電子政務網終端安全與入網控制的建設

眾所周知，經過近幾年來政府信息化建設的快速發展，電子政務在政府工作中得到了大面積的普及和應用，電子政務網絡的規模也越來越大，在該網絡上運行的應用系統也越來越多，這些都標志著電子政務在政府工作中發揮著重要的作用。然而，隨著電子政務的普及，在其網絡系統中表現出了一些突出的安全與管理問題，而且這些問題大多都與在網絡中的某些終端上發生的不當行為有關。此外，更值得注意的是，在近些年電子政務的發展過程中，很多單位盡管已在網絡安全和管理方面加大了投入，采購并布置了如防火墻、入侵檢測、網絡管理系統等。但是，這些措施對于網絡終端的管理卻顯得心有余而力不足。因此，網絡終端的安全與管理問題，在電子政務網絡的日常管理中顯得日益突出。

網絡終端安全管理的常見問題

通過對電子政務網絡建設和應用情況的深入調研和分析，我們注意到，在電子政務網中，最常見的網絡終端管理問題可以分為如下幾個方面:

——由網絡終端引入的網絡邊界安全管理問題。

網絡邊界的安全問題又可以分為兩大類，一類是非法外連，另一類是非法入網。為了有效的保護電子政務網絡中的涉密信息，很多政府部門都在其局域網中實施了內外網隔離。但是，由于目前的網絡狀態，對于內網的計算機而言，仍存在幾個嚴重的“網絡后門”可以用來實施非法外連。其中最常見，也是最嚴重的“后門”就是撥號上網;此外，私設代理或私自改動IP在某些網絡環境中也可以成為非法外聯的“后門”。存有涉密信息的內網計算機一旦進行了非法外聯，其構成的安全隱患是可想而知的。

另一類就是外來網絡終端非法入網的問題。例如，在沒有得到允許的情況下，有人把外來的筆記本電腦聯入電子政務內網。不難想象，這種非法入網行為帶來的安全隱患絲毫不亞于非法外連。

——工作人員利用網絡終端從事與工作無關的行為，影響了網絡資源的使用效率。

這主要表現在上班時間時常有人在電子政務網的網絡終端上做一些與工作無關的不正當行為，這不僅明顯降低了工作效率，而且經常給電子政務網引入大量的病毒、木馬和各類惡意軟件，嚴重破壞了電子政務網的正常工作環境。而面對規模日益擴大的網絡，很多政府單位的網管人員對于網絡運行中出現的問題處于“看不見，管不了”的被動局面。例如:IP地址和網絡配置可以隨意改動，情況混亂，IP沖突時有發生;網絡終端的軟硬件配置多種多樣，網管人員缺乏有效的手段了解整體情況，更談不上進行有效的管理;電子政務網中既運行著各種電子政務應用系統，同時又可能存在病毒發包和ARP等等問題。因此，網絡流量時有嚴重異常，甚至時斷時續或完全癱瘓。

由于缺乏可視化管理平臺，網絡流量在相當大的程度上對網管人員而言是個“黑匣子”，定位問題的源頭非常困難，一旦出現網絡或流量異常，有經驗的網管人員最常用的排查辦法就是到核心交換設備后面去拔網線，以逐步壓縮問題的源頭。可想而知，要想及時準確的排查網絡或流量問題是非常困難的。

——大量的維護工作，無法有效支撐。

由于缺乏遠程系統維護的手段，很難及時有效地對數量眾多的網絡終端進行維護，或對終端用戶提供幫助，這方面表現突出的問題是難以實現大面積安全補丁的及時升級和終端機故障的遠程診斷和及時排除。

綜上所述，這些與網絡終端直接相關的問題在電子政務的建設過程中表現得日益突出，也逐步得到了越來越多的關注。如果不能有效地解決這些問題，勢必嚴重影響電子政務建設的順利發展。

解決問題的思路

基于多年來在電子政務工作中的認識和實踐，以及在解決網絡終端的各類安全與管理問題的過程中積累的經驗，筆者認為，解決問題的思路主要有以下幾點:

——要把局域網看作是一個整體。

我們之所以強調要解決網絡終端的安全與管理問題，而不是僅僅解決桌面管理問題，就是要從局域網這個整體出發去看待網絡終端的問題，而不僅僅是從每個PC機的角度去看待孤立的桌面管理問題。這種思路將引發我們更多的去關注網絡終端可能對整個網絡產生的影響。例如，網絡邊界問題和流量異常問題等等。而恰恰是這些網絡層面的問題可能對電子政務的正常運行產生更加嚴重的影響。

——安全、管理和維護應該三位一體。

信息安全是電子政務建設中的重中之重，已經引起了人們的高度重視。然而，事實證明僅僅就安全談安全，往往難以達到預期的效果。試想在一個管理混亂、維護手段低下的網絡中部署了一些專用的安全產品，能夠達到預期的安全效果嗎?這是不可能的。因此，要想改善信息安全，不僅僅要在網絡終端的安全措施上下功夫，也要針對網絡終端建立有效的管理機制和高效的維護手段。

——解決問題要以預防為主。

在以往的網絡安全和管理實踐中，往往是處于一種被動的事后救火的工作方式。為了確保電子政務網安全可靠的運行，我們必須以預防為主。為此，要針對可能發生的潛在問題建立一系列的預防措施。例如，非法外聯的控制、數據安全的保護措施等等，以保證電子政務網安全可靠的運行。

——必須實現可視化管理。

在很多單位，網管人員對其負責管理維護的網絡，特別是其中數量眾多的網絡終端有一種“看不見，管不了”的無奈感覺。因此，所管理的網絡對他們而言在相當大的程度上還是一個“黑匣子”。這種狀態是影響提高網絡安全與管理水平的主要障礙之一。因此，對數量眾多的網絡終端，乃至整個電子政務網實施有效的管理，必須建立起一套可視化的管理平臺。管理人員可以通過這個可視化管理平臺，及時準確地掌握網絡終端的實時狀態和全網的運行情況。

——配套相應的管理制度和終端安全管理工作流程。

僅有一個好的產品平臺往往不能達到預期的效果。為了真正實現對數量眾多和環境復雜的網絡終端進行有效的管理，還需要配套制定相應的管理制度，信息安全管理人員也應基于管理目標和采用的管理平臺制定切實有效的信息安全管理流程。這樣把產品和規范結合在一起才能達到最佳的管理效果。

在這樣的思路指導下，筆者所在的杭州市拱墅區政府電子政務網采用了準入控制系列產品為電子政務網絡終端安全與管理提供了一套比較全面的解決方案。該解決方案主要從如下四個方面來解決網絡終端安全與管理問題。

第一是建立安全可靠的網絡環境。這主要包含安全補丁的自動升級，完整的網絡邊界管理，特別是在內網安全管理中包含了數據安全、無死角殺毒和ARP管理等等。第二是建立有效的終端入網規范管理機制，達到“違規不入網、入網必合規”的干凈、規范環境。第三是對數量眾多的網絡終端提供全面的遠程維護，并且提供集中可視化管理。第四則是協助用戶制定有針對性的管理規范和終端安全管理工作流程。

全新的終端安全管理思路和解決方案，有力地支撐起了終端管理，網絡安全水平和網絡資源應用效率得到了很大的提高。

(作者單位:杭州市拱墅區信息中心 ;杭州市水業集團有限公司水表檢測中心)