浅谈安全域划分与政务外网应用系统安全建设.pdfVIP

优秀论文 浅谈安全域划分与政务外网 应用系统安全建设 何黎明江西省信息中心 【摘要】 分析了政务外网应用系统存在的安全问题，提出了政务外网应用系统的安全域划分方法， 并结合案例对基于安全域的政务外网应用系统安全防护体系进行了详细阐述。 【关键词】安全域等级保护政务外网 政务外网是政府发布公开信息的网络平台， (包括主机操作系统、web服务器、中间件、应 是提高机关工作效率和公共服务水平、推进行政 用软件、数据库)尚未经过有资质的第三方安全 管理体制改革的重要保障。政务网络也面临安全 检测评估，风险级别未知。 威胁，如政府门户被黑、大规模蠕虫传播、政府 要解决目前存在的安全风险，对政务外网信 信息泄密等恶性事件仍然时有发生，安全问题亟 息系统进行安全域的划分是解决以上问题的最佳 待解决。近两年来，国家不断出台和更新了一系 方案之一。安全域划分是对系统实施分级安全保 列涉及计算机信息安全等级保护和分级保护的法 护的前提条件。通过划分安全域，明确网络边界， 律法规，各职能部门也在其业务网和互联网上采 结合等级保护的要求，确定各安全域的保护等级， 取了多种安全措施，电子政务外网安全建设有了 并部署相应的安全手段，形成清晰、简洁、稳定 一定的基础。 的系统安全架构，实现各系统之间严格访问控制 的安全互联，解决复杂系统的安全问题。 一、目前存在的安全问题 二、安全域 政务外网中应用系统存在的安全问题主要表 现在以下几个方面： (一)安全域概念 (1)网络边界不够清晰。业务应用系统之间 安全域是指在安全策略的统一指导下，根据 没有进行有效隔离和访问控制，网络之间彼此可 各套系统的工作属性、组成设备、所携带的信息 以互相访问，局部单个系统中的安全问题极易扩 性质、使用主体、安全目标等，将信息系统划分 散到其他乃至整个网络系统中。 成不同的域，将不同系统中具有相近安全属性的 (2)来自缺省配置的安全威胁。在建设IT系组成部分归纳在同级或者同一域中。一个安全域 统时，大量的操作系统、数据库等系统很多都采 内可进一步被划分为安全子域，安全子域也可继 用缺省配置，造成开放不必要的端口等安全隐患。 续依次细化。 (3)终端接人缺乏有效的控制手段，无法对 (二)安全域期分原则 其身份进行准确认证。另外，由于管理不规范导 1．分区域保护原则 致各支撑系统之间的终端混用，也带来病毒泛滥 对一个机构来说，本单位各业务的重要程度 的潜在威胁。 应能很方便地进行区分。信息系统的建设应根据 (4)系统尚未风险评估。已上线运行的系统各业务的不同重要性，划分多个具有不同安全保 第三届全国信息安全等级保护技术大会论文集 护等级的安全域，实现不同强度的安全保护。 理了政务外网中各个应用系统服务对象，重新对 2．重点保护原则 各类应用系统进行分类分级保护。 在分区域保护原则基础上，对于其中某些应 根据实际应用业务需求的不同，我们将政务 用由于其处理、存储或传输的信息性质，或者由 业务应用系统划分为三大类，相应划分三个安全 于其对机构完成任务使命非常关键，应得到重点 域，每个安全域里面可细分为若干子安全域，具 的保护。应集中资源首先确保重点应用安全，安 体如下： 全需求高安全域的重要应