探討電子政務外網(wǎng)安全建設

如今各級電子政務外網(wǎng)網(wǎng)絡發(fā)展成熟，但是網(wǎng)絡安全的狀況卻不樂觀。網(wǎng)站遭受DDoS攻擊、網(wǎng)頁被篡改、掛馬等情況時有出現(xiàn)，內(nèi)網(wǎng)時有病毒傳播，造成惡劣影響。隨著網(wǎng)絡安全法的頒布，明確提出了對電子政務等關鍵領域?qū)嵤┑燃壉Ｗo制度，對政務網(wǎng)絡的安全提出了更高的要求。政府對網(wǎng)絡安全也越來越重視，加強了對網(wǎng)絡安全方面的投入。本文正是針對電子政務網(wǎng)絡安全方面的建設進行探討，以求不斷加強電子政務外網(wǎng)的整體安全防護能力，為電子政務外網(wǎng)及其業(yè)務應用提供堅實的安全保障。

網(wǎng)絡安全建設需要滿足一系列的符合性要求。

首先需要滿足安全等級保護的原則。信息系統(tǒng)安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。電子政務等級保護實施指南明確了電子政務實施等級保護的方法和流程。從技術和管理兩個方面，規(guī)范了信息系統(tǒng)安全防護要求。政務外網(wǎng)需要按照國家等級保護相關標準及國家電子政務外網(wǎng)等級保護基本要求，來確定電子政務外網(wǎng)的安全等級，并實施安全保護。

其次，安全建設以不影響骨干網(wǎng)絡傳輸帶寬和質(zhì)量為首要目標，避免在骨干鏈路中串接部署過多安全設備。串接設備會增加鏈路風險，過多的串接設備會增加網(wǎng)絡延時，影響鏈路質(zhì)量，可以旁掛的建議采取旁掛的方式。

再次，應通過IPSEC、VPN等安全手段提供移動設備接入政務外網(wǎng)的能力，由于移動辦公場景普及，需加強外網(wǎng)用戶接入政務內(nèi)網(wǎng)的安全認證手段，對所有接入的用戶的行為應具備審計能力。

最后，各個地市應具備統(tǒng)一的安全管理系統(tǒng)、統(tǒng)一身份認證系統(tǒng)。利用CA證書實現(xiàn)統(tǒng)一的資源訪問入口和集中的身份認證、訪問授權，提高系統(tǒng)的安全性和用戶使用的方便性。

安全域劃分

統(tǒng)一的國家電子政務外網(wǎng)由國家、省、市、縣（市、區(qū)）廣域網(wǎng)和城域網(wǎng)組成。各級政務部門通過本級城域網(wǎng)接入電子政務外網(wǎng)，鄉(xiāng)鎮(zhèn)、街道接入縣（市、區(qū)）級城域網(wǎng)。各級城域網(wǎng)邊界可以建設互聯(lián)網(wǎng)接入?yún)^(qū)，為本級政務部門訪問互聯(lián)網(wǎng)及部署面向公眾服務的應用系統(tǒng)提供服務。根據(jù)安全邊界防護和等級保護的要求劃分安全域，通常有互聯(lián)網(wǎng)出口域，數(shù)據(jù)中心區(qū)域，安全接入平臺域，安全管理域、DMZ（非軍事化區(qū)）域等。各區(qū)域需按照等級保護的相關要求采取有效的安全防護手段嚴格管控。市級的電子政務外網(wǎng)整體架構如圖1所示。

互聯(lián)網(wǎng)出口安全防護域：為各級政務部門提供互聯(lián)網(wǎng)訪問業(yè)務，是電子政務網(wǎng)絡對外的出口區(qū)域。

數(shù)據(jù)中心域：該區(qū)域為內(nèi)部訪問的應用、服務器區(qū)域，實現(xiàn)相關政務部門各類業(yè)務的分業(yè)務、分區(qū)域集中部署或托管，需要保證內(nèi)部數(shù)據(jù)安全，做好對數(shù)據(jù)庫的安全保護。

安全接入域：主要為辦公人員提供各類終端接入，該區(qū)域的安全威脅主要來自于終端，所以必須做好用戶安全準入。

安全管理域：運維管理人員通過該區(qū)域?qū)τ布O備、軟件應用及接入終端進行統(tǒng)一管理，同時該區(qū)域的安全設備配合其他區(qū)域進行實時監(jiān)測及審計。

DMZ域：對外發(fā)布的網(wǎng)站部署于該區(qū)域，此區(qū)域接收的外部訪問頻繁，安全隱患較多，除做好對應的安全措施及優(yōu)化外，應將此區(qū)域隔離起來。

安全建設方案

圖1 市級電子政務外網(wǎng)整體架構

根據(jù)國家電子政務外網(wǎng)等級保護的基本要求，市級電子政務網(wǎng)絡需要達到安全等級保護第三級的相關要求，縣區(qū)電子政務網(wǎng)絡需要滿足安全等級保護第二級的相關要求，建議在幾個重要區(qū)域部署相關安全設備或措施，保障自身業(yè)務和全網(wǎng)安全。

1.邊界安全

各個網(wǎng)絡區(qū)域之間需要做好安全隔離，應該通過防火墻系統(tǒng)、入侵防御系統(tǒng)等做好邊界安全，需要做到以下三個方面：首先是做好訪問控制，根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許或拒絕訪問能力，控制粒度至少達到端口級。其次需要做好入侵防范，進行病毒過濾和入侵防御，對這些行為進行實時告警及阻斷，定期做好病毒庫和特征庫的升級。最后需要做好安全審計，可以記錄攻擊源、攻擊類型、攻擊目標時間等關鍵信息，記錄內(nèi)網(wǎng)訪問公網(wǎng)的行為日志，并可以保存記錄6個月以上。

2.網(wǎng)絡安全改造

在已有的網(wǎng)絡中改造，需要按區(qū)域部署相關安全設備，加強整體防護能力。

互聯(lián)網(wǎng)出口域作為政務網(wǎng)絡對外的出口，單獨設置防火墻系統(tǒng)、入侵防御系統(tǒng)IPS、上網(wǎng)行為管理系統(tǒng)等進行安全防護。

數(shù)據(jù)中心域存在大量的內(nèi)部服務器，除隔離防火墻外，需要在服務器上安裝企業(yè)級防病毒軟件，針對數(shù)據(jù)庫，需要有數(shù)據(jù)庫安全審計設備，可以在安全管理域統(tǒng)一部署。

安全接入域主要用于用戶終端接入，需要部署防火墻和VPN設備，支持IPSec/SSL、數(shù)字證書、VPDN等，移動終端或其他外網(wǎng)用戶可以通過VPDN撥號方式接入政務內(nèi)網(wǎng)，實現(xiàn)移動辦公等。

安全管理域根據(jù)網(wǎng)絡業(yè)務及安全自身的需要，將網(wǎng)絡管理、安全管理等系統(tǒng)部署在管理區(qū)，可對日志進行分析，對安全事件和網(wǎng)絡攻擊可以實時告警，防止網(wǎng)絡攻擊等事件進一步擴大，需要部署漏洞掃描、安全審計、終端安全管理系統(tǒng)、堡壘機、病毒庫及補丁分發(fā)系統(tǒng)等設備。

在DMZ域，由于是政務部門對外訪問的網(wǎng)站系統(tǒng)，所以要特別進行防護，需要部署Web應用防火墻WAF、Web漏掃、入侵檢測系統(tǒng)IDS等進行防護。目前電信提供的云盾、云堤產(chǎn)品正是針對外部網(wǎng)站安全，免硬件部署的方式提供網(wǎng)站漏掃和DDoS攻擊防護，可以作為網(wǎng)絡安全硬件防護的補充。

城域網(wǎng)域是各級政府部門接入政務外網(wǎng)的區(qū)域，實現(xiàn)了各部門之間的資源共享，接入單位局域網(wǎng)通過防火墻系統(tǒng)、入侵防御系統(tǒng)等與政務外網(wǎng)進行邏輯隔離并對局域網(wǎng)進行安全防護。

3.政務云網(wǎng)絡安全

由于近年國家層面鼓勵應用云計算技術整合改造現(xiàn)有電子政務信息系統(tǒng)，大幅減少政府自建數(shù)據(jù)中心的數(shù)量，實現(xiàn)跨系統(tǒng)的信息共享與政務協(xié)同。

政務云的安全體系模型如圖2。

圖2 政務云安全模型

圖3 政務云安全框架

可以看出，政務云安全包含的內(nèi)容更加豐富，能夠同時適應于IaaS、PaaS和SaaS三類平臺，包括基礎設施、虛擬化、應用等方面，網(wǎng)絡安全只是其中一個重點。和傳統(tǒng)的安全防護類似，需要注重訪問控制、攻擊防護、網(wǎng)絡審計和安全檢測。

政務云的建設過程中，網(wǎng)絡安全作為基礎設施，滿足了網(wǎng)絡信息安全的“三同步”原則。政務云網(wǎng)絡安全也是按安全域來劃分，部署相關安全設備。在城域網(wǎng)互聯(lián)出口部署防DDoS、防火墻、IPS、防毒墻等，解決網(wǎng)絡區(qū)域隔離、大流量攻擊、L2-L7層攻擊、網(wǎng)絡入侵、病毒傳播等安全問題；在網(wǎng)絡安全接入?yún)^(qū)域部署防火墻、SSL VPN，解決遠程用戶接入合法性問題；在安全管理區(qū)建設統(tǒng)一管理平臺和統(tǒng)一認證系統(tǒng)等；在互聯(lián)網(wǎng)數(shù)據(jù)區(qū)部署WAF、網(wǎng)站漏掃、IDS等，解決門戶網(wǎng)站的應用安全；在數(shù)據(jù)交換區(qū)部署網(wǎng)閘，保障數(shù)據(jù)傳送安全。安全設備需要支持虛擬化功能。政務云的網(wǎng)絡安全框架如圖3。

政務網(wǎng)絡云化是未來的方向，在政務私有云建設中，網(wǎng)絡安全體系化建設，有助于更好的保證政務網(wǎng)絡安全平穩(wěn)運行。

結(jié)語

電子政務外網(wǎng)主要承載各級行政機關網(wǎng)上辦公、面向社會的專業(yè)性服務及其他業(yè)務，電子政務安全的實施和保障是非常重要的。各級政府如今都加強了對政務網(wǎng)安全方面的投入。當然，網(wǎng)絡安全建設并非一蹴而就，隨著網(wǎng)絡安全的內(nèi)涵不斷被擴充，網(wǎng)絡安全建設也需要動態(tài)進行調(diào)整。相信隨著對電子政務網(wǎng)絡安全的重視，電子政務網(wǎng)絡的整體安全防護能力會顯著增強。