系统网络安全建议及措施
电子政务安全保障体系
随着信息技术的飞速发展,电子政务在政府实际工作中发挥了越来越重要的作用。如果因为安全问题导致电子政务系统无法正常运行,大量的政府部门将完全无法进行正常工作,因此,对电子政务安全问题进行研讨是十分及时和必要的。
1.网络安全域的划分和控制
很显然,安全与开放是矛盾的,这个在电子政务的应用中也同样存在且显得尤为重要。电子政务中的信息涉及到国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向,一是要为社会提供行政监管的渠道,二是要为社会提供公共服务,如社保医保、大量的公众咨询、投诉等等,它同时又需要一定程度的开放。因此如何合理地划分安全域,通俗地讲,能让老百姓看什么,不能让老百姓看什么,在这两者之间寻求一个平衡点就显得非常重要。如采用VPN的形式进行某些业务操作,但是操作中的部分数据又想通过WEB方式给公众浏览,这时就存在在网络拓扑中WEB应该摆在什么位置、业务数据中心库应该摆在什么位置、如何利用防火墙等网络安全设备合理划分这些域等等问题。
2.内部监控、审核问题
电子政务与电子商务的不同点在很大程度上是体现在对公网的利用率上。抛开公网的庞大黑客群体不谈,内部人员是否对网络进行恶意的操作和是否具有一定程度的网络安全意识,在很大程度上决定该单位网络本身的安全等级系数和防护能力。目前绝大部分单位都没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录,更不用谈对一些非法操作进行屏蔽和阻断了。
3.电子政务的信任体系问题
电子政务要做到比较完善的安全保障体系,第三方认证是必不可少的。只有通过一定级别的第三方认证,才能说建立了一套完善的信任体系。
目前使用比较广泛的就是PKI信任体系。它包括了密码算法的选择、CPS的制定、捆绑的安全强度等等,但是不能忽视的一点是,这些都是基于电子商务的基础之上建立起来的。电子商务与电子政务毕竟是有很大的不同,如果我们只是简单地把PKI的电子商务应用模式应用到电子政务中来的话,虽然不能说是一团糟,但是它肯定会“水土不服”,出现问题将在所难免。
4.数字签名(签发)问题
在电子政务中,要真正实行无纸化办公,很重要的一点是实现电子公文的流转,而在这之中,数字签名(签发)问题又是重中之重。原因在于这是使公文有效的必要条件。一旦在这个环节上出了问题,可能就会出现很多假文件、错文件,严重的将直接影响政府部门的正常运作。但是,从目前的情况看,数字签名系统不但在实际操作中存在能不能接受的问题,而且系统本身也都不是很完善。
5.电子政务的灾难响应和应急处理问题
很多单位在进行网络规划的时候,根本就没有考虑到作为系统核心部分——数据库本身的安全问题,完全依赖于整个网络的防护能力,一旦网络的安全体系被穿破或者直接由内部人员利用内网用户的优势进行破坏,“数据”可以说无任何招架之力。
6、对策与建议
在现在这个开放的时代,问题的出现本身就带有多样性的特点,有效解决电子政务的安全问题刻不容缓,但也绝不可能一蹴而就。因此,我们首先应该建立一整套行之有效的措施并落实各项安全保障制度,如所有信息的定密制度(为信息的公开提供可行性依据)、网络区域的有限划分制度(划分不同的网络区域,针对不同的安全级别制定不同的安全策略,采用不同的网络安全设备)、完善的内部监控与审核制度、公钥(私钥)的管理体系、灾难响应及应急处理制度等等。
电子政务的安全管理
电子政务中的安全管理,应该分为两个层次:一个层次是从国家强制角度的安全管理,这就是立法和制定相关的技术标准,由执法机关来监督实施;另一个层次是应用系统使用单位自身的管理。
从整体上看,应该在以下的几个方面考虑电子政务的安全管理:一是电子政务体系中各层面上的安全管理;二是电子政务系统中维护的安全管理;三是证书中心的安全管理;四是安全技术与产品的安全管理。
电子政务网络安全解决方法
网络安全建设是一个系统工程,电子政务专用网络系统安全体系建设应按照“统筹规划、统一标准、互联互通、资源共享”的基本原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。
在进行网络系统安全方案设计、规划时,应遵循以下原则:需求、风险、代价平衡的原则,综合性、整体性原则、一致性原则,易操作性原则,适应性、灵活性原则,多重保护
原则,可评价性原则。
1、物理层安全解决方案
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:环境安全、设备安全、线路安全。
为了将不同密级的网络隔离开,我们还要采用隔离技术将核心密和普密两个网络在物理上隔离,同时保证在逻辑上两个网络能够连通。
2、网络层安全解决方案
入侵检测安全技术:入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如发现违规访问、阻断网络连接、内部越权访问等,发现更为隐蔽的攻击。目前网络入侵安全问题主要采用网络入侵监测系统等成熟产品和技术来解决。
数据传输安全:为保证数据传输的机密性和完整性,同时对拨号用户接入采用强身份认证,建议在电子政务专用网络中采用安全VPN系统。
3、系统层安全解决方案
系统层安全主要包括两个部分:操作系统安全技术以及数据库安全技术。对于关键的服务器和工作站应该采用服务器版本的操作系统。
4、应用层安全技术方案
根据电子政务专用网络的业务和服务,采用身份认证技术、防病毒技术、以及对各种应用服务的安全性增强配置服务来保障网络系统在应用层的安全。
5、安全管理方案建议
1)安全体系建设规范
电子政务网络系统建设需要一套统一的安全体系建设规范,此规范应结合电子政务专用网络的实际情况制定,然后在全网统一实施。
2)安全管理制度建设
面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。
3)安全管理手段
安全技术管理体系是实施安全管理制度的技术手段,是安全管理智能化、程序化、自
动化的技术保障。安全技术管理对OSI的各层进行综合技术管理。
当前计算机病毒防治策略
目前的病毒疫情呈现出两种趋势,一是国外流行的网络化病毒大肆侵袭我国的计算机网络,另一种是出现大量本土病毒,并且传播能力和破坏性越来越强。根据这些病毒的特点和病毒未来的发展趋势,须重点制定了近期病毒防治策略。
1、落实病毒防治的规章制度
我国在2000年由公安部颁布实施了《计算机病毒防治管理办法》,应继续贯彻,结合各自单位的情况建立病毒防治制度和相应组织,将病毒防治工作落到实处。
2、建立快速、有效的病毒应急体系
在网络病毒不断发展的今天,病毒疫情更加呈现出突发性强、涉及范围广和破坏力高的特点。为了有效降低病毒的危害性,提高我们对病毒的防治能力,每一个计算机用户都应积极参与到病毒防治工作上来。各单位应建立病毒应急体系,并与公安机关建立的应急机构和国家的计算机病毒应急体系建立信息交流机制,发现病毒疫情及时上报。同时,注意国家计算机病毒应急处理中心发布的病毒疫情,以便在爆发病毒疫情时,及时做好预防工作,减少病毒造成的危害。
3、进一步加强计算机安全培训
建立一套安全培训课程,采用分级培训的方式,可分为初级、中级和高级课程。初级课程面向普通计算机用户,通过安全培训一方面提高安全防范意识,另一方面掌握基本的病毒防治技术。中级课程面向中小企业网络管理人员,通过培训掌握对中小型网络系统的病毒防治技术。高级课程适用于大型网络的高级网络管理人员,通过培训全面了解掌握针对大型网络的病毒防治技术和管理方法。
4、建立动态的系统风险评估措施
对使用的系统和业务需求特点,进行计算机病毒风险评估。通过评估了解自身系统主要面临的病毒威胁有哪些,有哪些风险必须防范,有哪些风险可以承受。确定所能承受的最大风险,以便制定相应的病毒防治策略和技术防范措施,并制定灾难恢复计划。同时,根据病毒出现的新变化,适时地对系统进行动态安全评估,了解当前面临的主要风险,评估病毒防护策略的有效性,及时发现问题,调整病毒防治的各项策略。
5、建立病毒事故分析制度
对发生的病毒事故,要认真分析原因,找到病毒突破防护系统的原因,及时修改病毒防治策略,并对调整后的病毒防治策略进行重新评估。
6、确保恢复,减少损失
一旦发生了病毒侵害事故,启动灾难恢复计划,尽量将病毒造成的损失减少到最低,并尽快恢复系统正常工作。
7、加强技术防范措施
(1)经常从软件供应商中下载、安装安全补丁程序和升级杀毒软件。随着计算机病毒编制技术和黑客技术的逐步融合,下载、安装补丁程序和杀毒软件升级并举将成为防治病毒的有效手段。
(2)新购置的计算机和新安装的系统,一定要进行系统升级,保证修补所有已知的安全漏洞。
(3)使用高强度的口令。尽量选择难于猜测的口令,对不同的账号选用不同的口令。
(4)经常备份重要数据。要做到每天坚持备份。较大的单位要做到每周作完全备份,每天进行增量备份,并且每个月要对备份进行校验。
(5)选择、安装经过公安部认证的防病毒软件,定期对整个硬盘进行病毒检测、清除工作。
(6)可以在你的计算机和互联网之间安装使用防火墙,提高系统的安全性。
(7)当计算机不使用时,不要接入互联网,一定要断掉连接。
(8)重要的计算机系统和网络一定要严格与互联网物理隔离。这种隔离包括离线隔离,即在互联网中使用过的系统不能再用于内网。
(9)不要打开陌生人发来的电子邮件,无论它们有多么诱人的标题或者附件。同时也要小心处理来自于熟人的邮件附件。
(10)正确配置、使用病毒防治产品。一定要了解所选用产品的技术特点。正确配置使用,才能发挥产品的特点,保护自身系统的安全。
(11)正确配置系统,减少病毒侵害事件。充分利用系统提供的安全机制,提高系统防范病毒的能力。
(12)定期检查敏感文件。对系统的一些敏感文件定期进行检查,保证及时发现已感染的病毒和黑客程序。