2.设置物理隔离网闸,保护内网数据安全。内外网审批数据的直接交换极易导致攻击代码的入侵和重要信息的泄露。在内外网之间设置安全隔离网闸,实现外网到内网单向数据传输,即数据从外网进入内网相应的数据库服务器;而内网数据进入外网,只能将其有效信息通过导出方式生成相应文件刻录到光盘,将光盘中的数据导入外网相应的数据库中。
3.建立防火墙与入侵检测系统。在内网和政务网之间采用具有VPN功能的防火墙实现逻辑隔离,严格控制信息访问的内容和流向,实现包过滤、内外网地址绑定等功能,防止非授权用户经过政务网非法访问内网;在外网和互联网之间选用具有相应入侵检测和安全审计功能的防火墙设备,有效防止黑客的袭击。同时,在内网中心建立起完善的入侵检测系统作为防火墙的合理补充,可实现从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供主动的实时保护。
4.建设良好的网络防毒系统。网上行政审批系统是三网互联的开放网络结构,网路结构复杂。计算机病毒的防范应采用技术手段和管理手段相结合的办法进行综合防范,为内外网服务器设置主域和次域并安装网络版反病毒软件,形成分层立体的反病毒系统,主要包括桌面防毒、服务器防毒、群件防毒及网关防毒等,形成一套严密的多级跨平台防病毒安全域。
5.构建网络管理系统。网络安全管理和监测是审批系统安全设施和安全机制有效发挥作用的重要保证。根据系统采用的网络产品、网络规模,选择优秀的网络管理平台及软件。
网管软件应实时展示网络及其设备的工作情况,能提供策略机制管理、过滤机制管理。当发生安全事件时,报警信息自动报送到平台,提醒安全管理员。安全事件的响应按安全策略实施,当出现安全策略之外的事件时,管理员通过管理平台做出响应。(三)系统安全解决方案
1.操作系统安全及服务协议安全策略。审批系统中应用服务器、群件服务器、数据库服务器等各类计算机应选用安全等级高的操作系统及中间件系统软件,对操作系统安全漏洞作出及时、正确的处理,防止不法分子利用系统软件的漏洞、后门取得对系统的非法操作权限。此外,各类服务器应关闭不经常使用的协议及端口,关闭FTP、TELNET、RLOGIN等服务。充分利用操作系统和应用系统的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
2.安全审核。日志审计服务是辅助网络安全管理人员全面掌握网络安全状况,并衡量防火墙性能和作用的重要手段,可将网管服务器同时作为日志服务器,在日志服务器上安装syslog服务,负责采集防火墙以及入侵检测的日志。
(四)应用及数据安全策略
1.基于电子认证环境,建立应用系统的安全访问控制管理体系。在内外网建设为应用系统服务器提供安全认证服务的安全代理服务系统;在内网设置PKI应用服务器及电子印章系统,支持客户端和服务端之间基于CA数字证书的双向认证功能,构造一个以电子身份识别验证为基础的公共安全体系,实现客户的统一身份认证、统一授权、统一审计。
数字证书为电子政务安全提供了以下基本安全服务:用户身份认证、通信加密、权限控制、数字签名及电子印章等安全功能,有效防止虚假伪造的审批服务平台对用户的欺骗,保证数据信息的完整性以及操作的不可抵赖性。
2.数据安全。数据级安全主要从数据传输和数据存储两个方面进行考虑:
(1)数据传输安全。涉及数据传输加密技术、数据完整性鉴别技术及防抵赖技术,在网络层采用IPSec技术或在传输子层采用SSL技术构建VPN网络,可实现信息传输的保密性、完整性和不可否认性,防止数据被窃听、篡改和破坏。
(2)数据存储安全。提供内网多级数据库的安全保护机制,支持数据加密存储和传输及冗余控制,保证数据库所管理的数据的物理及逻辑完整性;应用终端的数据存储安全方案可采用基于口令或密码算法的身份验证、多级权限管理、数据和程序代码加密存储、严格的审计跟踪等措施。
百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,70教育网,提供经典计算机电子政务网上审批系统安全体系研究(2)在线全文阅读。
