第一篇:电子政务网络安全管理整改报告
XX公司
电子政务网络安全管理整改报告
根据《关于开展全区电子政务网络安全管理自查工作的通知》文件精神,我公司认真对照,对网络安全设施情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查,对自查中出现的问题进行整改,现将整改情况汇报如下:
一、加强领导,成立了网络安全隐患整改工作领导小组。
为进一步加强公司网络安全管理工作,我公司高度重视,成立了网络安全隐患整改工作领导小组,由总经理任组长,下设办公室,做到分工明确,责任具体到人,确保网络安全隐患整改工作顺利实施。
二、公司网络安全现状
我公司网络主要是有1条移动100M的专线互联网、2条移动10M数据专线和联通政务服务网。移动互联网络设备主要是华为ONU,移动数据专线设备是中兴光纤触发器,利用华为集线器转换到桌面,总共可提供24个有线接入点,目前为止已使用20个;政务服务网是XX统一安装到公司。
我公司在移动公司机房托管一台XX服务器和一台XX服务器,其中XX服务器由公司数据专线通过光触发连接,XX服务器由移动提供的网络进行连接,两台服务器均受移动公司机房防火墙以及杀毒软件的保护,同时我公司在服务器内布置了金山杀毒软件,确保服务器安全。
三、网络安全存在的不足及整改措施
目前,我公司网络安全仍然存在以下几点不足:一是制度不完善;二是账号密码管理不严格;三是机房线路布置不规范;四是设备机房出入管理不严格;五是安全防范意识较为薄弱;六是网络设备巡查频率不够。
针对目前我公司网络安全方面存在的不足,我公司针对性的进行整改,具体整改如下:
一、建立健全了《公司网络管理制度》,规范了网络使用以及维修的流程;
二、严格管理账号密码,公司对账号重新加密,将密码交由管理员保管,任何人不得以任何方式获取;
三、重新规划公司网络线路,对不规范的线路撤掉重新部署;
四、加强机房出入管理,未经总经理和管理员同意外不得随意出入机房;
五、加强我公司计算机操作技术、网络安全技术方面的培训,强化计算机操作人员对网络病毒、信息安全的防范意识;
六、加强公司网络设备巡查,将巡查频率改为每周一次对重点设备巡查,每月一次全部设备巡查。
下一步,我公司将加强在计算机技术、网络技术方面的学习,不断提高我公司计算机专管人员的技术水平,不断完善公司关于网络安全管理方面的规章制度,规范信息发布的流程,确保公司信息发布符合党的路线方针政策,保证公司网络健康有效,全力配合做好开发区网络安全管理工作。
第二篇:电子政务网络安全解决方案
电子政务网络安全解决方案
电子政务网络安全概述
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
网络规划
各级网络
利用现有线路及网络进行完善扩充,建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。数据中心
建设集中的数据中心,对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。网络总体结构
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
所谓电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。
实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式,建立了适应网络时代的“一网式”和“一表式”的新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作效率。
图示:原有电子政务网络情况
电子政务网络的应用系统和网络连接方式多样,由于网络本身及应用系统的复杂性,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息;还可以篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络节点等等。
因此在电子政务网络的建设中,构建网络安全系统以确保网络信息的安全可靠是非常必要的。
物理安全风险分析
网络物理安全是整个网络系统安全的前提。物理安全的风险主要有: ◆地震、水灾、火灾等环境事故造成整个系统毁灭;
◆电源故障造成设备断电以至操作系统引导失败或数据库信息丢失; ◆设备被盗、被毁造成数据丢失或信息泄漏; ◆电磁辐射可能造成数据信息被窃取或偷阅;
◆报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析
网络安全不仅是入侵者到政府机关内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全威胁。因此,对于政府这样带有重要信息传输的网络,数据在链路上传输必须加密。并通过数字签名及认证技术来保障数据在网上传输的真实性、机密性、可靠性及完整性。
远程办公安全接入 目前,政府网络应用环境纷乱复杂,既有内部的应用如:内部OA系统、文件共享、Email等应用服务,又有众多面向下属单位、合作伙伴等对外的应用。如何地有效解决远程用户安全访问网络内部资源?
虚拟专用网技术(VPN,Virtual PrivateNetwork)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。政府机关只需要租用本地的数据专线,连接上本地的公众信息网,那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定,政府网络可以通过现有公有平台搭建自己的内部网络,但必须通过认证和加密技术,保证数据传输的安全性。
单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证,但它没有很强的访问控制功能,例如状态包过滤、网络内容过滤、防DDoS攻击等。在这种独立的防火墙和VPN部署方式下,防火墙无法对VPN的数据流量进行任何访问控制,由此带来安全性、性能、管理上的一系列问题。因此,在防火墙安全网关上集成VPN是当前安全产品的发展趋势,能提供一个灵活、高效、完整的安全方案。
集成VPN的防火墙安全网关的优点是,它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DDoS攻击和入侵威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。因此,当前VPN技术已经成为安全网关产品的组成部分。
政府机关Intranet网络建设的VPN连接方案,利用IPsec安全协议的VPN和加密能力,实现两个或多个政府机关之间跨越因特网的政府机关内部网络连接,实现了安全的政府机关内部的数据通信。通过防火墙内部策略控制体系,对VPN的数据可以进行有效的控制和管理,使政府机关的内部网络通信具有良好的扩展性和管理性。
图示:政府机关Intranet网VPN解决方案
如上图示,原始的数据经过加密封装在另外一个IP通道内,通道头部地址就是防火墙外部端口的IP地址,以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全,168位的3DES算法更提供了业界最高级别的安全防御体系,使政府机关的内部数据可以无忧地在公网上传输,以达到政府机关内部网络安全扩展的目的。
网络结构的安全风险分析
(一)来自与公网互联的安全威胁
如果政府内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全威胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。政府行业内部网络中其办公系统及各人主机上都有涉密信息。
假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统,国家也有规定是不能与互联网直接或间接与相连。
内部网络与系统外部网互联安全威胁
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外部网络不怀好意的入侵者的攻击。如:
入侵者通过Sniffer等程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
(三)内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部员工编些具有破坏力的程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都对整体的网络安全构成很大的威胁。
系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door(后门)。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。
应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
(一)资源共享
政府网络系统内部必有自动化办公系统。而办公网络应用通常是共享网络资源,比如文件、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
电子邮件系统
电子邮件为网系统用户提供电子邮件应用。内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。
病毒侵害
自从1983年世界上第一个计算机病毒出现以来,在20多年的时间里,计算机病毒已到了无孔不入的地步,有些甚至给我们造成了巨大的破坏。
随着网络的普及和网速的提高,计算机之间的远程控制越来越方便,传输文件也变得非常快捷,正因为如此,病毒与黑客程序(木马病毒)结合以后的危害更为严重,病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性,按照制作者的要求侵蚀固定的内容。
由于网络的普及,使得编写病毒的知识越来越容易获得。同时,各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件,只需要通过简单的操作就可以生成破坏性的病毒。
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
数据信息
数据安全对政府行业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就造成的泄密。这对政府行业用户来说,是决不允许的。
管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
机房重地却是任何都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。
防火墙系统设计方案
(一)防火墙系统
1、在各网络出口处安装曙光天罗防火墙。防火墙在这里首先起到网络隔离、划分不同安全域,进行访问控制的功能。通过防火墙的多网口结构设计,控制授权合法用户可以访问到授权服务,而限制非授权的访问。曙光天罗防火墙分为百兆和千兆两个系列,可以根据各局内部网的规模大小选择适合自己的产品。
2、曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法。防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,通知管理员调整控制规则,为整个网络提供动态的网络保护。
3、利用曙光天罗防火墙自带的VPN功能,实现多级VPN系统。防火墙VPN模块支持两种用户模式:远程访问虚拟网(拨号VPN)和政府机关内部虚拟网(网关对网关VPN)。如上图所示,在省地市三级网络出口处安装曙光天罗防火墙,利用防火墙的VPN模块,实现他们之间分层次的政府机关内部虚拟网(网关对网关VPN);而对于一些规模比较小的区线或移动用户,通过安装VPN客户端,实现远程访问虚拟网(拨号VPN),整个构成一个安全的虚拟内部局域网,保障电子政务网络的数据安全传输。
(二)防火墙的VPN功能
VPN是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接,可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性。
也是至关重要的一点,它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多;
政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于VPN的INTRANET,所以VPN的可扩展性大大优于传统构建政府机关INTRANET的技术手段,如点对点专线或长途拨号;
VPN不仅可以大幅度削减传输数据的开销,同时可以削减传输话音的开销;
VPN创造了多种伴随着Web发展而出现的新的商业机会,包括:进行全球电子商务,可以在减少销售成本的同时增加销售量;实现外连网,可以使用户获得关键的信息,更加贴近世界;可以访问全球任何角落的电子通勤人员和移动用户。
在当今全球激烈竞争的环境下,最先实现VPN的政府机关将在竞争获得优势已经是不争的事实,许多政府机关也开始纷纷利用经济有效的VPN来传送话音业务,并从中受益:
◆ 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络; ◆ 实现本地拨号接入的功能来取代远距离接入,这样能显著降低远距离通信的费用; ◆ 远端验证拨入用户服务基于标准,基于策略功能的安全服务;
◆ 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来; ◆ 强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控,可以优化网络资源;
◆ 极大的可扩展性,简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构,只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用,可以从小的政府机关扩展到最大的政府机关;
◆ 更大的网络灵活性,可以管理和发布不同类型的数据进入同一Internet连接。VPN代表了当今网络发展演化的最高形式,它综合了传统数据网络的性能优点(安全和QoS)和共享数据网络结构的优点(简单和低成本),必将成为未来传输完全汇聚业务的主要工具。
用户可以通过硬件和软件的方式来实现VPN功能,一般用户都会使用硬件设备。在总部架设一个带有VPN功能的防火墙,就可以让地方联到总部的内部局域网了。使用这种具有VPN功能的防火墙都具有较高的安全性和稳定性,因一个最大的优点是既可以抵御外部的攻击又可以提高自身网络的安全性。
防火墙对服务器的保护
网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为“黑客”攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。
如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着“黑客”各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。
(四)防火墙对内网的保护
网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。
对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于NETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用“黑客”工具造成严重破坏。
由于网络环境的复杂化和网络应用的多样化日益明显,对于内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为,比如IP地址欺骗、网络连接的欺骗等。由于物理层上的原因,内部用户接触网络服务的机会、方法很多,如果没有专门的安全防护,“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击(CRACK),对于内部网络的用户,防范攻击的难度较大。我们主要从以下几个方面考虑:
1)内部网络风险分析:由于内部攻击发生的比较频繁,因此我们首先要分析内部网络的安全隐患,把可能发生的不安定因素找出来进行专门的安全处理;
2)内部用户网络和网络的隔离:把内部比较重要的数据服务器放在专门的区域,加上独立的控制体系,对于内部网的访问同样要进行相应的安全控制;
3)内部网络安全保护:结合物理层和链路层的特点,在物理层和链路层的接口处实施安全控制,实施IP/MAC绑定。
IDS详述
IDS(入侵检测系统)对于关心网络安全防护的人们来说已不再是一个陌生的名词,在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外,有近15%的安全项目会涉及到IDS系统,而且这些项目一般都对安全等级的要求非常高,对数据信息的保密性也有特别的要求。
IDS系统
要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段,单个网段的最小组成元素是各台主机,政府机关对各主机、各网段的安全性要求程度一般都不相同,所以确定IDS的保护对象是合理使用IDS的关键。
在优先保护的网段中部署IDS系统,并配置合适的检测策略,如在防火墙之内部署IDS则可把安全策略配置得紧一些,即使用最大化的检测策略,而在防火墙之外部署则可采用较为宽松的策略,因为经过防火墙过滤后,内部网络的安全状况相对比较简单,而外部的情况则较为复杂,误报的可能性也较大。另外,在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎,从而形成报警,而对于用户来说,这些报警事件是没有什么参考价值的,所以需要在检测范围中排除这些主机的IP地址;通常IDS系统中都有一个过滤器(FILTER)模块或像KIDS那样所具有的“非阻断列表”的功能选项,可以允许用户加入所有他们所信任的主机IP地址。
目前大多数的IDS系统主要采用基于包特征的检测技术来组建,它们的基本原理是对网络上的所有数据包进行复制并检测,然后与内部的攻击特征数据库(规则库)进行匹配比较,如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确,但会给IDS带来较大的负载,所以需要对检测策略作进一步的调整和优化。具体做法是根据政府机关自身网络的业务应用情况,选择最适合的检测策略(可根据操作系统、应用服务或部署位置等),并对所选的策略进行修改,选择具有参考价值的检测规则,而去除一些无关紧要的选项,如对于全部是Windows的应用环境,则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外,还提供了对端口扫描检测规则的自定义,如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数,这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。
IDS监控
IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应,因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断,如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。在利用IDS进行监控时,不但需要查看它的报警提示,而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时,网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时(DoS或DDoS),网络中的数据流量便可能会急速上升,这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。IDS的最重要价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,可以从各个角度来对这些事件进行分析归类,以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。
电子政务整体网络安全解决方案
电子政务系统中存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。
各局的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到本局的主干交换机上。由于工作站分布较广且全部连接,可以通过电子政务网络进行相互访问,服务器就有可能收到攻击。因此,必须在各局之间相互进行隔离防护。
如下图,我们在各局路由器后安装曙光TLFW千兆防火墙,以有三千用户在同时上Internet网计算,千兆防火墙的并发连接超过600,000,完全可以满足整个网络的需求,稳定性上也满足要求。同时,将局内网与其他区域逻辑隔离开来,在数据中心内,根据不同的服务器对安全性的不同需求,将它们分等级划分为不同的区域,并通过详细的包过滤规则制定,将这些服务器彻底保护起来,保证它们之间不能跨级别访问,这样实现分级的安全性。
通过安装防火墙,可以实现下列的安全目标:
1)利用防火墙将内部网络、Internet外部网络进行有效隔离,避免与外部网络直接通信;
2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;
3)利用防火墙对来自非内部网的服务请求进行控制,使非法访问在到达主机前被拒绝; 4)利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作;
6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线; 7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。下图是电子政务网络安全解决方案设计拓扑图:
图示:电子政务网络安全总体拓扑
根据以上的分析,在整个政府网络安全体系中,除了负责边界安全的防火墙设备以外,还选择了入侵检测系统进行共同防范,达到整个系统的高安全性。
同时因为用户有拨号VPN的需求,而曙光的天罗防火墙自身具备了VPN的功能,可以满足远程连接用户的安全要求。
具备了高安全性、高可靠性、高性能、高适用性、易管理、高度集成、灵活扩展等产品特色。易于安装和使用,网络性能和透明性好,拥有自行设计的全中文化WWW管理界面,通过直观、易用的界面来管理强大、复杂的系统功能。
可根据系统管理者设定的安全规则(Security Rules)把守网络的大门,提供强大的访问控制、网络地址转换(Network Address Translation)、带宽控制、P2P协议过滤等功能。
根据电子政务的实际需要,充分利用了曙光天罗防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、VPN模块等)的协同工作,再加上NIDS网络入侵检测系统的重点防护,构建了一个整合的动态安全门户,以比较经济实惠的方式,实现了对电子政务网络的整体安全防护。
第三篇:电子政务网络安全管理办法
为加强我县电子政务网络安全管理工作,确保网络安全运行,结合我县的实际情况特制定电子政务网络安全管理办法。
1、各单位网络管理人员必须精心维护好单位的网络设备,做到防尘、防热、防潮、防水、防磁、防静电等,以增加设备使用年限。县政府办将定期对各单位的网络管理情况进行检查,发现不能达到以上要求的单位,将对其进行通报批评,对由于管理人员疏忽造成网络安全事故的,将追究相关管理员及单位领导责任。
2、各联网单位不得随意更改政务网络接入设备配置,不得擅自切断电子政务网络设备电源,不得擅自挪动相关设备和切断、移动相关传输线路,不得擅自与其他网络对接,不得随意增加交换机、集线器以及接入信息点数量,如需进行以上变动,应向县政府办信息科提出申请,经批准后方可实施。
3、各联网单位要增强网络安全意识,严禁登陆浏览黄色网站(网页),禁止下载、使用存在安全隐患的软件,不得打开来历不明的电子邮件附件,不得随意使用计算机文件共享功能,防止计算机受到病毒的侵入。
4、工作时间禁止玩网游、下载电影及大型软件,以保证本单位网络速度。县政府办信息科将采取技术措施对互联网出入口的数据进行监控,对发现的问题将在全县范围内进行通报,并按照相关规定严肃处理。
5、政务网计算机使用单位和个人,都有保护政务网信息与网络安全的责任和义务,所有关于本单位网站、论坛、信息录入等密码要严格保密不得泄露,一旦泄露立即报政府办信息科进行密码修改。
6、各接入单位应当定期制作计算机信息系统备份,备份介质实行异地存放。对可能遭受的侵害和破坏,应当制定灾难防治预案。
7、要配备计算机系统补丁升级和病毒防治工具,定期进行系统补丁升级和病毒检查。使用新机、新盘及拷贝的软件、数据,上机前应进行系统补丁升级和病毒检查。
8、办工人员严禁下列操作行为:
(1)非法侵入他人计算机信息系统和联网设备操作系统;
(2)未经授权对他人计算机信息系统的功能进行删除、修改、增加和干扰,影响计算机信息系统正常运行;
(3)故意制作、传播计算机病毒等破坏程序;
(4)将非业务用计算机或网络擅自接入政务内网,将业务用计算机或网络接入互联网或其他非政府机关的网络;
(5)在政务网使用的计算机及网络设备在未采取安全隔离措施的情况下同时连接政务网和其它网络;
(6)将存有涉密信息的计算机擅自连接国际互联网或其他公共网络;
(7)擅自在政务网上开设与工作无关的网络服务;
(8)发布反动、淫秽色情等有害信息;
(9)擅自对政务网计算机信息系统和网络进行扫描;
(10)对信息安全事(案)件或重大安全隐患隐瞒不报;
(11)擅自修改计算机ip或mac地址。
9、在发生紧急事件时,为避免造成更大损失和影响,信息科有权或者要求有关部门采取以下措施:
(1)拆除可能影响安全或有安全隐患的设备或部件;
(2)隔离相关的终端、服务器或网络;
(3)关闭相关的终端、服务器或网络;
10、各节点单位要加强计算机病毒的防治工作,切实履行下列职责:
(1)建立本单位的计算机病毒防治管理制度;
(2)采取计算机病毒安全技术防治措施;
(3)对本单位节点微机使用人员进行计算机病毒防治教育和培训;
(4)使用具有计算机信息与系统安全专用产品销售许可证的网络安全产品,定期检测,做好杀毒软件的升级,清除计算机信息系统中的计算机病毒,并备有检测清除记录;
(5)禁止在政务网上使用来历不明、可能引发病毒传染的软件;对于来历不明的可能带有计算机病毒的软件应使用正版杀毒软件检查、杀毒。
第四篇:网络安全管理自查整改总结
李家小学网络安全管理自查整改总结
要做好教育技术工作,首要的前提依然是要狠抓常规管理。常规管理是一切工作的基础。本学校每月召开月例会,商讨工作、交流经验,探讨得失。为了使会议开得更有成效,更有针对性,我们每个月的会议均根据学校实际情况制订相关内容,如个人教研平台使用、教研协作组创立、集体备课的使用方法、电教设备使用与管理、电教课题等,培训的内容紧密契合学校实际,使教师学以致用,活学活用。
各室规章制度均上墙,相关设备定期检查,过期设备及时更换。各处室的管理均责任到人,从未发生过任何安全事故。在平时的管理中,我们采取了定期抽查与随机抽查相结合的方法,同时加强管理与服务工作,让专用教室负责老师感觉到管理与服务是齐头并进的,管理的同时加强了服务,不使老师产生对立情绪。
在网络安全方面,本我们继续放在十分重要的位置,通过教师大会、校园网络平台、小组交流、个别探讨等形式开展了多渠道、多形式的网络应用培训活动。对全校师生加强了网络安全与网络道德教育,使全体师生时刻紧绷网络安全这根弦不放松,在心里始终保持网络道德一份心不放松,全学期未发生一起网络安全事故。
第五篇:电子政务管理
名词解释:
1.电子政务:是指政府机构基于现代信息技术和互联网,将政府的内外管理、服务职能通过精简、优化、整合、重组后,打破时间、空间及条块分割的制约,为社会公众提供高效、优质、廉洁的一体化管理和服务。
2.办公自动化:是指在行政机关工作中,以计算机为中心,采用一系列现代化的办公设备和先进的通信技术,广泛、全面、迅速地收集、整理、加工、存储和使用信息,为科学管理和决策服务,从而达到提高行政效率的目的。
3.电子化公共服务:是指政府部门以公众为中心,通过应用现代通信技术和网络技术等信息技术,向公众提供全方位、全天候、高效高质的政府服务。
4.电子政务绩效评估:是指由专门的机构和人员依据大量的客观事实和数据,按照专门的规范、程序,遵循统一的标准和特定的指标体系,通过定量定性对比分析,运用科学的方法,对电子政务建设的投入、产出和效益所做出的客观、公正和准确的评判。
5.政务内网:是指政府机关内部的办公业务网,以政府各部门的局域网为基础,其上分别运行的是各类相对独立的政府管理应用系统,其服务对象是各级政府各部门领导和党务、政务工作人员。
是政府的内部办公业务信息网(Intranet),处理涉密信息,完成各项业务工作的分析、处理,公文办理、流转审批和运行本单位业务等工作,是一个内部局域网,一个完整的政府办公自动化环境。
6.政务外网:是政府的对外业务专网,主要承载的业务是各类纵向业务信息系统及跨部门的共享信息系统。
是政府对外服务的业务专网(Internet),是建立在公共通信平台之上,通过应用支撑平台与公共互联网实现接口,并与其他政府部门的外网实现安全的互联和信息交换。7.政务流程:是指政府在实施管理和提供服务时,为实现行政目标、履行行政职能所进行的,能够体现政务活动规律的一系列活动步骤的集合。
8.政务流程优化:就是运用现代管理学思想、经济学的市场机制原理和现代化信息技术,对政府部门的工作流程进行根本性的、彻底性的重新思考和重新设计,使部门的行为成本、政府的公共物品与支出、政府的服务质量、政府效能和效率都具有可量化的苛刻标准,最终达到政府行为、业务流程的戏剧性变化。
9.电子政务规划:是指政府机构和部门根据本地区、本部门的实际情况,明确电子政务建设的目标和优先级,并根据他们之间内在的逻辑关系,制定出实现目标的步骤与规范,以保证电子政务总体目标和阶段目标的顺利实现。
10.政府绩效:是指政府在社会经济管理活动中的结果、效益及其管理工作绩效、效能,是政府在行驶其功能、实现其意志过程中体现出来的管理能力,它包括了政治绩效、经济绩效、文化绩效、社会绩效等四个方面。
11.电子政务信息资源管理:就是以现代信息技术为工具,以统一的政府信息网站我支撑平台,对电子政府建设中所涉及的一切与信息交流、信息处理和信息服务有关的信息资源要素进行有效控制与组织的活动,它涉及信息设备、信息网络、信息人才、信息政策、政务信息等各类信息资源要素的管理。
1.一站式服务的问题和解决对策
答:问题:保密性,应用水平低,交互板块 对策:信息资源建设,网站建设
“一站式”服务的含义、特点、功能
电子政务的“一站式”服务:就是政府职能上网,即利用现代计算机和通信网络技术,在对传统政府的组织结构进行重组和流程再造的基础上,将政府部门的内部和外部的管理和服务的职能放到网络上完成。
一站式服务特点:
1、以网络为工具
2、以用户为中心
3、以应用为灵魂
4、以便民为目的 “一站式”服务功能:
1.提供政府网上服务:设置网上服务栏目,用于为民众提供各种查询、申请、交费、注册、申请许可等服务。
2.提供全面的政务信息:a、政府领导人的重要活动,政府工作的最新动态 b、民众到政府办理注册、登记等事项的有关信息 c、与政府工作相关的研究、支持机构的有关信息等 3.政府资源共享:各级政府通过政府网站,向大众提供政府所拥有的公用资料库信息资源。4.个性化的服务:a、个性化的服务资源搜索引擎b、网上服务个性化的过程服务 我国目前“一站式”服务存在问题及对策 ⑴服务内容贫乏,服务水平不高 ⑵政府网站的应用水平低 ⑶交互式服务功能欠缺 ⑷缺乏“一站式”服务 ⑸忽视网站的保密性和安全问题⑹ 全国性的政府门户网站建设落后 对策:
1)信息资源建设:增加切实可行的网上办公服务项目的比例;增加在线服务种类;丰富信息内容;适当增加适应企业和公民需要的服务 2)信息创新建设:及时更新网站内容;适当创新网站服务形式;完善动态信息发布的制度和流程;鼓励企业和公众更多地利用网站资源 3)统一政府门户建设:规范政府网站建设标准;加强政府网站资源的统筹规划;整合利用地方政府门户网站源;加强电子商务与电子政务的联系;尽快建立一套相对科学、全面的电子政务信息网站综合测评指标体系;形成政策导向,推进电子政务信息网站的建设和发展 2.实施电子政务的意义作用27 答:1.增强政府监管力度,维护市场经济秩序 2.整合决策依据,实现决策支持
3.实施信息发布,提供丰富信息 4.加强沟通互动,有利服务公众
5.降低行政成本,提高办公效率 6.发挥主导作用,带动国家信息化建设 试论实施电子政务的意义。
答:①提高政府工作效率:电子和网络手段的使用能够扩展政府管理的空间和资源;政府的职能通过网络的整合可以做到“一站式服务”;政府机构通过网站向社会提供7*24小时的服务;政府相关部门共享信息数据库;网络远程会议、电子文件交换等技术的应用使得的政府议事程序、决策方法产生了根本性改观;政府信息可以在组织内部由更多的人来分享。②提高政府决策水平:提高决策的民主化和科学化的程度;减少决策的盲目性;提高决策的时效性;加快信息反馈速度。
③促进政府职能转变:改善政府形象;提供高水平的公共服务;大大提高政府服务能力:在线服务、信息服务、指导性服务。
④降低政府管理与服务成本:节省会议、文字处理费用;精简机构;大大降低政府之间的合作费用;节省公众和企业的办公费用;降低个人和组织获取政府信息服务的费用。
⑤强化对政府管理的监督,推进廉政建设:信息公开,透明;双向互动交流。
⑥推动经济与社会信息化进程:国家竞争力;企业信息化;个人信息意识和信息技能 3.我国电子政务存在问题及发展方向 目前电子政务存在的问题
(1)观念守旧和业务流程低效的问题;(2)浪费资源和不切实际;(3)缺乏近期计划和长远规划;(4)安全与保密问题。2)促进电子政务发展的措施
(1)建立新的政府工作流程,更新政府工作人员观念;(2)建立电子政务信息资源的管理机构;(3)建立电子政务信息资源应用系统;(4)制定统一的电子政务标准;(5)制定政府信息公开法。
4.电子政务安全保障的重要性44 答:一方面,建立完善的电子政务安全保障体系不仅能够保证保密信息在传输中的安全,而且能够保证电子政务系统涉及的各种敏感信息在传输中不被窃听、篡改或损失,也能够保证政务信息访问的可控性,即只有被授权的、安全级别与数据机密性要求一致的用户才被允许访问相应的数据; 另一方面,建立完善的电子政务安全保障体系有助于维护电子政府的良好形象。通过外网门户网站树立政府的良好形象是发展电子政务的一项主要任务,但如果电子政务系统经常遭到攻击和破坏,基本的安全都得不到保障,形象问题也就不知从何说起。5.电子政府环境下政府管理模式的变化(了解)67 答:政府管理模式的变革:
政府权力体系的重建;政府组织结构的调整; 政府管理方式变革;政府公务人员的素质提升。
政府管理模式的特征:
信息化,集成化,敏捷化,数字化,虚拟化,知识化,规范化,人本化,全球化 6.有效地对电子化公务处理系统实施,政府要有哪些先决条件113 答:具备网络通信能力,具备强大的文档处理能力 拥有多种信息共享方式及具有强大的信息共享能力
支持协同工作和移动办公,对数据实施有效的安全保障措施 7.建设网上审批系统的意义129 答:第一,实现审批服务运行的规范化第二,提高审批过程的透明化
第三,全面提高审批效率第四,便于监督管理,有效防止腐败 8.电子化公共服务与电子政务之间的关系139 答:相同点:
首先,两者基本目标相同,都是改革公共服务 其次,两者核心理念相同,为公众服务 区别:
从应用范畴来看,电子政务是政府行政的范畴,电子化公共服务是公共服务的范畴,是电子政务的一部分。
从职能的角度看,电子政务包括政府管理、社会监督、经济调节、公共服务等职能,电子化公共服务仅指公共服务职能。
9.电子化公共服务的功能要求147 答:以公众为中心,提供针对性服务
惠及所有人,缩小“数字鸿沟”
政府与企业开展积极合作,实现资源的最优配置 10.政府门户网站的功能定位151(论述)答:政务信息公开在线办事公众参与 11.政务流程的功能169(简答)
答:提高政府管理和服务的标准化、规范化和高效化 规范政府行为,保证政府行为的合法性、公正性
12.传统政务流程的缺陷(简答)171:层级制,层层上报 答:成本高、反应迟钝 滋生官僚主义
局部效率牺牲整体效率 压抑人的创造性 横向协调困难 资源闲置和重复劳动 13.电子政务绩效评估的必要性191 答:电子政务绩效评估是维护国家安全和利益的需要
电子政务绩效评估是国家经济政治特色发展的需要
电子政务绩效评估是促使政府出台合理的发展战略和对策的需要 电子政务绩效评估是政府电子政务投资决策和规划的需要 导致政府绩效评估也是相关产业发展的需要 14.电子政务绩效评估的价值193 答:开展电子政务绩效评估有利于提高政府信誉和形象
开展电子政务绩效评估有助于提高正在建立中的电子政府工程的绩效 开展电子政务绩效评估对相关微观主体有较强的指导意义 开展电子政务绩效评估有利于推进我国政治体制改革 15.电子政务绩效评估的制约因素194 答:电子政务的高风险限制了建设的进展,绩效评估发展受阻
“数字鸿沟”问题严峻,绩效评估发展不平衡
政府的绩效评估尚待启动或完善,电子政务的绩效评估基础薄弱 缺乏有效的电子政务绩效评估方法,绩效评估无法有效开展 获得电子政务绩效评估资料比较困难,绩效评估难以开展 16.政务流程的类型(多选)
答:工作行为的性质:立法性流程,执法性流程,司法性流程
法定效用:强制性流程,选择性流程 效力范围:内部流程,外部流程
流程的精细程度:一般流程,工作流程,动作流程
工作内容的性质:文件流程,档案流程,会议流程,采购流程,信访流程 流程步骤的时序关系:串联型流程,并联型流程,复合型流程 流程的复杂程度:基础作业流程。综合作业流程 流程的时间紧迫性:常规流程,危机处理流程 17.电子政务的核心:以公众需求为中心(判断)18.电子政务就是政务上网(×)19.政府公共服务两大类:企业、个人 20.什么是一站通(选)
一站式电子政务:是电子政务的重要组成部分,是指通过利用网络技术、整合公共部门的信息资源、实现跨部门的网络化协同办公等措施建设来构筑一个“虚拟政府”,从而使公众能够随时随地获取各类公共服务。21.电子化公共服务内容(多选)答:(1)服务对象分:
电子化企业服务(G2B)电子化公众服务(G2C):
电子身份认证,电子化就业服务,电子化旅游服务,电子社会保障,电子化教育和培训服务,电子化医疗服务。电子化民主建设服务,电子化交通服务,(2)服务性质分: 信息服务 个性化服务 沟通服务 交易服务
22.中国电子政务发展趋势:服务型(选/判)23.数字鸿沟:信息不对称 数字鸿沟:指不同主体在当代信息技术领域存在差距的现象,存在于信息技术的开发领域和应用领域,特别是指由于网络技术产生的差距。
信息孤岛:指的是网络之间的信息交流少,共享率低,整个网络的使用效益低,服务面窄,专用性强,保密要求高,不能满足服务公众的需要。
24.电子政务的基本内容有哪些? 答:(1)网上信息发布;(2)部门内部办公自动化;
(3)实现网上交互式办公;(4)各个政府部门资源共享、协同工作。25.政府部门内部的电子政务主要包括哪些内容。答:(1)电子政策法规;(2)电子公文流转;(3)电子财务管理;(4)电子办公;(5)电子培训;(6)公务员业绩评价 26.
点击咨询 