1、目前，在全球信息化的大環(huán)境下，我國信息化發(fā)展十分迅速，特別是政府上網工程和電子政務建設，已經成為中國信息化建設的龍頭。根據2003年1月17日中國互聯網絡發(fā)展狀況分析報告的統計數據，截止~t]2002年12月31日，我國共有wWw站點數約37160o個，在CN下注冊的域名數為179544個。其中以政府名義注冊govcn結尾的英文域名總數為7796個，占en下注冊域名數的43％。第l1次CNNIC調查結果顯示，國家機關、政黨機關、社會團體

2、上網占125％，排在第一。隨著電子政務建設實質性應用的深人，網絡環(huán)境下的領導決策咨詢服務系統建設理應先行一步，借助于先進、實用的電子政務網絡專用平臺，解決長期以來困擾我國決策咨詢機制的諸多薄弱環(huán)節(jié)，理順為領導決策服務的渠道，提高整個領導決策過程的效率和質量。然而，任何事物都有其兩面性，網絡環(huán)境在給領導決策咨詢工作環(huán)境帶來方便的同時，也帶來了網絡安全的隱患。本文著重探討在網絡環(huán)境下，領導決策信息咨詢服務系統安全保障體系建設解決方案和實施策

3、略，旨在提供一種解決虛擬決策咨詢網絡安全保障問題的思路與方法。一、國內外信息網絡安全現狀當今世界，信息化浪潮席卷全球，以計算機網絡為核心的規(guī)?；畔⑾到y發(fā)展勢頭強勁，深刻反映了社會對信息系統的巨大依賴性但當人們在全力打造信息系統的跨時空效能，不斷推出高速計算機、高速網絡，并取得巨大收益的同時，信息安全的諸多嚴重問題已經明顯地暴露出來。例如：由于lntemet存在的嚴重的安全漏洞和隱患，導致各國的國家軍事情報、政府部f1和企業(yè)公司的機密文

4、件以及個人隱私等敏感信息，在網絡環(huán)境中無法得到可靠的安全保障。特別是最近幾年，全球信息網絡系統面臨著諸如不良信息的入侵和污染、“黑客”和計算機犯罪、網絡病毒、機要信息的擴散、信息間諜的潛入等等嚴重威脅網絡安全的致命因素信息網絡的脆弱性已經引起世界各國政府和研究機構的高度重視。國外發(fā)達國家視建立信息網絡安全保障體系全意識淡漠。二、構建領導決策信息咨詢網絡安全保障體系(一)計算機網絡安全體系內涵。國際標準化組織(ISO)將計算機安全定義為：

5、“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄露。”計算機安全的內容包括物理安全和邏輯安全兩個方面。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息完整性、保密性和可用性：保密性指高級別信息僅在授權情況下，流向低級別的客體；完整性指信息不會被非授權修改，信息保持一致性等；可用性指合法用戶的正常請求能及時、正確、安全地得到服務或回應。除此之外

6、，信息系統還應提供鑒別、訪問控制和抗抵賴安全服務以及可控性(二)計算機網絡安全體系層次結構。1網絡層的安全性。其核心問題在于網絡互聯設備以及網絡接口模塊是否論領導決策信息咨詢網絡安全體系建設山東王愛平吳怡青為21世紀綜合國力、經濟競爭實力和生存能力的重要組成部分美、德、英、俄、日等國家均投入巨資，將信息安全技術列為國防、科研和政府資助科研計劃的重點項目，并已形成相當規(guī)模的信息產業(yè)而我國由于網絡發(fā)展起步較晚，雖然已經初步形成了信息安全技術

7、框架，但從總體來看，我國的信息安全保障體系尚未建成，遠遠不能滿足實際需要。主要表現為：信息網絡安全的防護能力差；國家信息安全管理機構缺乏權威與協調；_A社會的信息安能夠得到有效控制。網絡管理員通過配置網管軟件或路由器，實現對整個子網內的所有主機的傳輸信息和運行狀態(tài)進行安全監(jiān)測和控制，同時輔助以身份認證、客戶權限設置與判別、審計日志等方法在網絡環(huán)境下對來自其他機器的網絡通信進程進行安全控制2操作系統的安全性：主要要求把系統內核中可能引起安

8、全性問題的部分剔除出去，從而使系統更安全。由于各種操作系統都存在先天缺陷和由于不斷增加新功能而帶來的漏洞。因此，構建操作系統級網絡安全，需要從幾方面著手：采用安全性較高的操作系統；對操作系統進行安全配置，盡量改變或減少暴露的服務端口號及其數量；利用安全掃描系統檢查操作系統的漏洞；對WWW發(fā)布服務器的內容進行數據備份，并對Web2003年第9期POLICYRESEARCH&EXPLORATION維普資訊發(fā)布頁進行監(jiān)視等。3用戶的安全性。主

9、要確保只有真正被授權的用戶，才能夠使用系統中的資源和數據。在對用戶的管理上，按安全性要求對用戶實行分組管理，根據不同的安全級別將用戶分為若干等級，每一等級的用戶只能訪問與其等級相對應的系統資源和數據。同時，采取身份認證方法，以確保用戶的密碼不會被他人猜測到。4應用程序的安全性。主要解決只有合法的用戶才能夠對特定的數據進行合法操作的問題。其中主要涉及到應用程序對數據的合法權限，以及應用程序對用戶的合法權限。例如：在單位內部，上級部門的應用

10、程序能夠讀取下級部門的數據，而下級部門的應用程序則一般不應該允許讀取上級部門的數據。同級部門的應用程序的讀取權限則要根據工作性質確定權限，以盡可能避免數據的意外損壞。5數據的安全性。就是要保證機密數據始終處于機密狀態(tài)。在數據的保存過程中，機密的數據即使處于安全的空間，也要對其進行加密處理，以防數據失竊。需要指出的是，在網絡建設中，除綜合考慮以上5個層次外，還應該根據信息網絡安全存在著動態(tài)性和整體性的特點，跟蹤最新的網絡安全技術，在原有安

11、全系統的基礎上調整網絡安全策略，添加相應的網絡安全產品，給網絡安全提供強有力的保障。(三)領導決策咨詢網絡安全保障體系構建。1構建目的。領導決策信息咨詢網絡系統是由各級決策咨詢機構和信息情報系統組成的為領導決策服務的網絡保障體系。主要包含兩項任務：一是在網上為領導決策提供全方位信息咨詢服務，形成網上的智力支持；二是將決策方案的執(zhí)行情況，由監(jiān)督系統通過互聯網傳送到決策信息咨詢系統，必要時再將信息系統收集的“反饋”信息和智囊系統的新一輪“會

12、診”情況“反饋”到決策系統，在計算機網絡的支持下實現廣義上的決策咨詢支持，達到領導決策科學化、民主化的目的。2構建步驟。(1)系統安全風險分析。由于安全保障體系分決策信息咨詢服務層、黨政內部決策層等層次，各網絡之間存在著信息資源、服務對象、數據通信方式等方面的不同，因此，信息網絡所面臨的安全風險有很大差異。而在風險分析與評估時，既要確定應用層各層次的安全風險范圍，又要確定信息和系統的風險級別，為有效地防范與控制提供有益的參考依據。(2)

13、系統安全策略。安全策略的實質是：當系統在進行一般操作時，要判斷清楚安全的范圍和內容，目的是力求以最小的代價，保證信息系統的安全，使信息系統發(fā)揮最大的效益。安全策略分為兩大類：一是基于身份的安全策略。這種安全策略的基礎是用戶的身份和屬性以及被訪問的資源或客體的身份和屬性。二是基于規(guī)則的安全策略，包括技術策略和管理策略。安全策略同樣要通過資源安全級別分類、風險級別的分析與評估、決策保護內容等步驟形成：(3)應具備的功能：應具備的主要功能有：

14、訪問控制；檢查安全漏洞；加密通信信息；身份認證；隱藏內部信息；設立安全監(jiān)控中心，為信息系統提供安全體系管理、監(jiān)控、保護及緊急情況服務；攻擊監(jiān)控，如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等；備份和恢復，幫助系統盡快地恢復數據和系統服務。三、安全保障體系實施策略(一)樹立優(yōu)先使用自主信息系統與技術的意識。為了保證領導決策咨詢服務系統安全可靠，必須強調擁有自主知識產權的安全體系的重要性。所以，建設領導決策咨詢安全保障體系，一定要把握優(yōu)先使用國

15、產軟件、硬件，注重積極添置使用自主創(chuàng)新的信息系統和技術，如：安全信息系統的構作集成技術；信息的加解密保護技術；密鑰管理技術；安全審計跟蹤技術等，利用國內外先進的技術和資源，形成有自己技術含量的、集成的信息系統，特別是對核心技術的掌握這樣才可以避免被別人調控的局面，使信息安全防護達到一個新高度。(二)建立統一的安全支持體系。建立統一的安全體系貫穿于從網絡層、系統層乃至應片層的所有環(huán)節(jié)，將各種安全應用技術綜合應用于安全支持體系之中，設立隔離

16、結構網絡使用戶依據相應的權限在安全可靠的環(huán)境下，實現資源共享、業(yè)務聯動等作業(yè)。例如：領導決策咨詢安全保障體系分成政府內網的領導決策系統和外網的決策信息咨詢系統兩部分，內外兩網可以通過Intemet互聯，建立虛擬的領導決策信息咨詢服務專用網絡，虛擬專用網可以在兩個系統之間建立安全的信道，通過虛擬專用網上設立的專用加密技術和認證技術，保證交互訪問時系統的安全性。(三)建立統一的安全操作系統。統一的安全操作系統主要規(guī)范系統內身份標識與驗證、細

17、化的自主訪問控制、特權用戶職責劃分、強制訪問控制、審計跟蹤以及安全管理等方面措施，增強對基本安全功能的支持。例如：按照國標GB17859—1999“計算機信息系統等級保護劃分準則”，規(guī)定了5個不同等級的保護要求，關系領導決策咨詢方面的重要信息資源網絡必須達到3級以上保護要求。在3級保護標準中，最重要的安全功能就是引入強制訪問的控制。安全操作系統，必須把應用系統內的重要信息資源，按照系統訪問控制中設置安全策略的固有法則，實行強制保護。(四

18、)技術支持措施。在技術上要求適應網絡動態(tài)變化，建立白適應的安全保障體系。安全平臺可以采取虛擬局域網(VPN)技術、防火墻、加密技術、系統控制、程序順序控制、SSL安全控制、數據庫訪問控制和反病毒技術等技術支持措施。(五)安全管理措施。首先，建立法律政策、安全教育等內部軟環(huán)境，依法管理。其次，建立嚴格的管理制度。包括：安全負責制度、運行審批制度、日志管理制度、災難恢復||度、賬戶和密碼管理制度、有害數據及計算機病毒的預防和發(fā)現及清除的管理