“互聯(lián)網(wǎng)+電子政務(wù)”網(wǎng)絡(luò)安全保障技術(shù)研究

周萍 章偉

摘? 要： 在發(fā)展新型“互聯(lián)網(wǎng)+電子政務(wù)”的同時(shí)，做好電子政務(wù)服務(wù)的網(wǎng)絡(luò)安全防護(hù)工作顯得尤為重要，對(duì)推進(jìn)國(guó)家信息化建設(shè)和信息安全保障建設(shè)也有著舉足輕重的作用。為了應(yīng)對(duì)新興信息技術(shù)帶來(lái)的安全威脅，本文從電子政務(wù)網(wǎng)絡(luò)安全保障技術(shù)出發(fā)，分析了傳統(tǒng)電子政務(wù)在安全上存在的問(wèn)題，深入探討了“互聯(lián)網(wǎng)+”背景下新型電子政務(wù)系統(tǒng)的安全保障技術(shù)，以提高電子政務(wù)服務(wù)的安全防護(hù)和應(yīng)對(duì)技術(shù)，保障電子政務(wù)信息安全。

關(guān)鍵詞： 電子政務(wù);互聯(lián)網(wǎng)+;網(wǎng)絡(luò)安全;安全保障技術(shù);邊界控制

中圖分類號(hào)： TP309 ???文獻(xiàn)標(biāo)識(shí)碼： A??? DOI：10.3969/j.issn.1003-6970.2020.07.028

本文著錄格式：周萍，章偉.“互聯(lián)網(wǎng)+電子政務(wù)”網(wǎng)絡(luò)安全保障技術(shù)研究[J]. 軟件，2020，41（07）：140-142+163

Research on Network Security and Safety Technology of Internet Plus E-government

ZHOU Ping， ZHANG Wei

（Automobile and Information Engineering School， Urban Vocational College of Sichuan， Chengdu， Sichuan 610101， China）

【Abstract】： Duing development of new Internet plus e-government， it is particularly important to protect network security of e-government service， which plays decisive role in promoting construction of national informatization and information security. To deal with security threats caused by new information technology， the paper analyzes problems of traditional e-government started from its security technology， and deeply discusses security protection technology of new e-government system under background of “Internet plus”， to improve security protection and response technology of e-government service and ensure information security of e-government.

【Key words】： E-government; Internet plus; Network security; Security technology; Border control

0? 引言

電子政務(wù)是服務(wù)于中央和各級(jí)政府機(jī)關(guān)及企事業(yè)單位的政務(wù)平臺(tái)，是我國(guó)電子政務(wù)服務(wù)的重要公共基礎(chǔ)設(shè)施。它致力于為政務(wù)部門業(yè)務(wù)系統(tǒng)提供資源、網(wǎng)絡(luò)、安全等支撐服務(wù)，為公眾提供政務(wù)信息服務(wù)。其業(yè)務(wù)類型包括各級(jí)政府部門內(nèi)部業(yè)務(wù)類（如電子監(jiān)察、信息報(bào)送、協(xié)同辦公等）、公共服務(wù)類（如政策公告、行政審批、報(bào)稅交稅、社保查詢等）以及基礎(chǔ)服務(wù)類（如視頻會(huì)議、電子郵件服務(wù)、數(shù)據(jù)備份等）。整個(gè)電子政務(wù)服務(wù)體系包括國(guó)家、省級(jí)、地市級(jí)、區(qū)縣級(jí)四級(jí)網(wǎng)絡(luò)平臺(tái)。目前，國(guó)家電子政務(wù)服務(wù)體系已經(jīng)基本建成，承載了100多個(gè)全國(guó)性業(yè)務(wù)系統(tǒng)和6000多項(xiàng)地方業(yè)務(wù)系統(tǒng)^[1]。電子政務(wù)服務(wù)網(wǎng)絡(luò)已成為我國(guó)覆蓋最廣、業(yè)務(wù)承載類型最多最豐富的公共政務(wù)服務(wù)網(wǎng)絡(luò)平臺(tái)^[2]。

在發(fā)展電子政務(wù)服務(wù)的同時(shí)，應(yīng)當(dāng)同等重視電子政務(wù)的網(wǎng)絡(luò)安全問(wèn)題?！暗谑鍖弥袊?guó)政府網(wǎng)站績(jī)效評(píng)估結(jié)果”顯示：電子政務(wù)服務(wù)網(wǎng)站普遍存在著各種安全漏洞，網(wǎng)站被惡意篡改和資料盜取事件頻發(fā)，電子政務(wù)安全防御能力急需加強(qiáng)^[3]。問(wèn)題主要集中在：

（1）網(wǎng)站被篡改。各級(jí)政府部門網(wǎng)站作為“政府形象”和政策展示平臺(tái)，一旦被別有用心的人篡改，用以傳播謠言或加入非法內(nèi)容，輕則引起社會(huì)混亂，重則造成政治事件，進(jìn)而影響國(guó)家和政府的公信力，給社會(huì)造成極大的負(fù)面影響。

（2）為公眾提供服務(wù)的在線業(yè)務(wù)被攻擊。電子政務(wù)服務(wù)體系建設(shè)的主要內(nèi)容之一就是向企業(yè)、公眾提供在線政府服務(wù)的窗口和網(wǎng)站，這些服務(wù)一旦被攻擊，必然導(dǎo)致服務(wù)異?；蚪K止，對(duì)社會(huì)造成影響，對(duì)國(guó)家造成重大損失。同時(shí)，這些網(wǎng)站中儲(chǔ)存有大量企業(yè)和公眾的商業(yè)秘密和私密信息，一旦被泄露，必然會(huì)造成企業(yè)和個(gè)人的利益損失。

（3）政府部門的辦公網(wǎng)絡(luò)被入侵，導(dǎo)致政府部門正常工作業(yè)務(wù)無(wú)法進(jìn)行。因此，如何防范黑客入侵也是電子政務(wù)服務(wù)網(wǎng)絡(luò)防護(hù)的重要內(nèi)容。

在“互聯(lián)網(wǎng)+電子政務(wù)”戰(zhàn)略提出后，特別是《網(wǎng)絡(luò)安全法》頒布后，“互聯(lián)網(wǎng)+電子政務(wù)”網(wǎng)絡(luò)安全問(wèn)題越來(lái)越受到關(guān)注。要做電子政務(wù)網(wǎng)站真正意義上的安全，就需要建立全方位的安全防護(hù)保障體系，包括發(fā)展自主信息產(chǎn)業(yè)和核心技術(shù)，在技術(shù)上建立完整的網(wǎng)絡(luò)保障體系，建立可靠的信息安全管理制度等。

本文從電子政務(wù)網(wǎng)絡(luò)安全保障技術(shù)出發(fā)，分析了傳統(tǒng)電子政務(wù)系統(tǒng)在安全上存在的問(wèn)題，深入探討了“互聯(lián)網(wǎng)+”背景下新型電子政務(wù)系統(tǒng)的安全保障實(shí)現(xiàn)技術(shù)，以提高電子政務(wù)系統(tǒng)的安全防護(hù)及應(yīng)對(duì)技術(shù)，保障電子政務(wù)信息安全。

1 ?傳統(tǒng)電子政務(wù)安全保障技術(shù)

目前大部分電子政務(wù)網(wǎng)絡(luò)安全技術(shù)主要體現(xiàn)在防火墻、病毒與木馬檢測(cè)、入侵檢測(cè)與入侵防御、對(duì)不同安全級(jí)別區(qū)域?qū)嵤┎煌陌踩呗?、VPN等網(wǎng)絡(luò)安全技術(shù)^[4-5]。這些安全手段只能在網(wǎng)絡(luò)層（OSI模型第三層）防范和封堵非授權(quán)訪問(wèn)和黑客入侵，以防止來(lái)自網(wǎng)絡(luò)外部的攻擊，而對(duì)合法用戶的訪問(wèn)沒(méi)有進(jìn)行防范，加上操作系統(tǒng)本身的技術(shù)缺陷會(huì)導(dǎo)致應(yīng)用系統(tǒng)的各種漏洞和錯(cuò)誤層出不窮。封堵法捕捉病毒攻擊和黑客入侵的特點(diǎn)和資料，導(dǎo)致獲取信息滯后，不能提前預(yù)測(cè)未來(lái)的攻擊態(tài)勢(shì)和入侵特征。隨著黑客入侵手段越來(lái)越多，安全技術(shù)人員只能把特征數(shù)據(jù)庫(kù)和病毒庫(kù)越做越大、防火墻越砌越高、入侵防御技術(shù)越做越復(fù)雜，從而使安全保障與網(wǎng)絡(luò)維護(hù)更加復(fù)雜，CPU處理時(shí)間和內(nèi)存資源開銷更長(zhǎng)更大，最終使安全防護(hù)效率大大降低。

2 ?新型電子政務(wù)安全保障技術(shù)

我國(guó)電子政務(wù)網(wǎng)是由內(nèi)網(wǎng)和外網(wǎng)兩部分組成的，內(nèi)網(wǎng)處理國(guó)家秘密事務(wù)，是涉密網(wǎng)，外網(wǎng)是各級(jí)政府部門的業(yè)務(wù)網(wǎng)，面向社會(huì)提供政務(wù)服務(wù)和不在內(nèi)網(wǎng)運(yùn)行的業(yè)務(wù)，是非涉密網(wǎng)^[6]。內(nèi)網(wǎng)與外網(wǎng)在物理上隔離，外網(wǎng)與互聯(lián)網(wǎng)在邏輯上隔離。無(wú)論政務(wù)內(nèi)網(wǎng)或外網(wǎng)，它的應(yīng)用范圍和邊界都是明確的，使用者都是確定的，操作流程也是固定的。在電子政務(wù)安全保障體系中，應(yīng)該不止防范外部用戶，更應(yīng)以防范內(nèi)部人員或內(nèi)外勾結(jié)為主。新型“互聯(lián)網(wǎng)+電子政務(wù)”安全保障體系可歸納為：控制使用、防內(nèi)外、高可信、強(qiáng)機(jī)制。

2.1 ?基于邊界控制的安全保障框架

采用基于邊界控制的安全保障框架后，用戶只能按照被授與的訪問(wèn)權(quán)限和訪問(wèn)控制規(guī)則來(lái)訪問(wèn)電子政務(wù)網(wǎng)，只要訪問(wèn)控制規(guī)則設(shè)置合理，整個(gè)電子政務(wù)系統(tǒng)的資源訪問(wèn)過(guò)程就相對(duì)安全，如此構(gòu)成了安全可信的應(yīng)用環(huán)境。安全共享服務(wù)邊界采用安全邊界路由器、安全邊界三層交換機(jī)或防火墻等安全邊界設(shè)備，具有用戶身份認(rèn)證、訪問(wèn)操作安全審計(jì)等功能，將非法訪問(wèn)者（如非法訪問(wèn)的非可信終端）與資源服務(wù)器隔離，從而節(jié)省帶寬，減輕服務(wù)器工作量，防止拒絕服務(wù)攻擊DoS和分布式拒絕服務(wù)攻擊DDoS。網(wǎng)絡(luò)通信采用IPSec協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)的全程安全通信，IPSec在操作系統(tǒng)內(nèi)工作，可確保數(shù)據(jù)傳輸?shù)耐暾?、保密性和一致性?？傊?，全程安全的網(wǎng)絡(luò)通信過(guò)程、可信的應(yīng)用操作平臺(tái)、安全的共享資源邊界保護(hù)，構(gòu)成了訪問(wèn)及工作流程相對(duì)固定的信息安全防護(hù)框架。

基于邊界控制的安全保障框架從技術(shù)上可分為以下5個(gè)部分：

（1）應(yīng)用環(huán)境安全：在終端設(shè)備上應(yīng)用密碼加密、訪問(wèn)控制、身份認(rèn)證、安全審計(jì)等技術(shù)，組成可信應(yīng)用環(huán)境。

（2）應(yīng)用區(qū)域邊界安全：在應(yīng)用區(qū)域邊界上部署保護(hù)措施，控制對(duì)電子政務(wù)網(wǎng)絡(luò)的訪問(wèn)，實(shí)現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)外網(wǎng)之間的隔離和安全訪問(wèn)。采用防火墻或部署在路由器、三層交換機(jī)上的安全技術(shù)（如訪問(wèn)控制技術(shù)ACL等）過(guò)濾流量，實(shí)現(xiàn)對(duì)資源服務(wù)器的可信連接。

（3）網(wǎng)絡(luò)和通信傳輸安全：確保通信的機(jī)密性、完整性和一致性。采用加密/解密、數(shù)字簽名、消息驗(yàn)證碼、完整性校驗(yàn)等技術(shù)，實(shí)現(xiàn)可信連接與消息安全傳輸。

（4）認(rèn)證中心與安全管理中心：采用分級(jí)的認(rèn)證中心和安全管理中心，提供身份認(rèn)證、實(shí)時(shí)訪問(wèn)控制、記賬等訪問(wèn)安全服務(wù)。

（5）密鑰管理中心：提供公鑰密碼體制下的密鑰服務(wù)、公鑰證書和對(duì)稱密鑰體制下的密鑰管理。

對(duì)更重要的、對(duì)安全性要求更高的電子政務(wù)系統(tǒng)，可組成由公共區(qū)、專用區(qū)、保密區(qū)的不同安全區(qū)域和網(wǎng)絡(luò)通信、應(yīng)用區(qū)域邊界、應(yīng)用環(huán)境搭建的網(wǎng)絡(luò)安全保障框架。不同應(yīng)用區(qū)域分別采用不同級(jí)別的安全保障措施后，區(qū)域之間采用安全隔離和信息交換設(shè)備進(jìn)行更安全的相互連接和信息交換。

2.2 ?可信計(jì)算技術(shù)

可信計(jì)算技術(shù)可以從基礎(chǔ)結(jié)構(gòu)上提高計(jì)算機(jī)及其它網(wǎng)絡(luò)設(shè)備的可信性。可信計(jì)算終端基于可信平臺(tái)模塊（TPM，Trusted Platform Module），以密碼技術(shù)為支持，以安全的操作系統(tǒng)為核心?？尚庞?jì)算平臺(tái)技術(shù)應(yīng)用電子政務(wù)網(wǎng)絡(luò)，可以實(shí)現(xiàn)以下功能：確保數(shù)據(jù)處理、傳輸和存儲(chǔ)的完整性和機(jī)密性，確保用戶身份的唯一性、工作空間的可用性，確保密鑰使用和密鑰存儲(chǔ)的安全，確保硬件環(huán)境配置的完整性，確保操作系統(tǒng)、軟件服務(wù)與應(yīng)用程序的完整性，確保系統(tǒng)具有免疫力，從根本上阻止黑客和病毒的攻擊^[7]。

2.3 ?面向電子政務(wù)的威脅情報(bào)感知技術(shù)

隨著各種網(wǎng)絡(luò)攻擊技術(shù)的不斷更新，高水平的入侵技術(shù)、多樣化的攻擊點(diǎn)、不斷提升的高效且有針對(duì)性的各種軟件攻擊工具，使網(wǎng)絡(luò)威脅的破壞力加大，威脅成本降低。威脅情報(bào)感知技術(shù)、威脅情報(bào)共享與分析技術(shù)的核心思想是，采用各種多樣化技術(shù)手段、通過(guò)多種渠道采集大規(guī)模異常數(shù)據(jù)碎片以及網(wǎng)絡(luò)攻擊信息，集中進(jìn)行數(shù)據(jù)挖掘、提煉、合并、歸納，進(jìn)一步形成相關(guān)威脅線索的集合，再借助機(jī)器智能學(xué)習(xí)、數(shù)據(jù)挖掘、相關(guān)事件關(guān)聯(lián)等技術(shù)，分析已發(fā)生的入侵威脅的特征或關(guān)鍵要素，對(duì)未來(lái)網(wǎng)絡(luò)威脅進(jìn)行預(yù)先研判，在此基礎(chǔ)上預(yù)測(cè)潛在的網(wǎng)絡(luò)安全威脅，以便指導(dǎo)用戶制定安全策略，減少未來(lái)網(wǎng)絡(luò)威脅，提升系統(tǒng)的防御能力和安全性。同時(shí)，這些原始威脅情報(bào)可以通過(guò)整合、剖析，得到對(duì)未來(lái)防控網(wǎng)絡(luò)威脅的有用信息，比如攻擊特征、攻擊方法、網(wǎng)絡(luò)安全態(tài)勢(shì)研判、有效應(yīng)對(duì)措施等，這些有用信息又可以作為威脅情報(bào)的一個(gè)組成部分，為其他信息安全技術(shù)人員提供借鑒。威脅情報(bào)感知? 這一新技術(shù)將廣泛應(yīng)用于新型“互聯(lián)網(wǎng)+電子政務(wù)”網(wǎng)絡(luò)安全體系中，有效保證電子政務(wù)服務(wù)網(wǎng)絡(luò)的? 安全。

2.4 ?面向電子政務(wù)的動(dòng)態(tài)防御技術(shù)

動(dòng)態(tài)防御是指在被動(dòng)或主動(dòng)觸發(fā)條件下動(dòng)態(tài)地選擇各種硬件設(shè)備及其相應(yīng)軟件，使內(nèi)部或外部入侵者觀察到的硬件和軟件工作狀態(tài)非常難以確定，因此很難或無(wú)法建立起基于漏洞的有效攻擊，以達(dá)成降低安全風(fēng)險(xiǎn)、提高系統(tǒng)整體安全性的目的^[8]。動(dòng)態(tài)防御技術(shù)的思想來(lái)源于生物學(xué)中的“擬態(tài)生物”，即某種生物在形狀、顏色、動(dòng)作上模擬另一種生物以捕食或逃避天敵攻擊。動(dòng)態(tài)防御體系可以針對(duì)電子政務(wù)網(wǎng)絡(luò)在各種公共事務(wù)服務(wù)領(lǐng)域的應(yīng)用層上基于病毒、木馬、后門等未知威脅，提供普適性的創(chuàng)新防御方法，既能為電子政務(wù)關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供可重建的或部分重建的服務(wù)能力，也能提供一套一體化的獨(dú)立于傳統(tǒng)安全手段的內(nèi)生安全系統(tǒng)，或者結(jié)合已有的入侵防御技術(shù)，獲得最佳防御效果。動(dòng)態(tài)防御體系在技術(shù)上融合了多種入侵防御技術(shù)，比如：以多樣性、異構(gòu)性改變目標(biāo)系統(tǒng)的單一性和相似性;以隨機(jī)性、動(dòng)態(tài)性改變目標(biāo)系統(tǒng)的確定性、靜態(tài)性;以異構(gòu)冗余多模機(jī)制判別和屏蔽未知缺陷和不明威脅;以高可靠性增強(qiáng)電子政務(wù)服務(wù)系統(tǒng)的彈性或可變性;以系統(tǒng)的不確定性屬性檢測(cè)或防御不確定性威脅。這些動(dòng)態(tài)防御技術(shù)具有普適性，能夠集約化地以一體化系統(tǒng)的形式為電子政務(wù)網(wǎng)絡(luò)防御和解決已有或未來(lái)威脅^[9]。

3 ?結(jié)語(yǔ)

“互聯(lián)網(wǎng)+電子政務(wù)”服務(wù)體系將全面提升我國(guó)政府的政務(wù)服務(wù)能力，形成規(guī)范、統(tǒng)一、多級(jí)聯(lián)動(dòng)的政府服務(wù)體系，極大地提高服務(wù)質(zhì)量。為構(gòu)建完善的網(wǎng)絡(luò)安全保障體系，確保我國(guó)“互聯(lián)網(wǎng)+電子政務(wù)”服務(wù)體系在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境中發(fā)揮效用，電子政務(wù)網(wǎng)絡(luò)安全保障體系的建設(shè)一定要做好規(guī)劃，積極引進(jìn)比如霧計(jì)算、基于邊界控制的安全保障技術(shù)、可信計(jì)算技術(shù)、威脅情報(bào)感知技術(shù)、動(dòng)態(tài)防御技術(shù)、軟件定義網(wǎng)絡(luò)、安全態(tài)勢(shì)感知技術(shù)等前沿技術(shù)，確保電子政務(wù)安全保障體系的先進(jìn)性和可擴(kuò)展性。本文從網(wǎng)絡(luò)安全保障技術(shù)出發(fā)，分析了傳統(tǒng)電子政務(wù)在安全上存在的問(wèn)題，深入探討了“互聯(lián)網(wǎng)+”背景下新型電子政務(wù)系統(tǒng)的安全保障技術(shù)^[10]?！盎ヂ?lián)網(wǎng)+電子政務(wù)”網(wǎng)絡(luò)安全保障體系的建設(shè)還涉及到國(guó)家及政府部門一系列管理政策與措施的改革與創(chuàng)新，以及與新興信息安全技術(shù)的有機(jī)結(jié)合，仍需要在未來(lái)做出進(jìn)一步的研究，并結(jié)合實(shí)踐進(jìn)行改進(jìn)和完善。

參考文獻(xiàn)

1. 楊茜晶. 互聯(lián)網(wǎng)+視域中區(qū)縣電子政務(wù)建設(shè)的困境及對(duì)策研究[D]. 湖南師范大學(xué)， 2019.
2. 陳玲玲. 宿州市“互聯(lián)網(wǎng)+政務(wù)服務(wù)”信息安全管理研究[D]. 安徽大學(xué)， 2019.
3. 張歡歡. “互聯(lián)網(wǎng)+”時(shí)代公共信息安全對(duì)策研究[D]. 河北科技大學(xué)， 2018.
4. 歐陽(yáng)秋梅， 吳超. 大數(shù)據(jù)與傳統(tǒng)安全統(tǒng)計(jì)數(shù)據(jù)的比較及其應(yīng)用展望[J]. 中國(guó)安全科學(xué)學(xué)報(bào)， 2016， 26（3）： 1-7.
5. 林龍成， 陳波， 郭向民. 傳統(tǒng)網(wǎng)絡(luò)安全防御面臨的新威脅：APT攻擊[J]. 信息安全與技術(shù)， 2013， 4（3）： 20-25.

1. 欒慶林， 盧輝斌. 自適應(yīng)遺傳算法優(yōu)化神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)研究[J]. 計(jì)算機(jī)工程與設(shè)計(jì)， 2008， 29（12）： 3022-3025.
2. Datta A. Franklin J. Garg D. A logic of secure systems and its application to trusted computing[C]. 30th IEEE Symposium on Security and Privacy. Berkeley： IEEE， 2009： 221- 236.
3. 郭瑞. 深度動(dòng)態(tài)防御應(yīng)對(duì)APT攻擊[J]. 信息安全與技術(shù)， 2014， 9： 67-69.
4. Romeis C. Jaeger J. Dynamic protection security assessment， a technique for blackout prevention[C]. 2013 IEEE Grenoble Conference. Crenoble， France： IEEE， 2013： 1-6.
5. 馬立新， 金月光. 基于策略的網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件， 2013， 34（06）： 25-26.