相忠良

[摘要]首先分析目前我國(guó)政府計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的特點(diǎn)，并結(jié)合我國(guó)政府網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)給出網(wǎng)絡(luò)結(jié)構(gòu)圈。由于政府網(wǎng)絡(luò)結(jié)構(gòu)無(wú)法適應(yīng)政務(wù)公開(kāi)與信息保密的要求，給出一種新型的網(wǎng)絡(luò)安全結(jié)構(gòu)即邊界網(wǎng)絡(luò)安全結(jié)構(gòu)的結(jié)構(gòu)圖，并給出邊界網(wǎng)絡(luò)的詳細(xì)定義。

[關(guān)鍵詞]邊界安全電子政務(wù)網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671--7597(2009)1020060--01

一、引言

自從Internet誕生，網(wǎng)絡(luò)安全問(wèn)題就一直是人們討論的熱點(diǎn)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類(lèi)發(fā)展的大趨勢(shì)，但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性等特征-致使網(wǎng)絡(luò)易受攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

二、現(xiàn)階段政府網(wǎng)絡(luò)的總體情況

在政府網(wǎng)絡(luò)中，內(nèi)部網(wǎng)絡(luò)上有著大量高度機(jī)密的數(shù)據(jù)和信息，網(wǎng)絡(luò)安全是放在首位的。如果網(wǎng)絡(luò)安全得不到保證，那么將會(huì)給國(guó)家、社會(huì)及網(wǎng)絡(luò)用戶帶來(lái)嚴(yán)重威脅，可能造成政治、經(jīng)濟(jì)等各方面的巨大損失。在政府工作不斷地實(shí)現(xiàn)信息化、高效便捷的同時(shí)，安全保護(hù)成了亟待解決的問(wèn)題。但是為滿足公眾對(duì)更好、更有效服務(wù)的要求，他們必須改進(jìn)在線業(yè)務(wù)和數(shù)據(jù)共享的交付方式，所以政府又必須保護(hù)它所有的信息和過(guò)程免受黑客攻擊、數(shù)字攻擊和其他在線威脅。

在我國(guó)黨政機(jī)關(guān)中計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用有如下特點(diǎn)，具有網(wǎng)絡(luò)規(guī)模適中，人員相對(duì)較少。應(yīng)用以辦公為主，輔以少量的數(shù)據(jù)庫(kù)應(yīng)用，個(gè)別業(yè)務(wù)保密級(jí)別相當(dāng)高。人員雖少但訪問(wèn)控制級(jí)別要求精確，對(duì)審計(jì)需求也很高。

目前黨政機(jī)關(guān)為了滿足安全的要求，通常的做法是把內(nèi)部網(wǎng)與外部公網(wǎng)物理上隔離，這一方面是國(guó)家有關(guān)部門(mén)的保密規(guī)定要求，另一方面也是由于沒(méi)有很好的解決方案而不得已為之。即使內(nèi)外隔離，內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題還是相當(dāng)突出，更需要對(duì)內(nèi)部人員的身份認(rèn)證、訪問(wèn)授權(quán)以及相互之間的數(shù)據(jù)加密等有效解決方案。

三、殃階段政府網(wǎng)絡(luò)結(jié)構(gòu)

黨政機(jī)關(guān)單位在地理位置上一般是處于一個(gè)大院內(nèi)或一幢大樓內(nèi)，具有一個(gè)中心網(wǎng)絡(luò)，提供公共應(yīng)用服務(wù)(亦稱(chēng)公共應(yīng)用平臺(tái))，同時(shí)行使網(wǎng)絡(luò)管理權(quán)利。按行政結(jié)構(gòu)，下屬各局、委、辦，各自具有局域網(wǎng)，各局域網(wǎng)也具有自己的服務(wù)器，或Web或應(yīng)用服務(wù)器，為了給首長(zhǎng)提供機(jī)要信息，單獨(dú)建設(shè)一個(gè)首長(zhǎng)機(jī)要局域網(wǎng)，內(nèi)設(shè)基于Web的首長(zhǎng)查詢服務(wù)器。這些局域網(wǎng)都是直接連接到中心網(wǎng)絡(luò)。共享公共應(yīng)用服務(wù)，同時(shí)也提供自己的信息給其他單位共享。通過(guò)公開(kāi)服務(wù)器，各單位可以直接對(duì)外發(fā)布信息或者發(fā)送電子郵件。一般來(lái)說(shuō)，這些局域網(wǎng)都是直接連接到中心網(wǎng)絡(luò)，共享公共應(yīng)用服務(wù)，它們之間沒(méi)有直接通信通道。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連方案設(shè)計(jì)為用戶提供快速、方便、靈活通信平臺(tái)的同時(shí)，也為網(wǎng)絡(luò)的安全帶來(lái)了更大的風(fēng)險(xiǎn)。因此，在原有網(wǎng)絡(luò)上實(shí)施一套完整、可操作的安全解決方案不僅是可行的，而且是必需的。

黨政機(jī)關(guān)由于中心單位和各下屬單位之間的地理位置不同，所需連接的距離也不同，形成的園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)也就有所差異。這種差異最終造成安全需求及解決方案的不同。一般有集中式的網(wǎng)絡(luò)結(jié)構(gòu)和分布式的網(wǎng)絡(luò)結(jié)構(gòu)兩種模式。

對(duì)于集中式的網(wǎng)絡(luò)結(jié)構(gòu)，該單位的所有下屬部門(mén)都處于大樓或大院內(nèi)，所有局域網(wǎng)與中心網(wǎng)絡(luò)直接互連，未經(jīng)過(guò)不可信的公網(wǎng)。

對(duì)于分布式的網(wǎng)絡(luò)結(jié)構(gòu)，該單位的主要部門(mén)都處于大樓或大院內(nèi)，呈現(xiàn)出一個(gè)集中式的網(wǎng)絡(luò)結(jié)構(gòu)；還有一些下屬部門(mén)分布在其他地方，在業(yè)務(wù)上需要信息通信和共享。這些局域網(wǎng)與中心網(wǎng)絡(luò)的互連，是經(jīng)過(guò)不可信的公網(wǎng)(Intemet、x.25、PSTN等)。

在中心子網(wǎng)中，放置著各種公共應(yīng)用服務(wù)器，其他下屬單位各有自己的子網(wǎng)，它們通過(guò)安全路由器與外部公網(wǎng)相連。在實(shí)際應(yīng)用中，各級(jí)政府機(jī)關(guān)內(nèi)部的應(yīng)用種類(lèi)可能不同。這樣的網(wǎng)絡(luò)結(jié)構(gòu)為非安全結(jié)構(gòu)。是目前采用最多的一種。

一般的安全措施是在連接公網(wǎng)處安裝防火墻，但它只能防止外部非授權(quán)的網(wǎng)絡(luò)訪問(wèn)，而對(duì)內(nèi)部幾乎沒(méi)有防范功能。以上網(wǎng)絡(luò)結(jié)構(gòu)是不安全的，內(nèi)部網(wǎng)絡(luò)直接連接到公網(wǎng)或?qū)＞W(wǎng)，即非安全區(qū)。這樣受到非法攻擊的風(fēng)險(xiǎn)非常大。所以需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，使之成為基本安全的前提。

四、邊界網(wǎng)絡(luò)安全結(jié)構(gòu)

邊界網(wǎng)絡(luò)，也叫做DMZ(Demilitarized Zone)，即俗稱(chēng)的非軍事區(qū)。它是一個(gè)小型的網(wǎng)絡(luò)，與軍事區(qū)和信任區(qū)相對(duì)應(yīng)，作用是把WEB、e—mail等允許外部訪問(wèn)的服務(wù)器單獨(dú)接在該區(qū)端口，使整個(gè)需要保護(hù)的內(nèi)部網(wǎng)絡(luò)接在信任區(qū)端口后，不允許任何訪問(wèn)，實(shí)現(xiàn)內(nèi)外網(wǎng)分離，達(dá)到用戶的安全需求。DMZ可以理解為一個(gè)不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域，DMZ內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器，比如Web、Mail、FTP等。這樣來(lái)自外網(wǎng)的訪問(wèn)者可以訪問(wèn)DMZ中的服務(wù)，但不可能接觸到存放在內(nèi)網(wǎng)中的公可機(jī)密或私人信息等，即使DMZ中服務(wù)器受到破壞，也不會(huì)對(duì)內(nèi)網(wǎng)中的機(jī)密信息造成影響。

邊界網(wǎng)絡(luò)安全結(jié)構(gòu)是在政府現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上的改進(jìn)，首先增加一個(gè)支持三網(wǎng)段的防火墻。將原來(lái)的中心子網(wǎng)和內(nèi)部網(wǎng)分為非軍事化區(qū)、服務(wù)子網(wǎng)和內(nèi)部網(wǎng)。將公開(kāi)的WWW服務(wù)器放在非軍事化區(qū)，并放置代理服務(wù)器。將內(nèi)部使用的各種應(yīng)用服務(wù)器統(tǒng)統(tǒng)放在服務(wù)子網(wǎng)。

通過(guò)防火墻和路由器的配置，用戶無(wú)論在網(wǎng)絡(luò)內(nèi)部還是在網(wǎng)絡(luò)外部，都是通過(guò)代理服務(wù)器來(lái)訪問(wèn)各個(gè)應(yīng)用服務(wù)器，這就較好的保障了網(wǎng)絡(luò)應(yīng)用的安全。

五、總結(jié)

現(xiàn)在政務(wù)公開(kāi)是我國(guó)建設(shè)廉潔、勤政、務(wù)實(shí)、高效政府的重要步驟，是保證廣大人民群眾享有知情權(quán)的重要舉措，并于2008年5月1日正式實(shí)施了《中華人民共和國(guó)政府信息公開(kāi)條例》。但是由于政府信息的多樣性，凡涉及國(guó)家機(jī)密、商業(yè)機(jī)密和個(gè)人隱私等信息又要嚴(yán)格保密。鑒于政府信息的特殊性，為了更好的處理公開(kāi)與保密的關(guān)系。做的該公開(kāi)的公開(kāi)，該保密的保密，就要求電子政務(wù)要有合理的網(wǎng)絡(luò)安全結(jié)構(gòu)。邊界網(wǎng)絡(luò)安全結(jié)構(gòu)就是針對(duì)現(xiàn)在政府機(jī)關(guān)信息公開(kāi)與保密的需求以及政府機(jī)關(guān)網(wǎng)絡(luò)特點(diǎn)提出來(lái)的，是在政府現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上的改進(jìn)。