相关热词搜索:
电子政务网络边界安全设计与实现
电子政务网络边界安全设计与实现 摘要:现阶段,电子政务网络正在不断发展中,随之而来的是其边界安全问题 愈发凸显。该文着重介绍当前电子政务网络存在的边界安全问题,在此基础上分 析并提出具体的防护技术和应对措施。关键词:电子政务;
边界安全;
安全体系 随着我省电子政务网络的快速发展,各级政府部门的工作逐步走向信息化 和网络化,为了满足人民群众的办事需求,电子政务网络的建设和发展逐步深入, 承载的业务系统也越来越多,网络安全问题日益突出。各级政府网站和业务系统 网页被恶意篡改、SQL数据库被注入、DDOS攻击等安全事件频发,网络安全受 到了极大的挑战。面对黑客的猖狂攻击,防护网络边界安全刻不容缓。
1电子政务网络现状及边界安全需求分析 目前多数政府部门未建立起统一且具有指导性的安全策略,没有站在全局 高度提供信息安全工作的方针或指导意见,安全管理未引起足够重视,前景堪忧。
大部分政府部门没有明确网络安全责任部门,制度建设不完善,人员的安全意识 薄弱,运维人员往往身兼管理和审计职责,安全管理责任边界不清晰。尽管现有 的电子政务网络中通常都按照要求部署了一定的网络边界安全防护系统和设备, 如防火墙、漏洞扫描、入侵检测、防毒墙等,但是这些设备往往都没有配置切实 有效的安全防护策略,导致其形同虚设;
而且在日常运维中缺少流量分析和总结, 无法做到安全预警和态势感知,不能形成协同防护的合力。
2电子政务网络边界安全防护体系 通过分析以上电子政务网络的安全策略、安全管理、安全技术、日常运维 等四个方面的现状,以及存在的电子政务网络边界安全问题,根据国家的电子政 务网络安全建设总体要求,在实践中可以通过统一的安全策略,从管理、技术和 运维等多个维度进行全流程的防护,构建全面、立体、多维的网络边界安全防护 体系。网络安全策略通常是由网络管理人员在授权的基础之上,根据网络与信息 系统面临的风险及安全目标,基于身份、规则、角色等角度制定的安全防护策略。
在实施过程中,坚持最小权限原则、三权分立原则、多级防护原则等。电子政务 网络安全防范和保护的主要策略是访问控制策略,通过各种访问控制策略相互配 合,真正发挥协同保护作用,确保电子政务网络资源不被非授权访问和使用。网络安全管理体系要紧紧围绕电子政务网络的应用场景和业务特点,按照信息系统 生命周期理论,建立信息系统规划、开发、操作等各个阶段的制度、流程和规范。
安全技术体系是所有安全策略的技术措施综合。常用的安全技术包括身份认证、 VPN、防火墙、入侵检测、漏洞扫描、网闸、防毒墙等一系列防护技术。在执行 整体安全防护策略的同时,综合运用各类安全防护技术和工具,并利用其日志及 分析数据做系统加固,使系统整体处于低风险状态。安全运维体系是贯彻和落实 安全管理体系各项规章制度,将各项规章制度在执行层面体系化、规范化和流程 化;
主要包括信息安全事件监测和处理、安全设备管理和运维、安全工具的管理 和维护、网络安全培训和应急演练,信息系统的定级备案、风险评估、安全整改 等。
3电子政务网络边界安全实现方法 为保障电子政务网络边界安全,要严格按照国家对电子政务网络安全防护 的要求,根据电子政务网络传输的信息重要程度,分类分网进行数据通信,通过 网络的物理隔离或逻辑隔离,实现防止网络攻击以及信息泄露的目标;
并在此基 础上,针对性地采取以下安全防护技术和措施。3.1身份认证技术。在计算机网 络中,为了保证以数字身份进行操作的操作者的物理身份与数字身份相对应,而 产生的一种解决方法。作为防护网络安全的第一道关口,身份认证有着重要的作 用。身份认证系统通常由认证服务器、认证客户端和认证设备组成,主要通过单 向或双向两类认证协议和认证系统软硬件实现,此外,为了提高认证的可靠性, 通常采用双因子认证机制。身份认证技术往往涉及三个方面:认证、授权和审计;
用户在做任何动作之前必须要识别动作执行者的真实身份,防止攻击者假冒合法 用户来获取访问权限;
在确认用户的身份之后,授权该用户对权限范围内的文件 和数据进行操作;
并在完成操作后要留下记录,以便审计、核查。3.2VPN技术。
VPN技术,也即虚拟专用网技术,是指在公用网络上(通常是因特网)建立一个 临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN 技术为远程用户和网络提供低成本和安全连接的能力,通过对VPN服务器和客户 机之间的通讯数据进行加密,可以让外部人员安全地远程访问内部资源,在实际 应用中VPN技术发挥越来越重要的作用。在远程访问VPN中,通常采用两种基于 网络加密的协议类型。一种是IPsecVPN,用户通过VPN隧道进行身份验证并连 接到远程网络后,就可以限制访问;
IPsecVPN需要安装客户端软件;一种是 SSLVPN,通过采用SSL协议(一种基于WEB应用的安全协议)来实现远程接入;
SSLVPN技术可以免于安装客户端,具有部署简单、网络适应强、维护成本低等 特点。由于IPsecVPN只能基于IP级进行限制,访问控制粒度不够精细,许多安全运维部门已逐步迁移到SSLVPN,管理员可以将用户访问控制粒度限制在应用程 序级。3.3防火墙技术。防火墙技术需要利用访问控制策略,搭建网络通信监控 系统,对网络数据流进行监控及分析,从而实现对网络内部资源的保护。防火墙 技术通过拦截所需保护网络的向外传输信息来达到不被外部共计的目的。这需要 管理员在安全控制策略的基础上执行包过滤准则,并根据需要进行增加、修改及 删除。通过防火墙技术可以实现多种功能:阻止可能出现的非法操作,对服务器 进行全面监管;
通过MAC地址与IP进行绑定,在不影响访问网络的正常需要基 础上,将用户的访问权限控制在最低范围;
还可以通过防火墙收集到各类试探攻 击的日志和统计数据。3.4入侵检测技术。入侵检测技术是在各电子政务的网络 关键节点处监控并收集信息,分析其是否属于入侵行为以及是否违反了网络安全 策略。该技术最大的优势是能够在提供安全监测,攻击识别、反攻击的同时,不 影响网络的性能;
通过将攻击过程进行记录、断开网络连接、紧急告警、对攻击 源进行分析并追踪等措施实施有效地对系统进行保护。该系统通常被安装在数据 较敏感的网络边界上,当监控到数据流发生异常时,该系统可根据安全策略迅速 做出反应。3.5漏洞扫描技术。漏洞扫描技术基于漏洞数据库,通过对网络的扫 描进行安全脆弱性检测,它和防火墙、入侵检测系统相互配合,可以有效提高网 络的安全性。漏洞扫描技术可以帮助网络管理员及时了解网络的安全设置,发现 安全漏洞,以及客观地评估当前网络存在的风险。网络管理员能够根据扫描的结 果,及时修复安全漏洞和错误配置,防患于未然。相比较防火墙技术和入侵检测 技术,漏洞扫描是一种主动的网络安全防护技术,可以有效避免网络攻击行为。
3.6网闸技术。网闸技术在电子政务网络中,主要部署于电子政务外网和部委纵 向专网的连接边界,实现不同网络之间的业务流转。它的设计是基于“不同时连 接”,通过建立缓冲区使业务数据通过“摆渡”的方式实现交换,大大降低了跨网 入侵的可能性。网闸技术的应用使得其摆渡的数据清晰可见,可以及时发现病毒 与潜在的入侵,保障了网络边界的安全。但同时由于网闸为了支持复杂多样的业 务数据,通常要开放各种通信协议,因此会降低安全检查的效果和力度。3.7防 毒墙技术防毒墙技术针对HTTP、HTTPS、SMTP、POP3、FTP、IMAP等常见应 用协议的内容检查,实现病毒、木马、后门、蠕虫等恶意软件的扫描和双向实时 检测过滤。可对Web上网、邮件、网络游戏、网络炒股、FTP、P2P、即时通讯 等常见网络应用进行管控,配合细粒度的策略,实现电子政务网络业务安全保障。
4结论 随着电子政务网络业务不断深化和发展,电子政务网络边界安全所面临的 问题日趋严峻,在具体的设计和建设中,要短期目标和长期目标相结合,局部设计和全局规划相结合,尽量做到统一标准、统一规划、统筹安排,避免重复建设, 在服务于业务需求的同时,保证边界安全防护系统具有实用性、先进性、可靠性、 扩展性、易用性、规范性。同时,要用动态的、创新的、与时俱进的眼光来认识 网络安全,定期进行安全风险评估和整改,加强日常的安全学习和运维管理。
