伴隨網(wǎng)絡的普及���,安全日益成為影響網(wǎng)絡效能的重要問題,而Interne所具有的開放性�����、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求���。如何使信息網(wǎng)絡系統(tǒng)不受黑客和工業(yè)間諜的入侵�,已成為政府機構����、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。 政府機構從事的行業(yè)性質(zhì)是跟國家緊密聯(lián)系的���,所涉及信息可以說都帶有機密性����,所以其信息安全問題���,如敏感信息的泄露�����、黑客的侵擾、網(wǎng)絡資源的非法使用以及計算機病毒等�����。都將對政府機構信息安全構成威脅。為保證政府網(wǎng)絡系統(tǒng)的安全���,有必要對其網(wǎng)絡進行專門安全設計�。
根據(jù)其中國政府機關網(wǎng)絡系統(tǒng)的特點���,結合一些具體的網(wǎng)絡結構����,提出初步的網(wǎng)絡安全解決方案�,供政府部門參考。
政府機關網(wǎng)絡存在如下幾方面的問題:
- 政府機關內(nèi)部網(wǎng)絡的辦公信息的機密性�。
- 政府機關內(nèi)部網(wǎng)絡資源的權限訪問控制。
- 政府機關內(nèi)部網(wǎng)絡被外部非法入侵����。
- 后門程序?qū)φ畠?nèi)主機的威脅。
- 病毒的威脅�����。
- 信息的濫用和傳播����,不允許的重要信息被人非法傳到外部��。
- 各級政府機關間信息傳播被竊取�,篡改�。
- 政府對外網(wǎng)站被篡改、破壞�。嚴重影響政府形象。
針對政府機關網(wǎng)絡存在的"隔離"��,"信息保密"���;"防主頁篡改"等需求�,提出如下一些網(wǎng)絡安全的解決方案�����。
1.防火墻
將防火墻部署在路由器與受保護的內(nèi)部網(wǎng)絡之間��,作為數(shù)據(jù)包進/出的唯一通道�����。運行中的防火墻�,通過嚴格的訪問限制,控制進出網(wǎng)絡的數(shù)據(jù)包�����。同時�、通過設置DMZ實現(xiàn)政府對外網(wǎng)站及信箱與外部暢通的訪問。
2 數(shù)據(jù)加密及傳輸安全
通過VPN技術�����,提高各極政府機關的子網(wǎng)間的信息(如電子公文�,MAIL…)傳輸過程中的保密性和安全性。
入侵檢測系統(tǒng):入侵檢測系統(tǒng)能夠有效地防止各種類型的攻擊���,中心數(shù)據(jù)庫放置在DMZ區(qū)�,通過在網(wǎng)絡中不同的位置放置比如內(nèi)網(wǎng)�����、DMZ區(qū)網(wǎng)絡引擎���,可與中心數(shù)據(jù)庫進行通訊�,獲得安全策略��,存儲警報信息,并針對入侵啟動相應的動作����。管理員可在網(wǎng)絡中的多個位置訪問網(wǎng)絡引擎,對入侵檢測系統(tǒng)進行監(jiān)控和管理�。
網(wǎng)絡隱患掃描系統(tǒng):網(wǎng)絡隱患掃描系統(tǒng)能夠掃描網(wǎng)絡范圍內(nèi)的所有支持TCP/IP協(xié)議的設備,掃描的對象包括掃描多種操作系統(tǒng)���,掃描網(wǎng)絡設備包括:服務器����、工作站�����、防火墻����、路由器、路由交換機等����。在進行掃描時,可以從網(wǎng)絡中不同的位置對網(wǎng)絡設備進行掃描。掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析�����,可以方便直觀地對用戶進行安全性能評估和檢查�����。
3��、網(wǎng)站的恢復與實時恢復
對政府對外網(wǎng)站信息的實時監(jiān)控及數(shù)據(jù)恢復��,防止惡意破壞政府機關對外形象的發(fā)生��。
4�����、網(wǎng)絡防病毒
控制整個政府機關網(wǎng)絡免受病毒侵害����,保證網(wǎng)絡系統(tǒng)中信息的可用性���,構建從主機到服務器的完善的防病毒體系����。以服務器作為網(wǎng)絡的核心,通過派發(fā)的形式對整個網(wǎng)絡部署殺毒����,同時要對Lotus Domino內(nèi)進行查殺毒。
5���、網(wǎng)絡內(nèi)的信息流動的監(jiān)控
對網(wǎng)絡內(nèi)流動的信息進行監(jiān)控�,防止非法訪問信息的傳播和記錄控制非法信息的傳播��、對"涉密信息"進行安全防護�����。
6�����、網(wǎng)絡內(nèi)的權限控制
通過目錄服務等操作系統(tǒng)存在的服務隊對主機內(nèi)的資源進行權限訪問的控制����,可將具體的安全控制到文件級。通過對網(wǎng)絡作安全的劃分控制�����、如通過設置"vlan"等,對整個網(wǎng)絡進行權限控制����。
