1.引言
電子政務是提升一個國家或地區(qū)特別是城市綜合競爭力的重要因素之一,電子政務系統(tǒng)中有眾多的政府公文在流轉,其中不乏重要情報,有的甚至涉及國家安全,這些信息通過網絡傳送時不能被竊聽、泄密、篡改和偽造。如果電子政務網絡安全得不到保障,電子政務的便利與效率便無從保證,對國家利益將帶來嚴重威脅。因此,研究信息安全技術及其在電子政務系統(tǒng)中的應用具有重要的現(xiàn)實意義。
2.電子政務系統(tǒng)信息安全存在的問題剖析
2.1網絡安全方面的問題
電子政務網在建網初期都是按照雙網模式來進行規(guī)劃與建設,即電子政務內網和外網,內網作為信息內部信息和公文傳輸平臺,開通政府系統(tǒng)的一些日常業(yè)務,外網通過路由匯聚加防火墻過濾接入主要向公眾發(fā)布一些公共服務信息和政府互動平臺。雙網實現(xiàn)了物理隔離,建網初期往往只看重網絡帶來的便利與高效,但是并沒有同步充分考慮安全問題,也沒有對互聯(lián)網平臺的潛在安全威脅進行過全面綜合的風險評估,網絡安全建設嚴重滯后。網絡安全方面的問題主要涉及到以下幾個方面:
(1)來自內部的惡意攻擊這種攻擊往往帶有惡作劇的形式,雖然不會給信息安全帶來什么大的危害,但對本單位正常的數據業(yè)務和敏感數據還是會帶來一定的威脅。
(2)移動存儲介質的交叉使用,對于電子內網PC來講,把上互聯(lián)網的PC上使用過的u盤,移動硬盤都不能在政務內網上使用。U盤病毒和“擺渡”間諜特馬會把內網中的保密信息和敏感數據帶到互聯(lián)網上,回傳給木馬的制作者。并且,這種病毒還會在內網上傳播,消耗系統(tǒng)資源,降低平臺的新能,影響政務內網各種業(yè)務的正常流轉。
(3)內網的身份認證和權限管理問題。防止內網一般用戶越權管理數據庫,服務器,和高權限的數據平臺。
(4)內網中使用的帶存儲芯片的打印復印設備離開現(xiàn)場返公司維修問題。
(5)政務內網中使用的各種損壞移動存儲介質的管理銷毀問題。
以上各個網絡環(huán)節(jié)管理不好都會給信息安全帶來潛在的隱患,會造成國家重要機密的泄密。
2.2信息安全管理方面的問題
有些政府單位存在只重技術,不重管理的現(xiàn)象,沒有認識到人是信息安全的關鍵,管理正是把人和技術結合起來,充分發(fā)揮安全技術保障能力的紐帶。總體上說,我國網絡安全管理與保衛(wèi)工作是滯后的。許多部門內部沒有從管理制度、人員和技術上建立相應的安全防范機制,缺乏行之有效的安全檢查保護措施。內部人員擁有系統(tǒng)的一定的訪問權限,可以輕易地繞過許多訪問控制機制不少網絡維護使用人員缺乏必要的網絡安全意識和知識,有的不遵守安全保密規(guī)定,將內網直接或間接地與因特網連接,有的安全設施設備的配置不合理,訪問控制不夠嚴格,這些問題的存在直接帶來了安全隱患。
3.電子政務系統(tǒng)中的信息安全技術的應用掇討
通常情況下,政務網建設將市、區(qū)縣政務網連接在一起。為政府的內部辦公和對外服務提供了極大的便利。本節(jié)針對以上提到的各種安全問題,探討安全技術在政務系統(tǒng)中的具體應用。
3.1安全區(qū)域的有效劃分
根據安全策略需要,安全域可以包括多級子域,相互關聯(lián)的安全域也可以組成邏輯域。
電子政務網絡域:網絡基礎設施層及其上層的安全保護功能的實現(xiàn)應由接入政務專網的用戶系統(tǒng)負責實現(xiàn)。
電子政務業(yè)務處理域:電子政務業(yè)務處理域(簡稱“業(yè)務處理域”)包括那些在政務部門管理控制之下,用來承載電子政務業(yè)務系統(tǒng)的本地計算環(huán)境及其邊界,以及電子政務信息系統(tǒng)的內部用戶。業(yè)務處理域內主要包含相應政務部門的政務內網域、政務外網域和公眾服務域,有些政務部門還有內部自成體系的獨立業(yè)務域。每個子域都對應的本地計算環(huán)境和邊界。政務內網域與政務外網域物理隔離,政務外網域與公眾服務域邏輯隔離。
電子政務基礎服務域:電子政務基礎服務域主要包括為電子政務系統(tǒng)提供服務的信息安全基礎設施信息安全基礎設旌有:電子政務數字證書中心、信息安全測評中心、信息安全應急響應中心以及遠程災備中心等。
3.2重要信息的有效控制
電子政務系統(tǒng)的數據控制主要目的是阻止攻擊者利用政務系統(tǒng)的管理主機作為跳板去攻擊別的機器,但是只是盡量的減少,而不是杜絕這種行為。當然,針對政務內部網絡任何的掃描、探測和連接管理主機是允許的,但是對從主機出去的掃描、探測、連接,網絡安全系統(tǒng)卻必須有條件的放行,如果發(fā)現(xiàn)出去的數據包有異常,那系統(tǒng)管理員必須加以制止。
防火墻為了防止政務系統(tǒng)的管理主機被作為跳板攻擊其它正常系統(tǒng)。我們必須對管理主機的外連接數進行控制,如只允許在一定的時一間內發(fā)送一定數量的數據包。防火墻的主要功能是:設定單向地址攔截或雙向地址攔截,在單向地址攔截時,一方到另一方的資料訪問被禁止,但反向的數據訪問依然能正常進行,不會受到影響;采用先進的狀態(tài)監(jiān)測數據包過濾技術,不僅僅是依靠單個的IP包來過濾,而是對每一個對話和連接進行分析和監(jiān)控,在系統(tǒng)中自動維護其當前狀態(tài),根據連接的狀態(tài)來對IP包進行高效快速安全過濾;對管理主機的外出連接進行控制。當外出連接達到一定數量時,阻斷以后的連接,防止管理主機被攻擊者攻破后用來作為發(fā)起攻擊的“跳板對所有出入系統(tǒng)的連接進行日志記錄。
3.3系統(tǒng)VPN的合理設計
使用VPN,可以在電子政務系統(tǒng)所連接不同的政府部門之間建虛擬隧道,使得兩個政務網之間的相互訪問就像在一個專用網絡中一樣。使用lrPN,可以使政務網用戶在外網就象在內網一樣的訪問政務專用網的資源。使用VPN,也可以實現(xiàn)政務網內特殊管理的需要。VPN的建立有三種方式:一種是Internet服務商(ISP)建設,對企業(yè)透明;第二種是政府部門自身建設,對ISP透明;第三種是ISP和政府部門共同建設。
在政務網的基礎上建立VPN,第二種方案比較合適,即政府部門自身建設,對ISP透明。因為政務網是地理范圍在政務網內的計算機網絡,它有運行于Internet的公網IP地址,有自己的路由設備,有自己的網絡管理和維護機構,對政務網絡有很強的自主管理權和技術支持。所以,在政務網基礎上建立VPN,完全可以不依賴于ISP,政府部門自身進行建設。這樣可以有更大的自主性,也可以節(jié)省經費。
3.4其他信息安全技術的使用
此外,電子政務系統(tǒng)的安全性可以采用如下的措施加以保證:控制對網絡設備的SNEP和telnet,在所有的骨干路由器上建立accesslist只對網管中心的地址段做permit,即通過網管中心的主機才能遠程維護各骨干路由設備路由協(xié)議在不安全的端口上進行Passive防止不必要的路由泄露;將所有重要事件進行紀錄通過日志輸出:采用防火墻設備對政務局域網進行保護。
結語
總之,本文對基于互聯(lián)網的電子政務系統(tǒng)存在的安全問題進行了深入的分析,在綜合考慮成本和安全保障水平的基礎上,運用信息安全技術,構建了一體化分防護安全保障體系。
京公網安備 11010502049343號