摘要：本文通過對當(dāng)前政務(wù)網(wǎng)存在的安全問題的分析，提出了在政務(wù)網(wǎng)建設(shè)當(dāng)中應(yīng)遵循的安全原則，并就存在問題給出了具體的解決方案。

　　關(guān)鍵字：政務(wù)網(wǎng),安全,原則

　　一、引言

　　隨著我國政務(wù)網(wǎng)的不斷發(fā)展，政務(wù)網(wǎng)絡(luò)在提高政府行政效能，促進(jìn)政務(wù)職能轉(zhuǎn)變，提升政府競爭能力，拓寬民主參與渠道等諸多方面起到了積極的作用。但在電子政務(wù)蓬勃發(fā)展的同時，與政務(wù)網(wǎng)密切相關(guān)的安全問題日顯突出。據(jù)同家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)的統(tǒng)計顯示，2008年上半年我國大陸地區(qū)被篡改的．gov．cn網(wǎng)站數(shù)量比2007年上半年增加41％，共計2242個，占被篡改網(wǎng)站總數(shù)的比例達(dá)到7％，而．gov．cn域名僅占．cn域名總數(shù)的2．3％，這些數(shù)據(jù)表明，．gov．cn網(wǎng)站遭受黑客攻擊的可能性相對較高，這無疑給我們的政務(wù)網(wǎng)安全管理部門敲響了警鐘。

　　二、查找問題讓政務(wù)網(wǎng)信息安全隱患無處躲藏

　　面對日益嚴(yán)峻的安全問題，跟在安全事件的后面盲目的解決不是最好辦法，怎樣才能把安全問題的發(fā)生機(jī)率降到最低，做到防患于未然才是行之有效的解決辦法。

　　從目前我國的政務(wù)網(wǎng)現(xiàn)狀來看，存住的問題主要有以下幾個方面。

　　軟硬件本身存在缺陷政務(wù)網(wǎng)以互聯(lián)網(wǎng)為主要載體，而互聯(lián)網(wǎng)所采用的TCP／IP協(xié)議在設(shè)計以效率為主，沒有考慮安全因素，導(dǎo)致很多基于TCP／IP的應(yīng)用服務(wù)都在不同程度上存在著安全問題。對于那些可以熟練掌握TCP／IP的人來說，就可以利用協(xié)議本身的漏洞對政務(wù)網(wǎng)安全構(gòu)成威脅。

　　*非法訪問

　　由于網(wǎng)絡(luò)本身就是以廣播方式進(jìn)行信息傳遞的，這使得在未采用加密措施的網(wǎng)絡(luò)中，信息的篡改、竊取成為可能，攻擊者在掌握了數(shù)據(jù)格式并進(jìn)行惡意添加、修改數(shù)據(jù)之后，可以冒充合法用戶主動的接收信息或發(fā)送非法信息給遠(yuǎn)端用戶，而遠(yuǎn)端用戶通常難以分辨真?zhèn)巍?/p>

　　*病毒

　　計算機(jī)病毒在《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義，病毒是指“編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼”。由此可見，計算機(jī)病毒的出現(xiàn)就是以破壞為目的，尤其是在當(dāng)前的網(wǎng)絡(luò)時代，病毒的破壞性大大高于單機(jī)系統(tǒng)，電腦一旦中毒，它感染木馬、其它病毒的機(jī)率會大大增加，同時，也會對整個網(wǎng)絡(luò)進(jìn)行病毒傳播、ARP攻擊等，從而導(dǎo)致整個網(wǎng)絡(luò)癱瘓。從近些年來的病毒變種速度和流行趨勢來看，病毒發(fā)展呈現(xiàn)出對抗防病毒軟件、傳播方式多樣化、病毒變形和隱身偽裝能力增強(qiáng)等特征，這大大增加了防范病毒的難度。

　　*木馬、僵尸網(wǎng)絡(luò)．

　　木馬是一種具有隱藏性、自發(fā)性的呵被用來進(jìn)行惡意行為的程序，多不會直接對電腦產(chǎn)生危害，而是以控制為主要目的。計算機(jī)一旦被植入木馬，其重要文件和信息不僅會被竊取，用戶的一切操作行為也都會被密切監(jiān)視，而且還會被攻擊者遠(yuǎn)程操控實施對周圍其他計算機(jī)的攻擊。

　　僵尸網(wǎng)絡(luò)是指骨由黑客通過控制服務(wù)器間接集中控制的僵尸程序感染計算機(jī)群。僵尸程序一般是由攻擊者專門編寫的類似木馬的控制程序。由于受控計算機(jī)數(shù)目很多，攻擊者可以實施信息竊取、垃圾郵件、網(wǎng)絡(luò)仿冒、拒絕服務(wù)攻擊等各種惡意活動。木馬和僵尸網(wǎng)絡(luò)都是非常有效的遠(yuǎn)程監(jiān)聽和控制手段，對當(dāng)前政務(wù)網(wǎng)絡(luò)的安全構(gòu)成了嚴(yán)重的威脅。

　　三、掌握原則為政務(wù)網(wǎng)安全建設(shè)指明方向

　　在政務(wù)網(wǎng)的安全建設(shè)中，需要權(quán)衡好安全、成本、效率二者之間的關(guān)系。曾經(jīng)有人把政務(wù)網(wǎng)的安全建設(shè)比作是“門”與“鎖”的關(guān)系，也就是說，對于一扇門，鎖越多，門的安全性越高，但隨之帶來的成本會相應(yīng)增加，效率會柑應(yīng)降低。所以說，我們在進(jìn)行政務(wù)網(wǎng)安全設(shè)計時，必須根據(jù)實際情況，協(xié)調(diào)處理好安全、成本和效率三者之間的關(guān)系。具體來說，在實施過程中，我們應(yīng)遵循以下幾點原則：

　　1安全保密原貝吐這一原則是我們在建設(shè)政務(wù)網(wǎng)的初期就應(yīng)該綜合考慮的重要原則之一。政務(wù)網(wǎng)是政府和公民進(jìn)行信息交流的平臺，這個平臺上的數(shù)據(jù)有可公開信息，也有需要保密的非公開信息。因此安全即為一重要因素。

　　2可擴(kuò)展性所采用的系統(tǒng)的先進(jìn)性和可擴(kuò)展性也是我們應(yīng)重點考慮的。因為任何一套完整的系統(tǒng)不可能只在短時間內(nèi)發(fā)揮作用。為更加方便日后的系統(tǒng)升級，我們在建沒初期應(yīng)把它的可擴(kuò)展性納入到應(yīng)遵循的原則之中。當(dāng)然，在建設(shè)當(dāng)中，還有諸如：可靠性，可行性及可控性原則也是必不可少的。

　　四、多方合力構(gòu)造安全的網(wǎng)絡(luò)環(huán)境

　　政務(wù)網(wǎng)安全體系的建設(shè)是一項系統(tǒng)工程，我們在遵循以上原則的基礎(chǔ)上，要多方配合，才能為我們的政務(wù)網(wǎng)安全筑起一道堅不可摧的安全防線。

　　(一)增強(qiáng)相關(guān)工作人員的安全防范意識

　　當(dāng)前安全管理工作中首要的突出問題是工作人員的安全意識淡泊，對網(wǎng)絡(luò)安全重視程度不夠，安全措施落實不到位，甚至存在違規(guī)操作。因此，在實際工作當(dāng)中，我們應(yīng)不斷地增強(qiáng)相關(guān)工作人員的安全防范意識，在頭腦中繃緊安全這根弦，從根本上杜絕由于工作人員的粗心大意而造成的安全問題。同時，應(yīng)加大對工作人員的安全技能培訓(xùn)力度，工作人員對安全知識的掌握程度直接關(guān)系到政務(wù)網(wǎng)的安全保障應(yīng)用程度。因此，對工作人員應(yīng)采取必要的安全技能培訓(xùn)，不斷地豐富他們的業(yè)務(wù)知識，以盡快建立起一支政治可靠、技術(shù)精湛、作風(fēng)優(yōu)良的內(nèi)部技術(shù)人員隊伍。

　　(二)建立健全相關(guān)的安全管理制度、法規(guī)

　　全球網(wǎng)絡(luò)犯罪案件增長，顯示了對網(wǎng)絡(luò)犯罪的打擊和遏制力量明顯不足。法律法規(guī)可以起到加強(qiáng)信息安全管理、打擊網(wǎng)絡(luò)犯罪的重要作用。可以說，離開了法律，信息安全將是脆弱的。

　　目前，我國在網(wǎng)絡(luò)信息安全方面制定了相當(dāng)數(shù)量法律、法規(guī)及一些規(guī)范性的文件，但仍有許多不足之處，如缺乏統(tǒng)一標(biāo)準(zhǔn)、監(jiān)管成本高、可操作性不強(qiáng)等。因此，我們應(yīng)允分認(rèn)識到依法保障和促進(jìn)信息網(wǎng)絡(luò)健康發(fā)展的重要性，盡快完善相應(yīng)法律、法規(guī)建設(shè)，使信息安全管理有法可依。

　　(三)強(qiáng)化技術(shù)保障

　　一個相對安全的政務(wù)信息網(wǎng)絡(luò)，離不開嚴(yán)密的技術(shù)支持。對于政務(wù)網(wǎng)的安全技術(shù)手段，我們可以從以下幾個方面人手：

　　1．防火墻技術(shù)

　　防火墻技術(shù)是為了保證網(wǎng)絡(luò)路由的安全而在內(nèi)部網(wǎng)和外部網(wǎng)之間所構(gòu)造的軟件。所有通過的數(shù)據(jù)都須經(jīng)由防火墻接授檢查，這樣可以過濾掉一些攻擊，以免其在目標(biāo)計算機(jī)上被執(zhí)行。防火墻還可以禁止特定端口的對外通信，禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。防火墻技術(shù)的實現(xiàn)一般可分為兩種，一種是分組過濾技術(shù)，一種是代理服務(wù)技術(shù)。分組過濾基于路由器技術(shù)，其原理是由分組過濾路由器對IP分組進(jìn)行選擇，根據(jù)特定組織機(jī)構(gòu)的網(wǎng)絡(luò)安全準(zhǔn)則過濾掉某些IP地址，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。代理服務(wù)技術(shù)是由一個高層應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，對于任何外部網(wǎng)的應(yīng)用連接請求首先進(jìn)行安全檢查，然后再與被保護(hù)網(wǎng)絡(luò)應(yīng)用服務(wù)器進(jìn)行連接。

　　2．PKI技術(shù)

　　PKI技術(shù)是一種廣泛應(yīng)用于電子商務(wù)的安全技術(shù)，它是用公鑰概念和技術(shù)實施提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。它由公開密鑰碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)(CA)和關(guān)于公開密鑰的安全策略等共同組成。其中認(rèn)證中心CA是PKI的核心，負(fù)責(zé)管理PKI結(jié)構(gòu)下的所有用戶證書，把用戶的公鑰和用戶的其他信息捆綁在一起，在網(wǎng)上驗證用戶身份等等。

　　3．物理隔離

　　所謂物理隔離是指內(nèi)部網(wǎng)不得直接或間接連接公共網(wǎng)絡(luò)。這種技術(shù)通過在每臺電腦主板插槽安裝物理隔離卡、雙硬盤，把一臺普通計算機(jī)分成兩臺虛擬機(jī)，實現(xiàn)真正的物理隔離。物理隔離卡的使用，使內(nèi)部網(wǎng)與公共網(wǎng)實現(xiàn)了物理上的隔離，從根本上保證了內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的攻擊，此外，物理隔離也為內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強(qiáng)，更便于內(nèi)部管理。

　　在應(yīng)用成熟的安全技術(shù)的同時，我們還應(yīng)該加大對自主研發(fā)的投入力度，加強(qiáng)科研能力，研發(fā)出更加適合我國政務(wù)網(wǎng)實際情況的安全技術(shù)

　　(四)完善網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)機(jī)制

　　為有效防范和應(yīng)對各類網(wǎng)絡(luò)安全事件，提高應(yīng)對安全事件的能力，我們應(yīng)盡快構(gòu)建起完善的網(wǎng)絡(luò)應(yīng)急體系，通過整體部署入侵檢測與預(yù)警系統(tǒng)作為有效的技術(shù)手段，建立起以客戶安全隊伍為基礎(chǔ)、技術(shù)服務(wù)隊伍為后備的組織管理、預(yù)案流程、制度規(guī)范等綜合措施，以便盡早對有重大危害的計算機(jī)和網(wǎng)絡(luò)安全事件進(jìn)行發(fā)現(xiàn)、分析和確認(rèn)，并對其進(jìn)行響應(yīng)，以降低可能造成的風(fēng)險和損失的綜合安全體系。

---

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/xinxianqlw/23306.html