电子政务安全保障体系如何构建

　　电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。政务内网主要是副省级以上政务部门的办公网，与副省级以下政务部门的办公网物理隔离。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务。在多数电子政务应用系统的建设中，由于缺乏总体的安全规划，使得所建设的应用系统在网络传输安全和数据存储安全等各个层面缺乏有力的保障，这将直接导致政府部门的重要数据面临着众多的安全隐患。根据“木桶原理”，一个系统的安全强度等于它最薄弱环节的安全强度。因此，必须综合分析电子政务整体安全需求的基础上，在国家信息安全战略框架体系指导下，构建一个完整的多层次的安全保障体系。如图1所示，围绕电子政务基础网络安全、信息传输安全、信息存储安全等保障目标，需要着重构建多层次的电子政务网络与信息安全保障体系框架，逐步完善安全管理体制，建立电子政务信任体系、风险评估服务体系、打击入侵威慑体系、安全监控管理体系，应急响应灾备服务体系等，以提高电子政务网络和系统多方位的安全保障能力。

　　在上述电子政务安全保障体系建设上，还存在一些需要重视的问题，需要加强相应的关键性安全技术和产品的研究开发，及产业推进工作。

　　（一）电子政务安全风险分析评估工具

　　国内对于信息网络的测评工作仍停留在产品级和单一安全功能的测评阶段，缺乏针对整个网络系统的测评工具和技术手段，使得系统的整体安全性能得不到保障，而系统安全的任何薄弱环节，都可能造成系统安全的雪崩式后果。同时，技术和产品的测评水平也直接影响到技<优麦电子商务论文>术和产品的发展。加强研究和开发具有良好可操作性的、能够指导具体系统测评工作的系统安全测评方法以及相应的测评工具，可以为实际的测评工作提供强有力的支持。

　　（三）网络信息安全综合管理平台

　　网络信息安全综合管理平台旨在克服传统方式上对安全设备或资源的离散管理，提供一个稳定可靠的综合性资源管理平台。同时，根据全网安全数据视图推行安全数据综合审计及设备间协同工作，消除大规模、多层次网络环境下的安全孤岛问题，提高管理人员工作效率并使全网安全资源形成有机的整体。

　　安全管理体系通常由分级部署的综合安全管理服务器实现多级管理，把网内的各种终端、设备和系统都纳入安全监控管理的范围内，按照“统一管理、分布部署”的原则，把各项安全监控管理功能都集中到安全综合管理平台上，以便对各种相关联的安全事件进行合理地响应和处理。

　　对网络设备设施的统一管理，对所有接入网络的设施和设备进行监管，对所有设备的运行状况进行监控；实现安全事件的采集、分析、处置和指挥调度，形成网络安全业务的规范化管理；对各类安全设施统一布控安全策略和规则，实现各类安全设施之间的联动，共同形成统一的安全保障体系；形成完整的安全事件处置体系，全面实现安全事件的发现、研判、任务分配、处置反馈和监督、应急响应等处置流程。

　　（四）基于网络处理器的高性能并行网络监控系统

　　在内部网络中，由于各种原因存在着违反保密规定的事件，因此需要对内部网络的行为进行分析，发现并阻止各种违规事件。对外部的大量攻击和入侵行为，也要能够及时发现并阻止。网络监控系统通过对数据收集、网络协议分析和应用协议分析，发现并阻止攻击和违规行为。

　　网络监控系统因为需要进行底层到高层的网络协议分析和应用协议分析，所有需要极大处理能力。目前的IDS系统往往通过减少处理量来满足实时的检测要求，但是这样就增加误报和漏报的概率，使得检测性能下降。基于网络处理器和并行处理技术的网络监控系统，可以有效解决上述问题。主要包括两个关键技术。一是分析数据的分配技术，将需要分析的数据分配到多个处理器上进行分析，避免因为数据的分配产生新的检测错误；二是数据快速截获技术，采用基于网络处理器的计算系统，以千兆的速度截取数据简 单处理后再分配到多个X86系统中作网络协议分析和应用协议分析，消除网络中截取数据时的速率瓶颈。

　　（五）信息泄密失密防范系统 从多个方面防止网络上可能出现的信息泄密失密，从具体的技术部署需求上有以下几个方面：

　　1、重点网站信息涉密度检查系统 以重点网站为主要检查目标，通过镜像获取重点网站的全部信息，本地进行基于关键词或者智能语义的分析，检查网站内容的涉密情况。这种检查技术手段更多的是基于对重点网站进行实时或者准实时的内容检查，及时发现失泄密行为。

　　2、重点关口数据流涉密度检查系统以网络信息失泄密的主要网络渠道关口为审查对象，对通过该关口的数据流进行协议解析以及数据还原，同时对其数据内容进行检查以确认数据流中有无含有涉密信息。该系统以高速数据捕获与还原为技术基础，进行基于关键词或智能语义分析。

　　3、涉密信息系统检查工具箱工具箱更多的时候是作为涉密系统检查人员的随身工具的形式呈现，以现场检查的多种功能集成的工具箱，主要包括：现场涉密检查管理系统、计算机硬盘扫描及常用格式文件内容检查系统、低速数据关口数据流协议恢复及内容检查系统。

（责编：邱文峰）

声明：凡注明CIO时代网（www.ciotimes.com）原创之作品（文字、图片、图表），转载请务必注明出处，违者本网将依法追究责任。