生导师，主要研究方向：混沌电路设计及在保密通信中的应用Biography:YOU Xiao-qi

25、an (1962-),male（Han), Working Col-lege of Mathematics and Physics, Chongqing University of Postand Telecommunication, Associate Professor, Master Director, re-search something about Information security.(400065重庆邮电大学)游晓黔何静周平通讯地址：(400065重庆市重庆邮电大学研究生部77#信箱34栋518室)何静(收稿日期:2008.12.15)(修稿日期:2009.01.13

26、)PLC技术应用200例PLC（可编程序控制器）广泛地应用在冶金、机械、机器人、石油化工、电力传动、纺织机械、注塑机、包装机械、印刷机械、造纸机械、机床、自来水厂、污水处理、煤矿机械、焊接机器、榨糖机械、制烟机械、工程机械、水泥机械、玻璃机械、食品机械、灌装机械、橡胶机械、船舶、铁路、窑炉、车辆、智能建筑、电梯控制、中央空调控制、大型医疗机械、起重卷扬机械，大坝闸门，大型泵站。各行各业机械工程师，电气设备工程师，高级技工都需要俱备PLC的知识，才能做好本职工作。本书汇集200多个

27、硬PLC和软PLC在各行业的应用实例，PLC故障诊断实例，PLC抗干扰措施，PLC使用经验、PLC技术发展，均在本书之中论述。本书适合大专院校机械类、电气类、电力类、自动控制和自动化类专业的本科、研究生做毕业设计参考，同时适合老师进行教学、搞科研项目参考。本书是上述各行业的工程技术人员，技术工人的必备参考书，同时也是工厂和科研单位的技术领导，设备采购负责人的参考书。凡具备高中以上文化水平的人均可成为读者。200多个西门子、三菱、美国通用电气、施耐德、欧姆龙、罗克韦尔、松下电器、和泉等PLC应用实例，任您选读。一技之长，改变人生。大16开，每册定价110元(含邮费）。预购者请将书款及邮寄费通过邮局汇款至地址:北京海淀区皂君庙14号院鑫雅苑6号楼601室微计算机信息邮编:100081电话：010-62132436010-62192616（T/F）http:/http:/E-mail:;E-mail:control-46-

展开阅读全文