行政网络系统安全设计.doc

系统安全设计 指导原则 政府网络安全体系的建立，应以政府网络信息安全要求为核心依据，根据政府网络信息处理的特点，针对整个系统中各种信息的关键性及敏感程度合理评价其安全级别，综合进行系统安全风险分析和系统脆弱点分析，全面确定系统的安全策略，建立一套完整的安全控制体系与保障体系。 在政府网络安全风险评估和体系设计中，既不能夸大风险，造成安全保障成本的提高和过多的网络服务限制，也不能忽视威胁，造成不可弥补的损失。这就要求我们的设计方案要切实可行，要在这两者之间寻求平衡。 网络安全风险分析 系统的可靠运转是基于网络通讯、计算机硬件和操作系统及各应用软件等各方面、各层次的良好运行。因此，它的风险将来自对单位的各个关键点可能造成的威胁，这些威胁可能造成总体功能的失效。 安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则，减少保密信息的介入范围，尽力消除使用者为使用资源不得不信任他人或被他人信任的问题，建立起完整的安全控制体系和保证体系。 安全策略 安全策略分安全管理策略和安全技术实施策略两个方面； 管理策略 安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。 技术策略 技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。考虑到的业务特点，主要应该从以下几个方面来实现其技术安全策略。 计算机网络安全措施 由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现，各个层的功能特性和安全特性也不同，因而其网络安全措施也不相同。 物理层安全涉及传输介质的安全特性，抗干扰、防窃听将是物理层安全措施制定的重点。 在链路层，通过“桥”这一互连设备的监视和控用，使我们可以建立一定程度的虚拟局域网，对物理和逻辑网段进行有效的分割和隔离，消除不同安全级别逻辑网段间的窃听可能。 在网络层，可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信，通过对主机路由表的控制来控制与之直接通信的节点。同时，利用网关的安全控制能力，可以限制节点的通信、应用服务，并加强外部用户识别和验证能力。对网络进行级别划分与控制，网络级别的划分大致包括Internet/网、区域网/部门网等，其中Internet/网的接口要采用专用防火墙，区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制，也可以大大提高安全保密性。 操作系统安全措施 服务器系统安全 操作系统安全控制策略主要是利用用户识别和认证、存取控制和监控审查机制增强保密性。采用各种软硬件备份机制来增加系统的可靠性。 在一定规模的网络环境中，没有对网络和系统的集中管理，安全性的实施和管理几乎是不可能的。因此，需要利用服务器操作系统的集中域管理、目录服务功能等，来集中管理用户的认证和对资源的授权。 总之，我们要充分开发服务器操作系统的安全功能，并对其薄弱环节进行分析，自行开发或引进新软件增强其安全控制能力。 客户机系统安全 客户机的操作系统多属单用户操作系统，安全控制保密能力较弱，可以采用的管理手段和技术措施有：加强用户责任意识，例如在短暂的离开计算机操纵台之前先退出网络退出系统或键盘锁定，等等；设置系统登录口令，设置屏幕保护口令，认真保存存储介质和打印输出。 信息系统安全措施 随着系统内部个人与个人之间、各部门之间、以及与外部相关单位和之间的信息交流的增多，信息传输的安全性成为一个重要的问题。尽管个人、部门和整个单位都已认识到信息的宝贵价值和私有性，但实际情况迫使机构打破原有的界限，在单位内部或单位之间共享更多的信息，只有这样才能缩短处理问题的时间，并在相互协作的环境中孕育出更多的革新和创造。然而，在共享的信息却必须保证其安全性，以防止有意无意的破坏。 规定对服务器的访问和联结权限；规定客户端访问和操作的权限；外来邮件的进入和执行可以得到控制；更重要的是，信息是以数据库的形式存放，其安全性大大超过了文件系统。 物理实体安全管理措施 物理实体的安全管理现已有大量标准和规范，如GB9361-88《计算机场地安全要求》、GFB2887-88《计算机场地技术条件》等。 当计算机网络系统由于不可抗拒力而一旦发生灾难后，后果非常严重，灾难恢复计划可以从以下几个方面考虑： 1、经常地、不失时机地作系统备份，并保证备份的良好保存。 2、在网络系统中建立多个后备服务器，一旦某服务发生灾难，可启动后备服务器。 3、网络上某节点发生故障时，广播通知各节点进行相应紧急处理。 4、另外，尽量采用一些产品的网络备份、磁盘镜象以及热切换功能。 病毒防范措施 在一个网络计算环境中，病毒一般是通过磁盘、网络、电子邮件或Inter