eg電子政務(wù)安全技術(shù)

電子政務(wù)安全技術(shù)案例國外2004年專門針對美國政府網(wǎng)站的非法入侵事件就發(fā)生了5．4萬件，2005年升至7．9萬件。被入侵的政府網(wǎng)站包括國防部、國務(wù)院、能源部、國土安全部等重要政府職能部門，其中以國防部最為嚴重，在2004年達到1300多次，而2005年平均每天要受到計算機黑客7次攻擊。面對越來越嚴峻的網(wǎng)絡(luò)安全形勢，美國軍界和政界對黑客采取了長期的招安策略，設(shè)立專門機構(gòu)納入作戰(zhàn)序列，聘請他們?yōu)檎蛙姺焦ぷ?，并通過演習(xí)和訓(xùn)練來進行網(wǎng)絡(luò)防御以及對付國外勢力的網(wǎng)上滲透活動，甚至在必要的情況下執(zhí)行進攻和摧毀敵方系統(tǒng)的重任。案例國內(nèi)2005年3月，四川省公安廳網(wǎng)監(jiān)處查獲一起攻擊政府機關(guān)網(wǎng)站、在網(wǎng)站主頁張貼色情圖片的案件；2005年4月9日，陜西省公安廳網(wǎng)站首頁被修改，內(nèi)容全是反日的激進言論，在內(nèi)容頁中，黑客甚至膽大到留下自己的QQ號碼；2005年11月1日，山西省清徐縣政府網(wǎng)站被黑客攻擊，自稱“圣賢居士”的黑客，在篡改了網(wǎng)站頭條新聞和網(wǎng)站公告后，發(fā)布聲明稱：本站存在嚴重安全漏洞，且密碼過于簡單，希望網(wǎng)站與他聯(lián)系……2006年11月6日，國家公務(wù)員報考確認期間，河南省人事廳網(wǎng)站的網(wǎng)上確認程序突然中斷，省人事廳考試中心發(fā)出緊急通知：由于網(wǎng)絡(luò)出現(xiàn)異常，網(wǎng)上確認改為現(xiàn)場確認。無獨有偶，僅幾日之后，鄭州市司法局網(wǎng)站被“黑”。時間再退到兩個多月前，省衛(wèi)生廳網(wǎng)站也遭遇“黑”手。中國政府網(wǎng)站被黑

國外Ashiyane組織

全名叫

<

數(shù)字化的網(wǎng)絡(luò)安全>

電子政務(wù)安全的基本要求術(shù)語定義保密性認證性完整性可訪問性防御性不可否認性合法性保持個人的、專用的和高度敏感數(shù)據(jù)的機密確認通信雙方的合法身份保證所有存儲和管理的信息不被篡改保證系統(tǒng)、數(shù)據(jù)和服務(wù)能由合法的人員訪問能夠阻擋不希望的信息或黑客防止通信雙方對已進行業(yè)務(wù)的否認保證各方的業(yè)務(wù)符合可適用的法律和法規(guī)技術(shù)對策

防火墻技術(shù)信息加密技術(shù)安全認證技術(shù)防火墻技術(shù)防火墻概述實現(xiàn)防火墻的主要技術(shù)防火墻（Firewall）的定義：——防火墻是用來限制被保護的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間相互進行信息存取、傳遞操作的部件或部件集。防火墻——隔離內(nèi)部網(wǎng)和Internet的有效安全機制

防火墻應(yīng)具備的條件:內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻構(gòu)筑防火墻墻之前，需需要制定一一套有效的的安全策略略防火墻的策策略防火墻設(shè)計計策略一切未被允允許的就是是禁止的——安全性性好，但是是用戶所能能使用的服服務(wù)范圍受受到嚴格限限制。一切未被禁禁止的都是是允許的——可以為為用戶提供供更多的服服務(wù)，但是是在日益增增多的網(wǎng)絡(luò)絡(luò)服務(wù)面前前，很難為為用戶提供供可靠的安安全防護。。第一種的特特點是安全全但不好用用，第二種種是好用但但不安全，，而多數(shù)防防火墻都在在兩者之間間采取折衷衷。包過濾型（（PacketFilter）代理服務(wù)器器型（ProxyService）實現(xiàn)防火墻墻的主要技技術(shù)網(wǎng)絡(luò)層鏈路層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)包過濾技術(shù)術(shù)是在網(wǎng)絡(luò)絡(luò)層中對數(shù)數(shù)據(jù)包實實施有選擇擇的通過7應(yīng)用層層

6表表示層5會會話層4傳輸輸層3網(wǎng)絡(luò)層層

2數(shù)數(shù)據(jù)鏈路路層1物理層層基本思想對于每個進進來的包適適用一組規(guī)規(guī)則，然后后決定轉(zhuǎn)發(fā)發(fā)或丟棄該該包包過濾技術(shù)術(shù)判斷依據(jù)：：數(shù)據(jù)包協(xié)議議類型：TCP、UDP、ICMP等源IP、目的IP地址源端口、目目的端口：：FTP、TELNET、HTTP等IP選項：源路路由、記錄錄路由等TCP選項：SYN、ACK、FIN、RST等數(shù)據(jù)包流向：in或out數(shù)據(jù)包流經(jīng)經(jīng)網(wǎng)絡(luò)接口口：eth0、、eth1包過濾技術(shù)術(shù)應(yīng)用實例例規(guī)則方向源地址目的地址動作A出內(nèi)部網(wǎng)絡(luò)拒絕B入內(nèi)部網(wǎng)絡(luò)拒絕按地址按服務(wù)規(guī)則方向源地址源端口目的地址目的端口動作注釋A入外部*E-MAIL25拒絕不信任B出****允許允許包過濾技術(shù)術(shù)的特點優(yōu)點：邏輯簡單，，速度快；；與應(yīng)用層無無關(guān)，無須須改動任何何客戶機和和主機上的的應(yīng)用程序序，易于安安裝和使用用。缺點：配置基于包包過濾方式式的防火墻墻，需要對對IP、TCP、UDP、ICMP等各種協(xié)議議有深入的的了解；允許外部客客戶和內(nèi)部部主機的直直接連接；；不提供用戶戶的鑒別機機制?；舅枷氪矸?wù)器器是運行在在防火墻主主機上的一一些特定的的應(yīng)用程序序或者服務(wù)務(wù)器程序。。這些程序?qū)⒂脩魧セヂ?lián)網(wǎng)絡(luò)的的服務(wù)請求求依據(jù)已制制定的安全全規(guī)則向外外提交，代代理服務(wù)替替代了用戶戶與互聯(lián)網(wǎng)網(wǎng)絡(luò)的直接接連接。代理服務(wù)器器也稱為應(yīng)用層網(wǎng)關(guān)關(guān)。代理服務(wù)器器技術(shù)代理服務(wù)器器作用在應(yīng)應(yīng)用層，當(dāng)當(dāng)內(nèi)部計算算機與外部部主機連結(jié)結(jié)時，將由由代理服務(wù)務(wù)器（ProxyServer）擔(dān)任內(nèi)部部計算機與與外部主機機的連結(jié)中中繼者。應(yīng)用層運輸層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)鏈路層網(wǎng)絡(luò)層HTTPFTPTelnetSmtp代理服務(wù)器器的特點優(yōu)點：易于配置，，界面友好好透明性———“直接””訪問Internet的假象不允許內(nèi)外外網(wǎng)主機的的直接連接接可以實現(xiàn)基基于用戶的的認證可以提供比比包過濾更更詳細的日日志記錄可以隱藏內(nèi)內(nèi)部IP地址可以與認證證、授權(quán)等等安全手段段方便的集集成缺點：代理速度比比包過濾慢慢新的服務(wù)不不能及時地地被代理每個被代理理的服務(wù)要要求專門的的代理軟件件有些服務(wù)要要求建立直直接連接，，無法使用用代理密碼安全———通信安安全的最核核心部分信息加密技技術(shù)信息加密技技術(shù)的基本本概念。對稱密鑰加加密算法非對稱密鑰鑰加密算法法。信息加密技技術(shù)的基本本概念信息加密的的術(shù)語：加密（Encryption)：用某種方法法偽裝消息息以隱藏它它的內(nèi)容的的過程明文（plaintext)：作為加密輸輸入的原始始信息密文（ciphertext)：：明文變換結(jié)結(jié)果加密算法：：變換函數(shù)（（是加密和和解密的計計算方法））；密鑰（key)：：參與變換的的參數(shù)加解密過程程示意圖*23信息加密的的例子：例：原信息息為：Howareyou加密后為：：LSAEVICSY原文密文在實際加密密過程中，，算法是不不變的，但但密鑰是變變化的----加密密技術(shù)的關(guān)關(guān)鍵是密鑰鑰？若密鑰4換換成7，結(jié)結(jié)果會怎么么樣呢？abcd..………wxyzEFGH……….ABCD將上述兩組組字母分別別對應(yīng)，即即差4個字字母，這條條規(guī)則就是是加密算法，其中的4為密鑰。Alice加密機解密機Bob安全信道密鑰源Oscarxyxk信息加密的目目的：Alice和Bob兩個人在不安安全的信道上上進行通信，，而破譯者Oscar不能理解他們們通信的內(nèi)容容。Bob能夠驗證接收收到的信息是是Alice發(fā)出的，且沒沒被篡改過。。（認證）密碼學(xué)的起源源隱寫術(shù)(steganography)英文含義為——Coveredwriting通過隱藏消息息的存在來保護消息，，通常將秘密密消息隱藏于于其它消息中中。語言隱寫術(shù)藏頭詩、字符符格式的變化化技術(shù)隱寫術(shù)隱形墨水、牛牛奶、圖象、、程序等有趣的密碼技技術(shù)Phaistos圓盤，一種直直徑約為160mm的Cretan-Mnoan粘土圓盤，始始于公元前17世紀。表表面有明顯字字間空格的字字母，至今還還沒有破解。。有趣的密碼技技術(shù)公元前5世紀紀——SpartanScytale斯巴達人用于于加解密的一一種軍事設(shè)備備發(fā)送者把一條條羊皮螺旋形形地纏在一個個圓柱形棒上上，再寫上傳遞遞給他人的信信息；而信息息的接收者只只需要有根同同等尺徑的棍棍子，收到皮皮革后再將皮皮革裹到棍子子上就可以讀讀出原始信息息。思想：置換（（permutation)有趣的密碼技技術(shù)（續(xù)）希臘密碼二二維字母編碼碼查表公元元前2世紀例：NantongUniversity3311334443332254332451154243244454有趣的密碼技技術(shù)（續(xù)）愷撒密碼：將將字母循環(huán)前前移k位明文：NantongUniversity密文：sfsyutmZsnajwxnyd例如k=5時對應(yīng)關(guān)系如如下：常用對稱密鑰鑰加密算法DES、IDEA、AES算法等對稱密鑰加密密技術(shù)對稱密鑰算法法（symmetriccipher)：加密密鑰和解解密密鑰相同同。又稱秘密密鑰算法。信息加密算法法對稱密鑰加密密算法——DES算法DES（DataEncryptionStandard）——數(shù)據(jù)加密密標準，是一一種分組密碼碼算法，是最通用的計計算機加密算算法。分組密碼體制

DES的產(chǎn)生1972年，美國國家家標準局（NBS）征集滿足下列列條件的標準準加密算法：：1974年8月27日，，IBM提交了算法LUCIFER，該算法由IBM的工程師在1971~1972年改改進1975年3月17日，，NBS公開了全部細細節(jié)1976年，，NBS指派了兩個小小組進行評價價1976年11月23日日，采納為聯(lián)聯(lián)邦標準，批批準用于非軍軍事場合的各各種政府機構(gòu)構(gòu)1977年1月15日，，正式確定為為美國的統(tǒng)一一數(shù)據(jù)加密標標準DES輸入64位明文數(shù)據(jù)初始置換IP在密鑰控制下16輪迭代初始逆置換IP-1輸出64比特密文數(shù)據(jù)DES算法框圖交換左右32位DES加密的數(shù)據(jù)流流程明文分組：64位密鑰長度：64位，其中中8位為奇偶偶校驗位，真真正起密鑰作作用的是56位初始置換IP和初始逆置換換IP—1關(guān)于DES的討論DES的強度除了用窮舉搜搜索法對DES算法進行攻擊擊外，還沒有有發(fā)現(xiàn)更有效效的辦法。密鑰長度的爭爭論關(guān)于DES算法的另一個個最有爭議的的問題就是擔(dān)擔(dān)心實際56比特的密鑰長長度不足以抵抵御窮舉式攻攻擊，因為密密鑰量只有個個。。關(guān)于DES的評價1997年1月28日，，美國的RSA數(shù)據(jù)安全公司司公布了一項項“秘密密鑰鑰挑戰(zhàn)”競賽賽，其中包括括懸賞1萬美美元破譯密鑰鑰長度為56比特的DES。美國克羅拉多多洲的程序員員Verser從1997年年2月18日日起，用了96天時間，，在Internet上數(shù)萬名志愿愿者的協(xié)同工工作下成功破破譯。1998年7月，電子前沿基金金會（EFF）使用一臺25萬美元的電腦在56小時內(nèi)破譯譯了56比特特密鑰的DES。1999年1月，RSA數(shù)據(jù)安全會議議期間，電子子前沿基金會會用22小時時15分鐘就就宣告破解了了一個DES的密鑰。公開密鑰加密密技術(shù)對稱密鑰算法法：加密密鑰和解解密密鑰一樣樣公開密鑰算法法：加密和解密使使用的是兩個個不同的密鑰鑰，也稱為非對稱密鑰算算法。公開密鑰（publickey)，簡稱公鑰，是公開的，可以公布布在網(wǎng)上，也也可以公開傳傳遞給需要的的人；私人密鑰（privatekey)，簡稱私鑰，是保密的，只有本人知道道。公鑰加密體制制的基本概念念公鑰技術(shù)是二二十世紀最偉偉大的思想之之一改變了密鑰分分發(fā)的方式。公鑰加密的基基本思想：利用求解某些些數(shù)學(xué)難題的的困難性。單向函數(shù)：單項函數(shù)計算算起來相對容容易，但求逆逆卻非常困難難。RSA算法1977年由由Rivest、Shamir和Adleman在麻省理工學(xué)學(xué)院發(fā)明，1978年公布。。應(yīng)用最廣泛的的公鑰密碼算算法RSA算法的理論基基礎(chǔ)：大數(shù)分解：兩個大素數(shù)相相乘在計算上上是容易實現(xiàn)現(xiàn)的，但將該該乘積分解為為兩個大素數(shù)數(shù)因子的計算算量卻相當(dāng)巨巨大。素數(shù)檢測：素數(shù)檢測就是是判定一個給給定的正整數(shù)數(shù)是否為素數(shù)數(shù)。RSA算法Euler定理（歐拉定定理）：a、r是兩個互素的的正整數(shù)，則則az≡1（modr），其中z為與r互素且不大于于r的正整數(shù)的個個數(shù)（即Euler數(shù),(r)）。例如：兩個互互素的正整數(shù)數(shù)a=2、r=5，歐拉數(shù)z為4，則2的的4次方=16，對5取取模等于1。。RSA算法的生成步步驟：設(shè)計密鑰，生生成密文，恢恢復(fù)明文RSA算法舉例：（1）若Bob選擇了p=11和q＝13（2）那么，n=11××13=143,(n)=10×12＝120；（3）再選取一個與與z=120互質(zhì)的數(shù),例如e=7(稱為“公開指數(shù)”),（4））找到一個值值d=103(稱為"秘密密指數(shù)數(shù)")滿滿足e×d=1modz（7××103=721除以120余1）（5））（143,7）為公鑰鑰，（（143，，103））為私私鑰。。（6））Bob在一個個目錄錄中公公開公公鑰：：n=143和e=7（7））現(xiàn)假設(shè)設(shè)Alice想發(fā)送送明文文85給Bob，她已經(jīng)從從公開開媒體體得得到了了Bob的公開開密鑰鑰(n,e)=(143,7),于是計算：：857(mod143)=123，，且在一一個信信道上上發(fā)送送密文文123。。（8））當(dāng)Bob接收到到密文文123時時，他他用他他的秘秘密解解密指指數(shù)（（私鑰鑰）d＝103進行解解密：：123103（mod143)=85RSA的安全全性RSA的安全全性是是基于于加密密函數(shù)數(shù)ek(x)=xe(modn)是一個個單向向函數(shù)數(shù)，所所以對對攻擊擊的人人來說說求逆逆計算算不可可行。。攻破RSA等價于于多項項式的的分解解只要n足夠大大，例如，有512比特，或1024比特甚甚至2048比特，任何人人只知知道公公開密密鑰(n，e)，，很難算算出秘秘密密密鑰(n，d)。其困困難在在于從從乘積積n難以找找出它它的兩兩個巨巨大的的質(zhì)數(shù)數(shù)因子子。RSA的安全全性整數(shù)n的十進進制位位數(shù)因因子子分解解的運運算次次數(shù)所所需計計算時時間（（每微微秒一一次））501.4x10103.9小時759.0x1012104天1002.3x101574年2001.2x10233.8x109年3001.5x10294.0x1015年5001.3x10394.2x1025年對RSA的攻擊擊方法法：強力攻攻擊（（窮舉舉法））———嘗試試所有有可能能的私私有密密鑰數(shù)學(xué)分分析攻攻擊———各各種數(shù)數(shù)學(xué)方方法，，等價價于兩兩個素素數(shù)乘乘積的的因子子分解解RSA的安全全性1977年年,《《科學(xué)學(xué)美國國人》》懸賞賞征求求分解解一個個129位位十進進數(shù)(426比比特),直直至1994年年4月月,才才由包包括5大洲洲43個國國家600多人人參加加，用用1600臺機機器同同時產(chǎn)產(chǎn)生820條指指令數(shù)數(shù)據(jù)，，通過過Internet網(wǎng)，耗耗時8個月月，利利用二二次篩篩選法法分解解出64位位和65位位的兩兩個因因子，，原來來估計計要用用4億億億年年。這這是有有史以以來最最大規(guī)規(guī)模的的數(shù)學(xué)學(xué)運算算。RSA的安全全性1999.8.22，荷荷蘭H.Riele領(lǐng)導(dǎo)的的一群群來自自6個個國家家的數(shù)學(xué)家和計算算機科科學(xué)家家耗時時7個個月并并動用用292臺臺計算算機，，破解解了RSA—155（512-bit）加密系系統(tǒng)的的數(shù)字字密碼碼。512-bitRSA在電子子商務(wù)務(wù)中所所占的的比例例為95%*46政府工工作文文件是是根據(jù)據(jù)親筆筆簽名名或印印章來來證明明具真真實性性的，，但在在網(wǎng)絡(luò)絡(luò)傳送送的文文件又又如何何簽名名蓋章章呢?安全認認證技技術(shù)安全認認證技技術(shù)要要解決決的問問題數(shù)字簽簽名數(shù)字簽簽名的的基本本原理理。RSA數(shù)字簽名技術(shù)術(shù)。信息加密技術(shù)解決決信息的保密密性問題，對對于鑒別信源源和發(fā)送信息息的完整性則則可以用信息認證技術(shù)術(shù)加以解決。在在某些情況下下，信息認證證顯得比信息息保密更為重重要。數(shù)字簽名(DigitalSignature):指發(fā)送者根據(jù)據(jù)消息產(chǎn)生摘摘要，并對摘摘要用自身的的簽名私鑰進進行加密。這這就形成了數(shù)數(shù)字簽名。數(shù)字簽名的定義數(shù)字簽名與手手工簽名的區(qū)區(qū)別數(shù)字簽名———數(shù)字的，因消消息而異手工簽名———模擬的，因人人而異數(shù)字簽名的基基本原理RSA算法不僅可用用于信息加密密，還可用于數(shù)字字簽名。RSA數(shù)字簽名技術(shù)術(shù)老張小李密文小李的公開密密匙小李的私有密密匙用RSA加密,只有小李能