广域网中常使用的关键传输技术包括SONET/SDH、帧中继、X.25、ATM 、 PPP以及最近出现的MSTP(多业务传输平台)等;广域网使用服务质量技术包括InterServ、Differserv以及MPLS TE(流量工程);广域网的安全主要有VPN、MPLS VPN技术,VPN技术可使分布在不同的分支机构通过公共承载网实现低成本的连网, MPLS VPN则是对传统VPN的发展,此时网络路由设备定义为P、PE、CE三类角色,通过MPLS标签对IP包进行内外层封装,依靠VRF表实现MPLS VPN数据包的转发。MPLS VPN技术可广泛应用于需要在同一承载网上同时传输不同业务应用的环境,并可实现不同业务系统间的安全隔离。
各委办厅局实现电子政务外网(省-地市-区县)纵向连接的方式主要有:
(1)基于Internet的VPN方式
通过 VPN 服务穿透Internet,为各个接入单位实现透明的“纵网”联接。可以与运营商协商,直接将总出口联接在因特网的骨干上,达到缩短访问路径,提高访问效率,并可以根据通信量的实际需要灵活扩展带宽。
(2)基于省政府外网平台的MPLS-VPN方式
电子政务外网平台建设的一个重要目的是接入各个纵向系统,为各纵向系统提供公共的网络平台。各纵向系统因为业务的独立性和数据的保密性,要求在公共的网络平台上实现自己虚拟的独立纵向系统,保证业务之间的隔离和受控互访。MPLS VPN 解决方案可以很好地解决这个问题。
2.1.3电子政务外网横向城域网
湖南省电子政务外网横向连接了70多个省直单位,可以实现各委办厅局之间的互联 互通[MS1] 。因此,可以依靠省电子政务外网平台实现各委办厅局之间的互联网络(横网)服务,也可以通过Internet实现群众和企事业单位对各委办厅局电子政务外网的访问,实现政务信息网上发布与网上交易等功能,满足政务公开需要。
2.1.4电子政务外网局域网
2.2 电子政务内网解决方案
电子政务内网主要服务于政府机构的日常电子化办公,在政府内部网上可以实现包括公文报送、会议管理和综合信息查询等丰富的电子办公功能,极大地提高政府机构的管理能力和工作效率。
2.2.1 电子政务内网纵向广域网
各委办厅局实现电子政务内网(省-地市-区县)纵向连接的方式主要有:
(1)专线方式
通过租用电信运营商的电路建成自己的骨干网络,通常在资金允许的情况下可以选用155M POS组网,并以2M 链路作为主网的备份。
(2)基于省政府内网平台的MPLS-VPN方式
覆盖湖南省人民政府及14个地市100多个区、县的电视电话会议广域网平台,是集视频、语音、数据三网合一的三级专线网平台,目前已成为湖南省电子政务内网平台。各各委办厅局可以在凭借此平台建立自己的纵向系统。MPLS VPN 解决方案可以保证业务的独立性和数据的保密性,在此平台上实现自己虚拟的独立纵向系统,保证业务之间的隔离和受控互访。
2.2.2 电子政务内网横向城域网
(略)
2.2.3电子政务内网局域网
(略)
1、 电子政务信息安全解决方案
安全是电子政务网的运行之本。通过网络承载信息之后,如何保证信息在传递过程中的安全性,如何保证政务内网、政务外网的安全,是政府信息化建设面临的不可避免的问题。这对于政府来说是至关重要的,尤其是当政务网从内部局域网连接发展到和广域网互联的时候,任何网络设备或者解决方案的漏洞都会对政府乃至国计民生造成很大的影响。因此电子政务的信息安全问题对电子政务网是至关重要的。 通常情况下,电子政务网的信息安全应该考虑包括物理层、链路层、网络层、系统层和应用层的安全问题,形成一个立体的全方位的网络信息安全解决方案。
保证计算机系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其他媒体免遭诸如地震、水灾、火灾环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
机房应采取防雷、消防、防盗和防电磁辐射等安全措施,内外网之间应进行物理隔离。
3.2链路层安全
采用高速信道密码机用于对信道上传输的数字信号提供加密保护,其加密方式为纯数字,具有适应性强,加密强度高,信道延时小,实时性强,对信道无损伤,自动恢复同步功能,安全防护措施强,操作方便,使用简单。能有效防止对信道流量和信息的窃取。
3.3网络层安全
采用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低网络安全风险。
采用入侵检测系统提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
配备漏洞扫描系统,对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出解决建议从而提高网络系统安全性能的过程。
3.4系统层安全
系统层安全主要包括操作系统和数据库的安全。
操作系统常规的安全防护包括安装防病毒软件、升级系统、禁止Ping三种安全方式。此外要禁止远程协助,屏蔽闲置的端口。例如,在Windows XP上有一项名为“远程协助”的功能正是“冲击波”病毒所要攻击的RPC(Remote Procedure Call)服务在Windows XP上的表现形式。建议用户不要使用该功能,使用前也应该安装Microsoft提供的RPC漏洞工具和“冲击波”免疫程序。
大型数据库中常见的安全性控制策略有:选择性访问控制,决定用户是否有权访问数据库对象;验证,保证只有授权的合法用户才能注册和访问;授权,对不同的用户访问数据库授予不同的权限;审计,监视系统发生的一切事件。
3.5应用层安全
密钥与证书管理系统:采用基于公钥证书的身份认证模式,并充分考虑政府PKI系统与商业PKI系统设计出发点、应用模式等方面的差异,形成基于PKI体制的、具有政府办公特色的密钥和证书管理系统,为上层应用提供了完善的密钥和证书管理机制。
安全平台提供的安全服务:提供包括统一身份认证、授权和访问控制、数据加密、数字签名和安全策略管理等服务。
在以上安全措施的基础上,还应该具有完善的安全策略管理,分析监控系统,日志分析系统,自动报警系统,攻击检测软件等,动态地,实时地监控检测电子政务系统的安全性,提供有效的安全保障。
|
