淺析電子政務網絡安全防火墻范文

本站小編為你精心準備了淺析電子政務網絡安全防火墻參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

1通過防火墻、IDS、IPS等建立邊界防御

1.1防火墻

防火墻是實現網絡安全的一種基本的安全設施，通過防火墻可以在網絡邊界或者網絡安全域邊界上建立封鎖過濾機制。對網絡上不同區域進行隔離，對區域間的通信進行檢查。根據安全要求，在防火墻上設置安全策略，對通過防火墻進出的數據流進行檢查，根據安全策略對數據流進行阻斷或者放行。防火墻可分為網絡級防火墻和應用級防火墻。隨著電子政務的發展，各部門積累了大量的信息資源，建設政府數據中心來集中存放處理信息資源勢在必行，數據集中以后，安全風險也隨之增加。通過防火墻來對數據中心的訪問進行控制，對數據中心的不同區域進行隔離是政府數據中心中常用的安全手段。另一方面，各地均在建設政務外網和政務專網，政務外網用來運行面向公眾的業務應用，政務專網用來運行非涉密但具有一定工作秘密的業務應用，外網和專網間邏輯隔離，通常也用防火墻對政務外網和政務專網進行邏輯隔離。

1.2入侵檢測、入侵防御

入侵檢測系統（intrusiondetectionsystem，簡稱“IDS”）是用于檢測任何損害或者企圖損害系統的機密性、完整性或可用性行為的一種網絡安全技術。它通過監視受保護系統的活動狀態和活動，采用異常檢測或者誤用檢測方式，發現非授權的或惡意的系統及網絡行為，為防范入侵行為提供有效的手段。入侵檢測系統要解決的兩個基本問題是：如何充分并可靠的提取描述行為特征的數據，以及如何根據特征數據，高效并準確地判斷行為性質。入侵檢測所采用的技術有特征檢測和異常檢測。特征檢測就是把已發現的入侵行為存儲在特征庫中，對主題行為進行匹配，以確定是否符合這些模式。異常檢測是檢測主題行為是否有異常于正常主體的活動。入侵防御（IPS：IntrusionPreventionSystem）是在檢測出入侵行為后能對其進行阻斷、隔離、調整的安全技術，是對IDS的升級。在網絡中IDS一般為旁路部署，部署在核心交換機上，把連接所要檢測設備的交換機端口鏡像到連接IDS的端口上，根據策略對經過這些端口的主體行為進行檢測并發出警告；而IPS一般為串聯部署，部署在網絡的入口處，根據策略對主體行為進行檢測并采取相應的阻斷、隔離等措施。防火墻、IDS、IPS等是在設計網絡安全系統時常用的安全技術，對進出系統的主體行為進行監控、檢查、阻斷等操作。

2通過VPN實現遠程安全接入和業務隔離

VPN（VirtualPrivateNetwork虛擬專用網絡）是在公共的網絡平臺（通常是互聯網）上建立邏輯上專用的網絡通道，之所以稱之為虛擬，是因為在VPN的任意兩個節點間并不象真正的物理專網一樣，有物理的端到端的專線連接。VPN是在公共的網絡平臺上通過專有的協議對數據包進行封裝、加密，為用戶建立一個安全的連接，是對政府網絡或者企業網絡的擴展。遠程用戶通過公共網絡訪問電子政務系統時，經常使用VPN，常用的在遠程接入方面的VPN技術有VPDN、SSLVPN、IPSecVPN等。

2.1VPDN

VPDN（VirtualPrivateDialNetwork虛擬專用撥號網）是建立在2層上的VPN，用戶基于撥號網絡（PSTNADSL）等在遠程通過PPPOE（PointtoPointProtocolOverEthernet以太網上的點對點協議）向LAC（L2TPAccessConcentratorL2TP訪問集中器）進行撥號，LAC把用戶的信息發送給Radius服務器進行認證，認證通過后返回LNS（L2TPNetworkServerL2TP網絡服務器）地址，LAC向LNS發起建立隧道的請求，LNS再把相關信息送到Radius服務器進行認證，認證通過后LAC與LNS協商建立起L2TP隧道，遠端用戶通過隧道訪問政務網資源。

2.2IPSecVPN

IPSecVPN建立在第三層，IPSec是一個工業標準網絡安全協議，為IP網絡通信提供透明的安全服務，因為IPSec是在IP中加入安全協議，即使位于IP層上層的應用程序或傳輸層沒有提供任何安全性機制，由于IP層加入了安全機制，也可以保護整個網絡通信的內容。IETF的IPSec工作組已經制定了12個RFC，對IPSec的方方面面都進行了定義，但其核心由其中的三個最基本的協議組成。即：身份認證報頭（AH）、安全加載封裝（ESP）、互聯網安全關聯和密匙管理協議（ISAKMP）。IPSec的基本目標是保護IP數據包安全和為抵御網絡攻擊提供防護措施。IPSec結合密碼保護服務、安全協議組和動態密鑰管理來實現上述兩個目標。IPSec所提供的安全保護措施主要有3個：數據加密、完整性檢驗和用戶身份認證。身份認證報頭（AuthenticationHeader，AH）可對整個數據包（IP報頭與數據包中的數據載荷）提供身份認證，完整性與抗回放保護。但是它不提供保密性，即它不對數據進行加密，但是禁止修改。封裝安全載荷（EncapsulatingSecurityPayload）不僅為IP載荷提供身份認證、完整性和抗重發保護，還提供封包加密功能，也可選擇性地再加上認證的功能。互聯網安全關聯和密匙管理協議（InternetSecurityAssociationKeyManagementProtocolISAKMP）通過協商、建立、修改和刪除SA（SecurityAssociations）過程，定義了身份認證和密鑰交換框架。IPSec提供了傳輸模式和隧道模式兩種使用模式，在傳輸模式中，IPSec在原始的IP報頭后插入IPSec報頭，原始的IP報頭被保留下來。傳輸模式主要用在兩臺計算機之間的通信。隧道模式會對整個IP封包進行加密或者認證，然后在外面再加上一個新的IP報頭，帶有原始IP報頭的原始數據包被完全封裝為一個隧道數據包，隧道模式通常用于訪問一個網絡區域中的應用，在區域邊界放置VPN網關，IPSec隧道處于遠程用戶和VPN網關之間，網關終結隧道并把訪問轉發到相應的應用。IPSecVPN的特點如下：(1)由于IPSec位于較低的網絡層，所以不會牽動上層的傳輸層和應用層，因此，對開發人員及廠商的的影響較小。(2)要對IP包進行重新封裝，對資源的占用較大。(3)使用IPSecVPN時，用戶需要安裝客戶端軟件，進行配置，對于普通用戶來說較為麻煩。

2.3SSLVPN

SSL是一個獨立于平臺并獨立于應用的協議，用于保護基于TCP的應用。在TCP/IP四層架構中，SSL在傳輸層之上，應用層之下，像TCP連接所連接的套接字一樣工作。SSL的協議就分為上下兩層。下層是記錄協議；上層包含握手協議（HandshakeProtocol），修改密碼規范協議（ChangeCipherSpecProtocol），報警協議（AlertProtocol）和各種應用協議。

3結束語

信任關系是所有安全的基礎，而PKI是目前管理網絡安全信任關系的核心。信任關系建立后，使用防火墻、IDS、IPS等實現邊界防御和隔離，用VPDN、IPSecVPN、SSLVPN等實現遠程安全接入，通過MPLS/BGPVPN在電子政務網絡平臺上劃分不同的VPN，實現隔離，保障各部門業務獨立、安全。在設計建設網絡安全系統時，并非所有的技術手段、設備都要用上，要根據實際的安全需求，合理的配置各種安全設備，提高系統安全脆弱性的最低點，才能建設出好的網絡安全系統。

作者：杜波崔毅張虹段卓穎單位：中共云南省委辦公廳信息技術中心云南省科學技術情報研究院