电子政务系统是国家行政机关进行日常事务处理的信息体系,作为政府机构的主要业务系统,该系统中的信息较为敏感,需要很高的保密性,所以构建一个安全的网络环境是电子政务系统正常运转的先决条件。目前要构建安全的网络环境主要依靠部署网络安全设备,其中防火墙、入侵检测系统是最为常用的设备,但是它们同样存在着种种局限性和脆弱性。防火墙的局限性主要表现为:不能解决来自内部网络的攻击;不能防止系统策略配置不当或错误的系统配置引起的安全威胁;不能防止利用标准网络协议中的缺陷进行的攻击;不能防止利用服务器系统漏洞所进行的攻击;不能防止防火墙本身的安全漏洞的威胁等。而被誉为防火墙之后第二道安全屏障的入侵检测系统同样也存在诸多问题:检测速度不适应网络通信的要求;现有IDS设备防御手段存在漏洞;漏报率和误报率居高不下等。
电子政务系统安全体系构建中只部署防火墙和入侵检测系统显然不足以保证系统的信息安全,应把注意力更多地集中在发现网络中存在的安全隐患方面,避免给攻击者留下可趁之机。目前更多的电子政务安全系统中已经开始关注网络漏洞扫描产品,由于电子政务系统的独特性,其选择意向基本确定为为国内安全厂商研发的产品。
榕基网安作为一家专注于漏洞扫描系统开发的厂商,其研发的RJ-iTop网络隐患扫描系统(以下简称RJ-iTop)是国家863计划的成果转化产品,在国内漏洞扫描产品中的市场份额高居榜首,是解决网络安全问题和构建网络安全防护体系的有力工具。RJ-iTop通过模拟黑客的进攻方法,对被检系统进行攻击性的安全漏洞和隐患扫描,并提交风险评估报告,提供相应的整改措施。先于黑客发现并弥补漏洞,防患于未然,这种预防性的安全检查最大限度地揭示了现存网络系统中存在的安全隐患,配合行之有效的漏洞修补措施,可以将网络系统的运行风险降至最低。
由于多数电子政务系统的系统平台都采用IBM的Lotus Domino,RJ-iTop对于该平台所存在的漏洞有多项检测脚本,如对Lotus Domino认证绕过漏洞的检测,对Lotus Domino SMTP 溢出漏洞的检测,对Domino 目录遍历漏洞的检测,Domino HTTP长CGI文件名导致缓冲区溢出的检测。通过运行上述测试,基本可以探知存在的隐患,从而进一步加固系统。如果用户部署的电子政务系统不采用lotus数据库,RJ-iTop也可以扫描多种主流的数据库,如Oracle、MS SQL Server,Sybase,MySQL等,并有专门的数据库测试类别,方便进行针对性较强的数据库安全检测。
目前投入使用的电子政务系统大都是基于B/S 模式搭建,用户直接通过浏览器使用系统,同时也方便了各个分支机构的用户和出差的用户通过连入Internet实现远程办公。RJ-iTop提供了CGI攻击测试、WEB服务器测试等专门针对B/S系统的测试类,内含数百条高效的测试脚本,只要选择相应的预定义策略就可以轻松检测。此外RJ-iTop还采用了多项业界领先的扫描技术,像“智能端口识别”技术能够检测出不是运行在默认的端口的服务,若把电子政务系统的web服务端口设在88端口,RJ-iTop一样可以识别出来;“多重服务检测”技术能够检测出同时运行的两个ftp服务;“脚本依赖检测”技术使各扫描模块自动根据其逻辑依赖关系执行,从而提高了扫描效率和准确性。
刚刚升级的RJ-iTop 还有多项最新的技术确保扫描工作的准确性和效率。“系统优化扫描”技术使各个扫描模块会根据前面扫描到的端口进行判断是否进行相应的扫描;“系统安全扫描”技术可以使电子政务系统不至于在检测脚本的扫描下崩溃,影响正常使用;而“系统渗透扫描”技术能根据管理员提供的用户名和密码对系统进行深入的检测,发现系统内部存在的安全隐患。
使用RJ-iTop进行扫描检测能减少电子政务系统中不可预见的风险,最大限度地暴露网络中存在的安全隐患,RJ-iTop完善的风险评估报告能够帮助管理员制订出科学的整改措施,使得电子政务系统能更安全的运转。
目前,榕基RJ-iTop已经在军队、政府、电信、银行、教育、电力等行业逐步获得了广泛的应用,随着产品应用的深化,榕基正在根据用户的需求不断改进相关技术,力图使网络隐患得以更快速、更全面的清查,并根据不同行业的特定需求定制出一系列专门的解决方案,在榕基每年举办的技术研讨会上,用户们将有机会了解这些方案的精髓,相信在榕基研发部门的努力下,来自政府、军队等领域的更多用户网络将得到更为可靠的安全保障。