全网互联互通环境下安全保密的实现考虑.docVIP

全网互联互通环境下安全保密的实现考虑 　　摘 要 随着党政信息化发展不断加快，大量的用户、业务依赖网络化环境开展，业务跨部门延伸、信息跨部门流转和共享的需求越来越突出，这对安全保密提出了更高的要求。然而，和安全保密的高要求形成对比的是，大量安全保密相关技术手段还停留在以保为主的初级阶段，安全保密新要求和安全保密技术不足的矛盾，导致“有网不敢连，有密不敢上”的现象比比皆是：网络平台建成了，实际单位接入不积极、业务上网不积极，尤其是最需要信息化手段支撑的跨部门信息流转和业务协同，也由于安全保密的制约无法开展，导致业务严重碎片化，不能形成完整的业务链，业务应用效能低下，信息化整体效益不够的弊端日益突出。本文从信息化全网互联互通、全程信息共享和业务协同对安全保密的需求出发，提出以真正全网化的网络信任服务为基础，彻底解决网络层、信息层和业务层互联互通和安全保密的矛盾，使安全保密不仅不能阻碍信息化发展，而是可以真正发挥为信息化保驾护航的作用。 　　【关键词】党政信息化 网络平台 　　1 业务互联互通：安全保密面临的新挑战 　　安全保密是党政信息化的重要要求之一。党政信息化系统根据所处网络、所承载的信息敏感程度不同，需要按照等级保护和分级保护要求进行保护。在信息化发展过程中，安全保密手段也从防火墙、入侵检测等被动安全防御发展到以PKI等密码技术为主的主动安全，为信息化发展发挥了大量重要作用。 　　然而，随着业务需求的不断发展，党政信息化正面临着从各自为政向全程全网的重要变革。传统以部门局域网、以区域、行业为对象的信息化建设模式，人为割裂了跨部门、跨区域和跨行业的政务业务链，导致信息化发展内外严重不平衡，部门“出不去、进不来”的现象越来越严重，信息孤岛、业务孤岛由此而生。 　　在传统的信息化建设模式下，网络、信息系统都有明确的边界，因而安全保密的重点就是“内部保护”和“外部隔离”。 　　当以“互联互通、信息共享和业务协同”为主要需求的全程全网信息化需求迅速发展时，以“保”为主动的安全保密在保证了局部安全的同时，也成为了阻碍互联互通的又一个孤岛――安全孤岛。而改变这种局面，需要改变安全保密局部防御的思路，建立全网安全保密支撑和服务体系，在确保安全保密的同时，更要发挥为业务全程全网保驾护航的作用。 　　2 网络信任体系：全网安全保密的技术基础 　　以PKI技术、现代密码技术，是建立大规模网络环境下实体信任的基础。然而，要建立全网安全保密的支撑和服务体系，必须打破部门之间、区域之间、行业之间的信任孤岛，真正实现面向全网的网络信任体系。 　　全网网络信任体系是建立几个全网统一之上的： 　　2.1 是全网统一的网络资源管理 　　这是网络信任体系建立网络实体信任关系的管理基础，也是实体信任关系的信任源点，凡是需要信任的网络对象，包括机构、用户、应用资源等，都需要通过网络资源管理的注册、审核、登记，建立起和物理世界实体的信任关系，确保物理世界和网络世界的一一对应。 　　2.2 是全网统一的身份认证服务 　　这是网络实体的行为基础，所有访问行为、服务行为等都依赖其背后的身份可信。所以统一身份认证服务必须在网络层实现，在用户上网、应用上线的环节上能够鉴别用户、设备、系统的身份，并为每个需要进行身份确认的环节提供身份证明服务，身份认证、身份证明服务以全网为服务范围。 　　2.3 是统一授权和权限服务 　　这是确保网络行为有序、信息和应用资源受控访问的基础。统一授权服务，可以在全网范围内实现实体和被访问资源之间的权限关系，而统一权限服务是确保这种权限关系全网有效，各相关资源保护点可以基于统一授权和权限服务，实现严格的访问控制。 　　2.4 是统一的证据保留和责任认定 　　这是确保安全保密管理和事后责任追溯的基础。在发生安全保密事故时，迅速确定事故发生地点、通过对行为证据的的综合分析，可以在全网范围内判定责任人和责任范围。 　　网络信任体系的四个统一，使得安全保密具有了统一的管理和服务基础，基于统一网络信任体系，从网络、信息、业务三个层面可以实现全网全网的安全保密。 　　3 网络层安全保密：网络互联和边界隔离保护 　　互联互通首先是网络层的互联互通。和国际互联网扁平化结构不同，还是党政系统的网络平台，由于分层管理、分域保护的要求，其基本管理单元是以部门网络构成的安全域，大量安全域根据行政机构实现横向、纵向互联，形成大型复杂网络。网络层安全保密必须确保网络安全互联的同时，又确保网络互联边界的有效隔离保护，网络边界隔离保护是网络整体安全的基础。 　　互联互通条件下的网络边界隔离保护解决方案是基于网络信任体系的统一身份认证、统一授权和权限服务实现的，通过对网络边界部署网络访问控制安全网关设备，形成安全域保护边界，对所有试图访问网络