信息安全论文政务网信息安全问题浅析
所属栏目:信息安全论文
发布时间:2013-11-14 16:22:47 更新时间:2013-11-14 16:07:46
摘要:本文通过对当前政务网存在的安全问题的分析,提出了在政务网建设当中应遵循的安全原则,并就存在问题给出了具体的解决方案。
关键字:政务网,安全,原则
一、引言
随着我国政务网的不断发展,政务网络在提高政府行政效能,促进政务职能转变,提升政府竞争能力,拓宽民主参与渠道等诸多方面起到了积极的作用。但在电子政务蓬勃发展的同时,与政务网密切相关的安全问题日显突出。据同家互联网应急中心(CNCERT)的统计显示,2008年上半年我国大陆地区被篡改的.gov.cn网站数量比2007年上半年增加41%,共计2242个,占被篡改网站总数的比例达到7%,而.gov.cn域名仅占.cn域名总数的2.3%,这些数据表明,.gov.cn网站遭受黑客攻击的可能性相对较高,这无疑给我们的政务网安全管理部门敲响了警钟。
二、查找问题让政务网信息安全隐患无处躲藏
面对日益严峻的安全问题,跟在安全事件的后面盲目的解决不是最好办法,怎样才能把安全问题的发生机率降到最低,做到防患于未然才是行之有效的解决办法。
从目前我国的政务网现状来看,存住的问题主要有以下几个方面。
软硬件本身存在缺陷政务网以互联网为主要载体,而互联网所采用的TCP/IP协议在设计以效率为主,没有考虑安全因素,导致很多基于TCP/IP的应用服务都在不同程度上存在着安全问题。对于那些可以熟练掌握TCP/IP的人来说,就可以利用协议本身的漏洞对政务网安全构成威胁。
*非法访问
由于网络本身就是以广播方式进行信息传递的,这使得在未采用加密措施的网络中,信息的篡改、窃取成为可能,攻击者在掌握了数据格式并进行恶意添加、修改数据之后,可以冒充合法用户主动的接收信息或发送非法信息给远端用户,而远端用户通常难以分辨真伪。
*病毒
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。由此可见,计算机病毒的出现就是以破坏为目的,尤其是在当前的网络时代,病毒的破坏性大大高于单机系统,电脑一旦中毒,它感染木马、其它病毒的机率会大大增加,同时,也会对整个网络进行病毒传播、ARP攻击等,从而导致整个网络瘫痪。从近些年来的病毒变种速度和流行趋势来看,病毒发展呈现出对抗防病毒软件、传播方式多样化、病毒变形和隐身伪装能力增强等特征,这大大增加了防范病毒的难度。
*木马、僵尸网络.
木马是一种具有隐藏性、自发性的呵被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主要目的。计算机一旦被植入木马,其重要文件和信息不仅会被窃取,用户的一切操作行为也都会被密切监视,而且还会被攻击者远程操控实施对周围其他计算机的攻击。
僵尸网络是指骨由黑客通过控制服务器间接集中控制的僵尸程序感染计算机群。僵尸程序一般是由攻击者专门编写的类似木马的控制程序。由于受控计算机数目很多,攻击者可以实施信息窃取、垃圾邮件、网络仿冒、拒绝服务攻击等各种恶意活动。木马和僵尸网络都是非常有效的远程监听和控制手段,对当前政务网络的安全构成了严重的威胁。
三、掌握原则为政务网安全建设指明方向
在政务网的安全建设中,需要权衡好安全、成本、效率二者之间的关系。曾经有人把政务网的安全建设比作是“门”与“锁”的关系,也就是说,对于一扇门,锁越多,门的安全性越高,但随之带来的成本会相应增加,效率会柑应降低。所以说,我们在进行政务网安全设计时,必须根据实际情况,协调处理好安全、成本和效率三者之间的关系。具体来说,在实施过程中,我们应遵循以下几点原则:
1安全保密原贝吐这一原则是我们在建设政务网的初期就应该综合考虑的重要原则之一。政务网是政府和公民进行信息交流的平台,这个平台上的数据有可公开信息,也有需要保密的非公开信息。因此安全即为一重要因素。
2可扩展性所采用的系统的先进性和可扩展性也是我们应重点考虑的。因为任何一套完整的系统不可能只在短时间内发挥作用。为更加方便日后的系统升级,我们在建没初期应把它的可扩展性纳入到应遵循的原则之中。当然,在建设当中,还有诸如:可靠性,可行性及可控性原则也是必不可少的。
四、多方合力构造安全的网络环境
政务网安全体系的建设是一项系统工程,我们在遵循以上原则的基础上,要多方配合,才能为我们的政务网安全筑起一道坚不可摧的安全防线。
(一)增强相关工作人员的安全防范意识
当前安全管理工作中首要的突出问题是工作人员的安全意识淡泊,对网络安全重视程度不够,安全措施落实不到位,甚至存在违规操作。因此,在实际工作当中,我们应不断地增强相关工作人员的安全防范意识,在头脑中绷紧安全这根弦,从根本上杜绝由于工作人员的粗心大意而造成的安全问题。同时,应加大对工作人员的安全技能培训力度,工作人员对安全知识的掌握程度直接关系到政务网的安全保障应用程度。因此,对工作人员应采取必要的安全技能培训,不断地丰富他们的业务知识,以尽快建立起一支政治可靠、技术精湛、作风优良的内部技术人员队伍。
(二)建立健全相关的安全管理制度、法规
全球网络犯罪案件增长,显示了对网络犯罪的打击和遏制力量明显不足。法律法规可以起到加强信息安全管理、打击网络犯罪的重要作用。可以说,离开了法律,信息安全将是脆弱的。
目前,我国在网络信息安全方面制定了相当数量法律、法规及一些规范性的文件,但仍有许多不足之处,如缺乏统一标准、监管成本高、可操作性不强等。因此,我们应允分认识到依法保障和促进信息网络健康发展的重要性,尽快完善相应法律、法规建设,使信息安全管理有法可依。
(三)强化技术保障
一个相对安全的政务信息网络,离不开严密的技术支持。对于政务网的安全技术手段,我们可以从以下几个方面人手:
1.防火墙技术
防火墙技术是为了保证网络路由的安全而在内部网和外部网之间所构造的软件。所有通过的数据都须经由防火墙接授检查,这样可以过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以禁止特定端口的对外通信,禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。防火墙技术的实现一般可分为两种,一种是分组过滤技术,一种是代理服务技术。分组过滤基于路由器技术,其原理是由分组过滤路由器对IP分组进行选择,根据特定组织机构的网络安全准则过滤掉某些IP地址,从而达到保护内部网络的作用。代理服务技术是由一个高层应用网关作为代理服务器,对于任何外部网的应用连接请求首先进行安全检查,然后再与被保护网络应用服务器进行连接。
2.PKI技术
PKI技术是一种广泛应用于电子商务的安全技术,它是用公钥概念和技术实施提供安全服务的具有普适性的安全基础设施。它由公开密钥码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等共同组成。其中认证中心CA是PKI的核心,负责管理PKI结构下的所有用户证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户身份等等。
3.物理隔离
所谓物理隔离是指内部网不得直接或间接连接公共网络。这种技术通过在每台电脑主板插槽安装物理隔离卡、双硬盘,把一台普通计算机分成两台虚拟机,实现真正的物理隔离。物理隔离卡的使用,使内部网与公共网实现了物理上的隔离,从根本上保证了内部信息网络不受来自互联网的攻击,此外,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,更便于内部管理。
在应用成熟的安全技术的同时,我们还应该加大对自主研发的投入力度,加强科研能力,研发出更加适合我国政务网实际情况的安全技术
(四)完善网络应急处理协调机制
为有效防范和应对各类网络安全事件,提高应对安全事件的能力,我们应尽快构建起完善的网络应急体系,通过整体部署入侵检测与预警系统作为有效的技术手段,建立起以客户安全队伍为基础、技术服务队伍为后备的组织管理、预案流程、制度规范等综合措施,以便尽早对有重大危害的计算机和网络安全事件进行发现、分析和确认,并对其进行响应,以降低可能造成的风险和损失的综合安全体系。