外网安全不能忘

　　长期以来，信息安全仿佛都是在企业内网中打拼。事实上，为了实现企业安全管理的全局统筹，从内网和外网共同思考安全建设思路非常有必要。在这方面，国内的电子政务建设走在了前列。

　　综合信息平台

　　以资源整合、平台共享、高效服务为目的的电子政务外网建设是当前政府信息化建设的重点内容。在统一的电子政务外网平台上，需要容纳各级厅、局、委、办的电子政务外网应用。这无疑传递出了一个明确的信号：需要为此提供信息安全保障的电子政务外网平台不是一个业务单一、安全级别统一的单纯信息网络平台，而是承载多种级别信息，需要根据不同的安全风险进行量身设计，形成差异化的等级保护保障体系的综合性的信息网络平台。

　　由此不难看出，对待电子政务外网，需要针对其业务制定灵活的安全等级保护规范，同时需要分级别、有步骤、有选择的进行安全建设。事实上，不仅是电子政务，延伸到企业的安全应用中去，可以看出，凡是涉及到不同级别和应用特点的网络安全建设，定制化设计与综合安全考量都是不可或缺的。

　　六个要素

　　事实上，结合国内电子政务的应用特点，一个标准的考虑外网安全的建设原则至少包括六个方面。

　　第一，对信息资产进行等级划分。

　　根据信息资产本身的重要性，进行业务的划分并参考国家相关标准，从信息安全和信息服务两个属性进行定级。

　　第二，在等级划分基础上，分析其面临的风险，合理划分安全域。

　　合理的安全域对信息安全保障至关重要，一般而言，需要从网络管理、安全管理、重要的服务器、一般的服务器、安全终端等几个大的方面进行划分。

　　第三，采用先进的信息安全理念进行方案的设计。

　　采用纵深防御的思想和卫士通提出的“深度服务 深度安全”的理念进行安全方案的设计。

　　第四，部署合适的安全产品。

　　优先采用国内先进的安全产品进行部署，做到较好的性价比。

　　第五，部署最恰当的安全策略。

　　安全策略的设置是信息安全保障体系能否取得效果的最为关键步骤，必须从信息平台的功能出发，结合各方面的意见（尤其是业务部门的意见），形成符合需要的安全策略。

　　第六，配套信息安全保障体系其它配套的措施。

　　这方面主要关注安全管理和安全运行等措施。

　　以电子政务为例，省、市两级节点可以分为三级和二级两种安全域，终端和服务器按照不同级别相应部署到各自的安全域中。具体网络上可以采取VLAN、防火墙、商密网络加密机、安全隔离与信息交换系统等进行安全域的隔离与访问控制。其中三级安全域有机密性保护的需求，网络传输采用商密密码机进行保护；二级安全域有需要进行访问控制和隔离的安全要求，采用安全隔离与信息交换系统进行隔离，终端采用防火墙进行隔离。各安全域边界有严格的访问控制策略，可以部署全网的入侵检测、审计等安全产品。

　　不难看出，只要在具体的安全建设过程中充分考虑到内外网结合的要求，同时参考以上六个要素，就可以获得完整、适合应用的安全体验。

• ·信息化 SOA架构中间件发展趋势调查分析
• ·中间件是促进我国软件产业发展的突破口
• ·中国电信业2011年整体IT支出将达461亿元
• ·中间件突出重围 逐渐成为企业应用趋势
• ·安全措施大升级 补丁管理走向自动化

• ·局域网ARP攻击免疫
• ·曙光推出基于龙芯的防火墙产品[组图]
• ·ACL的基本原理、功能与局限性
• ·基于MAC的访问控制列表详解
• ·Rambo安全经验谈：如何应对DoS攻击