相忠良

[摘要]首先分析目前我國政府計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的特點(diǎn)，并結(jié)合我國政府網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)給出網(wǎng)絡(luò)結(jié)構(gòu)圈。由于政府網(wǎng)絡(luò)結(jié)構(gòu)無法適應(yīng)政務(wù)公開與信息保密的要求，給出一種新型的網(wǎng)絡(luò)安全結(jié)構(gòu)即邊界網(wǎng)絡(luò)安全結(jié)構(gòu)的結(jié)構(gòu)圖，并給出邊界網(wǎng)絡(luò)的詳細(xì)定義。

[關(guān)鍵詞]邊界安全電子政務(wù)網(wǎng)絡(luò)安全

中圖分類號：TP3文獻(xiàn)標(biāo)識碼：A文章編號：1671--7597(2009)1020060--01

一、引言

自從Internet誕生，網(wǎng)絡(luò)安全問題就一直是人們討論的熱點(diǎn)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢，但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征-致使網(wǎng)絡(luò)易受攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問題。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

二、現(xiàn)階段政府網(wǎng)絡(luò)的總體情況

在政府網(wǎng)絡(luò)中，內(nèi)部網(wǎng)絡(luò)上有著大量高度機(jī)密的數(shù)據(jù)和信息，網(wǎng)絡(luò)安全是放在首位的。如果網(wǎng)絡(luò)安全得不到保證，那么將會給國家、社會及網(wǎng)絡(luò)用戶帶來嚴(yán)重威脅，可能造成政治、經(jīng)濟(jì)等各方面的巨大損失。在政府工作不斷地實(shí)現(xiàn)信息化、高效便捷的同時(shí)，安全保護(hù)成了亟待解決的問題。但是為滿足公眾對更好、更有效服務(wù)的要求，他們必須改進(jìn)在線業(yè)務(wù)和數(shù)據(jù)共享的交付方式，所以政府又必須保護(hù)它所有的信息和過程免受黑客攻擊、數(shù)字攻擊和其他在線威脅。

在我國黨政機(jī)關(guān)中計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用有如下特點(diǎn)，具有網(wǎng)絡(luò)規(guī)模適中，人員相對較少。應(yīng)用以辦公為主，輔以少量的數(shù)據(jù)庫應(yīng)用，個(gè)別業(yè)務(wù)保密級別相當(dāng)高。人員雖少但訪問控制級別要求精確，對審計(jì)需求也很高。

目前黨政機(jī)關(guān)為了滿足安全的要求，通常的做法是把內(nèi)部網(wǎng)與外部公網(wǎng)物理上隔離，這一方面是國家有關(guān)部門的保密規(guī)定要求，另一方面也是由于沒有很好的解決方案而不得已為之。即使內(nèi)外隔離，內(nèi)部網(wǎng)絡(luò)的安全問題還是相當(dāng)突出，更需要對內(nèi)部人員的身份認(rèn)證、訪問授權(quán)以及相互之間的數(shù)據(jù)加密等有效解決方案。

三、殃階段政府網(wǎng)絡(luò)結(jié)構(gòu)

黨政機(jī)關(guān)單位在地理位置上一般是處于一個(gè)大院內(nèi)或一幢大樓內(nèi)，具有一個(gè)中心網(wǎng)絡(luò)，提供公共應(yīng)用服務(wù)(亦稱公共應(yīng)用平臺)，同時(shí)行使網(wǎng)絡(luò)管理權(quán)利。按行政結(jié)構(gòu)，下屬各局、委、辦，各自具有局域網(wǎng)，各局域網(wǎng)也具有自己的服務(wù)器，或Web或應(yīng)用服務(wù)器，為了給首長提供機(jī)要信息，單獨(dú)建設(shè)一個(gè)首長機(jī)要局域網(wǎng)，內(nèi)設(shè)基于Web的首長查詢服務(wù)器。這些局域網(wǎng)都是直接連接到中心網(wǎng)絡(luò)。共享公共應(yīng)用服務(wù)，同時(shí)也提供自己的信息給其他單位共享。通過公開服務(wù)器，各單位可以直接對外發(fā)布信息或者發(fā)送電子郵件。一般來說，這些局域網(wǎng)都是直接連接到中心網(wǎng)絡(luò)，共享公共應(yīng)用服務(wù)，它們之間沒有直接通信通道。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連方案設(shè)計(jì)為用戶提供快速、方便、靈活通信平臺的同時(shí)，也為網(wǎng)絡(luò)的安全帶來了更大的風(fēng)險(xiǎn)。因此，在原有網(wǎng)絡(luò)上實(shí)施一套完整、可操作的安全解決方案不僅是可行的，而且是必需的。

黨政機(jī)關(guān)由于中心單位和各下屬單位之間的地理位置不同，所需連接的距離也不同，形成的園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)也就有所差異。這種差異最終造成安全需求及解決方案的不同。一般有集中式的網(wǎng)絡(luò)結(jié)構(gòu)和分布式的網(wǎng)絡(luò)結(jié)構(gòu)兩種模式。

對于集中式的網(wǎng)絡(luò)結(jié)構(gòu)，該單位的所有下屬部門都處于大樓或大院內(nèi)，所有局域網(wǎng)與中心網(wǎng)絡(luò)直接互連，未經(jīng)過不可信的公網(wǎng)。

對于分布式的網(wǎng)絡(luò)結(jié)構(gòu)，該單位的主要部門都處于大樓或大院內(nèi)，呈現(xiàn)出一個(gè)集中式的網(wǎng)絡(luò)結(jié)構(gòu)；還有一些下屬部門分布在其他地方，在業(yè)務(wù)上需要信息通信和共享。這些局域網(wǎng)與中心網(wǎng)絡(luò)的互連，是經(jīng)過不可信的公網(wǎng)(Intemet、x.25、PSTN等)。

在中心子網(wǎng)中，放置著各種公共應(yīng)用服務(wù)器，其他下屬單位各有自己的子網(wǎng)，它們通過安全路由器與外部公網(wǎng)相連。在實(shí)際應(yīng)用中，各級政府機(jī)關(guān)內(nèi)部的應(yīng)用種類可能不同。這樣的網(wǎng)絡(luò)結(jié)構(gòu)為非安全結(jié)構(gòu)。是目前采用最多的一種。

一般的安全措施是在連接公網(wǎng)處安裝防火墻，但它只能防止外部非授權(quán)的網(wǎng)絡(luò)訪問，而對內(nèi)部幾乎沒有防范功能。以上網(wǎng)絡(luò)結(jié)構(gòu)是不安全的，內(nèi)部網(wǎng)絡(luò)直接連接到公網(wǎng)或?qū)＞W(wǎng)，即非安全區(qū)。這樣受到非法攻擊的風(fēng)險(xiǎn)非常大。所以需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，使之成為基本安全的前提。

四、邊界網(wǎng)絡(luò)安全結(jié)構(gòu)

邊界網(wǎng)絡(luò)，也叫做DMZ(Demilitarized Zone)，即俗稱的非軍事區(qū)。它是一個(gè)小型的網(wǎng)絡(luò)，與軍事區(qū)和信任區(qū)相對應(yīng)，作用是把WEB、e—mail等允許外部訪問的服務(wù)器單獨(dú)接在該區(qū)端口，使整個(gè)需要保護(hù)的內(nèi)部網(wǎng)絡(luò)接在信任區(qū)端口后，不允許任何訪問，實(shí)現(xiàn)內(nèi)外網(wǎng)分離，達(dá)到用戶的安全需求。DMZ可以理解為一個(gè)不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域，DMZ內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器，比如Web、Mail、FTP等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務(wù)，但不可能接觸到存放在內(nèi)網(wǎng)中的公可機(jī)密或私人信息等，即使DMZ中服務(wù)器受到破壞，也不會對內(nèi)網(wǎng)中的機(jī)密信息造成影響。

邊界網(wǎng)絡(luò)安全結(jié)構(gòu)是在政府現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上的改進(jìn)，首先增加一個(gè)支持三網(wǎng)段的防火墻。將原來的中心子網(wǎng)和內(nèi)部網(wǎng)分為非軍事化區(qū)、服務(wù)子網(wǎng)和內(nèi)部網(wǎng)。將公開的WWW服務(wù)器放在非軍事化區(qū)，并放置代理服務(wù)器。將內(nèi)部使用的各種應(yīng)用服務(wù)器統(tǒng)統(tǒng)放在服務(wù)子網(wǎng)。

通過防火墻和路由器的配置，用戶無論在網(wǎng)絡(luò)內(nèi)部還是在網(wǎng)絡(luò)外部，都是通過代理服務(wù)器來訪問各個(gè)應(yīng)用服務(wù)器，這就較好的保障了網(wǎng)絡(luò)應(yīng)用的安全。

五、總結(jié)

現(xiàn)在政務(wù)公開是我國建設(shè)廉潔、勤政、務(wù)實(shí)、高效政府的重要步驟，是保證廣大人民群眾享有知情權(quán)的重要舉措，并于2008年5月1日正式實(shí)施了《中華人民共和國政府信息公開條例》。但是由于政府信息的多樣性，凡涉及國家機(jī)密、商業(yè)機(jī)密和個(gè)人隱私等信息又要嚴(yán)格保密。鑒于政府信息的特殊性，為了更好的處理公開與保密的關(guān)系。做的該公開的公開，該保密的保密，就要求電子政務(wù)要有合理的網(wǎng)絡(luò)安全結(jié)構(gòu)。邊界網(wǎng)絡(luò)安全結(jié)構(gòu)就是針對現(xiàn)在政府機(jī)關(guān)信息公開與保密的需求以及政府機(jī)關(guān)網(wǎng)絡(luò)特點(diǎn)提出來的，是在政府現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上的改進(jìn)。