電子政務(wù)系統(tǒng)安全整體解決方案設(shè)計(jì).doc

電子政務(wù)系統(tǒng)安全解決方案設(shè)計(jì)摘 要本文主要對(duì)電子政務(wù)信息安全問題進(jìn)行探討。首先闡述了電子政務(wù)的概念和涉及的安全問題。其次分析了有關(guān)電子政務(wù)的信息安全技術(shù)，如：防火墻、CA認(rèn)證等，最后通過信息安全技術(shù)的分析指出電子政務(wù)系統(tǒng)信息安全的解決方案。隨著信息化時(shí)代的到來，充分利用網(wǎng)絡(luò)使辦公自動(dòng)化、快速、高效，已經(jīng)得到越來越廣泛的使用。為了建設(shè)可行的、高效的電子政務(wù)系統(tǒng)，因此，我首先分析了電子政務(wù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提出了電子政務(wù)網(wǎng)絡(luò)系統(tǒng)可能會(huì)面臨的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和管理層等如此多的安全威脅，相應(yīng)的提出了網(wǎng)絡(luò)安全方案設(shè)計(jì)原則和電子政務(wù)網(wǎng)絡(luò)安全解決方案，并且也重點(diǎn)強(qiáng)調(diào)在做好技術(shù)上的保障之后，在日常的工作中，我們應(yīng)該更加關(guān)注人為的因素，建立起強(qiáng)烈的安全防范意識(shí)，培養(yǎng)良好的使用習(xí)慣。技術(shù)的保障和工作人員的重視兩方面的結(jié)合，才會(huì)構(gòu)建一個(gè)安全實(shí)用的電子政務(wù)系統(tǒng)，也一定會(huì)給民眾帶來巨大的幫助，受到大家的好評(píng)。關(guān)鍵詞：防火墻；CA認(rèn)證；信息安全；網(wǎng)絡(luò)化辦公；自動(dòng)化辦公；電子政務(wù)系統(tǒng)；網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；安全系統(tǒng)；解決方案；0目 錄1 前言21.1 背景知識(shí)21.2 我國(guó)電子政務(wù)的建設(shè)進(jìn)程21.3 當(dāng)前面臨的問題31.4 本課題的安全需求32 電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析42.1 物理層的安全風(fēng)險(xiǎn)分析42.2 網(wǎng)絡(luò)層的安全風(fēng)險(xiǎn)分析42.3 系統(tǒng)層的安全風(fēng)險(xiǎn)分析42.4 應(yīng)用層的安全風(fēng)險(xiǎn)分析52.4.1 身份認(rèn)證漏洞52.4.2 DNS服務(wù)威脅52.4.3 WWW服務(wù)漏洞62.4.4 電子郵件系統(tǒng)漏洞62.5 管理層的安全風(fēng)險(xiǎn)分析63 電子政務(wù)網(wǎng)絡(luò)安全方案設(shè)計(jì)73.1 網(wǎng)絡(luò)安全方案設(shè)計(jì)原則73.2網(wǎng)絡(luò)信息安全技術(shù)73.2.1防火墻技術(shù)83.2.3入侵檢測(cè)技術(shù)83.2.4 CA身份認(rèn)證及訪問管理93.3電子政務(wù)網(wǎng)絡(luò)安全解決方案103.3.1 物理層安全解決方案103.3.2 網(wǎng)絡(luò)層安全解決方案103.3.3 系統(tǒng)層安全解決方案113.3.4 應(yīng)用層安全解決方案113.4安全管理方案建議123.4.1 安全體系建設(shè)規(guī)范123.4.2 安全組織體系建設(shè)123.4.3 安全管理制度建設(shè)133.4.4 安全管理手段13結(jié) 論14參考文獻(xiàn)141 前言1.1 背景知識(shí)隨著網(wǎng)絡(luò)信息技術(shù)的迅速發(fā)展，特別是互聯(lián)網(wǎng)技術(shù)的普及與應(yīng)用，電子政務(wù)已成為了當(dāng)代政府部門信息化建設(shè)的重要領(lǐng)域之一。政府機(jī)構(gòu)各部門實(shí)現(xiàn)電子化、網(wǎng)絡(luò)化和信息化后，有利于政府提高行政管理效率和辦公效率，改善公共服務(wù)。然而,電子政務(wù)系統(tǒng)中的一部分信息涉及到國(guó)家安全和機(jī)密，在電子政務(wù)為政府工作帶來高效和便利同時(shí)，信息化系統(tǒng)中所潛在安全風(fēng)險(xiǎn)也越來越高。因此，網(wǎng)絡(luò)信息安全問題成為了電子政務(wù)建設(shè)中亟待解決的問題。 數(shù)據(jù)信息作為人類寶貴的財(cái)富，貫穿在當(dāng)今人類的一切活動(dòng)當(dāng)中。信息系統(tǒng)是信息獲取及處理的各種方法、過程、技術(shù)按一定的規(guī)則算法構(gòu)成的一個(gè)有機(jī)整體。隨著信息技術(shù)的不斷發(fā)展，大量的機(jī)密信息通過網(wǎng)絡(luò)進(jìn)行發(fā)送、傳遞，大量的商業(yè)活動(dòng)與大筆的資金通過網(wǎng)絡(luò)流通，許多重要的信息、資源關(guān)系重大，頗受許多黑客和網(wǎng)絡(luò)盜劫的喜愛，因此信息系統(tǒng)的安全總是面臨嚴(yán)重的威脅。 在當(dāng)今信息社會(huì)時(shí)代中，信息與信息系統(tǒng)的安全技術(shù)已成為減少經(jīng)濟(jì)損失、保障社會(huì)穩(wěn)定和國(guó)家安全的銳利武器，信息安全問題也已成為一個(gè)極具研究?jī)r(jià)值的課題。信息安全是一個(gè)與時(shí)俱進(jìn)的概念：信息安全逐漸從早期的通信保密發(fā)展到關(guān)注信息的保密、完整、可用、可控和不可否認(rèn)的信息安全。信息與信息系統(tǒng)安全并重，只有保證信息系統(tǒng)能夠安全、可靠、不間斷地運(yùn)行，才能確保社會(huì)的和諧、穩(wěn)定地發(fā)展。1.2 我國(guó)電子政務(wù)的建設(shè)進(jìn)程聯(lián)合國(guó)教科文組織在2000年對(duì)63個(gè)國(guó)家(其中39個(gè)發(fā)展中國(guó)家、23個(gè)發(fā)達(dá)國(guó)家)進(jìn)行了調(diào)查，89%的國(guó)家都在不同程度上著手推進(jìn)電子政務(wù)的發(fā)展，并將其列為國(guó)家的重要事項(xiàng)。根據(jù)我國(guó)“十五”期間的信息化規(guī)劃思路，要求把政黨機(jī)關(guān)信息化提高到一個(gè)新的水平，以適應(yīng)21世紀(jì)初國(guó)民經(jīng)濟(jì)宏觀調(diào)控和黨政機(jī)關(guān)管理的需要，滿足國(guó)際競(jìng)爭(zhēng)環(huán)境的要求，提高黨政機(jī)關(guān)工作效率和決策質(zhì)量，實(shí)現(xiàn)黨政機(jī)關(guān)部門間信息共享。我國(guó)的電子政務(wù)建設(shè)的主要任務(wù)：一是建立健全黨政機(jī)關(guān)信息管理體制；二是加快建設(shè)黨政機(jī)關(guān)專用信息網(wǎng)絡(luò)，支持黨政機(jī)關(guān)部門內(nèi)部信息共享，促進(jìn)黨政機(jī)關(guān)間的信息交換；三是加快黨政機(jī)關(guān)信息資源開發(fā)利用等。1.3 當(dāng)前面臨的問題目前我們面臨的主要問題包括：(1)管理者怎樣正確把握政務(wù)的發(fā)展規(guī)律；(2)網(wǎng)絡(luò)所面臨的完全問題；(3)工作人員是否具備現(xiàn)代化辦公素質(zhì)；(4)開發(fā)商能否對(duì)電子政務(wù)正確理解；(5)開發(fā)商有沒有集成復(fù)雜系統(tǒng)的能力；(6)系統(tǒng)能不能保證高度的安全可靠性；(7)服務(wù)對(duì)象能不能適應(yīng)新的政府辦公方式；(8)開發(fā)商設(shè)計(jì)的方案能否滿足不斷提升的政府辦公需要；(9)開發(fā)商開發(fā)的電子商務(wù)應(yīng)用系統(tǒng)是否具有較高的可用性與穩(wěn)定性，是否易于維護(hù)。1.4 本課題的安全需求電子政務(wù)系統(tǒng)已經(jīng)在各政府機(jī)關(guān)的日常辦公中得到越來越廣泛的應(yīng)用，依賴它建立的統(tǒng)一的計(jì)算機(jī)信息網(wǎng)絡(luò)，提供寬帶、高速、安全、便捷的多媒體交換平臺(tái)，包括視頻、語音、多媒體通信、視頻會(huì)議、數(shù)據(jù)共享、安全防護(hù)等功能， 滿足多媒體通信的要求和處理政府的日常事務(wù)。 為了實(shí)現(xiàn)這些功能，我們需要解決系統(tǒng)所面臨的各類安全問題。我們采取對(duì)網(wǎng)絡(luò)分層的方法，從系統(tǒng)和應(yīng)用出發(fā)，分析物理層會(huì)面臨的網(wǎng)絡(luò)周邊環(huán)境和、網(wǎng)絡(luò)設(shè)備和線路的安全威脅、網(wǎng)絡(luò)層面臨的數(shù)據(jù)傳輸安全威脅、系統(tǒng)自身的安全漏洞和會(huì)面臨的病毒威脅，以及對(duì)用戶的安全身份驗(yàn)證、用戶之間的信息傳遞等安全威脅。面對(duì)諸多的問題，我們需要詳細(xì)分析其出現(xiàn)可能造成的巨大風(fēng)險(xiǎn)，以及提出詳細(xì)的解決方案，建立一個(gè)安全、可靠的電子政務(wù)系統(tǒng)。2 電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析為了便于分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和設(shè)計(jì)網(wǎng)絡(luò)安全解決方案，我們采取對(duì)網(wǎng)絡(luò)分層的方法，并且在每個(gè)層面上進(jìn)行細(xì)致的分析，根據(jù)風(fēng)險(xiǎn)分析的結(jié)果設(shè)計(jì)出符合具體實(shí)際的、可行的網(wǎng)絡(luò)安全整體解決方案。從系統(tǒng)和應(yīng)用出發(fā)，網(wǎng)絡(luò)的安全因素可以劃分到如下的五個(gè)安全層中，即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和安全管理。2.1 物理層的安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用,而造成網(wǎng)絡(luò)系統(tǒng)的不可用。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提2.2 網(wǎng)絡(luò)層的安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)層的風(fēng)險(xiǎn)主要可分為以下幾類：數(shù)據(jù)傳輸風(fēng)險(xiǎn)、網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)、網(wǎng)絡(luò)設(shè)備安全風(fēng)險(xiǎn)。數(shù)據(jù)傳輸風(fēng)險(xiǎn)主要包括重要業(yè)務(wù)數(shù)據(jù)泄露、重要數(shù)據(jù)被破壞；網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)對(duì)電子政務(wù)網(wǎng)絡(luò)中任意節(jié)點(diǎn)來說，其它所有網(wǎng)絡(luò)節(jié)點(diǎn)都是不可信任域，都可能對(duì)該系統(tǒng)造成一定的安全威脅；網(wǎng)絡(luò)設(shè)備安全風(fēng)險(xiǎn)是由于電子政務(wù)專用網(wǎng)絡(luò)系統(tǒng)中大量的使用了網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器等，使得這些設(shè)備的自身安全性也會(huì)直接關(guān)系的電子政務(wù)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。2.3 系統(tǒng)層的安全風(fēng)險(xiǎn)分析系統(tǒng)級(jí)的安全風(fēng)險(xiǎn)分析主要針對(duì)電子政務(wù)專用網(wǎng)絡(luò)采用的操作系統(tǒng)、數(shù)據(jù)庫(kù)、及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進(jìn)行分析。電子政務(wù)專用網(wǎng)絡(luò)通常采用的操作系統(tǒng)(主要為Windows 2000server/professional，Windows NT/Workstation，Windows ME，Windows 95/98、UNIX)本身在安全方面考慮較少，服務(wù)器、數(shù)據(jù)庫(kù)的安全級(jí)別較低，存在一些安全隱患。同時(shí)病毒也是系統(tǒng)安全的主要威脅，所有這些都造成了系統(tǒng)安全的脆弱性。2.4 應(yīng)用層的安全風(fēng)險(xiǎn)分析電子政務(wù)專用網(wǎng)絡(luò)應(yīng)用系統(tǒng)中主要存在以下安全風(fēng)險(xiǎn)：對(duì)政務(wù)系統(tǒng)的非法訪問；用戶提交的業(yè)務(wù)信息被監(jiān)聽或修改；用戶對(duì)成功提交的業(yè)務(wù)進(jìn)行事后抵賴；服務(wù)系統(tǒng)偽裝，騙取用戶口令。由于電子政務(wù)專用網(wǎng)絡(luò)對(duì)外提供WWW服務(wù)、E-MAIL服務(wù)、DNS服務(wù)等，因此存在外網(wǎng)非法用戶對(duì)服務(wù)器攻擊。下面從身份認(rèn)證、DNS、WWW、郵件、文件服務(wù)等幾方面分別加以詳細(xì)說明：2.4.1 身份認(rèn)證漏洞服務(wù)系統(tǒng)登錄和主機(jī)登錄使用的是靜態(tài)口令，口令在一定時(shí)間內(nèi)是不變的，且在數(shù)據(jù)庫(kù)中有存儲(chǔ)記錄，可重復(fù)使用。這樣非法用戶通過網(wǎng)絡(luò)竊聽，非法數(shù)據(jù)庫(kù)訪問，窮舉攻擊，重放攻擊等手段很容易得到這種靜態(tài)口令，然后，利用口令，可對(duì)資源非法訪問和越權(quán)操作。2.4.2 DNS服務(wù)威脅Internet域名服務(wù)為Internet/Intranet應(yīng)用提供了極大的靈活性。幾乎所有的網(wǎng)絡(luò)應(yīng)用均利用域名服務(wù)。但是，域名服務(wù)通常為hacker提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP、操作系統(tǒng)信息、推導(dǎo)出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。同時(shí)，新發(fā)現(xiàn)的針對(duì)BIND-NDS實(shí)現(xiàn)的安全漏洞也開始發(fā)現(xiàn)，而絕大多數(shù)的域名系統(tǒng)均存在類似的問題。如由于DNS查詢使用無連接的UDP協(xié)議，利用可預(yù)測(cè)的查詢ID可欺騙域名服務(wù)器給出錯(cuò)誤的主機(jī)名-IP對(duì)應(yīng)關(guān)系。2.4.3 WWW服務(wù)漏洞Web Server是政府對(duì)外宣傳、開展業(yè)務(wù)的重要基地，也是國(guó)家政府上網(wǎng)工程的重要組成部分。由于其重要性，理所當(dāng)然的成為Hacker攻擊的首選目標(biāo)之一。Web Server經(jīng)常成為Internet用戶訪問政府內(nèi)部資源的通道之一，如Web server通過中間件訪問主機(jī)系統(tǒng)，通過數(shù)據(jù)庫(kù)連接部件訪問數(shù)據(jù)庫(kù)，利用CGI訪問本地文件系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中其它資源。但Web服務(wù)器越來越復(fù)雜，其被發(fā)現(xiàn)的安全漏洞越來越多。2.4.4 電子郵件系統(tǒng)漏洞電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應(yīng)用。內(nèi)部網(wǎng)用戶可夠通過拔號(hào)或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些惡意程序（如，特洛伊木馬、蠕蟲等）、病毒程序等，由于許多用戶安全意識(shí)比較淡薄，對(duì)一些來歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會(huì)，給系統(tǒng)帶來不安全因素。2.5 管理層的安全風(fēng)險(xiǎn)分析再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實(shí)現(xiàn)，因此管理是整個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對(duì)于一個(gè)比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。因此我們有必要認(rèn)真的分析管理所帶來的安全風(fēng)險(xiǎn)，并采取相應(yīng)的安全措施。電子政務(wù)應(yīng)按照國(guó)家關(guān)于計(jì)算機(jī)和網(wǎng)絡(luò)的一些安全管理?xiàng)l例，如計(jì)算站場(chǎng)地安全要求、中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例等，制訂安全管理制度。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。責(zé)權(quán)不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進(jìn)入機(jī)房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應(yīng)制度來約束。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。3 電子政務(wù)網(wǎng)絡(luò)安全方案設(shè)計(jì)3.1 網(wǎng)絡(luò)安全方案設(shè)計(jì)原則網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)工程，電子政務(wù)專用網(wǎng)絡(luò)系統(tǒng)安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則進(jìn)行，采用先進(jìn)的“平臺(tái)化”建設(shè)思想，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益，堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。在進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則：需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則，綜合性、整體性原則、一致性原則，易操作性原則，適應(yīng)性、靈活性原則，多重保護(hù)原則，可評(píng)價(jià)性原則。3.2網(wǎng)絡(luò)信息安全技術(shù)隨著信息技術(shù)的不斷發(fā)展與應(yīng)用，網(wǎng)絡(luò)信息人員對(duì)網(wǎng)絡(luò)信息安全技術(shù)的考究也日趨深入，如今網(wǎng)絡(luò)信息安全技術(shù)已日趨成熟并仍不斷地向前發(fā)展，保障了政府機(jī)關(guān)及企事業(yè)單位等電子政務(wù)安全性的需求，以下介紹幾種常見的網(wǎng)絡(luò)信息安全技術(shù)。3.2.1防火墻技術(shù)防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。常見的防火墻可以歸為三類，即包過濾防火墻、雙宿網(wǎng)關(guān)防火墻和屏蔽子網(wǎng)防火墻。包過濾型防火墻就是通過包過濾技術(shù)實(shí)現(xiàn)對(duì)進(jìn)出數(shù)據(jù)的控制。包過濾防火墻在網(wǎng)絡(luò)層對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的安全策略(信息過濾規(guī)則)進(jìn)行篩選，允許授權(quán)信息通過，拒絕非授權(quán)信息。雙宿網(wǎng)關(guān)是一種擁有兩個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。雙宿網(wǎng)關(guān)防火墻又稱為雙重宿主主機(jī)防火墻。屏蔽子網(wǎng)防火墻是在內(nèi)網(wǎng)和外網(wǎng)之間建立一個(gè)子網(wǎng)以進(jìn)行隔離，這個(gè)屏蔽子網(wǎng)區(qū)域稱為邊界網(wǎng)絡(luò)(Perimeter Network)也稱為非軍事區(qū)DMZ(DeMilitarized Zone)。3.2.3入侵檢測(cè)技術(shù)入侵檢測(cè)(Intrusion Detection)，便是對(duì)入侵行為的發(fā)覺。它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，進(jìn)行人侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)(IDS)，入侵檢測(cè)技術(shù)是發(fā)現(xiàn)攻擊者企圖滲透和入侵行為的技術(shù)入侵檢測(cè)技術(shù)根據(jù)入侵者的攻擊行為與合法用戶的正常行為明顯的不同，實(shí)現(xiàn)對(duì)入侵行為的檢測(cè)和告警，以及對(duì)入侵者的跟蹤定位和行為取證。3.2.4 CA身份認(rèn)證及訪問管理CA的eTrust Identity and Access Management Suite提供了可靠的尖端技術(shù)，為企業(yè)實(shí)現(xiàn)自身的身份管理需求提供了關(guān)鍵的解決方案。eTrust Identity and Access Management Suite是最全面的集成化解決方案，它可解決舊系統(tǒng)、分布式計(jì)算環(huán)境以及新興的 Web 服務(wù)的安全問題。這組開放式套件利用工業(yè)標(biāo)準(zhǔn)實(shí)現(xiàn)了簡(jiǎn)化的、更易管理的集成、支持與部署。 此外，eTrust Identity and Access Management Suite 還提供了必要工具，使身份與訪問管理成為公司的核心技能。eTrust解決方案可主動(dòng)保護(hù)公司的跨平臺(tái)異構(gòu)IT基礎(chǔ)架構(gòu)的安全。功能強(qiáng)大的綜合解決方案可解決各種安全問題，并提供來自IT業(yè)界領(lǐng)先的安全廠商的整體安全基礎(chǔ)架構(gòu)管理功能。網(wǎng)絡(luò)信息安全技術(shù)在電子政務(wù)平臺(tái)中的應(yīng)用，保障了電子政務(wù)信息系統(tǒng)信息安全。如：通過防火墻技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行限制，保障惡意不安全數(shù)據(jù)的傳輸；通過VPN技術(shù)搭建專門的電子政務(wù)網(wǎng)絡(luò)環(huán)境不僅加速網(wǎng)絡(luò)訪問效率而且專網(wǎng)通信保障網(wǎng)絡(luò)信息的安全穩(wěn)定傳輸；通過入侵檢測(cè)技術(shù)和CA認(rèn)證保障了網(wǎng)絡(luò)非法訪問的入侵，保障電子政務(wù)系統(tǒng)信息的安全、穩(wěn)定的傳輸。3.3電子政務(wù)網(wǎng)絡(luò)安全解決方案3.3.1 物理層安全解決方案保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。它主要包括三個(gè)方面：環(huán)境安全、設(shè)備安全、線路安全。為了將不同密級(jí)的網(wǎng)絡(luò)隔離開，我們還要采用隔離技術(shù)將核心密和普密兩個(gè)網(wǎng)絡(luò)在物理上隔離，同時(shí)保證在邏輯上兩個(gè)網(wǎng)絡(luò)能夠連通。3.3.2 網(wǎng)絡(luò)層安全解決方案防火墻安全技術(shù)建議：電子政務(wù)網(wǎng)絡(luò)系統(tǒng)是一個(gè)由省、各地市、各區(qū)縣政府網(wǎng)絡(luò)組成的三級(jí)網(wǎng)絡(luò)體系結(jié)構(gòu)，從網(wǎng)絡(luò)安全角度上講，它們屬于不同的網(wǎng)絡(luò)安全域，因此在各中心的網(wǎng)絡(luò)邊界，以及政務(wù)網(wǎng)和Internet邊界都應(yīng)安裝防火墻，并需要實(shí)施相應(yīng)的安全策略控制。另外，根據(jù)對(duì)外提供信息查詢等服務(wù)的要求，為了控制對(duì)關(guān)鍵服務(wù)器的授權(quán)訪問控制，建議把對(duì)外公開服務(wù)器集合起來劃分為一個(gè)專門的服務(wù)器子網(wǎng)，設(shè)置防火墻策略來保護(hù)對(duì)它們的訪問。網(wǎng)絡(luò)邊界安全一般是采用防火墻等成熟產(chǎn)品和技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的訪問控制，采用安全檢測(cè)手段防范非法用戶的主動(dòng)入侵。入侵檢測(cè)安全技術(shù)建議：入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如發(fā)現(xiàn)違規(guī)訪問、阻斷網(wǎng)絡(luò)連接、內(nèi)部越權(quán)訪問等，發(fā)現(xiàn)更為隱蔽的攻擊。目前網(wǎng)絡(luò)入侵安全問題主要采用網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)等成熟產(chǎn)品和技術(shù)來解決。數(shù)據(jù)傳輸安全建議：為保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性，同時(shí)對(duì)撥號(hào)用戶接入采用強(qiáng)身份認(rèn)證，建議在電子政務(wù)專用網(wǎng)絡(luò)中采用安全VPN系統(tǒng)。系統(tǒng)部署如下：在省交互中心、各地市和各區(qū)縣統(tǒng)一安裝VPN設(shè)備，對(duì)于移動(dòng)用戶安裝VPN客戶端軟件。3.3.3 系統(tǒng)層安全解決方案系統(tǒng)層安全主要包括兩個(gè)部分：操作系統(tǒng)安全技術(shù)以及數(shù)據(jù)庫(kù)安全技術(shù)。對(duì)于關(guān)鍵的服務(wù)器和工作站（如數(shù)據(jù)庫(kù)服務(wù)器、WWW服務(wù)器、代理服務(wù)器、Email服務(wù)器、病毒服務(wù)器、DHCP主域服務(wù)器、備份服務(wù)器和網(wǎng)管工作站）應(yīng)該采用服務(wù)器版本的操作系統(tǒng)。典型的有：SUN Solaris、HP Unix、Windows NT Server、Windows 2000 Server。網(wǎng)管終端、辦公終端可以采用通用圖形窗口操作系統(tǒng)，如Windows/3x、Windows 95/98、Windows NT Workstation/Server、Windows 2000等。數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)具有如下能力：(1)自主訪問控制（DAC）：DAC用來決定用戶是否有權(quán)訪問數(shù)據(jù)庫(kù)對(duì)象；(2)驗(yàn)證：保證只有授權(quán)的合法用戶才能注冊(cè)和訪問；(3)授權(quán)：對(duì)不同的用戶訪問數(shù)據(jù)庫(kù)授予不同的權(quán)限；(4)審計(jì)：監(jiān)視各用戶對(duì)數(shù)據(jù)庫(kù)施加的動(dòng)作。數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)能夠提供與安全相關(guān)事件的審計(jì)能力：(1)試圖改變?cè)L問控制許可權(quán)；(2)試圖創(chuàng)建、拷貝、清除或執(zhí)行數(shù)據(jù)庫(kù)。系統(tǒng)應(yīng)提供在數(shù)據(jù)庫(kù)級(jí)和紀(jì)錄級(jí)標(biāo)識(shí)數(shù)據(jù)庫(kù)信息的能力。3.3.4 應(yīng)用層安全解決方案根據(jù)電子政務(wù)專用網(wǎng)絡(luò)的業(yè)務(wù)和服務(wù)，我們采用身份認(rèn)證技術(shù)、防病毒技術(shù)、以及對(duì)各種應(yīng)用服務(wù)的安全性增強(qiáng)配置服務(wù)來保障網(wǎng)絡(luò)系統(tǒng)在應(yīng)用層的安全。(1)身份認(rèn)證技術(shù)公鑰基礎(chǔ)設(shè)施對(duì)于實(shí)現(xiàn)電子的或網(wǎng)上的業(yè)務(wù)處理，使電子政府達(dá)到其成熟階段具有不可或缺的，極為重要的意義。同時(shí)，公鑰基礎(chǔ)設(shè)施也是信息時(shí)代所有社會(huì)經(jīng)濟(jì)活動(dòng)中所不可缺少的一項(xiàng)基礎(chǔ)設(shè)施。公鑰基礎(chǔ)設(shè)施是由硬件、軟件、各種產(chǎn)品、過程、標(biāo)準(zhǔn)和人構(gòu)成的一個(gè)一體化的結(jié)構(gòu)，正是由于它的存在，才能在電子事務(wù)處理中建立信任和信心。公鑰基礎(chǔ)設(shè)施可以做到：確認(rèn)發(fā)送方的身份；保證發(fā)送方所發(fā)信息的機(jī)密性；保證發(fā)送方所發(fā)信息不被篡改；發(fā)送方無法否認(rèn)已發(fā)該信息的事實(shí)。(2) 防病毒技術(shù)病毒是系統(tǒng)中最常見、威脅最大的安全來源，建立一個(gè)全方位的病毒防范系統(tǒng)是電子政務(wù)網(wǎng)絡(luò)系統(tǒng)安全體系建設(shè)的重要任務(wù)。目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問題。根據(jù)電子政務(wù)的網(wǎng)絡(luò)結(jié)構(gòu)和計(jì)算機(jī)分布情況，病毒防范系統(tǒng)的安裝實(shí)施要求為：能夠配置成分布式運(yùn)行和集中管理，由防病毒代理和防病毒服務(wù)器端組成。防病毒客戶端安裝在系統(tǒng)的關(guān)鍵主機(jī)中，如關(guān)鍵服務(wù)器、工作站和網(wǎng)管終端。在防病毒服務(wù)器端能夠交互式地操作防病毒客戶端進(jìn)行病毒掃描和清殺，設(shè)定病毒防范策略。能夠從多層次進(jìn)行病毒防范，第一層工作站、第二層服務(wù)器、第三層網(wǎng)關(guān)都能有相應(yīng)的防毒軟件提供完整的、全面的防病毒保護(hù)。3.4安全管理方案建議3.4.1 安全體系建設(shè)規(guī)范電子政務(wù)網(wǎng)絡(luò)系統(tǒng)建設(shè)整網(wǎng)安全需要一套統(tǒng)一的安全體系建設(shè)規(guī)范，此規(guī)范應(yīng)結(jié)合電子政務(wù)專用網(wǎng)絡(luò)的實(shí)際情況制定，然后在全網(wǎng)統(tǒng)一實(shí)施。3.4.2 安全組織體系建設(shè)實(shí)施安全應(yīng)管理先行，安全組織體系的建設(shè)勢(shì)在必行。應(yīng)在省中心和各地市建立網(wǎng)絡(luò)安全建設(shè)領(lǐng)導(dǎo)委員會(huì)，該委員會(huì)應(yīng)由一個(gè)主管領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理員、安全操作員等人員組成。省中心的安全委員會(huì)負(fù)責(zé)安全系統(tǒng)的總體實(shí)施。主管領(lǐng)導(dǎo)應(yīng)領(lǐng)導(dǎo)安全體系的建設(shè)實(shí)施，在安全實(shí)施過程中取得相關(guān)部門的配合。領(lǐng)導(dǎo)整個(gè)部門不斷提高系統(tǒng)的安全等級(jí)。網(wǎng)絡(luò)管理員應(yīng)具有豐富的網(wǎng)絡(luò)知識(shí)和實(shí)際經(jīng)驗(yàn)，熟悉本地網(wǎng)絡(luò)結(jié)構(gòu)，能夠制定技術(shù)實(shí)施策略。3.4.3 安全管理制度建設(shè)面對(duì)網(wǎng)絡(luò)安全的脆弱性，除在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理。制定安全管理制度，實(shí)施安全管理的原則為：(1) 多人負(fù)責(zé)原則。每項(xiàng)與安全有關(guān)的活動(dòng)都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，應(yīng)忠誠(chéng)可靠，能勝任此項(xiàng)工作。(2) 任期有限原則。一般地講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免誤認(rèn)為這個(gè)職務(wù)是專有的或永久性的。(3) 職責(zé)分離原則。除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外、與安全有關(guān)的任何事情。3.4.4 安全管理手段安全技術(shù)管理體系是實(shí)施安全管理制度的技術(shù)手段，是安全管理智能化、程序化、自動(dòng)化的技術(shù)保障。安全技術(shù)管理對(duì)OSI的各層進(jìn)行綜合技術(shù)管理。網(wǎng)絡(luò)安全管理，主要對(duì)電子政務(wù)網(wǎng)絡(luò)安全體系的防火墻、入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備進(jìn)行管理；應(yīng)用安全管理，主要對(duì)電子政務(wù)網(wǎng)絡(luò)安全體系的應(yīng)用