园区环境中电子政务边界网络安全结构

相忠良

[摘要]首先分析目前我国政府计算机网络应用的特点，并结合我国政府网络的结构特点给出网络结构圈。由于政府网络结构无法适应政务公开与信息保密的要求，给出一种新型的网络安全结构即边界网络安全结构的结构图，并给出边界网络的详细定义。

[关键词]边界安全电子政务网络安全

中图分类号：TP3文献标识码：A文章编号：1671--7597(2009)1020060--01

一、引言

自从Internet诞生，网络安全问题就一直是人们讨论的热点。随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势，但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征-致使网络易受攻击，所以网上信息的安全和保密是一个至关重要的问题。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。

二、现阶段政府网络的总体情况

在政府网络中，内部网络上有着大量高度机密的数据和信息，网络安全是放在首位的。如果网络安全得不到保证，那么将会给国家、社会及网络用户带来严重威胁，可能造成政治、经济等各方面的巨大损失。在政府工作不断地实现信息化、高效便捷的同时，安全保护成了亟待解决的问题。但是为满足公众对更好、更有效服务的要求，他们必须改进在线业务和数据共享的交付方式，所以政府又必须保护它所有的信息和过程免受黑客攻击、数字攻击和其他在线威胁。

在我国党政机关中计算机网络应用有如下特点，具有网络规模适中，人员相对较少。应用以办公为主，辅以少量的数据库应用，个别业务保密级别相当高。人员虽少但访问控制级别要求精确，对审计需求也很高。

目前党政机关为了满足安全的要求，通常的做法是把内部网与外部公网物理上隔离，这一方面是国家有关部门的保密规定要求，另一方面也是由于没有很好的解决方案而不得已为之。即使内外隔离，内部网络的安全问题还是相当突出，更需要对内部人员的身份认证、访问授权以及相互之间的数据加密等有效解决方案。

三、殃阶段政府网络结构

党政机关单位在地理位置上一般是处于一个大院内或一幢大楼内，具有一个中心网络，提供公共应用服务(亦称公共应用平台)，同时行使网络管理权利。按行政结构，下属各局、委、办，各自具有局域网，各局域网也具有自己的服务器，或Web或应用服务器，为了给首长提供机要信息，单独建设一个首长机要局域网，内设基于Web的首长查询服务器。这些局域网都是直接连接到中心网络。共享公共应用服务，同时也提供自己的信息给其他单位共享。通过公开服务器，各单位可以直接对外发布信息或者发送电子邮件。一般来说，这些局域网都是直接连接到中心网络，共享公共应用服务，它们之间没有直接通信通道。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的，而且是必需的。

党政机关由于中心单位和各下属单位之间的地理位置不同，所需连接的距离也不同，形成的园区网络结构也就有所差异。这种差异最终造成安全需求及解决方案的不同。一般有集中式的网络结构和分布式的网络结构两种模式。

对于集中式的网络结构，该单位的所有下属部门都处于大楼或大院内，所有局域网与中心网络直接互连，未经过不可信的公网。

对于分布式的网络结构，该单位的主要部门都处于大楼或大院内，呈现出一个集中式的网络结构；还有一些下属部门分布在其他地方，在业务上需要信息通信和共享。这些局域网与中心网络的互连，是经过不可信的公网(Intemet、x.25、PSTN等)。

在中心子网中，放置着各种公共应用服务器，其他下属单位各有自己的子网，它们通过安全路由器与外部公网相连。在实际应用中，各级政府机关内部的应用种类可能不同。这样的网络结构为非安全结构。是目前采用最多的一种。

一般的安全措施是在连接公网处安装防火墙，但它只能防止外部非授权的网络访问，而对内部几乎没有防范功能。以上网络结构是不安全的，内部网络直接连接到公网或专网，即非安全区。这样受到非法攻击的风险非常大。所以需要调整网络结构，使之成为基本安全的前提。

四、边界网络安全结构

边界网络，也叫做DMZ(Demilitarized Zone)，即俗称的非军事区。它是一个小型的网络，与军事区和信任区相对应，作用是把WEB、e—mail等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离，达到用户的安全需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域，DMZ内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公可机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。

边界网络安全结构是在政府现有网络结构的基础上的改进，首先增加一个支持三网段的防火墙。将原来的中心子网和内部网分为非军事化区、服务子网和内部网。将公开的WWW服务器放在非军事化区，并放置代理服务器。将内部使用的各种应用服务器统统放在服务子网。

通过防火墙和路由器的配置，用户无论在网络内部还是在网络外部，都是通过代理服务器来访问各个应用服务器，这就较好的保障了网络应用的安全。

五、总结

现在政务公开是我国建设廉洁、勤政、务实、高效政府的重要步骤，是保证广大人民群众享有知情权的重要举措，并于2008年5月1日正式实施了《中华人民共和国政府信息公开条例》。但是由于政府信息的多样性，凡涉及国家机密、商业机密和个人隐私等信息又要严格保密。鉴于政府信息的特殊性，为了更好的处理公开与保密的关系。做的该公开的公开，该保密的保密，就要求电子政务要有合理的网络安全结构。边界网络安全结构就是针对现在政府机关信息公开与保密的需求以及政府机关网络特点提出来的，是在政府现有网络结构基础上的改进。