【正文】 提高計算機安全性能。信息的安全性是安全策略的基礎，它涉及到信息的安全搜羅、信息的安全放存、信息的安全共享等。這需要政府部門的大力配合，相關的律法、規(guī)則應明文規(guī)定合法用戶的戶組劃撥、數據存取的權限問題，進而形成一個融軟件、硬件、員工于一體的管理控制體系，對整個計算機環(huán)境實行一致性的管理。政府部門除了應該掌握先進的安全技術之外，還應該將完善的安全管理體制提上日程。我們平時的工作需要專門的管理與維護機構、人員，例如，合法用戶的登陸權限和身份定義、內部系統(tǒng)的配備和保養(yǎng)、審計日志的分類和存儲管理等，無疑將會增加工作的難度，擁有一大批受過專業(yè)培訓的管理人員，就如同注入一股新鮮的血液，活力四射。應用級安全策略針對于電子政務內部網絡注冊用戶的數據的合法選取和合法保存，21 / 60所有這些活動的實現是在電子政務的應用平臺上。應用平臺系統(tǒng)復雜多樣，SSL 技術的采用主要是為了加強平臺的安全性能，它建立于數據庫服務器、網址服務器、電子郵件服務器、信息傳輸服務器等多種應用軟件服務之上，攔截各種非法用戶的侵入，保證了網絡的安全。應用級的安全控制的策略內容包括以下九點:（1）攻擊監(jiān)控問題。非法使用者的絕大多數攻擊可以檢測出來，采用簡記攻擊的過程法、阻斷網絡的連接法、追蹤攻擊源法等，在一定的網絡段、一定的攻擊監(jiān)測系統(tǒng)內部就可以破解攻擊。（2）加密通訊的內容。攻擊者雖然可以輕而易舉地竊聽機密、篡改米干的信息，但是，通訊設備一旦經過人為的主動加密，攻擊者將會束手無策。（3）相關訪問控制。一般而言，非法用戶還沒有完全靠近攻擊目標。就會被發(fā)現，扼殺在特定的網絡段、固定的登陸控制端口，服務系統(tǒng)失去作用。（4）檢查安全的漏洞。漏洞的周期性檢查使得其修復狀態(tài)保持良好，萬一黑客的攻擊到達了目標，它也有能力粉碎攻擊，維護網絡安全。（5）內部信息的隱藏，內部信息以隱形的形式存在，攻擊者很難對系統(tǒng)內部的內容一目了然，增加了攻擊難度。（6）多層次的防御，設置多層防御體系，一旦入侵者突破了第一道保護層之后，其它保護層將合力拖延其攻擊的時間，進而徹底阻斷入侵者的攻擊。 （7）安全監(jiān)測中心的設立，及時使安全體系的監(jiān)管、防御、管理和應急服務各司其職，保證了信息系統(tǒng)的絕對安全。 （8）認證體系。主要是防止非法用戶冒充合法用戶來破壞系統(tǒng)，認證體系的完善就可以降低攻擊率。（9）關于備份和恢復問題。攻擊雖然可以最終解除，但是難免也有阻擋不了的，這就必然涉及到備份和恢復問題，它們可以將原始資料調出數據庫，逐一恢復被破壞數據和系統(tǒng)服務，彌補損失。主機的數據庫系統(tǒng)和 UNIX 操作系統(tǒng)的安全性能都很高，一些非法用戶根本無法打破其設定的權限，但是，在 UNIX 操作系統(tǒng)上因為人為程序的漏洞編制、管理水平較差，系統(tǒng)還是避免不了安全隱患的困擾。因此，就必然有應對措施：1) 有關口令的管理口令管理是網絡安全的先決條件，因為絕大多數非法用戶的最常見侵入途徑是破解合法用戶的口令，然后乘勝而入。2) 用戶帳號的必要管理22 / 60每個用戶的 UID 都對應著一個唯一的賬號，公用賬號的時代早已過去，一旦用戶對某些賬號放棄使用權或者暫時性擱淺，就應該做好賬號的封閉工作，并適時賬號的檢查工作，因為你雖然沒有繼續(xù)賬號的相關服務工作，但是并不能排除黑客對賬號的攻擊問題。3) 信息服務器的安全措施實施網絡服務器本身的安全設置工作是保證其它安全工作順利進行的基礎，網絡管理人員必須檢測好信息服務器本身的安全問題，網絡信息服務器的管理員要謹小慎微，隨時洞察網絡版本的更新換代，為了堵上網咯系外網的防護的漏洞，就采用最新版本，比如配置在 WWW 信息服務器之上的安全設置。4) 系統(tǒng)的高效可用性應用系統(tǒng)中，業(yè)務十分繁忙，分分秒秒都得鼓足干勁，高效優(yōu)質服務，完全如同一場戰(zhàn)役一樣，很難中途折返，因此，系統(tǒng)的高效、能利用性要求非常嚴格，幾乎不能出現失誤性的損失。冗余技術現在是高效可用性的運用原理，冗余主要有網絡系統(tǒng)的數據冗余、硬件冗余、軟件冗余，當其中的某一個冗余環(huán)節(jié)發(fā)生突然的癱瘓狀態(tài)后，其它的冗余部件會通力合作，保證系統(tǒng)所需的服務的。通過以上幾點，相信網絡管理人員會吸取不少教訓，在平時的工作中提高警惕，不斷克服困難，必將為降低系統(tǒng)的風險率作出很大的貢獻。網絡軟件和網絡協(xié)議牽涉到網絡的安全、網絡的訪問，最常見的協(xié)議為 TCP/IP 協(xié)議，只可惜該協(xié)議的安全控制性能十分微弱，鑒于此不足之處，網絡協(xié)議系統(tǒng)從以下幾方面技術嘗試著彌補：（1），拒絕外網的攻擊動向，將因特網和電子政務網絡分別對待。（2） ），電子政務網絡和因特網、外網與內網之間相互獨立，關鍵服務器只能服務于特殊通訊段、協(xié)議層。（3），遠程控制非法使用者的撥號方式，設置加密權限不斷地控制。（4）網絡通訊的加密，目的僅僅是使線路的盜取、偷聽難以得逞。（5），使網絡的單機和網絡的服務安全可靠。23 / 60 安全目標分析電子政務計算機網絡的安全策略 [24]相當復雜，它不但要評估各項安全工作，更要做到風險與安全的相對平衡，從而使投資達到最合理的狀態(tài)。安全策略要實現安全目標的安全模型、等級的建立，必須要承擔各種形式的風險可能，包括信息的傳送、內外網的對接等過程中可能發(fā)生的計算機內網業(yè)務需求信息的散失、政府部門交換業(yè)務信息的泄露、社會公共服務信息的丟失等風險，只有綜合評估了這些安全隱患問題，才能制定合理的安全防御策略，完成相應的安全目標。具體的一些安全目標有:1) 強化物理安全的防護工作，防止電磁信息輻射泄漏。2) 加密保護一些機密的信息資源，增強保護強度。用高強度的加密設備將網絡各相關節(jié)點的信息溝通、聯接、交換，發(fā)揮自動密鑰的管理功能并自動更換最新產品，打通個廣域網的線路。3) 用戶的鑒別、用戶的授權、用戶的應用安全系統(tǒng)是計算機的應用系統(tǒng)，基于統(tǒng)一的平臺、PKI 技術，服務于用戶身份的鑒別、用戶的數據保護、用戶的數據資源的完整等。4) 要將各個網絡分離，將非信任區(qū)域段分域管理。5) 實現不同級別的訪問控制。各節(jié)點的網絡控制包括粗粒度訪問、細粒度訪問控制，前者適合網絡主機地址的服務，后者適于網絡用戶文件的服務。6) 審計的監(jiān)控、網絡的安全問題分析等技術手段運用在系統(tǒng)的安全強度、管理的強化安全方面。7) 一整套完整合理的預防病毒體系應該是網絡病毒軟件與單機防病毒軟件的高度契合。8) 為了使得系統(tǒng)獲得相當快的恢復性能，必須要確保數據的強化、備份系統(tǒng)的改進。9) 加強工作人員淡薄的安全意識，提高核心人員的技術防范能力，改革管理制度，完善管理機構。 小結網絡安全的風險、安全的需求、安全的控制策略分析等是該章的主要內容，從而提供了較為完善的電子政務網絡的信息安全的保障依據。24 / 60第 4 章　電子政務網絡系統(tǒng)的安全設計本章從加密的通信、物理的安全、數據的保護、病毒的防護、安全的管理等方面入手，合理利用電子政務網絡安全的設計原理，提出不同的網絡安全解決方案，并分類研究各種設計方法。 安全系統(tǒng)的設計原則安全系統(tǒng)綜合性的原則包括網絡系統(tǒng)的安全措施原則、應用系統(tǒng)的方法觀點原則。一個個硬件、軟件、數據、個人、團體的計算機網絡系統(tǒng)，一個個被廣為利用的安全措施的價值只有透過系統(tǒng)的整體綜合視角才能被看出來。比如安全措施：密碼專業(yè)措施、非高輻射專業(yè)措施、非低質量產品專業(yè)措施、數據存取專業(yè)措施、技術鑒別專業(yè)措施、數據控制專業(yè)措施等；人員審核管理制度、保障管理制度、工作流程管理制度等；法律手段、行政手段等，必須遵循綜合性的原則和特定的安全策略，制定出安全網絡體系結構。所謂一致性原則即是網絡安全與工作周期的一致，是安全體系結構與安全需求的一致。對于任何一個網絡系統(tǒng)，其不同的設計和相應的實施規(guī)劃、實施效果、網絡體驗、網絡運行都是一致的，因為最終的目的都是為了安全性考慮。網絡的任務研究、結構研究、性能研究、可靠度研究等工作都在網絡系統(tǒng)安裝前就已經形成了造價比，因為是有目的的計劃，所以花費少、任務完成容易、風險小、威脅度低，系統(tǒng)的規(guī)范措施實施起來也如如魚得水，安全策略穩(wěn)操勝券。安全措施必須做到兩點，其一：措施的復雜性要在人的應對能力之內；其二：措施要保證正常系統(tǒng)的運行。多步驟保護系統(tǒng)是就網絡系統(tǒng)不可避免的脆弱性、網絡龐大支出費用而提出的。25 / 60近年來，網絡規(guī)模不斷擴大，網絡系統(tǒng)應用質量要求的呼聲不斷高漲，網絡的地域范圍不斷擴展，絕對的網絡安全已經明顯地力不從心，分層防護安全措施應運而生，層層防護，即使第一層被破壞掉了，還有第二層，第三層，第四層……這樣層層設壘，相互協(xié)助互補，勢必會加強對信息安全的保護，節(jié)省下一筆相當可觀的網絡安全修復費用。網絡安全永遠是一個整體，動態(tài)地存在于人們生活的方方面面，網絡安全的設計評估、網絡的安全驗證、網絡的安全實施直接需要國家相關專業(yè)網的安全測評、安全認證、安全定制。網絡安全的整體性的建立是相應的安全設備（非單一的設備，而是多樣化設備的綜合）和管理手段的結合，它一定意義上就是一個安全的系統(tǒng)。但是這個網絡系統(tǒng)的安全性能極不穩(wěn)定，它所處的環(huán)境改變了，原先較為安全的系統(tǒng)就一下子變得難以安全了，哪怕僅僅是一個零件機器的更換；它所在的時間改變了，原來安全的系統(tǒng)頃刻間瓦解，危機四伏，就算是一兩秒鐘的時間，只要非法用戶攻破了安全防線，找出系統(tǒng)漏洞的準確位置，安全與危險就在一念之間。由此看來，網絡的安全系統(tǒng)是動態(tài)變化的，誰都很難百分百地保證它永遠的安全，所以，要以發(fā)展的眼光看待網絡的安全問題。 “規(guī)劃的統(tǒng)一性、實施的分步性”原則對于安全體系的特征而言，再合適不過，具體步驟可以有以下幾點：第一：網絡安全體系的規(guī)劃工作要保證全面完善。第二：基礎的安全防護體系是關鍵，只有打好了根基，保證了最基本的、最不可或缺的安全，才能具體展開原先制定的網路安全體系規(guī)劃，投入到實際的應用之中。第三：在基礎防護體系之上再增設其它的安全防護體系，不斷適應應用種類的繁蕪、應用系統(tǒng)的復雜程度。以上四點原則沒有孰輕孰重之分，它們在建立電子政務網絡安全體系方面各司其職，隨著安全措施的需求變化、網絡性能的隨機改變，不斷適應著、轉換著、修改著、提高著。這四點原則一般遵循著兩點發(fā)揮作用：其一，在網絡的整體安全規(guī)劃中，它們相互配合、相互協(xié)調、相互融合。其二， “防護—檢測—響應”的基礎安全防護體系不違背上面的整體安全防護體系，這是基于具體情況具體對待原理，將一個又一個基礎防護工作做好了，整體網絡防護工作自然就做好了，從而保證了應用系統(tǒng)的高度安全。26 / 60 安全方案的類型網絡系統(tǒng)的整體性是通過網絡安全的策略要求、方案設計、風險結果的分析、安全目標的設計原則實現的，只有如此，才能全面了解網絡的系統(tǒng)組成、網絡的安全措施結構，以下幾個方面構成了安全的控制系統(tǒng)。計算機設備的物理安全是計算機系統(tǒng)安全的前提條件，物理安全的職能包括：保護計算機網絡設備的安全、確保計算機設施的完善、保護相關網絡媒介的免遭危害（比如地震、閃電打雷、火災等的危害） 、防止操作失誤、減少操作錯誤、杜絕網絡犯罪等。主要是由三個方面體現的：? 環(huán)境安全方面:對系統(tǒng)環(huán)境的保護著眼于區(qū)域、災難保護兩點上。參考依據有國標和政府部門非程式化標準，國標最常見的是：國標 GB288789《計算站場地技術條件》 、國標 61350 17393《電子計算機機房設計規(guī)范》 、國標GB9361――88《計算站場地安全要求》 。? 設備安全方面:即設備的拒盜性、設備的防毀性、設備的抗電磁信息輻射破壞性、設備的電源保護性、設備的線路安全性等。? 媒體安全方面:媒體自身運轉安全、媒體機密數據安全信息網絡系統(tǒng)的物理安全在網絡的策劃、空間、場域、環(huán)境之中顯得尤為重要，這對政府部門興建信息中心時必將成為首要設置的條件。現實生活中，電磁輻射破壞網絡信息，導致信息被半路攔截，泄露了機密的事故比比皆是，通常認為，這是由于黑客利用高端科技在百米甚至千米的范圍之外對系統(tǒng)原有的顯示技術進行復原處理竊取了信息，令人擔憂的是，此種技術竟然符合理論和技術實踐。為了信息資源在空間上的安全傳輸，物理措施及環(huán)保又安全，不僅能做到干擾空間流動信號的真實性，甚至在一定程度上將信號的真實度放小到很低的很低。政府部門想要興建信息中心，信息的防空間擴散性不容小覷。防范措施主要體現在三個方面:（1）主機房、核心信息的存儲、發(fā)送接收部門的防范。必須需要一個屏蔽室，裝置關鍵設備，使泄露一些的磁鼓、磁帶、輻射信息難以成真，屏蔽過程中，各種隔離技術和隔離設施（如空調、通風、波導、信號線、消防控制線等）被引進來，這樣，屏蔽室與外網之間各項聯接的安全性能將大大增加。（2）本地網、域網傳輸線路輻射疏導的防范。大多復制出來的設備采用光纜傳輸進行室外屏蔽工作，一般的切口轉換為光電技術，這樣或許能防止電纜輻射信息的傳27 / 60送。（3）終端設備輻射的防范。終端設備的干擾設備主要有主動式設備、窗子的裝飾性屏蔽，這樣不僅可以防止對信息的破壞，也可以很好地改善工作的環(huán)境情況，使得最常見的機房也舒適無比，但是有一點需要提出來，那就是設備的屏蔽的功能并沒有想象中的好。終端機的 CRT 顯示器，在成千上萬高壓伏的作用下，又由于終端分散的難以聚攏，信號外露事故經常出現，因此，屏蔽技術被引了進來，且設備的購買上以低輻射為標準。1) 網絡結構系統(tǒng)的安全主要包括網絡的拓撲、網絡的線路及路由是否合理與冗余，盡量做到非雙點的成功。電子政務的網絡結構設計采用防火墻和 VLAN 技術對不同域網之間、域網內部進行有效的隔離、劃分，同時引入非靜態(tài)路由技術，將高效可用性和均衡承載技術嵌入各個重要關口，切實提高了網絡的自身可靠性 。