1 / 70

第 5 章 电子政务的安全技术

第 5 章 电子政务的安全技术. 5.1 信息加密技术 5.2 信息隐藏技术 5.3 认证技术 5.4 防火墙技术 5.5 病毒防护 5.6 入侵检测技术 5.7 VPN 技术 5.8 电子政务的安全设置. 5.1 信息加密技术. DES NSSU TEA RSA 对称密钥管理技术 公钥管理. 5.2 信息隐藏技术.

eyal
Download Presentation

第 5 章 电子政务的安全技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第5章 电子政务的安全技术 • 5.1 信息加密技术 • 5.2 信息隐藏技术 • 5.3 认证技术 • 5.4 防火墙技术 • 5.5 病毒防护 • 5.6 入侵检测技术 • 5.7 VPN技术 • 5.8 电子政务的安全设置

  2. 5.1 信息加密技术 • DES • NSSU • TEA • RSA • 对称密钥管理技术 • 公钥管理

  3. 5.2 信息隐藏技术 • 信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中,然后通过公开信息的传输来传递机密信息。一般的,除通信双方以外的任何第三方都不知道隐藏消息存在这个事实,监测者或非法截获者难以从公开信息中判断机密信息是否存在,难以截获机密信息。 • 信息隐藏技术的安全性来自于两个方面。一方面来自对信息窃取者感觉上的麻痹,很难从具有一般信息特征的隐藏信息中发现或得知机密信息;另一方面来自于加密信息的安全性,在将机密信息隐藏到一般信息之前,可以先对其加密,然后再将其隐藏,这样对机密信息进行双重保护。

  4. 信息隐藏技术的应用 • 根据处理方法和应用领域的不同,信息隐藏技术主要分为数字水印技术和隐藏通信技术两大类。 • (一)数字水印技术的应用 • 1.版权保护。在版权保护中,将版权信息嵌入到多媒体中(包括图像、音频、视频、文本等),来达到标识、注释以及版权保护的目的。通常这种水印是不可见或不可察觉的,而在有关版权的法律纠纷中,如果图像的版权所有者实现已加入了水印,则可利用掌握的密钥从图像中提取出水银,证明自己的知识产权,从而有效维护自己的权益。 • 2.防伪。商务活动中的各种票据的防伪也是信息隐藏技术的用武之地。在数字票据中隐藏的水印经过打印后仍然存在,可以通过再扫描数字形式,提取防伪水印,以证实票据的真实性。

  5. 隐藏通信技术 • 3.数据保密 • 在因特网上传输的敏感信息、谈判双方的秘密协议和合同、网上银行交易中的敏感数据信息、重要文件的数字签名和个人隐私等类的数据,要防止非授权用户截获并使用这些数据,可以将通信信息以信息隐藏的方式传递给对方,这样就能以一种难以觉察的形式完成与对方的通信。 • 4.数据的不可抵赖性 • 在网上交易中,通过将各自的特征标记以不能被去除的水印的形式加入到传递的信息中,使得交易双方的任何一方不能抵赖自己曾经做出的行为,也不能否认曾经接收到对方的信息,从而达到确认其行为的目的。 • 5.数据的完整性 • 即在图像等多媒体数据中事先嵌入完整性信息,然后再检测时提取此信息,用来确定数据是否被修改过。这主要是用于法庭、医学、新闻、商业、军事等场合,尤其是在军事上可能出现敌方伪造、篡改作战命令等严重问题。这些都需要进行认证,确定数据的完整性。

  6. 5.3 认证技术 • 数字证书相关知识介绍 • 数字证书的应用领域 • 电子签名相关知识介绍 • 电子签名的主要作用 • 证书及签章在投资网上的使用

  7. 安全保障体系

  8. 证书机构 大家共同信任 的权威机构。 通过数字证书把用户的公钥和用户的身份进行捆绑, 从而证明公钥持有者身份的真实性

  9. 数字证书认证中心介绍 • 数字证书的权威性取决于其颁发机构的权威性

  10. 基本情况 • 必须使用获得信息产业部批准的认证中心。 • 自《中华人民共和国电子签名法》实施一周年以来,获得国家电子认证服务许可证的17家认证机构已经发出了近260万张电子证书。依照电子签名法规定,只有拥有许可证的电子认证机构才能提供电子签名认证服务。 • 我国目前的140余家电子签名认证服务机构中,仅17家拥有国家电子认证服务许可证,其余的120余家尚未经认证。

  11. 什么是数字证书? • 数字证书是由公证、权威的第三方CA中心签发的,以数字证书为核心的密码技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性和行为的不可否认性,从而保障网络应用的安全性。

  12. 数字证书分类 证书存储介质: • 磁盘、IC卡、USB KEY等 理想介质USB KEY: • 私钥不可读: • 只能在满足条件时使用,由KEY的软硬件设计保障 • KEY内签名、验证: • 私钥的使用也在KEY内,不存在传输中私钥泄露的可能性 • KEY内生成RSA密钥对: • 并能直接存于KEY内,从而从源头上杜绝泄露的可能性 • 使用方便: • 可以在任何接有读写器(或USB接口)的PC上使用

  13. 单位证书 • 颁发给独立的单位、组织,在互联网上证明该单位、组织的身份。 • 单位数字证书根据各个单位的不同需要,可以分为单位证书和单位员工证书。 • 单位证书对外代表整个单位,单位员工证书对外代表单位中具体的某一位员工。

  14. 服务器证书 • 主要颁发给Web站点或其他需要安全鉴别的服务器,证明服务器的身份信息。 • 服务器数字证书支持目前主流的Web Server,包括但不限于:IIS、Lotus Domino、Apache等Web服务器。可存放于服务器硬盘或加密硬件设备上。

  15. 数字证书生命周期 CA 目录 服务 RA 证书 用户 证书存档 证书过期 证书废止 证书公布 证书生成 证书申请 用户证书: 1、申请 .获取 2、更新 .有效期 3、撤销 .密钥泄漏

  16. (一)、数字证书解决的安全问题 来自网络的风险 • 窃听 • 单位秘密文件被窃取 • 个人安全信息被窃取 • 伪装 • 假冒真正的服务器 • 假冒真正的用户 • 篡改 • 信息被修改 • 抵赖 • 否认其行为

  17. 各种安全技术比较 身份鉴别 机密性 完整性 抗抵赖 ü 口令 ü 动态口令 ü ü ü 密码技术 ü ü ü ü 数字证书

  18. web服务器证书 • 是发放给互联网站的数字证书。 作用:实现了网站服务器的身份认证,解决了网站访问中网络钓鱼、窃听、篡改等安全问题。 实现:通过在Web服务器中配置服务器证书,在浏览器和服务器之间建立了SSL安全通道。使用服务器证书后,实现数据传输的保密性和完整性,确保了网站身份的真实性,提高了网站的公信度。

  19. 加密套接字层协议(SSL) • SSL所实现的安全: • 相互身份鉴别 • 信息加密 • 安全传输中的数据完整性 hello 服务器端证书验证 我是网银服务器,这是我的证书 我是网银用户,这是我的证书(可选) 客户端证书验证 最终用户 Web服务器 交换密钥建立SSL通道 加密的应用数据 1011 0110001 10101 00110110101

  20. Internet (1)Web应用安全解决方案 • 为Web服务器颁发证书,验证服务器端的身份 • 为用户颁发证书,验证最终用户的身份 • 服务器与用户之间通过认证协议,相互认证 • 采用数字证书对传输数据进行加密、签名处理 CA认证中心 业务系统 Web服务器 最终用户

  21. (2)统一认证、单点登录(SSO)

  22. (3)电子签章 电子签名的可视化表示 保证文档完整性、不可否认性 又符合人们日常办公习惯

  23. (4)SSL VPN 实现远程安全接入访问

  24. Email Internet (5)邮件安全解决方案 • 为通信双方签发数字证书 • 通信双方使用证书进行加密和签名的电子邮件 • 防止被第三方截取、阅读 • 身份认证,防止被假冒 • 防止被篡改 CA认证中心 收信人 发信人

  25. (6)代码下载的安全问题 • 网上直报、网上银行、网上证券等越来越多应用通过Web平台实现,许多代码通过网络,以ActiveX控件的形式发布。用户使用浏览器下载这些代码时,面临极大的风险。 • 不明身份的代码的威胁 • 是谁发布的这个代码?微软或黑客 • 发布后这代码被修改过么?病毒或木马

  26. 代码安全的解决方案 • 是谁发布的这个代码? • 由可信第三方CA鉴证软件开发商身份,签发代码签名数字证书 • 完整可靠的鉴证机制使黑客无法得到公信的证书 • 发布后这代码被修改过么? • 由软件开发商为自己的代码进行数字签名,保证发布后第三方无法修改 • 客户端下载代码时,会自动验证证书及数字签名 • 确认由代码由可信的厂商发布,并且发布后未被篡改

  27. 小结 • 系统登录的身份认证:系统的首要安全需求。系统用户不仅仅是内部的工作人员,而且也包含分布全分支的机构的工作人员,因此为确保系统访问的安全性,必须要对用户身份的真实性进行有效鉴别。 • 重要信息的数字签名:需要对用户信息进行针对性安全保护,通过数字签名机制确保其在传输过程中完整性,保证重要信息能完整一致的下达到相关工作人员。 • 重要信息的机密保护:鉴于网络的开放性,防止信息在传输过程中被窃听与盗用,使用数字信封技术对使用需保护的机密信息进行加密保护。

  28. 公钥基础设施(Public Key Infrastructure) • 利用公开密钥理论和技术建立的提供安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。 • 基于公钥理论 • 相对于传统的秘密密钥(对称密钥) • 基础设施 • 如同电力基础设施为家用电器提供电力一样 • PKI为各种互联网应用提供安全保障

  29. PKI技术的应用范围

  30. 国家PKI 体系 PKI信任体系 政务专用CA 通用CA 区县RA 委办局RA 税务RA 教育RA 银行RA 受理点 受理点 受理点 受理点 发展方向 ——作为信息化安全基础设施、为全省各行各业提供信任与认证服务

  31. 国家PKI互联工程 吉大正元体系 CA 吉林 CA 福建 BCA 天津CA 上海CA CA 中国电信 北京CA 与各PKI体系广泛合作,实现 一证在手,走遍天下

  32. 数字签名 • 电子签名(electronic signature) • 是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。包括数字签名(digital signature)、电子化印章和生理特征签名等,区别数字签名和电子签章。 • 电子签名有两种形式存在,其一是在数据电文中所含,包含在数据电文中,可能见到也可能见不到。类似于我们在纸质文件中的某一段落签了个名字。其二是所附。即附在正文后面的,类似于我们通常在纸质文件末尾的签名。电子签名是一组数据,人人可为,电子邮件的签署名字。 • 数据电文(date message) 是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。 用语与合同法对接,与电子文件(electronic document)没有本质区别。一般来说,数据电文即为常见的电子文件。如电子文档、表格、邮件、短信等。

  33. 可靠电子签名与手写签名或者盖章具有同等的法律效力。可靠电子签名与手写签名或者盖章具有同等的法律效力。 • 目前数字证书及其相关技术是唯一符合电子签名法相关规定的实用技术手段。 • 数字证书的应用必将进一步广泛深入到电子政务、电子商务的方方面面。

  34. 电子签章技术? • 电子签章是电子签名一种重要表现形式,它结合成熟的组件技术、 PKI 技术、图像处理技术以及智能卡技术,按照一系列的标准体系,以电子形式对电子文档签名并加盖签章。 • 电子签章是以电子形式存在,依附于电子文件并与其相关联,可用于辨识电子文件签署者的身份,表示签署者同意电子文件所陈述的内容,并保证文件的完整性。电子签名与手写签名和盖章具有同等的法律效力。

  35. 如何利用电子签名进行责任认定 前提:电子签名人具有合法的数字证书 证据: • 签名人数字证书(通过签名人提供或签名中所保存) 举证流程: 1、验证证书的签名CA是合法CA(如BJCA) 2、验证证书中内容信息指向签名实体本人 3、CA机构根据发证时的鉴证流程,提供该实体获得证书的证据(如加盖公章的申请表、所提供鉴证材料复印件等) 4、查验证书吊销记录 结论: 证书无效:签名都无效 证书被吊销:吊销时间后的签名无效

  36. 电子签章在待办通知中的使用 ① Web页面签章图标 ② 点击鼠标右键

  37. 签章后的待办事宜

  38. 电子签章在文件交换中的使用

  39. 电子签章在项目直报中的使用

  40. 电子签章在项目办理中的使用

  41. 电子签章在word文档中的使用 ① Office Word 签章图标 ② 点击鼠标右键

  42. 电子签章后的word 文档 点击鼠标右键验证签章

  43. 签章验证

  44. 验证成功

  45. 验证失败 插入一个空格后再验证签章

  46. 防火墙 5.4 防火墙技术 一、防火墙(firewal1)的概念 在被保护网络和Internet之间,或者和其它网络之间限制访问的软件和硬件的组合。它具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。它可以确定哪些内部服务允许外部访问,哪些外部服务可由内部人员访问,即它能控制网络内外的信息交流,提供接入控制和审查跟踪,是一种访问控制机制。

  47. 防火墙技术的功能 • 支持病毒扫描 • 提供内容过滤 • 能部分防御 DOS攻击 • 阻止 ActiveX、Java、等侵入 • 支持转发和跟踪网络间报文控制协议ICMP • 提供入侵实时警告 • 提供实时入侵防范 • 识别 /记录/防止企图进行IP地址欺骗

  48. 防火墙技术 • 数据包过滤技术 事先在防火墙内设定好一个过滤逻辑,对于通过防火墙数据流中的每一个数据包,根据其源地址、目的地址、所用的TCP端口与TCP链路状态等方面进行检查,再确定该数据包是否可以通过。这种防火墙一般安装在路由器上。 • 代理服务技术 是一种基于代理服务器的防火墙技术,通过代理服务器和代理客户两个部件,使内部网和外部网不存在直接的连接。同时提供注册(log)和审计(audit)功能。

  49. 包过滤防火墙 • 包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。

  50. 应用网关防火墙 • 应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。

More Related