電子政務(wù)等級(jí)保護(hù)安全保障體系構(gòu)建

摘要：隨著5G網(wǎng)絡(luò)通信技術(shù)的發(fā)展，萬(wàn)物互聯(lián)逐步形成，網(wǎng)絡(luò)攻擊行為越來(lái)越頻繁和多樣化，構(gòu)建符合等級(jí)保護(hù)2.0技術(shù)要求、主動(dòng)防御網(wǎng)絡(luò)攻擊行為的電子政務(wù)安全保障體系，尤為重要。

關(guān)鍵詞：電子政務(wù);等級(jí)保護(hù);安全保障體系;區(qū)域邊界安全

中圖分類(lèi)號(hào)：TTP309? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ?文章編號(hào)：1007-9416（2020）04-0000-00

隨著5G網(wǎng)絡(luò)通信技術(shù)的發(fā)展，萬(wàn)物互聯(lián)正逐步形成，每個(gè)被接入網(wǎng)絡(luò)的點(diǎn)都有可能被黑客利用，網(wǎng)絡(luò)攻擊的行為越來(lái)越頻繁，攻擊方式越來(lái)越多樣化;政府大力推進(jìn)“一網(wǎng)辦”，電子政務(wù)網(wǎng)作為“一網(wǎng)辦”的承載體，安全保障體系尤為重要。本文以市級(jí)電子政務(wù)網(wǎng)為例，結(jié)合實(shí)際工作，闡述如何構(gòu)建具有主動(dòng)防御功能的安全保障體系。

1電子政務(wù)主動(dòng)防御體系

國(guó)家實(shí)施等級(jí)保護(hù)制度，電子政務(wù)發(fā)展，要積極落實(shí)等級(jí)保護(hù)制度，加強(qiáng)安全等級(jí)保護(hù)建設(shè)，提升電子平臺(tái)工作安全性[1]，從被動(dòng)防御轉(zhuǎn)變?yōu)橹鲃?dòng)防御，構(gòu)建一個(gè)中心、三重防護(hù)的安全保障體系，如圖1所示。

從以下幾個(gè)方面落實(shí)：

（1）安全計(jì)算環(huán)境方面。對(duì)政務(wù)云平臺(tái)下的全部操作系統(tǒng)，關(guān)閉不需要的服務(wù)（如打印機(jī)、共享服務(wù)等），禁用135、445等不安全的高危端口。禁用guest賬戶(hù)，建立安全審計(jì)賬號(hào);并要求系統(tǒng)賬戶(hù)密碼復(fù)雜度不低于8位字符，且定期更換密碼;安裝殺毒軟件，定級(jí)升級(jí)病毒庫(kù);對(duì)操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等定期進(jìn)行漏洞掃描，定期升級(jí)系統(tǒng)補(bǔ)丁。

（2）安全通信網(wǎng)絡(luò)方面。根據(jù)單位性質(zhì)和網(wǎng)絡(luò)用戶(hù)規(guī)模，將電子政務(wù)網(wǎng)絡(luò)劃分10、192、172三個(gè)內(nèi)網(wǎng)地址段，并分別配以100MB、60MB和30MB的帶寬，滿(mǎn)足高峰期的業(yè)務(wù)需求。

網(wǎng)絡(luò)間數(shù)據(jù)傳輸均通過(guò)加密技術(shù)，各安全設(shè)備采用SSH傳輸協(xié)議遠(yuǎn)程管理，防止信息在網(wǎng)絡(luò)傳輸中被竊聽(tīng)。

（3）安全區(qū)域邊界。各區(qū)縣接入到電子政務(wù)云平臺(tái)前，應(yīng)在邊界防火墻中設(shè)置源地址、目的地址、源端口、目的端口，以允許或拒絕非法數(shù)據(jù)包的進(jìn)出，關(guān)閉不用的端口，保障邊界接入安全。登陸防火墻，選擇內(nèi)容過(guò)濾，選擇http協(xié)議，F(xiàn)TP協(xié)議、https協(xié)議等。

啟動(dòng)入侵防御系統(tǒng)的網(wǎng)絡(luò)攻擊行為識(shí)別和檢測(cè)功能，有效防止黑客攻擊、蠕蟲(chóng)、網(wǎng)絡(luò)病毒、后門(mén)木馬、D.O.S攻擊等惡意流量。登陸入侵防御系統(tǒng)，選擇策略配置>安全設(shè)置>入侵防御，配置相關(guān)攻擊行為事件。

（4）安全管理中心。通過(guò)訪問(wèn)VPN進(jìn)入內(nèi)部網(wǎng)絡(luò)，再通過(guò)堡壘機(jī)進(jìn)入各操作系統(tǒng)，記錄每個(gè)接入日志，且日志保留6個(gè)月以上，對(duì)于異常接入行為、服務(wù)器異常狀況，系統(tǒng)自動(dòng)觸發(fā)短信報(bào)警。

在瀏覽器中輸入VPN訪問(wèn)地址，輸入賬號(hào)密碼后登陸，登陸成功后，再輸入堡壘機(jī)的訪問(wèn)地址，輸入賬號(hào)密碼，進(jìn)入堡壘機(jī)管理界面，在堡壘機(jī)內(nèi)，根據(jù)用戶(hù)權(quán)限，呈現(xiàn)被管理的主機(jī)，選擇主機(jī)，進(jìn)入操作系統(tǒng)界面，輸入賬號(hào)密碼登錄操作系統(tǒng)。

2電子政務(wù)安全等級(jí)確定

按照《GA/T 1389-2017 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》，從業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個(gè)方面對(duì)電子政務(wù)網(wǎng)進(jìn)行定級(jí)。

電子政務(wù)網(wǎng)承載了政府辦公業(yè)務(wù)以及公眾服務(wù)業(yè)務(wù)，業(yè)務(wù)安全級(jí)別較高;一旦業(yè)務(wù)數(shù)據(jù)遭受攻擊，將影響政府辦公、公眾辦理業(yè)務(wù)，更嚴(yán)重者，可能導(dǎo)致政府決策信息泄露或數(shù)篡改，影響社會(huì)秩序和公共利益，不影響國(guó)家安全。

在系統(tǒng)安全服務(wù)層面，電子政務(wù)保障了各業(yè)務(wù)系統(tǒng)正常被訪問(wèn)，數(shù)據(jù)正常傳輸，安全級(jí)別較高;一旦電子政務(wù)遭受攻擊，導(dǎo)致網(wǎng)絡(luò)中斷，影響社會(huì)秩序和公共利益，不影響國(guó)家安全。

綜合業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個(gè)方面的認(rèn)識(shí)，根據(jù)定級(jí)指南，電子政務(wù)定級(jí)為三級(jí)。

3電子政務(wù)等級(jí)保護(hù)安全總體設(shè)計(jì)

針對(duì)電子政務(wù)按照不同的區(qū)域以及行業(yè)進(jìn)行分域保護(hù)，充分考慮到電子政務(wù)發(fā)展中的不同類(lèi)別、階段以及等級(jí)等，將其劃分為相應(yīng)的安全區(qū)域進(jìn)行管理[2]。

電子政務(wù)等級(jí)保護(hù)安全總體設(shè)計(jì)，遵循等級(jí)保護(hù)2.0技術(shù)標(biāo)準(zhǔn)，從技術(shù)和管理兩個(gè)方面構(gòu)建，技術(shù)方面包括安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心等五個(gè)方面;管理方面包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理等五個(gè)方面。由此構(gòu)建電子政務(wù)的安全保障機(jī)制[3]。

4電子政務(wù)等級(jí)保護(hù)安全保障體系構(gòu)建

構(gòu)建電子政務(wù)的安全保障體系，根據(jù)《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，形成一個(gè)中心三重防護(hù)，建立以計(jì)算環(huán)境安全為基礎(chǔ)，以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障，以安全管理中心為核心的信息安全整體保障體系。

4.1建立電子政府分域保護(hù)框架

按照等級(jí)保護(hù)三級(jí)技術(shù)要求，網(wǎng)絡(luò)架構(gòu)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)分配地址，且重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采用可靠的技術(shù)手段隔離。由此將安全保障機(jī)制劃分為5域15區(qū)機(jī)制[4]。5域包括基礎(chǔ)設(shè)施域、通信網(wǎng)絡(luò)域、區(qū)域邊界域、計(jì)算環(huán)境域和安全管理域;15區(qū)包括非涉密機(jī)房區(qū)、網(wǎng)絡(luò)邊界區(qū)、核心數(shù)據(jù)區(qū)、托管服務(wù)區(qū)、業(yè)務(wù)系統(tǒng)區(qū)、業(yè)務(wù)測(cè)試區(qū)、涉密機(jī)房區(qū)、電子政務(wù)內(nèi)網(wǎng)區(qū)、電子政務(wù)外網(wǎng)區(qū)、終端邊界區(qū)、資源共享交換區(qū)、辦公區(qū)、安全管理區(qū)、安全服務(wù)區(qū)、安全運(yùn)維區(qū)。

4.2建立主動(dòng)防御的保障體系

按照電子政務(wù)網(wǎng)的定級(jí)標(biāo)準(zhǔn)以及《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》技術(shù)要求，從基礎(chǔ)設(shè)施安全、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全計(jì)算環(huán)境等幾個(gè)方面構(gòu)建主動(dòng)防御的保障體系。

4.2.1加強(qiáng)基礎(chǔ)設(shè)施安全

基礎(chǔ)設(shè)施安全主要包括機(jī)房訪問(wèn)控制、機(jī)房環(huán)境、設(shè)備與介質(zhì)管理等。機(jī)房訪問(wèn)控制中對(duì)機(jī)房的外來(lái)人員制定訪問(wèn)條件，由專(zhuān)人對(duì)外來(lái)訪問(wèn)人員進(jìn)行審批，為其設(shè)置方位授權(quán)目標(biāo)。按照GB50174-2008中的相應(yīng)要求設(shè)置機(jī)房中的墻壁、裝修方式、門(mén)、天花板等，并在機(jī)房中安裝配置UPS、過(guò)電壓防護(hù)設(shè)備、并行電路、供電線路上配置穩(wěn)壓器等。在機(jī)房中安裝火災(zāi)自動(dòng)消防系統(tǒng)以及精密空調(diào)。設(shè)備與介質(zhì)管理過(guò)程中，為系統(tǒng)安裝防盜報(bào)警系統(tǒng)、監(jiān)控系統(tǒng)，將一些較為敏感的安全業(yè)務(wù)信息安裝在較為安全的區(qū)域內(nèi)。并為機(jī)房管理建立環(huán)境監(jiān)控制度以及出入管理制度[5]。

4.2.2加強(qiáng)區(qū)域邊界安全

電子政務(wù)網(wǎng)分內(nèi)網(wǎng)和外網(wǎng)，加強(qiáng)外網(wǎng)與內(nèi)網(wǎng)之間的隔離;在外網(wǎng)與內(nèi)網(wǎng)之間加強(qiáng)不同安全域的安全邊界設(shè)置。加強(qiáng)邊界設(shè)置的完整性，在電子政務(wù)使用過(guò)程中阻斷非法網(wǎng)絡(luò)接入行為、非法外聯(lián)行為的進(jìn)攻，構(gòu)成可信接入網(wǎng)絡(luò)。由終端網(wǎng)絡(luò)準(zhǔn)入、邊界網(wǎng)絡(luò)接入構(gòu)成網(wǎng)絡(luò)可信接入，由移動(dòng)客戶(hù)端、PC 客戶(hù)端共同構(gòu)成終端網(wǎng)絡(luò)準(zhǔn)入，為系統(tǒng)運(yùn)行建立認(rèn)證、安全隧道、訪問(wèn)權(quán)限控制等多種機(jī)制。

建立有效的邊界入侵防范機(jī)制，在電子政務(wù)系統(tǒng)運(yùn)行內(nèi)部建立多手段檢測(cè)方式，使得系統(tǒng)運(yùn)行中能夠抵御外部多項(xiàng)網(wǎng)絡(luò)的入侵與攻擊。并對(duì)此能夠及時(shí)識(shí)別并建立相應(yīng)的報(bào)警機(jī)制。

4.2.3構(gòu)建安全通信網(wǎng)絡(luò)

保證通信的完整性和保密性。部署VPN系統(tǒng)保證數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄?。利用安全隧道、認(rèn)證、訪問(wèn)權(quán)限控制、分域防控等安全機(jī)制，實(shí)現(xiàn)政務(wù)網(wǎng)絡(luò)互聯(lián)安全、移動(dòng)辦公安全、重點(diǎn)區(qū)域的邊界防護(hù)安全。安裝部署網(wǎng)絡(luò)堡壘機(jī)對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)維人員進(jìn)行 USBkey+ 密碼進(jìn)行身份鑒別，對(duì)網(wǎng)絡(luò)設(shè)備管理員登錄地址進(jìn)行限制，加密會(huì)話，并且記錄及審計(jì)操作日志，以便進(jìn)行責(zé)任認(rèn)定與事件跟蹤。

4.2.4加強(qiáng)計(jì)算環(huán)境安全

統(tǒng)一身份管理與授權(quán)管理系統(tǒng)。統(tǒng)一身份管理與授權(quán)管理系統(tǒng)作為安全管理中心的一部分，部署于安全管理域。統(tǒng)一身份認(rèn)證與授權(quán)管理系統(tǒng)完成用戶(hù)統(tǒng)一身份認(rèn)證、授權(quán)管理等功能。身份管理和授權(quán)管理是訪問(wèn)控制的前提，身份管理對(duì)用戶(hù)的身份進(jìn)行標(biāo)識(shí)與鑒別;授權(quán)管理對(duì)用戶(hù)訪問(wèn)資源的權(quán)限進(jìn)行標(biāo)識(shí)與管理。通過(guò)采用統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)管理和訪問(wèn)控制等安全機(jī)制，結(jié)合應(yīng)用系統(tǒng)的工作流訪問(wèn)控制，解決了政務(wù)辦公系統(tǒng)的信息傳輸安全、身份鑒別、系統(tǒng)使用權(quán)限控制與信息訪問(wèn)權(quán)限控制等安全問(wèn)題。

5結(jié)語(yǔ)

網(wǎng)絡(luò)安全是電子政務(wù)建設(shè)過(guò)程中首先考慮的重要因素之一，在運(yùn)行過(guò)程中嚴(yán)格踐行一個(gè)中心、三重防護(hù)的安全保障體系，建立電子政府分域保護(hù)框架，建立安全技術(shù)體系，加強(qiáng)基礎(chǔ)設(shè)置安全，加強(qiáng)區(qū)域邊界安全，加強(qiáng)計(jì)算環(huán)境安全，構(gòu)建主動(dòng)防御的安全保障體系。

參考文獻(xiàn)

[1]丁震.為電子政務(wù)護(hù)航 建立安全管理體系——國(guó)家計(jì)委完成等級(jí)保護(hù)試點(diǎn)[J].信息網(wǎng)絡(luò)安全，2003（5）：9.

[2]宋麗麗.基于SSE-CMM的重慶市電子政務(wù)安全風(fēng)險(xiǎn)評(píng)估與信息安全保障體系的構(gòu)建與實(shí)現(xiàn)[D].重慶大學(xué)，2004.

[3]王靖.構(gòu)建符合國(guó)家安全標(biāo)準(zhǔn)要求的市級(jí)金保工程安全體系[J].中國(guó)新通信，2018，20（7）：14-149.

[4]黃曉波，尚艷偉，林細(xì)君.基于等級(jí)保護(hù)設(shè)計(jì)要求下的移動(dòng)業(yè)務(wù)系統(tǒng)安全防御體系[J].中國(guó)信息化，2018（4）：78-79.

[5]李兆君，張建，宋宸.地鐵票務(wù)系統(tǒng)信息安全等級(jí)保護(hù)建設(shè)方案探討[J].設(shè)備管理與維修，2019（15）：105-107.

收稿日期：2020-02-22

作者簡(jiǎn)介：曾?。?979—），男，安徽六安人，本科，高級(jí)工程師，研究方向：電子政務(wù)。

Construction of Security Protection System for E-government Level Protection

ZENG Jun

（Lu'an？data？resources？administration，Lu'an Anhui? 237000）

Abstract： With the development of 5G network communication technology， the Internet of Everything is gradually formed， and network attack behaviors are becoming more and more frequent and diversified. It is particularly important to build an e-government security assurance system that meets the technical requirements of grade protection 2.0 and actively defends against network attack behaviors.

Keywords： e-government; level protection; security guarantee system; regional border security