地方財政計算機網絡信息安全問題及對策

摘要：隨著信息技術的迅猛發展和廣泛應用，地方財政計算機網絡應用也快速發展。網絡信息安全工作明顯滯后于網絡建設。本文從地方財政網絡安全的現狀入手，對其目前存在的問題和威脅進行了分析研究，并針對這些問題提出了相應的解決策略。

關鍵詞：財政信息化建設；計算機網絡；信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044(2008)16-21205-02

Local Finance computer Network Security and Countermeasures

XIE Jiao-hong， WU Yan-min， YAN Hao

(Information Center of Dalian Finance and Taxes，Dalian 116001，China)

Abstract:With the rapid development and extensive application of information technology， LocalFinance computer Network application rapid development. Network information security is obviously lagging behind in network building. Based on the current situation of the local finance computer network security and discussed the existing problems and threats， In view of these problems and the corresponding solutions strategy.

Key words: Finance Information Construction ;computer network; Information security

隨著我國財政信息化建設突飛猛進的發展，地方財政計算機網絡應也用快速發展，計算機網絡信息的安全問題變的尤為突出和重要，由于網絡本身的諸多特性，如共享性、開放性、復雜性等，網絡信息系統自身的脆弱性，如操作系統的漏洞、網絡協議的缺陷、通信線路的不穩定、人為因素等，給網絡信息系統的安全帶來了嚴重威脅。因此網上資源的安全和保密是顯得尤為重要，如何保護重要的數據、提高計算機網絡系統的安全已成為計算機網絡應用必須考慮和必須解決的問題。

1 地方財政目前計算機網絡信息安全存在的威脅

網絡安全所面臨的威脅來自很多方面，總體來講這些威脅可以分為人為威脅和非人為威脅。

1.1 人為威脅

現對大連市財政局計算機網絡進行充分調查分析，總結了其面臨的人為威脅主要分為以下幾類：①內部人員安全威脅。內部人員安全威脅往往由內部人員造成，他們具有對網絡信息系統的合法訪問權限。內部安全威脅分為惡意和非惡意兩種。惡意內部人員攻擊是指出于各種目的而對所使用的信息系統實施的攻擊；非惡意威脅則是由于合法用戶無意行為造成了對網絡信息系統的攻擊，主要由于誤操作、經驗不足、培訓不足而導致對系統造成了無意破壞②被動攻擊。這類攻擊主要包括被動監視開放的通信信道（如：無線電、衛星、微波和公共通信系統）上的信息傳送，例如：監視通信數據、口令截獲。③主動攻擊。攻擊者主動對信息系統實施攻擊，包括企圖避開安全保護，引入惡意代碼，以及破壞數據和系統完整性。例如：修改在傳輸、存儲、處理過程中的數據，破壞了政令、社情信息的完整和準確性。④臨近攻擊（接近攻擊）。此類攻擊的攻擊者試圖在地理上盡可能接近被攻擊的網絡、系統和設備，目的是修改、收集信息或者破壞系統，臨近攻擊最容易發生在沒有良好保安措施的地方，臨近攻擊最典型的例子有：偷取磁盤后又還回、偷竊屏幕信息、收集作廢的打印紙、物理毀壞通信線路等。⑤分發攻擊。這種攻擊是指在軟件和硬件的開發、生產、運輸和安裝階段，攻擊者惡意修改設計、配置等行為。作為地方財政尤其要注意使用合法的軟件產品，從正式廠家選購硬件產品，由有資質的集成商提供外包服務。否則，設備、軟件的采購和交付，系統建設等階段都可能出現構成安全威脅的行為，例如：在開發制造商的設備上非法修改軟硬件配置、在產品分發、安裝時非法修改軟硬件配置等。

1.2 非人為威脅

非人為威脅也可分兩類，一類是指來自于各種自然災害，一類來自于信息技術的局限性、漏洞和缺陷。惡劣的運行環境、電磁輻射、電磁干擾等方面的威脅，典型的自然災難包括：地震、水災、火災、風災等自然災難可以對信息系統造成毀滅性的破壞。另外，同所有技術一樣，信息技術也不是十全十美的，它的局限性、漏洞、缺陷，人們很難預先知道。典型的漏洞包括：系統、硬件、軟件的技術漏洞、實現漏洞和配置漏洞。信息系統的高度復雜以及信息技術的高速發展和變化，使得信息系統的漏洞成為嚴重威脅信息系統安全的最大隱患。

2 地方財政計算機網絡信息安全防范措施

2.1 技術措施

目前最具有代表性的網絡安全技術主要有：防火墻、網絡入侵檢測、防病毒網關、漏洞掃描系統、安全審計系統、終端安全管理系統、CA身份認證授權系統、網頁防篡改系統，圖1是大連市財政局網絡安全拓撲圖：

大連市財政局網絡安全建設是基于ISSE(Information system security engineering)信息安全體系的設計思路，通過統一協調的安全策略形成動態的縱深安全防護體系。其實現流程示意如圖2所示：

從圖中可以看出外部訪問大連市財政局財政內部網絡的信息通過加密的方式首先流經具有VPN功能的防火墻，根據我們預設的規則，對訪問請求進行規則匹配，符合規則放行，否則阻擋丟棄，此時外部符合防火墻規則的信息流進入內部網，這時入侵檢測產品在不占用網絡帶寬的情況下對包括內外用戶的信息流進行通用應用偵測，并對具有攻擊行為的TCP連接進行阻塞，同時通知防火墻更新規則阻斷后續攻擊，通過入侵檢測偵測的用戶訪問信息流接下來進行基于用戶的身份認證和財政專用的應用審計確定用戶的相關訪問控制權限，然后用戶訪問信息流通過中間件平臺對財政信息資源數據庫進行訪問，在訪問過程中還要經過核心防火墻的訪問規則過濾和遍及全網的防病毒檢測和查殺；網關人員可根據安全產品的日志、警告等隨時調整規則已便更好的達到動態的縱深安全防護體系。

它的技術設計不是一勞永逸的，是有其生命周期的，我們可以通過ISSE安全建設設計思路保證該安全建設項目是一個動態的、環狀閉合的ISMS（信息安全管理體系）。

2.2 管理措施

一個強健而完整的信息安全保障體系僅有先進的科學技術保障手段是不夠的。技術本身是信息安全體系的一部分，是輔助實現信息安全的手段。在人員不經過系統培訓，沒有運行程序指導其應用的情況下，信息系統配備的各種安全措施并沒有多大價值。而人是信息安全系統的使用者，是信息安全中最活躍的因素。統計結果表明，在所有的信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成，而70%-80%是由于內部員工的疏忽或有意泄密造成。人，特別是內部員工可以是對信息系統的最大潛在威脅。反之，通過以人為本的有效的信息安全管理，人也可以是信息系統最可靠的安全防線。安全管理能夠充分發揮系統安全設備和安全技術措施的作用，有效的程序性安全機制更可以彌補安全設備和技術措施的不足，減低信息系統安全的剩余風險，使網絡及計算環境的安全運行得到保證。因此要建立安全的計算機網絡系統，必須有完善的規章制度，同時，無論是系統管理人員還是使用者養成良好的計算機使用習慣也是重要的安全防范手段，提高工作人員的保密觀念和責任心，嚴守操作規程，防止人為事故的發生。還要加強對信息的安全管理，對各種信息進行登記分類，有絕密、機密、秘密和非秘密信息，對有密級數據從采集、傳輸、處理、存儲和使用等整個過程，都要對數據采取相應的安全措施，防止數據有意或無意泄露。

2.3 完善物理安全措施

物理安全管理是系統安全管理的重要組成部分，它包括網絡和基礎設施、計算環境設施、支持性基礎設施的物理安全。它是為了防止未授權個人或團體以更改、收集或拒絕訪問信息為目的，物理上接近網絡、系統或設備，破壞、修改或盜竊網絡基礎設施、業務系統服務器或應用軟件，或者竊取各種介質（如磁盤、光盤、硬盤）上的重要數據。物理安全管理可以采取以下措施：①規定信息安全區域。應區分公共區域，內部辦公人員區域及保護區域。在限制的內部辦公人員區域及保護區域設立相應的出入控制制度。在機房等保護區域的門禁制度應更加嚴格，可以要求出入人員提供身份證明，并對其出入時間和進入原因、完成什么工作進行記錄。②指定專人對機房內各種設備進行管理，列出機房設備清單，對設備進行標注，對各設備的配線連接和配置進行記錄。③指定專人負責機密信息和數據的載體，如備份磁盤、光盤、硬盤等的保存、傳輸和銷毀，制訂出相應的操作規程。

3 結束語

計算機網絡信息安全是一個復雜的系統工程，它涉及管理，制度法規，物理環境等諸多方面因素；以及專業技術措施(訪問控制、加密技術、認證技術、攻出檢測技術、容錯、防病毒等)。是一個綜合性很強的工作。任何安全系統都不可能提供一勞永逸的安全保障，隨著技術的發展，安全問題也層出不窮，只有各個方面結合起來，相互彌補，不斷完善，才能有效地實現網絡信息的安全。

參考文獻：

[1] 信息技術-安全技術-GB/T.18336-2001. 信息技術安全性評估準則.

[2] 中華人民共和國財政部《政府財政管理信息系統安全總體標準》.

[3] TECHNICAL REPORT，ISO/IEC TR 13335 Information technology Guidelines for the management of IT security.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。