首頁
排行
完本
足跡

第五節 電子政務安全體係建設(2 / 3)

領導幹部信息化基礎 韓西平

一致性原則主要是指網絡安全問題應與整個網絡工作的周期(或生命周期)同時存在,製定的安全體係結構必須與網絡的安全需求相一致。安全的網絡係統設計(包括初步或詳細設計)及實施計劃、網絡驗證、驗收、運行等,都要有安全的內容及措施。實際上,在網絡建設的開始就考慮網絡安全對策,比在網絡建設好後再考慮安全措施,不但容易,且花費也少得多。

’()*+,-。/,01

安全工作不能影響係統的正常運行和合法用戶的操作活動。在網絡環境下,實時性要求很高的業務不能容忍安全連接和安全處理造成的時延和數據擴張。安全措施需要人去完成,如果措施過於複雜,對人的要求過高,本身就降低了安全性。要在確保安全性的基礎上,把安全處理的運算量減少或分攤,減少用戶記憶、存儲工作和安全服務器的存儲量、計算量。

’2345,01

政府對信息的保密程度是分級的(絕密、機密、秘密);電子政務係統對用戶操作權限也是分級(麵向個人和麵向群組)的,政府對網絡安全程度也是分級的(安全子網和安全區域),電子政府對係統實現結構分級(應用層、網絡層、鏈路層等),因此安全管理也是分級的,應當針對不同級別的安全對象,提供全麵的、可選的安全算法和安全體製,以滿足網絡中不同層次的各種實際需求。

’63789:01

任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護係統,各層保護相互補充,當一層保護被攻破時,其他層保護仍可保護信息的安全。

;&;lt;3=&;gt;?@ABCDEAFGH01

在很多係統中都有一個係統超級用戶或係統管理員,擁有對係統全部資源的存取和分配權,所以它的安全至關重要。如果不加以限製,有可能由於超級用戶的惡意行為、口令泄密、偶然破壞等對係統造成不可估量的損失和破壞。因此有必要對係統超級用戶的權限加以限製,實現權限最小化原則。管理權限交叉,有幾個管理用戶來動態地控製係統的管理,實現互相製約。而對於非管理用戶,即普通用戶,則實現權限最小原則,不允許其進行非授權以外的操作。

;I3JK,01

整個網絡內能盡快引入更多的可變因素;並具有良好的擴散性,如果加密信息在被破譯之前就失去了保密的必要性,即使加密算法不是牢不可破或難以攻破的,被保護的信息也是安全的。因此,被加密信息的生存期越短、可變因素越多,係統的安全性能就越高,如周期性的更換口令和主密鑰,安全傳輸采用一次性的會話密鑰,動態選擇和使用加密算法等。另一方麵,各種密碼攻擊和破譯手段是在不斷發展的,用於破譯運算的資源和設備性能也迅速提高,由此,所謂的“安全”,也隻是相對的和暫時的;不存在一勞永逸的信息安全係統,應該可以根據攻擊手段的發展進行相應的更新和升級。

*+,-。/0123/0456789

即在網絡進行總體設計時考慮安全係統的設計,二者合二為一。避免因考慮不周,出了問題之後拆東牆補西牆,造成經濟上的巨大損失。由於安全與保密問題是一個相當複雜的問題,因此必須群策群力搞好設計,才能保證安全性。

*+:,;&;lt;=&;gt;?@89

網絡安全與保密問題關係著一個國家的主權和安全,所以其安全產品不可能依賴於從國外進口,必須解決網絡安全產品的自主權和自控權問題,建立我們自主的網絡安全產品和產業。同時為了防止安全技術被不正當的用戶使用,必須采取相應的措施對其進行控製,比如密鑰托管技術等。

針對安全體係的特性,可以采用“統一規劃、分步實施”的原則。具體而言,可以先對網絡做一個比較全麵的安全體係規劃,然後,根據我們網絡的實際應用狀況,先建立一個基礎的安全防護體係,保證基本的、應有的安全性。隨著今後應用的種類和複雜程度的增加,再在原來基礎防護體係之上,建立增強的安全防護體係。

五、電子政務網絡的安全管理

網絡中的重要信息涉及廣泛,一旦出錯影響巨大,後果不堪設想,因此要求網絡具有較高的安全性;另一方麵,有些網絡是沒有保密措施的“裸網”,用戶不敢在網上處理涉密信息,從而導致網絡的作用得不到充分發揮。因此,要切實加強局域網管理工作,開發和運用有效的局域網保護措施,樹立起堅實的保護體係。

*:,23AB7CDEF

1.環境安全

對係統所在環境的安全保護,如正確選擇建築物所處的位置,設置監控係統,安置防火設施,采取防水措施,采取攔截、屏蔽、均壓、分流、接地等防雷措施,采取防靜電措施,機房環境達到要求等等。可參見國家標準GB50173—93《電子計算機機房設計規範》、國標GB2887—89《計算站場地技術條件》、GB9361—88《計算站場地安全要求》。如因實際條件達不到的,也應努力做好防塵、防磁、防潮濕、防火、防鼠害等措施,給計算機設備提供一個良好的工作環境,減少不安全隱患,降低設備的平均故障率。

2.設備安全

設備安全主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、電源保護及設備冗餘備份等。加強設備管理,必須製定嚴格製度,如未經係統管理員同意,任何人不得打開機箱,隨意拆卸、更換集成電路板(卡);計算機及網絡設備的搬遷或改變有關硬件配置,必須由係統管理員負責處理,不得私自進行;計算機出現硬件故障時,應及時向係統管理員報告,由係統管理員處理;計算機及外圍設備要定期進行維護;新的計算機介入係統前,應對一些重要的信息予以備份,如此等等。可以這樣說,做好設備管理,保證設備不帶故障運行,就為網絡安全穩定運行提供了一個較優良的硬件支撐環境。同時,為了防止突然斷電對微機係統的衝擊,每一部微機都必須連UPS,特別是服務器,更要安裝大容量UPS。

3.係統應用軟件安全

一要保障數據的完整性和可靠性,它應滿足:查詢、檢索的數據正確;合法用戶才能查詢、檢索數據;用戶權限正確才能查詢、檢索數據;用戶權限之內的數據及其相符的密級才能被用戶查詢、檢索到,否則應拒絕用戶查詢、檢索請求;發現、阻止用戶破壞數據。

二要具備較完善的識別與確認功能。係統要識別進入者的身份並確認是否為合法用戶的身份,隻有識別與確認都正確,才允許此用戶進入係統,訪問資源。

三要具備較完善的審計功能。對使用係統資源,涉及信息安全的有關操作,應有一個完整的記錄,以便分析原因,分清責任。記錄內容一般應包括:合法用戶進行了哪些非法操作;使用了什麼係統資源,進行了何種訪問類型的操作;有關操作處理的時刻與順序;數據修改前後的狀態與信息。審計的內容應選擇最主要的,不應太多。

四要注重對病毒的防止和重要數據的定期備份。

’()*+,-。/0123

1.網絡信息的保密

信息泄漏是局域網絡的主要保密隱患之一。所謂信息泄漏,就是被故意或偶然地偵收、截獲、竊取、分析、收集到係統中信息,特別是秘密信息和敏感信息,從而造成泄密事件。局域網在保密防護方麵有三點脆弱性:一是數據的可訪問性。數據信息可以很容易被終端用戶拷貝下來而不留任何痕跡。二是信息的聚生性。當信息以零散形式存在時,其價值往往不大,一旦網絡將大量關聯信息聚集在一起時,其價值就相當可觀了。三是設防的困難性。盡管可以層層設防,但對一個熟悉網絡技術的人來說,下些功夫就可能突破這些關卡,給保密工作帶來極大的困難。

對計算機局域網的保密防範,我們可從以下方麵入手:

①充分利用網絡操作係統提供的保密措施。其實,一般的網絡操作係統都有相應的保密措施,對此我們要加以充分利用,如美國NOVELL公司的網絡操作係統NErWARE,它提供四級保密措施:第一級是入網保密。第二級是設置目錄和文件訪問權限。第三級是文件和目錄的屬性保密。第四級是文件服務器的安全保密。

②加強數據庫的信息保密防護。網絡中的數據組織形式有文件和數據庫兩種。文件組織形式的數據缺乏共享性,現已成為網絡存儲數據的主要形式。由於操作係統對數據庫沒有特殊的保密措施,而數據庫的數據以刻度的形式存儲其中,所以數據庫的保密需采取另外的方法。③采取現代密碼技術,加大保密程度。借助現代密碼技術對數據進行加密,將重要秘密信息由明文變為密文。

④采用防火牆技術,防止局域網與外部網連通後秘密信息的外泄。局域網最安全的保密方法莫過於不與外部聯網,但除了一些重點單位和要害部門,局域網與廣域網的連接是大勢所趨。防火牆是建立在局域網與外部網絡之間的電子係統,用於實現訪問控製,即阻止外部入侵者進入局域網內部,而允許局域網內部用戶訪問外部網絡。

2.局域網實體的保密

局域網實體是指事實信息收集、傳輸、存儲、加工處理、分發和利用的計算機及其外部設備和網絡部件。可采取以下三條措施來加強局域網實體的保密。

(1)防止電磁泄漏

計算機設備工作輻射出電磁波,任何人都可以借助儀器設備在一定範圍內收到它,尤其是利用高靈敏度的儀器可以穩定、清晰地看到計算機正在處理的信息。另外,網絡端口、傳輸線路等都有可能因屏蔽不嚴或未加屏蔽而造成電磁泄漏。試驗表明,未加控製的電腦設施開始工作後,用普通電腦加上截收裝置,可以在一千米內抄收其內容。為了防止係統中的信息在空間上的擴散,通常是在物理上采取一定的防護措施,來減少或幹擾擴散出去的空間信號。正常的防範措施主要有:一是對主機房及重要信息存儲收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯係、連接中均要采取相應的隔離措施和設計,如信號線、電話線、空調、消防控製線等。二是對本地網、局域網傳輸線路傳導輻射的抑製,由於電纜傳輸輻射信息的不可避免性,均采用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換接口。用光纜接出屏蔽室外進行傳輸。三是對終端設備輻射的防範。終端機,尤其是CRT顯示器,由於上萬伏高壓電子流的作用,輻射有極強的信號外泄,但又因終端分散使用,不宜集中采用屏蔽室的辦法來防止,故要求除在訂購設備時盡量選取低輻射產品外,目前主要采取主動式的幹擾設備,如用幹擾機來破壞對信息的竊取,個別重要的首腦或集中的終端也可考慮采取有窗子的裝飾性屏蔽室,這種方法雖然降低了部分屏蔽效能,但可大大改善工作環境,使人感到在普通機房內一樣工作。

(2)防止非法侵入

非法用戶侵入的手段常見的有兩種:非法中斷和搭線竊取。非法用戶可在現有終端上並接一終端,或趁合法用戶從網上斷開時趁機介入,使信息傳導非法中斷;也可以在局域網與外接連通後,通過未受保護的外部線路,從外接訪問到係統內部的數據,而內部通訊線路也有被搭線竊取信息的可能。因此,我們必須定期對實體進行檢查。特別是對文件服務器、電纜(或光纜)、終端及其他外設進行保密檢查,防止非法侵入。

(3)預防剩磁效應

存儲介質中的信息被刪除後有時仍會留下可讀信息的痕跡。另外,在大多數的信息係統中,刪除文件僅僅是刪掉文件名,而原文還原封不動地保留在存儲介質中,一旦被利用,就會泄密。因此,我們必須加強對網絡記錄媒體的保護和管理。如對關鍵的涉密記錄媒體要有防拷貝和信息加密措施,對廢棄的磁盤要有專人銷毀等。

六、安全技術與產品選型原則

*+,-。/0

訪問控製是網絡安全防範和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡係統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控製可以說是保證網絡安全最重要的核心策略之一。下麵我們分述各種訪問控製策略。

1.入網訪問控製

入網訪問控製為網絡訪問提供了第一層訪問控製。用戶的入網訪問控製可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限製檢查。三道關卡中隻要任何一關未過,該用戶便不能進入該網絡。

對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令,服務器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之網絡之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字符,口令字符最好是數字、字母和其他字符的混合,用戶口令必須經過加密,加密的方法很多,其中最常見的方法有:基於單向函數的口令加密,基於測試模式的口令加密,基於公鑰加密方案的口令加密,基於平方剩餘的口令加密,基於多項式共享的口令加密,基於數字簽名方案的口令加密等。經過上述方法加密的口令,即使是係統管理員也難以得到它。用戶還可采用一次性用戶口令,也可用便攜式驗證器(如智能卡)來驗證用戶的身份。

網絡管理員應該可以控製和限製普通用戶的賬號使用、訪問網絡的時間、方式。用戶名或用戶賬號是所有計算機係統中最基本的安全形式。用戶賬號應隻有係統管理員才能建立。用戶口令應是每用戶訪問網絡所必須提交的“證件”。用戶可以修改自己的口令,但係統管理員應該可以控製口令的以下幾個方麵的限製:最小口令長度、強製修改口令的時間間隔、口令的惟一性、口令過期失效後允許入網的寬限次數。用戶名和口令驗證有效之後,再進一步履行用戶賬號的缺省限製檢查。網絡應能控製用戶登錄入網的站點,限製用戶入網的時間,限製用戶入網的工作站數量。當用戶對交費網絡的訪問“資費”用盡時,網絡還應能對用戶的賬號加以限製,用戶此時應無法進入網絡訪問網絡資源。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。

2.網絡的權限控製

網絡的權限控製是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控製用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽(IRM)可作為其兩種實現方式。受托者指派控製用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當於一個過濾器,可以限製子目錄從父目錄那裏繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類:①特殊用戶(即係統管理員);②一般用戶,係統管理員根據他們的實際需要為他們分配操作權限;③審計用戶,負責網絡的安全控製與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控製表來描述。

3.目錄級安全控製

網絡應允許控製用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有8種:係統管理員權限(Supervisor)、讀權限(Read)、寫權限(Write)、創建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限(FileScan)、存取控製權限(AccessControl)。用戶對文件或目標的有效權限取決於以下幾個因素:用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網絡係統管理員應當為用戶指定適當的訪問權限,這些訪問權限控製著用戶對服務器的訪問。8種訪問權限的有效組合可以讓用戶有效地完成工作,同時又能有效地控製用戶對服務器資源的訪問,從而加強了網絡和服務器的安全性。

4.屬性安全控製

當用文件、目錄和網絡設備時,網絡係統管理員應給文件、目錄等指定訪問屬性。屬性安全控製可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯係起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控製表,用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控製以下幾個方麵的權限:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、係統屬性等。網絡的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、執行修改、顯示等。

5.網絡服務器安全控製

網絡允許在服務器控製台上執行一係列操作。用戶使用控製台可以裝載和卸載模塊,可以安裝和刪除軟件等。網絡服務器的安全控製包括可以設置口令鎖定服務器控製台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定服務器登錄時間限製、非法訪問者檢測和關閉的時間間隔。

6.網絡監測和鎖定控製

網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形或文字或聲音等形式報警,以引起網絡管理員的注意。如果不法之徒試圖進入網絡,網絡服務器應會自動記錄企圖嚐試進入網絡的次數,如果非法訪問的次數達到設定數值,那麼該賬戶將被自動鎖定。

7.網絡端口和節點的安全控製

網絡中服務器的端口往往使用自動回呼設備、靜默調製解調器加以保護,並以加密的形式來識別節點的身份。自動回呼設備用於防止假冒合法用戶,靜默調製解調器用以防範黑客的自動撥號程序對計算機進行攻擊。網絡還常對服務器端和用戶端采取控製,用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發生器)。在對用戶的身份進行驗證之後,才允許用戶進入用戶端。然後,用戶端和服務器端再進行相互驗證。

*+,-。/0.

電子政務安全係統要具備識別和鑒別機製以麵對網絡上的各種攻擊。識別就是分配給每個用戶一個Ⅲ來代表用戶和進程。鑒別是根據用戶的私有信息來確定用戶的真實性,防止欺騙。口令機製是最常用的鑒別方法。隨著生物技術發展,利用指紋、視網膜等可提高鑒別的強度。經常使用的還有數字簽名等方法。

1.口令機製

口令是相互約定的代碼,假定隻有用戶和係統知道。口令有時由用戶選擇,有時由係統分配。通常情況下,用戶先輸入某種標識信息,比如用戶名或Ⅲ號,然後係統詢問用戶口令,若口令與用戶文件約定相匹配,用戶即可進入訪問。

作為安全防護措施,口令也有可能被攻破。攻擊口令的方法主要有:強力攻擊,猜測一切可能的口令代碼;猜測可能性較大的口令;竊取、分析係統通行字表;偽裝成係統來詢問用戶可不可以。

對抗口令攻擊通常采用加密、簽名和令牌等辦法。但最重要的是進行口令管理,包括選擇、分發和更改等。

2.數字簽名

在電子政務運行過程中,一個重要內容就是辨認發送者和接收者的身份並進行記錄,以保證信息的真實性和不可抵賴性。

數字簽名機製提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等問題。數字簽名采用一定的數據交換形成,使得雙方能夠滿足兩個條件:一是接受方能夠鑒別發送方所宣稱的身份;二是發送方以後不能否認它發送過數據這一事實。

在書麵文件上簽名是確認文件的一種手段,其作用為:一是自己的簽名難以否認,能夠確認文件已簽署的事實;二是簽名不易仿冒,能夠確認文件為真的事實。數字簽名與書麵文件簽名有相同之處,采用數字簽名,也能確認信息由簽名者發送、信息自簽發後到收到為止未被作過修改。

上一頁 書頁/目錄 下一頁