園區環境中電子政務邊界網絡安全結構

相忠良

[摘要]首先分析目前我國政府計算機網絡應用的特點，并結合我國政府網絡的結構特點給出網絡結構圈。由于政府網絡結構無法適應政務公開與信息保密的要求，給出一種新型的網絡安全結構即邊界網絡安全結構的結構圖，并給出邊界網絡的詳細定義。

[關鍵詞]邊界安全電子政務網絡安全

中圖分類號：TP3文獻標識碼：A文章編號：1671--7597(2009)1020060--01

一、引言

自從Internet誕生，網絡安全問題就一直是人們討論的熱點。隨著計算機網絡的不斷發展，全球信息化已成為人類發展的大趨勢，但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征-致使網絡易受攻擊，所以網上信息的安全和保密是一個至關重要的問題。無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。

二、現階段政府網絡的總體情況

在政府網絡中，內部網絡上有著大量高度機密的數據和信息，網絡安全是放在首位的。如果網絡安全得不到保證，那么將會給國家、社會及網絡用戶帶來嚴重威脅，可能造成政治、經濟等各方面的巨大損失。在政府工作不斷地實現信息化、高效便捷的同時，安全保護成了亟待解決的問題。但是為滿足公眾對更好、更有效服務的要求，他們必須改進在線業務和數據共享的交付方式，所以政府又必須保護它所有的信息和過程免受黑客攻擊、數字攻擊和其他在線威脅。

在我國黨政機關中計算機網絡應用有如下特點，具有網絡規模適中，人員相對較少。應用以辦公為主，輔以少量的數據庫應用，個別業務保密級別相當高。人員雖少但訪問控制級別要求精確，對審計需求也很高。

目前黨政機關為了滿足安全的要求，通常的做法是把內部網與外部公網物理上隔離，這一方面是國家有關部門的保密規定要求，另一方面也是由于沒有很好的解決方案而不得已為之。即使內外隔離，內部網絡的安全問題還是相當突出，更需要對內部人員的身份認證、訪問授權以及相互之間的數據加密等有效解決方案。

三、殃階段政府網絡結構

黨政機關單位在地理位置上一般是處于一個大院內或一幢大樓內，具有一個中心網絡，提供公共應用服務(亦稱公共應用平臺)，同時行使網絡管理權利。按行政結構，下屬各局、委、辦，各自具有局域網，各局域網也具有自己的服務器，或Web或應用服務器，為了給首長提供機要信息，單獨建設一個首長機要局域網，內設基于Web的首長查詢服務器。這些局域網都是直接連接到中心網絡。共享公共應用服務，同時也提供自己的信息給其他單位共享。通過公開服務器，各單位可以直接對外發布信息或者發送電子郵件。一般來說，這些局域網都是直接連接到中心網絡，共享公共應用服務，它們之間沒有直接通信通道。高速交換技術的采用、靈活的網絡互連方案設計為用戶提供快速、方便、靈活通信平臺的同時，也為網絡的安全帶來了更大的風險。因此，在原有網絡上實施一套完整、可操作的安全解決方案不僅是可行的，而且是必需的。

黨政機關由于中心單位和各下屬單位之間的地理位置不同，所需連接的距離也不同，形成的園區網絡結構也就有所差異。這種差異最終造成安全需求及解決方案的不同。一般有集中式的網絡結構和分布式的網絡結構兩種模式。

對于集中式的網絡結構，該單位的所有下屬部門都處于大樓或大院內，所有局域網與中心網絡直接互連，未經過不可信的公網。

對于分布式的網絡結構，該單位的主要部門都處于大樓或大院內，呈現出一個集中式的網絡結構；還有一些下屬部門分布在其他地方，在業務上需要信息通信和共享。這些局域網與中心網絡的互連，是經過不可信的公網(Intemet、x.25、PSTN等)。

在中心子網中，放置著各種公共應用服務器，其他下屬單位各有自己的子網，它們通過安全路由器與外部公網相連。在實際應用中，各級政府機關內部的應用種類可能不同。這樣的網絡結構為非安全結構。是目前采用最多的一種。

一般的安全措施是在連接公網處安裝防火墻，但它只能防止外部非授權的網絡訪問，而對內部幾乎沒有防范功能。以上網絡結構是不安全的，內部網絡直接連接到公網或專網，即非安全區。這樣受到非法攻擊的風險非常大。所以需要調整網絡結構，使之成為基本安全的前提。

四、邊界網絡安全結構

邊界網絡，也叫做DMZ(Demilitarized Zone)，即俗稱的非軍事區。它是一個小型的網絡，與軍事區和信任區相對應，作用是把WEB、e—mail等允許外部訪問的服務器單獨接在該區端口，使整個需要保護的內部網絡接在信任區端口后，不允許任何訪問，實現內外網分離，達到用戶的安全需求。DMZ可以理解為一個不同于外網或內網的特殊網絡區域，DMZ內通常放置一些不含機密信息的公用服務器，比如Web、Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務，但不可能接觸到存放在內網中的公可機密或私人信息等，即使DMZ中服務器受到破壞，也不會對內網中的機密信息造成影響。

邊界網絡安全結構是在政府現有網絡結構的基礎上的改進，首先增加一個支持三網段的防火墻。將原來的中心子網和內部網分為非軍事化區、服務子網和內部網。將公開的WWW服務器放在非軍事化區，并放置代理服務器。將內部使用的各種應用服務器統統放在服務子網。

通過防火墻和路由器的配置，用戶無論在網絡內部還是在網絡外部，都是通過代理服務器來訪問各個應用服務器，這就較好的保障了網絡應用的安全。

五、總結

現在政務公開是我國建設廉潔、勤政、務實、高效政府的重要步驟，是保證廣大人民群眾享有知情權的重要舉措，并于2008年5月1日正式實施了《中華人民共和國政府信息公開條例》。但是由于政府信息的多樣性，凡涉及國家機密、商業機密和個人隱私等信息又要嚴格保密。鑒于政府信息的特殊性，為了更好的處理公開與保密的關系。做的該公開的公開，該保密的保密，就要求電子政務要有合理的網絡安全結構。邊界網絡安全結構就是針對現在政府機關信息公開與保密的需求以及政府機關網絡特點提出來的，是在政府現有網絡結構基礎上的改進。