伴随着因特网（Internet）在全球范围的推广普及，全社会的信息网络化建设进入了飞速发展的崭新阶段，“知识经济”时代已经来临。1999年启动的“政府上网”工程，是我国政府部门信息化建设的良好开端。在我们看来，政府机关的信息网络安全，尤其是作为各级政府机关在网络世界中的服务窗口的因特网站点的安全问题，关系到国家主权和形象，必须慎重对待、妥善解决。目前，我国因特网信息网站的安全现状普遍令人担忧，由于技术和管理都处于落后、被动的局面，经常遭受国内外的敌对势力、网络黑客的攻击和破坏，网站主页内容被篡改、网络服务陷于瘫痪。据公安部的不完全统计，1999年的前8个月中，我国中央、国务院各部委和省级政府与金融服务机构的因特网公共网站受到网络黑客攻击，造成不良影响和严重损失的案例已超过20起。

      信息网络安全主要涉及计算机系统安全、网络安全、信息安全等多方面，其中计算机系统中最关键的操作系统几乎全部是由国外厂商提供，关键技术掌握在别人手里，安全得不到保证；计算机的核心CPU也全部是美国产品；信息安全方面最重要的加密算法也受到美国出口限制，根据美国法律，出口加密算法及其相关产品是与出口军火一样受到严格控制的，向美国以外、特别是发展中国家出口的安全产品，必须是美国完全掌握其破解技术的产品；而美国没有掌握、或不能充分破解的技术，是绝对禁止出口的。虽然我们国家也有自己的高强度密码算法，但是由于相关的微电子制造工艺技术的落后，无法生产出加密模块、IC卡等硬件产品，同时由于不掌握操作系统内核，也很难将自有算法嵌入现有系统中。在网络领域中，我们目前使用的路由器、交换机等主流网络设备绝大多数也是国外的产品，无法得知是否存在安全隐患和安全漏洞。

      虽然存在诸多的不利因素，但是，我国许多科技界、产业界的有识之士本着拼搏奋斗、报效祖国的满腔热情，充分利用因特网的技术开放环境，吸收国外先进的计算机网络安全技术，结合中国人的勇气和智慧，成功地开发出多种网络安全产品，及时满足国内网络用户、尤其是政府机关信息管理的安全需求。清华得实网络安全技术有限公司，背靠清华大学，具有丰富的技术和人才优势；公司较早地认识到网络安全技术是网络社会健康发展的基础，积极跟踪国际上的网络安全技术发展方向，通过引进、消化国外先进的网络安全技术，独立开发出多项具有自主版权的网络安全产品，对于国内的不同行业，提供完整的网络安全解决方案。

      以下，我们主要针对政府机关因特网站点的安全解决方案进行较为详细的论述，希望本文能够对我国各级政府网站的规划设计者和领导决策者起到参考与借鉴的作用。

 

      在本方案中，我们假定某政府机关在因特网（ChinaNet）上建立了一个公共服务网站，在这个网站上支持两种类型的信息访问方式：Web网站服务和电子邮件E-Mail服务。社会公众通过普通的因特网浏览器可以登录此Web网站，浏览政府的新闻公告、查询公开的档案资料；并且可以向政府机关的业务管理或服务人员发送电子邮件。为了提高Web站点的服务性能，网站的设计者以主机托管方式将主站点（Web服务器和Mail服务器）设置在中国电信工作机房，实现与ChinaNet的高速连接；并且在机关的信息中心设置一个备份服务器，兼做Web网站主站点信息更新的工作站点；主站点和备份站点之间通过DDN专线进行连接。网络拓扑结构如下图所示：

图1 某政府机关因特网信息网站结构示意图

      下面，我们针对图1的网站模型进行安全需求分析，提出相应的安全策略，采取安全技术手段以及安全管理策略，最终构建具备相当安全等级保护能力的、具有良好开放性、可靠性和可扩展性的网站安全体系。

　

      安全需求分析

      安全威胁

      我们参考《政府信息网络的安全对策》的有关论述，对政府因特网网站模型进行分析，可以明确判断网站的安全威胁主要来自网络黑客对网站信息服务功能和内容的攻击与破坏，即信息完整性和可用性威胁。具体地说，安全威胁有以下几个方面：

      来自互联网络的黑客攻击，使Web主页信息遭篡改；

      由于黑客攻击，导致Web服务器或Mail服务器对正常网络用户访问的响应缓慢或拒绝服务；

      “特络伊木马”类型的病毒通过感染Web服务器，盗取系统管理员、网络用户的身份和口令；

       计算机病毒通过E-Mail附件的形式侵入Mail服务器，破坏E-Mail接收者的电脑系统，或者窃取E-Mail用户的个人信息；

      由于网站软硬件系统故障导致可靠性和可用性水平降低；

      机关信息中心的网站维护人员通过远程操作方式对Web服务器的主页内容进行更新和维护，这一过程缺乏必要的安全防护措施；

      由于Web服务器没有访问审计能力，一旦受到攻击和破坏，很难追踪和定位攻击的发源地，形成被动挨打的局面；

      完全依赖系统管理员的手工操作不可能监视和排除所有的网络入侵事件，缺乏有效的技术手段监视、评估系统的安全性是非常危险的；

      缺乏必要的网站维护和安全管理制度；

　　安全目标 通过对政府因特网网站的安全威胁的分析，我们可以初步总结基本的安全对策，即必须采取技术手段和管理措施相结合的方式，达到系统安全和数据安全这两个基本目标：

系统安全��提高Web服务器和Mail服务器的抗攻击、防病毒能力，确保系统的可靠性和可用性。

      数据安全��提高Web主页防篡改能力，对遭到篡改的主页内容可以实现自动的即时恢复。

　

      安全总体设计

      安全设计基本原则

     政府机关的因特网站点安全总体设计应遵循以下基本原则：

需求、风险、代价平衡性��Web站点的绝对安全是难以达到的。通过对安全威胁的定性与定量分析，制定行之有效的安全策略，同时在安全性和投资之间寻求平衡。

      综合性——;运用系统工程的观点、方法分析站点的安全问题，制定工程上可行的具体安全措施，综合应用多种安全措施。

      一致性——;安全措施与网站生命周期同步，安全体系结构必须与安全需求保持一致。

      易操作性——安全措施易于使用，不能影响系统正常运行。

      适应性、灵活性——安全措施能够适应系统性能及安全需求的变化。

      多重保护——构建一个具备多重保护能力的系统，当安全系统某局部被破坏时，其它部分仍能够有效提供安全服务。

       安全管理小组

       由机关信息中心的领导亲自挂帅组建安全管理小组，小组成员包括安全技术顾问、系统管理员、计算机网络设备维护人员、网站信息录入人员、软硬件供应厂商、ISP等。安全管理小组负责制定、实施、评估具体的安全解决解决方案和安全管理制度。安全解决方案将在下面的章节中详细论述；基本的安全管理制度应包括：

      人事安全管理制度

      操作安全管理制度

      场地与设施安全管理制度

      设备安全管理制度

      操作系统、数据库安全管理制度

      计算机网络安全管理制度

      应用软件安全管理制度

      技术文档安全管理制度

      数据安全管理制度

      口令安全管理制度 应急管理制度

　

      总体技术方案

 

      遵循安全设计的基本原则，结合当前政府机关因特网网站的特征，利用管理和技术手段应达到网站安全的四个目标：

      有限授权——只有系统管理员、信息录入员有权对网站信息进行更新和控制，其他网络用户只能浏览Web主页信息、收发电子邮件。

      预防攻击——对于来自因特网的黑客攻击，应以预防为主。采取相关措施，增强Web服务器和Mail服务器的防黑客、抗病毒的能力。

      瞬时恢复——;对于遭到破坏的Web服务器和Mail服务器，可以在尽量短的时间内进行自动或人工恢复，杜绝或弥补由此造成的不良影响。

      审计跟踪——详细登记网络用户的登录情况、对信息资源的访问情况，尤其是网络黑客的攻击过程。通过分析审计记录，及时发现并封堵系统漏洞，提升系统安全强度，定位网络入侵来源，举证网络黑客的法律、刑事责任。

      具体的安全技术方案内容如下：

      实现对Web站点信息的状态监测，防止被篡改。一旦信息被篡改，系统能够快速、自动修复受损信息。

      系统安全漏洞检测。通过对操作系统和网络服务安全漏洞的周期检测，实现Web站点主机的安全。

      防范病毒。保证网站各类服务器免遭网络病毒侵害。

      访问过程的审计跟踪。准确记录访问状态，并以此作为安全事件处理的依据。

      实现对主机服务端口和服务协议的管理控制。

      确保对网站管理和维护的安全，提供身份认证、授权控制、数据传输保密以及数据完整和审计功能。

      实现网站边界安全。实现对防火墙的安全配置和管理。

      具备备份和恢复的能力。