張軍

淺談構(gòu)建安全的長江海事電子政務(wù)網(wǎng)絡(luò)體系

張軍

電子政務(wù)已成為長江海事局工作信息化的重點工程。對長江海事電子政務(wù)網(wǎng)絡(luò)建設(shè)的基礎(chǔ)安全服務(wù)設(shè)施、安全管理保障體系、安全技術(shù)支撐平臺和響應(yīng)與恢復(fù)機制等問題進行了分析，并結(jié)合實踐經(jīng)驗，提出了建立安全可靠的長江海事電子政務(wù)網(wǎng)絡(luò)體系的對策。

長江海事；電子政務(wù)；網(wǎng)絡(luò)安全

隨著海事信息化建設(shè)步伐的加快，長江海事局網(wǎng)上辦公、網(wǎng)上長江海事、網(wǎng)上審批、網(wǎng)上申報等電子政務(wù)系統(tǒng)的廣泛應(yīng)用，不僅改變了海事傳統(tǒng)的工作模式，而且大大提高了工作效率，在給工作帶來極大便利的同時，也帶來了嚴(yán)重的安全挑戰(zhàn)。探討構(gòu)建一個安全的長江海事電子政務(wù)網(wǎng)絡(luò)體系具有十分重要的意義。

一、長江海事電子政務(wù)網(wǎng)絡(luò)存在的安全問題

（1）網(wǎng)絡(luò)安全性脆弱，各種安全隱患普遍存在。掌握了一定技術(shù)的人可以輕易獲取網(wǎng)絡(luò)服務(wù)器上的用戶賬號信息和文件，并可進入系統(tǒng)修改刪除重要數(shù)據(jù)文件。一旦電子政務(wù)系統(tǒng)被非法侵入和破壞，它將不能正常工作甚至全部癱瘓。

（2）存在病毒破壞、黑客入侵、重要信息泄漏等潛在危險。用戶如果不及時對計算機進行操作系統(tǒng)補丁及殺毒軟件病毒庫升級，那么，將造成計算機系統(tǒng)存在大量的系統(tǒng)漏洞，為病毒木馬傳播提供了溫床。

（3）沒有完善的災(zāi)難恢復(fù)等響應(yīng)機制。網(wǎng)絡(luò)傳輸、服務(wù)器、核心交換路由設(shè)備沒有冗余備份系統(tǒng)，如果遇到不可抗逆因素造成設(shè)備損壞，則將造成重要數(shù)據(jù)丟失，損失無法彌補。

（4）廣大干部職工信息安全意識淡薄。大部分干部職工對計算機知識了解甚少，對計算機的信息安全認(rèn)識不到位，系統(tǒng)補丁、殺毒軟件不定期更新，造成計算機系統(tǒng)經(jīng)常遭受病毒侵襲。重要文檔資料隨意存放，為本不安全的計算機種下了禍根。

長江海事電子政務(wù)網(wǎng)絡(luò)作為信息網(wǎng)絡(luò)的一個特殊應(yīng)用領(lǐng)域，不僅運行著大量需要保護的數(shù)據(jù)和信息，而且擔(dān)負(fù)著行政監(jiān)督和對社會提供公共服務(wù)的職責(zé)。如果系統(tǒng)的安全性被破壞，則造成敏感信息暴露或丟失、網(wǎng)絡(luò)被攻擊等安全事件，產(chǎn)生的后果是非常嚴(yán)重的。下面筆者從安全基礎(chǔ)設(shè)施建設(shè)、安全管理保障體系、災(zāi)難恢復(fù)和響應(yīng)以及安全教育等方面談?wù)勅绾谓⒁粋€安全的電子政務(wù)網(wǎng)絡(luò)。

二、構(gòu)建安全的長江海事電子政務(wù)網(wǎng)絡(luò)體系

（一）加強安全設(shè)施基礎(chǔ)建設(shè)

1.實行內(nèi)外網(wǎng)物理隔離

由于工作需要，海事系統(tǒng)一般由兩個或兩個以上功能相對獨立的網(wǎng)絡(luò)，即內(nèi)網(wǎng)（用于日常辦公）和外網(wǎng)（用于資料查詢和對外電子政務(wù)）。而電子政務(wù)應(yīng)用中勢必存在內(nèi)網(wǎng)與外網(wǎng)間的信息交換需求，基于內(nèi)網(wǎng)數(shù)據(jù)保密性的考慮，不希望內(nèi)網(wǎng)暴露在對外環(huán)境中。解決該問題的有效方式是設(shè)置網(wǎng)閘，通過網(wǎng)閘來實現(xiàn)內(nèi)外網(wǎng)間信息的過濾和兩個網(wǎng)絡(luò)間的物理隔離，從而在內(nèi)外網(wǎng)間實現(xiàn)安全的數(shù)據(jù)交換。

信息隔離網(wǎng)閘技術(shù)可以在內(nèi)外網(wǎng)間來回切換，同一時刻內(nèi)外網(wǎng)間沒有連接，處于物理隔離狀態(tài)。在此基礎(chǔ)上，隔離網(wǎng)閘作為代理從外網(wǎng)的網(wǎng)絡(luò)訪問包中抽取出數(shù)據(jù)，然后通過反射開關(guān)轉(zhuǎn)入內(nèi)網(wǎng)，完成數(shù)據(jù)中轉(zhuǎn)。在中轉(zhuǎn)過程中，隔離網(wǎng)閘會對抽取的數(shù)據(jù)做應(yīng)用層的協(xié)議檢查、內(nèi)容檢測，也會對IP包地址實施過濾控制。隔離網(wǎng)的開關(guān)切換機制在進行檢查時，網(wǎng)絡(luò)實際上處于斷開狀態(tài)，只有通過嚴(yán)格檢查的數(shù)據(jù)才有可能進入內(nèi)網(wǎng)，即使黑客強行攻擊了隔離網(wǎng)閘，但由于攻擊發(fā)生時內(nèi)外網(wǎng)始終處于物理斷開狀態(tài)，黑客也無法進入內(nèi)網(wǎng)。另一方面，由于隔離網(wǎng)閘僅抽取數(shù)據(jù)交換進內(nèi)網(wǎng)，因此，內(nèi)網(wǎng)不會受到網(wǎng)絡(luò)層的攻擊，在物理隔離的同時實現(xiàn)了數(shù)據(jù)的安全交換。

2.建立網(wǎng)絡(luò)防火墻

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。因此，在各分支局的網(wǎng)絡(luò)邊界，以及政務(wù)網(wǎng)和Internet邊界都應(yīng)安裝防火墻，并實施相應(yīng)的安全策略控制。另外，根據(jù)對外提供信息查詢等服務(wù)的要求，為了控制對關(guān)鍵服務(wù)器的授權(quán)訪問，把對外公開服務(wù)器集合起來劃分為一個專門的服務(wù)器子網(wǎng)，設(shè)置防火墻策略來保護對它們的訪問。

3.實行網(wǎng)絡(luò)固定IP地址管理

有些職工利用工作之便，在網(wǎng)絡(luò)中隨意增加接入電腦主機、筆記本電腦的數(shù)量，不僅占用網(wǎng)絡(luò)帶寬資源，而且不便于網(wǎng)絡(luò)管理。所以給辦公網(wǎng)絡(luò)內(nèi)的每一臺電腦分配固定IP地址，啟用交換機的管理功能，將PC的MAC地址和IP地址綁定，管理員可以方便地監(jiān)控每一臺電腦主機的運行狀況，包括病毒攻擊、網(wǎng)站監(jiān)控、黑客監(jiān)控等。不僅節(jié)約網(wǎng)絡(luò)資源，還可以隨時發(fā)現(xiàn)登陸非法網(wǎng)站的電腦主機，從而防止職工利用辦公網(wǎng)從事非法活動。

（二）建立安全管理保障體系

在網(wǎng)絡(luò)安全體系中，管理占有相當(dāng)大的比重，任何完善的安全技術(shù)如果沒有完善的管理制度做保障都無安全可言，所以，建立定期的安全檢測、口令管理、人員管理、策略管理、備份管理、日志管理等一系列管理方法和制度是非常必要的。

1.運用網(wǎng)絡(luò)安全審計軟件

任何一個網(wǎng)絡(luò)都潛藏著種種被攻擊的可能性，雖然我們沒有辦法消除攻擊，但是可以通過網(wǎng)絡(luò)安全審計軟件記錄非法行為，保留犯罪現(xiàn)場信息，從而為追蹤不法入侵、追查網(wǎng)絡(luò)犯罪，提供重要的線索和依據(jù)。網(wǎng)絡(luò)審計軟件可以監(jiān)控網(wǎng)絡(luò)中絕大多數(shù)行為，如監(jiān)控各種P2P軟件、聊天軟件、游戲、流量控制、網(wǎng)頁監(jiān)控，并將非法行為以日志形式記錄下來。

2.建立強壯的安全策略

網(wǎng)絡(luò)安全必須構(gòu)筑在一個堅實的安全服務(wù)基礎(chǔ)之上，支撐整個電子政務(wù)安全穩(wěn)定的基礎(chǔ)是信任。解決信任問題包括：

（1）可信的身份，即你是誰的問題。系統(tǒng)中的安全措施經(jīng)常會根據(jù)用戶的身份決定是否執(zhí)行其提出的訪問要求，這里用戶身份是否可信就成為了該安全策略的核心問題?？尚诺纳矸莘?wù)就是為驗證提供準(zhǔn)確的用戶身份確認(rèn)信息。沒有可信的身份驗證服務(wù)，防火墻就可能根據(jù)偽造的合法用戶身份做出錯誤的判斷。

（2）網(wǎng)絡(luò)信任域，即你來自哪里的問題。網(wǎng)絡(luò)設(shè)備的可管理性對于網(wǎng)絡(luò)安全來說同樣重要。網(wǎng)絡(luò)信任域就是通過賦予網(wǎng)絡(luò)設(shè)備可信的識別碼建立起一個可管理的網(wǎng)絡(luò)，從而準(zhǔn)確了解和控制訪問設(shè)備的訪問位置及訪問權(quán)限。

（3）可信的數(shù)據(jù)，即數(shù)據(jù)是否完整、機密。用戶從系統(tǒng)中獲得的數(shù)據(jù)應(yīng)該被相信是完整未被篡改的，同時數(shù)據(jù)在傳輸過程中應(yīng)該是安全機密的。

（4）可信的時間服務(wù)。對于電子政務(wù)這類涉及大政方針執(zhí)行、審批的應(yīng)用來說，系統(tǒng)中的文件都應(yīng)該具有可信的時間戳，因為時間是政府工作中一個重要的工作和責(zé)任認(rèn)定依據(jù)。

3.運行網(wǎng)絡(luò)版殺毒軟件

除了有防火墻、每個網(wǎng)絡(luò)中的客戶端，還應(yīng)該有一個網(wǎng)絡(luò)版殺毒軟件，定時定期對客戶端進行病毒監(jiān)控、查殺。一個好的網(wǎng)絡(luò)版殺毒軟件不僅可以有效查殺本地病毒，還可以監(jiān)控本地網(wǎng)絡(luò)端口，隨時對各種網(wǎng)絡(luò)攻擊、非法進程和木馬程序進行阻攔。

4.使用電子郵件系統(tǒng)防護軟件

為給管理相對人提供一個監(jiān)督、交流的窗口，在網(wǎng)站中設(shè)有獨立公開的電子郵件管理系統(tǒng)。如果郵件系統(tǒng)受到黑客的攻擊，而導(dǎo)致產(chǎn)生垃圾信件或是系統(tǒng)崩潰，將會阻斷管理相對人與海事部門之間的網(wǎng)上聯(lián)系。因此，任何一個電子郵箱管理系統(tǒng)，都必須配備一套防護軟件，使其免受非法侵害。

（三）建立災(zāi)難恢復(fù)和響應(yīng)機制

網(wǎng)絡(luò)災(zāi)難可以用“天災(zāi)人禍”來形容，無論是雷擊、火災(zāi)、黑客、設(shè)備損壞都會對網(wǎng)絡(luò)安全帶來致命的打擊。網(wǎng)絡(luò)災(zāi)難的隱患時刻存在，建立一個全面穩(wěn)妥的恢復(fù)機制尤為重要。

首先，要建立一個針對不同災(zāi)難等級的預(yù)警機制。根據(jù)對信息網(wǎng)絡(luò)中斷的范圍、系統(tǒng)癱瘓及資源破壞程度分別定級。預(yù)警分別用紅色和橙色顯示。此外，嚴(yán)重程度稍輕的兩種事故分別用黃色和藍色預(yù)警顯示。這種建立預(yù)警機制的方法，達到了分級應(yīng)對、節(jié)約資源、有效管理的效果和有效提高應(yīng)對突發(fā)事件的能力。

其次，要針對不同類型的災(zāi)難準(zhǔn)備好應(yīng)急預(yù)案。如果是由于病毒而導(dǎo)致系統(tǒng)服務(wù)停止，就應(yīng)該用殺毒軟件進行清理；如果是由于硬件損壞而導(dǎo)致網(wǎng)絡(luò)運行中斷，就要多購買些硬件作為儲備；如果遇到雷擊、火災(zāi)、水災(zāi)等災(zāi)難，就要在平時安排好節(jié)日值班，指定專人負(fù)責(zé)安全事宜。

最后，建立應(yīng)急響應(yīng)機制。隨著海事業(yè)務(wù)系統(tǒng)不斷開展，業(yè)務(wù)數(shù)據(jù)量成倍增加，數(shù)據(jù)的安全性、傳輸設(shè)備、存儲設(shè)備面臨的壓力也越來越大，建立一個完善的響應(yīng)機制勢在必行。其作用有：（1）提升安全理念。尤其是全面提高整個單位的系統(tǒng)安全認(rèn)識，進行全面細(xì)致的安全工作部署。（2）降低風(fēng)險。對網(wǎng)絡(luò)進行全局范圍內(nèi)的監(jiān)控，全面了解網(wǎng)絡(luò)中發(fā)生了什么，掌握發(fā)生的內(nèi)部違規(guī)事件和外部入侵行為，可以大大降低網(wǎng)絡(luò)被侵害的風(fēng)險。（3）減少損失。出現(xiàn)突發(fā)事件時，做到早發(fā)現(xiàn)、早確認(rèn)、迅速定位、全局預(yù)警，及時采取措施使網(wǎng)絡(luò)整體的損失降到最低。不但對已知事件能夠快速響應(yīng)，對未知事件也可及時處理并采取相應(yīng)措施。（4）明確安全責(zé)任。對分布在長江沿線、管理復(fù)雜的海事網(wǎng)絡(luò)系統(tǒng)來說，在網(wǎng)絡(luò)中出現(xiàn)安全事件后，通過應(yīng)急響應(yīng)機制能夠迅速定位安全事件的來源，明確安全事件發(fā)生的范圍，確認(rèn)網(wǎng)絡(luò)系統(tǒng)受損害程度，進而明確安全責(zé)任。

（四）加強信息安全教育增強安全意識

在信息化快速發(fā)展的今天，信息安全事件也層出不窮。如：黑客利用網(wǎng)站漏洞侵入后臺竊取信息；散播病毒進入系統(tǒng)，使系統(tǒng)癱瘓；干擾政府網(wǎng)站正常的對公眾服務(wù)等。增強廣大干部職工的防范意識，確保系統(tǒng)安全是安全管理工作要著重解決的問題。

信息安全管理工作存在的主要問題是用戶安全意識薄弱，對信息網(wǎng)絡(luò)安全重視不夠，安全措施不落實。因此，組織開展多層次、多方位的信息網(wǎng)絡(luò)安全宣傳和培訓(xùn)，增強干部職工的安全防范意識和防范能力是避免信息網(wǎng)絡(luò)安全事件發(fā)生的有效途徑。要經(jīng)常進行安全教育工作，普及安全知識，讓所有的干部職工提高安全意識，掌握安全工作的方法，這樣才能全面地提高海事政務(wù)網(wǎng)絡(luò)安全。同時，建立安全防范制度，以制度的形式將安全工作落到實處。

總之，加強電子政務(wù)安全體系建設(shè)刻不容緩，必須依靠信息管理人員、廣大干部職工的共同努力，構(gòu)建一套完整、科學(xué)、高效、統(tǒng)一的電子政務(wù)網(wǎng)安全保障體系。隨著海事電子政務(wù)建設(shè)進程加快，網(wǎng)絡(luò)與信息安全將不斷面臨新的挑戰(zhàn)，要對涉及信息安全的電子政務(wù)系統(tǒng)中的硬件設(shè)備、網(wǎng)絡(luò)、系統(tǒng)軟件、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等內(nèi)容進行全程安全管理；要利用技術(shù)管理，如網(wǎng)絡(luò)運行前的開發(fā)、試用、驗收和推廣各階段的安全管理；要實施必要的安全行政管理措施，建立完備的安全管理制度、配備專職的信息管理人員、并建立完善的責(zé)任和監(jiān)督機制。

C913.9

A

1673-1999（2010）09-0101-02

張軍（1975-），男，甘肅人，重慶海事局裝備信息處（重慶401121）工程師，從事信息管理工作。

2010-01-08