《论电子政务系统中的信息安全技术的应用研究(doc 5页)》由会员分享,可在线阅读,更多相关《论电子政务系统中的信息安全技术的应用研究(doc 5页)(5页珍藏版)》请在金锄头文库上搜索。
1、1引言电子政务是提升一个国家或地区特别是城市综合竞争力的重要因素之一,电子政务系统中有众多的政府公文在流转,其中不乏重要情报,有的甚至涉及国家安全,这些信息通过网络传送时不能被窃听、泄密、篡改和伪造。如果电子政务网络安全得不到保障,电子政务的便利与效率便无从保证,对国家利益将带来严重威胁。因此,研究信息安全技术及其在电子政务系统中的应用具有重要的现实意义。2电子政务系统信息安全存在的问题剖析21网络安全方面的问题电子政务网在建网初期都是按照双网模式来进行规划与建设,即电子政务内网和外网,内网作为信息内部信息和公文传输平台,开通政府系统的一些日常业务,外网通过路由汇聚加防火墙过滤接入主要向公众发
2、布一些公共服务信息和政府互动平台。双网实现了物理隔离,建网初期往往只看重网络带来的便利与高效,但是并没有同步充分考虑安全问题,也没有对互联网平台的潜在安全威胁进行过全面综合的风险评估,网络安全建设严重滞后。网络安全方面的问题主要涉及到以下几个方面:(1)来自内部的恶意攻击这种攻击往往带有恶作剧的形式,虽然不会给信息安全带来什么大的危害,但对本单位正常的数据业务和敏感数据还是会带来一定的威胁。(2)移动存储介质的交叉使用,对于电子内网PC来讲,把上互联网的PC上使用过的u盘,移动硬盘都不能在政务内网上使用。U盘病毒和“摆渡”间谍特马会把内网中的保密信息和敏感数据带到互联网上,回传给木马的制作者。
3、并且,这种病毒还会在内网上传播,消耗系统资源,降低平台的新能,影响政务内网各种业务的正常流转。(3)内网的身份认证和权限管理问题。防止内网一般用户越权管理数据库,服务器,和高权限的数据平台。(4)内网中使用的带存储芯片的打印复印设备离开现场返公司维修问题。(5)政务内网中使用的各种损坏移动存储介质的管理销毁问题。以上各个网络环节管理不好都会给信息安全带来潜在的隐患,会造成国家重要机密的泄密。22信息安全管理方面的问题有些政府单位存在只重技术,不重管理的现象,没有认识到人是信息安全的关键,管理正是把人和技术结合起来,充分发挥安全技术保障能力的纽带。总体上说,我国网络安全管理与保卫工作是滞后的。许
4、多部门内部没有从管理制度、人员和技术上建立相应的安全防范机制,缺乏行之有效的安全检查保护措施。内部人员拥有系统的一定的访问权限,可以轻易地绕过许多访问控制机制不少网络维护使用人员缺乏必要的网络安全意识和知识,有的不遵守安全保密规定,将内网直接或间接地与因特网连接,有的安全设施设备的配置不合理,访问控制不够严格,这些问题的存在直接带来了安全隐患。3电子政务系统中的信息安全技术的应用掇讨通常情况下,政务网建设将市、区县政务网连接在一起。为政府的内部办公和对外服务提供了极大的便利。本节针对以上提到的各种安全问题,探讨安全技术在政务系统中的具体应用。3.1安全区域的有效划分根据安全策略需要,安全域可以
5、包括多级子域,相互关联的安全域也可以组成逻辑域。电子政务网络域:网络基础设施层及其上层的安全保护功能的实现应由接入政务专网的用户系统负责实现。电子政务业务处理域:电子政务业务处理域(简称“业务处理域”)包括那些在政务部门管理控制之下,用来承载电子政务业务系统的本地计算环境及其边界,以及电子政务信息系统的内部用户。业务处理域内主要包含相应政务部门的政务内网域、政务外网域和公众服务域,有些政务部门还有内部自成体系的独立业务域。每个子域都对应的本地计算环境和边界。政务内网域与政务外网域物理隔离,政务外网域与公众服务域逻辑隔离。电子政务基础服务域:电子政务基础服务域主要包括为电子政务系统提供服务的信息
6、安全基础设施信息安全基础设旌有:电子政务数字证书中心、信息安全测评中心、信息安全应急响应中心以及远程灾备中心等。32重要信息的有效控制电子政务系统的数据控制主要目的是阻止攻击者利用政务系统的管理主机作为跳板去攻击别的机器,但是只是尽量的减少,而不是杜绝这种行为。当然,针对政务内部网络任何的扫描、探测和连接管理主机是允许的,但是对从主机出去的扫描、探测、连接,网络安全系统却必须有条件的放行,如果发现出去的数据包有异常,那系统管理员必须加以制止。数据控制示意图如图31所示:本文研究的政务系统的数据控制使用两层来进行数据控制:防火墙和信息检测系统(IDS)。防火墙为了防止政务系统的管理主机被作为跳板
7、攻击其它正常系统。我们必须对管理主机的外连接数进行控制,如只允许在一定的时一间内发送一定数量的数据包。防火墙的主要功能是:设定单向地址拦截或双向地址拦截,在单向地址拦截时,方到另一方的资料访问被禁止,但反向的数据访问依然能正常进行,不会受到影响;采用先进的状态监测数据包过滤技术,不仅仅是依靠单个的IP包来过滤,而是对每一个对话和连接进行分析和监控,在系统中自动维护其当前状态,根据连接的状态来对IP包进行高效快速安全过滤;对管理主机的外出连接进行控制。当外出连接达到一定数量时,阻断以后的连接,防止管理主机被攻击者攻破后用来作为发起攻击的“跳板对所有出入系统的连接进行日志记录。33系统VPN的合理
8、设计使用VPN,可以在电子政务系统所连接不同的政府部门之间建虚拟隧道,使得两个政务网之间的相互访问就像在一个专用网络中一样。使用lrPN,可以使政务网用户在外网就象在内网一样的访问政务专用网的资源。使用VPN,也可以实现政务网内特殊管理的需要。VPN的建立有三种方式:一种是Internet服务商(ISP)建设,对企业透明;第二种是政府部门自身建设,对ISP透明;第三种是ISP和政府部门共同建设。在政务网的基础上建立VPN,第二种方案比较合适,即政府部门自身建设,对ISP透明。因为政务网是地理范围在政务网内的计算机网络,它有运行于Internet的公网IP地址,有自己的路由设备,有自己的网络管理
9、和维护机构,对政务网络有很强的自主管理权和技术支持。所以,在政务网基础上建立VPN,完全可以不依赖于ISP,政府部门自身进行建设。这样可以有更大的自主性,也可以节省经费。34其他信息安全技术的使用此外,电子政务系统的安全性可以采用如下的措施加以保证:控制对网络设备的SNEP和telnet,在所有的骨干路由器上建立accesslist只对网管中心的地址段做permit,即通过网管中心的主机才能远程维护各骨干路由设备路由协议在不安全的端口上进行Passive防止不必要的路由泄露;将所有重要事件进行纪录通过日志输出:采用防火墙设备对政务局域网进行保护。结语总之,本文对基于互联网的电子政务系统存在的安全问题进行了深入的分析,在综合考虑成本和安全保障水平的基础上,运用信息安全技术,构建了一体化分防护安全保障体系。
