电子政务内网用户安全隔离方案

电子政务内网用户安全隔离 随着网络的普及和发展，电子政务已成为我国信息技术推广使用的一个新热点。政府各部门担负着管理国家事务的重任，在各个方面代表着国家形象，政府的信息资源涉及大量国家机密信息，即使公开发布的信息也有一个如何保证信息正确及完整性的问题。因此，信息安全是电子政务顺利实施的基础和根本保障。 一、电子政务的任务和特点 电子政务就是政府机构运用现代计算机技术和网络技术，将其管理和服务的职能转移到网络上完成，同时实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，向全社会提供高效、优质、规范、透明和全方位的管理与服务。 其特点是： · 更有效，更方便； · 更公开，更透明； · 为企业和公民提供更好的服务； · 重新构造政府、企业、公民之间的关系，使企业和公民能更好地参与政府的管理。 二、电子政务所面临的问题 电子政务本身的特点对电子政务网络系统的安全性提出了严格的。目前流行的网络安全技术有：防火墙、反病毒软件、虚拟专网（VPN）技术、入侵检测系统（IDS）、漏洞扫描软件、身份鉴别PKI技术、CA认证等。 实践表明，上述技术和解决方案还远远满足不了电子政务的安全需求，电子政务安全急需解决以下几个方面的问题： · 内部网与外部网隔离的问题； · 多个网络之间隔离的问题； · 内部网分密级的问题； · 内部人、黑客或间谍攻击的问题； · 数字签名与责任问题； · 内部BBS分级安全与应用。 三、电子政务用户端的安全解决方案 本公司根据将专利产品PC网络安全隔离卡(专利号：ZL 94111461 & ZL 97116855)结合相关安全产品提出了电子政务内网用户的安全解决方案。该方案致力于： · 提供最佳的信息安全防护，保证电子政务内网用户的机密信息绝对安全； · 提供最佳的性价比，降低实施电子政务用户端信息安全的投资成本； · 降低运行维护费用，方便电子政务内网用户的操作使用。 · 对于网络大、结点计算机多的政府内部网络来讲，重要的问题是如何有效地防止内 部人员或间谍的攻击。例如，攻击网络内部中重要的计算机、窃取重要计算机的 CA证书、浏览重要计算机硬盘中的信息、浏览重要计算机显示器上的信息。目前通 用、流行的技术解决方案多数采用信息加密等技术手段。但是，解密后的重要信息 还是明文，还是会出现在与网络连接的计算机硬盘中或显示器上。否则，重要计算 机的用户也不能使用这些信息。 目前普遍的安全共识是：计算机硬件基本上是可信的；计算机软件不可信，特别是操作系统有严重危及安全的错误，任何出现在用户计算机中的信息均不可能绝对可信。因此，信息加密等技术手段也存在着严重的安全隐患。例如，当操作系统被黑客控制后，用户用于表明身份的CA证书就有可能被盗窃，攻击者完全可以伪造一个显示结果给计算机用户，误导计算机用户。计算机用户所见的结果，可能是不真实的，即所谓的“视觉诈骗”。如果要让计算机用户绝对相信屏幕上的信息，放心地进行数字签名，必须使用绝对安全的操作系统。但是现实的状况是：绝对安全的操作系统不可能通用易用；通用易用且功能强大的操作系统则不可能安全。目前有些厂商将CA证书做成一个固定的硬件或SMART卡，防止盗用CA证书。但是，该方法也不能完全防止通过“视觉诈骗”的方法进行中间拦截、盗用或攻击。 本公司的解决方案如图所示： 四、解决方案实施例： 1、双机安全解决方案： 双机安全解决方案（见图1），即用二台计算机实现电子政务内网用户的安全。其中包括：信息网站、网络（包括网线、路由及交换机等网络基础设施）、内网用户安全系统---连接网络的计算机主机及安全计算机。 计算机主机使用普通的操作系统。安全计算机使用专用的安全操作系统，不与网络直接连接，但与计算机主机连接并可交换信息，用密码系统及密钥加密解密信息。本方案虽然安全，但是成本太高。 图1：双机安全解决方案 2、单硬盘安全解决方案： 该方案采用本公司专利技术将单一硬盘分隔成二个虚拟硬盘来使用，包含双机安全解决方案的所有功能。 用户启动计算机，通过选择切换装置选择启动公共硬盘区域中的操作系统。这时安全硬盘区域从硬件上是不可读写，保证了安全硬盘区域中的信息安全。由于加密解密的算法程序、加密解密的硬件模块、加密解密的密钥及解密后的信息均只能出现在安全硬盘区域中，公共硬盘区域和网络通讯中均不出现机密信息的明文，所以整个网络和用户系统是非常安全的安全系统。如图2所示： 图2：单硬盘安全解决方案 3、单硬盘多密级安全解决方案： 该方案包含以上安全解决方案的所有功能，唯一区别是将单一硬盘分隔成三或多个硬盘来使用，可以根据公开、内部、秘密、机密、绝密等不同的安全需求进行分档、分密级处理，采用通用的网络安全技术和物理隔离技术相结合，可以从理论上证明和实践中实现：除非故意或硬件设施受到人为破坏，计算机用户的机密信息是绝对安全的。 由此，彻底解决了电子政务内网用户的安全问题，大大减少了网络人员的工作量和难度，也从根本上消除了计算机用户采用信息安全技术过程中的畏难、嫌烦和怕出事等抵触情绪。方案（2）和（3）的缺点是需要重新启动计算机，无法实现实时在线的信息交换。 图3：多密级安全解决方案 五、结论 彻底解决内部网络信息安全和安全数字签名的方法是使用二或多台计算机：其中一台解决与网络连接的信息交换问题，另一台解决保证机密及隐私信息加密、解密和使用的安全问题。为了节约安全成本，可以使用单硬盘物理隔离卡来实现二台或多台计算机的功能，达到通用易用与安全可靠既一分为二又合二为一的目的。 本公司的电子政务用户安全解决方案结合目前的CA和PKI技术可以理论上证明和实践中实现：除非故意或硬件设施受到人为破坏，政府内部网络电子政务内网用户的机密信息是绝对安全的。该方案可以最大限度地降低对网络安全管理的要求，彻底改变目前网络安全“三分技术、七分管理”的被动局面。 网络安全问题是电子政务必须面对和解决的关键问题之一。目前，网络安全技术刚刚起步，远远不能满足实际应用的需求。但是，本公司有信心相信随着人们对网络安全问题本质的认识水平不断提高，网络安全技术必然会不断发展和完善，最终实现完整的网络安全技术保障体系，为电子政务乃至电子商务的顺利运行提供切实可行的安全保证。 阿波罗网站评估 www.iapolo.com