3.1安全区域的有效划分

　　根据安全策略需要，安全域可以包括多级子域，相互关联的安全域也可以组成逻辑域。

　　电子政务网络域：网络基础设施层及其上层的安全保护功能的实现应由接入政务专网的用户系统负责实现。

　　电子政务业务处理域：电子政务业务处理域(简称“业务处理域”)包括那些在政务部门管理控制之下，用来承载电子政务业务系统的本地计算环境及其边界，以及电子政务信息系统的内部用户。业务处理域内主要包含相应政务部门的政务内网域、政务外网域和公众服务域，有些政务部门还有内部自成体系的独立业务域。每个子域都对应的本地计算环境和边界。政务内网域与政务外网域物理隔离，政务外网域与公众服务域逻辑隔离。

　　电子政务基础服务域：电子政务基础服务域主要包括为电子政务系统提供服务的信息安全基础设施信息安全基础设旌有：电子政务数字证书中心、信息安全测评中心、信息安全应急响应中心以及远程灾备中心等。

　　3.2重要信息的有效控制

　　电子政务系统的数据控制主要目的是阻止攻击者利用政务系统的管理主机作为跳板去攻击别的机器，但是只是尽量的减少，而不是杜绝这种行为。当然，针对政务内部网络任何的扫描、探测和连接管理主机是允许的，但是对从主机出去的扫描、探测、连接，网络安全系统却必须有条件的放行，如果发现出去的数据包有异常，那系统管理员必须加以制止。数据控制示意图如图3—1所示：

　　本文研究的政务系统的数据控制使用两层来进行数据控制：防火墙和信息检测系统(IDS)。

　　防火墙为了防止政务系统的管理主机被作为跳板攻击其它正常系统。我们必须对管理主机的外连接数进行控制，如只允许在一定的时一间内发送一定数量的数据包。防火墙的主要功能是：设定单向地址拦截或双向地址拦截，在单向地址拦截时，～方到另一方的资料访问被禁止，但反向的数据访问依然能正常进行，不会受到影响;采用先进的状态监测数据包过滤技术，不仅仅是依靠单个的IP包来过滤，而是对每一个对话和连接进行分析和监控，在系统中自动维护其当前状态，根据连接的状态来对IP包进行高效快速安全过滤;对管理主机的外出连接进行控制。当外出连接达到一定数量时，阻断以后的连接，防止管理主机被攻击者攻破后用来作为发起攻击的“跳板对所有出入系统的连接进行日志记录。

　　3.3系统VPN的合理设计

　　使用VPN，可以在电子政务系统所连接不同的政府部门之间建虚拟隧道，使得两个政务网之间的相互访问就像在一个专用网络中一样。使用lrPN,可以使政务网用户在外网就象在内网一样的访问政务专用网的资源。使用VPN，也可以实现政务网内特殊管理的需要。VPN的建立有三种方式：一种是Internet服务商(ISP)建设，对企业透明;第二种是政府部门自身建设，对ISP透明;第三种是ISP和政府部门共同建设。

　　在政务网的基础上建立VPN，第二种方案比较合适，即政府部门自身建设，对ISP透明。因为政务网是地理范围在政务网内的计算机网络，它有运行于Internet的公网IP地址，有自己的路由设备，有自己的网络管理和维护机构，对政务网络有很强的自主管理权和技术支持。所以，在政务网基础上建立VPN，完全可以不依赖于ISP，政府部门自身进行建设。这样可以有更大的自主性，也可以节省经费。

　　3.4其他信息安全技术的使用

　　此外，电子政务系统的安全性可以采用如下的措施加以保证：控制对网络设备的SNEP和telnet，在所有的骨干路由器上建立accesslist只对网管中心的地址段做permit，即通过网管中心的主机才能远程维护各骨干路由设备路由协议在不安全的端口上进行Passive防止不必要的路由泄露;将所有重要事件进行纪录通过日志输出：采用防火墙设备对政务局域网进行保护。

　　结语

　　总之，本文对基于互联网的电子政务系统存在的安全问题进行了深入的分析，在综合考虑成本和安全保障水平的基础上，运用信息安全技术，构建了一体化分防护安全保障体系。

(责任编辑：adminadmin2008)