浅析政府信息网络安全保障措施
作者:何海波
来源:《沿海企业与科技》2007年第01期
[摘要]我国政府信息网络通过近几年的信息化建设,已经基本形成了一整套包括业务、应用等的基础网络构架平台,随着应用数据的增加、网络的庞大,其安全问题越来越凸显出来。文章从保障政府信息网络安全的角度出发,探讨相应的安全问题,并提出相应保障措施。 [关键词]政府信息网;信息系统;系统安全;网络安全
[作者简介]何海波,广西壮族自治区人民检察院检察技术处信息中心计算机管理科副科长,助理工程师,研究方向:计算机工程,广西南宁,530028
[中图分类号] DN915.08[文献标识码] A[文章编号] 1007-7723(2007)01-0035-0002
一、政府信息网络面临的问题
在政府信息网络业务系统中,经过多年建设,安全防护已经初具规模。但是,随着网络病毒和黑客的不断升级,现今的行业安全体系已经不能满足以下的安全需求:
(一)网络行为和内容的安全
网络行为与内容的监管主要对行为的可信性、有效性、完整性、连续性、保密性以及内容的可信性、保密性和完整性进行基础性监管以及对风险实行分类监管,并实现网络业务数据流量、流向监管。
(二)业务运营信息化安全
对于各政府单位,主要涉及国家保密信息的各个应用系统(如财政的国库支付系统、公安的户籍管理系统、检察院的审查办公系统等) 。对于这些业务信息系统,以前并没有对其应用范围内的重要信息数据(比如,技术文档、源程序、运行数据、电子邮件、管理文档、国家秘密文档) 的安全保护框架,以及承载这些数据的系统的安全保护框架进行全面的设计、评估。
(三)政府网络系统安全
当前各级政府网络系统安全问题最重要表现在今后数据大集中后的安全。其特点是数据服务大集中,中间件业务通信强大和众多本地与远端终端的核心构建体系结构。其方便之处在于今后的管理以及避免今后的建设重复性。但突出的问题是当前的防火墙系统侧重在对通讯的源、目的地址和端口进行限制,鉴于当前IT 系统安全性的严重状况,黑客还是可以从许多地
方访问关键服务器,数据包中很可能包含入侵攻击代码,并没有形成一套完整的防护体系。特别是各级政府单位的公共的共享平台安全与连接问题,是政府信息化安全建设、风险监管建设的重要内容。
显而易见,如果上述的安全需求得不到满足,那么,由于信息安全问题造成网络阻塞、应用中断(包括自助系统在内的关键应用)、数据失窃都会对国家政府带来严重的经济和形象上的损失。
二、政府信息网络安全保障措施
针对特殊信息安全当前的形势,政府部门应从主动防护与被动监控、全面防护与重点防护相结合的角度出发,搭建具有主动防御能力的深层防御安全体系。以下将针对政府行业面临的安全问题进行安全保障措施。
(一)发散性的技术方案设计思路
在采用信息系统安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
(二)网络层安全解决方案
网络层安全主要是基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。通过防火墙将按照资源安全级别划分的区域分为多个不同的安全区域,在关键服务数据区域内部也同样需要按照安全级别的不同进行安全隔离。与此同时,还需要结合各个区域的网络系统的安全防护与监控需要与实际应用环境、工作业务流程以及机构组织形式与机构进行密切结合,从而在系统中建立一个完善的安全体系。
(三)网络层方案配置
在政府信息网络系统各个安全区域网段应该利用专用的安全入侵检测(如网络NGIDS 入侵检测系统、专业的Sniffer 工具等) 产品,将直接连接到主干交换机的监控端口,用以监控各个区域网段间的数据包,并可在关键网段内配置含多个接口分别连接到多个子网区域的入侵检测系统进行相应的监测,并和防火墙进行联动,从而动态地阻断网络攻击。
(四)系统、网络、应用审计配置
由于网络中设备、主机数量众多,因此使用审计系统(如日志审计系统、网络安全审计取证系统)收集全网中的安全设备、服务器的日志,进行归档、分析,及时发现系统中发生的安
浅析政府信息网络安全保障措施
作者:何海波
来源:《沿海企业与科技》2007年第01期
[摘要]我国政府信息网络通过近几年的信息化建设,已经基本形成了一整套包括业务、应用等的基础网络构架平台,随着应用数据的增加、网络的庞大,其安全问题越来越凸显出来。文章从保障政府信息网络安全的角度出发,探讨相应的安全问题,并提出相应保障措施。 [关键词]政府信息网;信息系统;系统安全;网络安全
[作者简介]何海波,广西壮族自治区人民检察院检察技术处信息中心计算机管理科副科长,助理工程师,研究方向:计算机工程,广西南宁,530028
[中图分类号] DN915.08[文献标识码] A[文章编号] 1007-7723(2007)01-0035-0002
一、政府信息网络面临的问题
在政府信息网络业务系统中,经过多年建设,安全防护已经初具规模。但是,随着网络病毒和黑客的不断升级,现今的行业安全体系已经不能满足以下的安全需求:
(一)网络行为和内容的安全
网络行为与内容的监管主要对行为的可信性、有效性、完整性、连续性、保密性以及内容的可信性、保密性和完整性进行基础性监管以及对风险实行分类监管,并实现网络业务数据流量、流向监管。
(二)业务运营信息化安全
对于各政府单位,主要涉及国家保密信息的各个应用系统(如财政的国库支付系统、公安的户籍管理系统、检察院的审查办公系统等) 。对于这些业务信息系统,以前并没有对其应用范围内的重要信息数据(比如,技术文档、源程序、运行数据、电子邮件、管理文档、国家秘密文档) 的安全保护框架,以及承载这些数据的系统的安全保护框架进行全面的设计、评估。
(三)政府网络系统安全
当前各级政府网络系统安全问题最重要表现在今后数据大集中后的安全。其特点是数据服务大集中,中间件业务通信强大和众多本地与远端终端的核心构建体系结构。其方便之处在于今后的管理以及避免今后的建设重复性。但突出的问题是当前的防火墙系统侧重在对通讯的源、目的地址和端口进行限制,鉴于当前IT 系统安全性的严重状况,黑客还是可以从许多地
方访问关键服务器,数据包中很可能包含入侵攻击代码,并没有形成一套完整的防护体系。特别是各级政府单位的公共的共享平台安全与连接问题,是政府信息化安全建设、风险监管建设的重要内容。
显而易见,如果上述的安全需求得不到满足,那么,由于信息安全问题造成网络阻塞、应用中断(包括自助系统在内的关键应用)、数据失窃都会对国家政府带来严重的经济和形象上的损失。
二、政府信息网络安全保障措施
针对特殊信息安全当前的形势,政府部门应从主动防护与被动监控、全面防护与重点防护相结合的角度出发,搭建具有主动防御能力的深层防御安全体系。以下将针对政府行业面临的安全问题进行安全保障措施。
(一)发散性的技术方案设计思路
在采用信息系统安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
(二)网络层安全解决方案
网络层安全主要是基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。通过防火墙将按照资源安全级别划分的区域分为多个不同的安全区域,在关键服务数据区域内部也同样需要按照安全级别的不同进行安全隔离。与此同时,还需要结合各个区域的网络系统的安全防护与监控需要与实际应用环境、工作业务流程以及机构组织形式与机构进行密切结合,从而在系统中建立一个完善的安全体系。
(三)网络层方案配置
在政府信息网络系统各个安全区域网段应该利用专用的安全入侵检测(如网络NGIDS 入侵检测系统、专业的Sniffer 工具等) 产品,将直接连接到主干交换机的监控端口,用以监控各个区域网段间的数据包,并可在关键网段内配置含多个接口分别连接到多个子网区域的入侵检测系统进行相应的监测,并和防火墙进行联动,从而动态地阻断网络攻击。
(四)系统、网络、应用审计配置
由于网络中设备、主机数量众多,因此使用审计系统(如日志审计系统、网络安全审计取证系统)收集全网中的安全设备、服务器的日志,进行归档、分析,及时发现系统中发生的安