第 1页 2011-10-16 山东师范大学管理学院
知识要点,
? 电子政务项目组织管理
? 电子政务业务模型
? 网站体系结构
? 网站的功能结构及政务信息处理逻辑结构
? 申请和安装服务器证书
? 设置 Web服务器的安全通信
? 安装浏览器的根 CA证书及测试 SSL连接
? SSL客户的验证
? 使用 CTL提高安全 Web站点信任度
? 政务信息系统评估原则, 策略和流程
? 壮性评估, 安全性评估
? 使用工具评估系统的安全
第 10章 电子政务网站建设与评估
第 2页 2011-10-16 山东师范大学管理学院
第 10章 电子政务网站建设与评估
重点知识,
? 电子政务业务模型
? 网站体系结构
? 网站的功能结构及政务处理逻辑结构
? 基于 SSL的网站安全访问机制的建立
? 政务系统安全性评估及使用工具评估系统的安全
难点知识,
?基于 SSL的网站安全访问机制的建立
?使用工具评估系统的安全
第 3页 2011-10-16 山东师范大学管理学院
10.1 电子政务概述
电子政务 是指政府机构利用信息化手段,
实现各类政府职能 。 其核心是应用信息
技术, 提高政府事务处理的效率, 改善
政府组织和公共管理 。
?国外电子政务的发展
?国内电子政务的发展
第 4页 2011-10-16 山东师范大学管理学院
10.2 项目组织与管理
?成立项目建设工作组
?开展前期调研
?进行项目的需求分析
?公开征集技术方案
?编制项目建设方案
第 5页 2011-10-16 山东师范大学管理学院
10.3.1电子政务的业务模型
10.3 电子政务网站设计
( 1) 政务信息查询。 面向社会公众和企业组织,为其提供政策、法
规、条例和流程的查询服务。
( 2) 公共政务办公 。 借助互联网实现政府机构的对外办公, 如:申请,
申报等, 提高政府的运作效率, 增加透明度 。
( 3)政府办公自动化。以信息化手段提高政府机构内部办公的效率,
如:公文报送、信息通知和信息查询等。
第 6页 2011-10-16 山东师范大学管理学院
电子政务信息流模型
( 1) 政务办公信息流 。 主要存在于政府机构内部办公的
过程中 。
( 2) 公共事务信息流 。 主要存在于政府机构对外办公的
过程中 。
( 3) 政务咨询信息流。 主要存在于社会公众和企业查询
相关信息的过程中。
第 7页 2011-10-16 山东师范大学管理学院
?政府公众
信息服务
Web网站
?政府内部
办公网络信
息平台
?信息安全
交换系统
?政府 网络
通信平台
10.3.2 电子政务体系结构
政府公共信息服务W e b 网站
信息安全交换系统
政府内部办公网络信息平台
政府网络通信平台
、社会公众 企业工作人员
电
子
政
务
技
术
规
范
电
子
政
务
安
全
规
范
第 8页 2011-10-16 山东师范大学管理学院
10.2.3 电子政务系统的特点
?安全性
?整合性
?可扩展性
?示范性
第 9页 2011-10-16 山东师范大学管理学院
?政务公共服务网站
?政府内部办公网站
10.3.4电子政务网站的功能结构
第 10页 2011-10-16 山东师范大学管理学院
10.3.5 电子政务处理逻辑结构
网
上
调
研
系
统
短
信
通
知
系
统
信
息
搜
索
系
统
视
频
直
播
系
统
网
站
访
问
行
为
分
析
网
上
接
待
咨
询
用
户
统
一
登
记
管
理
信
息
发
布
模
板
文
件
电
子
申
报
系
统
文档管理 | 流程管理 | 用户管理 | 邮件管理 | 短信管理 | 报表处理
( )身份认证 C A | 资源权限管理| 工作流引擎| 全文检索引擎| 数据交换引擎
( )电子政务数据格式规范 X M L
数据库 文件库
数
据
网
关
应
用
层
数
据
层
功能层
组件层
第 11页 2011-10-16 山东师范大学管理学院
10.4 网站 SSL安全机制的建立
10.4.1 PKI技术
PKI是信息安全基础设施的一个重要组成部分, 是一种普遍
适用的网络安全基础设施, 其原理是通过数学加解密的公式
发展而成 。 利用数学加解密公式可制成两种数字钥匙, 其中
一种钥匙叫公钥 ( Public Key) 公开发行;另一种钥匙叫私钥
( Private Key) 由使用者自己保管 。 PKI是一种以公开密钥
技术为基础, 以数据的机密性, 完整性和不可抵赖性为安全
目的, 构建的认证, 授权和加密等硬件, 软件的综合设施 。
提供的服务主要包括以下几方面,
( 1) 认证;
( 2)支持密钥管理;
( 3) 完整性与不可否认 。
第 12页 2011-10-16 山东师范大学管理学院
10.4.2 SSL安全机制
SSL是一种安全性很高的认证方式, 是通过 SSL安全机制使
用的数字证书 。 SSL位于 HTTP层和 TCP层之间, 建立用户与
服务器之间的加密通信, 确保所传递信息的安全性 。 SSL是
工作在公共密钥和私人密钥基础上的, 任何用户都可以获
得公共密钥来加密数据, 但解密数据必须要通过相应的私
人密钥 。
使用 SSL安全机制时, 首先客户端与服务器建立连接, 服
务器把它的数字证书与公共密钥一并发送给客户端, 客户
端随机生成会话密钥, 用从服务器得到的公共密钥对会话
密钥进行加密, 并把会话密钥在网络上传递给服务器;而
会话密钥只有在服务器端用私人密钥才能解密, 这样, 客
户端和服务器端就建立了一个惟一的安全通道 。
第 13页 2011-10-16 山东师范大学管理学院
10.4.3 基于 SSL的 Web服务器
在浏览器和 IIS Web服务器之间建立 SSL连接, 必须具备以下条
件 。
( 1) 在 Web服务器上安装, 证书服务, 组件 。
( 2) 从可信的证书颁发机构获取 Web服务器证书 。
( 3) 在 Web服务器上安装服务器证书 。
( 4) 在 Web服务器上设置 SSL选项 。
( 5) 客户端必须同 Web服务器信任同一证书认证机构 ( 安装 CA
证书 ) 。 IIS 5.0提供了三个新的安全任务向导, 用来简化大多数
维护 Web站点的安全所需的安全任务 。
( 6) Web服务器证书向导用来管理 IIS和服务器证书中的 SSL。
( 7) CTL向导用来管理证书信任列表 ( CTL,Certificate Trust
List) 。 证书信任列表列出了每个 Web站点或虚拟目录所信任的
证书颁发机构 。
( 8) 权限向导分配 Web和 NTFS访问权限给 Web站点, 虚拟目录
以及服务器上的文件 。
第 14页 2011-10-16 山东师范大学管理学院
10.4.4 申请和安装服务器证书
?安装证书服务组件
( 1) 打开, 控制面板, 中的, 填加 /删除程序,, 鼠标单击, 添
加 /删除 Windows组件,, 出现, Windows组件向导, 操作窗口,
选择, 证书服务, 复选框 。
( 2) 鼠标单击, 下一步,, 组件安装向导开始安装, 证书服务, 。
在默认安装中, 证书服务, 没有安装,, 证书服务, 组件要用
Windows 2000 Server光盘来安装 。
( 3) 出现, 证书颁发机构类型,, 如图 10.6所示, 选择, 独立根
CA”的安装类型 。 鼠标单击, 下一步, 。
( 4)出现, CA标识信息,,如图 10.7所示,输入标识该 CA的
信息(给自己的 CA起一个名字),鼠标单击, 下一步, 。接下来
出现, 证书数据存储位置, 操作窗口(图略),选择, 证书数据
库,,, 证书数据库日志, 和, 共享文件夹, 的存储路经,即可
完成安装。
第 15页 2011-10-16 山东师范大学管理学院
?生成服务器证书请求文件
( 1) 打开 Internet信息服务管理单元, 选择相应的, Web站点,,
单击鼠标右键, 从快捷菜单中选择, 属性,, 打开属性设置对话
框, 选择, 目录安全性, 选项卡 。
( 2) 鼠标左键单击, 安全通信, 区域中的, 服务器证书, 按钮,
打开 Web服务器证书向导欢迎界面, 提示 Web服务器没有安装证
书 。
( 3) 鼠标单击, 下一步, 按钮, 出现如图 10.8所示的对话框, 选
择, 创建一个新证书, 单选钮 。 ( 若选择第二个选项, 则将一个
已存在的证书分配到该站点 。 若选择第三个选项, 则直接从密钥
管理器备份文件导入一个证书 。 )
( 4) 鼠标单击, 下一步, 按钮, 出现, 稍后或立即请求, 对话
框, 选择发送证书申请的方法 。 鼠标单击, 下一步, 按钮, 出现
如图 10.9所示的对话框, 设置证书, 名称, 和安全密钥的, 长
度, 。
第 16页 2011-10-16 山东师范大学管理学院
( 5) 鼠标单击, 下一步, 按钮, 出现, 组织信息, 对话框, 设置
证书的组织信息 。
( 6) 鼠标单击, 下一步, 按钮, 出现如图 10.10所示的对话框,
设置站点的公用名称 。
( 7) 鼠标单击, 下一步, 按钮, 出现, 地理信息, 对话框, 设置
CA的地理信息, 默认继承根证书的有关设置值 。
( 8) 鼠标单击, 下一步, 按钮, 出现, 证书请求文件名, 对话框,
设置要产生的证书请求文件名及路径 。
( 9)鼠标单击, 下一步, 按钮,显示证书请求文件的摘要信息。
如图 10.11所示。
(10) 鼠标单击, 下一步, 按钮, 再单击, 完成, 按钮, 结束证
书文件 ( certreq.txt) 的创建 。 可以用文件编辑器打开生成的证书
请求文件 certreq.txt,进行查看 。
?生成服务器证书请求文件
第 17页 2011-10-16 山东师范大学管理学院
?申请服务器证书
( 1 ) 启动服务器的浏览器, 在 URL 栏 中 输 入,
http://locahost/CertSrv/default.asp,打开本地的证书服务的
虚拟目录, 出现欢迎界面 。
( 2) 选择, 申请证书,, 鼠标单击, 下一步, 按钮 。
( 3) 选择, 高级申请,, 鼠标单击, 下一步, 按钮 。
( 4) 选择, 高级证书申请, 中的第二个选项, 即选择使用
,base64的编码, 方式提交证书申请 。 如图 10.12所示
( 5 ) 填写 申请 表单 。 将已 经生 成 的服 务器 证书 请 求文 件
( certreq.txt) 的内容复制到, 保存的申请, 表单中, 在, 证书模
板, 下拉列表中选择, Web服务器, 。 如图 10.13所示 。
( 6) 鼠标单击, 提交, 。 提交成功后, 返回一个页面给申请者,
告诉证书已经成功提交, 现在是挂起状态, 即等待 CA中心来颁发
这个证书了 。
( 7) 在, 控制面板, 中的, 管理工具, 中, 启动, 证书颁发机
构,, 在待定申请中找到刚刚申请条目, 然后用鼠标右键单击
,颁发, 即可 。
第 18页 2011-10-16 山东师范大学管理学院
?安装服务器证书
( 1) 打开 Internet信息服务管理单元, 选择, 默认 Web站点,, 单击
鼠标右键打开, 属性, 设置对话框, 选择, 目录安全性, 选项卡 。
鼠标左键单击, 安全通信, 区域中的, 服务器证书, 按钮, 打开
,欢迎使用 Web服务器证书向导, 界面 。
( 2) 鼠标单击, 下一步, 按钮, 出现, 挂起的证书请求, 对话框,
选择, 处理挂起的请求并安装证书, 。
( 3) 鼠标单击, 下一步, 按钮, 出现, 处理挂起的请求, 对话框,
输入证书文件的路径和文件名 。 鼠标单击, 浏览, 按钮, 从磁盘上
选择刚刚 颁发成功 证书文件 ( ServerCert.cer) 。
( 4) 鼠标单击, 下一步, 按钮, 显示该证书的摘要信息, 如图 10.14
所示 。
( 5) 鼠标单击, 下一步, 按钮, 出现, 完成 Web服务器证书向导,
的对话框, 鼠标单击, 完成, 按钮, 关闭服务器证书安装向导 。
( 6) 回到, 目录安全性, 选项卡, 鼠标单击, 查看证书,, 可进
一步查看 Web服务器证书, 如图 10.15所示 。 每个 Web站点只能有一
个服务器证书, 为安全起见, 应注意及时备份服务器证书 。
文件名 S e r v e r C e r t, c e r
2 0 0 5 - 9 - 3 0
w w w, s x l f z w, g o v, c n
颁发者说明( S )
第 19页 2011-10-16 山东师范大学管理学院
10.4.5 设置 Web服务器的安全通信
( 1) 在 Internet信息服务管理单元中, 选择欲启用 SSL保护的
,Web站点,, 单击鼠标右键打开, 属性, 设置对话框, 在, Web
站点, 选项卡设置, SSL端口,, 默认的端口号是 443。 如图 10.16
所示 。
( 2) 在图 10.16中, 鼠标单击, 目录安全性, 选项卡, 鼠标单击
,安全通信, 区域的, 编辑, 按钮, 出现如图 10.17所示的, 安全通
信, 对话框 。 如果选中, 申请安全通道 ( SSL), 复选框, 则强制
浏览器与 Web站点 ( 或者目录, 文件 ) 建立 SSL加密通信连接 。 选
中, 申请 128位加密, 复选框, 则强制 SSL连接使用 128位加密 。
( 3) 客户证书选项设置 。 一般可选用默认选项, 忽略客户证书,,
允许没有客户证书的用户访问该 Web资源, 因为大部分 Web访问都
是匿名的 。 若选用, 接收客户证书, 或, 申请客户证书,, 则只允
许有客户证书的用户访问该 Web资源, 即禁止匿名访问 。
建立了 SSL安全机制后, 只有 SSL允许的客户才能与 SSL允许的 Web
站点进行通信, 并且在使用 URL资源定位器时, 输入 https://,而不
是 http://。
第 20页 2011-10-16 山东师范大学管理学院
10.4.6 安装浏览器的根 CA证书
及测试 SSL连接
( 1 ) 启动 IE 浏 览 器, 打开 https://locahost/CertSrv/
default.asp,出现欢迎界面 。
( 2) 选择, 检查 CA证书或证书员销列表,, 鼠标单击, 下一步
” 按钮 。
( 3) 出现如图 10.18所示的界面, 鼠标单击, 安装此 CA证书路径
” 链接 。
( 4) 出现, 根证书存储, 对话框, 鼠标单击, 是, 按钮, 将 CA
添加到浏览器的, 受信任的根证书颁发机构, 。
( 5)出现界面,提示 CA证书已安装。说明已将该 CA证书添加到
根证书存储区。此时,在 IE浏览器中选择菜单, 工具
” →, Internet选项, 。打开, Internet选项, 对话框,选择, 内
容, 选项卡,鼠标单击, 证书, 按钮,出现如图 10.19所示的对话
框,选择, 受信任的根证颁发机构, 选项卡,可以发现新增加的
CA证书。
第 21页 2011-10-16 山东师范大学管理学院
10.4.7 SSL客户的验证
?申请和安装客户证书
?启用 SSL客户证书验证
三种客户证书含义如下 。
( 1) 忽略客户证书 。 该选项是 SSL默认的方式, 允
许没有客户证书的用户使用浏览器访问安全的 Web
站点 。
( 2) 接收客户证书 。 选择该选项, 系统会提示用
户出具客户证书 。
( 3) 申请客户证书 。 选择该选项, 只有具有有效
客户证书的用户才能使用 SSL连接, 没有有效客户
证书的用户将被拒绝访问 。 这是最严格的安全选项 。
第 22页 2011-10-16 山东师范大学管理学院
10.4.8 使用 CTL提高安全 Web站
点信任度
( 1) 在 Internet信息服务管理单元中, 选择欲启用 SSL保护的
,Web站点,, 单击鼠标右键打开, 属性, 对话框 。 选择, 目录安
全性, 选项卡, 鼠标单击, 安全通信, 区域中的, 编辑, 按钮, 打
开, 安全通信, 对话框 ( 图 10.17) 。
( 2) 在图 10.17中选择, 启用证书信任列表, 复选框, 鼠标单击
,新建,, 启动如图 10.22所示的 CTL向导 。, 当前的 CTL证书,
列表将显示已有的 CTL证书 。
( 3) 若鼠标单击, 从存储添加, 按钮, 向导将引导用户将, 证书
存储区的 CA根证书, 添加为 CTL证书 。 若鼠标单击, 从文件添加,
按钮, 向导将引导用户通过, CA证书文件, 添加 CTL证书 。 新添
加的 CTL证书将出现在, 当前的 CTL证书, 列表中 。
( 4) 完成 CTL证书添加后, 鼠标单击, 下一步, 按钮, 出现, 名
称和描述, 对话框, 为该 CTL列表命名 。
( 5)鼠标单击, 下一步, 按钮,出现, 正在完成证书信任列表向
导, 对话框,鼠标单击, 完成, 按钮,即完成 CTL列表的创建。如
图 10.23所示。
第 23页 2011-10-16 山东师范大学管理学院
10.5 电子政务网站系统评估
10.5.1评估的原则, 策略与流程
?评估目标
?评估原则
① 整体性原则 。 从评估内容, 业界标准, 应用需求分析和服
务规范等多个角度保证评估测试的整体性和全面性 。
② 规范性原则 。 严格遵循业界项目管理和服务质量标准和规
范 。
③ 有效性原则 。 从成功经验, 人员水平, 政府信誉, 工具,
项目过程等多个方面保证整个过程和结果的有效性 。
④ 最小影响原则 。 在项目管理和工具技术方面, 使评估对系
统造成的影响降低到最低限度 。
⑤ 保密性原则 。 保证政务网络应用系统和业务系统数据的安
全性, 避免政务数据的泄露和系统受到侵害 。
第 24页 2011-10-16 山东师范大学管理学院
10.5.1评估的原则、策略与流程
( 4) 评估策略 。 电子政务系统 的健壮性和安全性评估, 在技术上采用的是
从网络信息系统的底层到高层, 实测和预测相结合的综合评估;在资源划
分上采用的是由大到小, 逐步细化, 纵横关联的模型;要充分考虑网络系
统运行维度和网络信息资源的关系 。
( 5) 评估一般流程 。 根据评估目标, 原则和策略, 电子政务系统 评估也可
按照图 10.24所示的评估流程图实施评估 。
成立评估
专家小组
网络系统
现状调查
网络系统
资源划分
评估区域
划分
建立评估
模型
制定风险
规避计划
制定评估
时间计划
评估执行
应用评估
性能评估
安全评估
应用评估报告
性能评估报告
安全评估报告
评估总结 改造建义
一次性评
估结束
改造决策 改造执行
再
评
估
第 25页 2011-10-16 山东师范大学管理学院
10.5.2网站 健壮性评估
Web网站的健壮性评估是保证网络信息高性能, 高可靠性,
高可用性, 高效率运转的基本手段 。 Web网站的健壮指数越
大说明它的生命力就越强, 它所能够承载的信息量就越大 。
一个健壮性指数高的 Web网站是保证业务运行和应用的必要
前提 。
在整个 Web网站信息系统中, 网站结构, 网络传输, 业务
应用, 数据交换, 数据库运行, 应用程序运行, 安全措施,
备份措施, 管理措施, 主机 /服务器处理及客户端处理等,
这一系列的元素都是相互关联和相互影响的 。 这些元素之间
的关系往往是比较复杂的,, 牵一发而动全身,, 每一项元
素的性能下降或者受到安全威胁, 都将对整个 Web网站信息
系统造成影响 。 尤其是对于那些处于关键业务的元素 ( 如
Web网站流量 ) 更是不允许性能下降和存在安全隐患 。
第 26页 2011-10-16 山东师范大学管理学院
10.5.3网站 安全性评估
安全风险分析
安全评估方法
网络系统风险分析的方式:问卷调查, 访谈, 文档审查, 黑
盒测试, 操作系统的漏洞检查和分析, 网络服务的安全漏洞
和隐患的检查和分析, 抗攻击测试和综合审计报告 。 其中最
主要的就是利用漏洞扫描软件对网络系统进行扫描分析 。
安全评估步骤
找出漏洞 >分析漏洞 >降低风险
安全评估进一步的工作
做好万一遭安全性入侵的准备
测试弱点
评估与再评估
第 27页 2011-10-16 山东师范大学管理学院
10.5.4使用工具评估网站的安全
?使用 MBSA评估系统安全
( 1) 下载该软件包 ( MBSASetup-en.msi), 并根据提示进行安装 。
( 2) 从, 程序, 菜单中选择, Microsoft Baseline Security Analyzer”
,启动 MBSA程序, 出现欢迎界面 。 左边窗格列出功能选项, 右边窗格
为具体设置区域 。
( 3) 鼠标单击右窗格中的, Pick a computer to sacn”,出现如图
10.25所示的界面 。 定义要扫描的计算机名称或 IP地址 ( 202.207.160.45
), 设置扫描选项 。 关于扫描选项的说明见表 10.1。
( 4) 鼠标单击, Start scan”开始扫描 。
( 5) 如果运行 MSBA的计算机没有连接到 Internet,将提示用户连接
。 如果不能接入 Internet,就不能使用最新的安全信息 。
( 6) 扫描结束后, 将自动显示安全报告, 供用户查看, 如图 10.26所
示 。 可按照问题名称 ( Issue Names), 问题严重程序等来对报告进行
排序 。 凡是有问题的都标出红色的,×”, 凡是没有问题的都标出绿色
,√”, 问题较轻的标出黄色的,×” 。
第 28页 2011-10-16 山东师范大学管理学院
扫描选项 说明
Windows Vulnerability
Checks
扫描 Windows操作系统 ( Windows NT 4/2000/XP/2003) 的安全问题,
如 Guest账户状态, 文件系统类型, 文件共享和 Administrators组成员等 。
在安全报告中对每一项检查结果进行说明, 并对发现的问题给出解决
的方案 。
Weak Passwords
Check
用于检查空口令 ( 密码 ) 或弱口令 ( 密码 ) 。 如果用户账户多, 扫描
可能需要较长一段时间 。 扫描域控制器时, 通常关闭该选项 。 如果系
统对登录事件进行审核, 这些扫描事件将被记录到安全日志 。 如果关
闭该选项, Windows和 SQL账户的密码检查都不会执行 。
IIS Vulnerability
Checks
用于扫描 IIS 4.0/5.0的安全问题, 如实例应用程序, 虚拟目录等, 也检
查是否应用 IIS锁定工具, 以帮助管理员做好 IIS服务器的安全配置 。 在
安全报告中对每一项 IIS检查结果进行说明, 并对发现的问题给出解决
方案 。
SQL Vulnerability
Checks
用于扫描 SQL7.0和 2000的安全问题, 如验证模式, SA账号密码状态和
SQL服务账号成员等 。 在安全报告中对每一项 SQL检查结果进行说明,
并对发现的问题给出解决方案 。
Security Updates
Check
使用 HFNetchk 工具扫描探测遗漏的安全更新 。 HFNetchk使用由微软
不断更新的 XML数据库来检查安全更新状态 。 如果 XML数据库任何一
项更新没有安装, 将在安全报告中标出 。
USE SUS
SUS即 Software Update Services( 软件更新服务 ), 可以对本地 SUS服
务器 ( 以前称 Windows Update企业版 ) 许可的安全更新列表执行安全
更新检查 。 注意其安全更新检查依据的不是微软站点提供的
mssecure.xml文件, 而是本地 SUS服务器许可的安全更新列表 。 一般情
况不下用选择该选项 。
第 29页 2011-10-16 山东师范大学管理学院
使用 X-Scan评估系统安全
( 1) 打开 X-Scan图形界面程序, 选择, Config”→,Scan
Module”,出现如图 10.27所示的对话框, 选择要扫描的内容
模块 。 对于 IIS Web服务器, 应选择, IIS漏洞,, 还可根据
需要选择, 是否扫描其他系统漏洞, 。
( 2) 选择, Config”→,Scan Parameter”,选择如图 10.28所
示的, General”选项卡, 指定检测 IP地址范围 。
( 3) 选择如图 10.29所示的, Port”选项卡, 设置检测端口范
围, 检测方式 。
( 4) 根据需要选择其他选项卡, 设置其他选项 。
( 5) 选择菜单, file”→,Start”,扫描过程如图 10.30所示 。
( 6) 扫描结束后, 选择菜单, View”→,Report”,查看扫描
结果 。 可根据需要查看详细信息 。
第 30页 2011-10-16 山东师范大学管理学院
使用 X-Scan评估系统安全
第 31页 2011-10-16 山东师范大学管理学院
?电子政务项目组织管理
?电子政务业务模型
?网站体系结构
?网站的功能结构及政务信息处理逻辑结构
?申请和安装服务器证书
?设置 Web服务器的安全通信
?安装浏览器的根 CA证书及测试 SSL连接
?SSL客户的验证
?使用 CTL提高安全 Web站点信任度
?政务信息系统评估原则, 策略和流程
?壮性评估, 安全性评估
?使用工具评估系统的安全
本章小结
第 32页 2011-10-16 山东师范大学管理学院
第 33页 2011-10-16 山东师范大学管理学院
思考与练习
1,什么是电子政务 。
2,画图描述 电子政务的业务模型与信息流 。
3,画图描述 电子政务体系结构 。
4,简述电子政务平台应具备的特点 。
5,电子政务内, 外网为什么要隔离, 请设计一种隔
离方案 。
6,画图描述 电子政务系统功能结构 。
7,画图描述 电子政务处理逻辑结构 。
8,什么是 PKI,SSL和 CA。
9,什么是 SSL安全机制 。
10,简述网站安全评估的步骤 。
第 34页 2011-10-16 山东师范大学管理学院
?使用 SSL建立网站的安全访问
( 1) 实验目的 。 了解 SSL安全机制和 CA的作用, 基本
掌握在 IIS 5.0环境下, 建立基于 SSL的 Web网站安
全访问技术 。
( 2) 实验资源, 工具和准备工作 。 已安装和配置好了
Windows 2000 Server 系统 。 Windows 2000
Server光盘 。 实验网络连接 Internet网络 。
( 3) 实验内容 。 安装证书服务组件, 申请和安装服务
器证书, 设置 Web服务器的安全通信, 安装浏览器
的根 CA证书及测试 SSL连接, SSL客户的验证, 使
用 CTL提高安全 Web站点信任度 。
( 4) 实验步骤 。 参照 10.4.3~10.4.8节进行, 实验结束,
写出实验报告 。
网络实验
第 35页 2011-10-16 山东师范大学管理学院
?使用工具评估系统的安全
( 1) 实验目的 。 了解电子政务网站安全问题与评估方法, 基
本掌握使用工具评估系统安全的技术 。
( 2) 实验资源, 工具和准备工作 。 已安装和配置好了 Windows
2000 Server系统 。 连接网络下载微软的 MBSA和 X-Scan( 网址
见 10.5.4节 ) 。
( 3) 实验内容 。 使用 MBSA评估系统安全, 使用 X-Scan评估系
统安全 。
( 4) 实验步骤 。 参照 10.5.4节进行, 实验结束, 写出实验报
告 。
网络实验
第 36页 2011-10-16 山东师范大学管理学院
课程设计
1,课程设计目的
( 1) 了解 Web网站需求分析, 方案设计的方法 。
( 2) 学会团队协作解决问题的方法, 能按要求设计局域网
应用解决方案 。
( 3) 能用 PPT制作 Web网站应用解决方案的演讲报告 。
( 4) 增强学生自信心与团队责任心, 培养学生的主动性思
考能力和自主学习能力 。
2,课程设计要求
由教师编写或提供一份 Web网站需求 ( 校园网, 企业网, 政
务网, 商务网等的一部分 ) 报告, 学生要根据需求报告
的内容要求编写一份 Web网站设计方案 。
3,工具 /准备工作
4,所需资源
知识要点,
? 电子政务项目组织管理
? 电子政务业务模型
? 网站体系结构
? 网站的功能结构及政务信息处理逻辑结构
? 申请和安装服务器证书
? 设置 Web服务器的安全通信
? 安装浏览器的根 CA证书及测试 SSL连接
? SSL客户的验证
? 使用 CTL提高安全 Web站点信任度
? 政务信息系统评估原则, 策略和流程
? 壮性评估, 安全性评估
? 使用工具评估系统的安全
第 10章 电子政务网站建设与评估
第 2页 2011-10-16 山东师范大学管理学院
第 10章 电子政务网站建设与评估
重点知识,
? 电子政务业务模型
? 网站体系结构
? 网站的功能结构及政务处理逻辑结构
? 基于 SSL的网站安全访问机制的建立
? 政务系统安全性评估及使用工具评估系统的安全
难点知识,
?基于 SSL的网站安全访问机制的建立
?使用工具评估系统的安全
第 3页 2011-10-16 山东师范大学管理学院
10.1 电子政务概述
电子政务 是指政府机构利用信息化手段,
实现各类政府职能 。 其核心是应用信息
技术, 提高政府事务处理的效率, 改善
政府组织和公共管理 。
?国外电子政务的发展
?国内电子政务的发展
第 4页 2011-10-16 山东师范大学管理学院
10.2 项目组织与管理
?成立项目建设工作组
?开展前期调研
?进行项目的需求分析
?公开征集技术方案
?编制项目建设方案
第 5页 2011-10-16 山东师范大学管理学院
10.3.1电子政务的业务模型
10.3 电子政务网站设计
( 1) 政务信息查询。 面向社会公众和企业组织,为其提供政策、法
规、条例和流程的查询服务。
( 2) 公共政务办公 。 借助互联网实现政府机构的对外办公, 如:申请,
申报等, 提高政府的运作效率, 增加透明度 。
( 3)政府办公自动化。以信息化手段提高政府机构内部办公的效率,
如:公文报送、信息通知和信息查询等。
第 6页 2011-10-16 山东师范大学管理学院
电子政务信息流模型
( 1) 政务办公信息流 。 主要存在于政府机构内部办公的
过程中 。
( 2) 公共事务信息流 。 主要存在于政府机构对外办公的
过程中 。
( 3) 政务咨询信息流。 主要存在于社会公众和企业查询
相关信息的过程中。
第 7页 2011-10-16 山东师范大学管理学院
?政府公众
信息服务
Web网站
?政府内部
办公网络信
息平台
?信息安全
交换系统
?政府 网络
通信平台
10.3.2 电子政务体系结构
政府公共信息服务W e b 网站
信息安全交换系统
政府内部办公网络信息平台
政府网络通信平台
、社会公众 企业工作人员
电
子
政
务
技
术
规
范
电
子
政
务
安
全
规
范
第 8页 2011-10-16 山东师范大学管理学院
10.2.3 电子政务系统的特点
?安全性
?整合性
?可扩展性
?示范性
第 9页 2011-10-16 山东师范大学管理学院
?政务公共服务网站
?政府内部办公网站
10.3.4电子政务网站的功能结构
第 10页 2011-10-16 山东师范大学管理学院
10.3.5 电子政务处理逻辑结构
网
上
调
研
系
统
短
信
通
知
系
统
信
息
搜
索
系
统
视
频
直
播
系
统
网
站
访
问
行
为
分
析
网
上
接
待
咨
询
用
户
统
一
登
记
管
理
信
息
发
布
模
板
文
件
电
子
申
报
系
统
文档管理 | 流程管理 | 用户管理 | 邮件管理 | 短信管理 | 报表处理
( )身份认证 C A | 资源权限管理| 工作流引擎| 全文检索引擎| 数据交换引擎
( )电子政务数据格式规范 X M L
数据库 文件库
数
据
网
关
应
用
层
数
据
层
功能层
组件层
第 11页 2011-10-16 山东师范大学管理学院
10.4 网站 SSL安全机制的建立
10.4.1 PKI技术
PKI是信息安全基础设施的一个重要组成部分, 是一种普遍
适用的网络安全基础设施, 其原理是通过数学加解密的公式
发展而成 。 利用数学加解密公式可制成两种数字钥匙, 其中
一种钥匙叫公钥 ( Public Key) 公开发行;另一种钥匙叫私钥
( Private Key) 由使用者自己保管 。 PKI是一种以公开密钥
技术为基础, 以数据的机密性, 完整性和不可抵赖性为安全
目的, 构建的认证, 授权和加密等硬件, 软件的综合设施 。
提供的服务主要包括以下几方面,
( 1) 认证;
( 2)支持密钥管理;
( 3) 完整性与不可否认 。
第 12页 2011-10-16 山东师范大学管理学院
10.4.2 SSL安全机制
SSL是一种安全性很高的认证方式, 是通过 SSL安全机制使
用的数字证书 。 SSL位于 HTTP层和 TCP层之间, 建立用户与
服务器之间的加密通信, 确保所传递信息的安全性 。 SSL是
工作在公共密钥和私人密钥基础上的, 任何用户都可以获
得公共密钥来加密数据, 但解密数据必须要通过相应的私
人密钥 。
使用 SSL安全机制时, 首先客户端与服务器建立连接, 服
务器把它的数字证书与公共密钥一并发送给客户端, 客户
端随机生成会话密钥, 用从服务器得到的公共密钥对会话
密钥进行加密, 并把会话密钥在网络上传递给服务器;而
会话密钥只有在服务器端用私人密钥才能解密, 这样, 客
户端和服务器端就建立了一个惟一的安全通道 。
第 13页 2011-10-16 山东师范大学管理学院
10.4.3 基于 SSL的 Web服务器
在浏览器和 IIS Web服务器之间建立 SSL连接, 必须具备以下条
件 。
( 1) 在 Web服务器上安装, 证书服务, 组件 。
( 2) 从可信的证书颁发机构获取 Web服务器证书 。
( 3) 在 Web服务器上安装服务器证书 。
( 4) 在 Web服务器上设置 SSL选项 。
( 5) 客户端必须同 Web服务器信任同一证书认证机构 ( 安装 CA
证书 ) 。 IIS 5.0提供了三个新的安全任务向导, 用来简化大多数
维护 Web站点的安全所需的安全任务 。
( 6) Web服务器证书向导用来管理 IIS和服务器证书中的 SSL。
( 7) CTL向导用来管理证书信任列表 ( CTL,Certificate Trust
List) 。 证书信任列表列出了每个 Web站点或虚拟目录所信任的
证书颁发机构 。
( 8) 权限向导分配 Web和 NTFS访问权限给 Web站点, 虚拟目录
以及服务器上的文件 。
第 14页 2011-10-16 山东师范大学管理学院
10.4.4 申请和安装服务器证书
?安装证书服务组件
( 1) 打开, 控制面板, 中的, 填加 /删除程序,, 鼠标单击, 添
加 /删除 Windows组件,, 出现, Windows组件向导, 操作窗口,
选择, 证书服务, 复选框 。
( 2) 鼠标单击, 下一步,, 组件安装向导开始安装, 证书服务, 。
在默认安装中, 证书服务, 没有安装,, 证书服务, 组件要用
Windows 2000 Server光盘来安装 。
( 3) 出现, 证书颁发机构类型,, 如图 10.6所示, 选择, 独立根
CA”的安装类型 。 鼠标单击, 下一步, 。
( 4)出现, CA标识信息,,如图 10.7所示,输入标识该 CA的
信息(给自己的 CA起一个名字),鼠标单击, 下一步, 。接下来
出现, 证书数据存储位置, 操作窗口(图略),选择, 证书数据
库,,, 证书数据库日志, 和, 共享文件夹, 的存储路经,即可
完成安装。
第 15页 2011-10-16 山东师范大学管理学院
?生成服务器证书请求文件
( 1) 打开 Internet信息服务管理单元, 选择相应的, Web站点,,
单击鼠标右键, 从快捷菜单中选择, 属性,, 打开属性设置对话
框, 选择, 目录安全性, 选项卡 。
( 2) 鼠标左键单击, 安全通信, 区域中的, 服务器证书, 按钮,
打开 Web服务器证书向导欢迎界面, 提示 Web服务器没有安装证
书 。
( 3) 鼠标单击, 下一步, 按钮, 出现如图 10.8所示的对话框, 选
择, 创建一个新证书, 单选钮 。 ( 若选择第二个选项, 则将一个
已存在的证书分配到该站点 。 若选择第三个选项, 则直接从密钥
管理器备份文件导入一个证书 。 )
( 4) 鼠标单击, 下一步, 按钮, 出现, 稍后或立即请求, 对话
框, 选择发送证书申请的方法 。 鼠标单击, 下一步, 按钮, 出现
如图 10.9所示的对话框, 设置证书, 名称, 和安全密钥的, 长
度, 。
第 16页 2011-10-16 山东师范大学管理学院
( 5) 鼠标单击, 下一步, 按钮, 出现, 组织信息, 对话框, 设置
证书的组织信息 。
( 6) 鼠标单击, 下一步, 按钮, 出现如图 10.10所示的对话框,
设置站点的公用名称 。
( 7) 鼠标单击, 下一步, 按钮, 出现, 地理信息, 对话框, 设置
CA的地理信息, 默认继承根证书的有关设置值 。
( 8) 鼠标单击, 下一步, 按钮, 出现, 证书请求文件名, 对话框,
设置要产生的证书请求文件名及路径 。
( 9)鼠标单击, 下一步, 按钮,显示证书请求文件的摘要信息。
如图 10.11所示。
(10) 鼠标单击, 下一步, 按钮, 再单击, 完成, 按钮, 结束证
书文件 ( certreq.txt) 的创建 。 可以用文件编辑器打开生成的证书
请求文件 certreq.txt,进行查看 。
?生成服务器证书请求文件
第 17页 2011-10-16 山东师范大学管理学院
?申请服务器证书
( 1 ) 启动服务器的浏览器, 在 URL 栏 中 输 入,
http://locahost/CertSrv/default.asp,打开本地的证书服务的
虚拟目录, 出现欢迎界面 。
( 2) 选择, 申请证书,, 鼠标单击, 下一步, 按钮 。
( 3) 选择, 高级申请,, 鼠标单击, 下一步, 按钮 。
( 4) 选择, 高级证书申请, 中的第二个选项, 即选择使用
,base64的编码, 方式提交证书申请 。 如图 10.12所示
( 5 ) 填写 申请 表单 。 将已 经生 成 的服 务器 证书 请 求文 件
( certreq.txt) 的内容复制到, 保存的申请, 表单中, 在, 证书模
板, 下拉列表中选择, Web服务器, 。 如图 10.13所示 。
( 6) 鼠标单击, 提交, 。 提交成功后, 返回一个页面给申请者,
告诉证书已经成功提交, 现在是挂起状态, 即等待 CA中心来颁发
这个证书了 。
( 7) 在, 控制面板, 中的, 管理工具, 中, 启动, 证书颁发机
构,, 在待定申请中找到刚刚申请条目, 然后用鼠标右键单击
,颁发, 即可 。
第 18页 2011-10-16 山东师范大学管理学院
?安装服务器证书
( 1) 打开 Internet信息服务管理单元, 选择, 默认 Web站点,, 单击
鼠标右键打开, 属性, 设置对话框, 选择, 目录安全性, 选项卡 。
鼠标左键单击, 安全通信, 区域中的, 服务器证书, 按钮, 打开
,欢迎使用 Web服务器证书向导, 界面 。
( 2) 鼠标单击, 下一步, 按钮, 出现, 挂起的证书请求, 对话框,
选择, 处理挂起的请求并安装证书, 。
( 3) 鼠标单击, 下一步, 按钮, 出现, 处理挂起的请求, 对话框,
输入证书文件的路径和文件名 。 鼠标单击, 浏览, 按钮, 从磁盘上
选择刚刚 颁发成功 证书文件 ( ServerCert.cer) 。
( 4) 鼠标单击, 下一步, 按钮, 显示该证书的摘要信息, 如图 10.14
所示 。
( 5) 鼠标单击, 下一步, 按钮, 出现, 完成 Web服务器证书向导,
的对话框, 鼠标单击, 完成, 按钮, 关闭服务器证书安装向导 。
( 6) 回到, 目录安全性, 选项卡, 鼠标单击, 查看证书,, 可进
一步查看 Web服务器证书, 如图 10.15所示 。 每个 Web站点只能有一
个服务器证书, 为安全起见, 应注意及时备份服务器证书 。
文件名 S e r v e r C e r t, c e r
2 0 0 5 - 9 - 3 0
w w w, s x l f z w, g o v, c n
颁发者说明( S )
第 19页 2011-10-16 山东师范大学管理学院
10.4.5 设置 Web服务器的安全通信
( 1) 在 Internet信息服务管理单元中, 选择欲启用 SSL保护的
,Web站点,, 单击鼠标右键打开, 属性, 设置对话框, 在, Web
站点, 选项卡设置, SSL端口,, 默认的端口号是 443。 如图 10.16
所示 。
( 2) 在图 10.16中, 鼠标单击, 目录安全性, 选项卡, 鼠标单击
,安全通信, 区域的, 编辑, 按钮, 出现如图 10.17所示的, 安全通
信, 对话框 。 如果选中, 申请安全通道 ( SSL), 复选框, 则强制
浏览器与 Web站点 ( 或者目录, 文件 ) 建立 SSL加密通信连接 。 选
中, 申请 128位加密, 复选框, 则强制 SSL连接使用 128位加密 。
( 3) 客户证书选项设置 。 一般可选用默认选项, 忽略客户证书,,
允许没有客户证书的用户访问该 Web资源, 因为大部分 Web访问都
是匿名的 。 若选用, 接收客户证书, 或, 申请客户证书,, 则只允
许有客户证书的用户访问该 Web资源, 即禁止匿名访问 。
建立了 SSL安全机制后, 只有 SSL允许的客户才能与 SSL允许的 Web
站点进行通信, 并且在使用 URL资源定位器时, 输入 https://,而不
是 http://。
第 20页 2011-10-16 山东师范大学管理学院
10.4.6 安装浏览器的根 CA证书
及测试 SSL连接
( 1 ) 启动 IE 浏 览 器, 打开 https://locahost/CertSrv/
default.asp,出现欢迎界面 。
( 2) 选择, 检查 CA证书或证书员销列表,, 鼠标单击, 下一步
” 按钮 。
( 3) 出现如图 10.18所示的界面, 鼠标单击, 安装此 CA证书路径
” 链接 。
( 4) 出现, 根证书存储, 对话框, 鼠标单击, 是, 按钮, 将 CA
添加到浏览器的, 受信任的根证书颁发机构, 。
( 5)出现界面,提示 CA证书已安装。说明已将该 CA证书添加到
根证书存储区。此时,在 IE浏览器中选择菜单, 工具
” →, Internet选项, 。打开, Internet选项, 对话框,选择, 内
容, 选项卡,鼠标单击, 证书, 按钮,出现如图 10.19所示的对话
框,选择, 受信任的根证颁发机构, 选项卡,可以发现新增加的
CA证书。
第 21页 2011-10-16 山东师范大学管理学院
10.4.7 SSL客户的验证
?申请和安装客户证书
?启用 SSL客户证书验证
三种客户证书含义如下 。
( 1) 忽略客户证书 。 该选项是 SSL默认的方式, 允
许没有客户证书的用户使用浏览器访问安全的 Web
站点 。
( 2) 接收客户证书 。 选择该选项, 系统会提示用
户出具客户证书 。
( 3) 申请客户证书 。 选择该选项, 只有具有有效
客户证书的用户才能使用 SSL连接, 没有有效客户
证书的用户将被拒绝访问 。 这是最严格的安全选项 。
第 22页 2011-10-16 山东师范大学管理学院
10.4.8 使用 CTL提高安全 Web站
点信任度
( 1) 在 Internet信息服务管理单元中, 选择欲启用 SSL保护的
,Web站点,, 单击鼠标右键打开, 属性, 对话框 。 选择, 目录安
全性, 选项卡, 鼠标单击, 安全通信, 区域中的, 编辑, 按钮, 打
开, 安全通信, 对话框 ( 图 10.17) 。
( 2) 在图 10.17中选择, 启用证书信任列表, 复选框, 鼠标单击
,新建,, 启动如图 10.22所示的 CTL向导 。, 当前的 CTL证书,
列表将显示已有的 CTL证书 。
( 3) 若鼠标单击, 从存储添加, 按钮, 向导将引导用户将, 证书
存储区的 CA根证书, 添加为 CTL证书 。 若鼠标单击, 从文件添加,
按钮, 向导将引导用户通过, CA证书文件, 添加 CTL证书 。 新添
加的 CTL证书将出现在, 当前的 CTL证书, 列表中 。
( 4) 完成 CTL证书添加后, 鼠标单击, 下一步, 按钮, 出现, 名
称和描述, 对话框, 为该 CTL列表命名 。
( 5)鼠标单击, 下一步, 按钮,出现, 正在完成证书信任列表向
导, 对话框,鼠标单击, 完成, 按钮,即完成 CTL列表的创建。如
图 10.23所示。
第 23页 2011-10-16 山东师范大学管理学院
10.5 电子政务网站系统评估
10.5.1评估的原则, 策略与流程
?评估目标
?评估原则
① 整体性原则 。 从评估内容, 业界标准, 应用需求分析和服
务规范等多个角度保证评估测试的整体性和全面性 。
② 规范性原则 。 严格遵循业界项目管理和服务质量标准和规
范 。
③ 有效性原则 。 从成功经验, 人员水平, 政府信誉, 工具,
项目过程等多个方面保证整个过程和结果的有效性 。
④ 最小影响原则 。 在项目管理和工具技术方面, 使评估对系
统造成的影响降低到最低限度 。
⑤ 保密性原则 。 保证政务网络应用系统和业务系统数据的安
全性, 避免政务数据的泄露和系统受到侵害 。
第 24页 2011-10-16 山东师范大学管理学院
10.5.1评估的原则、策略与流程
( 4) 评估策略 。 电子政务系统 的健壮性和安全性评估, 在技术上采用的是
从网络信息系统的底层到高层, 实测和预测相结合的综合评估;在资源划
分上采用的是由大到小, 逐步细化, 纵横关联的模型;要充分考虑网络系
统运行维度和网络信息资源的关系 。
( 5) 评估一般流程 。 根据评估目标, 原则和策略, 电子政务系统 评估也可
按照图 10.24所示的评估流程图实施评估 。
成立评估
专家小组
网络系统
现状调查
网络系统
资源划分
评估区域
划分
建立评估
模型
制定风险
规避计划
制定评估
时间计划
评估执行
应用评估
性能评估
安全评估
应用评估报告
性能评估报告
安全评估报告
评估总结 改造建义
一次性评
估结束
改造决策 改造执行
再
评
估
第 25页 2011-10-16 山东师范大学管理学院
10.5.2网站 健壮性评估
Web网站的健壮性评估是保证网络信息高性能, 高可靠性,
高可用性, 高效率运转的基本手段 。 Web网站的健壮指数越
大说明它的生命力就越强, 它所能够承载的信息量就越大 。
一个健壮性指数高的 Web网站是保证业务运行和应用的必要
前提 。
在整个 Web网站信息系统中, 网站结构, 网络传输, 业务
应用, 数据交换, 数据库运行, 应用程序运行, 安全措施,
备份措施, 管理措施, 主机 /服务器处理及客户端处理等,
这一系列的元素都是相互关联和相互影响的 。 这些元素之间
的关系往往是比较复杂的,, 牵一发而动全身,, 每一项元
素的性能下降或者受到安全威胁, 都将对整个 Web网站信息
系统造成影响 。 尤其是对于那些处于关键业务的元素 ( 如
Web网站流量 ) 更是不允许性能下降和存在安全隐患 。
第 26页 2011-10-16 山东师范大学管理学院
10.5.3网站 安全性评估
安全风险分析
安全评估方法
网络系统风险分析的方式:问卷调查, 访谈, 文档审查, 黑
盒测试, 操作系统的漏洞检查和分析, 网络服务的安全漏洞
和隐患的检查和分析, 抗攻击测试和综合审计报告 。 其中最
主要的就是利用漏洞扫描软件对网络系统进行扫描分析 。
安全评估步骤
找出漏洞 >分析漏洞 >降低风险
安全评估进一步的工作
做好万一遭安全性入侵的准备
测试弱点
评估与再评估
第 27页 2011-10-16 山东师范大学管理学院
10.5.4使用工具评估网站的安全
?使用 MBSA评估系统安全
( 1) 下载该软件包 ( MBSASetup-en.msi), 并根据提示进行安装 。
( 2) 从, 程序, 菜单中选择, Microsoft Baseline Security Analyzer”
,启动 MBSA程序, 出现欢迎界面 。 左边窗格列出功能选项, 右边窗格
为具体设置区域 。
( 3) 鼠标单击右窗格中的, Pick a computer to sacn”,出现如图
10.25所示的界面 。 定义要扫描的计算机名称或 IP地址 ( 202.207.160.45
), 设置扫描选项 。 关于扫描选项的说明见表 10.1。
( 4) 鼠标单击, Start scan”开始扫描 。
( 5) 如果运行 MSBA的计算机没有连接到 Internet,将提示用户连接
。 如果不能接入 Internet,就不能使用最新的安全信息 。
( 6) 扫描结束后, 将自动显示安全报告, 供用户查看, 如图 10.26所
示 。 可按照问题名称 ( Issue Names), 问题严重程序等来对报告进行
排序 。 凡是有问题的都标出红色的,×”, 凡是没有问题的都标出绿色
,√”, 问题较轻的标出黄色的,×” 。
第 28页 2011-10-16 山东师范大学管理学院
扫描选项 说明
Windows Vulnerability
Checks
扫描 Windows操作系统 ( Windows NT 4/2000/XP/2003) 的安全问题,
如 Guest账户状态, 文件系统类型, 文件共享和 Administrators组成员等 。
在安全报告中对每一项检查结果进行说明, 并对发现的问题给出解决
的方案 。
Weak Passwords
Check
用于检查空口令 ( 密码 ) 或弱口令 ( 密码 ) 。 如果用户账户多, 扫描
可能需要较长一段时间 。 扫描域控制器时, 通常关闭该选项 。 如果系
统对登录事件进行审核, 这些扫描事件将被记录到安全日志 。 如果关
闭该选项, Windows和 SQL账户的密码检查都不会执行 。
IIS Vulnerability
Checks
用于扫描 IIS 4.0/5.0的安全问题, 如实例应用程序, 虚拟目录等, 也检
查是否应用 IIS锁定工具, 以帮助管理员做好 IIS服务器的安全配置 。 在
安全报告中对每一项 IIS检查结果进行说明, 并对发现的问题给出解决
方案 。
SQL Vulnerability
Checks
用于扫描 SQL7.0和 2000的安全问题, 如验证模式, SA账号密码状态和
SQL服务账号成员等 。 在安全报告中对每一项 SQL检查结果进行说明,
并对发现的问题给出解决方案 。
Security Updates
Check
使用 HFNetchk 工具扫描探测遗漏的安全更新 。 HFNetchk使用由微软
不断更新的 XML数据库来检查安全更新状态 。 如果 XML数据库任何一
项更新没有安装, 将在安全报告中标出 。
USE SUS
SUS即 Software Update Services( 软件更新服务 ), 可以对本地 SUS服
务器 ( 以前称 Windows Update企业版 ) 许可的安全更新列表执行安全
更新检查 。 注意其安全更新检查依据的不是微软站点提供的
mssecure.xml文件, 而是本地 SUS服务器许可的安全更新列表 。 一般情
况不下用选择该选项 。
第 29页 2011-10-16 山东师范大学管理学院
使用 X-Scan评估系统安全
( 1) 打开 X-Scan图形界面程序, 选择, Config”→,Scan
Module”,出现如图 10.27所示的对话框, 选择要扫描的内容
模块 。 对于 IIS Web服务器, 应选择, IIS漏洞,, 还可根据
需要选择, 是否扫描其他系统漏洞, 。
( 2) 选择, Config”→,Scan Parameter”,选择如图 10.28所
示的, General”选项卡, 指定检测 IP地址范围 。
( 3) 选择如图 10.29所示的, Port”选项卡, 设置检测端口范
围, 检测方式 。
( 4) 根据需要选择其他选项卡, 设置其他选项 。
( 5) 选择菜单, file”→,Start”,扫描过程如图 10.30所示 。
( 6) 扫描结束后, 选择菜单, View”→,Report”,查看扫描
结果 。 可根据需要查看详细信息 。
第 30页 2011-10-16 山东师范大学管理学院
使用 X-Scan评估系统安全
第 31页 2011-10-16 山东师范大学管理学院
?电子政务项目组织管理
?电子政务业务模型
?网站体系结构
?网站的功能结构及政务信息处理逻辑结构
?申请和安装服务器证书
?设置 Web服务器的安全通信
?安装浏览器的根 CA证书及测试 SSL连接
?SSL客户的验证
?使用 CTL提高安全 Web站点信任度
?政务信息系统评估原则, 策略和流程
?壮性评估, 安全性评估
?使用工具评估系统的安全
本章小结
第 32页 2011-10-16 山东师范大学管理学院
第 33页 2011-10-16 山东师范大学管理学院
思考与练习
1,什么是电子政务 。
2,画图描述 电子政务的业务模型与信息流 。
3,画图描述 电子政务体系结构 。
4,简述电子政务平台应具备的特点 。
5,电子政务内, 外网为什么要隔离, 请设计一种隔
离方案 。
6,画图描述 电子政务系统功能结构 。
7,画图描述 电子政务处理逻辑结构 。
8,什么是 PKI,SSL和 CA。
9,什么是 SSL安全机制 。
10,简述网站安全评估的步骤 。
第 34页 2011-10-16 山东师范大学管理学院
?使用 SSL建立网站的安全访问
( 1) 实验目的 。 了解 SSL安全机制和 CA的作用, 基本
掌握在 IIS 5.0环境下, 建立基于 SSL的 Web网站安
全访问技术 。
( 2) 实验资源, 工具和准备工作 。 已安装和配置好了
Windows 2000 Server 系统 。 Windows 2000
Server光盘 。 实验网络连接 Internet网络 。
( 3) 实验内容 。 安装证书服务组件, 申请和安装服务
器证书, 设置 Web服务器的安全通信, 安装浏览器
的根 CA证书及测试 SSL连接, SSL客户的验证, 使
用 CTL提高安全 Web站点信任度 。
( 4) 实验步骤 。 参照 10.4.3~10.4.8节进行, 实验结束,
写出实验报告 。
网络实验
第 35页 2011-10-16 山东师范大学管理学院
?使用工具评估系统的安全
( 1) 实验目的 。 了解电子政务网站安全问题与评估方法, 基
本掌握使用工具评估系统安全的技术 。
( 2) 实验资源, 工具和准备工作 。 已安装和配置好了 Windows
2000 Server系统 。 连接网络下载微软的 MBSA和 X-Scan( 网址
见 10.5.4节 ) 。
( 3) 实验内容 。 使用 MBSA评估系统安全, 使用 X-Scan评估系
统安全 。
( 4) 实验步骤 。 参照 10.5.4节进行, 实验结束, 写出实验报
告 。
网络实验
第 36页 2011-10-16 山东师范大学管理学院
课程设计
1,课程设计目的
( 1) 了解 Web网站需求分析, 方案设计的方法 。
( 2) 学会团队协作解决问题的方法, 能按要求设计局域网
应用解决方案 。
( 3) 能用 PPT制作 Web网站应用解决方案的演讲报告 。
( 4) 增强学生自信心与团队责任心, 培养学生的主动性思
考能力和自主学习能力 。
2,课程设计要求
由教师编写或提供一份 Web网站需求 ( 校园网, 企业网, 政
务网, 商务网等的一部分 ) 报告, 学生要根据需求报告
的内容要求编写一份 Web网站设计方案 。
3,工具 /准备工作
4,所需资源
