构筑电子政务安全

今天是 2008年12月2日星期二

电子商务直通车 --> 文章分类 --> 电子政务研究 --> 电子政务分析 --> 构筑电子政务安全
构筑电子政务安全电子商务直通车发表时间：2004年10月21日信息来源：计算机世界报
行业专家：东软股份高级副总裁兼运营总监卢朝霞安全专家：东软股份网络软件事业部部长曹斌主持人：《计算机世界》报编辑、记者肖伟电子政务安全隐患肖伟: 网络的复杂性和行业的特殊性，带来了多样化的网络安全需求。今年的电子政务搞得非常热，东软也有很多相关的项目在做，在这种大潮下您认为该如何去理解电子政务的安全？卢朝霞: 电子政务是一个庞大的工程，它的根本不是技术问题而是业务模式的再造。不过，在电子政务建设中有一些关键的技术，而安全技术正是其中之一。因为电子政务涉及到很多领域，有公安网、劳动网、财政网、地税网，还有很多其他的网，这些不同的网都需要保证自己的安全。肖伟: 与金融、教育等行业应用相比，电子政务的安全有什么样的不同？卢朝霞: 我认为金融是比较特殊的，比如金融行业的安全认证非常重要，在金融里面，安全的平台组织认证没有做好就很难做后面的。对于教育来讲，在整个网络构架里面一定要内容安全，而在信息发布和应用系统的平台方面对认证的要求就不高。而电子政务的安全则包括了很多方面的内容。肖伟: 在目前的电子政务建设中，主要存在哪些安全问题？卢朝霞: 第一个问题就是认证。以公安网为例，从省级公安网进入市级公安网，这个认证到底以谁为主，是先进行纵向认证还是先进行横向认证，认证平台放几个，到底怎么样认证都是问题；而第二个问题是，在进入之后，如何能够保证数据不会被修改、破坏；第三个问题就是，作为面对外界的公网，它的防火墙如何防止外来的攻击和修改；然后是，在全国范围的大网上，如何建立一个虚拟的专网，比如说像电信、网通这样大的运行机构，虚拟专网的这种安全性也是其广泛考虑的问题；另外，我们不应该只是被动地等着人家打自己，应该主动地去监测、扫描，随时监测访问者的行为。同时，很多固定的安全的东西一定从开始就要做好，比如说一些专用的安全保险、安全设备、相应的连接接口等等。从技术上来讲，安全是非常重要的。但我认为安全还包括网络技术，怎样才能够实现快速、可靠、不间断也是一个安全问题。如你的网络出现间断，怎样才能够快速地恢复？电子政务应该启动数据库技术。我前几年就说过，数据库技术包括大容量的数据、数据集中、数据挖掘、数据的查询、数据统计等等。这里面存在着多媒体信息，有声音、有图像、有领导的签章、领导讲话的录音、领导做的报告。多媒体数据的这种存储肯定是数据库的技术，是安全平台技术。肖伟: 在电子政务建设中有这么多需要注意的安全技术，那么不同地方的电子政务建设如何满足它们不同的需求？卢朝霞: 我觉得不应该是从单个的安全技术来考虑，考虑的应该是安全技术与其他技术形成的安全解决方案。有些地方觉得安全特别神秘、不得了，我觉得这个问题并不神秘，但安全问题确实又非常重要。如果在刚开始建网时就开始考虑安全问题，就可以在后期节省很多人力和物力。前期要规划好，但是实施可以逐步地开展。如果没有钱怎么办？没有钱必须采用跟进策略，先部署最基本的安全设施，先让网络用起来，随着应用的增加而增加，逐步完善。东软护航电子政务肖伟: 在目前电子政务建设中，在安全方面的支出占总体支出的比例是多少，现在的投入比例合理吗？卢朝霞: 应该说在电子政务中的投资，如果不算基础网络，在整个投入当中，网络安全产品曾经有一说法应达到39%。咱们现在在这个方面国家投入还是比较少的，按照国外的理念，逐渐地形成一种规模以后，按规定安全必须要有一定的量，大概要达到三分之一左右。目前我们的基本要求平均是在12％左右，但我们现在的投入肯定远远低于这个数字。另外，我觉得这个里面一定要有一个正确的标准的意识，在刚一开始的时候，我们一定要有个框架、一个大的设计，然后在做的时候再逐步完善。曹斌：现在的要求基本是在10％～15％，但像电力、电信、金融等一些对安全要求较高的行业，这个比例就要更高。肖伟: 那么在东软的电子政务整体解决方案中，安全解决方案所占的比例大概是多少？卢朝霞: 现在这个比例还是比较小的，达不到10%。从目前来讲，不管是属于哪个行业，虽说对安全已经是非常非常重视，但是真正的资金和其他的投入是有限的，远远达不到刚才说的那几个比例。从观念上来讲，许多人还是认为安全是可有可无的，他们不知道有一些地方是需要先投入的，有一些地方是可以后投入的。所以，整体上的投入还是不够的，差不多能够占到总投资规模的10%左右就已经算是重视了。肖伟: 刚才咱们也谈到了很多电子政务安全方面的问题，那么能否谈谈东软在具体实施电子政务项目的时候，如何去保证电子政务的安全性？卢朝霞: 从我们的角度来说，我们会根据不同的应用，以及用户的需求和发展阶段的不同，提出很多相应的解决方案，有的是提出基础设施建设的解决方案，有的是从内容方面提出一些相应的措施和方案。根据不同的用户，我们会有相应的这种弹性。东软在做方案的时候，通常是从安全的基础设施着手，比如防火墙和防病毒。但有一些项目在关键的地方已经开始对入侵监测和安全审计做一些相应的解决方案，另外还要考虑加密技术和认证平台，这方面既要考虑国家的有关政策和规划，又要结合具体的业务特点。在我们的方案中有一些是我们自己的产品，有一些是集成其他厂家的产品，对于东软来说，我们不可能全部用自己的技术解决问题，只要是符合用户需求的，同时能够符合国家的标准和政策，质量有保证的产品，我们都有可能集成到我们的安全平台当中来。肖伟: 在东软的安全解决方案中，有哪些方面的产品是东软自己可以提供的？卢朝霞: 东软的安全产品是以NetEye为统一的品牌，发展很多年了，已经构成了一个系列，在市场上也有很高的知名度，比如NetEye防火墙、NetEye 入侵检测、NetEye VPN系列、基于PKI的加密工具，同时我们还为一些行业客户提供定制的专用的安全产品。曹斌：东软的安全产品强调在核心安全技术方面的不断进步和产品可靠性的保障。比如，NetEye防火墙3.1基于状态包过滤的流过滤体系结构，可以保证从数据链路层到应用层的完全高性能过滤，其集成的VPN功能通过简单、人性化的虚拟通道设置有效地提高了VPN的部署灵活性、可扩展性，大大降低了部署和维护的成本；而最新开发的网络安全产品NetEye IDS 2.0可以通过对网络进行不间断的监控，扩大网络防御的纵深性，利用先进的基于网络数据流实时智能分析技术判断来自网络内部或外部的入侵企图。不过，在具体做解决方案时，东软会帮助用户去分析、规划，而不单纯只是说卖一个防火墙或一个入侵检测系统。另外，安全里面涉及的层面非常多，任何一个公司都不可能提供全部的安全产品，所以我们也会根据用户的需求帮助他们去选择，用我们的专业知识帮助他们去评价什么样的产品更适合，什么样的产品能够更有效地帮助他们解决某一方面的问题。肖伟: 运用这些安全产品和安全解决方案进行电子政务的安全建设，目前东软有没有一些成功的应用案例？卢朝霞: 在南海的信息化建设中，他们的安全平台上首先运用了我们的医保系统和财政系统。用户也感觉到，如果他们的电子政务不去认证，安全性就得不到保证，所以财政系统首先要解决的是身份认证的问题。另外，比较典型的还有辽宁的社会保障。我们在这里面都做了相应的一系列的整体安全解决方案，包括在各市都用他们自己相应的各种安全产品。另外，医院里面的网上通，我们建议他们用一些固定的产品。对于医院的联网，通过我们的安全产品替代他们原来有的一些网卡或者其他的通信设备，实现网络的传输安全。辽宁我们是做得相当不错的，辽宁大社保包括七条线，每条线里面都有我们相应的安全设施。肖伟: 正如前面所说的，安全方面的投入在电子政务总体投入中的比例偏低，您认为在电子政务的下一步建设中应该如何来解决这一问题？卢朝霞: 我觉得这里面有国家要做的事情，国家要定标准规范，而且要引导整个市场的需求变化，各个政府部门或者是各城市都应该把安全问题作为一个重要的问题来抓。但这也不是说要一下子投入很大，而是要有一个分步的投入。各地市在建网络时必须有一些东西是要先做的，如果不做就不能上这个网。另外，电子政务的安全建设还应该通过应用来拉动。我觉得电子政务应该是以服务于市民和服务于企业为中心，通过这种服务及应用观念来拉动内部的建设，拉动整个电子政务的发展。同时，应用也必定会推动安全产品的研发和安全平台的建设。曹斌: 从安全技术来讲，大多数的安全问题都可以找到相应的技术来解决，但国家应该有相应的统一的标准来进行指导。虽然这种标准不可能一下子搞得特别全，但我觉得应该先出台一些关键的东西。比如说，现在各个市都在建立自己的安全平台，是不是需要各个市都建？安全平台应该建在哪一级合适？哪些应用是必须在这些平台上跑的？等等这些都需要国家有相关的政策来指导。
大部分文章摘自网上，如有侵犯您的权益请来信告知，我们会第一时间进行处理，谢谢!	[ 打印文章 ] [ 关闭窗口 ]