政府电子政务网络安全体系构建与整体解决方案

摘　要：电子政务作为一个系统的工程，主要涉及到政务应用系统建设和使用，政务信息资源开发和利用，以及统一政务网络平台建设等三方面业务。同时由于政府工作的特殊性以及信息的敏感性和重要性，安全问题也变得更加突出、严重，本文根据某政府电子政务实施案例，从人、技术和操作三个主要核心因素入手，分析介绍了采用CA认证、数据备份、网闸等多种安全保障措施的安全防护体系。

关键词：电子政务；信息安全； OA ERP

1.背景
　　随着电子政府的飞速发展，在带来办公便利的同事，也使政务信息面临前所未有的网络信息安全的威胁。电子政务系统一旦发生信息被窃取，网络瘫痪，将瘫痪政府职能的履行，对政府职能部门以及社会公众产生严重的危害。
　　2.系统安全现状
　　根据省电子政务内外网的建设目标和建设原则，充分利用现有网络资源，充分整合市政府原有的办公资源网，公务外网， 将原办公系统整合到统一的办公业务资源平台上。将办公业务资源网与公务外网、互联网实施物理隔离，公务外网与国际互联网实施逻辑隔离。
　　电子政务的网络平台，承载多个业务单位系统数据传输，核心交换区应具有良好的安全可控性，实现各业务网络的安全控制。由于安全防护为整个网络提供NET、防火墙、VPN、IDS、上网行为管理、防病毒、防垃圾邮件等功能，因此，政府建立办公业务资源网的工程虽是非涉密网，但安全保密仍然是工程建设的重点内容。存在的问题如下图：
　　
　　图2.1
　　(1)缺乏统一的访问控制平台，各系统分别管理所属的系统资源，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障；
　　(2)缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为；
　　(3)缺乏统一的权限管理，各应用系统有一套独立的授权管理，随着用户数据量的增多，角色定义的日益复杂，用户授权的任务越来越重;
　　(4)缺乏统一内部安全规范。为了保证生产、办公系统的稳定运行，总部及各部门制定了大量的安全管理规定，这些管理规定的执行和落实与标准的制定初衷存在一定距离。
　　3.网络与信息安全平台设计方案
3.1设计思路
　　信息保障强调信息系统整个生命周期的防御和恢复，同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念，即信息保障的WPDRR模型。
3.2 安全体系设计方案
　　综合安全体系结构主要考虑安全对象和安全机制，安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等。目前，政府网络中心安全设计主要包括：信息安全基础设施和网络安全防护体系的建设。
3.3.1信息安全基础设施设计方案
　　信息安全基础设施总体设计方案架构如下图：
　　
　　图3.1 信息安全基础设施设计方案
　　基于PKI/PMI的信任体系和授权体系提供了基本PKI数字证书认证机制的试题身份鉴别服务，建立全系统范围一致的新人基准，为整个政府信息化提供支撑。
　　网络病毒防治服务体系采取单机防病毒和网络防病毒两类相结合的形式来实施。网络防病毒用来检测网络各节点病毒入侵情况，保护网络操作系统不受病毒破坏。作为网络防病毒的补充，在终端部署单机反病毒软件，实现动态防御与静态杀毒相结合，有效防止病毒入侵。
　　边界访问采取防火墙和网闸来实施。网闸可以切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。可以根据需求采取不同的方案。
3.3.2网络安全防护体系设计方案

图3.2 网络安全防护体系设计方案
　　由于网络是承载各种应用系统的载体，因而网络系统的安全是十分重要的，必须从访问控制、入侵检测、安全扫描、安全审计、VPN等方面来进行网络安全设计。
　　在应用层，根据网络的业务和服务，采用身份认证技术、防病毒技术、网站监控与恢复系统以及对各种应用服务的安全性增强配置服务来保障网络系统在应用层的安全。
　　在应用系统的开发过程中，要充分考虑到系统安全，采用先进的身份认证和加密技术，为整个系统提供一套完整的安全身份认证机制，以确保每个用户在合法的授权范围内对系统进行相应的操作。
3.3.3 灾难备份系统设计方案
　　灾难备份是为在生产中心现场整体发生瘫痪故障时，备份中心以适当方式接管工作，从而保证业务连续性的一种解决方案。
　　备份中心具备与主中心相似的网络环境，例如光纤，E3/T3，ATM，确保数据的实时备份；具备日常维护条件；与主中心相距足够安全的距离。
　　当灾难情况发生，可以立即在备份中心的备份服务器上重新启动主中心应用系统，依靠实时备份数据恢复主中心业务。
　　4.网络架构
　　针对办公业务资源网和公务外网既要相互隔离又有数据交互的特点，在两网之间部署网闸；为了分别保证两网的安全，在核心交换区分别进行防火墙的部署，在核心交换区和应用服务器区分别部署IDS；建立智能安全管理中心，在办公业务资源、公务外网部署流量检测系统，于公务外网设置流量清洗系统，抗DDOS攻击。在系统安全方面部署防病毒系统，另外公务外网部署了Web应用防火墙、网页防篡改系统。通过安全集成在办公业务资源、公务外网各部署一套网络管理平台系统和安全管理平台系统。为防止外来终端接入对内部网络安全的影响，将引入终端准入产品。
　　5.电子政务公务外网安全设计总结
　　综上所述，根据市政府网络中心功能需求，我们在网络中心建立入侵监测系统、防火墙系统、防病毒系统、内网管理系统。在通过一系列技术手段对电子政务网络防护的同事，加强了安全管理手段。实现技术和行政双重方式来维护整个系统的安全，在通过对网络使用人员、管理人员进行信息安全知识培训，有效的发挥了网络安全防护效果，达到了放牧目的。
　　参考文献：
　　[1]龚俭.计算机网络安全导论[M].东南大学出版社.      　
　　[2]闫宏生,等.计算机网络安全与防护[M].电子工业出版社.
　　[3]张公忠
现代网络技术教程[M]
北京: 电子工业出版社,2000
　　[4] 杨峥嵘:在网络安全中防火墙的应用[J].包钢科技,2007,(06)