摘要
安全是电子政务的首要问题.那么安全政务从何做起?采用自主核心技术的操作系统作为电子政务的信息平台,不仅是中国政府也是大多数国家的主导策略。但这又会出现另一个疑问,国产的Linux操作系统能否胜任电子政务的严格需求,解决安全性和易用性之间的矛盾?中科红旗在北京市某区政府组织部的局域网服务器项目中,通过对操作系统核心结构的改进,以支持多样化的安全策略,并取得了良好的效果。
安全是电子政务的首要问题。试想如果某个政府部门的文件服务器被“尼姆达”、“冰河”之类的病毒、木马入侵,Email服务器变成了病毒传播中心,绝密文件“满天飞”,景象确实不堪设想。那么安全政务从何做起?采用“拿来主义”购买国外操作系统,不但要承担信息泄密的风险,而且不能获得源代码,没有开发自主权,自然会成为电子政务技术开发的软肋。因此采用自主核心技术的操作系统作为电子政务的信息平台,不仅是中国政府也是大多数国家的主导策略。但这又会出现另一个疑问,国产的Linux操作系统能否胜任电子政务的严格需求,解决安全性和易用性之间的矛盾?中科红旗在北京市某区政府组织部的局域网服务器项目中,通过对操作系统核心结构的改进,以支持多样化的安全策略,并取得了良好的效果。
安全等级制
北京市某区政府组织部的网络情况属于客户端/服务器结构,包括一台文件服务器和一台webmail服务器。网络应用以内部为主,进行日常的办公文件流转,以及数据信息和人事档案的集中管理,对外的沟通则是不同部门之间的往来文件。因此对计算机系统信息安全等级的要求是严格的,对内部办公文件、不同政府部门之间的往来文件,特别是机要文件要进行不同保密等级的划分以及及访问控制。而且不同的办公部门、不同职务的工作人员都应具有不同的安全保密级别和相应的访问权限。因此对于计算机服务器及网络系统来讲,必须以完善、灵活的安全等级策略和监控防范体系来确保网络信息的整体安全性。
我们根据区政府组织部的局域网信息资源的安全等级将它们划分为三类:
l 共享信息:普通级别的授权访问控制
l 内部政府办公信息:需要身份验证以及根据不同身份的授权访问控制
l 绝密信息:需要验证身份和传输加密
通过上面的信息级别分类我们可以看出,要想实现对信息资源的保护(包括存取和传输)就必须从操作系统的网络配置以及安全设置上做起。也许很多人都还记得“尼姆达”给windows2000带来的尴尬,尽管后来的补丁程序使系统漏洞问题有所缓解,但给用户造成的损失是无法弥补的。与windows操作系统不同,Linux对用户的管理就更为严格,系统的稳定性和安全性也更高。另外中科红旗公司还特别针对网络中的各种潜在威胁,在系统核心结构方面做了一些改进,增强了对用户的身份识别以及访问权限的控制能力。
解决方案及部署实施
中科红旗的解决方案是以红旗安全操作系统为核心的,从根本上改善服务器的安全问题。红旗安全操作系统是吸取了国际安全操作系统三十余年研究经验而设计开发的,并且完全遵循信息安全评价最新国际标准以及中国信息安全国家标准的要求。它针对网络互联复杂环境中潜在的各种安全威胁,从操作系统核心结构的层次上,为上层软件系统提供强大的安全基础支持。红旗安全操作系统的特点就是支持安全政策的多样性,满足用户对安全策略的灵活需求。它的主要功能是:
Ø 增强的身份标识与鉴别
Ø 细化的自主访问控制
Ø 根据职责划分特权用户
Ø 保密性强制访问控制
Ø 完整性强制访问控制
Ø 独立的系统审计及跟踪管理
Ø 安全域隔离
在此解决方案中,中科红旗的安全策略是以红旗安全操作系统平台为基础,配置文件/打印服务器和WebMail服务器。根据机关内部办公人员的部门组织结构和行政级别,为用户分配不同的安全访问控制级别和权限,按部门划分系统用户组,使每个部门、每个用户都拥有正确的安全级别和权限。对属于不同部门、不同人员和不同内容、不同保密级别的文件及数据信息进行目录归档,并设置相应安全性和保密性等级,与其所属部门的安全级别相匹配。
红旗安全操作系统在系统特权管理上实行三权分立原则,即系统管理员、安全管理员、审计管理员共同承担操作系统的最高权限,避免个人对整个系统的控制,降低由于超级用户密码泄漏对系统安全的危害。该系统的安全机制还可与软件防火墙进行紧密配合,以便有效防范计算机病毒和黑客的攻击破坏。对系统的重要操作和安全事件采取审核策略,审计管理员不仅可以灵活配置系统审计的内容和范围,还能够根据审计记录来掌握系统访问状况。
效果评价
目前这套由红旗安全操作系统产品构建的网络文件服务器平台运行状况良好,用户利用中科红旗提供的安全策略配置工具,实现了对人员和数据的按部门和等级的划分和保护,既保证了系统的安全性又使数据得以高效率应用,充分满足用户需求。
