◆劉 維

電子政務(wù)云平臺信息安全建設(shè)研究

◆劉 維

（河北省保定市公安局網(wǎng)安支隊 河北 071000）

伴隨著互聯(lián)網(wǎng)技術(shù)的日趨成熟，各級政府正在或已經(jīng)搭建辦公網(wǎng)絡(luò)平臺，構(gòu)建“服務(wù)型、高效型、開放型”智慧型政府。通過計算機、云計算、分布式、大數(shù)據(jù)等先進技術(shù)，實現(xiàn)政府各部門的數(shù)據(jù)交換、數(shù)據(jù)共享，打破傳統(tǒng)業(yè)務(wù)壁壘，滿足不同部門之間的跨平臺、跨空間、移動式辦公要求，運用數(shù)據(jù)分析等關(guān)鍵技術(shù)，實現(xiàn)輔助決策，為重大決策提供數(shù)據(jù)支持，提升電子政務(wù)服務(wù)效率。而當(dāng)前流行的諸如病毒防護、數(shù)據(jù)竊取、木馬植入、黑客攻擊等破壞行為，給政務(wù)網(wǎng)安全和國家政治安全帶來極大威脅，越是網(wǎng)絡(luò)發(fā)達，越是數(shù)據(jù)共享，越往云上部署系統(tǒng)，則對政府的信息安全保障能力要求也越高。構(gòu)建可靠、可信、高效、安全的信息網(wǎng)絡(luò)，尤其是在國際情況復(fù)雜的形勢下，履行網(wǎng)絡(luò)安全建設(shè)義務(wù)，落實等級保護建設(shè)職責(zé)，保障我國各級政府應(yīng)用系統(tǒng)、數(shù)據(jù)資源、網(wǎng)絡(luò)通信安全，尤其是從根本上消除信息泄密隱患，保護國家信息安全刻不容緩。

電子政務(wù)；云平臺；信息安全

0 引言

隨著互聯(lián)網(wǎng)的快速發(fā)展，電子政務(wù)系統(tǒng)經(jīng)歷了無紙化、數(shù)字化、網(wǎng)絡(luò)化等階段，如今正在結(jié)合大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、移動通訊等技術(shù)向“智慧化”發(fā)展。電子政務(wù)系統(tǒng)已經(jīng)成為了各級政府內(nèi)部辦公、對外服務(wù)的主要工具之一。而隨著各級政府部門之間的業(yè)務(wù)協(xié)同、數(shù)據(jù)共享、云平臺和虛擬化辦公的建設(shè)，不同部門系統(tǒng)的數(shù)據(jù)共享和數(shù)據(jù)傳遞復(fù)雜而又有邏輯。伴隨業(yè)務(wù)增多，應(yīng)用系統(tǒng)數(shù)量日益增多，新建系統(tǒng)、改擴建系統(tǒng)，數(shù)據(jù)流通規(guī)則的復(fù)雜程度增加了管理的難度和安全風(fēng)險[1]。為了實現(xiàn)國家網(wǎng)絡(luò)空間安全，進而保障國家整體安全，2017年6月1日起，我國正式施行《中華人民共和國網(wǎng)絡(luò)安全法》（簡稱“網(wǎng)絡(luò)安全法”），這是我國第一部規(guī)范網(wǎng)絡(luò)空間安全的法律，也是我國第一次將網(wǎng)絡(luò)安全上升到國家戰(zhàn)略層面。實施《網(wǎng)絡(luò)安全法》，嚴(yán)格落實網(wǎng)絡(luò)安全等級保護制度，進一步維護了網(wǎng)絡(luò)空間主權(quán)和信息數(shù)據(jù)安全，保障了我國人民大眾的合法權(quán)益，促進了我國國民經(jīng)濟的穩(wěn)步發(fā)展。電子政務(wù)系統(tǒng)在建設(shè)之初就應(yīng)按照網(wǎng)絡(luò)等級保護制度的要求進行規(guī)劃、設(shè)計，并同步進行檢測和評估，真正實現(xiàn)國家電子政務(wù)系統(tǒng)的網(wǎng)絡(luò)安全。

1 電子政務(wù)系統(tǒng)平臺技術(shù)特點

目前，我國各級電子政務(wù)系統(tǒng)多采用基于大數(shù)據(jù)、云計算、分布式的開發(fā)和部署方式，以減少重復(fù)建設(shè)，增強各級政府之間業(yè)務(wù)關(guān)聯(lián)的內(nèi)聚性[2]。通過建設(shè)政務(wù)云、建設(shè)集中數(shù)據(jù)池，使數(shù)據(jù)流在系統(tǒng)平臺之間交換，實現(xiàn)業(yè)務(wù)流通辦理。通過對積累的經(jīng)驗數(shù)據(jù)采用計算機數(shù)據(jù)分析方法，實現(xiàn)趨勢分析，案例研判，為政策的制定提供數(shù)據(jù)支持和參考。政務(wù)云平臺的建設(shè)，為推進各政府統(tǒng)籌管理、高效辦公，提升政府服務(wù)能力水平，建設(shè)人民滿意的服務(wù)型政府奠定了堅實的技術(shù)基礎(chǔ)。政務(wù)云的建設(shè)，采用頂層設(shè)計，統(tǒng)一規(guī)劃，分步實施，將各個部門的業(yè)務(wù)系統(tǒng)逐步納入云中，既整合了現(xiàn)有的網(wǎng)絡(luò)資源、存儲資源、計算資源，又使得各部門業(yè)務(wù)數(shù)據(jù)和業(yè)務(wù)流程運轉(zhuǎn)更科學(xué)、更高效，極大地滿足了政務(wù)部門對內(nèi)和對外服務(wù)的綜合能力。

電子政務(wù)系統(tǒng)集成了最新的信息技術(shù)，包括云計算、云存儲、虛擬化、移動通信辦公等技術(shù)，采用系統(tǒng)化、模塊化設(shè)計理念，構(gòu)建了Paas、Iaas、Saas等基礎(chǔ)設(shè)施，實現(xiàn)了各應(yīng)用系統(tǒng)依托于統(tǒng)一的集群架構(gòu)，支撐各類應(yīng)用，進行集群化管理[3]。電子政務(wù)云在建設(shè)過程中，為了實現(xiàn)各個系統(tǒng)的業(yè)務(wù)數(shù)據(jù)訪問和交換，保持?jǐn)?shù)據(jù)的一致性，一開始便制定數(shù)據(jù)規(guī)則，協(xié)議標(biāo)準(zhǔn)，以滿足不同應(yīng)用系統(tǒng)的接口調(diào)用。通過統(tǒng)一的安全規(guī)劃，在各個邊界設(shè)置安全設(shè)備，部署各種安全軟件，動態(tài)地保護整個電子政務(wù)云的安全。圖1為電子政務(wù)系統(tǒng)邏輯架構(gòu)。

圖1 電子政務(wù)系統(tǒng)邏輯架構(gòu)

電子政務(wù)系統(tǒng)云平臺從建設(shè)要求方面體現(xiàn)協(xié)同共享，從技術(shù)架構(gòu)方面方面體現(xiàn)突出集群與分布式，從實際應(yīng)用中體現(xiàn)100%全覆蓋和減少重復(fù)建設(shè)，從時空上實現(xiàn)了固定——移動分時辦公，從安全層次上體現(xiàn)了防治結(jié)合。電子政務(wù)云系統(tǒng)，從業(yè)務(wù)上實現(xiàn)了各級部門之間的大協(xié)同，各分系統(tǒng)通過制定的標(biāo)準(zhǔn)協(xié)議實現(xiàn)數(shù)據(jù)交換，通過安全防護體系保障電子政務(wù)應(yīng)用的數(shù)據(jù)安全與使用安全。

2 電子政務(wù)系統(tǒng)平臺網(wǎng)絡(luò)安全建設(shè)思路

在符合我國法規(guī)、法律、條例及相關(guān)規(guī)定的基礎(chǔ)上，應(yīng)該嚴(yán)格落實等保制度，將網(wǎng)絡(luò)安全等級保護方案貫穿于電子政務(wù)云系統(tǒng)建設(shè)的整個過程，從規(guī)劃設(shè)計、項目實施、系統(tǒng)部署、安全檢測、管理運維等不同階段，到物理環(huán)境、體系制度、人員要求等各個方面進行完善，切實將網(wǎng)絡(luò)安全法貫徹到信息化建設(shè)當(dāng)中，切實保障各級政府的系統(tǒng)安全，做到發(fā)現(xiàn)問題及時改進，消除潛在的安全漏洞和威脅，保障我國政府信息平臺的保密性、完整性和可用性[4]。

通過實施等級安全評估、滲透安全測試、網(wǎng)絡(luò)安全加固，電子政務(wù)系統(tǒng)平臺才能真正做到了解信息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀、確定當(dāng)前哪些設(shè)備和應(yīng)用系統(tǒng)存在易被攻擊的威脅、預(yù)測系統(tǒng)遭到攻擊后帶來的損失。

在檢測中發(fā)現(xiàn)問題，根據(jù)系統(tǒng)安全要求和受到威脅攻擊后帶來的損失，按照等級保護要求，對系統(tǒng)和網(wǎng)絡(luò)進行改造，滿足國家等保要求，并不斷地總結(jié)經(jīng)驗，不斷地發(fā)現(xiàn)問題，探索和預(yù)測將來可能遇到的網(wǎng)絡(luò)安全攻擊，提前進行演練如何應(yīng)對惡意破壞，制定詳細可行的安全防護制度和技術(shù)方案。

通過等保建設(shè)，實現(xiàn)可信的安全計算環(huán)境，安全的信息邊界、可靠真實的數(shù)據(jù)交換、通暢的業(yè)務(wù)流通、從應(yīng)用到網(wǎng)絡(luò)到數(shù)據(jù)實現(xiàn)安全的層層防護，將威脅排除在最外圍，建設(shè)強大的安全防御工事，從根本上提高全員安全意識，做好全面的安全防護，有力地保障網(wǎng)絡(luò)傳輸、信息交互、數(shù)據(jù)資源的的安全，努力使電子政務(wù)云上部署的各種應(yīng)用系統(tǒng)和網(wǎng)絡(luò)滿足《信息系統(tǒng)安全等級保護基本要求》的相關(guān)要求，主要包括：

（1）設(shè)置信息安全統(tǒng)一監(jiān)管部門，該部門負責(zé)整個的信息系統(tǒng)及安全管理，對安全事件進行統(tǒng)一的監(jiān)控和預(yù)警，并進行指導(dǎo)安全加固和實施，各個業(yè)務(wù)部門應(yīng)用系統(tǒng)都將受到該中心的統(tǒng)一安全監(jiān)管；

（2）加強終端的管理，杜絕非授權(quán)訪問；

（3）建立專網(wǎng)或者是通過VPN方式實現(xiàn)授權(quán)人員的接入；

（4）加強日常的病毒防護和漏洞掃描、數(shù)據(jù)庫審計，通過主動和被動網(wǎng)絡(luò)安全入侵檢測、異常分析進行系統(tǒng)安全維護；

（5）通過安全策略，進行區(qū)域劃分，對不同業(yè)務(wù)進行合理劃分，引入安全評級機制，根據(jù)安全級別將不同系統(tǒng)劃到不同級別的安全區(qū)域；

（6）邊界部署安全硬件，平臺部署殺毒軟件，旁路接入異常數(shù)據(jù)掃描分析等不同類型的安全產(chǎn)品，構(gòu)造縱向的防御安全防御體系，確保信息和網(wǎng)絡(luò)安全、高效、可靠運行。

3 電子政務(wù)系統(tǒng)平臺網(wǎng)絡(luò)安全整改建設(shè)實施

電子政務(wù)系統(tǒng)云平臺安全體系建設(shè)應(yīng)優(yōu)先采用國產(chǎn)設(shè)備，自主可控，通過分析國內(nèi)外系統(tǒng)特點和安全防范手段，實現(xiàn)管理與技術(shù)雙提升的目標(biāo)，做到“分級分域、多層防護”的基線式的信息安全等級保護深度防御體系。電子政務(wù)系統(tǒng)整體安全體系建設(shè)需雙管齊下，即技術(shù)體系防護建設(shè)和管理體系建設(shè)[5]，如圖3所示。

圖2 安全管理體系建設(shè)組成

電子政務(wù)系統(tǒng)安全體系建設(shè)流程如圖3。

圖3 電子政務(wù)系統(tǒng)安全體系建設(shè)流程

3.1 整改建設(shè)前安全風(fēng)險評估

整改建設(shè)前的風(fēng)險評估是以安全建設(shè)為出發(fā)點，通過事前問題采集，對現(xiàn)有系統(tǒng)的技術(shù)架構(gòu)分析，制定相應(yīng)的網(wǎng)絡(luò)安全防御方案[6]。通過對各種設(shè)備、系統(tǒng)的的分類分級、脆弱性分析、被攻擊后造成損失的嚴(yán)重性分析，形成風(fēng)險評估表，進行政務(wù)云系統(tǒng)中物理環(huán)境、基礎(chǔ)設(shè)施、軟件平臺、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)存儲、管理制度等方面的安全加固。通過購買更強的安全設(shè)備、安全軟件進行升級改造，通過制定更完善的管理制度實現(xiàn)技術(shù)人員和現(xiàn)場作業(yè)的安全控制。通過制定風(fēng)險等級，評估風(fēng)險的嚴(yán)重級別制定風(fēng)險應(yīng)對措施，進而確定整改方案，整改后須進行再次評估。

3.2 安全需求分析

通過量化的風(fēng)險評估，得出各系統(tǒng)的安全現(xiàn)狀。通過參照等保建設(shè)要求和各個業(yè)務(wù)系統(tǒng)的重要性，確定該部門應(yīng)用系統(tǒng)的安全目標(biāo)，這樣可以量化不同部門應(yīng)用系統(tǒng)所處的安全等級，有針對性的進行安全防護。結(jié)合部門業(yè)務(wù)的特殊要求，在應(yīng)用級別和安全等級之間可以分析得到安全需求等級。安全需求分析應(yīng)結(jié)合電子政務(wù)云平臺業(yè)務(wù)特點，從服務(wù)器及存儲集群、網(wǎng)絡(luò)層、應(yīng)用終端三個層面進行全方位分析，全面消除來自非法終端接入、惡意網(wǎng)絡(luò)攻擊造成的威脅，實現(xiàn)全方位、多角度的安全監(jiān)管預(yù)警，提升政府對信息安全威脅的處理能力。

3.3 安全防護方案設(shè)計

安全防護方案設(shè)計是在安全需求分析之后，對安全技術(shù)手段和管理手段進行升級或改造的解決方案，安全防護也是從管理和技術(shù)兩方面進行，做到管控結(jié)合，全面消除信息安全威脅帶來的重大危害。

安全防護方案主要基準(zhǔn)點：互聯(lián)網(wǎng)出口集中管控；統(tǒng)一安全接入平臺，訪問授權(quán)管理；區(qū)域分割和訪問策略；在線平臺監(jiān)管與報警。

3.4 整改加固實施

經(jīng)過安全風(fēng)險評估、安全需求分析、安全防護方案設(shè)計后，進行安全體系建設(shè)實施，包括技術(shù)體系建設(shè)和管理體系建設(shè)兩部分。

3.4.1技術(shù)體系建設(shè)結(jié)構(gòu)

圖4 技術(shù)體系建設(shè)

技術(shù)體系建設(shè)從五方面進行：

（1）建設(shè)安全管理中心。實現(xiàn)整個系統(tǒng)的統(tǒng)一籌劃，分步實施，統(tǒng)一管理。實現(xiàn)系統(tǒng)應(yīng)用部署、安全審計、事件處置、風(fēng)險及運維管理，做到事前、事中積極分析預(yù)防加固，事后總結(jié)經(jīng)驗教訓(xùn)。

（2）計算環(huán)境安全。計算環(huán)境安全是整個應(yīng)用的核心，攻擊的對象就是數(shù)據(jù)，通過對計算環(huán)境安全保護，即保住了信息系統(tǒng)的要害。計算環(huán)境保護既包括對服務(wù)器的保護，又包括對用戶終端的保護。

（3）區(qū)域邊界保護建設(shè)。區(qū)域邊界保護建設(shè)方法：區(qū)域邊界訪問控制、區(qū)域邊界包過濾、區(qū)域邊界安全審計、區(qū)域邊界完整性保護等。

合理部署入侵檢測、漏洞掃描、防火墻、終端安全保護系統(tǒng)（服務(wù)器版和普通版）、網(wǎng)站防護系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、身份認(rèn)證網(wǎng)關(guān)等安全加固產(chǎn)品，構(gòu)建信息系統(tǒng)的安全防御體系，通過這些安全產(chǎn)品將異常事件進行發(fā)現(xiàn)，并報告到安全管理中心，由安全管理中心進行處置。

（4）網(wǎng)絡(luò)通訊安全建設(shè)。通過建立電子政務(wù)專用網(wǎng)保障網(wǎng)絡(luò)安全，如建立DDN網(wǎng)絡(luò)或VPN網(wǎng)絡(luò)，部署雙線的網(wǎng)絡(luò)。

（5）應(yīng)用安全封裝與進程隔離。通過分析應(yīng)用系統(tǒng)的進程以及應(yīng)用系統(tǒng)的資源，通過自主訪問控制策略的配置，將應(yīng)用系統(tǒng)的進程、資源保護起來，保證系統(tǒng)進程的可信，增強了應(yīng)用系統(tǒng)運行環(huán)境的隔離性，不僅實現(xiàn)了對應(yīng)用系統(tǒng)訪問控制，而且保護應(yīng)用系統(tǒng)的資源不受其它非法進程、用戶的訪問，保護了信息的保密性和完整性，使業(yè)務(wù)應(yīng)用系統(tǒng)在其整個生命周期中始終安全可信。

3.4.2管理體系建設(shè)結(jié)構(gòu)

在技術(shù)體系建設(shè)完成的基礎(chǔ)上，強化對管理體系的建設(shè)，保證在整個過程中系統(tǒng)有人管、風(fēng)險有人查、漏洞有人堵，通過從管理機構(gòu)、管理制度、人員管理等幾個方面進行建設(shè)和加強（如圖5所示）。同時，由于信息安全是一個隨時間變化動態(tài)的的系統(tǒng)工程，攻和防本身就是一對矛盾，所以，定期的組織相關(guān)的安全測評、安全滲透測試以及攻防演練等，可以及時發(fā)現(xiàn)現(xiàn)有系統(tǒng)存在的威脅和脆弱性，積極升級和改造相關(guān)的硬件產(chǎn)品和軟件系統(tǒng)，更新管理制度，培養(yǎng)合格的信息安全管理和運維人員，使信息資產(chǎn)得到有效、經(jīng)濟、合理的保護，使我國的信息安全水平提升到一個新的層次。

圖5 管理體系建設(shè)

4 結(jié)束語

電子政務(wù)系統(tǒng)的安全防護工作是一個動態(tài)的、持續(xù)的過程，離不開技術(shù)和管理的雙重建設(shè)，隨著各級政府協(xié)同辦公、數(shù)據(jù)共享，以及新思想、新技術(shù)的快速發(fā)展，安全技術(shù)手段和管理的指導(dǎo)思想也應(yīng)該要與時俱進地動態(tài)前行，要根據(jù)相關(guān)業(yè)務(wù)的結(jié)構(gòu)調(diào)整和重要性劃分，不斷地進行技術(shù)升級改造和管理制度更新，切實切斷外來威脅對我國電子政務(wù)云平臺的攻擊，保障政府?dāng)?shù)據(jù)資源安全，建立完整、可靠、合理的安全防護體系。

[1]李鳴.我國電子政務(wù)發(fā)展綜述[J].武漢工程大學(xué)學(xué)報，2010.

[2]章謙驊，章堅武.基于云安全技術(shù)的智慧政務(wù)云解決方案[J].計算機應(yīng)用研究，2017.

[3]楊婕,周洪林.基于 IaaS 的電子政務(wù)云安全方案探討[J].中國新通信，2017.

[4]佟暉,劉長文,齊瑩素,魏喆.政務(wù)云構(gòu)建與安全問題研究[J].中國新通信, 2012.

[5]黎水林,陳廣勇.電子政務(wù)云安全風(fēng)險分析及應(yīng)對策略研究.第六屆全國網(wǎng)絡(luò)安全等級保護技術(shù)大會論文集，2017.

[6]池亞平,王艷,王慧麗,李欣.基于等級的電子政務(wù)云跨域訪問控制技術(shù)[J],計算機應(yīng)用，2016.