第一篇:电子政务网络安全管理办法
为加强我县电子政务网络安全管理工作,确保网络安全运行,结合我县的实际情况特制定电子政务网络安全管理办法。
1、各单位网络管理人员必须精心维护好单位的网络设备,做到防尘、防热、防潮、防水、防磁、防静电等,以增加设备使用年限。县政府办将定期对各单位的网络管理情况进行检查,发现不能达到以上要求的单位,将对其进行通报批评,对由于管理人员疏忽造成网络安全事故的,将追究相关管理员及单位领导责任。
2、各联网单位不得随意更改政务网络接入设备配置,不得擅自切断电子政务网络设备电源,不得擅自挪动相关设备和切断、移动相关传输线路,不得擅自与其他网络对接,不得随意增加交换机、集线器以及接入信息点数量,如需进行以上变动,应向县政府办信息科提出申请,经批准后方可实施。
3、各联网单位要增强网络安全意识,严禁登陆浏览黄色网站(网页),禁止下载、使用存在安全隐患的软件,不得打开来历不明的电子邮件附件,不得随意使用计算机文件共享功能,防止计算机受到病毒的侵入。
4、工作时间禁止玩网游、下载电影及大型软件,以保证本单位网络速度。县政府办信息科将采取技术措施对互联网出入口的数据进行监控,对发现的问题将在全县范围内进行通报,并按照相关规定严肃处理。
5、政务网计算机使用单位和个人,都有保护政务网信息与网络安全的责任和义务,所有关于本单位网站、论坛、信息录入等密码要严格保密不得泄露,一旦泄露立即报政府办信息科进行密码修改。
6、各接入单位应当定期制作计算机信息系统备份,备份介质实行异地存放。对可能遭受的侵害和破坏,应当制定灾难防治预案。
7、要配备计算机系统补丁升级和病毒防治工具,定期进行系统补丁升级和病毒检查。使用新机、新盘及拷贝的软件、数据,上机前应进行系统补丁升级和病毒检查。
8、办工人员严禁下列操作行为:
(1)非法侵入他人计算机信息系统和联网设备操作系统;
(2)未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰,影响计算机信息系统正常运行;
(3)故意制作、传播计算机病毒等破坏程序;
(4)将非业务用计算机或网络擅自接入政务内网,将业务用计算机或网络接入互联网或其他非政府机关的网络;
(5)在政务网使用的计算机及网络设备在未采取安全隔离措施的情况下同时连接政务网和其它网络;
(6)将存有涉密信息的计算机擅自连接国际互联网或其他公共网络;
(7)擅自在政务网上开设与工作无关的网络服务;
(8)发布反动、淫秽色情等有害信息;
(9)擅自对政务网计算机信息系统和网络进行扫描;
(10)对信息安全事(案)件或重大安全隐患隐瞒不报;
(11)擅自修改计算机ip或mac地址。
9、在发生紧急事件时,为避免造成更大损失和影响,信息科有权或者要求有关部门采取以下措施:
(1)拆除可能影响安全或有安全隐患的设备或部件;
(2)隔离相关的终端、服务器或网络;
(3)关闭相关的终端、服务器或网络;
10、各节点单位要加强计算机病毒的防治工作,切实履行下列职责:
(1)建立本单位的计算机病毒防治管理制度;
(2)采取计算机病毒安全技术防治措施;
(3)对本单位节点微机使用人员进行计算机病毒防治教育和培训;
(4)使用具有计算机信息与系统安全专用产品销售许可证的网络安全产品,定期检测,做好杀毒软件的升级,清除计算机信息系统中的计算机病毒,并备有检测清除记录;
(5)禁止在政务网上使用来历不明、可能引发病毒传染的软件;对于来历不明的可能带有计算机病毒的软件应使用正版杀毒软件检查、杀毒。
第二篇:电子政务网络安全解决方案
电子政务网络安全解决方案
电子政务网络安全概述
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
网络规划
各级网络
利用现有线路及网络进行完善扩充,建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。数据中心
建设集中的数据中心,对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。网络总体结构
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
所谓电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。
实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式,建立了适应网络时代的“一网式”和“一表式”的新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作效率。
图示:原有电子政务网络情况
电子政务网络的应用系统和网络连接方式多样,由于网络本身及应用系统的复杂性,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息;还可以篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络节点等等。
因此在电子政务网络的建设中,构建网络安全系统以确保网络信息的安全可靠是非常必要的。
物理安全风险分析
网络物理安全是整个网络系统安全的前提。物理安全的风险主要有: ◆地震、水灾、火灾等环境事故造成整个系统毁灭;
◆电源故障造成设备断电以至操作系统引导失败或数据库信息丢失; ◆设备被盗、被毁造成数据丢失或信息泄漏; ◆电磁辐射可能造成数据信息被窃取或偷阅;
◆报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析
网络安全不仅是入侵者到政府机关内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全威胁。因此,对于政府这样带有重要信息传输的网络,数据在链路上传输必须加密。并通过数字签名及认证技术来保障数据在网上传输的真实性、机密性、可靠性及完整性。
远程办公安全接入 目前,政府网络应用环境纷乱复杂,既有内部的应用如:内部OA系统、文件共享、Email等应用服务,又有众多面向下属单位、合作伙伴等对外的应用。如何地有效解决远程用户安全访问网络内部资源?
虚拟专用网技术(VPN,Virtual PrivateNetwork)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。政府机关只需要租用本地的数据专线,连接上本地的公众信息网,那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定,政府网络可以通过现有公有平台搭建自己的内部网络,但必须通过认证和加密技术,保证数据传输的安全性。
单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证,但它没有很强的访问控制功能,例如状态包过滤、网络内容过滤、防DDoS攻击等。在这种独立的防火墙和VPN部署方式下,防火墙无法对VPN的数据流量进行任何访问控制,由此带来安全性、性能、管理上的一系列问题。因此,在防火墙安全网关上集成VPN是当前安全产品的发展趋势,能提供一个灵活、高效、完整的安全方案。
集成VPN的防火墙安全网关的优点是,它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DDoS攻击和入侵威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。因此,当前VPN技术已经成为安全网关产品的组成部分。
政府机关Intranet网络建设的VPN连接方案,利用IPsec安全协议的VPN和加密能力,实现两个或多个政府机关之间跨越因特网的政府机关内部网络连接,实现了安全的政府机关内部的数据通信。通过防火墙内部策略控制体系,对VPN的数据可以进行有效的控制和管理,使政府机关的内部网络通信具有良好的扩展性和管理性。
图示:政府机关Intranet网VPN解决方案
如上图示,原始的数据经过加密封装在另外一个IP通道内,通道头部地址就是防火墙外部端口的IP地址,以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全,168位的3DES算法更提供了业界最高级别的安全防御体系,使政府机关的内部数据可以无忧地在公网上传输,以达到政府机关内部网络安全扩展的目的。
网络结构的安全风险分析
(一)来自与公网互联的安全威胁
如果政府内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全威胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。政府行业内部网络中其办公系统及各人主机上都有涉密信息。
假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统,国家也有规定是不能与互联网直接或间接与相连。
内部网络与系统外部网互联安全威胁
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外部网络不怀好意的入侵者的攻击。如:
入侵者通过Sniffer等程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
(三)内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部员工编些具有破坏力的程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都对整体的网络安全构成很大的威胁。
系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door(后门)。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。
应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
(一)资源共享
政府网络系统内部必有自动化办公系统。而办公网络应用通常是共享网络资源,比如文件、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
电子邮件系统
电子邮件为网系统用户提供电子邮件应用。内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。
病毒侵害
自从1983年世界上第一个计算机病毒出现以来,在20多年的时间里,计算机病毒已到了无孔不入的地步,有些甚至给我们造成了巨大的破坏。
随着网络的普及和网速的提高,计算机之间的远程控制越来越方便,传输文件也变得非常快捷,正因为如此,病毒与黑客程序(木马病毒)结合以后的危害更为严重,病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性,按照制作者的要求侵蚀固定的内容。
由于网络的普及,使得编写病毒的知识越来越容易获得。同时,各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件,只需要通过简单的操作就可以生成破坏性的病毒。
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
数据信息
数据安全对政府行业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就造成的泄密。这对政府行业用户来说,是决不允许的。
管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
机房重地却是任何都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。
防火墙系统设计方案
(一)防火墙系统
1、在各网络出口处安装曙光天罗防火墙。防火墙在这里首先起到网络隔离、划分不同安全域,进行访问控制的功能。通过防火墙的多网口结构设计,控制授权合法用户可以访问到授权服务,而限制非授权的访问。曙光天罗防火墙分为百兆和千兆两个系列,可以根据各局内部网的规模大小选择适合自己的产品。
2、曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法。防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,通知管理员调整控制规则,为整个网络提供动态的网络保护。
3、利用曙光天罗防火墙自带的VPN功能,实现多级VPN系统。防火墙VPN模块支持两种用户模式:远程访问虚拟网(拨号VPN)和政府机关内部虚拟网(网关对网关VPN)。如上图所示,在省地市三级网络出口处安装曙光天罗防火墙,利用防火墙的VPN模块,实现他们之间分层次的政府机关内部虚拟网(网关对网关VPN);而对于一些规模比较小的区线或移动用户,通过安装VPN客户端,实现远程访问虚拟网(拨号VPN),整个构成一个安全的虚拟内部局域网,保障电子政务网络的数据安全传输。
(二)防火墙的VPN功能
VPN是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接,可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性。
也是至关重要的一点,它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多;
政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于VPN的INTRANET,所以VPN的可扩展性大大优于传统构建政府机关INTRANET的技术手段,如点对点专线或长途拨号;
VPN不仅可以大幅度削减传输数据的开销,同时可以削减传输话音的开销;
VPN创造了多种伴随着Web发展而出现的新的商业机会,包括:进行全球电子商务,可以在减少销售成本的同时增加销售量;实现外连网,可以使用户获得关键的信息,更加贴近世界;可以访问全球任何角落的电子通勤人员和移动用户。
在当今全球激烈竞争的环境下,最先实现VPN的政府机关将在竞争获得优势已经是不争的事实,许多政府机关也开始纷纷利用经济有效的VPN来传送话音业务,并从中受益:
◆ 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络; ◆ 实现本地拨号接入的功能来取代远距离接入,这样能显著降低远距离通信的费用; ◆ 远端验证拨入用户服务基于标准,基于策略功能的安全服务;
◆ 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来; ◆ 强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控,可以优化网络资源;
◆ 极大的可扩展性,简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构,只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用,可以从小的政府机关扩展到最大的政府机关;
◆ 更大的网络灵活性,可以管理和发布不同类型的数据进入同一Internet连接。VPN代表了当今网络发展演化的最高形式,它综合了传统数据网络的性能优点(安全和QoS)和共享数据网络结构的优点(简单和低成本),必将成为未来传输完全汇聚业务的主要工具。
用户可以通过硬件和软件的方式来实现VPN功能,一般用户都会使用硬件设备。在总部架设一个带有VPN功能的防火墙,就可以让地方联到总部的内部局域网了。使用这种具有VPN功能的防火墙都具有较高的安全性和稳定性,因一个最大的优点是既可以抵御外部的攻击又可以提高自身网络的安全性。
防火墙对服务器的保护
网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为“黑客”攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。
如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着“黑客”各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。
(四)防火墙对内网的保护
网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。
对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于NETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用“黑客”工具造成严重破坏。
由于网络环境的复杂化和网络应用的多样化日益明显,对于内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为,比如IP地址欺骗、网络连接的欺骗等。由于物理层上的原因,内部用户接触网络服务的机会、方法很多,如果没有专门的安全防护,“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击(CRACK),对于内部网络的用户,防范攻击的难度较大。我们主要从以下几个方面考虑:
1)内部网络风险分析:由于内部攻击发生的比较频繁,因此我们首先要分析内部网络的安全隐患,把可能发生的不安定因素找出来进行专门的安全处理;
2)内部用户网络和网络的隔离:把内部比较重要的数据服务器放在专门的区域,加上独立的控制体系,对于内部网的访问同样要进行相应的安全控制;
3)内部网络安全保护:结合物理层和链路层的特点,在物理层和链路层的接口处实施安全控制,实施IP/MAC绑定。
IDS详述
IDS(入侵检测系统)对于关心网络安全防护的人们来说已不再是一个陌生的名词,在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外,有近15%的安全项目会涉及到IDS系统,而且这些项目一般都对安全等级的要求非常高,对数据信息的保密性也有特别的要求。
IDS系统
要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段,单个网段的最小组成元素是各台主机,政府机关对各主机、各网段的安全性要求程度一般都不相同,所以确定IDS的保护对象是合理使用IDS的关键。
在优先保护的网段中部署IDS系统,并配置合适的检测策略,如在防火墙之内部署IDS则可把安全策略配置得紧一些,即使用最大化的检测策略,而在防火墙之外部署则可采用较为宽松的策略,因为经过防火墙过滤后,内部网络的安全状况相对比较简单,而外部的情况则较为复杂,误报的可能性也较大。另外,在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎,从而形成报警,而对于用户来说,这些报警事件是没有什么参考价值的,所以需要在检测范围中排除这些主机的IP地址;通常IDS系统中都有一个过滤器(FILTER)模块或像KIDS那样所具有的“非阻断列表”的功能选项,可以允许用户加入所有他们所信任的主机IP地址。
目前大多数的IDS系统主要采用基于包特征的检测技术来组建,它们的基本原理是对网络上的所有数据包进行复制并检测,然后与内部的攻击特征数据库(规则库)进行匹配比较,如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确,但会给IDS带来较大的负载,所以需要对检测策略作进一步的调整和优化。具体做法是根据政府机关自身网络的业务应用情况,选择最适合的检测策略(可根据操作系统、应用服务或部署位置等),并对所选的策略进行修改,选择具有参考价值的检测规则,而去除一些无关紧要的选项,如对于全部是Windows的应用环境,则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外,还提供了对端口扫描检测规则的自定义,如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数,这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。
IDS监控
IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应,因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断,如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。在利用IDS进行监控时,不但需要查看它的报警提示,而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时,网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时(DoS或DDoS),网络中的数据流量便可能会急速上升,这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。IDS的最重要价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,可以从各个角度来对这些事件进行分析归类,以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。
电子政务整体网络安全解决方案
电子政务系统中存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。
各局的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到本局的主干交换机上。由于工作站分布较广且全部连接,可以通过电子政务网络进行相互访问,服务器就有可能收到攻击。因此,必须在各局之间相互进行隔离防护。
如下图,我们在各局路由器后安装曙光TLFW千兆防火墙,以有三千用户在同时上Internet网计算,千兆防火墙的并发连接超过600,000,完全可以满足整个网络的需求,稳定性上也满足要求。同时,将局内网与其他区域逻辑隔离开来,在数据中心内,根据不同的服务器对安全性的不同需求,将它们分等级划分为不同的区域,并通过详细的包过滤规则制定,将这些服务器彻底保护起来,保证它们之间不能跨级别访问,这样实现分级的安全性。
通过安装防火墙,可以实现下列的安全目标:
1)利用防火墙将内部网络、Internet外部网络进行有效隔离,避免与外部网络直接通信;
2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;
3)利用防火墙对来自非内部网的服务请求进行控制,使非法访问在到达主机前被拒绝; 4)利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作;
6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线; 7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。下图是电子政务网络安全解决方案设计拓扑图:
图示:电子政务网络安全总体拓扑
根据以上的分析,在整个政府网络安全体系中,除了负责边界安全的防火墙设备以外,还选择了入侵检测系统进行共同防范,达到整个系统的高安全性。
同时因为用户有拨号VPN的需求,而曙光的天罗防火墙自身具备了VPN的功能,可以满足远程连接用户的安全要求。
具备了高安全性、高可靠性、高性能、高适用性、易管理、高度集成、灵活扩展等产品特色。易于安装和使用,网络性能和透明性好,拥有自行设计的全中文化WWW管理界面,通过直观、易用的界面来管理强大、复杂的系统功能。
可根据系统管理者设定的安全规则(Security Rules)把守网络的大门,提供强大的访问控制、网络地址转换(Network Address Translation)、带宽控制、P2P协议过滤等功能。
根据电子政务的实际需要,充分利用了曙光天罗防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、VPN模块等)的协同工作,再加上NIDS网络入侵检测系统的重点防护,构建了一个整合的动态安全门户,以比较经济实惠的方式,实现了对电子政务网络的整体安全防护。
第三篇:九江市电子政务管理办法
九江市电子政务管理办法
第一章 总则
第一条 为了加强我市电子政务的建设和管理,进一步推进电子政务网络资源的整合,深化政务公开,转变政府职能,提高机关效能,提升公共服务和社会管理水平,根据国家法律法规和有关政策的规定,结合本市实际,制定本办法。
第二条 本办法所称电子政务,是指行政机关及其他具有行政职能的单位,应用信息与网络技术,将管理和服务集成,实现组织结构和工作流程的优化,向社会提供规范、透明、高效、便捷的公共管理与服务的活动。
本市行政区域内电子政务的建设和管理工作,适用本办法。
第三条 电子政务发展应当遵循“统筹规划、规范标准、统一网络、资源共享、信息公开、保障安全”的原则,积极推进集约化建设。
第四条 市人民政府信息化工作办公室(以下简称市政府信息办)主管全市电子政务的日常工作,负责全市电子政务工作的组织、管理和监督。
市政府各部门按照各自职责,根据全市的统一规划,做好电子政务相关工作。县(市、区)人民政府应当加强对电子政务工作的领导,将电子政务建设纳入本级国民经济和社会发展规划,建立领导责任制,加强人才建设和资金投入,推动电子政务发展。
第二章 电子政务规划
第五条 市政府信息办会同有关部门,根据国家和全省电子政务规划,结合本地实际,制定全市电子政务发展规划,报市人民政府批准后实施。
市政府各部门可根据全市电子政务发展规划,制定各自的电子政务建设规划,报市政府信息办备案后实施。
第六条 县(市、区)人民政府电子政务主管部门会同本级有关部门,根据全市电子政务发展规划和本地实际情况,制定本县(市、区)电子政务发展规划,报本级人民政府批准后实施。
第七条 电子政务主管部门应根据电子政务规划拟定工作计划,经本级人民政府批准后组织实施。
第三章 电子政务建设项目管理
第八条 电子政务建设项目应当以电子政务发展规划为主要依据,优先安排有利于提高行政效率、降低行政成本、促进公共服务、优化社会监管、提高科学决策水平的应用系统建设。
本办法所称电子政务建设项目指面向政务管理服务的电子政务网络及业务应用、数据库、安全保障等系统的新建、扩建、改建工程。第九条 使用地方财政资金的电子政务建设项目应当具备下列条件:
(一)符合全市电子政务发展规划;
(二)项目建设的需求明确,用途功能清晰;
(三)符合电子政务统一网络运行要求和技术规范;
(四)保障资源共享和信息安全;
(五)项目投资和运维经费估算合理。
属国家、省统筹安排建设并拨付建设资金的电子政务建设项目,项目建设单位在申报项目时应贯彻上述要求。
第十条 本级电子政务建设项目实行技术评审制度。符合全市电子政务规划的项目由建设单位于每年9月底前报市政府信息办,经市政府信息办组织有关部门及专家进行技术论证提出审查意见后,由市发改委按政府投资项目管理有关规定审批,纳入政府投资计划。计划报市政府批准后,由市财政局会同市政府信息办,根据投资计划合理安排所需项目资金。直接向市政府申请财政资金的电子政务项目,由市财政局和市政府信息办分别提出意见后,报市政府审批。
各县(市、区)电子政务建设的项目审批和资金安排,可根据当地实际情况参照本条款执行。
第十一条 电子政务项目建设单位在项目建设和管理中,要按照公开招标、政府采购、项目管理、工程监理、风险评估、竣工验收和运行维护等有关规定,接受相关主管部门的监督管理。
第十二条 由发改部门会同电子政务主管部门,组织相关单位对电子政务建设项目进行竣工验收。验收不合格的项目,不予接入全市电子政务统一网络。
第十三条 根据电子政务项目验收后的运行情况,电子政务主管部门可会同发改部门对建设项目系统运行效率、使用效果等情况进行后评估。对后评估不符合要求的项目,项目建设单位要限期整改。项目后评估情况作为项目运行维护经费核算的重要依据之一。
第四章 电子政务网络和应用管理
第十四条 本市电子政务网络由电子政务内网和电子政务外网组成,上至国家、省会,下达县区、乡镇,横连党委、人大、政府、政协、法院、检察院等机关。
电子政务内网主要满足各级政务部门内部办公和涉密业务的需要,电子政务外网主要满足各级政务部门进行社会管理、公共服务等面向社会服务的需要。
第十五条 各级政府部门之间的网络互联以及与省市县乡纵向网络的连接,原则上应该依托电子政务网络,不得自行铺设线路和组建传输骨干网。电子政务网络的IP地址等网络资源由电子政务主管部门根据国家和全省的统一安排进行管理、分配。
第十六条 各级政府部门应当加强电子政务应用系统建设,优化业务流程,建立业务信息数据库,提高管理服务水平。原则上所有电子政务应用系统要逐步整合到电子政务网络上,不断推进互联互通、信息共享和业务协同。
第十七条 各级政府部门要充分利用全市统一的电子政务公共视频会议系统召开视频会议,已建的部门视频会议系统要逐步整合到电子政务公共视频会议系统上来。
第十八条 各级政府部门应当推广使用统一的办公自动化系统和公文传输系统,提高行政效率。政府部门不得使用盗版软件。
第十九条 要建立健全电子监察系统,实现对全市各级政府部门行政权力运行及办事大厅、服务窗口的实时、动态、全程监察。
第二十条 未经电子政务主管部门批准,电子政务网络接入单位不得从事下列活动:
(一)对接入电子政务网络设备的参数配置进行修改;
(二)对电子政务网络的功能进行增加、删除或者修改;
(三)从事与工作无关的活动而大量占用电子政务网络资源,造成网络拥堵。
第五章 政务信息资源管理
第二十一条 电子政务主管部门负责建立政务信息资源目录体系与交换体系,建设和维护统一公共数据交换平台,实现跨地区、跨部门的信息共享和数据交换。
第二十二条 电子政务主管部门依托本级电子政务网络平台,统筹建设本级电子政务数据中心,开发、利用、整合政务信息资源。跨地区、跨部门的电子政务应用和公共信息资源库原则上集中在本级电子政务数据中心存储、备份。
第二十三条 各级政府部门要配合做好人口、法人、自然资源与地理空间等基础信息库的建设。要遵照“一数一源”的原则,避免重复采集,保证基础信息的准确、及时和共享。
第二十四条 各级政府部门要按照《九江市政府信息公开规定》(九江市人民政府令第24号)做好政府信息公开工作,加强全市政府信息公开平台的信息更新。属于主动公开范围的政府信息,应当自该政府信息形成或变更之日起20个工作日内予以公开。对于依申请公开的信息,应当自收到申请之日起15个工作日内予以答复。
第二十五条 本市为社会公众生产生活提供直接服务的公共企事业单位,要按照《九江市公共企事业单位办事公开规定》(九江市人民政府令第30号),及时公开社会公共服务的事项、程序、标准、结果等办事信息。
第六章 政府网站管理
第二十六条 本市政府网站群由市委、市政府门户网站“中国九江”网和县(市、区)、部门的政府网站组成。
政府网站要发挥扩大对外宣传、推行政务公开、提供公共服务、增进互动交 流的窗口作用。
第二十七条 市政府信息办具体承担“中国九江”网的建设、运行、维护和日常管理,指导县(市、区)和部门政府网站的建设。通过开展网上巡查和政府网站绩效评估等工作,不断提高各级政府网站服务功能和办网、管网能力。
县(市、区)和部门政府网站建设必须遵循有关技术标准、业务规范和安全要求,完善数据备份、防攻击、防篡改、防病毒等安全防护措施。网站的新建或改建应报市政府信息办备案。
第二十八条 各地各部门要明确政府网站分管领导及责任人员,开展常态化的自查自纠,及时发现并解决问题。要建立网站信息员制度、日常值班读网制度和安全管理制度,健全信息采集、报送、更新、维护机制,落实“中国九江”网相关栏目和本单位政府网站的内容保障责任。
第二十九条 政府网站的运行、维护和日常管理所需经费列入本级财政预算。为降低运行成本,提高共享和安全水平,各地各部门原则上只保留一个政府网站。县(市、区)政府所属部门(单位)、乡镇(街道)应依托本级政府门户网站开展服务,不单独设立政府网站,市政府各部门网站应逐步向“中国九江”网统一平台集中。
第三十条 各地各部门应根据国家和省、市有关保密的法律、法规,制定上网信息发布审查制度,按“谁上网,谁负责”的原则,规范上网信息发布工作,严禁涉密信息、有害信息上网,确保涉密信息不上网,上网信息不涉密。
政府网站应当遵守下列规定:
(一)不得制作、复制、发布、传播危害国家安全或者涉及国家秘密、商业秘密、个人隐私、淫秽色情内容和其他违反法律、法规的信息;
(二)不得制作、发布虚假信息;
(三)不得与不良网站、非法网站建立链接;
(四)不得从事与政府网站不符的活动。
第七章 电子政务安全体系建设
第三十一条 电子政务网络和应用系统应当根据国家和省、市的有关规定,确定相应的安全等级,并进行相应的信息安全系统建设。按照“谁主管谁负责,谁运行谁负责”的要求,明确各单位电子政务安全责任。
第三十二条 电子政务网络与应用系统建设项目必须采用有关部门认可的信息安全产品,并与主体工程同时设计、同时施工、同时投入使用,所需经费列入工程预算。
第三十三条 各级政府部门要按国家有关保密的规定,做到电子政务内外网物理隔离,不在非涉密网络上处理和存储涉密信息,并按照保密部门要求,在涉密机上安装相应的保密监控系统和有关设备。
第三十四条 为保障信息安全,接入电子政务网络的部门,原则上应统一从 电子政务外网的安全平台出口外连互联网。如确需另外开设互联网出口,须经电子政务主管部门审核接入方案并落实安全措施后方可接入。
第三十五条 加强各级政府电子政务网络管理中心机房建设,根据电子政务网络和应用系统建设需要,不断强化安全措施,改善环境条件。除有特殊安全保密要求或已形成规模的部门机房经与电子政务主管部门协商允许保留外,各级政府部门电子政务应用系统软硬件设备原则上要逐步集中到各级政府电子政务网络管理中心机房托管。
第三十六条 电子政务主管部门会同工信等有关部门,负责电子政务安全体系建设,建立电子政务数字认证体系和信息安全应急处理、数据灾难备份等信息安全措施。
第三十七条 各级政府部门应当按照电子政务安全体系的相关要求,建立健全定期备份制度、信息资源分级管理制度、应急处理制度、网络系统运行维护制度以及其他与网络信息安全相关的管理制度,明确网络及信息安全责任人,保证本单位电子政务网络与应用系统安全运行。
第八章 电子政务培训、考核、监督
第三十八条
根据国家有关电子政务培训的要求,结合全市干部培训规划,制定电子政务知识与技能培训大纲和培训计划,加强对公务人员电子政务的培训。
第三十九条
市政府信息办会同有关部门,负责对县(市、区)和部门的电子政务工作进行督查和考核,对结果进行通报,并纳入市政府目标考核、绩效考核评价体系。
第四十条
对违反本办法及有关规定,在电子政务建设和管理工作中滥用职权、玩忽职守、徇私舞弊的,依法追究有关责任人和单位负责人的责任;其他构成犯罪的行为,依法追究刑事责任。
第九章 附则
第四十一条 各级党委、人大、政协、法院、检察院等机关的电子政务建设和管理参照本办法执行。
第四十二条 本办法自发布之日起施行。
第四篇:湘乡市电子政务管理办法
湘乡市电子政务管理办法
第一章 总 则
第一条 为规范我市电子政务的建设与管理,推进依法行政与政务公开,促进政务信息资源共享,提高政府社会管理与公共服务能力,根据《中共湖南省委办公厅湖南省人民政府办公厅关于加强我省电子政务内网建设的意见》(湘办发„2006‟23号),《中共湖南省委办公厅湖南省人民政府办公厅关于加强全省电子政务外网平台建设和管理的意见》(湘办发„2006‟25号)和《中共湘潭市委办公室湘潭市人民政府办公室关于印发<湘潭市电子政务管理办法>的通知》(潭办发„2007‟25号)有关规定,结合我市实际,制定本办法。
第二条 本办法所称电子政务,是指国家机关及其他具有行政职能的单位,应用信息与网络技术,将管理和服务集成,实现组织结构和工作环境的优化,向社会提供规范、透明、高效、便捷的公共管理与服务的活动。
湘乡市行政区域内电子政务建设、管理及相关活动,适用本办法。
第三条 电子政务建设和管理必须始终坚持“五统一”的原则,即统一组织领导、统一规划实施、统一标准规范、统一网络平台、统一安全管理的原则。第四条 市电子政务管理办公室是电子政务建设管理的主管部门,负责本行政区域内电子政务的推进、管理、监督、指导工作。
第二章 电子政务网络
第五条 电子政务网络由政务内网和政务外网组成。政务内网主要满足政务部门内部办公、管理、协调、监督以及决策的需要,政务外网主要满足政务部门进行社会管理、公共服务等面向社会服务的需要。
市电子政务管理办公室负责本市政务外网的建设、管理和协调,市委内网管理中心负责统筹协调政务内网的建设和管理。
第六条 各部门之间的网络互联及与省、市、县纵向网络连接,原则上应依托市本级电子政务网络,不得自行新建传输骨干网络。
第七条 电子政务网络实行统一管理制度。市乡镇两级党委、政府部门的电子政务网络必须按国家、省有关规定及市乡镇两级电子政务网络统一规划逐步接入市级电子政务网络。电子政务内网、外网接入部门应分别向市电子政务网络主管部门书面说明其网络的性质、应用范围、网络设备情况、入网终端数量等,必须符合网络安全等有关要求。
第八条 全市电子政务网络的IP地址等网络资源由内、外网相关管理部门根据国家、省的安排统一建设、管理和分 配。
第九条 为节约经费和保障安全,除乡镇外,接入电子政务网络的部门,原则上应统一共用电子政务外网平台的互联网接入,如确需另外开设互联网接入的,应将技术及安全方案报市电子政务管理办公室,接受市电子政务管理办公室的指导。
第四章 政府门户网站与信息公开
第十条 政府门户网站是各级人民政府及其部门通过互联网进行信息公开、提供公众服务的网上窗口,由主网站和各部门子网站构成。
第十一条 市电子政务管理办公室统一负责政府门户网站的建设和管理,为各部门子网站提供网站平台和信息帮助,建立信息采集、报送、发布、更新和维护机制。
第十二条 国家机关和社会公共服务单位,必须在政府门户网站平台上设立子网站,各子网站在统一规范的前提下,接受市电子政务管理办公室的业务指导。
第十三条 市乡镇两级政府及其部门必须按照《中华人民共和国政府信息公开条例》的要求,把应当主动公开的及重点公开的政府信息,在本级政府门户网站上予以公开并及时更新。
下列信息,除国家、省另有规定外,有关部门应当在该信息发生或者变更后七日内,在政府门户网站上发布:
(一)各种规范性文件;
(二)国家机关的机构设置、职能和职责;
(三)行政许可的事项、依据、条件、数量、程序、期限以及申请行政许可需要提交的全部材料目录及办理情况;
(四)收费项目、标准和依据;
(五)依法应当公开的其他政府信息。
第十四条 严禁涉密信息、有害信息上网。按照“谁上网,谁负责”的原则,各乡镇、各部门对发布与公开的信息负责。
各级党委、政府部门和工作人员应当遵守下列规定:
(一)不得制作、复制、发布、传播危害国家安全或者涉及国家秘密、商业秘密、个人隐私、淫秽色情内容和其他违犯法律、法规的信息;
(二)不得制作、发布虚假的信息;
(三)不得危害公共信息网络正常运行。
第五章 电子政务应用系统
第十五条 电子政务应用系统建设应当符合电子政务发展规划要求,遵循“互联互通、信息共享、业务协同”的原则,遵循国家、省和全市统一的信息交换标准,符合电子政务安全规范。
第十六条 跨部门跨地区的电子政务应用系统,原则上必须建立在全市本级电子政务网络平台之上,充分利用电子 政务网络基础设施。
第十七条 建立完善行政许可在线办理系统,按照“网站受理、后台处理、网站反馈”的模式逐步开展行政许可的申请、办理、查询,有效降低行政成本,提高监管能力和公共服务水平。
第七章 电子政务安全体系
第十八条 按照“谁主管谁负责,谁运行谁负责”的原则,明确各级各部门电子政务安全责任。信息网络和信息系统的主管单位或者运行单位应当根据国家、省有关规定,确定本单位信息网络与信息系统的安全等级,并进行相应的安全系统建设。
第十九条 信息网络与信息系统的安全系统必须采用依法认证认可的信息安全产品,并与主体工程同步设计、同步施工、同步投入使用,所需经费列入工程预算。
第二十条 信息网络与信息系统的主管单位或者运行单位,应当确定信息安全管理人员,建立信息安全管理制度,制定信息安全应急预案,保证本单位信息网络与信息系统安全运行。
第二十一条 乡镇以上党委、政府办公室及信息化主管部门会同公安、安全、保密、机要等相关部门或机构,建立信息安全事件报告、信息安全情况通报和应急处理协调机制,制定本级电子政务安全保障技术要求和工作制度规范,建立本级统一的电子政务数字认证体系,统筹规划电子政务应急响应与灾难备份建设。定期组织对各部门的安全管理工作进行检查、指导。
第八章 电子政务监督
第二十二条 违反本办法第十二条、第十三条规定,不及时向本级政务信息交换平台提供信息,或者不在政府门户信息网站上发布有关信息的,由各级信息化主管部门依据《湖南省信息化条例》第三十九条之规定责令改正。法律、行政法规另有规定的,从其规定。
第二十三条 违反本办法第十四条、第二十条规定,制作、发布虚假信息,或者危害公共信息网络正常运行,或者未建立信息安全管理制度和信息安全应急预案的,由各级信息化主管部门依据《湖南省信息化条例》第四十条之规定责令改正;给他人造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任。
第九章 附 则
第二十四条 本办法自发布之日起施行。
第五篇:网络安全管理办法(暂行)
网络安全管理办法(暂行)
一、总则
(一)为贯彻和执行维护网络安全的有关法律、法规、条例,加强公司办公局域网管理,保障网络的安全畅通和稳定运行,特制定本办法。
(二)引用标准
《计算机病毒防治管理办法》
《互联网信息服务管理办法》
《计算机及网络管理暂行规定》
(三)本办法适用于公司范围内的网络安全管理。
二、网络安全管理
(一)所有信息用户必须接受并配合国家有关部门及公司信息中心对计算机网络设施进行的监督检查。
(二)任何用户必须按照所获得的权限使用公司网络的硬件资源、软件资源和信息资源,禁止未经授权或超出授权范围使用网络资源。
(三)网络用户必须妥善管理访问专用网络资源的用户名称和密码,长期使用专用网络资源的用户建议定时更换用户密码。凡因管理不善导致密码泄露对网络安全造成严重危害的,应追究当事人责任。
(四)综合部负公司网络的对外连接管理,未经授权任何网络用户不得以任何方式建立与其他网络互联。
(五)任何用户未经授权不得在网络上发布公司信息或占用网络资源。
(六)任何用户不允许进行任何干扰网络用户、破坏网络设备和服务的活动,包括(但不局限于)在网络上散布计算机病毒、使用网络进入他人计算机、不以真实身份使用网络资源、盗用他人信息等。
(七)必须按照要求安装制定的网络防病毒软件。
点击咨询 