论文部分内容阅读
摘要:当前的政务网安全问题日显突出,加大对安全的重视程度,才能更好地发挥政务网的功能作用。本文重点就物理隔离技术的应用在政务网安全保障中的作用进行了论述。
关键词:政务网;安全;物理隔离
在经济和信息全球化加快发展的态势下,一个信息化的政府已经成为21世纪提高国家和地区竞争力的重要要素。利用信息技术,政府一方面可以有效地整合资源,为公众提供更加便捷的服务,另一方面可以充分地促进政务公开,提升政府部门的公众形象。然而在我们加快步伐建设政务网的同时,信息安全问题日显突出。面对日益增加的政务网攻击、染毒事件,我们采取何种措施,可以使安全与成本、安全与效率的矛盾降到最低,这成为我们建设政务网时必须要面对和考虑的重要问题。
1 政务网安全现状
从1993年的“三金工程”到现在,各种各样、大大小小的电子政务应用项目如雨后春笋般出现在政府的各领域中。政府在加大对政务网建设力度的同时,也高度重视政府网络安全必要性问题。国务院总理、国家信息化领导小组组长温家宝曾在国家信息化领导小组第三次会议中特别提出:“要切实加强信息安全保障工作。坚持积极防御、综合防范的方针,在全面提高信息安全防护能力的同时,重点保障基础网络和重要系统的安全。完善信息安全监控体系,建立信息安全的有效机制和应急处理机制。”
当前,我国电子政务所面临的安全问题主要表现为以下几个方面:黑客攻击、病毒入侵、木马及违规操作。虽然目前几乎所有的政务网都有内、外网之分,但为了便于内、外网之间的信息交换,便于政府与公众之间的有效互动,在信息共享的前提下,政务网络的安全问题仍然不容忽视。据国家互联网应急中心(CNCERT)2009年中国互联网网络安全报告统计显示,2009年,中国大陆有4.2万个网站被黑客篡改,其中,被篡改的政府网站各月累计达2765个,虽较2008年下降约22.3%,但相较于政府网站占网站总数1.1%的比例,政府网站被篡改的比例仍然相对较高。2009年我国政府网站被篡改数量的下降在一定程度上说明政府网站整体安全性有所提升,但总的情况仍不容乐观。
2 物理隔离技术的提出
所谓“物理隔离”是指内部网络不直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网络与公共网物理隔离,才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为政府内部划定了明确的安全边界,使得网络的可控性增强,便于内部管理和防范。
最早提出物理隔离技术的应该是以色列和美国军方。我国是在90年代中后期首次提出了“物理隔离”的要求,国家保密局于2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条,明确规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网连接,必须实行物理隔离。”为确保物理隔离技术和相关产品的安全保密,国家保密局对物理隔离提出了明确的保密技术要求:(1)在物理传导上使内外网相隔离,确保外部网络不能通过网络连接而入侵内部网络,同时防止内部网络的信息通过网络连接泄露到外部网络。(2)计算机屏幕上应有当前处于内网还是外网的明显标识。(3)内外网络的接口处应有明确的标识。(4)内外网络切换时应重新启动计算机,以清除内存、处理器等暂存部件残余信息,防止秘密信息串到外网上。(5)移动存储介质未从计算机取出时,不能实行内外网络切换。(6)防止内部网络信息通过电磁辐射泄露到外部网络上。
3 物理隔离技术工作原理
互联网络中最大的一个安全漏洞就是TCP/IP协议,TCP/IP协议的根本目标就是保证传输的顺畅,它没有控制机制来鉴别源地址,证实IP的来源。而物理隔离的工作原理恰恰是在数据的传输过程中剥离了TCP/IP协议。下面我们来详细地讲述其工作过程:
在正常情况下,外网与隔离设备,隔离设备与内网,外网与内网三者之间是完全断开的。当外网中有数据进行传输时,外部服务器立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,对数据进行完整性和安全性的检查,在确保安全的情况下将数据写入存储介质。完成数据写入后,隔离设备立即与外网断开连接,继而发起对内网的非TCP/IP协议的数据连接,隔离设备将存储介质内的数据传输至内网。内网收到数据后,随即进行相关协议的封装,并交给应用系统。当隔离设备将数据完整地交给内网后,立即切断与内网的连接。此时,完成了从外网向内网的一次数据传输。反之,在内网中有数据向外网传递时,也以几乎相同的过程进行,以确保外网与内网不会同时连通。
4 政务网物理隔离技术解决方案
(1) 建立两个相对独立的网络系统。一个是内网,用于处理内部事务及涉密信息;一个是外网,与公共互联网相连。内外网间有数据传输时,需要通过移动存储介质进行传递,操作起来比较繁琐,而且两套网络系统的建设,成本会相对较高。
(2) 单主板安全隔离计算机。其核心技术是双硬盘技术,将内外网络转换功能集成于BIOS中,安全电脑在主板结构上形成了两个物理隔离的网络终端接入环境,分别应用于公共互联网和内网,由BIOS所控制的网卡和硬盘各自独立,并只能在相应的网络环境下工作,在工作环境转换时,需要重新启动计算机。
(3) 安全网闸。当用户的网络需要高强度的安全时,采用以上两种方案,不仅管理相对麻烦,使用也非常不便,在这种情况下,安全网闸的出现,大大地方便了使用者。安全网闸在网络间进行的安全适度的信息交换是在网络之间不存在链路连接的情况下进行的。安全网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、进行数据交换,并可以在网络之间交换定制的文件。
参考文献
[1]中国互联网网络安全报告(2009).国家互联网应急中心.
[2]网络安全中物理隔离实现技术分析.赛迪网.
[3]姚鼎.浅议网络信息交换技术中的物理隔离体系.中国科技博览,2009(2).
关键词:政务网;安全;物理隔离
在经济和信息全球化加快发展的态势下,一个信息化的政府已经成为21世纪提高国家和地区竞争力的重要要素。利用信息技术,政府一方面可以有效地整合资源,为公众提供更加便捷的服务,另一方面可以充分地促进政务公开,提升政府部门的公众形象。然而在我们加快步伐建设政务网的同时,信息安全问题日显突出。面对日益增加的政务网攻击、染毒事件,我们采取何种措施,可以使安全与成本、安全与效率的矛盾降到最低,这成为我们建设政务网时必须要面对和考虑的重要问题。
1 政务网安全现状
从1993年的“三金工程”到现在,各种各样、大大小小的电子政务应用项目如雨后春笋般出现在政府的各领域中。政府在加大对政务网建设力度的同时,也高度重视政府网络安全必要性问题。国务院总理、国家信息化领导小组组长温家宝曾在国家信息化领导小组第三次会议中特别提出:“要切实加强信息安全保障工作。坚持积极防御、综合防范的方针,在全面提高信息安全防护能力的同时,重点保障基础网络和重要系统的安全。完善信息安全监控体系,建立信息安全的有效机制和应急处理机制。”
当前,我国电子政务所面临的安全问题主要表现为以下几个方面:黑客攻击、病毒入侵、木马及违规操作。虽然目前几乎所有的政务网都有内、外网之分,但为了便于内、外网之间的信息交换,便于政府与公众之间的有效互动,在信息共享的前提下,政务网络的安全问题仍然不容忽视。据国家互联网应急中心(CNCERT)2009年中国互联网网络安全报告统计显示,2009年,中国大陆有4.2万个网站被黑客篡改,其中,被篡改的政府网站各月累计达2765个,虽较2008年下降约22.3%,但相较于政府网站占网站总数1.1%的比例,政府网站被篡改的比例仍然相对较高。2009年我国政府网站被篡改数量的下降在一定程度上说明政府网站整体安全性有所提升,但总的情况仍不容乐观。
2 物理隔离技术的提出
所谓“物理隔离”是指内部网络不直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网络与公共网物理隔离,才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为政府内部划定了明确的安全边界,使得网络的可控性增强,便于内部管理和防范。
最早提出物理隔离技术的应该是以色列和美国军方。我国是在90年代中后期首次提出了“物理隔离”的要求,国家保密局于2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条,明确规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网连接,必须实行物理隔离。”为确保物理隔离技术和相关产品的安全保密,国家保密局对物理隔离提出了明确的保密技术要求:(1)在物理传导上使内外网相隔离,确保外部网络不能通过网络连接而入侵内部网络,同时防止内部网络的信息通过网络连接泄露到外部网络。(2)计算机屏幕上应有当前处于内网还是外网的明显标识。(3)内外网络的接口处应有明确的标识。(4)内外网络切换时应重新启动计算机,以清除内存、处理器等暂存部件残余信息,防止秘密信息串到外网上。(5)移动存储介质未从计算机取出时,不能实行内外网络切换。(6)防止内部网络信息通过电磁辐射泄露到外部网络上。
3 物理隔离技术工作原理
互联网络中最大的一个安全漏洞就是TCP/IP协议,TCP/IP协议的根本目标就是保证传输的顺畅,它没有控制机制来鉴别源地址,证实IP的来源。而物理隔离的工作原理恰恰是在数据的传输过程中剥离了TCP/IP协议。下面我们来详细地讲述其工作过程:
在正常情况下,外网与隔离设备,隔离设备与内网,外网与内网三者之间是完全断开的。当外网中有数据进行传输时,外部服务器立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,对数据进行完整性和安全性的检查,在确保安全的情况下将数据写入存储介质。完成数据写入后,隔离设备立即与外网断开连接,继而发起对内网的非TCP/IP协议的数据连接,隔离设备将存储介质内的数据传输至内网。内网收到数据后,随即进行相关协议的封装,并交给应用系统。当隔离设备将数据完整地交给内网后,立即切断与内网的连接。此时,完成了从外网向内网的一次数据传输。反之,在内网中有数据向外网传递时,也以几乎相同的过程进行,以确保外网与内网不会同时连通。
4 政务网物理隔离技术解决方案
(1) 建立两个相对独立的网络系统。一个是内网,用于处理内部事务及涉密信息;一个是外网,与公共互联网相连。内外网间有数据传输时,需要通过移动存储介质进行传递,操作起来比较繁琐,而且两套网络系统的建设,成本会相对较高。
(2) 单主板安全隔离计算机。其核心技术是双硬盘技术,将内外网络转换功能集成于BIOS中,安全电脑在主板结构上形成了两个物理隔离的网络终端接入环境,分别应用于公共互联网和内网,由BIOS所控制的网卡和硬盘各自独立,并只能在相应的网络环境下工作,在工作环境转换时,需要重新启动计算机。
(3) 安全网闸。当用户的网络需要高强度的安全时,采用以上两种方案,不仅管理相对麻烦,使用也非常不便,在这种情况下,安全网闸的出现,大大地方便了使用者。安全网闸在网络间进行的安全适度的信息交换是在网络之间不存在链路连接的情况下进行的。安全网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、进行数据交换,并可以在网络之间交换定制的文件。
参考文献
[1]中国互联网网络安全报告(2009).国家互联网应急中心.
[2]网络安全中物理隔离实现技术分析.赛迪网.
[3]姚鼎.浅议网络信息交换技术中的物理隔离体系.中国科技博览,2009(2).