天融信电子政务系统安全防护方案

　　1.电子政务系统概述

　　网络技术的发展已经深入到社会生活的各个方面。网络新业务的不断兴起，为国内政府部门日常办公提供了极大的便利，通过政府网上办公系统、网上视频会议系统、电话语音系统 、互动式政府网站系统、门户型政府网站系统等应用，极大地提高了政府部门的办公效率。在党十六大报告中明确指出，以信息化带动工业化，加快国民经济结构的战略性调整，实现社会生产力的跨越式发展，是电子政务建设的首要任务。国家信息化领导小组决定，将推进电子政务建设作为今后一个时期我国信息化工作的重点。《我国电子政务建设指导意见》提出当前要以“两网一站四库十二系统”为目标的电子政务建设要求，目的是加强政府监管、提高政府效率、推进政府高效服务。

　　“两网一站四库十二系统”的内容是：“两网”指政务内网和政务外网两个基础平台；“一站”指政府门户网站；“四库”指人口信息数据库、法人单位信息数据库、自然资源和空间地理信息数据库以及宏观经济信息数据库；“十二系统”大体可分为三个层次：办公业务资源系统和宏观经济管理系统，将在决策、稳定经济环境方面起主要作用；金税、金关、金财、金融监管（银行、证监和保监）和金审共五个系统主要服务于政府收支的监管；金盾、金保（社会保障）、金农、金水（水利）和金质（市场监管）共五个系统则重点保障社会稳定的国民经济发展的持续。

　　伴随网络技术的发展，网上应用的丰富，同时也带来了一系列的安全问题，如网络黑客、网络犯罪、病毒爆发等等，这些问题严重制约了电子政务信息化建设的步伐，成为系统建设重点考虑的环节。特别是“一站式”门户网站的开通，大大方便了公众的办事效率，拉近了政府与公众的距离，但也使电子政务平台面临着极大的安全风险，目前在这种广域网中采用的传输协议存在着许多安全问题，这就使基于广域网技术的电子政务平台面临着严峻的挑战：电子政务是党委、政府、人大、政协有效决策、管理、服务的重要手段，必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。因此，信息安全已成为制约电子政务平台建设的首要因素。

　　同时电子政务涉及对国家秘密信息和高敏感度核心政务的保护，而在广域网中采用的传输协议存在许多的安全问题，这就使基于广域网技术的电子政务应用面临着严峻的挑战。电子政务涉及对国家秘密信息和高敏感度核心政务的保护，设计维护公共秩序和行政监管的准确实施，涉及到为社会提供公共服务的质量保证。

　　对电子政务的安全威胁，包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等，应引起足够警惕，采取安全措施，应对这种挑战。天融信作为中国信息产业的排头兵，决心凭借自身成熟的安全建设经验，为建设电子政务外网安全系统出谋划策。

　　2.电子政务系统分析及建议

　　在电子政务建设中，安全问题的产生固然有许多因素多个方面，但归纳起来，无外乎表现为7种形式即：网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等。

　　当前绝大多数的政务工程中，均是按照分别建设内网、外网和公共网设计的，但政务内网、政务外网、公共服务网的网络环境，都是采用TCP/IP协议而建立的，该协议以开放和自由为基础，从协议规划、服务模式、网络管理等方面均缺乏安全性设计，所以电子政务信息系统就存在着先天的安全隐患。另外，操作系统存在来自Internet的黑客攻击和内部用户随意利用办公终端与Internet联接，再加上恶意病毒的无规律性的连续侵袭，同样是目前电子政务安全的主要隐患。况且我国还缺乏拥有自主知识产权的基础信息设备制造业，大多数电子政务系统中所使用的设备也是引进的，这些设备本身就可能存在安全隐患。而且，我们也没有基础操作系统，所使用的基础操作系统本身也潜在安全问题。因为所有的政务应用和安全措施(包括防火墙、防病毒、入侵检测等)都依赖操作系统提供底层支持。操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。

　　电子政务安全防护总体方案是依据《国家信息化领导小组关于我国电子政务建设指导意见》；ISO15408 / GB/T 18336 ；国家973信息与网络安全体系研究G1999035801课题组IATF《信息技术保障技术框架》的要求，并根据电子政务系统的具体情况制定的，目的是主要针对XX省电子政务外网，从安全的角度进行总体的设计规划，通过本项目的建设，重点实现以下的内容：

　　严格控制政务外网内各种访问，确保合法访问的正常进行，杜绝非法及越权访问；

　　有效预防、发现、处理异常的网络访问，确保电子政务外网正常访问活动；

　　能够及时发现网络中存在的安全隐患，便于电子政务外网的网络管理人员能够及时给予加固和消除的处理；

　　能预防、发现、处理计算机病毒；

　　对政务外网的合法用户进行授权，并对发起访问的用户进行身份鉴别，确保电子政务外网重要的信息资产被合法、授权地访问；

　　确保电子政务外网内重要的文件、数据被合法授权地获取或修改；

　　确保电子政务外网内重要地文件、数据能够有效地备份及恢复，提高电子政务外网的可用性；

　　能够对信息系统内所发生的与安全有关的事件记录与审计；

　　合理的安全体系架构和管理措施；

　　实现网络系统安全系统的集中管理；

　　有较强的扩展性。

　　参考电子政务外网的网络结构、应用现状，结合电子政务外网存在的风险和对安全产品的需求，项目建设从技术的角度，将着重从边界防护、系统加固、认证授权、集中管理四个方面进行，在专网中部署防火墙、入侵检测、漏洞扫描、过滤网关、网络防病毒、身份认证、VPN、安全管理八大子系统，并通过统一的平台进行集中管理。