一个典型的电子政务办公网,按功能来分大约可以分成下面几个部分:
内网业务系统:在内部网上实现的各种网络应用,数据库,办公系统等。
公文流转系统:在外部网上实现公文异地传输,信息传递等。
网上发布系统:信息在因特网上发布,成为企业与大众的沟通的渠道。
毫无疑问,信息安全对企业来说是至关重要的,政务系统的网上正常运转,需要各个方面的安全保证。通常,从技术上来说,信息系统的安全有三个方面的问题:
网络安全:防止非法的外来访问者对信息资源的破坏。
系统安全:防止病毒、后门等代码对信息系统的破坏。
应用安全:防止来自内外部的有意或者无意的窃听、篡改和破坏。
相比起前两类安全问题来,应用安全的隐患其隐蔽性更深、破坏性更大、综合防范更为复杂。国内外的应用经验表明,大量的数字犯罪通常来自于内部。
应用安全问题,实质上是个管理问题。产生安全问题的原因是,
机构是有结构的,每个人只能在自己的职责范围内行使职责,进行相关的业务;
机构是有层次的,每个人只能获取自己所在层面应得的信息,严格防止业务越权。
信息资源是有安全层次的,不同层次的信息只能被相应层次的人所访问。
从根本上讲,这是一个管理与控制的问题。管理包括对人的管理和对资源的管理以及对网络的管理。比如人的管理,就是确认一个人的有效身份、授权以及访问控制;而信息资源的管理,应该是针对信息存储和传输过程中的机密性、完整性、真实性、不可抵赖性的管理
像网络管理,我们认为就是网络域管理、网络行为监控管理(网络**)、网络流量管理、
个人计算机管理等。
目前网络上的大部分信息都是在明文传输,而网络上到处可以见到的窃听工具,对网上办公的信息安全产生了威胁。由于窃听的隐蔽性、被动性和难以探知等特点,使得我们在做信息系统的安全设计的时候,应该主动采取安全措施,防范传输过程中可能出现的窃听。
随着网上办公的广泛开展,越来越多的重要信息也开始在网上传输。对于这类信息,必须严格保证它们的完整性。任何对数据进行有意或无意的改变,都可能影响信息的有效性,甚至最终导致决策上的重大偏差和失误。
身份鉴别是进行权限管理的基础,也是实施资源控制的前提。
现在多数系统的身份是由验证用户和口令来实现的。随着应用的深入,传统的用户和密码验证身份的方式,越来越不能适应业务系统的要求。
猜试用户口令密码的软件工具网上到处可见,容易使用,一个稍微有点计算机基础的人,大约几分钟就可以学会使用,几十分钟就可以把用户和密码猜试出来。
如 果经常的改换口令又给应用带来了无法容忍的麻烦——网上应用越来越多,有Notes办公系统,有数据库系统,有电子邮件系统,还会有财务系统,人事系统等 等等等。尤其是领导,需要经常访问各种系统,以全面掌握机构运做情况。要对众多的应用经常改换口令以保证应用安全的话,需要经常记忆大量的口令,稍有不 慎,就会发生因口令记忆错误而导致的系统不能进入、应用不能访问的问题,
迫切需要采用新的技术、用更高安全性的方法来取代传统的口令密码方式,来解决身份认证问题。
尤其关键的是,口令带来了人员管理的难度,因为口令并不能代表一个人的身份!
身份鉴别不仅用来控制访问者的权限,更可以使信息提交者对其行为负责。在网络办公环境中,起草的报告和作出的批示就象传统文件一样需要签名,以示对所签署的内容负责。有了数字签名的文件才能在行政和法律上分清责任。
但在传统方式中,文件和签名是可以分离,因此可以伪造签名;而网络环境中,数字签名应与文件本身结合得更紧密一些。
信 息化的建设需要4A的服务(anyone anytime anywhere anthing),就是说任何人在任何时候任何地方都能访问到其权限内的应用和资源。移动和远程办公对于提高企业的效率,实现统一的管理十分重要。由于移 动办公一般都采用INTERNET的资源,所以其安全方面至少要保障:文件的机密传输(建立安全通道)以及身份认证和访问控制。
江苏天益网络信息有限公司以成熟、先进的PKI体系为技术基础,采用管理+控制的先进理念来保障内部应用系统的信息安全。通过PKI体系来确定一个人的身份和权限、通过加密和签名的手段来保障文件的安全管理。
尤其可贵的是,江苏天益网络信息有限公司将复杂难懂的PKI体系以产品的方式提供给用户,在用户不需要了解任何技术细节以及不对原来系统做任何改动的前提下,轻松实现:人员的集中管理、权限的集中管理以及资源的安全管理,并实现集中的访问控制。
江 苏天益通过为企业用户建立小型的CA(数字证书认证中心),从而赋予每个人员(包括内部和外部人员)的数字身份证书。通过天益freelink信息安全平 台将所有的应用整合到一个平台上进行集中的认证、授权和访问控制。同时天益freelink信息安全平台将所有的应用系统与访问客户端之间建立安全隔离, 对应用系统实现钟罩式的保护。通过电子签章系统实现内部文件的真实性和不可抵赖性。通过天益freelink信息安全平台上的VPN口建立远程和移动办公 连接。将远程和移动办公用户接入到平台上进行统一认证和授权。通过TO-KEY桌面安全系统保障个人计算机的桌面安全以及实现双因素的身份认证。
天益freelink信息安全平台为用户提供安全代理服务;OA服务器、其他应用系统为要保护的应用系统。
内部和外部用户只能通过天益freelink信息安全平台对服务器进行访问,平台对
访 问的用户实现统一认证和访问控制。远程用户和天益freelink信息安全平台之间建立SSL VPN隧道。应用服务器和内部客户端以及外部客户端分别属于三个不同的域,由天益freelink信息安全平台实现安全隔离。客户端用户以TO-KEY数 字令牌+PIN码方式和天益freelink信息安全平台之间进行数字证书双向认证。TieasyminiCA数字证书管理系统为用户颁发数字证书,并对 用户证书和密钥进行管理。