在系统网络与外界连接处应进行网络访问控制,正确区分外部网络用户的身份,区分其是进行查询,修改还是管理维护,提供基于用户的访问规则,针对不同的用户和用户的不同存取要求授予其不同权限,禁止非法用户进入系统。网络访问控制系统应该具有如下要求:不仅能够按照来访者的IP地址区分用户,还应该对来访者的身份进行验证;不仅支持面向连接的通讯,还要支持UDP等非连接的通讯;不仅可以控制用户可访问哪些网络资源,还应该能控制允许访问的日期和时间;对一些复杂的应用协议,如FTP、UDP、TFTP、RealAudio、RPC和Port mapper、Encapsulated TCP/IP等,采用特定的逻辑来监视和过滤数据包;对于现有的各种网络进攻手段,如IP Spoofing、TCP sequence number prediction attacks、Source outing attacks、RIP attacks、ICMP attacks、Data-driven attacks(SMTP and MIME)、Domain Name Service attacks、Fragment attacks、Tiny fragment attacks、Hijacking attacks、Data integrity attacks、Encapsulated IP attacks等提供有效的安全保障。
此外,在系统网络与外界接口处还应使用网络地址翻译技术,实现数据包的网络地址翻译。通过网络地址翻译,可以让IP数据包的源地址和目的地址以及TCP或UDP的端口号在进出内部网时发生改变,这样可以屏蔽网络内部细节,防止外部黑客利用IP探测技术发现内部网络结构和服务器真实地址,进行攻击。
3.主服务器和数据库系统的安全防护
网络系统的主服务器硬件可采用小型机,并配备专为小型机所开发的软件系统,这种专用系统,因其硬件和软件的专用性而无法普及,因而不为一般病毒制造者或黑客所看好,也就更谈不上去为此系统专门制造病毒或设计攻击方式。
对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统(如Linux),并进行必要的安全配置、关闭一些不常用却存在安全隐患的应用;加强口令字的使用,增加口令复杂程度;并及时给系统打补丁、系统内部的相互调用不对外公开。通过配备操作系统安全扫描系统对操作系统进行安全性扫描,发现其中存在的安全漏洞,并有针对性地对网络设备重新进行配置或升级。
为保护防火墙自身的安全,要在防火墙的底座架构上采用安全操作系统,在使用中加强认证、加密、传输等安全措施。安全操作系统主要通过增强的身份标识与验证、细化的自主访问控制、特权用户职责划分、强制访问控制、审计跟踪以及安全管理等方面措施增强对基本安全功能的支持。由于CPU等核心技术被国外所垄断,充分考虑操作系统的安全性也是我国的国情所决定的。
数据库系统是政府网络系统的数据存储中心,存有大量重要的数据,因此必须对数据库系统建立备份和恢复系统,确保出现紧急事件时能在最短时间内恢复整个系统。在必要的时候,还可通过网络备份系统,对数据库进行远程备份存储。
4.Web服务器的安全防护
Web服务器是一个单位直接面对外界的大门,也是最先在网络伤害行为中受到威胁的环节。对于政府的网络系统由于它的社会、政治地位与影响,所以对于系统的Web保护十分重要。对于Web的安全维护管理,重要的是对主页的维护,主页是一个单位的形象,修改主页是一种典型的网络伤害行为,所以主页的保护、及时恢复将是对此行为的有效打击。同时,应对Web访问、监控/阻塞/报警、入侵探测、攻击探测、恶意Applets、恶意Email等在内的安全政策进行明确规划。这些政策包括了解网络利用情况、检测入侵和可疑网络活动时需要的规则。这些规则可以非常方便地加以激活、关闭或加以剪裁以满足系统在一般需要之外的其它具体要求。这些规则包括了监控/阻塞具体用户组、地址、域访问特定的Web站点、URL或内部服务器的功能。
5.信息的加密处理
加密是通过对信息的重新组合,使得自由收发双方才能解码还原信息的传统方法。加密算法以密钥为基础,分为两种:对称加密和非对称加密。对于政府办公网络系统中的公文交换和其他信息的处理,加密技术是一项必不可少的安全技术手段,可分别在信息传输和存储时进行加密处理,保障信息的安全性。
在通信过程中,可采用链路加密和“端—端”加密两种具体措施进行加密传输。链路加密是传输数据仅在物理层前的数据链路层进行加密。接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。“端—端”加密是为数据从一端传送到另一端提供的加密方式。数据在发送端被加密,在最终目的地(接收端)解密,中间节点处不以明文的形式出现。
采用链路加密方式,从起点到终点,要经过许多中间节点,在每个节点地均要暴露明文(节点加密方法除外),如果链路上的某一节点安全防护比较薄弱,那么按照木桶原理(木桶水量由最低一块木板决定),虽然采取了加密措施,但整个链路的安全只相当于最薄弱的节点处的安全状况。采用“端—端”加密方式,只是发送方加密报文,接收方解密报文,中间节点不必加、解密,也就不需要密码装置。此外,加密可采用软件实现,使用起来很方便。在“端—端”加密方式下,每对用户之间都存在一条虚拟的保密信道,每对用户应共享密钥(传统密码保密体制,非公钥体制下),所需的密钥总数等于用户对的数目。链路加密对用户来说比较容易,使用的密钥较少,但链路加密只能认证节点,而不能认证用户(一个节点可能有多个用户),因而不能提供用户鉴别。而“端—端”加密比较灵活,用户可以看到加密后的结果,起点、终点都很明确,可以进行用户认证,但使用密钥较多,并且密钥数目随网上通信用户的增加而增加。对链路加密中各节点安全状况不放心的用户可采用“端—端”加密方式。
6.传输信道的安全防护
部分传输信道可以要求信道提供商通过改造线路质量来完善,另外一些则可以由网络系统自己完善,大部分数据库信息的采集和处理都可在进行二次开发时,注入信道传输方面的安全措施,如可采用对应用程序加密、对通信线路加密,或采用VPN(虚拟专用网络)等较好的数据安全传输方案,完善网络安全防范体系。
VPN能够安全地连接因特网上两个物理分离的网络,经过对VPN的配置,可以让网络内的某些主机通过加密隧道,让另一些主机仍以明文方式传输,这样就可以保证子网间传输信息的机密性、完整性和真实性,从而达到安全与传输效率的最佳平衡。
7.加强网络的安全审计
网络安全审计能够帮助对网络进行动态实时监控,可通过寻找入侵和违规行为,记录网络上发生的一切,为用户提供取证手段。安全审计是采用数据挖掘和数据仓库技术,实现在不同网络环境中终端对终端的监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和追踪。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度。在网络系统的主服务器所在的网段上安装一套审计系统,就可保证信息的收集、分析、统计、存储、报警等顺利进行。
【3】电子政务的应用安全
1.实施单一登录机制
在一个现实的大型计算机系统的运作过程中,一个IT管理人员需要管理多个系统、维护多套用户名和口令。一个系统管理员要管理多台Unix主机、多台Windows服务器、维护上面的多个数据库、维护电子邮件系统、还要管理多台网络设备等,他需要记忆各个操作系统、数据库系统、应用系统、网络设备的用户名和口令。其他的管理人员和工作人员也是如此。各种系统用户的口令应该互不相关,口令比较长而且没有规律,在使用一段时间后要改变为新的值,这样才能保证统的安全。但是,要让一个人记忆许多长而难记又经常变化的口令是很困难的。人们往往对他所维护的所有系统都使用相同或相似的口令,口令常常使用自己或亲朋好友的姓名、生日、纪念日等。“黑客”会比较容易地猜出其口令,猜出一个口令,就能更加容易地猜到其它口令。从规章制度上限制用户上述行为是不现实的,只有从技术上采取一定措施,帮助用户解决记忆长而无规律、易变口令的问题,才能真正保证系统的安全。
因此,好的系统安全管理架构不但应该针对网络、计算机、应用等IT环境加强安全管理,而且应该能够尽量减少这种人为因素造成的安全损失。应该实现“一人一个账号、一个口令”的登录管理模式,用户只需一次登录即可访问网络中的操作系统、电子邮件、数据库系统、应用系统等各种资源。用户应该可以通过用户名/口令、指纹识别器、智能卡、令牌卡等多种方式获得安全管理服务器的系统认证,然后只需在计算机的图形用户界面上双击代表某一应用的图标,就可以直接访问该应用。在此过程中所涉及的安全机制应该包括口令PIN密钥管理、数据加密和数字签名等技术,以最大限度的保证用户名(账号)、口令等信息的安全。
2.实施统一的用户和目录管理机制