电子政务安全风险管理

发布时间:2012-02-15 10:15 作者:佚名来源:中国电子政务网点击:加载中...次

存在安全漏洞的一些政府网站已成为黑客们一试身手的攻击对象。电子政务信息系统的脆弱日益暴露，信息系统安全已成为政府IT管理中越来越关键的工作。

图1 华为电子政务安全解决方案

华为将电子政务网络划分为不同安全等级的安全区域，各个安全等级之间的互访通过部署防火墙Eudemon来保证安全区域之间的安全。内部各部门之间通过MPLS VPN实现逻辑隔离，并通过内部数据交换区来实现部门之间的互联互通及访问控制。通过部署终端安全管理系统SECOSPACE对终端用户进行访问控制，实现用户与数据中心服务之间的安全隔离，降低安全风险扩散的威胁，实现政务专网终端以及数据中心的安全。通过部署在对外服务区域部署IPSEC /SSL VPN 实现政府网上审批信息的安全传输。通过在网络区域以及各个关键服务区域部署NIP系统进行攻击行为的监测。该方案的主要优势主要有：

可维护性好：

通过将各级政府的业务系统统一集中在数据中心，进行合理的区域划分，便于业务的维护与管理；提供统一安全管理域，为整个政务网络提供统一的安全管理。

扩展性强： 能够根据电子政务信息化发展需要，分阶段部署。

成本低：

将基层政府单位通过公网VPN的方式接入到政务网络，避免了专网的建设，同时也可保证信息传输的安全性。

兼容性强：

华为提供能够提供电子政务安全一揽子产品，避免了各类安全产品之间的兼容性问题；华为安全产品完全支持视频以及语音相关协议的穿透，为后期视频语音的业务应用提供了保障。

安全风险日益显现

几乎所有的黑客攻击、篡改网页都是从系统的应用层入手的。据统计，2006年我国各级政府网站被篡改网页3661次，比2005年多出1634次，而且这还不包括隐蔽的篡改行为。电子政务存在的安全隐患，也不仅仅是靠高质量的服务器和网络安全设备所能解决的。

电子政务事关一个地区、一个系统甚至一个国家的利益，如果电子政务的信息安全失去保障，其后果是不堪设想的。电子政务安全风险的主要表现形式：网上黑客入侵和犯罪；网上病毒泛滥和蔓延；信息间谍的潜入和窃密；网络恐怖集团的攻击和破坏；内部人员的违规和违法操作；网络系统的脆弱和瘫痪；信息产品的失控。

当前，我国电子政务安全建设的存在以下问题：

网络安全整体规划的不到位：由于信息技术发展的历史原因和建设资金问题，我国电子政务网络的建设在规划上经常缺少前瞻性的安全规划。随着安全问题的不断出现，只能在运行过程中不停地修修补补，但是这种修补只能解决暂时的问题，解决一个问题后，往往又有新问题出现。

使用安全产品缺乏统一考虑：由于国内外网络安全产品五花八门，各种产品门类众多，技术水平也有很大差别，政府部门在选用安全产品的时候经常会难辨优劣。而且，在部署安全产品的时候，也缺乏全局性和产品互补性的考虑，各种安全产品的统一部署协调性很难维持，因此，也很难让安全产品充分发挥其应有的功效。

如何控制电子政务建设中面临的安全风险，如何进行电子政务的安全建设，我们可以参考国外电子政务安全建设的一些经验：德国早在 1991 年就成立了国家信息安全局，该机构隶属于德国内政部，主要负责保障信息传递过程中的保密和安全，以及根据需要进行网络加密；美国同步建设内网（Intranet）和外网（Internet），美国信息安全被定义为通过安全技术的应用，在系统整体范围内和各组合系统中，保障信息技术的标准得以实施；英国专门成立了IT委员会，负责办公网安全运行，防止病毒或黑客攻击，而且政府还责成有关职能部门和新闻办公室专人负责严格审查哪些信息必须上网，哪些信息不能上网，哪些信息必须及时清除。

我们从中可以看出，电子政务的建设需要从安全技术和安全管理两个方面进行着手，共同保护电子政务的安全。

如何有效管理安全风险

电子政务网络是一个庞大复杂的系统，如何在支持业务不断发展的前提下，能够保证系统的安全性是一个巨大的挑战。由于电子政务建设是一个整体规划、分步建设的过程，安全的建设同样也需要根据政务建设的发展进行整体规划，根据各个建设阶段面临的主要安全问题进行分步实施。

中国电子政务的建设主要包括办公自动化、政府上网、资源整合以及智能政府四个阶段，当前中国电子政务的建设处于政府上网以及资源整合两个阶段。发达地区以及各个省会城市基本上处于资源整合阶段，落后地区基本上处于政府上网阶段。电子政务的安全建设要根据各地建设的实际面临的安全风险选择合适的安全技术手段。

处于政府上网阶段的地区：主要的建设内容基本上是网络基础设施的投资与建设。基础设施偏重，业务应用较少。在这个阶段的安全建设重点，是采取纵深防御的技术手段进行安全保护。安全建设的重点是主要防御的对象是外部的攻击。可以采取安全区域划分，进行多层次的安全边界防护，部署专用的安全设备等安全技术手段来保护。安全域需要根据业务的规划以及网络的特点，并结合安全风险进行合理地划分。安全域划分的目的是把一个大规模复杂系统的安全问题，化解为若干小区域，针对各个小区域面临的安全风险采取不同的安全手段，这是实现大规模复杂信息系统安全等级保护的有效方法。

处于资源整合阶段的地区：主要的网络建设已经基本完成，各单位的业务应用系统也已经达到一定的规模。建设的重点将转入各类业务系统的资源整合。各类终端接入的数量也越来越多。在这个阶段的安全建设重点，主要包括以下两个重点：一是加强内部用户的终端安全控制，由于内部终端的数量逐渐增多，内网的安全风险将逐渐纳入关注范围；二是加强应用层的安全，处于资源整合阶段的电子政务系统，各类业务应用较多，需要提供一个统一的帐号、认证、授权管理平台，对各类业务系统进行综合管理。

备受瞩目的安全解决方案

电子政务网一般分为政务内网、政务外网、政府门户网站。政务门户网站提供对外的宣传。党政信息外网提供对外公众服务，运行所有不需要在政府部门内部运行的系统。电子政务内网为政府内部办公网络。门户网站与政务外网逻辑隔离，政务内网与外网物理隔离。

华为公司根据电子政务发展状况，结合华为公司的技术优势，提出如图1所示的安全解决方案。

(责任编辑：)