摘 要 新疆电子政务外网是新疆维吾尔自治区省政府的城域业务专网,主要运行政务部门的各种党务、政务信息,新疆自治区党校通过新疆电子政务外网与互联系相连,各个子网之间在政务外网运行都存在着安全风险的差异,本文探讨了新疆党校网络应用时出现的安全问题,并对这些问题提出了应对方法和防护措施。
关键词 电子政务外网;安全保障体系;安全防护措施
0 引言
新疆电子政务外网是新疆维吾尔自治区省政府的城域业务专网,主要运行政务部门面向社会的专业性服务业务和不需要在内网上运行的业务,为政府各部门网上协同办公提供后台网络支撑和构建各自的业务专网提供公共网络服务。新疆维吾尔自治区政务外网物理网络平台由专业的网络运营商承建的,利用MPLS-VPN(多协议标签交换虚拟专网)技术构建。
新疆自治区党校通过新疆电子政务外网,传输的是党政机关的各种党务、政务信息以及最新国家政策的解读和最新思想的探讨,由此对安全性的要求较高。要保证电子政务外网与整个互联网的有效隔离外,还要保证整个新疆党校网络与同处于电子政务网内其它子网用户的有效的隔离。电子政务外网与整个互联网络的安全隔离工作由电子政务办进行实施和保障。新疆电子政务外网承载着近九十家政府部门的信息交换和处理,以及各种政务信息的传输,处理的信息量庞大,业务涉及广泛如:公文流转、新闻报道、政策发布等与国家政治、经济、军事有关的工作内容,要求网络有较高的稳定性和安全性,并且网络使用时间都集中在工作日,同一时段并发流量大。政府部门政务的稳定运行维系着社会的发展和稳定,这就要求网络具有高度的稳定性和连续性,以保障电子政务正常可靠的运行。
1 电子政务网的网络安全保障结构
1.1 电子政务网的安全体系划分
参考IATF 提出的网络安全保障模型,电子政务外网由政务子网、政务子网边界和网络基础设施三部分组成[2]。网络基础设施和政务子网边界由新疆电子政务办提供统一的政务外网服务器和互联网服务器托管服务,我省政务外网,根据实际需求和管理现状建设统一的数据中心,所有数据通过政务外网的安全防御系统与互联网相连。电子政务办根据安全的需求,建立合适的拓扑物理结构和加密策略,对整个政务网络进行安全保护。
1.2 电子政务子网
电子政务子网是指通过局域网相互连接、采用单一安全策略并且不考虑物理位置的本地计算机设备的集合[3]。电子政务系统的政务子网一般由政务机关内部的存储器、服务器、各类应用系统构成。所以子网内加载各类业务的服务器、数据库的应用安全对都整个政务网都产生着重要影响。新疆自治区党校的网络体系则处于电子政务子网体系内。
1.3 电子政务子网面临的安全问题
对于电子政务网络系统中的任意政务子网来说,其他政务子网都是不可信任的。各政务子网之间存在风险的差异,在制定安全策略和安全措施时都有所不同。为了阻止各政务子网之间的非法数据访问和存取,需要在各子网之间建立安全屏障,以阻止不安全的操作在子网间进行。
2 现新疆党校的网络安全现状
2.1 防火墙保护
为了保证网络路由的安全而在内部网和外部网之间所构造的硬件。所有通过的数据都须经由防火墙接受检查,禁止特定端口的对外通信,禁止来自特殊站点的访问。新疆党校配备H3C Secpah U200 防火墙,URL 过滤库包策略,有效的过滤了垃圾邮件、防黑客攻击,P2P 流量控制,简单的审计保护,支持H3C SecCenter 安全设备管理保护。
2.2 各类杀毒软件保护
新疆党校配有企业网络版的防病毒软件,对各类操作系统全面的支持。江民企业版防病毒软件客户端安装在服务器、工作站和网管终端,并设置定时升级、定时扫描,以及发现病毒上报功能。
2.3 VPN 虚拟专用网隔离保护
党校业务发展需要交换大量的数据和经常访问党校内部网络,共享数据资源。新疆党校与8 个地州党校及中央党校形成中心发散到节点的链路结构,以中央党校为中心结点,共享视频宽带、教学资源、最新政策点读、精品课程等信息资源。采用MPLS/BGP VPN 作为实现VPN 的加密技术保证,党校内部数据通过电子政务网安全传输至各地州党校,采用身份认证技术、加密数据包技术、IPSec 安全隧道协议、RSA SecuID 动态密钥配管理技术等传输数据。新疆党校与地州党校利用VPN 虚拟网络开视频会议、组织实时监考、及时传达上级党校精神,这样增加了各级党校之间的交流和学习机会。
2.4 Vmware 虚拟服务器做数据还原保护
VMware(Virtual Machine ware)是目前功能比较强大的基础架构虚拟套件,通过数据中心集中管理ESXi 主机、文件夹、群集、资源池、VSphsere VApp 和虚拟机。党校采用曙光Disk array 6310series 存储设备,并采用了多路径冗余保证iSCSI IPSAN 架构存储的高可用性。用两块4GB 的光纤存储卡
连入SAN 网络,与存储器两端形成双回路,保证了在数据访问中出现问题时,用另一路径继续数据交换。
2.5 涉密域和非涉密域的物理隔离保护
为了防止少数部门的敏感数据、涉密数据因线路与互联网相连出现泄密或被不法分子窃听,党校都采用将这些部门的网络与外网物理断开隔离的方法。将涉密内容和非涉密内容物理隔离,从而不会出现有密级的公文传输因网络线路的非正常状态造成泄密,新疆自治区党校在物理存储、各类交换机、应用服务器都分开处理做成两个网络环境,使外部网不能通过网络连接而侵入内部网,同时防止涉密信息泄漏到外部网络。
3 电子政务外网在新疆党校的应用时出现的安全问题
网络信息安全是电子政务的最重要一环。电子政务外网的所遇到的病毒和漏洞攻击70% 的攻击来自政务子网内各机关单位,这都是由网络安全管理不严造成的。新疆自治区党校的网络体系处于电子政务子网体系内,当党校的网络出现安全隐患,就会危及整个电子政务外网,产生许多不良后果。
3.1 子网内病毒传播
内网ARP 病毒攻击、木马程序内网传播、蠕虫病毒爆发会导致整个网络体系瘫痪。 蠕虫、木马程序在进入被攻击系统后, 会在网络上传播,可能导致网络被阻塞,使得党校的视频会议、远程课程无法顺利进行。
3.2 子网内无带宽限止
内网用户由于不规范的网络使用,在上班时间使用聊天工具聊天,网上购物、BT 下载、在线看电影等行为,造成网络出口带宽拥塞的情况,会影响到正常工作用户的带宽和稳定性。
3.3 子网内登录无身份认证
现党校学员上网情况复杂,有自带笔记本电脑上网,也有利用学员宿舍内电脑上网,学员流动性大,相关人员来访内并无身份认证和登记,所以电脑使用并无相关的管控措施。用户随机使用电脑登录,在校园网内就可实现对电子政务外网的网络访问。内网人员在网络上发表言论无记录信息,在需要配合电子政务办或公安部门调查就带来困难,为网络管理带来安全巨大隐患。
3.4 缺少网络监控系统
防止不明身份人员通过内网向互联网络发表危险言论、敌对势力利用网络搞渗透和破坏活动,内网应建立预警机制。在全网内监控不安全因素,定期对日志做审计,对网络文化健康发展起到监督作用。
4 解决应用电子政务外网时安全防护措施
4.1 建立信息安全制度
建立网络安全管理制度,并严格按制度执行,提高安全意识,提高保密意识,严禁涉密公文信息流入非涉密网络。要定期的对管理人员和办公使用人员进行网络安全、保密意识、操作规范方面的培训。分级分层设立系统管理员、信息管理员、信息联络员增强安全意识和安全隐患防范能力。
4.2 增加上网行为管理设备
由于新疆的特殊地理位置和特殊的政治形势,由“第三股势力”和境外敌对势力组成的分裂分子在疆内利用互联网进行煽动、渗透活动,在论坛上发表反动言论。这就需要及时监控对上网行为进行规范管理。新疆省电子政务外网配有较为全面和规范的安全审计功能,可以对电子政务子网内的不规范行为、非法入侵情况、反动言论进行监测和日志。但无法对处于电子政务内网的新疆党校内网具体发生事件进行安全审计,所以新疆党校急需配置上网行为管理设备、上网审计设备。
4.3 加强安全漏洞检查
大多数的网络入侵都是因为存在各种的系统漏洞。WindowsXP 系统将于今年4 月8 日使用到期,微软将不再打补丁,这些没有及时替换的操作系统势必会存在漏洞成为新的安全隐患。为了保证不存在安全隐患,要定时对重要服务器、操作系统进行漏洞扫描。
4.4 增加带宽管理设备
在与电子政务外网相接的入口部署带宽管理设备,可为不同的内网用户分配不同的带宽管理,如党校经常开视频会议,这时就可以将办工区的优先级别设置较低,学员宿舍区的优先级别设置最低,这样就可以保证在网络繁忙时段能正常的使用视频会议教学。带宽管理设备还可以控制P2P 软件、游戏、网络电影、炒股软件的使用,使得OA 等办公系统软件不受约束的应用,解决网络拥堵问题。
4.5 网页防篡改保护
政府网站的网页是对外宣传、开展业务的重要窗口,篡改网页影响到政府公众形象和民众对政府的信任度。网页经常成为用户访问政务资源、了解政策的通道,通过系统进程实时监测保护方法防止未授权用户篡改网页。
5 结论
新疆电子政务外网是新疆政府部门之间通过计算机网络而进行的信息共享和实时通信,为提高政府机关的工作效率和质量,增强科学性和服务性,保障我省电子政务在经济建设中发挥更为积极的作用而提出的,新疆自治区党校的网络体系处于电子政务子网体系内,当党校的网络出现安全隐患,就会危及整个电子政务外网,需要定期进行安全评估,合理运用安全技术,加强安全管理措施,以保证电子政务网络安全体系。
参考文献
[1]陈兵,钱兵燕,冯爱民,等.电子政务安全技术[M].北京:北京大学出版社,2005.
[2]美国国家安全局.信息保障技术框架(IATF3.0版) [M].北京:中软电子出版社,2002.
[3]宋劲松.网络入侵检测——分析、发现和报告[M].北京:国防工业大学出版社,2004.
[4]邵国安.国家电子政务外网的安全保障方案研究[J].电子政务,2010(11):23-27.
[5]刘增明,戈文杰.国家电子政务外网建设概况[J].电子政务,2008(6):11-17.
[6]庄仁团.福建省电子政务外网的安全管理策略研究[J]. 福建电脑,2013(2):62-65.
85597153
