眾所周知，經(jīng)過近幾年來政府信息化建設(shè)的快速發(fā)展，電子政務(wù)在政府工作中得到了大面積的普及和應(yīng)用，電子政務(wù)網(wǎng)絡(luò)的規(guī)模也越來越大，在該網(wǎng)絡(luò)上運(yùn)行的應(yīng)用系統(tǒng)也越來越多，這些都標(biāo)志著電子政務(wù)在政府工作中發(fā)揮著重要的作用。然而，隨著電子政務(wù)的普及，在其網(wǎng)絡(luò)系統(tǒng)中表現(xiàn)出了一些突出的安全與管理問題，而且這些問題大多都與在網(wǎng)絡(luò)中的某些終端上發(fā)生的不當(dāng)行為有關(guān)。此外，更值得注意的是，在近些年電子政務(wù)的發(fā)展過程中，很多單位盡管已在網(wǎng)絡(luò)安全和管理方面加大了投入，采購(gòu)并布置了如防火墻、入侵檢測(cè)、網(wǎng)絡(luò)管理系統(tǒng)等。但是，這些措施對(duì)于網(wǎng)絡(luò)終端的管理卻顯得心有余而力不足。因此，網(wǎng)絡(luò)終端的安全與管理問題，在電子政務(wù)網(wǎng)絡(luò)的日常管理中顯得日益突出。

網(wǎng)絡(luò)終端安全管理的常見問題

通過對(duì)電子政務(wù)網(wǎng)絡(luò)建設(shè)和應(yīng)用情況的深入調(diào)研和分析，我們注意到，在電子政務(wù)網(wǎng)中，最常見的網(wǎng)絡(luò)終端管理問題可以分為如下幾個(gè)方面:

——由網(wǎng)絡(luò)終端引入的網(wǎng)絡(luò)邊界安全管理問題。

網(wǎng)絡(luò)邊界的安全問題又可以分為兩大類，一類是非法外連，另一類是非法入網(wǎng)。為了有效的保護(hù)電子政務(wù)網(wǎng)絡(luò)中的涉密信息，很多政府部門都在其局域網(wǎng)中實(shí)施了內(nèi)外網(wǎng)隔離。但是，由于目前的網(wǎng)絡(luò)狀態(tài)，對(duì)于內(nèi)網(wǎng)的計(jì)算機(jī)而言，仍存在幾個(gè)嚴(yán)重的“網(wǎng)絡(luò)后門”可以用來實(shí)施非法外連。其中最常見，也是最嚴(yán)重的“后門”就是撥號(hào)上網(wǎng);此外，私設(shè)代理或私自改動(dòng)IP在某些網(wǎng)絡(luò)環(huán)境中也可以成為非法外聯(lián)的“后門”。存有涉密信息的內(nèi)網(wǎng)計(jì)算機(jī)一旦進(jìn)行了非法外聯(lián)，其構(gòu)成的安全隱患是可想而知的。

另一類就是外來網(wǎng)絡(luò)終端非法入網(wǎng)的問題。例如，在沒有得到允許的情況下，有人把外來的筆記本電腦聯(lián)入電子政務(wù)內(nèi)網(wǎng)。不難想象，這種非法入網(wǎng)行為帶來的安全隱患絲毫不亞于非法外連。

——工作人員利用網(wǎng)絡(luò)終端從事與工作無關(guān)的行為，影響了網(wǎng)絡(luò)資源的使用效率。

這主要表現(xiàn)在上班時(shí)間時(shí)常有人在電子政務(wù)網(wǎng)的網(wǎng)絡(luò)終端上做一些與工作無關(guān)的不正當(dāng)行為，這不僅明顯降低了工作效率，而且經(jīng)常給電子政務(wù)網(wǎng)引入大量的病毒、木馬和各類惡意軟件，嚴(yán)重破壞了電子政務(wù)網(wǎng)的正常工作環(huán)境。而面對(duì)規(guī)模日益擴(kuò)大的網(wǎng)絡(luò)，很多政府單位的網(wǎng)管人員對(duì)于網(wǎng)絡(luò)運(yùn)行中出現(xiàn)的問題處于“看不見，管不了”的被動(dòng)局面。例如:IP地址和網(wǎng)絡(luò)配置可以隨意改動(dòng)，情況混亂，IP沖突時(shí)有發(fā)生;網(wǎng)絡(luò)終端的軟硬件配置多種多樣，網(wǎng)管人員缺乏有效的手段了解整體情況，更談不上進(jìn)行有效的管理;電子政務(wù)網(wǎng)中既運(yùn)行著各種電子政務(wù)應(yīng)用系統(tǒng)，同時(shí)又可能存在病毒發(fā)包和ARP等等問題。因此，網(wǎng)絡(luò)流量時(shí)有嚴(yán)重異常，甚至?xí)r斷時(shí)續(xù)或完全癱瘓。

由于缺乏可視化管理平臺(tái)，網(wǎng)絡(luò)流量在相當(dāng)大的程度上對(duì)網(wǎng)管人員而言是個(gè)“黑匣子”，定位問題的源頭非常困難，一旦出現(xiàn)網(wǎng)絡(luò)或流量異常，有經(jīng)驗(yàn)的網(wǎng)管人員最常用的排查辦法就是到核心交換設(shè)備后面去拔網(wǎng)線，以逐步壓縮問題的源頭?？上攵?，要想及時(shí)準(zhǔn)確的排查網(wǎng)絡(luò)或流量問題是非常困難的。

——大量的維護(hù)工作，無法有效支撐。

由于缺乏遠(yuǎn)程系統(tǒng)維護(hù)的手段，很難及時(shí)有效地對(duì)數(shù)量眾多的網(wǎng)絡(luò)終端進(jìn)行維護(hù)，或?qū)K端用戶提供幫助，這方面表現(xiàn)突出的問題是難以實(shí)現(xiàn)大面積安全補(bǔ)丁的及時(shí)升級(jí)和終端機(jī)故障的遠(yuǎn)程診斷和及時(shí)排除。

綜上所述，這些與網(wǎng)絡(luò)終端直接相關(guān)的問題在電子政務(wù)的建設(shè)過程中表現(xiàn)得日益突出，也逐步得到了越來越多的關(guān)注。如果不能有效地解決這些問題，勢(shì)必嚴(yán)重影響電子政務(wù)建設(shè)的順利發(fā)展。

解決問題的思路

基于多年來在電子政務(wù)工作中的認(rèn)識(shí)和實(shí)踐，以及在解決網(wǎng)絡(luò)終端的各類安全與管理問題的過程中積累的經(jīng)驗(yàn)，筆者認(rèn)為，解決問題的思路主要有以下幾點(diǎn):

——要把局域網(wǎng)看作是一個(gè)整體。

我們之所以強(qiáng)調(diào)要解決網(wǎng)絡(luò)終端的安全與管理問題，而不是僅僅解決桌面管理問題，就是要從局域網(wǎng)這個(gè)整體出發(fā)去看待網(wǎng)絡(luò)終端的問題，而不僅僅是從每個(gè)PC機(jī)的角度去看待孤立的桌面管理問題。這種思路將引發(fā)我們更多的去關(guān)注網(wǎng)絡(luò)終端可能對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生的影響。例如，網(wǎng)絡(luò)邊界問題和流量異常問題等等。而恰恰是這些網(wǎng)絡(luò)層面的問題可能對(duì)電子政務(wù)的正常運(yùn)行產(chǎn)生更加嚴(yán)重的影響。

——安全、管理和維護(hù)應(yīng)該三位一體。

信息安全是電子政務(wù)建設(shè)中的重中之重，已經(jīng)引起了人們的高度重視。然而，事實(shí)證明僅僅就安全談安全，往往難以達(dá)到預(yù)期的效果。試想在一個(gè)管理混亂、維護(hù)手段低下的網(wǎng)絡(luò)中部署了一些專用的安全產(chǎn)品，能夠達(dá)到預(yù)期的安全效果嗎?這是不可能的。因此，要想改善信息安全，不僅僅要在網(wǎng)絡(luò)終端的安全措施上下功夫，也要針對(duì)網(wǎng)絡(luò)終端建立有效的管理機(jī)制和高效的維護(hù)手段。

——解決問題要以預(yù)防為主。

在以往的網(wǎng)絡(luò)安全和管理實(shí)踐中，往往是處于一種被動(dòng)的事后救火的工作方式。為了確保電子政務(wù)網(wǎng)安全可靠的運(yùn)行，我們必須以預(yù)防為主。為此，要針對(duì)可能發(fā)生的潛在問題建立一系列的預(yù)防措施。例如，非法外聯(lián)的控制、數(shù)據(jù)安全的保護(hù)措施等等，以保證電子政務(wù)網(wǎng)安全可靠的運(yùn)行。

——必須實(shí)現(xiàn)可視化管理。

在很多單位，網(wǎng)管人員對(duì)其負(fù)責(zé)管理維護(hù)的網(wǎng)絡(luò)，特別是其中數(shù)量眾多的網(wǎng)絡(luò)終端有一種“看不見，管不了”的無奈感覺。因此，所管理的網(wǎng)絡(luò)對(duì)他們而言在相當(dāng)大的程度上還是一個(gè)“黑匣子”。這種狀態(tài)是影響提高網(wǎng)絡(luò)安全與管理水平的主要障礙之一。因此，對(duì)數(shù)量眾多的網(wǎng)絡(luò)終端，乃至整個(gè)電子政務(wù)網(wǎng)實(shí)施有效的管理，必須建立起一套可視化的管理平臺(tái)。管理人員可以通過這個(gè)可視化管理平臺(tái)，及時(shí)準(zhǔn)確地掌握網(wǎng)絡(luò)終端的實(shí)時(shí)狀態(tài)和全網(wǎng)的運(yùn)行情況。

——配套相應(yīng)的管理制度和終端安全管理工作流程。

僅有一個(gè)好的產(chǎn)品平臺(tái)往往不能達(dá)到預(yù)期的效果。為了真正實(shí)現(xiàn)對(duì)數(shù)量眾多和環(huán)境復(fù)雜的網(wǎng)絡(luò)終端進(jìn)行有效的管理，還需要配套制定相應(yīng)的管理制度，信息安全管理人員也應(yīng)基于管理目標(biāo)和采用的管理平臺(tái)制定切實(shí)有效的信息安全管理流程。這樣把產(chǎn)品和規(guī)范結(jié)合在一起才能達(dá)到最佳的管理效果。

在這樣的思路指導(dǎo)下，筆者所在的杭州市拱墅區(qū)政府電子政務(wù)網(wǎng)采用了準(zhǔn)入控制系列產(chǎn)品為電子政務(wù)網(wǎng)絡(luò)終端安全與管理提供了一套比較全面的解決方案。該解決方案主要從如下四個(gè)方面來解決網(wǎng)絡(luò)終端安全與管理問題。

第一是建立安全可靠的網(wǎng)絡(luò)環(huán)境。這主要包含安全補(bǔ)丁的自動(dòng)升級(jí)，完整的網(wǎng)絡(luò)邊界管理，特別是在內(nèi)網(wǎng)安全管理中包含了數(shù)據(jù)安全、無死角殺毒和ARP管理等等。第二是建立有效的終端入網(wǎng)規(guī)范管理機(jī)制，達(dá)到“違規(guī)不入網(wǎng)、入網(wǎng)必合規(guī)”的干凈、規(guī)范環(huán)境。第三是對(duì)數(shù)量眾多的網(wǎng)絡(luò)終端提供全面的遠(yuǎn)程維護(hù)，并且提供集中可視化管理。第四則是協(xié)助用戶制定有針對(duì)性的管理規(guī)范和終端安全管理工作流程。

全新的終端安全管理思路和解決方案，有力地支撐起了終端管理，網(wǎng)絡(luò)安全水平和網(wǎng)絡(luò)資源應(yīng)用效率得到了很大的提高。

(作者單位:杭州市拱墅區(qū)信息中心 ;杭州市水業(yè)集團(tuán)有限公司水表檢測(cè)中心)