构建政府内网安全体系的相关技术应用
- 格式:pdf
- 大小:105.24 KB
- 文档页数:2
构建政府内网安全体系的相关技术应用
□于浩
【摘要】随着政府信息化和电子政务的兴起,围绕政府内网信息安全的话题不断,内网信息数据泄漏、内网攻击的事件也频频发生,如何保证政府内网信息安全已经成为信息安全领域研究的新热点。
本文以政府内网信息安全为主体,通过对政府这一特定主体为研究对象,对构建政府内网安全体系相关技术的应用做了简要介绍。
【关键词】内网安全;数据备份恢复;内网和外网隔离;CA;蜜罐和密网;防水墙
【作者单位】于浩,聊城大学东昌学院
当前政府工作不断地实现信息化、高效便捷的同时,安全保护成了亟待解决的问题。
随着网络安全事件的频频发生,来自内部网络的攻击却有愈演愈烈之势,内网安全成为互联网信息安全的首要隐患。
由于内网是一个由于网络设备与信息系统组成的复杂环境,如果疏于对内网的安全防范,极易出现应用系统被非法使用、数据被窃取和被破坏等情况。
政府内网安全体系是一种多层次结构,每层都涉及到相应的安全内容和技术手段。
为此,本文从技术层面对构建政府内网信息安全体系进行了探析。
一、内网和外网隔离技术
政府网络一般由政府内网、政府外网和互联网组成。
按照国家有关政策的要求,政府部门上网必须实行网络的内外网划分,及实现内外网的物理隔离。
这是解决政府信息化过程中机密信息安全问题的必要方法。
用物理隔离产品可对各种环境下网络和单机进行信息安全保护。
从物理层面上讲,政务外网和互联网分为两个不同的物理网络,两者互不相干。
政务外网骨干网上政务信息和互联网信息分离。
为实现政务外网业务和门户网站业务数据的交互,可在政务外网的核心层建立一条到互联网的逻辑通道,通过该通道实现两网间为民办事业务的数据交互和处理,实现政务外网到互联网的统一出入口,便于监控和管理。
二、CA(Certiflcate Authority)技术
CA是采用PKI公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就像我们现实生活中颁发证件的公司,如护照办理机构。
身份认证可以通过智能卡、一次性口令,或者令牌的方式进行。
当然,身份认证的授权方式必须是可定制的。
用户可以选择使用密码或令牌做为授权的方式。
真正好的身份认证技术,并不是要通过繁琐的加密步骤来困扰用户。
用户每天都要登录各种应用系统,因此在不影响用户使用的前提下,简单的操作和高强度的保护,才能为用户提供一个安全、便利的环境。
三、数据备份恢复技术
数据备份是一种数据安全策略,通过备份软件把数据备份到磁带或其他介质上,在原始数据丢失或遭到破坏的情况下,利用备份数据把原始数据恢复出来,使系统能够正常工作。
理想的备份系统是全方位,多层次的。
首先,要使用硬件备份来防止硬件故障,保证业务的不间断运行。
更重要的是,要使用软件备份手段全面保护计算机系统的数据。
备份系统总的目标是建立数据自动备份系统,对电子政务中的关键业务数据进行无人值守的网络自动备份,从而对数据进行集中的管理工作,即建立网络备份存储管理系统。
考虑到电子政务可能遭遇各种灾难的破坏,可以启动政府数据备份和灾难恢复中心建设项目。
所谓“数据灾难备份中心”,其实就是一个集所有电子政务终端于一体的超级“大脑”。
这个“大脑”平时可是“养尊处优”,不用参与电子政务的具体运作,在关键时刻才出动。
比如,当有关电子政务系统出现灾难性或临时瘫痪时,后备“大脑”以最快速度接驳各部门的电子网络,避免系统失灵对社会造成的负面影响。
四、蜜罐和密网技术
“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。
“蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。
这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。
而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。
蜜罐是一台存在多种漏洞的计算机,而且管理员清楚它身上有多少个漏洞,这就像狙击手为了试探敌方狙击手的实力而用枪支撑起的钢盔,蜜罐被入侵而记录下入侵者的一举一动,是为了管理员能更好的分析广大入侵者都喜欢往哪个洞里钻,今后才能加强防御。
另一方面是因为防火墙的局限性和脆弱性,因为防火墙必须建立在基于已知危险的规则体系上进行防御,如果入侵者发动新形式的攻击,防火墙没有相对应的规则去处理,这个防火墙就形同虚设了,防火墙保护的系统也会遭到破坏,因此技术员需要蜜罐来记录入侵者的行动和入侵数据,必要时给防火墙添加新规则或者手工防御。
·
98
·
智能手机操作界面的交互设计比较分析及展望□张孟雪
【摘要】本文从交互设计的角度对当今市场上的智能手机操作界面进行了介绍和比较。
通过详细阐述交互设计的定义以及设计的要素及原则,捋清交互设计与手机操作界面的关系。
同时,借用详尽准确的数据,选择出当今具有代表性的手机操作系统进行比较,并从中发现规律,对未来手机交互界面的趋势加以展望。
【关键词】交互设计;用户界面;智能手机
【作者简介】张孟雪,北京理工大学设计与艺术学院硕士研究生;研究方向:交互设计
一、交互设计概念介绍
(一)交互设计的定义。
交互设计(Interaction Design)作为一门关注交互体验的新学科,产生于二十世纪八十年代,此概念由IDEO公司的创始人比尔·莫格里奇(Bill·Mog-gridge)在1984年一次设计会议上提出。
比尔·莫格里奇使用它来描述这一既不同于工业设计又不同于图形设计的设计行为。
同在八十年代发明的Xerox Star图形用户界面开创了现代软件的交互模式。
交互设计的本质是使人超越机器,让机器服务于人,进而使人们通过产品和服务形成互动和交流。
概括性地说,交互设计就是设计人与产品交互过程
蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又可成为诱捕网络。
蜜网技术实质上还是一类研究型的高交互蜜罐技术,其主要目的是收集黑客的攻击信息。
但与传统蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,我们可以包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。
五、逆向代理技术
随着政府信息化管理的普及,现在越来越不满足于内部用户使用信息化系统,下属单位信息不沟通,极易形成信息孤岛。
如果下属单位需要信息沟通,或者为了出差在外的员工工作的方便,这时就需允许他们从公共网络连接内部的服务器。
如果要允许内部的服务器被用户通过互联网进行访问,那么就必须要在防火墙上开启多个端口。
而这种情形就会增加内部的安全隐患。
当遇到这种情况是,建议使用逆向代理机制。
逆向代理的服务器一般位于互联网和本地需要开发多个端口的服务器之间,基本上跟防火墙服务器是并列的。
采用逆向代理的话,可以让服务器在进入外网前先隐藏起来,同时还可以保障外部的恶意请求不会到达服务器。
在安全方面,跟NAT技术有异曲同工之妙。
不过从管理成本与性能开销上来说,要比NAT服务器低很多。
通常的代理服务器,只用于代理内部网络对Internet的连接请求,客户机必须指定代理服务器,并将本来要直接发送到服务器上的http请求发送到代理服务器中。
由于外部网络上的主机并不会配置并使用这个代理服务器,普通代理服务器也被设计为在Internet上搜寻多个不确定的服务器,而不是针对Internet上多个客户机的请求访问某一个固定的服务器,因此普通的代理服务器不支持外部对内部网络的访问请求。
当一个代理服务器能够代理外部网络上的主机,访问内部网络时,这种代理服务的方式称为反向代理服务。
此时代理服务器对外就表现为一个服务器,外部网络就可以简单把它当作一个标准的服务器而不需要特定的配置。
不同之处在于,这个服务器没有保存任何的真实数据,所有的数据,都保存在内部的服务器上。
因此对反向代理服务器的攻击并不会使得信息遭到破坏,这样就增强了服务器的安全性。
六、防水墙技术
“防水墙”(Waterwall)是相对“防火墙”(Firewall)的一个概念,如果说“防火”是指防止外部威胁内部蔓延的话,“防水”则是指防止内部信息向外扩散。
防水墙是利用密码技术、访问控制、检测和审计等技术手段,对涉密信息、重要业务数据与技术专利等敏感信息、其载体及其处理构成等实施安全保护的软件系统,使重要数据不被非法或违规的入侵、外传、破坏、拷贝、滥用等技术方法,从源头上阻止了敏感信息的泄漏。
利用防水墙技术可以很好的对内网的数据安全进行全面的保护,与防病毒软件、外部安全产品一起构成完整的网络安全防御体系。
对于信息安全等级要求较高的政府部门而言,通过防水墙技术实现对内网数据安全的管理,能够有效的保护敏感信息的安全,对电子政务等各项工作的顺利开展具有重要的现实意义。
【参考文献】
1.钟嘉铭.内网安全及防护探讨[J].网络安全技术及应用,2007
2.Charles P.Pfleeger.信息安全原理与应用(第三版)[M].北京:电子工业出版社,2004
·
09
·。