分享
 
 
 

[推荐]孙洪林:电子政务信息安全解决方案探讨

王朝电脑技术·作者佚名  2006-01-14
窄屏简体版  字體: |||超大  

[专家介绍]

孙洪林:IT168信息化专家委员会委员、水利部信息中心经理、水利部信息中心高级工程师,水利行业信息化专家。发表了《建设高效安全的电子政务系统》、《PowerBuilder 电视教程》、《办公自动化培训教程》、《高可靠性集群服务器方案》、《公文电子化推进办公效能管理》、《手机短信在电子政务系统及防汛工作中的应用》、《水利部网络安全整体解决方案》、《行业信息安全解决方案探讨》等三十篇论文和著作;参与编写《国家防汛抗旱指挥系统设计报告》、《水利部行政首脑机关办公决策服务系统建设总体规划》、《水利信息化规划》、《全国防汛调度系统(NFCDS-1)设计报告》等。

-------------------------------------------------------------------------------------------------

近几年来,国际互联网得到了广泛应用,像网上办公、网上审批、网上申报、网上银行、网上税务、电子商务等系统的应用,改变了传统的工作模式和流程,大大提高了工作效率;但在给我们带来极大便利的同时,也带来了严重的安全问题,尤其是病毒破坏、黑客入侵、重要信息泄漏等造成的危害越来越大。尽管我们可以使用防火墙、代理服务器、入侵检测等安全措施,但是这些技术筑建的逻辑隔离,很难阻止黑客和内部用户的入侵和破坏,也就无法满足政府、军队、金融、电信等部门的信息安全要求;另外我们无法保证目前使用进口的计算机核心软硬件没有后门和漏洞。因此国家保密局规定“涉及国家秘密的计算机信息系统,不得直接或间接与国际互联网或其它公共网络联接,必须实行物理隔离”,这就要求用户重要数据和互联网切断物理连接,让黑客无机可乘,但是这样又不便利用互联网上丰富的信息资源。要达到既能有效地隔离内外网,又能方便地使用内外网的资源,可通过使用终端隔离、信道隔离、网络/服务器隔离等多种技术来构建的内外网。这样的网络至少要满足以下三个特征:

1、阻断内外网的物理传导,确保不能通过网络连接从外网侵入内网,同时防止内网信息通过网络连接泄漏到外网。

2、隔离内外网的物理存储,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息窜到外网;对于断电后非遗失性部件,如磁带机、硬盘等存储设备,内外网的信息要分开存储;严格限制使用软盘、光盘等可移动介质。

3、隔断内外网的物理辐射,确保内网信息不会通过电磁辐射或耦合方式泄漏到外网。

随着政务公开和政府上网工程的开展,很多政府部门的对外业务服务必须通过互联网来完成,如申报数据的接收、建议或意见的采集、处理结果的反馈等,而数据的审核、处理则需要由内网的工作人员来完成。因此,内外网之间的信息安全交换成为各政府部门需要迫切解决的问题。下面以行业信息化建设为例,设计了一种信息安全解决方案,如下图所示:

第一层为政务内网,即政府部门内部的关键业务管理系统和核心数据应用系统,如公文系统、专项业务管理系统、面向管理层的统计分析系统、重大事件的决策分析处理系统、核心数据库系统等,需要采用包括身份鉴别、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠性等安全措施。通过物理隔离器与政务外网相联,在实现隔离网络间数据正常传输的同时,对传输的数据进行校验,过滤其中的黑客程序和病毒代码等破坏性信息,只允许与系统相关的数据进入内网;指定的数据和文档可以在内外网物理隔离的条件下单向或双向流转;保证内外网传输的信息是安全的、纯净的,对内部网络系统和数据不会造成影响和破坏。物理隔离器应具备以下功能和特性:

1、采用特殊协议方式,实现内外网安全隔离,关掉外网关TCP/IP协议,采用自行设计的专有协议,外网关只在数据链路层工作。

2、采用DSP开关通讯技术,在保证安全情况下实现数据交换。

3、访问登录设置功能,管理员登录后,开通用户账号和设置口令,设置不同级别的访问控制内容。

4、用户管理功能,增加和删除用户,以及查询、修改访问级别等功能。

5、控制访问内容,按照用户的访问级别,决定用户能否访问外网内容,记录用户的访问内容,超时未访问外网,自动断开连接。

6、记录用户访问日志功能。

7、设置全局访问控制规则。

8、用户访问历史记录维护管理功能。

10、控制用户下载文件和访问文件功能。

第二层为政务外网,即政府部门内部以及部门之间的各类非公开应用系统,所涉及的信息应在政务外网上传输,如从中央政府到地方各级政府间的公文信息的审核传递系统、多媒体数据实时调度与监控、同级政府部门之间的公文传递及信息交换等。必须应用CA认证、加密传输、防火墙技术、VPN、漏洞检测与在线黑客监测预警、实时审计、网络防病毒、自动备份恢复等安全技术。

信息安全系统以PKI技术为基础,围绕数字证书应用,为各种业务应用提供信息的真实性、完整性、机密性和不可否认性,并在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。信息安全基础设施为各种应用提供通用的安全服务,通过建立通用的安全接口来实现安全服务,主要包括PKI、PMI、密钥管理。

密钥管理基础设施(KMI)提供统一的密钥管理服务,包括密钥生成服务器、密钥数据库服务器和密钥服务管理器等组成部分。

授权管理基础设施(PMI)负责向应用系统提供与应用相关的授权服务管理,授权管理以资源为核心,对资源的访问控制权统一由资源的所有者进行访问控制。不同行业纵向业务系统中的授权管理体系和不同行政级别的横向行政管理系统中的授权管理体系并存,因而也存在一个信任链互连问题。通常,PMI与PKI结合,有效提高授权控制能力。管理性和技术性的安全措施是相辅相成的,在对技术性措施进行设计的同时,必须考虑安全管理措施。因为诸多的不安全因素恰恰反映在组织管理和人员使用方面,而这又是计算机网络安全所必须考虑的基本问题,所以应在整个安全体系设计时倍加重视。该类产品主要是帮助进行安全管理,如安全策略的制定、系统安全运行状况调查、安全事件的跟踪与处理、安全审计和证据采集、使用等。

第三层为外网,即与互联网相联的网络,面向社会提供的一般应用服务及信息发布,包括各类公开信息和非敏感的社会服务,如基于政府互联网网站的信息发布及查询、信访、建议、反馈及数据收集统计资料、各类项目计划的申报申请、相关文件和法规的发布及查询、各类公用服务性业务的信息发布和实施等。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有