梁國(guó)寧

（廣西經(jīng)濟(jì)信息中心，廣西 南寧 530022）

當(dāng)前政務(wù)類網(wǎng)站的安全需求及框架設(shè)計(jì)

梁國(guó)寧

（廣西經(jīng)濟(jì)信息中心，廣西 南寧 530022）

文章針對(duì)政府類網(wǎng)站的發(fā)展趨勢(shì)，結(jié)合政府類網(wǎng)站的安全需求，通過分析網(wǎng)站的運(yùn)維代價(jià)，設(shè)計(jì)了三種政府類網(wǎng)站的安全框架。

政府類網(wǎng)站；信息安全；信息公開

（一）前言

政務(wù)類網(wǎng)站是政府及其組成部門憑借其自身特有的信息資源優(yōu)勢(shì)，通過網(wǎng)站的形式整合其所有資源，以用戶為中心，服務(wù)為導(dǎo)向，并以信息公開為基礎(chǔ)、在線辦事和互動(dòng)交流為主要業(yè)務(wù)特征，為民眾提供及時(shí)、便捷、高效、易用的信息服務(wù)的平臺(tái)。

（二）信息安全的需求

當(dāng)前，在我國(guó)深化改革、擴(kuò)大開放、不斷完善社會(huì)主義市場(chǎng)經(jīng)濟(jì)體制以及高科技迅猛發(fā)展的新形勢(shì)下，信息安全工作面臨著極大挑戰(zhàn)。目前政府類網(wǎng)站可能所受到的攻擊包括黑客入侵，內(nèi)部信息泄漏，不良信息的進(jìn)入內(nèi)網(wǎng)等方式。因此采取的網(wǎng)絡(luò)安全措施應(yīng)一方面要保證政府業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，另一方面要保護(hù)運(yùn)行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全。信息安全的需求歸結(jié)起來為以下幾點(diǎn)。

1.信息的不被篡改

網(wǎng)站是信息的載體。政府類網(wǎng)站是展示政府部門形象，公布政府新出臺(tái)的政策措施，實(shí)現(xiàn)政府與社會(huì)之間資訊互通的平臺(tái)?？煽康木W(wǎng)絡(luò)安全體系能保證網(wǎng)站的信息安全，防止其被非法篡改，造成惡劣的社會(huì)影響和國(guó)際影響。

2.業(yè)務(wù)系統(tǒng)的可用性

運(yùn)行政府網(wǎng)站的各主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行同樣十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。

3.數(shù)據(jù)機(jī)密性

對(duì)于政府內(nèi)部網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來政府機(jī)構(gòu)以及國(guó)家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性。

4.訪問的可控性

對(duì)關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效的控制，這要求系統(tǒng)能夠可靠確認(rèn)訪問者的身份，謹(jǐn)慎授權(quán)，并對(duì)任何訪問進(jìn)行跟蹤記錄。

5.網(wǎng)絡(luò)操作的可管理性

對(duì)于網(wǎng)絡(luò)安全系統(tǒng)應(yīng)具備審記和日志功能，對(duì)相關(guān)重要操作提供可靠而方便的可管理和維護(hù)功能。

（三）三種安全框架的設(shè)計(jì)

針對(duì)政務(wù)累網(wǎng)站的安全需求，我們?cè)O(shè)計(jì)了三個(gè)安全框架：

1.基本型安全框架

運(yùn)維代價(jià)分析：基本型的安全框架減少了大量的設(shè)備投入，無形中增加了很多人工成本。其安全防護(hù)能力只能滿足基本需要，數(shù)據(jù)備份恢復(fù)只能采用人工的方式，從而使得應(yīng)急響應(yīng)時(shí)間過長(zhǎng)，整個(gè)體系的容災(zāi)能力較差。

圖 1為基本型安全框架設(shè)計(jì)圖?；拘桶踩蚣茉O(shè)計(jì)：具備了基本的安全防護(hù)體系，安全防護(hù)完全依賴部署在網(wǎng)絡(luò)邊界的防火墻，沒有網(wǎng)絡(luò)防御縱深，只能防御一般的攻擊，缺乏全方位的防御手段，也沒有部署遠(yuǎn)程備份系統(tǒng)，系統(tǒng)容災(zāi)能力很差。該框架設(shè)計(jì)較適合缺乏建設(shè)資金投入的小型網(wǎng)站。

圖1 基本型安全框架設(shè)計(jì)圖

2.完整型安全框架

運(yùn)維代價(jià)分析：完整型的安全框架是一個(gè)趨于完善的安全體系，數(shù)據(jù)備份實(shí)現(xiàn)了自動(dòng)化，減少了部分人工值守工作環(huán)節(jié)，具有較好的容災(zāi)能力。完整型的安全框架需要一定的前期資金及設(shè)備投入，增加了部分系統(tǒng)維護(hù)成本，能滿足中型網(wǎng)站的安全需求。

圖2 完整型安全框架設(shè)計(jì)圖

圖 2為完整型安全框架設(shè)計(jì)圖。完整型安全框架設(shè)計(jì)具備了較完整的安全防護(hù)體系，防御攻擊能力相比基本型增強(qiáng)了很多，部署了入侵預(yù)警、檢測(cè)和防范系統(tǒng)，全網(wǎng)的病毒防范、遠(yuǎn)程數(shù)據(jù)備份和網(wǎng)站防篡改系統(tǒng)，具備一定層次的網(wǎng)絡(luò)防御縱深。部分服務(wù)器采用了冗余配置，具有較強(qiáng)的容災(zāi)能力。該框架設(shè)計(jì)較適合中型網(wǎng)站，從運(yùn)維代價(jià)分析也是較合理的。

3.完善型安全框架

運(yùn)維代價(jià)分析：完善型的安全框架是一個(gè)相對(duì)完善的安全體系，數(shù)據(jù)備份實(shí)現(xiàn)了自動(dòng)化，減少了大部分人工值守工作環(huán)節(jié)，具有完備的容災(zāi)能力。完善型的安全框架在系統(tǒng)建設(shè)前期就要投入大量的資金及設(shè)備，后期的系統(tǒng)維護(hù)也需要一定的維護(hù)成本投入，能滿足大型網(wǎng)站的安全需求。

圖3 完善型安全框架設(shè)計(jì)圖

圖 3為完善型安全框架設(shè)計(jì)圖。完善安全框架設(shè)計(jì)具備了完整的安全防護(hù)功能，能全方位、多層次的實(shí)現(xiàn)系統(tǒng)安全保障和完整的數(shù)據(jù)及設(shè)備容災(zāi)。該安全框架建立了全網(wǎng)絡(luò)的入侵預(yù)警、檢測(cè)和防范體系，建立了全方位病毒防范和網(wǎng)站防篡改體系，對(duì)重要應(yīng)用系統(tǒng)的數(shù)據(jù)、關(guān)鍵的網(wǎng)絡(luò)設(shè)備和網(wǎng)站系統(tǒng)的進(jìn)行了冗余備份。完善型框架設(shè)計(jì)同完整型框架設(shè)計(jì)比較，除了對(duì)核心網(wǎng)絡(luò)設(shè)備進(jìn)行冗余部署外，最大的區(qū)別是部署了異地容災(zāi)系統(tǒng)。

[1]繆宇鵬,劉亞梅.信息化建設(shè)[N].杭州:中國(guó)政務(wù)信息化網(wǎng),2010,1.

TP393.08

A

1008-1151(2011)04-0078-02

2011-01-22

梁國(guó)寧（1977－），男（壯族），廣西南寧人，廣西經(jīng)濟(jì)信息中心工程師，研究方向?yàn)榫W(wǎng)站安全、系統(tǒng)管理、網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)。