1. 电子政务概述
所谓电子政务就是将政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上去完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效优质、规范透明和全方位的管理与服务。
实现电子政务的意义在于突破了传统的工业时代"一站式"的政府办公模式,建立了适应网络时代的"一网式"、"一表式"新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作的效率。
1.1. 我国电子政务的建设背景
联合国教科文组织在2000年对62个国家(其中,39个为发展中国家、23个为发达国家)所进行的调查,89%的国家都在不同程度上着手推动电子政务的发展,并将其列为国家级的重要事项。
根据我国"十五"期间信息化规划思路,要求把党政机关信息化提高到一个新的水平,以适应21世纪初国民经济宏观调控和党政机关管理的需要,满足国际竞争环境的要求,提高党政机关工作效率和决策质量,实现党政机关部门间信息共享。
我国电子政务建设的主要任务:一是建立健全党政机关信息管理体制;二是加快建设党政机关专用信息网络,支持党政机关部门内部信息共享,促进党政机关间的信息交换;三是加快党政机关信息资源开发利用等。
1.2. 电子政务的网络结构与应用系统
我们在这里以省级电子政务网为例介绍电子政务的网络结构和系统应用。电子政务网是为省委、省人大、政府、政协等政府机关单位而建立的统一的计算机信息网 络,提供宽带、高速、安全、便捷的多媒体交换平台,主要功能包括:数据、视频、语音、多媒体通信、视频会议、数据共享、安全防护等功能,满足多媒体网络通信和省委、省政府、省委机要局的机要通信的要求。
电子政务整个网络应呈树状结构,由省直机关宽带网、纵向网、外网组成。
在纵向上分为三级,以省会城市交互中心为网络的顶级节点、各地市级交互中心为二级节点、各区县级交互中心为三级节点组成宽带多媒体综合信息网。
2. 电子政务网络安全风险分析
电子政务专用网络目前面临的主要问题:
管理者怎样正确把握政务发展规律
网络所面临的安全问题
工作人员具备现代化办公素质
开发商能否对电子政务正确理解
开发商有没有集成复杂系统的能力
系统能不能保证高度的安全可靠性
服务对象能不能适应新的政府办公方式
开发商设计的方案能否满足不断提升的政府办公的需要
开发商开发的电子商务应用系统是否具有较高的可用性与稳定性,是否易于维护
对于电子政务专用网络内部而言,还具有资源分类别、分级别、密级区别等特点,各个用户、各个部门拥有自主储存、使用和传递共享的资源。因此,电子政务专用网络内部也必须对各种信息的储存、传递和使用必须进行严格的权限管理。我们认为在指导思想上,首先应在对电子政务专用网络安全风险分析的基础上,做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟交换网络(VLAN)、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI技术等,并实现集中统一的配置、监控、管理;最后,应加强有关网络安全保密的各项制度和规范的制定,并予以严格实行。
为了便于分析网络安全风险和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际 的、可行的网络安全整体解决方案。
从系统和应用出发,网络的安全因素可以划分到如下的五个安全层中,即物理 层、系统层、应用层、网络层和安全管理。
2.1. 物理层的安全风险分析
网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。它是整个网络系统安全的前提。
2.2. 网络层安全风险分析
网络层的风险主要可分为以下几类:数据传输风险(重要业务数据泄露、重要数据被破坏)、网络边界风险(对电子政务网络中任意节点来说,其它所有网络节点都是不可信任域,都可能对该系统造成一定的安全威胁)、网络设备安全风险)由于电子政务专用网络系统中大量的使用了网络设备,如交换机、路由器等。使得这些设备的自身安全性也会直接关系的电子政务系统和各种网络应用的正常运转)。
2.3. 系统层的安全风险分析
系统级的安全风险分析主要针对电子政务专用网络采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。电子政务专用网络通常采用的操作系统(主要为Windows 2000 server/professional,Windows NT/Workstation,Windows ME,Windows 95/98、UNIX)本身在安全方面考虑较少,服务器、数据库的安全级别较低,存在一些安全隐患。同时病毒也是系统安全的主要威胁,所有这些都造成了系统安全的脆弱性。
2.4. 应用层安全风险分析
电子政务专用网络应用系统中主要存在以下安全风险:对政务系统的非法访问;用户提交的业务信息被监听或修改;用户对成功提交的业务进行事后抵赖;服务系统伪装,骗取用户口令。
由于电子政务专用网络对外提供WWW服务、E-MAIL服务、DNS服务等,因此存在外网非法用户对服务器攻击。
下面从身份认证、DNS、WWW、邮件、文件服务等几方面分别加以详细说明:
2.4.1. 身份认证漏洞
服务系统登录和主机登录使用的是静态口令,口令在一定时间内是不变的,且在数据库中有存储记录,可重复使用。这样非法用户通过网络窃听,非法数据库访问,穷举攻击,重放攻击等手段很容易得到这种静态口令,然后,利用口令,可对资源非法访问和越权操作。
2.4.2. DNS服务威胁
Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。但是,域名服务通常为 hacker提供了入侵网络的有用信 息,如服务器的IP、操作系统信息、推导出可能的网络结构等。
同时,新发现的针对BIND-NDS实现的安全漏洞也开始发现,而绝大多数的域名系统均存在类似的问题。如由于DNS查询使用无连接的UDP协议,利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系。
2.4.3. www服务漏洞
Web Server是政府对外宣传、开展业务的重要基地,也是国家政府上网工程的重要组成部分。由于其重要性,理所当然的成为Hacker攻击的首选目标之一。
Web Server经常成为Internet用户访问政府内部资源的通道之一,如Web server通过中间件访问主机系统,通过数据库连接部件访问数据库,利用CGI访问本地文件系统或网络系统中其它资源。但Web服务器越来越复杂,其被发现的安全漏洞越来越多。
2.4.4. 电子邮件系统漏洞
电子邮件为网系统用户提供电子邮件应用。内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些恶意程序(如,特洛伊木 马、蠕虫等)、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。
2.5. 管理层安全风险分析
再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。
电子政务应按照国家关于计算机和网络的一些安全管理条例,如《计算站场地安全要求》、《中华人民共和国计算机信息系统安全保护条例》等,制订安全管理制 度。
责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作 等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
3. 电子政务网络安全方案设计
3.1. 网络安全方案设计原则
网络安全建设是一个系统工程,电子政务专用网络系统安全体系建设应按�"统一规划、统筹安排,统一标准、相互配套"的原则进行,采用先进的"平台化" 建设思 想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。
在进行网络系统安全方案设计、规划时,应遵循以下原则:
需求、风险、代价平衡的原则
综合性、整体性原则
一致性原则
易操作性原则
适应性、灵活性原则
多重保护原则
可评价性原则
3.2. 电子政务网络安全解决方案
3.2.1. 物理层安全解决方案
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方 面:环境安全、设备安全、线路安全。
为了将不同密级的网络隔离开,我们还要采用隔离技术将核心密和普密两个网络在物理上隔离同时保证在逻辑上两个网络能够连通。
3.2.2. 网络层安全解决方案
3.2.2.1. 防火墙安全技术建议
电子政务网络系统是一个由省、各地市、各区县政府网络组成的三级网络体系结构,从网络安全角度上讲,他们属于不同的网络安全域,因此在各中心的网络边界,以及政务网和Internet边界都应安装防火墙,并需要实施相应的安全策略控制。另 外,根据对外提供信息查询等服务的要求,为了控制对关键服务器的授权访问控制,建议把对外公开服务器集合起来划分为一个专门的服务器子网,设置防火墙策略来保护对它们的访问。
网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问控制,采用安全检测手段防范非法用户的主动入侵。
采用的防火墙产品应具有以下功能:
基于状态检测的分组过滤
多级的立体访问控制机制
面向对象的管理机制
支持多种连接方式,透明、路由
支持OSPF、IPX、NETBEUI、SNMP等协议
具有双向的地址转换能力
透明应用代理功能
一次性口令认证机制
带宽管理能力
内置了一定的入侵检测功能或能够与入侵检测设备联动
远程管理能力
双机热备功能
负载均衡
支持动态IP地址
内嵌VPN功能支持
灵活的审计、日志功能
3.2.2.2. 入侵检测安全技术建议
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保 护,降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够,主要表现在以下几个方面:
入侵者可寻找防火墙背后可能敞开的后门。
入侵者可能就在防火墙内。
由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
保护措施单一。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如发现违规访问、阻断网络连接、内部越权访问等,发现更为隐蔽的攻击。
电子政务专用网络系统安全体系必须建立一个智能化的实时攻击识别和响应系 统,管理和降低网络安全风险,保证网络安全防护能力能够不断增强。
目前网络入侵安全问题主要采用网络入侵监测系统等成熟产品和技术来解决。网络入侵检测系统应能满足以下要求:
能在网络环境下实现实时地分布协同地入侵检测,全面检测可能的入侵行为。能及时识别各种黑客攻击行为,发现攻击时,阻断弱化攻击行为、并能详细记录,生成入侵检测报告,及时向管理员报警。
能够按照管理者需要进行多个层次的扫描,按照特定的时间、广度和细度的需求配置多个扫描;
能够支持大规模并行检测,能够方便地对大的网络同时执行多个检测;
所采用的入侵检测产品和技术不能被绕过或旁路。
检测和扫描行为不能影响正常的网络连接服务和网络的效率。
检测的特征库要全面并能够及时更新。
安全检测策略可由用户自行设定,对检测强度和风险程度进行等级管理,用户可根据不同需求选择相应的检测策略。
能够帮助建立安全策略,具有详细的帮助数据库,帮助管理员实现网络的安全,并且制定实际的、可强制执行的网络安全策略。
3.2.2.3. 数据传输安全建议
为保证数据传输的机密性和完整性,同时对拨号用户接入采用强身份认证,建议在电子政务专用网络中采用安全VPN系统,系统部署如下,在省交互中心、各地市和各区县统一安装VPN设备,对于移动用户安装VPN客户端软件。
VPN应具有以下功能:
信息透明加解密功能,支持网络IP数据包的机密性保护。网络密码机串联在以太网中,凡是流经的IP报文无一例外地都要受到它的分析和检查,根据需要进行加解密和认证处理。信息加解密功能支持政务系统专有的业务服务,及WWW、FTP、SMTP、 Telnet等基于TCP/IP的服务。
信息认证功能,支持IP数据包的完整性保护。流过的IP报文在被加解密的同时,还要进行认证处理,由加密方在每个报文之后都自动附有认证码,其他人无法伪造,在接收方对该认证码进行验证,保证了信息的完整性和不可篡改性。
防火墙功能,支持网络访问控制机制,防止外部非法用户攻击。在操作系统底层直接实现报文包过滤技术、IP地址伪装技术(NAT),并与信息加密、认证机制无缝结合。可以保证局域网的边界安全,防止了通常的类似于IP spoofing(IP地址欺 骗)的攻击。
支持远程分布式集中统一管理功能。
安全审计及告警功能,支持对网络非法访问操作的审计和自动告警。VPN网关对流过的报文进行动态过滤分析,根据网络安全审计策略,自动调度审计进程,进行审计记录,产生审计报告,并以多种方式,如语音、E-mail等方式对非法事件进行实时告警,以便安全管理员在第一时间了解情况,做出正确的应对措施,以尽可能的将非法事件造成的损失降低至最小。
3.2.3. 系统层安全解决方案
系统层安全主要包括两个部分:操作系统安全技术以及数据库安全技术。对于关键的服务器和工作站(如数据库服务器、WWW服务器、代理服务器、 Email服务器、病毒服务器、DHCP主域服务器、备份服务器和网管工作站)应该采用服务器版本的操作系统。典型的有:SUN Solaris、HP Unix、Windows NT Server、Windows 2000 Server。网管终端、办公终端可以采用通用图形窗口操作系统,如Windows/3x、Windows 95/98、Windows NT Workstation/Server、Windows 2000等。数据库管理系统应具有如下能力:
自主访问控制(DAC):DAC用来决定用户是否有权访问数据库对象;
验证:保证只有授权的合法用户才能注册和访问;
授权:对不同的用户访问数据库授予不同的权限;
审计:监视各用户对数据库施加的动作。
数据库管理系统应能够提供与安全相关事件的审计能力:
试图改变访问控制许可权
试图创建、拷贝、清除或执行数据库。
系统应提供在数据库级和纪录级标识数据库信息的能力。
3.2.4. 应用层安全技术方案
根据电子政务专用网络的业务和服务,我们采用身份认证技术、防病毒技术、以及对各种应用服务的安全性增强配置服务来保障网络系统在应用层的安全。
3.2.4.1. 身份认证技术
"公钥基础设施"对于实现电子的或网上的"业务处理",使电子政府达到其成熟阶段具有不可或缺的,极为重要的意义。同时,"公钥基础设施"也是信息时代所有社会经济活动中所不可缺少的一项基础设施。
公钥基础设施是由硬件、软件、各种产品、过程、标准和人构成的一个一体化的结构,正是由于它的存在,才能在电子事务处理中建立信任和信心。
公钥基础设施可以做到:
确认发送方的身份
保证发送方所发信息的机密性
保证发送方所发信息不被篡改
发送方无法否认已发该信息的事实
公开密钥基础设施(PKI)是一种遵循标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。 PKI必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKI也将围绕着这五大系统来构建。
因此有必要在省交互中心建立CA中心,为应用系统的可靠运行提供支持。
3.2.4.2. 防病毒技术
病毒是系统中最常见、威胁最大的安全来源,建立一个全方位的病毒防范系统是电子政务网络系统安全体系建设的重要任务。
目前主要采用病毒防范系统解决病毒查找、清杀问题。
根据电子政务的网络结构和计算机分布情况,病毒防范系统的安装实施要求为:能够配置成分布式运行和集中管理,由防病毒代理和防病毒服务器端组成。
防病毒客户端安装在系统的关键主机中,如关键服务器、工作站和网管终端。在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀,设定病毒防范策略。能够从多层次进行病毒防范,第一层工作站、第二层服务器、第三层网关都能有相应的防毒软件提供完整的、全面的防病毒保护。
3.2.5. 安全管理方案建议
3.2.5.1. 安全体系建设规范
电子政务网络系统建设整网安全需要一套统一的安全体系建设规范,此规范应结合电子政务专用网络的实际情况制定,然后在全网统一实施。
3.2.5.2. 安全组织体系建设
实施安全应管理先行,安全组织体系的建设势在必行。应在省中心和各地市建立网络安全建设领导委员会,该委员会应由一个主管领导,网络管理员,安全操作员等人员组成。省中心的安全委员会负责安全系统的总体实施。
主管领导应领导安全体系的建设实施,在安全实施过程中取得相关部门的配合。领导整个部门不断提高系统的安全等级。
网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略。
安全操作员负责安全系统的具体实施。
另外,在省中心应建立安全专家小组,负责安全问题的重大决策。
3.2.5.3. 安全管理制度建设
面对网络安全的脆弱性,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。
制定安全管理制度,实施安全管理的原则为:
1) 多人负责原则。每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作。
2) 任期有限原则。一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久性的。
3) 职责分离原则。除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。
其具体工作为:
确定该系统的安全等级。
根据确定的安全等级,确定安全管理的范围。
制定安全管理制度。
完整的安全管理制度必须包括以下几个方面:
人员安全管理制度
操作安全管理制度
场地与设施安全管理制度
设备安全使用管理制度
操作系统和数据库安全管理制度
运行日志安全管理
备份安全管理
异常情况管理
系统安全恢复管理
安全软件版本管理制度
技术文档安全管理制度
应急管理制度
审计管理制度
运行维护安全规定
第三方服务商的安全管理
对系统安全状况的定期评估策略
技术文档媒体报废管理制度
3.2.5.4. 安全管理手段
安全技术管理体系是实施安全管理制度的技术手段,是安全管理智能化、程序 化、自动化的技术保障。安全技术管理对OSI的各层进行综合技术管理。
网络安全管理,主要对电子政务网络安全体系的防火墙、入侵检测系统等网络安全设备进行管理;
应用安全管理,主要对电子政务网络安全体系的应用安全系统进行管理,如用户认证系统的管理、病毒防范系统的管理。
下面详细描述安全管理技术:
1. 网络安全管理
2 在网管平台、网管应用软件的控制下,网管控制台通过SNMP、RMON协议与被管设备、主机、服务进行通信,实现有关的安全管理。
维护并识别被管设备、主机、服务的身份,防止非法设备、主机、服务的接入,防止设备、主机、服务之间的非法操作。
实时监视被管设备、主机、服务的运行,发生异常时向管理员报警。
维护被管设备、主机、服务的配置信息,防止非授权修改,配置遭到破坏时可自动恢复。
维护网络的安全拓扑,确保交换、路由、虚网的正常运行。
配置网络的安全策略,设置网络边界安全设备的访问控制规则和数据包加解密处理方式。
审计、分析网络安全事件日志,形成安全决策报告。
实现网络安全风险集中统一管理,如入侵检测系统、漏洞扫描系统的管理。
2. 应用安全管理
在应用安全管理平台的支持下,安全管理员使用安全控制台实施应用安全管理策略。安全管理员可以:
建立和维护用户账号。
建立和维护被管资源的连接和目录。
建立和维护访问控制列表。
统计、分析审计记录信息。
配置、维护安全平台。
设置会话密钥生命期等。
扫描和防杀病毒。
4. 天融信Topsec电子政务安全解决方案
根据第三章网络安全方案建议,我们针对电子政务提出了天融信Topsec安全解决方案。
在电子政务的Topsec安全方案中天融信"网络卫士"防火墙作为整个安全平台的核心,网络卫士防火墙通过TOPSEC协议接口与外围的TSS密切交互,使原本孤立的安全产品和系统与网络卫士防火墙有机联动和协同工作,构成一个完整的、积极防御的安全体系平台,实现了动态地、自适应地调整安全策略,通过配置动态规则实现动态过滤,从而大大提高了整个系统的安全性。
电子政务Topsec网络安全解决方案拓扑结构如下图所示:
TOPSEC安全解决方案建立在TOPSEC安全体系之上,通过标准的、可扩展的体系结构,有机集成安全体系中100%产品和技术,如防火墙、VPN、 IDS、防病毒、URL、认证、审计等。构建一个以防火墙为核心和执行中心,多种安全技术和产品协同工作的高度集成的、高性能、稳定可靠的、易于管理的、完整的、动态的、可扩充的解决方案,不但能最大程度的提高了网络的安全性,保证各种应用的安全进行,而且便于管理和维护。TOPSEC解决方案成为中国安全界公认的安全解决方案。
4.1. Topsec安全整体解决方案具有的优势
opsec解决方案使不同产品不同厂商的安全产品相互联动、协同工作有机的结合起来,符合网络安全的整体性与动态性要求。
Topsec解决方案最大限度的允许用户自由选择性能价格比最好的安全产品。
Topsec解决方案使最终用户与合作伙伴都从中获益。