【摘要】 随着计算机信息技术的飞速发展,电子政务在政府部门监督管理工作中发挥着越来越重要的作用。Internet 是一个开放的系统,政府部门往往由于网络结构安全和网络信息安全规划设计得不完备,致使电子政务系统屡遭攻击和破坏。网络信息安全问题、保密问题和病毒传播问题,已成为电子政务建设中需要重点解决的问题。通过分析江苏省建设行业电子政务信息安全的现状和存在的问题,提出了信息安全策略和技术保障措施。 碧森尤信 0 前言
伴随着 Internet 的广泛应用,其中电子政务信息安全保密问题显得尤为突出。分析建设行业电子政务系统面临的威胁,制定切实可行的安全防御策略确保信息网络安全,已成为建设行业电子政务建设中迫切需要研究解决的问题。政务内网、政务外网、公共服务网的网络环境,都是采用 TCP/IP 协议而建立的,该协议以开放和自由为基础,从协议规划、服务模式、网络管理等方面均缺乏周密的安全性设计,所以电子政务信息系统本身就存在着先天的安全隐患[1]。对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员使用盗版光盘,看电影,听音乐,玩游戏等违法违规操作等,这些问题都会引起网络拥堵,计算机工作站无法使用、网络交换机不工作、与互联网相连的路由器阻塞、网络系统瘫痪、信息产品失控等严重后果。
数据作为系统最终的元素是信息安全保障的根本,对电子政务而言更为重要,它涉及国家机密、部门工作秘密、内部敏感信息和开放服务信息。其主要安全隐患是窃取、篡改、假冒、抵赖、销毁。政务公开与网络安全本身就是一对矛盾,“政务公开”要求通畅信息网络交流,而“网络安全”则要求严格控制信息访问权限,这是由于各种信息交流可能直接引起网络的连通,连通则会引起信息安全问题。同时,电子政务系统一般都是涉密系统,黑客很可能因为某种目的渗透到政府部门,很容易通过网络安全防护不严密的环节直接攻击系统漏洞,利用漏洞窃取涉密信息,或篡改、假冒用户身份,阻塞正常的网络信息服务等。
此外,操作系统也存在来自 Internet 的黑客攻击;内部工作人员不分网络性质,随意利用办公网络终端与 Internet 联接,加上恶意病毒无规律性的连续侵袭等,这些都形成了目前电子政务安全的主要隐患。
1 建设行业电子政务信息安全问题现状分析
建设事业主要包括城市建设、村镇建设和工程建设三大领域;建筑业、房地产业、市政公用事业和勘察设计咨询业四大行业。各级建设行政主管部门大力推进信息技术为核心的科技兴省工作要求,按照建设部提出的《建设事业“十五”发展规划》和《建设事业信息化“十五”计划》,坚持“统筹规划,资源共享,应用主导,面向市场,安全可靠,务求实效”的建设行业信息化发展方针,积极组建局域网络,基本实现了与 Internet 的连接,如江苏省建设行政主管部门 1996 年就完成了百兆局域网络、10 兆带宽信息交换到桌面的建设任务。先后构建了“苏建设信息网”、“苏工程建设网”、“苏建筑业网”等电子政务信息平台,开发完成了“苏省建筑企业资质网上申报系统”、“苏省建设工程监理企业资质管理系统”和 “苏省建设工程承发包管理信息系统”等。同时,根据网络信息安全保密的要求,制定了计算机信息安全和保密规定,并将网络区分为内外两个独立的体系,即内网和外网,其中,内网运行的是机关内部办公自动化(OA)系统和视频点播系统。机要部门的涉密信息与省委、省政府政务内网相连,并严格实施内、外网物理隔离,以确保涉密信息安全可靠地进行交换。
通过上述分析可以看出,目前建设行业网络信息安全的防护能力仍处于初级阶段,许多应用系统处于低级别的设防状态。仅网站和邮件系统就曾多次遭到黑客的攻击或侵入、或被篡改页面、或数据库数据被破坏、或遭受尼姆达(Nimda)等一波接一波的病毒攻击,这些都造成了大量重要数据资料的损坏,部分业务系统的瘫痪。网络中心有时只得被迫关闭服务器进行系统恢复、杀毒和治理,导致网站系统服务中断,给用户造成了很大不便和不良影响。当前建设行业的信息网络安全工作研究,还处在忙于封堵现有信息系统的安全漏洞阶段。要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全策略的制定和技术保障体系的建设。目前,迫切需要从建设行业信息安全体系整体规划着手,在建立全方位的防护体系的同时,建立一整套完善的网络信息安全管理制度,只有这样,才能保证建设行业电子政务健康发展,确保涉密信息的安全存储和交换。建设行业网络信息安全主要存在 4 个方面的隐患:
(1)数据库服务器和 Web 服务器在同一台服务器上,网站一旦遭受黑客攻击,作为电子政务的核心-数据库将遭受灭顶之灾。
(2)整个局域网都在一个子网内,没有实现网段划分,局域网内部任何一台电脑感染了采用黑客攻击方式发出的病毒,就会威胁到所有局域网内部的所有的工作站。
(3)尽管网络中心通过防火墙实现了内部局域网与 internet 连接安全区分隔,但由于局域网 internet访问与外部连接共享同一网络通道,一旦防火墙被攻破,缺乏有效网络安全手段的内部局域网及重要资源将暴露在黑客面前,后果不堪设想。
(4)局域网内互联网与局域网之间没有装备网络入侵侦测系统。对于网络内部和外部用户的误操作,资源滥用和恶意行为都不能有效阻止和报警,即使装有防火墙和杀毒软件,也不能解决根本问题。只有安装网络入侵侦测系统和防火墙,才能对信息网络破坏行为进行阻止和报警。
因此,各级建设行政部门要建立高效的电子政务系统,首先需要确保信息网络的安全,没有安全的网络做保障,要建立一个能为社会公众提供“高效、便捷、优质”服务的电子政务信息平台就无从谈起。
2 建设行业电子政务建设中的信息安全策略
根据国家信息化领导小组提出的“坚持积极防御、综合防范”的方针,借鉴浙江等兄弟省市的网络信息安全管理经验,提出建设行业电子政务网络信息安全工作应当遵循“管理为上、策略联动、层层设防、立体防护”的原则。
(1)管理为上原则。“三分技术,七分管理”,在电子政务的安全建设中管理的作用至关重要。网络提供多种便捷的应用,帮助人们提高工作的效率,而同时因为许多管理上的原因,使信息网络不安全、不稳定。特别是在电子政务建设过程中网络的安全问题,由于政府工作人员对信息网络安全方面警惕性
不高,这样就导致了运行效率的低下,浪费了投资,严重时会引起泄密事件。
(2)策略联动原则。管理及技术解决方案的策略联动是一个最好的途径。首先,要在一个总体安全及管理的方针下对各部门的安全管理策略进行协调,使这个系统在保证其安全性的时候,又能够最大限度的保证其运行效率。其次,在产品和技术的层面上又能够使一种技术与另一种技术相互联系,取长补短,达到真正的有机结合,实现全面防护和管理。
(3)层层设防原则。在安全管理时要考虑到多层次的问题,包括管理层面和技术层面。管理层面涉及到管理策略和管理方法 2 个方面,一是要制定出一个符合实际需要的策略,并用高效、经济的方法来实现。二是在黑客破坏或入侵某个系统时采取多种方法,包括搭线窃听、IP 伪装、利用网络协议和应用漏洞等。这些地方都需要得到良好地保护,而一个安全方法和安全技术是无法实现全部防护的,所以,需要全面规划,层层设防。
(4)立体防护原则。在策划和实施一个网络安全及管理系统的时候,需要站在全局和长远的角度去设计。要使这个网络安全及管理系统跟随目前安全与管理发展的潮流,解决目前和将来可能会出现的安全与管理问题,这样就需要在网络安全及管理系统设计之初就使这个系统是多维的、可扩展的系统,以适应目前的需求和将来的发展。其次,还要对系统进行分割,决定哪些是迫切需要的,需马上实施;哪些是长远考虑的,需有步骤有计划地实施。
3 建设行业电子政务信息安全技术保障体系
电子政务的安全目标是:保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使电子政务的信息基础设施、信息应用服务和信息内容为抵御上述威胁而具有保密性、完整性、真实性、可用性和可控性的能力[3]。鉴于电子政务的信息安全面临的是一场高技术的对抗,涉及法律、规章、标准、技术、产品服务和基础设施等诸多领域[4]。结合目前建设行业电子政务网络建设结构特点,提出以下电子政务网络安全技术保障体系。
3.1 物理层安全解决方案
从物理环境角度讲,地震、水灾、火灾、雷击等环境事故,电源故障,人为操作失误或错误,电磁干扰,线路截获等,都对信息系统的安全构成威胁,保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理层的安全设计应从环境安全、设备安全、线路安全 3 个方面考虑。采取的措施包括:机房屏蔽、电源接地、布线隐蔽、数据传输加密和数据安全存储等。另外,根据中央保密委有关文件规定,凡是计算机同时具有内网和外网的应用需求,必须采取网络安全隔离技术,在计算机终端安装隔离卡,使内网与外网之间从根本上实现物理隔离,防止涉密信息通过外网泄漏。
3.2 数据链路层安全解决方案
利用 VLAN 技术将内部网络分成若干个安全级别不同的子网,从而实现内部一个网段与另一个网段的隔离。有效防止某一网段的安全问题在整个网络传播。因此,对于一个网络,若某个网段比另一个网段更受信任,或某个网段的敏感度更高,将可信网段与不可信网段划分在不同的 VLAN 中,即可限制局部网络安全问题对全网造成影响。
3.3 网络层安全解决方案
(1)防火墙技术。是实现网络信息安全的最基本设施,采用包过滤或代理技术使数据有选择的通过,有效监控内部网和外部网之间的任何活动,防止恶意或非法访问,保证内部网络的安全。对整个省级区域来说,电子政务是一个由省、市、县政务信息网络组成的三级网络体系构架,从网络安全角度上讲,它们属于不同的网络安全域,因此在各中心的网络边界,以及政务网和 Internet 边界都应安装防火墙,并实施相应的安全策略控制[5]。另外,根据对外提供信息查询等服务的要求,为了控制对关键服务器的授权的访问,应把对外公开服务器集合起来划分为一个专门的服务器子网,设置防火墙策略来保护对它们的访问。
(2)入侵检测技术(IDS)。是近年出现的新型网络安全技术,通过从计算机网络系统中若干关键节点收集信息并加以分析,监控网络中是否有违反安全策略的行为或者是否存在入侵行为,它能提供安全审计、监视、攻击识别和反攻击等多项功能,并采取相应的行动如断开网络连接、记录攻击过程、跟踪攻击源、紧急告警等,它是安全防御体系的一个重要组成部分,并能与防火墙联动,增强网络防御能力。
(3)数据传输安全应用。为保证数据传输的机密性和完整性,同时对拨号用户的接入采用强制身份认证,建议在电子政务专用网络中采用安全 VPN 系统。系统部署如下:在省网络中心、市和县统一安装VPN 设备,对于移动用户安装 VPN 客户端软件。
3.4 应用层安全解决方案
根据电子政务专用网络的业务和服务内容,采用身份认证技术、防病毒技术以及对各种应用的安全性增强配置服务来保障网络系统在应用层的安全。
(1)身份认证技术。公共密钥基础设施(简称 PKI)是由硬件、软件、各种产品、过程、标准和人构成的一体化的结构,正是由于它的存在,才能在电子政务处理中建立信任和信心。PKI 可以做到确认发送方的身份,保证发送方所发信息的机密性,保证发送方所发信息不被篡改,发送方无法否认已发该信息的事实等。PKI 是一种遵循标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI 必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建 PKI 也将围绕着这 5 个系统来构建。
(2)防病毒技术。病毒是系统最常见、威胁最大的安全隐患,建立一个全方位的病毒防范系统是电子政务安全体系建设的重要任务。防病毒客户端安装在系统的关键主机中,如关键服务器、工作站和网管终端。在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀,设定病毒防范策略。能够从多层次进行病毒防范,第一层工作站、第二层服务器、第三层网关都能有相应的防病毒软件提供完整的、全面的防病毒保护。目前人们对网络防病毒已比较重视,对邮件系统防病毒还没有引起足够警惕,据统计,流行病毒有 90%以上把邮件作为主要传播方式,所以,应把邮件防病毒问题列入重要日程。
3.5 系统层安全解决方案:
系统层安全主要包括 2 个部分:操作系统安全以及数据库安全。对于关键的服务器和工作站(如数据库服务器、Web 服务器、代理服务器、Email 服务器、防病毒服务器、主域和备份域控制服务器、网管工作站等)应该采用服务器版本的操作系统。典型的有:Windows2003 Server,Unix 等。网管和办公终端可以采用图形窗口操作系统,如 Windows 2000、Windows XP 等。
数据库管理系统应具有如下能力:一是自主访问控制(DAC),用来决定用户是否有权访问数据库对象。二是验证,保证只有授权的合法用户才能注册和访问。三是授权,对不同的用户访问数据库授予不同的权限。四是审计,监视各用户对数据库施加的动作。五是数据库管理系统应能够提供与安全相关事件的审计能力。
4 结束语
建设行业电子政务信息安全保密工作是一个不断建设、循序渐进的过程,也是随着各级政府对电子政务系统建设重要性认识水平的不断提高、政务系统功能不断完善而逐渐提升信息安全监控水平的过程。在电子政务信息安全项目实施过程中,由于投资较大,必须根据实际测算好合理的预算,并加强成本控制,所采用的安全保密技术和规范应当遵循国家标准,从应用需求和实际经济承受能力出发,规划、建设、管理和应用好建设行业电子政务系统。
参考文献:
[1] 孙正兴,戚 鲁. 电子政务原理与技术[M]. 北京:人民邮电出版社 2003-03.
[2] 郑海勇. 浅谈电子政务建设中的信息安全新策略[N]. 中国计算机报,2003-11.
[3] 曲成义. 基于互联网的电子政务安全保障[N]. 中国计算机报,2002-12.
[4] 周晓斌. 电子政务安全亟待解决[N]. 中国计算机报,2004-02.
[5] 朱永春. 电子政务网络安全解决方案设计原则[N]. 中国计算机报,2002-12. 本站搜索: 建设行业 电子政务 计算机网络 网络结构安全 网络信息安全 技术保障
[在Google上搜索相关文章] [在百度上搜索相关文章]
【郑重声明】 本站所有文章除注有来源网址外均为互联网首发,按照 创造共用方式授权,允许相关网站转载,但必须标明作者名称并在明显位置作好原文网址链接(复制以上链接),且不能运用于任何商业目的。 —— 建筑知识引擎小组 
| 