第五章 某省政務網安全解決方案
1、項目背景
xxx省電子政務網工程,是為省委、省政府、南大、審計廳、外貿廳等政府機關單位而建立的統一的計算機信息網絡,它將提供寬帶、高速、安全、便捷的多媒體交換平台,其主要功能包括:數據、視頻、語音、多媒體通信、視頻會議、數據共享、安全防護等,以滿足多媒體網絡通信和省委、省政府、省委機要局的機要通信的要求。項目建設內容包括省直機關寬帶網、縱向網、數據庫資源整合及其多媒體信息共享和交換平台。建立xxx省電子政務專用網絡的重大意義在於樹立全省各級政府、各部門在寬帶多媒體網和互聯網上的形象,組織和規範各級政府的網站要求,提高政府工作的透明度,降低辦公費用,提高辦事效率,有利於勤政、廉政建設,大幅提高政府的信息化水平,以適應政府管理和宏觀調控的需要。
2、網絡概況
xxx省電子政務專用網絡整個結構以省委、省政府的園區網為頂點,形成連接各地市的骨幹網絡。由於xxx市特殊的位置和作用,黨政領導部門分布集中,xxx市城域網作為電子政務網中一個重要的部分,形成若幹個核心連接點。其餘各地市則以局域網方式直接接入。
xxx省廣域網是電子政務專網廣域連接的基礎。廣域網的建設是在已建成的光纖通信信道之上,以xxx市城域網為頂級結點,各市(地)為二級結點構成廣域主幹網,利用寬帶網絡傳輸技術,實現與地市傳輸平台的互聯。為了確保廣域網的可靠運行,主幹的光纖連接,在進入寬帶的傳輸網時,采用路由器。在傳輸平台的地市節點,采用專用光纜通過路由器連接到地市的網絡通信平台接點上。在地市的網絡通信平台接點上,接入黨政領導的局域網。地市下屬各區縣,則可以通過就近直連到地市的網絡通信平台上,或借助地縣之間已有的SDH或ATM傳輸網絡,彙接到地市傳輸平台接點,再通過地(市)、縣之間網絡通信平台的路由配置,實現縣與地市的互連互通。地市與縣傳輸平台的帶寬應保證在2M以上。這樣就實現了全省省、市(地)、縣(區)主要領導互連互通。
電子政務專網的應用係統由視頻會議、網絡電話、電子郵件、應急指揮和突發事件信息采集、傳輸係統等網絡基本應用構成,包括以聯網數據庫為基礎的信息服務係統、視頻信息係統以及辦公業務係統、內網省級網站等,此係統提供以下服務內容:
高效、保密的信息傳輸係統,支持信息接收發送、存儲管理、加工分析、查詢檢索、應急處理。
內部視頻會議係統和專網網絡電話通訊係統。
黨政領導決策、指揮的數據庫和專項信息應用係統、決策支持係統。
視頻資料庫,實現與突發事件現場信息采集係統的連接,應急指揮係統。
電子郵件、公文報送、網上會議等基本的辦公應用係統
專網的某網站,實現全網信息共享。
信息采集係統,製定相關的製度和標準,保證各級領導獲取及時、準確、簡要的信息,從而全麵了解情況,做到科學決策,同時保證省級各部門和各市(地)、縣(區)的信息反饋有暢通的渠道。
3、係統分析
網絡給人們帶來巨大便利的同時,也帶來了許多挑戰,其中安全問題尤為突出。日益嚴重的網絡信息安全問題,不僅使上網企業、機構及用戶蒙受巨大經濟損失,而且使國家的安全與主權麵臨嚴重威脅。由單個用戶的誤操作引起的對客戶機的係統的損壞可能傳播到其他係統和主機,引起大範圍的癱瘓和損失;另外,加上一些人缺乏安全控製機製和對網絡安全政策及防護意識的認識不足,這些風險會日益加重。引起這些風險的原因有多種,其中網絡係統結構和係統的應用等因素尤為重要。下麵從物理安全、鏈路安全、網絡安全、係統安全、應用安全及管理安全等方麵進行分類描述:
3.1物理安全風險
物理設備是整個網絡的基礎,物理安全是整個網絡係統安全的前提。物理安全的風險主要有:
地震、水災、火災等自然環境事故造成整個係統毀滅;
電源故障造成設備斷電以至操作係統引導失敗或數據庫信息丟失;
設備被盜、被毀造成數據丟失或信息泄漏;
電磁輻射可能造成數據信息被竊取或偷閱;
報警係統的設計不足可能造成原本可以防止但實際發生了的事故。
3.2鏈路傳輸風險
網絡安全不僅是入侵者到企業內部網上進行攻擊、竊取或其它破壞,他們完全有可能在傳輸線路上安裝竊聽裝置,竊取你在網上傳輸的重要數據,再通過一些技術讀出數據信息,造成信息泄漏或者做一些修改來破壞數據的完整性;以上種種不安全因素都對網絡數據傳輸構成嚴重的安全威脅。因此,對於某省政務網這樣龐大的網絡係統,如果網絡上傳輸的信息被黑客篡改,將會造成巨大的損失,並可能產生惡劣的政治影響。因此,應通過加密的方式很好地保證數據在網上傳輸的機密性、完整性,如采用鏈路加密機或VPN設備來回避鏈路傳輸風險。
3.3.網絡結構的安全風險
3.3.1.公網帶來的安全風險
因特網的共享性和開放性使網上信息安全存在先天不足,因為其賴以生存的TCP/IP協議族,缺乏相應的安全機製,而且因特網最初的設計考慮是該網不會因局部故障而影響信息的傳輸,基本沒有考慮安全問題,因此它在安全可靠、服務質量、帶寬和方便性等方麵存在著不適應性。同時網上有各種各樣的人,他們的意圖也是形形色色的。所以說當公司連入Internet時,該網絡便麵臨著嚴重的安全威脅。每天黑客都在試圖闖入Internet節點,如果不保持警惕,很容易被入侵,甚至連黑客怎麼闖入都不知道,而且該係統還可能成為黑客入侵其他網絡係統的跳板。影響所及,還可能涉及許多其它安全敏感領域,如網絡傳輸中的數據被黑客篡改和刪除,其後果將不堪設想。