《电子政务网上审批系统安全方案(共4页).doc》由会员分享,可在线阅读,更多相关《电子政务网上审批系统安全方案(共4页).doc(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上电子政务网上审批系统安全方案1.引言 电子政务建设是今后一个时期我国实施信息化带动工业化战略的基本方针和工作重点,电子政务建设不仅是国民经济建设的需要,也是转变政府职能、深化政治体制改革的必然要求。北京市从2002年开始,从网上审批工程入手拉开了电子政务建设的序幕。在北京市行政审批制度改革工作领导小组的统一部署下,在计委、规划委、工商局、地税局、公安局等15个与公共关系密切、审批业务比较集中的委办局,进行了电子政务网上审批一期工程试点。试点工程于2002年9月全部竣工,建立了全市电子政务在线服务平台,实现了58项审批业务的网上办理。2003年,北京进行了电子政务网上审
2、批二期工程建设,二期工程的试点单位为25个,涉及的网上审批项目达200项,建设市级平台是二期工程的重点。除北京市外,全国许多省会城市都在积极准备开展电子政务建设,可以预计今后几年我国电子政务建设将是政府上网工程后又一项全国性的信息化建设工程。随着电子政务工程的建设,必将加速国民经济和全社会的信息化进程。在电子政务建设中,信息安全的同步建设已经成为建设单位的共同要求。在北京市电子政务网上审批系统的投标文件中,对信息安全提出了很高的要求,建立“完整的信息安全体系”是各委办局的共同愿望。但是,承担电子政务工程建设的开发公司,多数是系统集成商或软件开发商,不是专业的信息安全公司,缺少信息安全整体设计和
3、技术开发的知识和能力,形成了业主的要求和开发商能力之间的矛盾。电子政务信息系统对信息安全的基本需求是什么?电子政务信息系统的安全体系的内涵是什么?电子政务信息系统应配置的安全设备应包括哪些?电子政务安全体系建设中存不存在系统开发等等存在不同的认识。这些问题不解决,在电子政务工程中建立“完整的信息安全体系”只是一句空话。2. 电子政务网上审批系统的基本框架2.1 电子政务网上审批系统的体系结构在政府上网工程和政府办公系统之后建立起来的电子政务网上审批系统通过市级在服务平台或相关委办局的网站为公众提供网上审批服务。用户通过互联网进入市级在线服务平台或相关委办局的网站,在完成用户注册后,即可进行表格
4、下载、申请信息填写、申请数据提交,并能通过网络查询,及时获得审批信息。各委办局公务员通过各自的办公系统和电子政务系统实现业务受理、公文流转、项目审批、结果反馈、信息查询等。应用模式第一,委办局单向业务审批。用户通过市级在线服务平台或直接进入委办局网站完成项目的申报和查询。在委办局,通过办公业务系统实现业务受理、任务分发、项目审批和结果反馈等功能。第二,互联审批业务模式。用户通过市级在线服务平台或直接进入委办局网站进行用户注册、业务申请和信息查询。由于某些业务需要分级审批或跨委办局进行纵向审批,电子政务系统会自动进行信息流转。用户可通过市级在线服务平台或相关委办局的网站获得相关审批信息。服务模式
5、企业、事业和公众可从市级在线服务平台或委办局的门户网站进入相关的电子政务网上审批系统。用户选择需要办理的审批事项,填报相关的申请信息,即可获得相关服务。这些服务包括用户注册、表格下载、申请提交、审批状态查询等。用户注册用户可通过市级在线服务平台注册,也可通过委办局的门户网站进行注册,通过市级在线服务平台注册的用户基本信息可在委办局共享,但在委办局门户网站注册的用户信息只能注册地使用。网上审批系统的体系结构如下图所示:2.2 网络结构电子政务网上审批系统的网络结构采用“三网架构”,即政府委、办、局的办公网(内网)、支持委办局跨部门协调办公的电子政务专网和与企事业单位、公众通过互联网接入的外网。有
6、些委办局的电子政务系统还与政府的涉密机要网相关联。但是,涉密机要网是一个专用网络,它不是电子政务网络的范畴。电子政务网上审批系统的网络结构见图2所示。3. 电子政务网上审批系统对信息安全的基本需求电子政务网上审批系统对信息安全的基本需求是建立完整的信息安全保障体系。该体系应包括:物理安全、网络安全、系统安全、应用安全、数据安全和灾难备份与恢复等。3.1 网络安全保障系统:内网与外网之间实现物理隔离。即用物理隔离网闸实现内外网数据的摆渡和交换,保障内网安全。内网与专网之间实现逻辑隔离。即配置具有VPN功能的防火墙,实现安全代理、信息包过滤、内外地址绑定等,防止非授权用户经过专网非法访问内网。在外
7、网与互联网的边界处设置防火墙实现逻辑隔离。在外网的入口处配置网络入侵检测设备,实时检测网络的安全运行状态,即时发现网络“黑客”入侵行为。设置抗拒绝服务网关,保障网络在DOS/DDOS攻击之下能安全运行。对规模较大的内网,采用虚拟局部网络(VLAN),保障内网中敏感业务和数据安全。在网络层采用IPSec技术或在传输子层采用SSL技术构建VPN网络,实现信息传输的保密性、完整性和不可否认性。设置网络安全漏洞扫描和安全性能评估设备,不定期的对全网进行安全漏洞扫描和性能评估。设置功能强大的网络版的反病毒系统,实时检杀病毒。3.2 主机(系统)安全保障系统应用服务器、网络服务器、数据库服务器等各类计算机
8、的操作系统应选择安全级别高、可控的操作系统;对各类计算机要进行认证配置,关闭电子政务网上审批系统中没有用处的端口;按电子政务网上审批系统的要求开发统一的身份认证系统、统一授权与访问控制系统、统一安全审计与日志管理系统等。在应用服务器处设置ITS引擎,及时发现“黑客”对主机的入侵行为。设置功能强大的网络版的反病毒系统,实时检杀病毒。3.3 应用安全保障系统建立统一的身份认证和授权管理系统:根据用户安全级别的不同,允许用户使用常规的“ID+口令”、“动态口令”、“指纹”和“证书”等多种身份认证手段,经过门户网站的用户管理系统或市级在线服务平台的用户管理系统,对用户实施集中的身份认证和权限管理。统一
9、的身份认证系统应能实现单点注册。提供加密机制:应用系统可建立基于PKI的信息传输加密机制,也可建立基于对称密钥的加密机制,实现信息传输的保密性。提供数字签名机制,实现电子政务网上申报和网上审批行为的不可抵赖性。建立安全邮件系统:提供电子邮件收/发的身份认证、邮件信息的加密传输、数字签名和完整性检验等。建立完整的安全审计和日志管理系统。3.4 数据备份与灾难恢复系统电子政务数据库中的数据应实时进行备份,有条件的地方应实现异地备份,保障在灾难发生时的数据安全。当门户网站的页面被“黑”或灾难发生时,系统应能及时发现,并能及时恢复。3.5 信息安全管理平台建立全系统的安全设备管理平台,实现安全策略的统
10、一制订,安全设备的集中配置,安全事件报告的集中管理,安全策略的统一修改与安全响应的统一实施。建立以客户管理为中心的安全管理平台,实现客户的统一身份认证、统一授权、统一审计。4.电子政务网上审批系统信息安全总体解决方案4.1电子政务网上审批系统信息安全需求框架电子政务网上审批系统信息安全需求框架见图3所示。4.2 电子政务网上审批系统信息安全总体解决方案框架电子政务网上审批系统信息安全总体解决方案框架是以三个管理平台为基础构建起来的信息安全体系。以客户为中心的安全管理平台重点解决“三个统一”:统一身份认证、统一授权、统一审计。用户通过市级在线服务平台或委办局网站接入网上审批系统。在门户网站进行统
11、一身份认证、完成单点登录,并根据用户的权限实施统一授权。在目录服务器中存储用户注册资料和门户配置信息等。用户在系统中所做的工作都由日志详细记录在案,并由该平台进行统一审计管理。系统的安全设备在安全设备管理平台统一管理下工作:管理平台根据安全需求对每一个设备的安全策略进行设计,按安全策略进行集中配置,每个设备的工作状态自动报送到管理平台,当发生安全事件时,报警信息自动报送到平台,提醒安全管理员。安全事件的响应按安全策略实施,当出现安全策略之外的事件时,安全管理员通过管理平台做出响应。密钥管理中心管理三种不同类型的密钥:内网密钥、专外网密钥、涉密网密钥。涉密网密钥管理是一个特殊管理问题,本系统不可
12、能管理到涉密网的密钥,只能管理内网和专网的非涉密密钥,但作为一个整体将其列入。如果系统采用基于PKI的证书方式提供公钥/私钥,密钥管理中心还需与证书中心建立联系。电子政务网上审批系统信息安全总体解决方案框架见图4所示4.3 网络安全保障系统的设备配置a) 防火墙、物理隔离网闸的部置用户通过互联网接入委办局的网站,为了保障网站免受黑客攻击,保障外网安全,在委办局的网站的边界应设置防火墙,这是必须的。现在许多委办局的网上审批系统未设置此防火墙,存在较大的安全隐患。由于委办局内网是政府公务员办公系统,委办局的许多信息虽然不是涉密信息,但是这些信息是委办局的敏感信息,有些信息在一段时间内是不宜公开的信
13、息,保护委办局内网的安全是重要的。采用防火墙这样的逻辑隔离手段不能满足要求的,根据有关部门的要求,设置物理隔离网闸,用数据摆渡的方式实现内外网的信息交换。防火墙、物理隔离网闸的布置见图5所示b) 入侵检测(IDS)与抗拒绝服务网关的部置新病毒层出不穷、黑客攻击手段变换莫测,为保障网络安全,除了设置功能强大的防火墙和网络反病毒软件系统外,对网络和主机进行安全监视,随时检测网络和主机的安全状态是必须的。安全是一个相对的概念,不存在绝对的安全,IDS引擎一设置在网络服务器处,另一个设置在内网服务器处。抗DOS/DDOS(拒绝服务攻击/分布式拒绝服务攻击)是黑客攻击的重要武器,也是置网络瘫痪的重要因数
14、,全球许多网络都深受其害。为保证网络安全在外网的入口处设置抗拒绝服务网关是必要的。入侵检测(IDS)与抗拒绝服务网关的部置见图6所示c) 网络防病毒系统的部置电子政务网是三网互联的开放网络结构,其外网与互联网相连,内网通过专网连接到其它委办局内网的信息交换服务器,网络结构也比较复杂。最大的网络用户群是通过互联网接入的公众和企事业单位,这样的网络结构和用户群,受病毒侵害和黑客攻击再所难免。为保障电子政务网在病毒攻击状态下能正常工作,必须建立分层的立体的反病毒系统。反病毒系统采用服务器/客户机结构,在委办局内网设置反病毒主域服务器(可由安全服务器兼),在外网和委办局的有关部门设立子域服务器,形成一
15、个反病毒安全域。服务器的病毒防护在内网服务器、外网服务器中安装网络版反病毒软件,并定义为主域服务器。在其它服务器中中安装网络版反病毒软件,并定义子域服务器。当安装完毕后,重新启动计算机,系统自动运行反病毒的实时监控器,对服务器进行实时病毒防护。客户机的病毒防护客户端的计算机可以通过用户登录主域服务器或本部门的子域服务器,进行反病毒软件的自动安装。邮件服务器的病毒防护在邮件服务器上安装邮件杀毒软件,保护邮件免受病毒侵害。电子政务网上审批系统的反病毒系统部署见图6所示以客户为中心的安全管理平台是以安全策略服务器为核心,集客户身份认证、授权管理、审计管理、访问控制、单点注册等功能为一体的安全管理平台
16、。在统一接入的门户系统中提供如下服务,这些服务均涉及系统的安全。门户展示服务在门户展示拦内部署各种业务办理申请、状态查询、信息检索、监督投诉等类型的在线频道。身份认证服务提供门户服务的配置管理、统一认证、统一授权、单点登录服务等。目录服务存储配置门户配置信息和注册用户资料。门户应用服务系统为门户上汇集的频道提供HTML、Web、XML、Web Servers等服务形式的支持。以客户为中心的安全管理平台的功能结构见图7,体系结构见图8。5、结束语本文是根据近两年参加北京市电子政务网上审批工程评标过程中发现的在信息安全建设中存在的问题所提出的基本解决方案。每个委办局因业务性质不同,对信息安全的要求也不同,但总体解决方案是一致的。由于篇幅限制,本文对安全审计、VPN、VLAN、数据加密、灾备与恢复等未进行详细论述,有兴趣的读者可直接通过北京捷安世纪公司网站与我们联系。专心-专注-专业