论文部分内容阅读
众所周知,经过近几年来政府信息化建设的快速发展,电子政务在政府工作中得到了大面积的普及和应用,电子政务网络的规模也越来越大,在该网络上运行的应用系统也越来越多,这些都标志着电子政务在政府工作中发挥着重要的作用。然而,随着电子政务的普及,在其网络系统中表现出了一些突出的安全与管理问题,而且这些问题大多都与在网络中的某些终端上发生的不当行为有关。此外,更值得注意的是,在近些年电子政务的发展过程中,很多单位尽管已在网络安全和管理方面加大了投入,采购并布置了如防火墙、入侵检测、网络管理系统等。但是,这些措施对于网络终端的管理却显得心有余而力不足。因此,网络终端的安全与管理问题,在电子政务网络的日常管理中显得日益突出。
网络终端安全管理的常见问题
通过对电子政务网络建设和应用情况的深入调研和分析,我们注意到,在电子政务网中,最常见的网络终端管理问题可以分为如下几个方面:
——由网络终端引入的网络边界安全管理问题。
网络边界的安全问题又可以分为两大类,一类是非法外连,另一类是非法入网。为了有效的保护电子政务网络中的涉密信息,很多政府部门都在其局域网中实施了内外网隔离。但是,由于目前的网络状态,对于内网的计算机而言,仍存在几个严重的“网络后门”可以用来实施非法外连。其中最常见,也是最严重的“后门”就是拨号上网;此外,私设代理或私自改动IP在某些网络环境中也可以成为非法外联的“后门”。存有涉密信息的内网计算机一旦进行了非法外联,其构成的安全隐患是可想而知的。
另一类就是外来网络终端非法入网的问题。例如,在没有得到允许的情况下,有人把外来的笔记本电脑联入电子政务内网。不难想象,这种非法入网行为带来的安全隐患丝毫不亚于非法外连。
——工作人员利用网络终端从事与工作无关的行为,影响了网络资源的使用效率。
这主要表现在上班时间时常有人在电子政务网的网络终端上做一些与工作无关的不正当行为,这不仅明显降低了工作效率,而且经常给电子政务网引入大量的病毒、木马和各类恶意软件,严重破坏了电子政务网的正常工作环境。而面对规模日益扩大的网络,很多政府单位的网管人员对于网络运行中出现的问题处于“看不见,管不了”的被动局面。例如:IP地址和网络配置可以随意改动,情况混乱,IP冲突时有发生;网络终端的软硬件配置多种多样,网管人员缺乏有效的手段了解整体情况,更谈不上进行有效的管理;电子政务网中既运行着各种电子政务应用系统,同时又可能存在病毒发包和ARP等等问题。因此,网络流量时有严重异常,甚至时断时续或完全瘫痪。
由于缺乏可视化管理平台,网络流量在相当大的程度上对网管人员而言是个“黑匣子”,定位问题的源头非常困难,一旦出现网络或流量异常,有经验的网管人员最常用的排查办法就是到核心交换设备后面去拔网线,以逐步压缩问题的源头。可想而知,要想及时准确的排查网络或流量问题是非常困难的。
——大量的维护工作,无法有效支撑。
由于缺乏远程系统维护的手段,很难及时有效地对数量众多的网络终端进行维护,或对终端用户提供帮助,这方面表现突出的问题是难以实现大面积安全补丁的及时升级和终端机故障的远程诊断和及时排除。
综上所述,这些与网络终端直接相关的问题在电子政务的建设过程中表现得日益突出,也逐步得到了越来越多的关注。如果不能有效地解决这些问题,势必严重影响电子政务建设的顺利发展。
解决问题的思路
基于多年来在电子政务工作中的认识和实践,以及在解决网络终端的各类安全与管理问题的过程中积累的经验,笔者认为,解决问题的思路主要有以下几点:
——要把局域网看作是一个整体。
我们之所以强调要解决网络终端的安全与管理问题,而不是仅仅解决桌面管理问题,就是要从局域网这个整体出发去看待网络终端的问题,而不仅仅是从每个PC机的角度去看待孤立的桌面管理问题。这种思路将引发我们更多的去关注网络终端可能对整个网络产生的影响。例如,网络边界问题和流量异常问题等等。而恰恰是这些网络层面的问题可能对电子政务的正常运行产生更加严重的影响。
——安全、管理和维护应该三位一体。
信息安全是电子政务建设中的重中之重,已经引起了人们的高度重视。然而,事实证明仅仅就安全谈安全,往往难以达到预期的效果。试想在一个管理混乱、维护手段低下的网络中部署了一些专用的安全产品,能够达到预期的安全效果吗?这是不可能的。因此,要想改善信息安全,不仅仅要在网络终端的安全措施上下功夫,也要针对网络终端建立有效的管理机制和高效的维护手段。
——解决问题要以预防为主。
在以往的网络安全和管理实践中,往往是处于一种被动的事后救火的工作方式。为了确保电子政务网安全可靠的运行,我们必须以预防为主。为此,要针对可能发生的潜在问题建立一系列的预防措施。例如,非法外联的控制、数据安全的保护措施等等,以保证电子政务网安全可靠的运行。
——必须实现可视化管理。
在很多单位,网管人员对其负责管理维护的网络,特别是其中数量众多的网络终端有一种“看不见,管不了”的无奈感觉。因此,所管理的网络对他们而言在相当大的程度上还是一个“黑匣子”。这种状态是影响提高网络安全与管理水平的主要障碍之一。因此,对数量众多的网络终端,乃至整个电子政务网实施有效的管理,必须建立起一套可视化的管理平台。管理人员可以通过这个可视化管理平台,及时准确地掌握网络终端的实时状态和全网的运行情况。
——配套相应的管理制度和终端安全管理工作流程。
仅有一个好的产品平台往往不能达到预期的效果。为了真正实现对数量众多和环境复杂的网络终端进行有效的管理,还需要配套制定相应的管理制度,信息安全管理人员也应基于管理目标和采用的管理平台制定切实有效的信息安全管理流程。这样把产品和规范结合在一起才能达到最佳的管理效果。
在这样的思路指导下,笔者所在的杭州市拱墅区政府电子政务网采用了准入控制系列产品为电子政务网络终端安全与管理提供了一套比较全面的解决方案。该解决方案主要从如下四个方面来解决网络终端安全与管理问题。
第一是建立安全可靠的网络环境。这主要包含安全补丁的自动升级,完整的网络边界管理,特别是在内网安全管理中包含了数据安全、无死角杀毒和ARP管理等等。第二是建立有效的终端入网规范管理机制,达到“违规不入网、入网必合规”的干净、规范环境。第三是对数量众多的网络终端提供全面的远程维护,并且提供集中可视化管理。第四则是协助用户制定有针对性的管理规范和终端安全管理工作流程。
全新的终端安全管理思路和解决方案,有力地支撑起了终端管理,网络安全水平和网络资源应用效率得到了很大的提高。
(作者单位:杭州市拱墅区信息中心 ;杭州市水业集团有限公司水表检测中心)
网络终端安全管理的常见问题
通过对电子政务网络建设和应用情况的深入调研和分析,我们注意到,在电子政务网中,最常见的网络终端管理问题可以分为如下几个方面:
——由网络终端引入的网络边界安全管理问题。
网络边界的安全问题又可以分为两大类,一类是非法外连,另一类是非法入网。为了有效的保护电子政务网络中的涉密信息,很多政府部门都在其局域网中实施了内外网隔离。但是,由于目前的网络状态,对于内网的计算机而言,仍存在几个严重的“网络后门”可以用来实施非法外连。其中最常见,也是最严重的“后门”就是拨号上网;此外,私设代理或私自改动IP在某些网络环境中也可以成为非法外联的“后门”。存有涉密信息的内网计算机一旦进行了非法外联,其构成的安全隐患是可想而知的。
另一类就是外来网络终端非法入网的问题。例如,在没有得到允许的情况下,有人把外来的笔记本电脑联入电子政务内网。不难想象,这种非法入网行为带来的安全隐患丝毫不亚于非法外连。
——工作人员利用网络终端从事与工作无关的行为,影响了网络资源的使用效率。
这主要表现在上班时间时常有人在电子政务网的网络终端上做一些与工作无关的不正当行为,这不仅明显降低了工作效率,而且经常给电子政务网引入大量的病毒、木马和各类恶意软件,严重破坏了电子政务网的正常工作环境。而面对规模日益扩大的网络,很多政府单位的网管人员对于网络运行中出现的问题处于“看不见,管不了”的被动局面。例如:IP地址和网络配置可以随意改动,情况混乱,IP冲突时有发生;网络终端的软硬件配置多种多样,网管人员缺乏有效的手段了解整体情况,更谈不上进行有效的管理;电子政务网中既运行着各种电子政务应用系统,同时又可能存在病毒发包和ARP等等问题。因此,网络流量时有严重异常,甚至时断时续或完全瘫痪。
由于缺乏可视化管理平台,网络流量在相当大的程度上对网管人员而言是个“黑匣子”,定位问题的源头非常困难,一旦出现网络或流量异常,有经验的网管人员最常用的排查办法就是到核心交换设备后面去拔网线,以逐步压缩问题的源头。可想而知,要想及时准确的排查网络或流量问题是非常困难的。
——大量的维护工作,无法有效支撑。
由于缺乏远程系统维护的手段,很难及时有效地对数量众多的网络终端进行维护,或对终端用户提供帮助,这方面表现突出的问题是难以实现大面积安全补丁的及时升级和终端机故障的远程诊断和及时排除。
综上所述,这些与网络终端直接相关的问题在电子政务的建设过程中表现得日益突出,也逐步得到了越来越多的关注。如果不能有效地解决这些问题,势必严重影响电子政务建设的顺利发展。
解决问题的思路
基于多年来在电子政务工作中的认识和实践,以及在解决网络终端的各类安全与管理问题的过程中积累的经验,笔者认为,解决问题的思路主要有以下几点:
——要把局域网看作是一个整体。
我们之所以强调要解决网络终端的安全与管理问题,而不是仅仅解决桌面管理问题,就是要从局域网这个整体出发去看待网络终端的问题,而不仅仅是从每个PC机的角度去看待孤立的桌面管理问题。这种思路将引发我们更多的去关注网络终端可能对整个网络产生的影响。例如,网络边界问题和流量异常问题等等。而恰恰是这些网络层面的问题可能对电子政务的正常运行产生更加严重的影响。
——安全、管理和维护应该三位一体。
信息安全是电子政务建设中的重中之重,已经引起了人们的高度重视。然而,事实证明仅仅就安全谈安全,往往难以达到预期的效果。试想在一个管理混乱、维护手段低下的网络中部署了一些专用的安全产品,能够达到预期的安全效果吗?这是不可能的。因此,要想改善信息安全,不仅仅要在网络终端的安全措施上下功夫,也要针对网络终端建立有效的管理机制和高效的维护手段。
——解决问题要以预防为主。
在以往的网络安全和管理实践中,往往是处于一种被动的事后救火的工作方式。为了确保电子政务网安全可靠的运行,我们必须以预防为主。为此,要针对可能发生的潜在问题建立一系列的预防措施。例如,非法外联的控制、数据安全的保护措施等等,以保证电子政务网安全可靠的运行。
——必须实现可视化管理。
在很多单位,网管人员对其负责管理维护的网络,特别是其中数量众多的网络终端有一种“看不见,管不了”的无奈感觉。因此,所管理的网络对他们而言在相当大的程度上还是一个“黑匣子”。这种状态是影响提高网络安全与管理水平的主要障碍之一。因此,对数量众多的网络终端,乃至整个电子政务网实施有效的管理,必须建立起一套可视化的管理平台。管理人员可以通过这个可视化管理平台,及时准确地掌握网络终端的实时状态和全网的运行情况。
——配套相应的管理制度和终端安全管理工作流程。
仅有一个好的产品平台往往不能达到预期的效果。为了真正实现对数量众多和环境复杂的网络终端进行有效的管理,还需要配套制定相应的管理制度,信息安全管理人员也应基于管理目标和采用的管理平台制定切实有效的信息安全管理流程。这样把产品和规范结合在一起才能达到最佳的管理效果。
在这样的思路指导下,笔者所在的杭州市拱墅区政府电子政务网采用了准入控制系列产品为电子政务网络终端安全与管理提供了一套比较全面的解决方案。该解决方案主要从如下四个方面来解决网络终端安全与管理问题。
第一是建立安全可靠的网络环境。这主要包含安全补丁的自动升级,完整的网络边界管理,特别是在内网安全管理中包含了数据安全、无死角杀毒和ARP管理等等。第二是建立有效的终端入网规范管理机制,达到“违规不入网、入网必合规”的干净、规范环境。第三是对数量众多的网络终端提供全面的远程维护,并且提供集中可视化管理。第四则是协助用户制定有针对性的管理规范和终端安全管理工作流程。
全新的终端安全管理思路和解决方案,有力地支撑起了终端管理,网络安全水平和网络资源应用效率得到了很大的提高。
(作者单位:杭州市拱墅区信息中心 ;杭州市水业集团有限公司水表检测中心)