政务内网(共4篇)
政务内网 篇1
随着电子政务、电子商务的在我国大规模普及应用,涉及计算机信息领域的安全事件也越来越多,由信息安全给国家造成的经济损失也越来越大、政治影响也越来越大,有的甚至已经达到泄露国家机密、威胁国家安全的地步。据统计,80%的信息安全事故为内部人员和内外勾结所为,而且呈上升的趋势。因此,本文以“防内为主、内外兼防”的模式,从提高使用节点自身的安全着手,构筑积极、综合的安全防护系统为出发点,设计了基于TPM的电子政务内网安全支撑平台,实现内网用户身份、操作权限、工作空间的完整性、可用性,提高信息存储、处理、传输的机密性和完整性,保证硬件环境配置、操作系统内核、应用程序服务的有效性,并通过实时更新安全组件的方法,确保系统具有病毒的免疫能力。本平台的研发、使用和推广,对于发展我国电子政务的建设和发展起到积极的辅助作用。
1 系统组成
本系统由安全平台、监控客户端和UKey组成,如图1所示。基于TPM的安全支撑平台是系统中心部件,负责通讯加密、用户身份认证、安全策略制定、终端使用授权、以及接收客户端软件、网络监控引擎、漏洞扫描器等反馈回来的警报信息,并全面协调、控制其它各部件的运作。安全平台由九个功能模块组成,如图2所示,它们分别是TPM模块,负责信息加密和身份认证,是其它功能部件的基础;客户主机监控模块,负责分析和控制客服主机的文件存取、网络连接等操作行为;应用监控模块,负责监控业务应用软件的运行情况;网络监控模块,负责监控安全域内网络的使用情况和安全隐患;漏洞扫描模块,负责定时检测内网各主机和网络设备存在的漏洞;反病毒引擎模块,负责防范软件病毒的入侵;中心管理模块,负责监控和管理各组件的运行情况;平台自保护模块,负责保护平台在自身的安全和稳定。监控客户端安装在内部局域网的各主机上,由监控中心控制,可根据监控中心设定的监控策略对主机行为、接口、外设等进行监控,并把监控数据和警报信息发回监控中心。Ukey是硬件加密钥匙,保存用户密钥和身份信息,用户要通过Ukey通过系统的认证。
2 主要模块说明
1)可信平台模块
TPM[1,2,3](可信平台模块)是一种基于TCG(可信赖计算组织)工业标准规范,含有独立密码运算部件和存储部件的系统安全芯片,能用于存储口令、数字证书和加密密钥,为各种计算平台提供安全认证、身份认证、信息加解密、硬件保护存储和安全网络接入等服务。TPM的芯片内部结构主要部件有密码协处理器,负责加解密和签名操作;HMAC引擎,负责HMAC计算;SHA-1引擎,负责SHA-1计算;非易失性存储器,负责存储与TPM关联的信息;执行引擎,负责运行程序代码和TMP命令;密钥生成器,负责创建RSA密钥对和对称密钥;易失性存储器,负责作为TMP的工作存储器[1]。
TPM是可信计算平台的“可信根源”[4],从硬件底层来提供对于计算设备的保护。本系统对基于硬件的“可信根源”进行扩展,包含相关软件功能,实现对系统中的安全风险进行准确的测量,而这些测量数据将作为系统调整安全策略的重要依据。
2)客户主机监控模块
客户主机监控模块由监测分析模块和功能实现模块两部分组成,如图3所示。监测分析模块负责分析和检测对系统的文件存取和网络连接等引发的各种事件和驱动调用行为,而功能实现模块主要完成本系统的各种具体功能。监测分析模块由内核层监测子模块和应用层监测子模块组成。内核层监测子模块主要采用钩子(hook)和回调函数(Callback function)技术,可以实时监测内核驱动、API调用和设备驱动等各种内核不同层次的调用事件。文件的存取和外设的动作最终都要调用内核中驱动程序去完成,而挂接在这些驱动程序上的钩子可以立即感应到这些存取事件和动作,激活相应的回调函数。回调函数对事件进行初步分析,提取出有关的信息,然后将这些信息上传给监测分析模块进行筛选分析。应用层监测子模块主要监测各种网络连接、系统日志、应用日志和系统当前状态等信息,提取出有关的部分,上传监测分析模块进行分析。功能实现模块根据监测分析模块的分析结果和用户的设置实现具体功能,包括外设及接口监控,网络连接和共享的监控,文件、数据库存取监控,应用服务监控和外联监控等等。
3)网络监控模块
网络监控模块由分组捕捉器、网络协议解码器、入侵检测、敏感内容监控模块、预警提醒、入侵模式库等组成。分组捕捉器,通过分组捕捉机制,为入侵检测系统提供从物理网络直接收集数据链路层网络原始信息的能力;网络协议解码器,实现了相当于计算机系统中网络协议栈的功能,将由分组捕捉器获得的原始网络信息,根据不同的网络协议解码相应的分组数据结构,并将已解码的协议分组信息提交入侵检测模块和敏感内容监控模块;入侵检测,对已解码的网络协议数据进行分析,并从这些网络活动中寻找预先定义的攻击模式,一旦发现其中含有攻击事件的特征标志,即将此事件提交预警提醒模块;敏感内容监控模块,负责对关键字、文件名等进行匹配,将匹配的结果送给预警提醒模块;预警提醒模块,根据入侵检测引擎提交的事件种类,根据预先指定的响应行为来执行相应的动作,如联动、预警,拍照、阻断等;入侵模式库,用来描述攻击事件的特征和相应的响应规则。
3 系统采用的关键技术
1)实时捕捉攻击者特征信息的TPM拍照取证技术
本系统采用反向拍照技术,不但可以捕捉到非常入侵者的IP和其它入侵信息,还能给非法入侵的黑客拍一张“全身照”,记录黑客的主机名、操作系统类型、版本、开放的服务、端口等主机特征信息。同时系统在拍照过取证过程,采用TMP芯片的硬件加密引擎功能对所有的数据进行TPM加密处理,使取证的数据不会被窜改,保障证据数据的安全性和可信性,为有关部门进一步追踪黑客和取证提供了有力的依据。
2)设备认证管理技术
本系统采用设备认证管理技术控制接入到安全平台中的设备。系统对管理域内的主机上的设备建立基线数据库,使系统管理内的设备可随时进行核查,而新设备接入时需先进行认证,当没有经过认证而接入系统或网络时,能自动发现并告警,并根据策略进行管理控制,有效防止了资源的滥用。同时对管理域内的存储介质中的数据都采用独有的加密技术,管理域以外的计算机系统将无法读取非法从域内泄露出去数据,有效防止信息被有意或者无意从移动存储设备泄漏出去。
3)采用TMP芯片的硬件加密引擎实现的透明安全存储技术
本系统采用TMP芯片的硬件加密引擎功,对管理域内的重要数据做到有效的安全保护。系统利用硬件加密引擎的功能在主机中开辟一个安全加密区,该加密区为独立的逻辑区,对操作系统透明,在用户输入帐号、密码前,操作系统看不到该分区。对存入该分区的数据,系统会自动进行加密处理,可以采用3DES算法,以及国家认证算法。当读出数据时,系统会自动进行解密,加解密过程都在后台进行,对用户透明。
4)基于TPM的各安全组件的联动技术
TMP芯片为系统中各安全组件提供加密功能外,同时也为平台提供了良好的联动基础。当系统发现攻击或网络异常时,控制中心可自动制定防御策略,并将各策略下发给各安全组件,各组件实时响应,按中心要求进行有效防护,构成一个“全网防御”体系,可以有效防御各类不安全的攻击、入侵、病毒等危害。系统还可以支持BDSEC、OPSEC、TOPSEC、NSSEC等主流联动协议,提供通用联动API接口,能与其它第三方厂家的安全产品实现联动,共同防御入侵。
4 结论
网络安全技术的提高和发展将直接关系到我国网络环境的安危,对我国日益增加的电子政务、电子商务系统的建设和发展起到重要的保障和推动作用。本文设计和开发的基于TPM的电子政务内网安全支撑平台,能保障内部网络的信息安全,增强网络的抗攻击能力和病毒的免疫能力。该系统的使用和推广,对于维持信息社会的稳定和谐具有重要的意义。
参考文献
[1]Trusted Computing Group.TPM main specification:design principles(version1.2)[EB/OL].[2008-07-10].http://www.trustedcomputing-group.org.
[2]Trusted computing group.Trusted computing group design,implementation,and usage principles for TPM-based platforms version1.0[EB/OL].[2007-11-28].http://www.Trustedcomputinggroup.org.
[3]Trusted Computing Group.Specification,Architecture Overview,Specification(1.2Edition)[EB/OL].[2007-11-28].http://www.trustedcom-putinggroup.org.
[4]王冠,薛冰.基于TPM的可信存储的双向认证的研究[D].2009全国计算机网络与通信学术会议论文集,2009:228-233.
政务内网 篇2
《湘西自治州电子政务内网管理规定(试行)》已经州委、州人民政府同意,现印发给你们,请认真遵照执行。
中共湘西自治州委办公室
湘西自治州人民政府办公室 2010年5月11日
湘西自治州电子政务内网管理规定(试行)第一章 总 则
第一条 为切实加强全州电子政务内网管理,确保电子政务内网安全、稳定、高效运行,根据《中共中央办公厅国务院办公厅转发<国家信息化领导小组关于推进国家电子政务网络建设的意见>的通知》(中办发〔2006〕18号)、《中共湖南省委办公厅湖南省人民政府办公厅关于加强我省电子政务内网建设的意见》(湘办发〔2006〕23号),结合我州实际,制定本规定。
第二条 本规定所称电子政务内网(以下简称内网),是与国际互联网完全物理隔离的政务内网平台,主要满足各级党政机关内部办公、管理、协调、监督和决策的需要,提供公文传输、协同办公、信息管理、决策支持等业务应用服务,是政务信息化的重要基础设施。
第三条 本规定适用于全州所有接入内网的单位及计算机终端。 第二章 职责分工
第四条 州委办公室负责电子政务内网横向传输网的协调与沟通;州人民政府办公室负责电子政务内网纵向骨干传输网的协调与沟通。各单位对本单位内网管理人员和电子公文传输系统操作人员进行调整,应及时报经州委办公室和州人民政府办公室批准同意。
第五条 州电信分公司负责电子政务内网的日常运行维护,负责及时解决网络故障,保证网络畅通;提供网络安全服务,建立应急处置机制等。
第六条 内网管理人员和电子公文传输操作人员必须有一定的计算机基础,能及时发现和清除计算机中存在的病毒和木马程序,独立完成操作系统备份和公文传输软件的安装。
第七条 各单位系统管理员负责本单位的内网网络和终端设备维护,负责分配和管理本单位内部用户权限和各项业务应用系统的实施及维护。 第三章 网络平台管理
第八条 内网的平台管理由州委办公室和州人民政府办公室共同负责,其主要工作内容是:
(一)贯彻落实上级主管部门有关电子政务内网建设工作的指示和精神,制定本区域电子政务内网的发展规划和实施方案。
(二)负责内网互联和接入管理,指导和监督各单位内网局域网建设。
(三)培训各单位内网系统管理员和相关业务应用系统操作人员。
(四)对各单位内网运行、应用情况进行督查和考核。
第九条 各单位要积极主动履行本单位内网管理及应用职能,充分发挥内网的作用,提高内网资源利用效率,其主要工作内容是:
(一)按全州的统一规划对本单位内网局域网进行建设和管理;
(二)负责本单位内网运行的日常维护;
(三)负责对本单位工作人员进行培训,确保内网各项业务应用系统在本单位的顺利推广和应用;
(四)负责本单位的内网信息安全。 第四章 计算机终端管理
第十条 内网计算机数据的备份和系统安装由各单位系统管理员负责,不得请电脑公司职员代为操作。
第十一条 接入内网的计算机维修、报废、更换,必须交由州委办公室、州人民政府办公室处理。内网计算机被盗,应立即报告州委办公室和州人民政府办公室,严禁隐瞒相关情况。 第十二条 严禁在内网计算机终端上安装与公务活动无关的应用程序及游戏软件。 第十三条 保持内网计算机终端及相关附属设备的清洁,确保计算机终端稳定运行。 第五章 电子印章管理
第十四条 电子公文传输系统所配备的电子公章U盘及打印标识等是系统重要的保密部件,应指定专人负责管理使用。
第十五条 电子公章的制发、使用与管理,按有关规定执行。电子公章仅限于电子公文传输使用,并参照实物印章管理的有关规定严格管理。
第十六条 联合发文需外套印时,必须做好登记并派专人监印。 第十七条 对不符合用印规定的公文,各单位应拒绝用印。第十八条 电子公章U盘严禁存储其它任何文件、资料和数据。
第十九条 电子公章U盘和打印标识遗失、泄密或需更换时,应立即上报州委办公室和州人民政府办公室。
第六章 电子文件管理
第二十条 电子文件是通过计算机等电子设备形成、办理、传播和存储的文字信息记录。各单位要严格按照《中共中央办公厅国务院办公厅关于印发〈电子文件管理执行办法〉的通知》(厅字〔2009〕39号)规定,对电子文件的形成、办理、保存、利用、销毁等实行全过程管理,确保电子文件始终处于受控状态,确保电子文件信息安全。
第二十一条 各单位的文秘和业务部门负责电子文件的日常处理;档案部门负责归档电子文件管理;信息化部门负责为电子文件管理提供技术支持;保密部门负责涉密电子文件的保密监督管理。第七章 应用系统管理
第二十二条 各单位每天必须安排2次以上(上午1次下午1次)或按手机短信提示要求,登录内网查收电子公文和信息材料。紧急电子公文应随发随收,发现问题及时与接收单位联系解决。
第二十三条 接收电子公文的单位应当对接收公文的发送单位、完整性和格式等进行审核,核对无误后方可接收。对紧急公文应及时签收办理,对不能正常接收的电子公文,接收单位应及时与发送单位联系解决。
第二十四条 内网系统发生故障,各单位应及时报告州委办公室和州人民政府办公室。
第二十五条 各单位在内网上开发部署各自的业务应用系统时,应遵循统一的技术标准和规范,且必须事先报经州委办公室和州人民政府办公室审核同意。 第八章 安全管理
第二十六条 内网严禁传输密级文件和资料。
第二十七条 各单位的内网局域网及入网单机必须与国际互联网完全物理隔离,不得采用电话拨号、交替拨插、双网卡、物理隔离卡等任何方式接入因特网,并严格按照国家安全等级保护的有关要求,采取相应的网络安全保密措施。
第二十八条 各单位电子公文传输系统操作人员要严格使用自己的用户名、密码及权限,不得窃取他人用户名及密码越权访问。不得通过任何手段窃取其他单位重要文件及资料。不得向无关人员透露操作程序和提供电子公章。电子公文传输系统操作人员调整后,须及时变更用户的登录密码等信息。 第二十九条 各单位必须使用全省统一分配的IP地址和DNS地址,不得擅自改动网络设置。
第三十条 内网信息实行审核登记制度。按照“谁发布、谁负责”的原则,各接入单位要对上网信息严格把关,不得涉及国家秘密,不得含有危害国家安全和社会稳定的不良信息以及违反国家法律、法规或侵犯他人权利的内容。
第三十一条 规范移动存储介质管理。在内网终端上使用的移动硬盘、U盘等移动存储介质必须报州委办公室和州人民政府办公室入网审批登记后方可使用,并做到专盘专人专用,严禁在内网和互联网之间交叉使用。
第三十二条 建立健全内网的病毒防范和安全管理机制。入网单位须使用统一安装的防病毒软件,不得非法入侵其他单位和个人的计算机系统,不得制作、下载、传播计算机病毒程序或其他有害数据。加强对内网用户的安全保密教育和管理,普及信息安全基础知识,增强工作人员的信息安全意识,加强监控,发现问题及时处理。
第三十三条 指定专人负责本单位计算机信息系统的安全和保密工作。制定本单位机房、计算机设备、数据载体存放、业务应用系统的安全、保密、防火、防盗等有关规定,责任到人。
第三十四条 各接入单位要加强本系统、本单位的数据库建设,对重要文件、数据、操作系统及应用系统进行定期备份,建立灾害备份措施。
第三十五条 各接入单位内网局域网的网络结构、设备如出现重大变化,须报州委办公室和州人民政府办公室审查备案。第九章 附 则
政务内网 篇3
电子政务网络是各级党政机关办公、传递文件和处理事件的网络, 是党政部门提高工作效率的重要工具。电子政务内网是政务部门内部数据与办公相结合的网络, 承担着政务部门内部数据操作和政务事务处理等主要职能[1]。因其传播数据的特殊性及敏感性, 极易遭到不法分子的攻击。若电子政务系统受到攻击, 其产生危害无论在波及范围还是在危害程度上都不可估量, 甚至可能威胁国家安全。《2006-2020年国家信息化发展战略》把建设信息安全保障体系纳入国家信息化发展战略, 加快信息安全保障体系建设成为推进国民经济和社会信息化建设的重要内容[2]。构建基于改进反向传播人工神经网络 (BP ANN) 的信息安全评估模型, 为电子政务内网信息安全评估提供一种评估方法, 提前发现潜在风险, 采取相应安全措施, 提高政务内网信息安全保障水平。
1 相关工作
目前, 在信息安全评估的领域, 已有大量文献提出了丰富的风险评估方法。主要分定性评估方法、定量评估方法和定性与定量相结合的评估方法三大类[3]。定性评估方法有德尔菲方法、层次分析法和头脑风暴法等。定量评估方法有统计学模型、决策树法、人工神经网络方法、CPN方法以及ALE-based方法等。
纽约的David R和George G[4]在Risk:a practical guide fordeciding what’s really safe and what’s dangerous in the worldaround you中提出了用ALE-based方法进行信息安全评估, 能够较为准确的进行安全评估, 是一种纯定量的评估方法, 但是需要收集大量数据, 工作量非常大;1948年兰德公司研究发展德尔菲方法, 此法依赖参与者的直觉、经验及价值判断, 是一种较普遍的分析方法, 成本低且直接快速, 但是无法得到定量的评估结果, 且过多的依靠专家主观判断;海军工程大学的付钰[5]于2006年提出了基于贝叶斯网络的信息安全风险评估方法, 该方法结合专家知识进行描述, 以贝叶斯网络网络为模型, 但是他们只是把从先验概率到后验概率这个模型作了一种尝试, 并未有实际的应用;故障树由美国贝尔电话研究室的华特先生于1961年首先提出, 蔡亮[6]于2008年把故障树应用于信息安全评估上, 构建了公正、客观的评估模型, 但是此法构造故障树的工作量相当繁重, 难度较大, 对分析人员的要求较高, 限制了它的推广和普及;肖道举[7]等人基于服务在系统中所占的比重和漏洞威胁度给出一个综合评估模型, 主要集中在通过漏洞扫描等技术手段, 没有综合管理、战略和人才等相关要素。
人工神经网络在信息安全评估方面的研究, 已取得诸多成果。赵冬梅和刘金星[8]等结合小波神经网络与模糊理论, 研究了基于模糊神经网络的信息安全评估模型;申健[9]研究了网络安全进行综合评估方法及应用;Swarup K S和Corthis P B提出了采用神经网络对系统进行安全评估[10];刘海燕和王维锋[11]等研究了基于神经网络的信息系统安全性综合评估方法;于群和冯玲[12]提出了基于BP神经网络的网络安全评估方法。但是针对具体的应用情况, 基于ANN的信息安全评估还不够成熟, 评估体系不够全面系统。电子政务内网信息安全评估存在非线性、复杂性和不确定性, 其安全性主要受技术、管理、战略和人才四大因素影响。人工神经网络在处理不确定性问题时, 具有以任意精度逼近任何连续的非线性函数的功能, 可准确反映电子政务内网中的复杂非线性关系, 实现对其信息安全性的准确评估[13]。
结合分析所得的电子政务内网信息安全评价指标体系, 将改进BP ANN模型来评估电子政务内网信息安全。
2 基于 BP ANN 模型的电子政务内网信息安全评估方法
神经网络是解决复杂的、非线性问题的技术, 而电子政务内网系统是一个结构复杂、非线性的综合应用系统。欲将BPANN模型应用于电子政务内网的信息安全评估中, 需要找出神经网络模型与电子政务内网之间的对应关系。
2.1 电子政务内网评价指标体系
信息系统的安全评估是指对由于系统本身存在的脆弱性以及外部威胁行为而对资产造成损失的潜在可能性进行分析和评估。其最终目的是通过分析发现潜在的风险, 进而采取相应的措施, 提高风险控制水平。安全评估是保障系统信息安全的重要环节。信息安全评估是信息系统安全工程的重要组成部分, 是建立信息系统安全体系的前提和基础[14]。
电子政务网络是各级党政机关办公、传递文件和处理事件的网络, 是党政部门提高工作效率的重要工具。电子政务内网是政务部门内部数据与办公相结合的网络, 承担着政务部门内部数据操作和政务事务处理等主要职能。由于电子政务内网的信息安全风险评估具有复杂性、非线性和不确定等特点, 通过研究电子政务内网的安全架构, 分析其安全性主要受技术、管理、战略和人才四个重要因素影响, 由此获得对电子政务内网信息安全评价三层指标体系[15]如图1所示。
2.2 电子政务内网信息安全评估的 BP 神经网络模型
2.2.1 评估模型
BP神经网络的非线性处理能力可有效处理信息含糊、不完整、存在矛盾等复杂环境的认知判断问题, 是目前应用最广的神经网络评价模型[16]。BP算法属于有监督的人工神经网络学习算法, 学习规则采用最速下降法, 其主要思路是利用样本, 采用梯度搜索技术, 不断反向传播误差以调整网络的阈值和权值, 直至将网络误差训练至最小。一般BP神经网络有三层, 其网络结构如图2所示。
样本的输入值从输入层经隐含层逐层处理, 并传向输出层得到输出值。每一层神经元只影响下一层神经元的状态, 如果在输出层不能得到期望的输出, 则转入反向传播, 将输出信号的误差沿原来的连接通路返回, 通过修改各层神经元的权值和阈值, 使误差降至最小错误!未定义书签。。
电子政务内网信息安全评估的三层BP神经网络由输入层、隐含层、输出层组成。其中各层对应如下。
(1) 输入层神经元个数结合具体问题确定。因其对应电子政务内网信息安全的18项评估指标, 故输入层神经元个数为18。即技术因素中的计算机软件、计算机网络、环境基础设施;管理因素中的组织保障、制度建设与落实、人员管理、网络管理、设备管理、环境管理、项目建设、法规;战略因素中的战略地位、战略规划和预算、自主度;人员因素中的安全意识、学历、教育培训、业务水平等。以上指标体系能够全面反映出电子政务内网系统的安全状态。
(2) 隐含层是神经网络的中间层, 位于输入层、输出层之间, 可以为一层或多层结构, 而且它也被看作是输入模式在神经网络中的一种内部表示[17]。隐含层神经元个数的确定与网络性能密切相关。如果隐含层神经元个数过少, 网络不具备充分的学习能力和信息映射能力, 容错能力也会降低;如果隐含层神经元个数过多, 会导致网络结构过于复杂, 迭代次数增加, 网络容易陷入局部极小值。
隐含层神经元个数l可先由公式 (1) 、 (2) [18]之一初步确定, 再通过反复训练的方法, 根据网络实际效果增减隐含层个数, 以期达到最佳网络效果。
其中m, n分别为输入层神经元数和输出层神经元数, a为 (1, 10) 间的自然数。
(3) 输出层神经元个数同样结合具体问题确定。网络输出得到一个评估值, 故输出层神经元为1个。根据国家《信息安全技术—信息系统安全等级保护定级指南》的要求, 本文将信息安全评估结果分为5个等级, 分别代表:很安全、比较安全、安全、危险和很危险[19]。其中, 每个等级表示的范围代表网络的实际输出值, 如表1所示。
2.2.2 BP 算法推导
BP神经网络的执行步骤一般可以分为以下几步:
(1) 网络初始化, 初始化的内容包括三层神经元之间的连接权值和阈值w1, w2和θ1, θ2, 一般赋予权值和阈值 (-1, 1) 间的随机数, 也可以根据经验设定;
(2) 输入第1个学习样本对, 即输入层的输入值和输出层的目标值, 计算隐含层各神经元的输入u式 (3) 、输出h式 (4) , 输出层各神经元的输入l式 (5) 、输出y式 (6) , 即
式 (3) 中x表示样本的输入值, 式 (4) 、 (6) 中f一般采用Sigmoid函数, 即
(4) 计算连接到输出层单元t上的权值误差δt 式 (7) , 连接到中间层单元j上的权值误差σj式 (8)
式 (7) 中ot 为样本的期望值。
(5) 更新连接权值w 2式 (9) 、w1式 (11) 和阈值?2 式 (10) 、?1 式 (12) , 即
式中 α, β, 为预设的学习速率。
(6) 输入下一个学习样本对, 返回步骤 (2) , 直至全部训练完毕。
BP神经网络算法流程图如图3所示。
3 仿真及测试
根据电子政务内网系统的实际运行状态, BP神经网络输入为18项指标评估得分, BP神经网络输出只有一项, 即电子政务内网的信息安全评估分值。经过反复训练表明, 当隐含层神经元个数为19时, 该网络的收敛性能最优。隐含层、输出层神经元均采用Sigmoid传递函数。
算法用MATLAB语言实现, 网络隐含层节点数选为19, 学习速率为0.05, 网络经100次训练, 收敛误差为0.003。BP神经网络在应用到评估之前, 需要先后经过训练和检验, 训练和检验过程分别利用训练样本和检验样本。若训练后的网络经检验, 得到输出值与样本目标值之间误差过大, 则需重新训练网络, 调整网络参数等初始值, 直到误差满足要求才认为网络有良好的评价能力。实例采用15组样本作为学习训练样本, 其中5组作为检验样本, 通过数据回放的方式对建立的BP ANN模型进行检验。
改进BP神经网络模型学习训练效果如图4所示。图中横坐标为循环迭代次数, 纵坐标为误差变化, 从图中看出, 网络权值经过100次迭代调整后, 误差精度低于预先设置, 误差收敛更快且状态更稳定, 具有良好的自适应性。
采用检验样本数据, 对训练后网络模型网络性能进行检验, 检验结果如表2所示。实际输出安全等级与期望输出等级一致, 网络模型实际输出值与期望输出值的最大相对误差不超过3.7%。
可以得出, 本文提出的改进BP神经网络模型具有自适应性、稳定性, 误差小且验证结果与目标输出相吻合。评估模型具有可行性, 可适用于电子政务内网信息安全综合评估。
4 结束语
本文提出了基于改进BP ANN的电子政务内网系统信息安全评估模型, 并采用样本值对提出的模型进行训练与验证。结果表明该模型能够能够反映电子政务内网系统的安全运行状态。基于提出的评估模型, 可对电子政务内网系统进行安全评估, 及时揭示电子政务内网系统中可能存在的信息安全漏洞, 进而指导电子政务内网系统信息安全保障系统的设计和实施, 采取相应安全措施, 提高电子政务内网信息安全保障水平。
摘要:为了发现电子政务内网的信息安全隐患, 提出一种采用改进反向传播人工神经网络 (BP ANN) 技术的电子政务内网信息安全的评估方法, 基于改进BP ANN建立电子政务内网神经网络评估模型。以电子政务内网主要信息安全指标作为训练样本, 对建立的BP ANN评估模型进行学习和训练, 找到输入与输出之间的关系, 并用样本对训练好的BP网络进行验证。仿真结果表明, 评估方法能够较好的为复杂的电子政务内网进行信息安全评估, 评估模型稳定且自适应性强。
政务内网 篇4
1.1 建设背景和依据
目前,我国电子政务处在“跨越式”发展阶段,政府各部门的内部信息系统建设已经非常普及,随着电子政务的发展和深入应用,政务需求越来越清晰化,办公自动化程度要求越来越高,政府内部及部门间协作的智能化要求更加旺盛,电子政务内网网络建设和应用软件的推广和深层次应用受到重视各级机关的普遍重视。政务内网主要满足各级政务部门内部办公、管理、协调、监督和决策的需要,同时满足副省级以上政务部门的特殊办公需要。
政府电子政务内网(以下简称“政务内网”)是以政府系统各级、各部门行政领导、政府部门和政府工作人员为服务对象,具有办公事务处理、辅助决策、信息管理和资源共享等网上办公的政务协同基础平台。
政务内网应用软件支撑平台是政务内网开展软件建设和推进应用的软件支撑平台,平台建设后可将办公业务和信息服务统一集中到一个平台上,主要提供统一的数据库服务、统一的用户认证和单点登录服务,统一的权限划分和角色配置服务,统一的电子公章、数字签名、版式文件服务、统一的工作流程配置引擎和全站搜索服务。为公文办理、信息传输、会议管理、人力资源管理等各种政务工作提供支撑服务。实现各级行政主管部门同应用、互联互通、信息资源共享、网上办公和政务公开,提高政务信息化整体水平。最终构筑统一的政务协同基础平台,建立统一的政务内网信息门户。建设必需的安全保障体系,初步实现 “政务资源数字化、内部办公协同化、信息交流网络化”。1.2 建设内容
电子政务内网应用软件支撑平台主要建设内容如下:(1)协同办公平台,支持业务开发的公共平台;(2)内部门户:应用集成和内容集成;(3)通用办公:政务管理、公文管理等功能的通用行政办公系统;(4)统一工作流管理平台:建立一个统一的业务流程管理平台,为办公系统、政务信息系统等提供服务;(5)数据集成平台:建立一个可覆盖全业务的数据中心,实现各业务系统间的数据共享、数据同步,数据交换。解决信息孤岛问题;(6)用户统一身份认证(CA中心):建立一个统一的用户身份认证管理系统,来解决身份真实性认证及数据安全传输问题。基于CA认证的解决方案,即采用基于证书控件/网关模式的安全身份认证系统。1.3 建设目标
以政府电子政务网络和安全体系为基础,以政务需求为导向,采用先进的开发技术和数据库结构,建设标准统一、功能全面、技术先进、简单易用的一体化办公平台。在一网式无纸化协同办公管理平台中除体现办公、政务信息和会议通知等功能以外,还将通过相关的办公事务管理以及及时消息、在线考试等辅助功能实现互动管理。同时还将实现机关内部事务管理平台,对人事信息、资金资产等机关事务进行管理。为进一步提高政府政务办公网络化、透明化、公开化、规范化、标准化和流程化水平服务,为领导决策提供网络化、数字化和智能化的服务手段,为促进政府行政管理体制改革和政务流程再造提供手段和支撑,更加降低事务性消耗和行政管理的成本。第二章 软件支撑平台总体设计 2.1设计思路
采用符合J2EE规范的基于多层框架结构的平台化策略,广泛使用组件技术,以电子政务专网和内网等为依托,以国家电子政务规范和数据标准为设计依据,以实现政府各个职能部门日常网上办公、移动办公、业务审批、与其他专业系统有机整合集成为目标,以浏览器为操作界面,全面建立先进、安全、可靠、灵活、方便扩展、操作简单、易于维护的电子政务支撑平台。
2.2支撑平台体系框架设计
应用软件支撑平台作为整个电子政务项目的基石,因此总体方案应充分考虑长远发展需要,能够与其它业务系统方便融合,要保证逻辑上业务上的信息共享、流程整合,站在全局的角度上考虑系统建设。
为了满足系统可扩展性、安全性、系统性、技术的先进性和成熟性、经济性,系统在总体方案设计时,将系统划分为:基础数据中心、应用支撑平台、应用系统、用户接入服务四层;而从另一个角度我们将系统可划分为安全层、管理层、用户层三个层次。
系统采用基于SOA的中间件技术搭建应用支持平台。从系统部署逻辑角度可分五层结构。1)网络层:主要包括对网络管理、网络安全、交互标准和通讯协议的管理。2)支撑层:由操作系统、应用服务器、数据库服务器组成。3)信息资源层:划分为数据交换域和信息共享域。负责 4)应用层:主要包括工作流管理平台构成。
5)展现层:包括内网信息门户、领导办公门户、内容管理、即时消息通讯等。整个应用支撑平台的核心就是数据交换支持域、信息共享域、应用支撑域的建设。2.2.1应用支撑域
应用支撑域以协同工作流管理系统(SynchroFLOW)为核心,为政务应用提供流程管理功能,并以此为基础搭建内部办公、政务门户以及内容管理功能。
使用工作流技术搭建的应用支撑平台具有诸多优点。首先工作流管理的许多概念源于企业管理理论的实践,伴随着应用规模不断扩大,管理的难度也随之上升,信息技术和现代企业管理的发展都为有效的客服这些困难提供了理论和技术手段。工作流技术是一项快速发展的技术,并在各个行业得到了广泛应用,其主要特征是业务流程的自动化,这样流程有人工的,也有自动的,这样的流程的处理都是在计算机应用程序和工具的协助下进行的。在工作流平台中还包括了内部的即时消息平台(SynchroIQ),用来实现内部用户之间的即时消息通讯、文件传送以及任务提醒等功能。2.2.2信息共享域
信息共享域以协同企业服务总线(SynchroESB)技术为核心,目的是将应用支撑域中所需要的应用资源以接口封装的形式提供统一的访问与存储标准供外部应用使用。
在企业和政府机构信息系统建设中,构建了许许多多的各种类型的应用系统,这些“烟囱式”彼此孤立、难以通信的应用系统造就了各种各样的“信息孤岛”,信息不能同享,业务无法集成,这些都成为了制约企业信息化进一步发展的瓶颈,如果不能及时采用一种适当的应用集成方案使遗留应用系统得到有效的治理,随着应用的规模不断上升,这种弊端会越来越得以暴露。
SynchroESB采用微内核、插件化的架构模式整合企业遗留IT资产,并提供了“渐进式”的系统应用整合方案,是应用集成的最佳模式。2.2.3数据交换域
数据交换域以信息资源数据中心为基础构建了可覆盖全业务的数据交换平台。数据交换域中以SynchroDataService与SynchroMQ技术为核心,实现了政务系统业务数据向信息资源数据中心迁移的过程,并完成了数据同步、数据回转、数据合并等一系列操作。
数据交换平台提供了可视化的数据流程设计界面,用户可以非常方便的设计数据流转方向。基于ETL的数据交换平台屏蔽了各种数据库之间的差异性,它是构建数据中心应用的标准途径。
基于MQ的消息中间件是一个健壮、高性能、极具扩展性并具有工业标准的消息传输系统,为整个应用软件支撑平台的底层数据传输通道,提供了路由、容错、互联等企业级功能,有效的保证了核心业务数据在传输过程中对安全性、可靠性的要求。2.3软件支撑平台特点