张军

浅谈构建安全的长江海事电子政务网络体系

张军

电子政务已成为长江海事局工作信息化的重点工程。对长江海事电子政务网络建设的基础安全服务设施、安全管理保障体系、安全技术支撑平台和响应与恢复机制等问题进行了分析，并结合实践经验，提出了建立安全可靠的长江海事电子政务网络体系的对策。

长江海事；电子政务；网络安全

随着海事信息化建设步伐的加快，长江海事局网上办公、网上长江海事、网上审批、网上申报等电子政务系统的广泛应用，不仅改变了海事传统的工作模式，而且大大提高了工作效率，在给工作带来极大便利的同时，也带来了严重的安全挑战。探讨构建一个安全的长江海事电子政务网络体系具有十分重要的意义。

一、长江海事电子政务网络存在的安全问题

（1）网络安全性脆弱，各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和文件，并可进入系统修改删除重要数据文件。一旦电子政务系统被非法侵入和破坏，它将不能正常工作甚至全部瘫痪。

（2）存在病毒破坏、黑客入侵、重要信息泄漏等潜在危险。用户如果不及时对计算机进行操作系统补丁及杀毒软件病毒库升级，那么，将造成计算机系统存在大量的系统漏洞，为病毒木马传播提供了温床。

（3）没有完善的灾难恢复等响应机制。网络传输、服务器、核心交换路由设备没有冗余备份系统，如果遇到不可抗逆因素造成设备损坏，则将造成重要数据丢失，损失无法弥补。

（4）广大干部职工信息安全意识淡薄。大部分干部职工对计算机知识了解甚少，对计算机的信息安全认识不到位，系统补丁、杀毒软件不定期更新，造成计算机系统经常遭受病毒侵袭。重要文档资料随意存放，为本不安全的计算机种下了祸根。

长江海事电子政务网络作为信息网络的一个特殊应用领域，不仅运行着大量需要保护的数据和信息，而且担负着行政监督和对社会提供公共服务的职责。如果系统的安全性被破坏，则造成敏感信息暴露或丢失、网络被攻击等安全事件，产生的后果是非常严重的。下面笔者从安全基础设施建设、安全管理保障体系、灾难恢复和响应以及安全教育等方面谈谈如何建立一个安全的电子政务网络。

二、构建安全的长江海事电子政务网络体系

（一）加强安全设施基础建设

1.实行内外网物理隔离

由于工作需要，海事系统一般由两个或两个以上功能相对独立的网络，即内网（用于日常办公）和外网（用于资料查询和对外电子政务）。而电子政务应用中势必存在内网与外网间的信息交换需求，基于内网数据保密性的考虑，不希望内网暴露在对外环境中。解决该问题的有效方式是设置网闸，通过网闸来实现内外网间信息的过滤和两个网络间的物理隔离，从而在内外网间实现安全的数据交换。

信息隔离网闸技术可以在内外网间来回切换，同一时刻内外网间没有连接，处于物理隔离状态。在此基础上，隔离网闸作为代理从外网的网络访问包中抽取出数据，然后通过反射开关转入内网，完成数据中转。在中转过程中，隔离网闸会对抽取的数据做应用层的协议检查、内容检测，也会对IP包地址实施过滤控制。隔离网的开关切换机制在进行检查时，网络实际上处于断开状态，只有通过严格检查的数据才有可能进入内网，即使黑客强行攻击了隔离网闸，但由于攻击发生时内外网始终处于物理断开状态，黑客也无法进入内网。另一方面，由于隔离网闸仅抽取数据交换进内网，因此，内网不会受到网络层的攻击，在物理隔离的同时实现了数据的安全交换。

2.建立网络防火墙

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。因此，在各分支局的网络边界，以及政务网和Internet边界都应安装防火墙，并实施相应的安全策略控制。另外，根据对外提供信息查询等服务的要求，为了控制对关键服务器的授权访问，把对外公开服务器集合起来划分为一个专门的服务器子网，设置防火墙策略来保护对它们的访问。

3.实行网络固定IP地址管理

有些职工利用工作之便，在网络中随意增加接入电脑主机、笔记本电脑的数量，不仅占用网络带宽资源，而且不便于网络管理。所以给办公网络内的每一台电脑分配固定IP地址，启用交换机的管理功能，将PC的MAC地址和IP地址绑定，管理员可以方便地监控每一台电脑主机的运行状况，包括病毒攻击、网站监控、黑客监控等。不仅节约网络资源，还可以随时发现登陆非法网站的电脑主机，从而防止职工利用办公网从事非法活动。

（二）建立安全管理保障体系

在网络安全体系中，管理占有相当大的比重，任何完善的安全技术如果没有完善的管理制度做保障都无安全可言，所以，建立定期的安全检测、口令管理、人员管理、策略管理、备份管理、日志管理等一系列管理方法和制度是非常必要的。

1.运用网络安全审计软件

任何一个网络都潜藏着种种被攻击的可能性，虽然我们没有办法消除攻击，但是可以通过网络安全审计软件记录非法行为，保留犯罪现场信息，从而为追踪不法入侵、追查网络犯罪，提供重要的线索和依据。网络审计软件可以监控网络中绝大多数行为，如监控各种P2P软件、聊天软件、游戏、流量控制、网页监控，并将非法行为以日志形式记录下来。

2.建立强壮的安全策略

网络安全必须构筑在一个坚实的安全服务基础之上，支撑整个电子政务安全稳定的基础是信任。解决信任问题包括：

（1）可信的身份，即你是谁的问题。系统中的安全措施经常会根据用户的身份决定是否执行其提出的访问要求，这里用户身份是否可信就成为了该安全策略的核心问题。可信的身份服务就是为验证提供准确的用户身份确认信息。没有可信的身份验证服务，防火墙就可能根据伪造的合法用户身份做出错误的判断。

（2）网络信任域，即你来自哪里的问题。网络设备的可管理性对于网络安全来说同样重要。网络信任域就是通过赋予网络设备可信的识别码建立起一个可管理的网络，从而准确了解和控制访问设备的访问位置及访问权限。

（3）可信的数据，即数据是否完整、机密。用户从系统中获得的数据应该被相信是完整未被篡改的，同时数据在传输过程中应该是安全机密的。

（4）可信的时间服务。对于电子政务这类涉及大政方针执行、审批的应用来说，系统中的文件都应该具有可信的时间戳，因为时间是政府工作中一个重要的工作和责任认定依据。

3.运行网络版杀毒软件

除了有防火墙、每个网络中的客户端，还应该有一个网络版杀毒软件，定时定期对客户端进行病毒监控、查杀。一个好的网络版杀毒软件不仅可以有效查杀本地病毒，还可以监控本地网络端口，随时对各种网络攻击、非法进程和木马程序进行阻拦。

4.使用电子邮件系统防护软件

为给管理相对人提供一个监督、交流的窗口，在网站中设有独立公开的电子邮件管理系统。如果邮件系统受到黑客的攻击，而导致产生垃圾信件或是系统崩溃，将会阻断管理相对人与海事部门之间的网上联系。因此，任何一个电子邮箱管理系统，都必须配备一套防护软件，使其免受非法侵害。

（三）建立灾难恢复和响应机制

网络灾难可以用“天灾人祸”来形容，无论是雷击、火灾、黑客、设备损坏都会对网络安全带来致命的打击。网络灾难的隐患时刻存在，建立一个全面稳妥的恢复机制尤为重要。

首先，要建立一个针对不同灾难等级的预警机制。根据对信息网络中断的范围、系统瘫痪及资源破坏程度分别定级。预警分别用红色和橙色显示。此外，严重程度稍轻的两种事故分别用黄色和蓝色预警显示。这种建立预警机制的方法，达到了分级应对、节约资源、有效管理的效果和有效提高应对突发事件的能力。

其次，要针对不同类型的灾难准备好应急预案。如果是由于病毒而导致系统服务停止，就应该用杀毒软件进行清理；如果是由于硬件损坏而导致网络运行中断，就要多购买些硬件作为储备；如果遇到雷击、火灾、水灾等灾难，就要在平时安排好节日值班，指定专人负责安全事宜。

最后，建立应急响应机制。随着海事业务系统不断开展，业务数据量成倍增加，数据的安全性、传输设备、存储设备面临的压力也越来越大，建立一个完善的响应机制势在必行。其作用有：（1）提升安全理念。尤其是全面提高整个单位的系统安全认识，进行全面细致的安全工作部署。（2）降低风险。对网络进行全局范围内的监控，全面了解网络中发生了什么，掌握发生的内部违规事件和外部入侵行为，可以大大降低网络被侵害的风险。（3）减少损失。出现突发事件时，做到早发现、早确认、迅速定位、全局预警，及时采取措施使网络整体的损失降到最低。不但对已知事件能够快速响应，对未知事件也可及时处理并采取相应措施。（4）明确安全责任。对分布在长江沿线、管理复杂的海事网络系统来说，在网络中出现安全事件后，通过应急响应机制能够迅速定位安全事件的来源，明确安全事件发生的范围，确认网络系统受损害程度，进而明确安全责任。

（四）加强信息安全教育增强安全意识

在信息化快速发展的今天，信息安全事件也层出不穷。如：黑客利用网站漏洞侵入后台窃取信息；散播病毒进入系统，使系统瘫痪；干扰政府网站正常的对公众服务等。增强广大干部职工的防范意识，确保系统安全是安全管理工作要着重解决的问题。

信息安全管理工作存在的主要问题是用户安全意识薄弱，对信息网络安全重视不够，安全措施不落实。因此，组织开展多层次、多方位的信息网络安全宣传和培训，增强干部职工的安全防范意识和防范能力是避免信息网络安全事件发生的有效途径。要经常进行安全教育工作，普及安全知识，让所有的干部职工提高安全意识，掌握安全工作的方法，这样才能全面地提高海事政务网络安全。同时，建立安全防范制度，以制度的形式将安全工作落到实处。

总之，加强电子政务安全体系建设刻不容缓，必须依靠信息管理人员、广大干部职工的共同努力，构建一套完整、科学、高效、统一的电子政务网安全保障体系。随着海事电子政务建设进程加快，网络与信息安全将不断面临新的挑战，要对涉及信息安全的电子政务系统中的硬件设备、网络、系统软件、数据库、应用系统等内容进行全程安全管理；要利用技术管理，如网络运行前的开发、试用、验收和推广各阶段的安全管理；要实施必要的安全行政管理措施，建立完备的安全管理制度、配备专职的信息管理人员、并建立完善的责任和监督机制。

C913.9

A

1673-1999（2010）09-0101-02

张军（1975-），男，甘肃人，重庆海事局装备信息处（重庆401121）工程师，从事信息管理工作。

2010-01-08