电子政务系统中网络综合布线的物理隔离技术.ppt

电子政务系统建设与实施 张瑾玉 讲师 zhjinyu@software.nju.edu.cn 第2章 在本章中了解如下主要知识点 物理隔离技术的意义与作用 物理隔离技术的不足之处 物理隔离技术的路线 物理隔离的几种技术方案 安全隔离卡原理与分型 电子政务系统安全需求分析 政务业务对电子政务系统的基本安全要求 严格的必威体育官网网址要求 信息交换准确的要求 严格的权限管理要求 严格的程序和流程要求 确保责任 电子政务系统安全需求分析（续1） 电子政务系统安全威胁产生的原因 电子政务系统对网络的高度依赖 网络过于开放 电子政务安全技术的缺陷 电子政务系统安全需求分析（续2） 电子政务系统安全性要素 有效性、真实性 机密性 数据的完整性 可靠性和不可抵赖性 电子政务系统安全策略和安全措施 安全威胁的来源 内部方面 主要表现在内部人员的对电子政务系统的攻击、内外 勾结、滥用职权 外部方面 主要表现在病毒传播、黑客攻击、信息间谍以及技术缺陷、故障等 电子政务系统安全策略和安全措施（续1） 安全策略 信息系统安全策略针对信息传输、发布和处理所面临的和潜在的来自网络内部和外部的安全威胁制定 制定安全策略要注意保证信息的完整性、可靠性、可用性和安全必威体育官网网址性 一个良好的安全策略应该具备以下几点：技术上可实现，组织上可执行，职责范围明确，约束具有强制性 电子政务系统安全策略和安全措施（续2） 安全措施 在国家信息安全技术保障体系中，要对信息基础设施进行多层防护，包括网络和基础设施防护、边界防护、计算环境防护以及基础设施提供支持。这分别涉及到主干网络的可用性、无线网络安全框架、系统互连和虚拟专用网（VPN）；网络登录保护、远程访问、多级安全；终端用户环境和系统应用程序的安全。支撑的基础设施包括密钥管理基础设施/公共密钥基础设施（Key Management Infrastructure，简称KMI/Public Key Infrastructure，简称PKI） 电子政务系统安全保障体系框架 电子政务系统安全保障体系框架如图2.1所示 电子政务系统安全保障体系框架（续1） 电子政务系统安全保障体系框架（续2） 电子政务安全保障体系是电子政务系统的有机组成部分，是电子政务系统运行的必要组成部分 电子政务安全保障体系一般分为安全技术系统和安全管理系统 安全技术系统可以包括 物理安全 网络基础平台安全 信息资源层安全 业务应用层安全等 电子政务系统安全保障体系框架（续3） 安全管理系统可以包括 安全组织 安全策略和制度 安全标准 安全评估 安全审计等 安全管理系统和安全技术系统是相辅相成的。在电子政务系统建设时，在对安全技术系统进行设计之时，必须考虑安全管理系统的建设和实施 物理安全 物理安全是指物理连接方面的安全，尤其是指不同密级之间网络的连接规范，保证物理结构上的安全。内容主要包含以下几个方面 电磁泄漏 主要措施是：对重要的、涉密的设备进行电磁泄漏防护 恶意的物理破坏 主要措施是：采用网管设备进行监控，对重要设备采用专用机房、专用设施、专门人员进行保护 物理安全（续1） 电力中断 双电源是网络正常运行的有力保障 安全拓扑结构 安全拓扑是安全体系的一个很重要的组成部分 安全旁路问题 主要指政府等办公部门主要针对的是物理隔离的内部网络的员工拨号行为要加以注意 物理安全（续2） 电子政务系统包含着大量的国家机密内容。因此，电子政务系统涉及涉密网络与非涉密网络之间的连接，也有政府办公外网与非涉密网的连接，故拓扑结构非常复杂。要根据涉密规定作具体分析。接入方式分为物理隔离、逻辑隔离、基于物理隔离的数据交换等几种不同形式，原则上办公单位与数据中心的连接均用防火墙进行逻辑隔离，保证可信的数据传输及对非法访问的拒绝 物理安全（续3） 物理隔离：完全网络上的隔离，对于涉密网与非涉密网之间物理隔离开的连接，无线路/设备相连 逻辑隔离：使用防火墙进行数据交换方面的审查，通行可信数据，拒绝非法请求。此种隔离针对政府办公外网与电子政务网之间的连接 给予物理隔离的数据交换：使用基于物理隔离的数据交换进行数据交换方面的审查，通行可信数据，拒绝非法请求。此项方式是防火墙模式的进一步提高，政府涉密外网有比较高的要求，可选用此设备，但是由于原理限制，大大降低了网络速度 物理隔离技术的意义与作用 物理隔离将用户涉密信息与非涉密的可以公布到互联网上的信息隔离开来。这样就需要一种技术来帮助用户方便、有效地隔离内、外网络。尤其是“政府上网”保安部门、军事部门、商业运作筹划部门、重要的科研部门 国家保安局发布的《计算机信息系统国际联网保安管理规定》中第二章第六条规定：“涉及国家秘密的计算机系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离” 物理隔离技术的意义与