政府门户网站信息安全技术体系研究
2010-10-25肖宁
肖 宁
摘要:本文从理论上构建了政府门户网站信息安全保障体系。主要包括制定网站信息安全技术保障的总体规划、积极应用各种安全技术产品和建立基于公众应用需求的容灾级别和容灾系统。保障体系的提出,不仅为政府门户网站信息安全保障提供了可行性借鉴,而且大大丰富了公共管理的理论体系。
关键词:政府门户网站;信息安全;保障;体系
政府门户网站建设在带来高效率和便利的同时,也带来了威胁、风险和责任。目前在全球范围内,计算机病毒、各种有害信息、系统安全漏洞和网络违法犯罪等政府网站信息安全问题日渐突出,不仅制约了信息化的持续、健康发展,也给国家的经济建设和人们的社会生活带来了许多负面影响。如何保障政府门户网站信息安全,已经成为世界各国政府主管部门、企业界和广大用户共同面临的一个严峻挑战。
一、制定网站信息安全技术保障的总体规划
构建政府门户网站信息安全技术保障体系,首先需要有关部门和单位对信息安全问题高度重视,并制定网站信息安全技术保障的总体规划,防范信息安全风险。主要应做好以下几个方面的工作:一是要加强政府门户网站的总体规划和统一建设,避免多头建设和重复建设,保证网络整体性,避免网络架构缺陷引起的安全问题。二是统一信息安全技术标准与规范,各级政府门户网站信息安全建设都应按照这个标准和规范进行实施,以确保信息整体安全。三是加强信息资源安全等级标准的规划和建设,明确不同信息的服务对象和公开范围。既要避免出现保密过度,限制政务信息化应用的推广和发展的情况,又要避免保密不够,造成电子政务信息泄密情况的发生。在确保信息安全的基础上,最大限度地保证信息共享。四是在信息安全方面,既要考虑省、市级政府的信息服务对象着重于政府部门和相关的领导等的特点,又要考虑到县、区级政府及相关部门的信息服务对象着重于群众或居民的特点。
二、积极应用各种安全技术产品
目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:
1.防火墙。防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但其本身可能存在安全问题,也可能会是一个潜在的瓶颈。
2.入侵检测系统。入侵检测的软件与硬件的组合便是入侵检测系统。入侵检测技术作为防火墙的合理补充,是主动保护自己免受攻击的一种网络安全技术。即通过对计算机网络或计算机系统中的若干关键点收集的信息进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。与其他安全产品不同,入侵检测系统需要更多的智能,它可以将得到的数据进行分析,并得出有用的结果。
3.近年来,门户网站防篡改系统也出现了不少,可使系统修改检测时间缩小到毫秒级,而且,由于采用的事件触发技术,系统监测基本不额外占占用系统资源。目前市场上主流的网页防篡改技术主要包括如下几项技术:(1)外挂扫描技术。外挂扫描技术是采用从外部逐个扫描网页文件的方式来判断对网页的非法修改,采用这种技术一般会有一定的時间间隔,而且网站文件越多,时间间隔越长,不能保证被黑客修改的网页不被访问者看到。(2)核心内嵌技术。采用核心内嵌技术的防篡改系统,其篡改检测模块运行于Web服务器软件内部,与Web服务器无缝结合。每次Web服务器对外发送网页时,系统都进行网页防篡改检测,从而能够实时地确保每个网页的真实性。(3)事件触发技术。事件触发技术是把系统的篡改检测模块嵌入到操作系统内核,因此所有的文件非法变更事件都会被事件触发器无延迟的获取,该机制完全区别于扫描技术和核心内嵌技术,不需要与备份库对比分析的繁琐过程,因此可以做到监控的实时性和系统资源低占用率。是当前比较先进的一种防篡改检测技术。(4)CDN技术。CDN即内容分发,主服务器针对不同地区、不同电信运营商,将浏览内容镜像到多个服务器上,如果一个服务器受到攻击,则由其它镜像来接管,网友可从最近的节点上获取数据。
三、建立基于公众应用需求的容灾级别和容灾系统
各种自然灾害和突发事件都有可能导致各网站信息系统的瘫痪造成灾难性后果。根据公众对系统需求的紧急程度、应急恒复时间来划分,容灾备份通常分为以下三种级别。
1.最高级别容灾系统。建立异地镜像系统,即同时对系统软、硬件进行备份,并且系统的数据实现远程类实时备份。该级别的容灾系统可确保原系统在完全崩溃的情况下,系统能够立刻替代原系统响应服务。
2.一般级别容灾系统。对动态系统数据进行定期完整备份和增量备份,并同时进行异地备份处理。网站系统服务平台确保在指定的时间内搭建完成,然后提供与原系统基本相同的系统服务(与系统实时数据差别主要由增量备份的时间间隔决定,每次增量备份间时间间隔越短,备份数据与实时数据差别越小)。
3.最低级别容灾系统。仅定期进行系统数据的完全冷备份,适用于仅要求系统可恢复且系统数据变化不大的情况下。
一般来说,政府门户网站中的政策、公告等办事指南系统和信息查询、报名等公众应用服务系统,都可以考虑采取以上备份方式。而公用信息发布系统数据相对来说一般是静态的,采用一般或者更低级别的容灾系统也是可以的。