美章网 资料文库 浅析电子政务网络安全防火墙范文

浅析电子政务网络安全防火墙范文

时间:2022-01-27 03:12:51

浅析电子政务网络安全防火墙

1通过防火墙、IDS、IPS等建立边界防御

1.1防火墙

防火墙是实现网络安全的一种基本的安全设施,通过防火墙可以在网络边界或者网络安全域边界上建立封锁过滤机制。对网络上不同区域进行隔离,对区域间的通信进行检查。根据安全要求,在防火墙上设置安全策略,对通过防火墙进出的数据流进行检查,根据安全策略对数据流进行阻断或者放行。防火墙可分为网络级防火墙和应用级防火墙。随着电子政务的发展,各部门积累了大量的信息资源,建设政府数据中心来集中存放处理信息资源势在必行,数据集中以后,安全风险也随之增加。通过防火墙来对数据中心的访问进行控制,对数据中心的不同区域进行隔离是政府数据中心中常用的安全手段。另一方面,各地均在建设政务外网和政务专网,政务外网用来运行面向公众的业务应用,政务专网用来运行非涉密但具有一定工作秘密的业务应用,外网和专网间逻辑隔离,通常也用防火墙对政务外网和政务专网进行逻辑隔离。

1.2入侵检测、入侵防御

入侵检测系统(intrusiondetectionsystem,简称“IDS”)是用于检测任何损害或者企图损害系统的机密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的活动状态和活动,采用异常检测或者误用检测方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。入侵检测系统要解决的两个基本问题是:如何充分并可靠的提取描述行为特征的数据,以及如何根据特征数据,高效并准确地判断行为性质。入侵检测所采用的技术有特征检测和异常检测。特征检测就是把已发现的入侵行为存储在特征库中,对主题行为进行匹配,以确定是否符合这些模式。异常检测是检测主题行为是否有异常于正常主体的活动。入侵防御(IPS:IntrusionPreventionSystem)是在检测出入侵行为后能对其进行阻断、隔离、调整的安全技术,是对IDS的升级。在网络中IDS一般为旁路部署,部署在核心交换机上,把连接所要检测设备的交换机端口镜像到连接IDS的端口上,根据策略对经过这些端口的主体行为进行检测并发出警告;而IPS一般为串联部署,部署在网络的入口处,根据策略对主体行为进行检测并采取相应的阻断、隔离等措施。防火墙、IDS、IPS等是在设计网络安全系统时常用的安全技术,对进出系统的主体行为进行监控、检查、阻断等操作。

2通过VPN实现远程安全接入和业务隔离

VPN(VirtualPrivateNetwork虚拟专用网络)是在公共的网络平台(通常是互联网)上建立逻辑上专用的网络通道,之所以称之为虚拟,是因为在VPN的任意两个节点间并不象真正的物理专网一样,有物理的端到端的专线连接。VPN是在公共的网络平台上通过专有的协议对数据包进行封装、加密,为用户建立一个安全的连接,是对政府网络或者企业网络的扩展。远程用户通过公共网络访问电子政务系统时,经常使用VPN,常用的在远程接入方面的VPN技术有VPDN、SSLVPN、IPSecVPN等。

2.1VPDN

VPDN(VirtualPrivateDialNetwork虚拟专用拨号网)是建立在2层上的VPN,用户基于拨号网络(PSTNADSL)等在远程通过PPPOE(PointtoPointProtocolOverEthernet以太网上的点对点协议)向LAC(L2TPAccessConcentratorL2TP访问集中器)进行拨号,LAC把用户的信息发送给Radius服务器进行认证,认证通过后返回LNS(L2TPNetworkServerL2TP网络服务器)地址,LAC向LNS发起建立隧道的请求,LNS再把相关信息送到Radius服务器进行认证,认证通过后LAC与LNS协商建立起L2TP隧道,远端用户通过隧道访问政务网资源。

2.2IPSecVPN

IPSecVPN建立在第三层,IPSec是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,因为IPSec是在IP中加入安全协议,即使位于IP层上层的应用程序或传输层没有提供任何安全性机制,由于IP层加入了安全机制,也可以保护整个网络通信的内容。IETF的IPSec工作组已经制定了12个RFC,对IPSec的方方面面都进行了定义,但其核心由其中的三个最基本的协议组成。即:身份认证报头(AH)、安全加载封装(ESP)、互联网安全关联和密匙管理协议(ISAKMP)。IPSec的基本目标是保护IP数据包安全和为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理来实现上述两个目标。IPSec所提供的安全保护措施主要有3个:数据加密、完整性检验和用户身份认证。身份认证报头(AuthenticationHeader,AH)可对整个数据包(IP报头与数据包中的数据载荷)提供身份认证,完整性与抗回放保护。但是它不提供保密性,即它不对数据进行加密,但是禁止修改。封装安全载荷(EncapsulatingSecurityPayload)不仅为IP载荷提供身份认证、完整性和抗重发保护,还提供封包加密功能,也可选择性地再加上认证的功能。互联网安全关联和密匙管理协议(InternetSecurityAssociationKeyManagementProtocolISAKMP)通过协商、建立、修改和删除SA(SecurityAssociations)过程,定义了身份认证和密钥交换框架。IPSec提供了传输模式和隧道模式两种使用模式,在传输模式中,IPSec在原始的IP报头后插入IPSec报头,原始的IP报头被保留下来。传输模式主要用在两台计算机之间的通信。隧道模式会对整个IP封包进行加密或者认证,然后在外面再加上一个新的IP报头,带有原始IP报头的原始数据包被完全封装为一个隧道数据包,隧道模式通常用于访问一个网络区域中的应用,在区域边界放置VPN网关,IPSec隧道处于远程用户和VPN网关之间,网关终结隧道并把访问转发到相应的应用。IPSecVPN的特点如下:(1)由于IPSec位于较低的网络层,所以不会牵动上层的传输层和应用层,因此,对开发人员及厂商的的影响较小。(2)要对IP包进行重新封装,对资源的占用较大。(3)使用IPSecVPN时,用户需要安装客户端软件,进行配置,对于普通用户来说较为麻烦。

2.3SSLVPN

SSL是一个独立于平台并独立于应用的协议,用于保护基于TCP的应用。在TCP/IP四层架构中,SSL在传输层之上,应用层之下,像TCP连接所连接的套接字一样工作。SSL的协议就分为上下两层。下层是记录协议;上层包含握手协议(HandshakeProtocol),修改密码规范协议(ChangeCipherSpecProtocol),报警协议(AlertProtocol)和各种应用协议。

3结束语

信任关系是所有安全的基础,而PKI是目前管理网络安全信任关系的核心。信任关系建立后,使用防火墙、IDS、IPS等实现边界防御和隔离,用VPDN、IPSecVPN、SSLVPN等实现远程安全接入,通过MPLS/BGPVPN在电子政务网络平台上划分不同的VPN,实现隔离,保障各部门业务独立、安全。在设计建设网络安全系统时,并非所有的技术手段、设备都要用上,要根据实际的安全需求,合理的配置各种安全设备,提高系统安全脆弱性的最低点,才能建设出好的网络安全系统。

作者:杜波崔毅张虹段卓颖单位:中共云南省委办公厅信息技术中心云南省科学技术情报研究院

被举报文档标题:浅析电子政务网络安全防火墙

被举报文档地址:

https://www.meizhang.comhttps://www.meizhang.com/swlw/dzzwlw/637636.html
我确定以上信息无误

举报类型:

非法(文档涉及政治、宗教、色情或其他违反国家法律法规的内容)

侵权

其他

验证码:

点击换图

举报理由:
   (必填)