保证电子政务安全运行是电子政务构建与运作过程中的首要问题和核心问题。为了保障政府的管理和服务职能的有效实施,要严格控制对信息的访问权限,解决好信息共享与保密性、完整性的关系,开放性与保护隐私的关系,互联性与局部隔离的关系。
一、电子政务网络安全的主要影响因素
电子政务网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响电子政务网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的。
*+,-。/012
网络物理安全是整个网络系统安全的前提。物理安全的风险主要有:不可控制的自然灾害,如地震、火灾、水灾、雷击等环境事故,轻则造成业务工作混乱;电源故障造成设备断电以至操作系统引导失败、数据库丢失或信息泄漏;电磁辐射可能造成数据信息被窃取或偷阅;报警系统的设计不足可能造成原本可以防止但实际发生了的事故。
*3,456789
具体包括以下方面:一是资源共享问题,政府系统内部的办公网络应用通常是共享网络资源,比如文件共享、打印机共享等。因为缺少必要的访问控制策略,由此就可能存在着员工无意中把硬盘中的重要信息目录共享,长期暴露在网络邻居上的问题,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密。二是电子邮件系统问题,内部网用户可能通过拨号或其他方式进行电子邮件发送和接收,这就存在被黑客跟踪或收到一些特洛伊木马病毒程序等。由于许多用户安全意识比较淡薄,对一些来历不明的邮件没有警惕性,给入侵者提供机会,给系统带来不安全因素。三是病毒侵害,病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。四是数据信息问题,数据在网上传输,很难保证在传输过程中不被非法窃取、篡改。目前很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做手脚,获得在网上传输的数据信息,造成泄密。
*:,45;7&;;lt;=
这是网络所面临的最大威胁。可以分为以下两种:一是主动攻击,即以各种方式有选择地破坏信息的有效性和完整性;如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。二是被动攻击,这是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。网络安全不仅是入侵者到内部网上进行攻击、窃取或其他破坏,还完全有可能在传输线路上安装窃听装置,窃取网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性。
’()*+,-。/012
网络软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过的黑客攻入网络内部的事件,大部分就是因为安全措施不完善所招致的苦果。另外,有些软件在开发时预留了“后门”,一般不为外人所知,这一方面为软件调试或进一步开发和远程维护提供了方便,但也为非法入侵提供了通道。一旦“后门”洞开,其造成的后果将不堪设想。
3456789
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。据调查,在已有的网络安全攻击事件中,约70%是来自内部网络的侵犯。
二、安全体系建设的目标
针对不同安全风险必须采用相应的安全措施来解决,使网络安全达到一定的安全目标。
3:5;&;;lt;=&;;gt;
1.物理上安全需求
由于重要信息可能通过电磁辐射或线路干扰等泄漏,需要对存放机密信息的机房进行必要的设计,如构建屏蔽室,采用辐射干扰机,防止电磁辐射泄漏机密信息,对重要的设备进行备份,对重要系统进行备份等安全保护。
2.访问控制需求
(1)防范非法用户非法访问
非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全,如用户名及口令这些简单的控制。对于用户名及口令的保护方式,对有攻击目的的人根本就不是一种障碍。他们可以通过对网络上信息的监听或猜测,得到用户名及口令。因此,要采取一定的访问控制手段,防范来自非法用户的攻击,只有合法用户才能访问合法资源。
(2)防范合法用户非授权访问
合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了不该访问的资源。一般来说,每个成员的主机系统中,有一部分信息可以对外开放,而有些信息则要求保密或具有一定的隐私性。外部用户被允许正常访问一定的信息,但他同时也可能通过一些手段越权访问了别人不允许他访问的信息,因而造成他人的信息泄漏。因此,必须对服务及访问权限进行严格控制。
(3)防范假冒合法用户非法访问
从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源,那么,入侵者便会在用户下班或关机的情况下,假冒合法用户的IP地址或用户名等资源进行非法访问。因此,必须从访问控制上做到防止假冒而进行的非法访问。
3.加密机需求
加密传输是网络安全的重要手段之一。信息的泄漏很多都是在链路上被搭线窃取,数据也可能因为在链路上被截获、篡改后传输给对方,造成数据真实性、完整性得不到保证。如果利用加密设备对传输数据进行加密,使得在网上传输的数据以密文传输,即使在传输过程中被截获,入侵者也读不懂。而且加密机还能通过先进技术手段,对数据传输过程中的完整性、真实性进行鉴别。因此,必须配备加密设备对数据进行传输加密。
4.入侵检测系统需求
入侵检测系统在发现入侵者后,会及时做出响应,包括切断网络连接、记录事件和报警等。入侵检测可以帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。成功的入侵检测系统不但可使系统管理员时刻了解网络系统的任何变更,还能给网络安全策略的制订提供指南。
5.安全风险评估系统需求
网络系统存在安全漏洞和操作系统安全漏洞等,是黑客等入侵者攻击屡屡得手的重要原因。入侵者通常都是通过一些程序来探测网络系统中存在的一些安全漏洞,然后通过发现的安全漏洞,采取相应技术进行攻击。因此,必须配备网络安全扫描系统和系统安全扫描系统,检测网络中存在的安全漏洞,并采取相应的措施填补系统漏洞,对网络设备等重新进行安全配置。
6.防病毒系统需求
针对病毒危害性极大并且传播十分迅速,必须配备从单机到服务器的整套防病毒软件,实现全部网络系统的病毒安全防护。
7.安全管理体制
总体上说,我国网络安全管理与保卫工作是滞后的。不少单位还停滞在传统上的“看家护院”式的工作模式上,没有建立相应的电子化业务安全防范机制,缺乏行之有效的安全检查保护措施。许多网络犯罪行为尤其是非法操作都是利用联网的电脑管理制度上的漏洞而得逞的。人的安全意识可以通过安全常识培训来提高,人的行为约束只能通过严格的管理体制,并利用法律手段来实现。
8.构建CA系统
为确保信息的安全性、完整性、正确性和不可否认性等问题,目前国际上先进的方式是采用信息加密技术、数字签名技术。具体实现的办法是使用数字证书,通过数字证书,把证书持有者的公开密钥(Public Key)与用户的身份信息紧密安全地结合起来,以实现身份确认和不可否认性。
’()*+,-
基于以上需求分析,电子政务网络系统安全体系建设应实现以下目标:保护网络系统的可用性;保护网络系统服务的连续性;防范网络资源的非法访问及非授权访问;防范入侵者的恶意攻击与破坏;保护系统信息通过网上传输过程中的机密性、完整性;防范病毒的侵害;实现网络的安全管理。
三、网络安全体系结构
按照安全风险、需求分析结果以及网络的安全目标,具体的安全系统体系结构包括以下几个方面:
。/)01*+
系统的物理环境主要指实体安全,它是软件和数据安全的基础。保证计算机信息系统各种设备的物理安全也是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾、雷击等环境事故以及认为操作失误或措施及各种计算机犯罪行为导致的破坏过程。主要包括三个方面:环境安全、设备安全、媒体安全(具体见安全管理章节)。
。()23*+
1.网络结构安全
网络结构的安全主要指,网络拓扑结构是否合理,线路是否有冗余,路由是否冗余,防止单点失败等。
2.操作系统安全
对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置,关闭一些不常用却存在安全隐患的应用。对一些保存有用户信息及其口令的关键文件(如Windows NT下的LMHOST、SAM;如UNIX下/。rhost、etc/host、pssswd、shadow、group等)使用权限进行严格限制;加强口令字的使用(增加口令复杂程度,不要使用与用户身份有关的、容易猜测的信息作为口令),并及时给系统打补丁,系统内部的相互调用不对外公开。通过配备操作系统安全扫描系统对操作系统进行安全性扫描,发现其中存在的安全漏洞,并有针对性地对网络设备进行重新配置或升级。
3.应用系统安全
应用服务器尽量不要开放一些不常用的协议及协议端口令。如文件服务、电子邮件服务器等应用系统,可以关闭服务器上如HTTP、FYP、TELNET、RLOGIN等服务。还有就是加强登录身份认证。确保用户使用的合法性,并严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
。4)56*+
网络安全是整个安全解决方案的关键,涉及访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒等方面。
1.隔离与访问控制
(1)严格的管理制度
可制定的制度有:《用户授权实施细则》、《口令字及账户管理规范》、《权限管理制度》、《安全责任制度》等。
(2)划分虚拟子网(VIAN)
内部办公自动网络根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网(VLAN),在没有配置路由器的情况下,不同虚拟子网间不能够互相访问。通过虚拟子网的划分,能够实现较粗略的访问控制。
(3)配备防火墙
防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略,实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细致的访问控制。
2.通信保密
数据的机密性与完整性,主要是为了保护在网上传送的涉密信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文。可以选择以下几种方式:
(1)链路层加密
对于连接各涉密网节点的广域网线路,根据线路种类不同可以采用相应的链路级加密设备,以保证各节点涉密网之间交换的数据都是加密传送,以防止非授权用户读懂、篡改传输的数据。
(2)网络层加密
鉴于网络分布较广,网点较多,而且可能采用DDN、FR等多种通讯线路。如果采用多种链路加密设备的设计方案则增加了系统投资费用,同时也为系统维护、升级、扩展带来了相应困难。因此在这种情况下可采用网络层加密设备(VPN),VPN是网络加密机,实现端至端的加密,即一个网点只需配备一台VPN加密机。根据具体策略,来保护内部敏感信息的机密性、真实性及完整性。
IPsec是在TCP/IP体系中实现网络安全服务的重要措施。而VPN设备正是一种符合IPsec标准的IP协议加密设备。一般来说,VPN设备可以一对一和一对多地运行,并具有对数据完整性的保证功能,它安装在被保护网络和路由器之间的位置。目前全球大部分厂商的网络安全产品都支持IPsec标准。由于VPN设备不依赖于底层的具体传输链路,它一方面可以降低网络安全设备的投资;而另一方面,更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。
3.入侵检测
利用防火墙并经过严格配置,可以阻止各种不安全访问通过防火墙,从而降低安全风险。但是,网络安全不可能完全依靠防火墙单一产品来实现,网络安全是个整体,必须配相应的安全产品,作为防火墙的必要补充。入侵检测系统就是最好的安全产品,入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送Email),从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听近处网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。
4.扫描系统
网络扫描系统可以对网络中所有部件(Web站点、防火墙、路由器,TCP/IP及相关协议服务)进行攻击性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。扫描系统可以对网络系统中的所有操作系统进行安全性扫描,检测操作系统存在的安全漏洞,并产生报表,以供分析;还会针对具体安全漏洞提出补救措施。
5.病毒防护
在网络环境下,计算机病毒有不可估量的威胁性和破坏力。政府网络系统中使用的操作系统一般均为WINDOWS系统,比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考虑的重要环节之一。反病毒技术包括三种技术:一是预防病毒技术,通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有:加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等);二是检测病毒技术,是通过对计算机病毒特征进行分析(如自身校验、关键字、文件长度的变化等),以确定病毒类型的技术;三是杀毒技术,通过对计算机病毒代码分析,开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法,包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和检测。一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施,防止病毒进入网络进行传播扩散。
’()*+,-
1.内部OA系统中资源共享
严格控制内部人员对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是能起到一定的安全防护作用。
2.信息存储
对有涉密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过网络备份系统,可以对数据库进行远程备份存储。
。/)01CA23
CA具有权威性、可信赖性及公正性,承担着公钥体系中公钥的合法性检验的责任。CA为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA的数字签名使得供给者不能伪造和篡改证书,CA还负责吊销证书并发布证书吊销列表,并负责产生、分配和管理所有网上实体所需的数字证书,因此,它是安全电子政务的核心环节。
CA认证体系由以下几个部门组成:一是CA,负责产生和确定用户实体的数字证书;二是审核授权部门,简称RA(Registry Authority),它负责对证书的申请者进行资格审查,并决定是否同意给申请者发放证书,同时,承担因审核错误而引起的、为不满足资格的人发放了证书而引起的一切后果,它应由能够承担这些责任的机构担任;三是证书操作部门,简称CP(Certification Processor),为已被授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有获得授权的人发放了证书等,它可由RA自己担任,也可委托给第三方担任;四是密钥管理部门(KM),负责产生实体的加密密钥对,并对其解密私钥提供托管服务;五是证书存储地(DIR),包括网上所有的证书目录。
*+,-。/0
管理制度是保证电子政务系统安全运行的重要措施,后面专门进行详细说明,在此简要提示三点:即建立健全的安全管理体制,构建安全管理平台,增强人员的安全防范意识。
四、网络安全方案设计原则
在进行网络系统安全方案设计、规划时,应遵循以下原则:
*1,23456
应充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击),这是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段;根本目标是提高整个系统的“安全最低点”的安全性能。
*7,89:;&;;lt;:=&;;gt;?@ABC56
对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略。
*D,EF4:GH456
应运用系统工程的观点、方法,分析网络的安全及具体措施。信息安全系统应该包括三种机制:安全防护机制、安全监测机制、安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁,采取相应的防护措施,避免非法攻击的进行;安全监测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击;安全恢复机制是在安全防护机制失效的情况下,能进行应急处理,及时地恢复信息,减小攻击的破坏程度。
*I,1J456
一致性原则主要是指网络安全问题应与整个网络工作的周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也少得多。
’()*+,-。/,01
安全工作不能影响系统的正常运行和合法用户的操作活动。在网络环境下,实时性要求很高的业务不能容忍安全连接和安全处理造成的时延和数据扩张。安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。要在确保安全性的基础上,把安全处理的运算量减少或分摊,减少用户记忆、存储工作和安全服务器的存储量、计算量。
’2345,01
政府对信息的保密程度是分级的(绝密、机密、秘密);电子政务系统对用户操作权限也是分级(面向个人和面向群组)的,政府对网络安全程度也是分级的(安全子网和安全区域),电子政府对系统实现结构分级(应用层、网络层、链路层等),因此安全管理也是分级的,应当针对不同级别的安全对象,提供全面的、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
’63789:01
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其他层保护仍可保护信息的安全。
;&;;lt;3=&;;gt;?@ABCDEAFGH01
在很多系统中都有一个系统超级用户或系统管理员,拥有对系统全部资源的存取和分配权,所以它的安全至关重要。如果不加以限制,有可能由于超级用户的恶意行为、口令泄密、偶然破坏等对系统造成不可估量的损失和破坏。因此有必要对系统超级用户的权限加以限制,实现权限最小化原则。管理权限交叉,有几个管理用户来动态地控制系统的管理,实现互相制约。而对于非管理用户,即普通用户,则实现权限最小原则,不允许其进行非授权以外的操作。
;I3JK,01
整个网络内能尽快引入更多的可变因素;并具有良好的扩散性,如果加密信息在被破译之前就失去了保密的必要性,即使加密算法不是牢不可破或难以攻破的,被保护的信息也是安全的。因此,被加密信息的生存期越短、可变因素越多,系统的安全性能就越高,如周期性的更换口令和主密钥,安全传输采用一次性的会话密钥,动态选择和使用加密算法等。另一方面,各种密码攻击和破译手段是在不断发展的,用于破译运算的资源和设备性能也迅速提高,由此,所谓的“安全”,也只是相对的和暂时的;不存在一劳永逸的信息安全系统,应该可以根据攻击手段的发展进行相应的更新和升级。
*+,-。/0123/0456789
即在网络进行总体设计时考虑安全系统的设计,二者合二为一。避免因考虑不周,出了问题之后拆东墙补西墙,造成经济上的巨大损失。由于安全与保密问题是一个相当复杂的问题,因此必须群策群力搞好设计,才能保证安全性。
*+:,;&;;lt;=&;;gt;?@89
网络安全与保密问题关系着一个国家的主权和安全,所以其安全产品不可能依赖于从国外进口,必须解决网络安全产品的自主权和自控权问题,建立我们自主的网络安全产品和产业。同时为了防止安全技术被不正当的用户使用,必须采取相应的措施对其进行控制,比如密钥托管技术等。
针对安全体系的特性,可以采用“统一规划、分步实施”的原则。具体而言,可以先对网络做一个比较全面的安全体系规划,然后,根据我们网络的实际应用状况,先建立一个基础的安全防护体系,保证基本的、应有的安全性。随着今后应用的种类和复杂程度的增加,再在原来基础防护体系之上,建立增强的安全防护体系。
五、电子政务网络的安全管理
网络中的重要信息涉及广泛,一旦出错影响巨大,后果不堪设想,因此要求网络具有较高的安全性;另一方面,有些网络是没有保密措施的“裸网”,用户不敢在网上处理涉密信息,从而导致网络的作用得不到充分发挥。因此,要切实加强局域网管理工作,开发和运用有效的局域网保护措施,树立起坚实的保护体系。
*:,23AB7CDEF
1.环境安全
对系统所在环境的安全保护,如正确选择建筑物所处的位置,设置监控系统,安置防火设施,采取防水措施,采取拦截、屏蔽、均压、分流、接地等防雷措施,采取防静电措施,机房环境达到要求等等。可参见国家标准GB50173—93《电子计算机机房设计规范》、国标GB2887—89《计算站场地技术条件》、GB9361—88《计算站场地安全要求》。如因实际条件达不到的,也应努力做好防尘、防磁、防潮湿、防火、防鼠害等措施,给计算机设备提供一个良好的工作环境,减少不安全隐患,降低设备的平均故障率。
2.设备安全
设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、电源保护及设备冗余备份等。加强设备管理,必须制定严格制度,如未经系统管理员同意,任何人不得打开机箱,随意拆卸、更换集成电路板(卡);计算机及网络设备的搬迁或改变有关硬件配置,必须由系统管理员负责处理,不得私自进行;计算机出现硬件故障时,应及时向系统管理员报告,由系统管理员处理;计算机及外围设备要定期进行维护;新的计算机介入系统前,应对一些重要的信息予以备份,如此等等。可以这样说,做好设备管理,保证设备不带故障运行,就为网络安全稳定运行提供了一个较优良的硬件支撑环境。同时,为了防止突然断电对微机系统的冲击,每一部微机都必须连UPS,特别是服务器,更要安装大容量UPS。
3.系统应用软件安全
一要保障数据的完整性和可靠性,它应满足:查询、检索的数据正确;合法用户才能查询、检索数据;用户权限正确才能查询、检索数据;用户权限之内的数据及其相符的密级才能被用户查询、检索到,否则应拒绝用户查询、检索请求;发现、阻止用户破坏数据。
二要具备较完善的识别与确认功能。系统要识别进入者的身份并确认是否为合法用户的身份,只有识别与确认都正确,才允许此用户进入系统,访问资源。
三要具备较完善的审计功能。对使用系统资源,涉及信息安全的有关操作,应有一个完整的记录,以便分析原因,分清责任。记录内容一般应包括:合法用户进行了哪些非法操作;使用了什么系统资源,进行了何种访问类型的操作;有关操作处理的时刻与顺序;数据修改前后的状态与信息。审计的内容应选择最主要的,不应太多。
四要注重对病毒的防止和重要数据的定期备份。
’()*+,-。/0123
1.网络信息的保密
信息泄漏是局域网络的主要保密隐患之一。所谓信息泄漏,就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中信息,特别是秘密信息和敏感信息,从而造成泄密事件。局域网在保密防护方面有三点脆弱性:一是数据的可访问性。数据信息可以很容易被终端用户拷贝下来而不留任何痕迹。二是信息的聚生性。当信息以零散形式存在时,其价值往往不大,一旦网络将大量关联信息聚集在一起时,其价值就相当可观了。三是设防的困难性。尽管可以层层设防,但对一个熟悉网络技术的人来说,下些功夫就可能突破这些关卡,给保密工作带来极大的困难。
对计算机局域网的保密防范,我们可从以下方面入手:
①充分利用网络操作系统提供的保密措施。其实,一般的网络操作系统都有相应的保密措施,对此我们要加以充分利用,如美国NOVELL公司的网络操作系统NErWARE,它提供四级保密措施:第一级是入网保密。第二级是设置目录和文件访问权限。第三级是文件和目录的属性保密。第四级是文件服务器的安全保密。
②加强数据库的信息保密防护。网络中的数据组织形式有文件和数据库两种。文件组织形式的数据缺乏共享性,现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施,而数据库的数据以刻度的形式存储其中,所以数据库的保密需采取另外的方法。③采取现代密码技术,加大保密程度。借助现代密码技术对数据进行加密,将重要秘密信息由明文变为密文。
④采用防火墙技术,防止局域网与外部网连通后秘密信息的外泄。局域网最安全的保密方法莫过于不与外部联网,但除了一些重点单位和要害部门,局域网与广域网的连接是大势所趋。防火墙是建立在局域网与外部网络之间的电子系统,用于实现访问控制,即阻止外部入侵者进入局域网内部,而允许局域网内部用户访问外部网络。
2.局域网实体的保密
局域网实体是指事实信息收集、传输、存储、加工处理、分发和利用的计算机及其外部设备和网络部件。可采取以下三条措施来加强局域网实体的保密。
(1)防止电磁泄漏
计算机设备工作辐射出电磁波,任何人都可以借助仪器设备在一定范围内收到它,尤其是利用高灵敏度的仪器可以稳定、清晰地看到计算机正在处理的信息。另外,网络端口、传输线路等都有可能因屏蔽不严或未加屏蔽而造成电磁泄漏。试验表明,未加控制的电脑设施开始工作后,用普通电脑加上截收装置,可以在一千米内抄收其内容。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要有:一是对主机房及重要信息存储收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线等。二是对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口。用光缆接出屏蔽室外进行传输。三是对终端设备辐射的防范。终端机,尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用,不宜集中采用屏蔽室的办法来防止,故要求除在订购设备时尽量选取低辐射产品外,目前主要采取主动式的干扰设备,如用干扰机来破坏对信息的窃取,个别重要的首脑或集中的终端也可考虑采取有窗子的装饰性屏蔽室,这种方法虽然降低了部分屏蔽效能,但可大大改善工作环境,使人感到在普通机房内一样工作。
(2)防止非法侵入
非法用户侵入的手段常见的有两种:非法中断和搭线窃取。非法用户可在现有终端上并接一终端,或趁合法用户从网上断开时趁机介入,使信息传导非法中断;也可以在局域网与外接连通后,通过未受保护的外部线路,从外接访问到系统内部的数据,而内部通讯线路也有被搭线窃取信息的可能。因此,我们必须定期对实体进行检查。特别是对文件服务器、电缆(或光缆)、终端及其他外设进行保密检查,防止非法侵入。
(3)预防剩磁效应
存储介质中的信息被删除后有时仍会留下可读信息的痕迹。另外,在大多数的信息系统中,删除文件仅仅是删掉文件名,而原文还原封不动地保留在存储介质中,一旦被利用,就会泄密。因此,我们必须加强对网络记录媒体的保护和管理。如对关键的涉密记录媒体要有防拷贝和信息加密措施,对废弃的磁盘要有专人销毁等。
六、安全技术与产品选型原则
*+,-。/0
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。
1.入网访问控制
入网访问控制为网络访问提供了第一层访问控制。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。
网络管理员应该可以控制和限制普通用户的账号使用、访问网络的时间、方式。用户名或用户账号是所有计算机系统中最基本的安全形式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”。用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的惟一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点,限制用户入网的时间,限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的账号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
2.网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:①特殊用户(即系统管理员);②一般用户,系统管理员根据他们的实际需要为他们分配操作权限;③审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
3.目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有8种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(FileScan)、存取控制权限(AccessControl)。用户对文件或目标的有效权限取决于以下几个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。8种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
4.属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
5.网络服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
6.网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
7.网络端口和节点的安全控制
网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。
*+,-。/0.
电子政务安全系统要具备识别和鉴别机制以面对网络上的各种攻击。识别就是分配给每个用户一个Ⅲ来代表用户和进程。鉴别是根据用户的私有信息来确定用户的真实性,防止欺骗。口令机制是最常用的鉴别方法。随着生物技术发展,利用指纹、视网膜等可提高鉴别的强度。经常使用的还有数字签名等方法。
1.口令机制
口令是相互约定的代码,假定只有用户和系统知道。口令有时由用户选择,有时由系统分配。通常情况下,用户先输入某种标识信息,比如用户名或Ⅲ号,然后系统询问用户口令,若口令与用户文件约定相匹配,用户即可进入访问。
作为安全防护措施,口令也有可能被攻破。攻击口令的方法主要有:强力攻击,猜测一切可能的口令代码;猜测可能性较大的口令;窃取、分析系统通行字表;伪装成系统来询问用户可不可以。
对抗口令攻击通常采用加密、签名和令牌等办法。但最重要的是进行口令管理,包括选择、分发和更改等。
2.数字签名
在电子政务运行过程中,一个重要内容就是辨认发送者和接收者的身份并进行记录,以保证信息的真实性和不可抵赖性。
数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。数字签名采用一定的数据交换形成,使得双方能够满足两个条件:一是接受方能够鉴别发送方所宣称的身份;二是发送方以后不能否认它发送过数据这一事实。
在书面文件上签名是确认文件的一种手段,其作用为:一是自己的签名难以否认,能够确认文件已签署的事实;二是签名不易仿冒,能够确认文件为真的事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认信息由签名者发送、信息自签发后到收到为止未被作过修改。
3.生物识别技术
生物识别技术是依靠人体的身体特征来进行身份验证的一种解决方案,由于人体特征具有不可复制的特性,这一技术的安全系统较传统意义上的身份验证机制有很大的提高。人体的生物特征包括指纹、声音、面孔、视网膜、掌纹、骨架等,而其中指纹凭借其无可比拟的惟一性、稳定性、再生性备受关注。
20世纪60年代,计算机可以有效地处理图形,人们开始着手研究用计算机来处理指纹,自动指纹识别系统AFIS由此发展开来。AFIS是当今数字生活中一套成功的身份鉴别系统,也是未来生物识别技术的主流之一,它通过外设来获取指纹的数字图像并存贮在计算机系统中,再运用先进的滤波、图像二值化、细化手段对数字图像提取特征,最后使用复杂的匹配算法对指纹特征进行匹配。时下,有关指纹自动识别的研究已进入了成熟的阶段。随着指纹识别产品的不断开发和生产,未来该项技术的应用将进入民用市场,服务大众。
除了指纹识别技术外,近年来视网膜识别技术和签名识别技术的研究也取得了骄人的成绩。视网膜识别技术分为两个不同的领域:虹膜识别技术和角膜识别技术。虹膜识别系统使用一台摄像机来捕捉样本,而角膜扫描的进行则是用低密度的红外线去捕捉角膜的独特特征。由于该项技术具有高度的准确性,它将被应用在未来军事安全机构和其他保密机关中。签名识别,也被称为签名力学识别(DSV:DANAMIC SIGNATURE VERIFICATION),它是建立在签名时的力度上的,分析笔的移动,例如加速度、压力、方向以及笔画的长度,而非签名的图像本身。签名力学的关键在于分出不同的签名部分,有些是习惯性的,而另一些在每次签名时都不同,DSV系统能被控制在某种方式上去接收变量,此项技术预计在今后十年中会得到进一步发展和应用。
*+,-。/01
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。目前的防火墙主要有以下三种类型:
(1)包过滤防火墙
包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。
(2)代理防火墙
代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互联,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现在较为流行的代理服务器软件是WinGate和Proxy Server。
(3)双穴主机防火墙
该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。
*2,3401
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
信息加密过程是由形形色色的加密算法来具体实施的,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的惟一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形,欧洲的IDEA,日本的FEAL--N、LOKI--91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有:RSA、背包密码、McEliece密码、Diffe—Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭圆曲线、ElGamal算法等等。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。
PKI(Public Key Infrastructure,公开密钥基础设施)是一种遵循既定标准的密钥管理平台,它可以为各种网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。PKI可以提供会话保密、认证、完整性、访问控制、源不可否认、目的不可否认、安全通信、密钥恢复和安全时间戳9项信息安全所需要的服务。在这个结构中,公开密钥密码算法居于中心地位,称其为PKI。利用PKI,人们方便地建立和维护一个可信的网络计算环境,无需直接见面就能够确认彼此的身份,安全地进行信息交换。完整的PKI系统有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书撤销系统、应用接口(APl)等基本构成部分。
CA是PKI的核心,主要职责是颁发证书、验证用户身份的真实性。一般情况下,证书必须由一个可信任的第三方权威机构———CA认证中心实施数字签名以后才能发布。而获得证书的用户通过对CA的签名进行验证,从而确定了公钥的有效性。
数字证书库是证书集中存储的地方,用户可以从此处获得其他用户可用的证书和公钥信息。数字证书库一般是基于LDAP或是基于X。500系列的,也可以基于其他平台。
密钥可能会由于一些原因而使密钥的所有者无法访问。密钥的丢失将导致那些被密钥加过密的数据无法恢复。为避免这种情况的出现,就需要PKI提供密钥备份与恢复的机制。
CA签发证书来把用户的身份和密钥绑定在一起。那么,当用户的身份改变或密钥遭到破坏时,就必须存在一种机制来撤销这种认可。
一个完整的PKI必须提供良好的应用接口系统,以便各种应用都能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,降低管理和维护的成本。
公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便地实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。
当然在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。
*+,-。/012
网络安全防范是通过安全技术、安全产品继承及安全管理来实现。其中安全产品的继承便涉及如何选择网络安全产品。在进行网络安全产品选型时,应该要求网络安全产品满足两方面的要求:一是安全产品必须符合国家有关安全管理的政策要求,针对相关的安全产品必须查看其是否得到相应的许可证,如:密码产品满足国家密码管理委员会的要求、安全产品获得国家公安部颁发的销售许可证、安全产品获得中国信息安全产品测评认证中心的测评认证、安全产品获得总参谋部颁发的国防通信网设备器材进网许可证、符合国家保密局有关国际联网管理规定以及涉密网审批管理规定。二是安全产品的功能与性能要求必须考虑产品功能、性能、运行稳定性以及扩展性,还必须考查安全产品自身的安全性。
七、安全体系建设的推进策略
影响电子政务安全运行的因素有很多,所以,保证电子政务安全运行的策略也不是单一的,而是需要多种策略的综合作用,需要多项对策和措施协调、合作,构成一个有机的网络安全防范体系。计算机信息系统的社会化、网络化和跨时空化本质上决定了网上政府安全保护工作要法制化、科学化和规范化。因此,对政府上网的安全保护主要应从安全法规、安全管理和安全技术三方面着手。在这三者之间,法律法规是根本,管理是基础,安全技术是保障。
*3,456789:;&;;lt;=&;;gt;?@A
1.防火墙和登录密码并不能做到万无一失
也许有人认为,网络配了防火墙就安全了,就可以高枕无忧了。其实,这是一种错误的认识,网络安全是整体的、动态的,不是单一产品能够完全实现的。防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其他攻击。所以确保网络更加安全必须配备入侵检测系统,对透过防火墙的攻击进行检测并作相应反应(记录、报警、阻断)。
—般的系统如WINDOWSNT、UNIX、真实拨号服务器、路由器等都包含最基本的用户账号及登录密码的安全机制。在系统连接到INTERNET后,一般的做法就是在INTERNET和内部网的连接处放置一套防火墙系统。这样做可以给系统一定的安全保密能力。但是,目前已经有很多的黑客资源提供各种破解、拦截、猜测密码的工具,传统的密码保护显得微不足道。实际上密码本身会有泄漏,比如有些用户把密码记在笔记本上,有些用户出于简单化取消密码。凡此种种,使得密码成为一种必要但又难以保证真正安全的手段。
防火墙仅仅是一个网络的隔离设备。它对许多安全问题束手无策,比如来自系统内部的威胁,已通过防火墙的攻击等。而且由于防火墙本身系统的漏洞,及时升级换代速度远赶不上黑客攻击技术和工具能力的提高,使得它无法阻隔所有的攻击和穿透。因此,防火墙也并不是一种绝对安全的设备。
在系统信息安全领域,安全保护的根本对象是数据,设置防火墙,使用密码,数据加密等等做法都只是手段。有效数据存储的任何设备、系统、数据流通的任何线路、连接都是系统安全所要考虑到的。
2.安全策略是保障
访问控制是安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和访问。它也是维护系统安全、保护资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证系统安全最重要的核心策略之一。常用的访问控制策略有权限控制、目录级安全控制、属性安全控制和监测与锁定控制。
3.系统安全是动态的和基于时间的
信息系统安全的概念从经典模型看,是要求系统无漏洞。这种系统的安全概念在于不断追求消灭漏洞,从概念上划分是静态的和基于空间的。这种模型的最大问题在于把系统漏洞看成是静态出现的,而实际上系统漏洞与系统运行状态相关,并且是动态出现的。
信息系统安全威胁日益严重的主要客观原因,除了国内应用的计算机系统安全核的安全级别较低(在O级或C2级以下,一般都不能抵挡黑客的攻击)、计算机安全管理水平不高等因素外,还由于计算机信息系统不可能是百分之百的无缺陷,系统安全有着脆弱性,也就是系统存在安全漏洞,这直接影响着信息系统的安全。这种脆弱性主要表现在信道、网络、计算机、操作系统、数据库管理、应用系统等方面的多级别、多层次上。为了达到保护系统的目的,须针对系统的漏洞和攻击这两方面进行检测。系统漏洞检测是指对系统已知漏洞的检测,这些漏洞可以被黑客利用对系统进行攻击。一旦检测出系统漏洞,要根据检测报告进行修补。如果是必须通过对系统打补丁才能消除的漏洞,必须求得补丁软件;如果漏洞是可以通过操作改变的,应立即进行操作改变。通过对安全漏洞的检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。对系统攻击的检测实际上是对已知攻击的事实监控和发现,发现系统的攻击后,可根据安全事件处理程序进行反应。
在尽可能地加强防护能力(消灭漏洞)的同时,还要加强信息系统对自身漏洞和攻击的检测、管理、监控和处理能力,从而形成对信息系统安全事件的快速反应能力,强调信息系统安全是基于时间的特性。
4.系统安全需要综合治理
信息系统安全建设的目标是提高信息系统安全防护、检测和反应的综合能力。安全防护主要是指自主访问控制、强制访问控制、安全标识、口令、用户账号、授权访问控制表等保密性和完整性的安全防护措施。安全检测主要包括系统漏洞的检测、内外人员的攻击检测、用户身份的鉴别(包括客户机、服务器的鉴别)等,主要采用的技术是扫描和实时监控技术。安全反应包括监视、关闭、切换、跟踪、反击、报警等内容。
信息系统安全必须把防护与攻击结合起来,防护具有攻击针对性,脱离攻击针对性的防护是抽象的。防护的目的在于阻止侵入系统或延迟侵入时间,适度增强防护可以为检测赢得更多时间,减少侵入系统的概率,减轻检测的负担,防护与检测是相互配合的。安全检测和发现的目的在于做出反应,反应是为了修复漏洞,避免损失或打击犯罪。由于三者是密切相关的,因此只有提高了信息系统的综合能力,才能真正提高其安全性。
5.人是关键因素
要加强信息系统安全,必须建立切实可行的规章制度。比如对人的管理,就需要解决多人负责,责任到人,任期有限,职责隔离,最小权限等等问题。为了保证信息安全,要求专业管理人员必须具备很强的专业素质,并能及时掌握信息安全的最新技术。目前,许多单位的管理人员自身的技术水平都达不到维护信息系统安全的要求,这就造成这些单位投入了相当大的人力、物力和财力,但其信息系统还是不能得到全面的保护。因此,加强管理人员各方面的培训是提高信息系统安全建设的重要环节。
*+,-。/0
1.加强计算机安全法规建设,提高执法水平
法律是网络安全的第一道防线。要使电子政府安全运行,信息安全传递,需要靠必要的法律建设,以法制来强化网络安全。这主要涉及网络规划与建设的法律、网络管理与经营的法律、网络安全的法律、用户(自然人或法人)数据的法律保护、电子资金划转的法律认证、计算机犯罪与刑事立法、计算机证据的法律效力等法律问题。同时,还要有法必依、有法必行。有了相关法律的保障,没有相应的政策,也无法使保障信息安全具有可操作性。所以,电子政务安全保护问题,要从政治上、政策上、法规上去综合考虑。
2.强化计算机网络安全管理,增强网络安全意识
电子政务运行的安全管理包括三个层次的内容:组织建设、制度建设和人员意识。
组织建设问题是指有关信息安全管理机构的建设。信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容,因此,只靠一个机构是没法解决这些问题的。在各信息安全管理机构之间,要有明确的分工,以避免“政出多门”和“政策撞车”现象发生。这方面要求健全以公安机关为中心,以计算机应用单位安全领导小组为重点,以计算机安全员为基础,以保护计算机信息系统安全为目标的全社会网络安全防范体系。
有了组织机构和相应的制度,还需要领导的高度重视和群防群治。这需要进行网络信息安全意识的教育和培训,提高全社会网络安全意识和法律观念,以及对信息安全问题的高度重视,尤其是对主管计算机应用工作的领导和计算机系统管理员、操作员,要通过多种渠道进行计算机及网络安全法律法规和安全技术知识培训与教育,使主管领导增强计算机安全意识,使计算机应用人员掌握计算机安全知识,知法、懂法、守法。
3.加强安全技术防范措施,提高安全防御能力
在计算机网络环境下,维护信息安全的技术包括计算机系统安全技术和通信系统安全技术两个方面。计算机系统安全涉及计算机硬件、软件和数据的安全。所涉及的技术问题主要有:一是容错计算机技术。容错计算机具有的基本特点是:稳定可靠的电源、预知故障、保证数据的完整性和数据恢复等。当任何一个可操作的子系统遭到破坏后,容错计算机能够继续正常运行。二是安全操作系统。操作系统是计算机工作的平台,一般的操作系统都在一定程度上具有访问控制、安全内核和系统设计等安全功能。
保证通信系统安全所涉及的技术有:一是信息加密技术,信息加密技术是保障信息安全的最基本、最核心的技术措施和理论基础。信息加密过程由形形色色的加密算法来具体实施,它以较小的代价获得较大的安全保护。二是信息确认技术,信息确认技术通过严格限定信息的共享范围来达到防止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使:其一,合法的接受者能够验证他收到的消息是否真实;其二,发信者无法抵赖自己发出的消息;其三,除合法发信者外,别人无法伪造消息;其四,发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。三是网络控制机,包括:其一,防火墙技术。它是一种允许接入外部网络,但同时又能够识别和抵抗非授权访问的网络安全技术;其二,审计技术。它使信息系统自动记录下网络中机器的使用时间、敏感操作和违纪操作等;其三,访问控制技术。它允许用户对其常用的信息库进行适当权利的访问,限制它随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵;其四,安全协议。整个网络系统的安全强度实际上取决于所使用的安全协议的安全性。具体可以从实体安全、软件与信息安全、网络通信安全等三个方面来提高网络信息安全的技术水平和防御能力。