电子政务系统安全体系结构.txt

[问题1] 　　● 防火墙是建立在内外网边界上的过滤封锁机制，它认为内网是可信的，外网是不可信的。它能够防止外网未经授权地访问内网，能够防止外网对内网的攻击，也能防止内网未经授权地访问外网。但是，根据统计：绝大多数的网络攻击来自于内网，而防火墙不能阻止内网的攻击，因此，仅使用防火墙不能有效地防止网络攻击。 　　● 入侵检测系统目的在于提供实时的入侵检测及采取相应的防护手段，它的能力要点在于能够对付来自内部的攻击。如果能够实现入侵检测系统和其它安全系统，例如防火墙的联动，则能够更加有效地防止网络攻击。但是，目前的入侵检测系统对已知的攻击有较好的检测，对未知的攻击检测能力较弱，而且存在误报率太高的缺点。 　　● 安全扫描及时发现安全漏洞。 　　● 日志审计有助于追查责任，定位故障，系统恢复。 　　● 防火墙、入侵检测、安全扫描、日志审计有各自的应用目的和优点，但不能全面解决网络安全问题。 [问题2] 　　防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测系统都不能解决政务网中的认证、机密性、完整性和抗抵赖性问题。 　　身份认证能够解决通信或数据访问中对对方身份的认可，便于访问控制，授权管理。电子政务还有其它的安全需求，机密性防止信息在传输、存储过程中被泄漏。 　　完整性防止对数据进行未授权的创建、修改或破坏，使数据一致性受到损坏。 　　抗抵赖性有助于责任追查。 [问题3] 　　对于复杂系统的设计与建设，有许多非常重要的问题。有关使用PKI的非技术因素阻力有： 　　对所有系统的有关设计、开发、使用、维护、管理等人员进行必要的安全教育，使大家认识到信息安全的重要性。 在系统的设计、建设、运行阶段都要投入大量的资金，需要充分咨询相关领域专家。 　　在系统的设计、建设、运行阶段，需要对不同的设计、开发、使用、管理、维护等人员进行针对性的培训。 　　相关法律与法规制度的建立、执行与监督。