地址：

您的當前位置：首頁 > 解決方案 > 網絡安全解決方案

電(diàn)子政務

一(yī)、前言

随着計算機技術、網絡技術、通信技術的快速發展，基于網絡的應用已無孔不入地滲透到了社會的每一(yī)個角落，信息網絡技術是一(yī)把雙刃劍，它在促進國民經濟建設、豐富人民物(wù)質文化生(shēng)活的同時，也對傳統的國家安全體(tǐ)系、政府安全體(tǐ)系、企業安全體(tǐ)系提出了嚴峻的挑戰，使得國家的機密、政府敏感信息、企業商(shāng)業機密、企業生(shēng)産運行等面臨巨大(dà)的安全威脅。

政府各部門信息化基礎設施相對完善，信息化建設總體(tǐ)上處于較高水平。由于政務網系統網絡安全性與穩定性的特殊要求，建立電(diàn)子政務網安全整體(tǐ)防護體(tǐ)系，制定恰當的安全策略，加強安全管理，提高電(diàn)子政務網的安全保障能力，是當前迫在眉睫的大(dà)事。

本文以一(yī)個廳局級單位的網絡爲例，分(fēn)析其面臨的威脅，指出了部署安全防護的總體(tǐ)策略，探讨了安全防護的技術措施。

 二、網絡安全威脅分(fēn)析

政府各部門的信息網絡一(yī)般分(fēn)爲：涉密網、非涉密内網、外(wài)網，按照國家保密局要求，涉密網與外(wài)網物(wù)理斷開(kāi)。大(dà)部分(fēn)單位建設有非涉密内網和外(wài)網。以某局級單位的内網爲例，分(fēn)析其潛在安全威脅如下(xià)：

局級政務網上與市政務網相聯，下(xià)與區屬局級單位相聯；在本局大(dà)樓内，聯接各處室、網絡中(zhōng)心、業務窗口、行政服務中(zhōng)心等部門；對外(wài)還直接或間接地聯到Internet。由于網絡結構比較複雜(zá)，連接的部門多，使用人員(yuán)多，并且存在各種異構設備、多種應用系統，因此政務網絡上存在的潛在安全威脅非常之大(dà)。

如果從威脅來源渠道的角度來看，有來自Internet的安全威脅、來自内部的安全威脅，有有意的人爲安全威脅、有無意的人爲安全威脅。

如果從安全威脅種類的角度來看，有黑客攻擊、病毒侵害、木馬、惡意代碼、拒絕服務、後門、信息外(wài)洩、信息丢失、信息篡改、資(zī)源占用等。

安全威脅種類示意圖如下(xià)：

如果依據網絡的理論模型進行分(fēn)析，有物(wù)理安全風險、鏈路傳輸安全風險、網絡互聯安全風險、系統安全風險、應用安全風險、以及管理安全風險。

如下(xià)圖所示：

三、總體(tǐ)策略

信息系統安全體(tǐ)系覆蓋通信平台、網絡平台、系統平台、應用平台，覆蓋網絡的各個層面，覆蓋各項安全功能，是一(yī)個多維度全方位的安全結構模型。安全體(tǐ)系的建立，應從設施、技術到管理整個經營運作體(tǐ)系進行通盤考慮，因此必須以系統工(gōng)程的方法進行設計。

從目前安全技術的總體(tǐ)發展水平與諸種因素情況來看，絕對安全是不可能的，需要在系統的可用性和性能、投資(zī)以及安全保障程度之間形成一(yī)定的平衡，通過相應安全措施的實施把風險降低到可接受的程度。      

廳局級單位的網絡安全體(tǐ)系設計本着：适度集中(zhōng)，分(fēn)散風險，突出重點，分(fēn)級保護的總體(tǐ)策略。

根據中(zhōng)辦發[2003]27号文件精神，政府部門安全防護的總體(tǐ)策略是：

1、實行信息安全等級保護：根據系統中(zhōng)業務的重要性進行分(fēn)區，所有系統都必須置于相應的安全區内；對重點區域進行重點防護；采用不同強度的安全隔離(lí)設備使各安全區中(zhōng)的業務系統得到有效保護，關鍵是将網絡中(zhōng)心與廣域網系統等實行有效安全隔離(lí)，隔離(lí)強度應接近或達到物(wù)理隔離(lí)；

2、建設和完善信息安全監控體(tǐ)系；

3、建立信息安全應急響應機制；

4、加快信息安全人才培養，增強公務人員(yuán)信息安全意識；

5、加強對信息安全保障工(gōng)作的領導，建立健全信息安全管理責任制。

四、主要技術措施

針對不同的安全風險種類，相應的技術措施如下(xià)表：

五、部署方案簡述

本方案針對局級政務内網和外(wài)網進行整體(tǐ)安全設計。政務外(wài)網主要提供對社會公衆的信息發布平台，可以通過邏輯隔離(lí)設備聯入互聯網，政務内網主要運行政務網内部公文等OA系統，縱向與上級單位和下(xià)級單位網絡相連，橫向通過物(wù)理隔離(lí)設備與政務外(wài)網相連。

在内部網絡中(zhōng)，大(dà)量的工(gōng)作站是病毒進行攻擊的主要目标之一(yī)。由于各工(gōng)作站在日常工(gōng)作中(zhōng)進行頻(pín)繁的郵件收發、數據傳輸拷貝、應用軟件執行等操作，再加之内部人員(yuán)上網浏覽、下(xià)載程序及利用軟盤、光盤進行文件複制等，使得病毒感染的可能性極大(dà)。當前的病毒傳染現狀是，一(yī)旦一(yī)台工(gōng)作站染毒，則會很快蔓延至整個網絡範圍，造成業務系統及辦公網絡的極大(dà)損害。因此，應在所有的工(gōng)作站上部署客戶端防病毒産品。該産品作爲網絡版的客戶端防毒系統，使管理者通過單點控制所有客戶機上的防毒模塊，并可以自動對所有客戶端的防毒模塊進行更新。其最大(dà)特點是擁有最靈活的産品集中(zhōng)部署方式，不受Windows域管理模式的約束，除支持SMS、登錄域腳本、共享安裝以外(wài)，還支持純Web的部署方式，可以在安裝時設定的防病毒策略下(xià)，自動地進行日常所有的防毒、殺毒、更新、升級工(gōng)作，極大(dà)地方便了管理員(yuán)的操作，并提供最爲及時有效的病毒防範機制。

桌面安全防護是近年來安全防護的又(yòu)一(yī)重點内容。桌面安全是在邊界安全（防火(huǒ)牆）基礎上發展起來的。它克服了邊界安全防護的固有的缺點：即隻防外(wài)不防内的缺點，能夠實現一(yī)種主機駐留的安全系統，實現對服務器、工(gōng)作站的全方位保護，杜絕了一(yī)個端點系統的入侵而導緻整個網絡蔓延的情況發生(shēng)。另外(wài)它也一(yī)定程度上緩解了網絡效率和安全性設定之間的矛盾，多個防火(huǒ)牆并行運行。從一(yī)定程度上緩解了網關防火(huǒ)牆的壓力，能夠充分(fēn)發揮局域網多個機器的團隊優勢。

桌面安全系統通常是内核模式應用，它位于操作系統OSI棧的底部，直接面對網卡，它們對所有的信息流進行過濾與限制，無論是來自Internet，還是來自内部網絡。

桌面安全防護對個人計算機進行保護的方式如同邊界防火(huǒ)牆對整個網絡進行保護一(yī)樣。對于Web服務器來說，桌面安全防護系統進行配置後能夠阻止一(yī)些非必要的協議，如HTTP 和 HTTPS之外(wài)的協議通過，從而阻止了非法入侵的發生(shēng)，同時還具有入侵檢測及防護功能。

桌面安全防護系統克服了操作系統所具有的已知(zhī)及未知(zhī)的安全漏洞，如DoS(拒絕服務)、應用及口令攻擊。從而使操作系統得到強化。桌面安全防護系統對每個服務器都能進行專門的保護。系統管理員(yuán)能夠将訪問權限隻賦予服務器上的應用所使用的必要的端口及協議。如HTTP, HTTPS, port 80, port 443等。

網絡入侵檢測系統部署在有敏感數據需要保護的網段上，通過實時偵聽(tīng)網絡數據流，尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規行爲和未授權的網絡訪問時，網絡監控系統能夠根據系統安全策略做出反應，包括實時報警、事件登錄，或執行用戶自定義的安全策略等。

此外(wài)網絡中(zhōng)心核心服務器區域的數據極其重要。由于人爲的操作錯誤、系統軟件或應用軟件的缺陷、硬件的損毀、電(diàn)腦病毒、黑客攻擊、自然災難等等諸多因素，都有可能造成數據的丢失，從而給用戶造成無可估量的損失。爲此建議部署數據備份系統對數據進行經常性的備份，一(yī)旦數據丢失，能夠快速恢複。

根據以上分(fēn)析，局級單位的電(diàn)子政務網絡典型的安全防護體(tǐ)系部署措施如下(xià)：

在外(wài)網與Internet邊界處部署百兆/千兆防火(huǒ)牆系統，同時考慮到出口處的重要性和關鍵位置設備的高可用性，建議部署兩台百兆/千兆防火(huǒ)牆構成雙機熱備系統，這樣可避免單點故障帶來的網絡癱瘓；

在外(wài)網與政務内網邊界處部署物(wù)理隔離(lí)網閘設備；

在内網全網桌面部署桌面安全管理系統；

在内網全網部署網絡防病毒系統；

在核心交換機上部署入侵檢測系統（IDS）；

針對内網關鍵數據庫服務器和應用服務器，應部署數據備份系統；

在内網與市級政務網相聯的邊界處，依據其接入的端口速率，部署千兆防火(huǒ)牆或百兆防火(huǒ)牆；

在每一(yī)個下(xià)局級單位的網絡邊界處，依據其接入的端口速率，部署百兆或千兆防火(huǒ)牆；

部署示意圖如下(xià)：

另外(wài)，安全解決方案或安全産品具有一(yī)定的靜态特性，而安全威脅是動态變化的。再安全的網絡設備離(lí)不開(kāi)人的管理，再好的安全策略最終要靠人來實現。隻有由專業人員(yuán)來提供的安全服務才能适應這種動态變化的特性。因此我(wǒ)們認爲，保障政務網絡安全運行的關鍵，主要起決于是否能夠提供優質的安全管理和安全服務。對此，政務網絡應選擇一(yī)支專業素質高、服務經驗豐富的技術隊伍來進行外(wài)包安全服務。