浅析电子政务网络边界安全的设计与实现
2018-11-01刘兵
刘兵
摘要:现阶段,电子政务网络正在不断发展中,随之而来的是其边界安全问题愈发凸显。该文着重介绍当前电子政务网络存在的边界安全问题,在此基础上分析并提出具体的防护技术和应对措施。
关键词:电子政务;边界安全;安全体系
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)18-0269-02
随着我省电子政务网络的快速发展,各级政府部门的工作逐步走向信息化和网络化,为了满足人民群众的办事需求,电子政务网络的建设和发展逐步深入,承载的业务系统也越来越多,网络安全问题日益突出。各级政府网站和业务系统网页被恶意篡改、SQL数据库被注入、DDOS攻击等安全事件频发,网络安全受到了极大的挑战。面对黑客的猖狂攻击,防护网络边界安全刻不容缓。
1 电子政务网络现状及边界安全需求分析
目前多数政府部门未建立起统一且具有指导性的安全策略,没有站在全局高度提供信息安全工作的方针或指导意见,安全管理未引起足够重视,前景堪忧。大部分政府部门没有明确网络安全责任部门,制度建设不完善,人員的安全意识薄弱,运维人员往往身兼管理和审计职责,安全管理责任边界不清晰。尽管现有的电子政务网络中通常都按照要求部署了一定的网络边界安全防护系统和设备,如防火墙、漏洞扫描、入侵检测、防毒墙等,但是这些设备往往都没有配置切实有效的安全防护策略,导致其形同虚设;而且在日常运维中缺少流量分析和总结,无法做到安全预警和态势感知,不能形成协同防护的合力。
2电子政务网络边界安全防护体系
通过分析以上电子政务网络的安全策略、安全管理、安全技术、日常运维等四个方面的现状,以及存在的电子政务网络边界安全问题,根据国家的电子政务网络安全建设总体要求,在实践中可以通过统一的安全策略,从管理、技术和运维等多个维度进行全流程的防护,构建全面、立体、多维的网络边界安全防护体系。
网络安全策略通常是由网络管理人员在授权的基础之上,根据网络与信息系统面临的风险及安全目标,基于身份、规则、角色等角度制定的安全防护策略。在实施过程中,坚持最小权限原则、三权分立原则、多级防护原则等。电子政务网络安全防范和保护的主要策略是访问控制策略,通过各种访问控制策略相互配合,真正发挥协同保护作用,确保电子政务网络资源不被非授权访问和使用。
网络安全管理体系要紧紧围绕电子政务网络的应用场景和业务特点,按照信息系统生命周期理论,建立信息系统规划、开发、操作等各个阶段的制度、流程和规范。
安全技术体系是所有安全策略的技术措施综合。常用的安全技术包括身份认证、VPN、防火墙、入侵检测、漏洞扫描、网闸、防毒墙等一系列防护技术。在执行整体安全防护策略的同时,综合运用各类安全防护技术和工具,并利用其日志及分析数据做系统加固,使系统整体处于低风险状态。
安全运维体系是贯彻和落实安全管理体系各项规章制度,将各项规章制度在执行层面体系化、规范化和流程化;主要包括信息安全事件监测和处理、安全设备管理和运维、安全工具的管理和维护、网络安全培训和应急演练,信息系统的定级备案、风险评估、安全整改等。
3电子政务网络边界安全实现方法
为保障电子政务网络边界安全,要严格按照国家对电子政务网络安全防护的要求,根据电子政务网络传输的信息重要程度,分类分网进行数据通信,通过网络的物理隔离或逻辑隔离,实现防止网络攻击以及信息泄露的目标;并在此基础上,针对性地采取以下安全防护技术和措施。
3.1身份认证技术
在计算机网络中,为了保证以数字身份进行操作的操作者的物理身份与数字身份相对应,而产生的一种解决方法。作为防护网络安全的第一道关口,身份认证有着重要的作用。身份认证系统通常由认证服务器、认证客户端和认证设备组成,主要通过单向或双向两类认证协议和认证系统软硬件实现,此外,为了提高认证的可靠性,通常采用双因子认证机制。身份认证技术往往涉及三个方面:认证、授权和审计;用户在做任何动作之前必须要识别动作执行者的真实身份,防止攻击者假冒合法用户来获取访问权限;在确认用户的身份之后,授权该用户对权限范围内的文件和数据进行操作;并在完成操作后要留下记录,以便审计、核查。
3.2 VPN技术
VPN技术,也即虚拟专用网技术,是指在公用网络上(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN技术为远程用户和网络提供低成本和安全连接的能力,通过对VPN服务器和客户机之间的通讯数据进行加密,可以让外部人员安全地远程访问内部资源,在实际应用中VPN技术发挥越来越重要的作用。在远程访问VPN中,通常采用两种基于网络加密的协议类型。 一种是IPsecVPN,用户通过VPN隧道进行身份验证并连接到远程网络后,就可以限制访问;IPsec VPN需要安装客户端软件;一种是SSL VPN,通过采用SSL协议(一种基于WEB应用的安全协议)来实现远程接入;SSL VPN技术可以免于安装客户端,具有部署简单、网络适应强、维护成本低等特点。由于IPsec VPN只能基于IP级进行限制,访问控制粒度不够精细,许多安全运维部门已逐步迁移到SSL VPN,管理员可以将用户访问控制粒度限制在应用程序级。
3.3 防火墙技术
防火墙技术需要利用访问控制策略,搭建网络通信监控系统,对网络数据流进行监控及分析,从而实现对网络内部资源的保护。防火墙技术通过拦截所需保护网络的向外传输信息来达到不被外部共计的目的。这需要管理员在安全控制策略的基础上执行包过滤准则,并根据需要进行增加、修改及删除。通过防火墙技术可以实现多种功能:阻止可能出现的非法操作,对服务器进行全面监管;通过MAC地址与IP进行绑定,在不影响访问网络的正常需要基础上,将用户的访问权限控制在最低范围;还可以通过防火墙收集到各类试探攻击的日志和统计数据。
3.4 入侵检测技术
入侵检测技术是在各电子政务的网络关键节点处监控并收集信息,分析其是否属于入侵行为以及是否违反了网络安全策略。该技术最大的优势是能够在提供安全监测,攻击识别、反攻击的同时,不影响网络的性能;通过将攻击过程进行记录、断开网络连接、紧急告警、对攻击源进行分析并追踪等措施实施有效地对系统进行保护。该系统通常被安装在数据较敏感的网络边界上,当监控到数据流发生异常时,该系统可根据安全策略迅速做出反应。
3.5 漏洞扫描技术
漏洞扫描技术基于漏洞数据库,通过对网络的扫描进行安全脆弱性检测,它和防火墙、入侵检测系统相互配合,可以有效提高网络的安全性。漏洞扫描技术可以帮助网络管理员及时了解网络的安全设置,发现安全漏洞,以及客观地评估当前网络存在的风险。网络管理员能够根据扫描的结果,及时修复安全漏洞和错误配置,防患于未然。相比较防火墙技术和入侵检测技术,漏洞扫描是一种主动的网络安全防护技术,可以有效避免网络攻击行为。
3.6 网闸技术
网闸技术在电子政务网络中,主要部署于电子政务外网和部委縱向专网的连接边界,实现不同网络之间的业务流转。它的设计是基于“不同时连接”,通过建立缓冲区使业务数据通过“摆渡”的方式实现交换,大大降低了跨网入侵的可能性。网闸技术的应用使得其摆渡的数据清晰可见,可以及时发现病毒与潜在的入侵,保障了网络边界的安全。但同时由于网闸为了支持复杂多样的业务数据,通常要开放各种通信协议,因此会降低安全检查的效果和力度。
3.7 防毒墙技术
防毒墙技术针对HTTP、HTTPS、SMTP、POP3、FTP、IMAP等常见应用协议的内容检查,实现病毒、木马、后门、蠕虫等恶意软件的扫描和双向实时检测过滤。可对Web上网、邮件、网络游戏、网络炒股、FTP、P2P、即时通讯等常见网络应用进行管控,配合细粒度的策略,实现电子政务网络业务安全保障。
4 结论
随着电子政务网络业务不断深化和发展,电子政务网络边界安全所面临的问题日趋严峻,在具体的设计和建设中,要短期目标和长期目标相结合,局部设计和全局规划相结合,尽量做到统一标准、统一规划、统筹安排,避免重复建设,在服务于业务需求的同时,保证边界安全防护系统具有实用性、先进性、可靠性、扩展性、易用性、规范性。同时,要用动态的、创新的、与时俱进的眼光来认识网络安全,定期进行安全风险评估和整改,加强日常的安全学习和运维管理。
参考文献:
[1]冉艳,胡学钢.构建市级电子政务安全平台[J].计算机技术与发展,2007,17(8):140-157.
[2]任金强,罗红斌,李素明. 国家电子政务外网信任体系建设初探[J]. 信息网络安全,2007(8):56-58.
[3]徐荣花,陈海东. 我国电子政务的发展[J]. 通信业与经济市场,2007(7):9-12.