ccidnet????

出版日期:2002-12-09 总期号:1175 本年期号:92

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
共赢无线专刊
东北专刊
华东专刊
华南专刊
西北专刊
 电子政务网络安全解决方案

朱永春

  电子政务专用网络目前面临的主要问题包括:管理者怎样正确把握政务的发展规律;网络所面临的安全问题;工作人员是否具备现代化办公素质;开发商能否对电子政务正确理解;开发商有没有集成复杂系统的能力;系统能不能保证高度的安全可靠性;服务对象能不能适应新的政府办公方式;开发商设计的方案能否满足不断提升的政府办公需要;开发商开发的电子商务应用系统是否具有较高的可用性与稳定性,是否易于维护。


  电子政务网络安全风险分析
  对于电子政务专用网络内部而言,具有资源分类别、分级别、密级区别等特点,各个用户、各个部门拥有自主储存、使用和传递共享的资源。因此,电子政务专用网络内部也必须对各种信息的储存、传递和使用进行严格的权限管理。我们认为在指导思想上,首先应在对电子政务专用网络安全风险分析的基础上,做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟交换网络(VLAN)、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI技术等,并实现集中统一的配置、监控、管理;最后,应加强有关网络安全保密的各项制度和规范的制定,并予以严格实行。为了便于分析网络安全风险和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。

  从系统和应用出发,网络的安全因素可以划分到如下的五个安全层中,即物理层安全风险分析、网络层安全风险分析、系统层安全风险分析、应用层安全风险分析、管理层安全风险分析。


  电子政务网络安全方案设计
  1. 网络安全方案设计原则

  网络安全建设是一个系统工程,电子政务专用网络系统安全体系建设应按照“统一规划、统筹安排、统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。

  在进行网络系统安全方案设计、规划时,应遵循以下原则:需求、风险、代价平衡的原则,综合性、整体性原则、一致性原则,易操作性原则,适应性、灵活性原则,多重保护原则,可评价性原则。

  2. 电子政务网络安全解决方案

  (1)物理层安全解决方案

  保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:环境安全、设备安全、线路安全。

  为了将不同密级的网络隔离开,我们还要采用隔离技术将核心密和普密两个网络在物理上隔离,同时保证在逻辑上两个网络能够连通。

  (2)网络层安全解决方案

  防火墙安全技术建议:电子政务网络系统是一个由省、各地市、各区县政府网络组成的三级网络体系结构,从网络安全角度上讲,它们属于不同的网络安全域,因此在各中心的网络边界,以及政务网和Internet边界都应安装防火墙,并需要实施相应的安全策略控制。另外,根据对外提供信息查询等服务的要求,为了控制对关键服务器的授权访问控制,建议把对外公开服务器集合起来划分为一个专门的服务器子网,设置防火墙策略来保护对它们的访问。网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问控制,采用安全检测手段防范非法用户的主动入侵。

  入侵检测安全技术建议:入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如发现违规访问、阻断网络连接、内部越权访问等,发现更为隐蔽的攻击。目前网络入侵安全问题主要采用网络入侵监测系统等成熟产品和技术来解决。

  数据传输安全建议:为保证数据传输的机密性和完整性,同时对拨号用户接入采用强身份认证,建议在电子政务专用网络中采用安全VPN系统。系统部署如下:在省交互中心、各地市和各区县统一安装VPN设备,对于移动用户安装VPN客户端软件。

  (3)系统层安全解决方案

  系统层安全主要包括两个部分:操作系统安全技术以及数据库安全技术。对于关键的服务器和工作站应该采用服务器版本的操作系统。

  (4)应用层安全技术方案

  根据电子政务专用网络的业务和服务,我们采用身份认证技术、防病毒技术、以及对各种应用服务的安全性增强配置服务来保障网络系统在应用层的安全。

  (5)安全管理方案建议

  1)安全体系建设规范

  电子政务网络系统建设整网安全需要一套统一的安全体系建设规范,此规范应结合电子政务专用网络的实际情况制定,然后在全网统一实施。

  2)安全组织体系建设

  实施安全应管理先行,安全组织体系的建设势在必行。应在省中心和各地市建立网络安全建设领导委员会,该委员会应由一个主管领导、网络管理员、安全操作员等人员组成。省中心的安全委员会负责安全系统的总体实施。

  3)安全管理制度建设

  面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。

  制定安全管理制度,实施安全管理的原则为:多人负责原则、任期有限原则、职责分离原则。

  4)安全管理手段

  安全技术管理体系是实施安全管理制度的技术手段,是安全管理智能化、程序化、自动化的技术保障。安全技术管理对OSI的各层进行综合技术管理。