政府上网工程总体安全思路

2006-10-20　网友评论 0 条　点击进入论坛

一、综述“政府上网工程”是国家信息化建设的里程碑，是党和政府带领全国人民步入信息纪元的重要步骤。
　　以美国为首的北约悍然轰炸南联盟，并将炸弹投到中国大使馆，表明世界并不和平，战争的威胁仍然存在，高科技战争的阴影笼罩着热爱和平的人民。伴随着信息纪元的到来，信息战正在成为未来战争的主要形式。
　　世纪之交，信息技术既是挑战又是机遇。能否迎接挑战、能否把握机遇安全是保障。
　　“政府上网工程”作为国家信息基础设施的关键组成部分，其安全问题处于优先考虑的位置。“政府上网工程”的重点不是网络基础设施的建设，而是政务应用系统的建设，政务系统涉及大量国家机密。
　　二、政府上网工程的总体安全思路1、“政府上网工程”面临的安全威胁“政府上网工程”的主要安全威胁是来自内外部的各种类型计算机犯罪。
　　计算机犯罪有两类：以破坏系统为目标的系统犯罪；以传播非法内容，窃取、篡改信息为目标的信息犯罪。兼具系统犯罪和信息犯罪的案件很少发生，原因是系统犯罪使信息犯罪无法进行，一旦系统破坏、信息消失就无法进行信息犯罪了；而信息犯罪具有重复的特点，罪犯通常不会破坏系统。针对计算机犯罪的类型，安全措施也分为两个类型：系统安全和信息安全。系统安全解决可用性和可靠性的问题。信息安全解决信息安全保护的问题。信息安全通过身份认证、访问控制、数据完整性、数据保密性、审计记录、抗否认等技术的综合运用。
　　1、计算机犯罪威胁来自世界范围。“政府上网工程”与国家信息基础互联互通，国家信息基础设施又与世界信息基础设施互联互通。我国的信息系统建设水平相对较低，安全措施更是落后，但我们面临的安全问题与美国政府却完全相同。
　　2、计算机犯罪传播广，危害严重。互联网络上有上万个站点载有计算机犯罪软件。这些软件下载后，只要重新运行就能造成严重破坏。一种新的计算机犯罪软件出现后，可以在一周内传遍世界。98年，扬州发生一起计算机犯罪案件，犯罪分子潜入银行计算机系统，窃取了75万元。朱熔基总理的批示是：“这是一个信号，我们的银行家要抓电脑技术，不能落在犯罪分子后面”，李岚清副总理的批示是：“请公安部会同信息产业部继续高度重视，采取有效措施，严厉打击网络犯罪”。该案件金额虽小，但极大地震动了金融行业的计算机工作者。信息系统是一种高度标准的系统，一旦扬州计算机犯罪的技术细节在互联网上披露，极易导致大量的相同攻击，甚而至于发生金融危机。
　　2、“政府上网工程”的安全认识水平发达国家从“信息战”的角度认识安全问题。
　　我国尚处在“亡羊补牢”的阶段。很多部门在自己的网络受到攻击，造成了损失之后才考虑安全措施。
　　“政府上网”工程在规划、设计、投资的每一个环节都要强调安全。
　　3、“政府上网工程”安全体系的技术路线“政府上网工程”安全体系遵循坚持开放又确保安全的技术路线。
　　1、“政府上网工程”作为国家信息基础设施的一个重要组成部分，必须走开放的技术路线。
　　互联网络在全球范围的高速发展，源于信息产业整体的开放技术路线。“政府上网”工程要想取得最大效益，必须走开放的道路。“政府上网”工程在开始建设的时候是一些孤立的“点”，这些“点”互联成“面”，再最终互联成“体”，开放技术路线是确保“政府上网”工程由“点”及“体”平滑过度的保证。
　　2、安全与开放是一对矛盾。“政府上网”工程中既要坚持开放技术路线，又要确保安全，不能偏废其中任何一方。
　　3、“政府上网”工程包括两个主要的部分：网络基础设施和应用系统。坚持网络基础设施的开放性，坚持应用系统的安全保密性。
　　4、“政府上网工程”安全的规划原则1、全局性原则：安全威胁来自最薄弱的环节。必须从全局出发规划安全系统。
　　2、综合性原则：安全不能单靠技术措施，还必须结合管理。
　　3、均衡性原则：安全措施的强度要一致。一些点上过强则浪费，一些点上过弱则危险。安全的强度和付出的代价要均衡。
　　5、“政府上网工程”的安全需求1、网络系统是可用、可靠的，政务应用系统是安全、可扩展的，安全机制对用户和应用透明。
　　2、内外兼防，重点在防范内部。金融领域的计算机犯罪表明：83%的计算机犯罪来自内部，14%的计算机犯罪是内外勾结，只有3%的计算机犯罪来自外部。3、网络基础设施的主要安全问题是系统安全，应用系统的主要安全问题是信息安全。数据和应用的安全是关键。
　　4、根据用户身份和信息密级的不同，进行访问授权是最重要的安全机制。
　　6、“政府上网工程”的安全体系1、“政府上网”工程的安全体系是指导规划、设计、评估的基础，是总的安全问题认识。
　　2、三维安全体系框架。横轴X：安全机制，纵轴Y：ISO/OSI网络层次，斜轴Z：构成信息系统的组成单元。在三维安全体系框架中，包过滤防火墙可以表示为FW（Z，Y，X）=（互联系统，网络层，可用性和可靠性）。这种描述准确地定义了防火墙的功能，同时也描述了防火墙的缺点：防火墙解决不了网络层以上的安全问题，防火墙也解决不了主机系统的安全。将各类安全需求表达在三维安全体系框架中，就形成了整体安全需求的描述；将各产品的安全功能表达在三维安全体系框架中，就可以评估产品的安全功能；将系统的安全功能表达在三维安全体系框架中，就可以评估系统的整体安全性。
　　3、安全机制与安全体系
　　身份认证：解决信息系统中身份识别的问题
　　访问控制：根据用户身份、信息密级决定用户对信息的访问权限
　　数据保密性：在数据的存储、传输过程中加密，防止窃取和侦听
　　数据完整性：防止数据篡改
　　不可抵赖：防止否认
　　审计管理：审查、记录、分析用户的行为
　　可用性和可靠性：防止破坏，具有容灾、容错、备份、恢复等功能4、网络安全服务层次模型ISO/OSI的七层参考模型，是分析网络系统的重要工具。根据各个层次的安全需求，可以得出网络安全服务总体的模型，具体如下图所示：
　　5、综合运用各种安全机制，形成安全体系。没有一种安全机制能够提供全面的安全保护。综合运用各种安全机制，通过技术与管理的结合，形成安全体系。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表