摘要：隨著5G網(wǎng)絡(luò)通信技術(shù)的發(fā)展，萬物互聯(lián)逐步形成，網(wǎng)絡(luò)攻擊行為越來越頻繁和多樣化，構(gòu)建符合等級保護(hù)2.0技術(shù)要求、主動(dòng)防御網(wǎng)絡(luò)攻擊行為的電子政務(wù)安全保障體系，尤為重要。

關(guān)鍵詞：電子政務(wù);等級保護(hù);安全保障體系;區(qū)域邊界安全

中圖分類號：TTP309? ?文獻(xiàn)標(biāo)識碼：A? ? ?文章編號：1007-9416（2020）04-0000-00

隨著5G網(wǎng)絡(luò)通信技術(shù)的發(fā)展，萬物互聯(lián)正逐步形成，每個(gè)被接入網(wǎng)絡(luò)的點(diǎn)都有可能被黑客利用，網(wǎng)絡(luò)攻擊的行為越來越頻繁，攻擊方式越來越多樣化;政府大力推進(jìn)“一網(wǎng)辦”，電子政務(wù)網(wǎng)作為“一網(wǎng)辦”的承載體，安全保障體系尤為重要。本文以市級電子政務(wù)網(wǎng)為例，結(jié)合實(shí)際工作，闡述如何構(gòu)建具有主動(dòng)防御功能的安全保障體系。

1電子政務(wù)主動(dòng)防御體系

國家實(shí)施等級保護(hù)制度，電子政務(wù)發(fā)展，要積極落實(shí)等級保護(hù)制度，加強(qiáng)安全等級保護(hù)建設(shè)，提升電子平臺工作安全性[1]，從被動(dòng)防御轉(zhuǎn)變?yōu)橹鲃?dòng)防御，構(gòu)建一個(gè)中心、三重防護(hù)的安全保障體系，如圖1所示。

從以下幾個(gè)方面落實(shí)：

（1）安全計(jì)算環(huán)境方面。對政務(wù)云平臺下的全部操作系統(tǒng)，關(guān)閉不需要的服務(wù)（如打印機(jī)、共享服務(wù)等），禁用135、445等不安全的高危端口。禁用guest賬戶，建立安全審計(jì)賬號;并要求系統(tǒng)賬戶密碼復(fù)雜度不低于8位字符，且定期更換密碼;安裝殺毒軟件，定級升級病毒庫;對操作系統(tǒng)、中間件、數(shù)據(jù)庫等定期進(jìn)行漏洞掃描，定期升級系統(tǒng)補(bǔ)丁。

（2）安全通信網(wǎng)絡(luò)方面。根據(jù)單位性質(zhì)和網(wǎng)絡(luò)用戶規(guī)模，將電子政務(wù)網(wǎng)絡(luò)劃分10、192、172三個(gè)內(nèi)網(wǎng)地址段，并分別配以100MB、60MB和30MB的帶寬，滿足高峰期的業(yè)務(wù)需求。

網(wǎng)絡(luò)間數(shù)據(jù)傳輸均通過加密技術(shù)，各安全設(shè)備采用SSH傳輸協(xié)議遠(yuǎn)程管理，防止信息在網(wǎng)絡(luò)傳輸中被竊聽。

（3）安全區(qū)域邊界。各區(qū)縣接入到電子政務(wù)云平臺前，應(yīng)在邊界防火墻中設(shè)置源地址、目的地址、源端口、目的端口，以允許或拒絕非法數(shù)據(jù)包的進(jìn)出，關(guān)閉不用的端口，保障邊界接入安全。登陸防火墻，選擇內(nèi)容過濾，選擇http協(xié)議，F(xiàn)TP協(xié)議、https協(xié)議等。

啟動(dòng)入侵防御系統(tǒng)的網(wǎng)絡(luò)攻擊行為識別和檢測功能，有效防止黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.O.S攻擊等惡意流量。登陸入侵防御系統(tǒng)，選擇策略配置>安全設(shè)置>入侵防御，配置相關(guān)攻擊行為事件。

（4）安全管理中心。通過訪問VPN進(jìn)入內(nèi)部網(wǎng)絡(luò)，再通過堡壘機(jī)進(jìn)入各操作系統(tǒng)，記錄每個(gè)接入日志，且日志保留6個(gè)月以上，對于異常接入行為、服務(wù)器異常狀況，系統(tǒng)自動(dòng)觸發(fā)短信報(bào)警。

在瀏覽器中輸入VPN訪問地址，輸入賬號密碼后登陸，登陸成功后，再輸入堡壘機(jī)的訪問地址，輸入賬號密碼，進(jìn)入堡壘機(jī)管理界面，在堡壘機(jī)內(nèi)，根據(jù)用戶權(quán)限，呈現(xiàn)被管理的主機(jī)，選擇主機(jī)，進(jìn)入操作系統(tǒng)界面，輸入賬號密碼登錄操作系統(tǒng)。

2電子政務(wù)安全等級確定

按照《GA/T 1389-2017 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》，從業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個(gè)方面對電子政務(wù)網(wǎng)進(jìn)行定級。

電子政務(wù)網(wǎng)承載了政府辦公業(yè)務(wù)以及公眾服務(wù)業(yè)務(wù)，業(yè)務(wù)安全級別較高;一旦業(yè)務(wù)數(shù)據(jù)遭受攻擊，將影響政府辦公、公眾辦理業(yè)務(wù)，更嚴(yán)重者，可能導(dǎo)致政府決策信息泄露或數(shù)篡改，影響社會(huì)秩序和公共利益，不影響國家安全。

在系統(tǒng)安全服務(wù)層面，電子政務(wù)保障了各業(yè)務(wù)系統(tǒng)正常被訪問，數(shù)據(jù)正常傳輸，安全級別較高;一旦電子政務(wù)遭受攻擊，導(dǎo)致網(wǎng)絡(luò)中斷，影響社會(huì)秩序和公共利益，不影響國家安全。

綜合業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個(gè)方面的認(rèn)識，根據(jù)定級指南，電子政務(wù)定級為三級。

3電子政務(wù)等級保護(hù)安全總體設(shè)計(jì)

針對電子政務(wù)按照不同的區(qū)域以及行業(yè)進(jìn)行分域保護(hù)，充分考慮到電子政務(wù)發(fā)展中的不同類別、階段以及等級等，將其劃分為相應(yīng)的安全區(qū)域進(jìn)行管理[2]。

電子政務(wù)等級保護(hù)安全總體設(shè)計(jì)，遵循等級保護(hù)2.0技術(shù)標(biāo)準(zhǔn)，從技術(shù)和管理兩個(gè)方面構(gòu)建，技術(shù)方面包括安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心等五個(gè)方面;管理方面包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理等五個(gè)方面。由此構(gòu)建電子政務(wù)的安全保障機(jī)制[3]。

4電子政務(wù)等級保護(hù)安全保障體系構(gòu)建

構(gòu)建電子政務(wù)的安全保障體系，根據(jù)《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》，形成一個(gè)中心三重防護(hù)，建立以計(jì)算環(huán)境安全為基礎(chǔ)，以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障，以安全管理中心為核心的信息安全整體保障體系。

4.1建立電子政府分域保護(hù)框架

按照等級保護(hù)三級技術(shù)要求，網(wǎng)絡(luò)架構(gòu)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)分配地址，且重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采用可靠的技術(shù)手段隔離。由此將安全保障機(jī)制劃分為5域15區(qū)機(jī)制[4]。5域包括基礎(chǔ)設(shè)施域、通信網(wǎng)絡(luò)域、區(qū)域邊界域、計(jì)算環(huán)境域和安全管理域;15區(qū)包括非涉密機(jī)房區(qū)、網(wǎng)絡(luò)邊界區(qū)、核心數(shù)據(jù)區(qū)、托管服務(wù)區(qū)、業(yè)務(wù)系統(tǒng)區(qū)、業(yè)務(wù)測試區(qū)、涉密機(jī)房區(qū)、電子政務(wù)內(nèi)網(wǎng)區(qū)、電子政務(wù)外網(wǎng)區(qū)、終端邊界區(qū)、資源共享交換區(qū)、辦公區(qū)、安全管理區(qū)、安全服務(wù)區(qū)、安全運(yùn)維區(qū)。

4.2建立主動(dòng)防御的保障體系

按照電子政務(wù)網(wǎng)的定級標(biāo)準(zhǔn)以及《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》技術(shù)要求，從基礎(chǔ)設(shè)施安全、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全計(jì)算環(huán)境等幾個(gè)方面構(gòu)建主動(dòng)防御的保障體系。

4.2.1加強(qiáng)基礎(chǔ)設(shè)施安全

基礎(chǔ)設(shè)施安全主要包括機(jī)房訪問控制、機(jī)房環(huán)境、設(shè)備與介質(zhì)管理等。機(jī)房訪問控制中對機(jī)房的外來人員制定訪問條件，由專人對外來訪問人員進(jìn)行審批，為其設(shè)置方位授權(quán)目標(biāo)。按照GB50174-2008中的相應(yīng)要求設(shè)置機(jī)房中的墻壁、裝修方式、門、天花板等，并在機(jī)房中安裝配置UPS、過電壓防護(hù)設(shè)備、并行電路、供電線路上配置穩(wěn)壓器等。在機(jī)房中安裝火災(zāi)自動(dòng)消防系統(tǒng)以及精密空調(diào)。設(shè)備與介質(zhì)管理過程中，為系統(tǒng)安裝防盜報(bào)警系統(tǒng)、監(jiān)控系統(tǒng)，將一些較為敏感的安全業(yè)務(wù)信息安裝在較為安全的區(qū)域內(nèi)。并為機(jī)房管理建立環(huán)境監(jiān)控制度以及出入管理制度[5]。

4.2.2加強(qiáng)區(qū)域邊界安全

電子政務(wù)網(wǎng)分內(nèi)網(wǎng)和外網(wǎng)，加強(qiáng)外網(wǎng)與內(nèi)網(wǎng)之間的隔離;在外網(wǎng)與內(nèi)網(wǎng)之間加強(qiáng)不同安全域的安全邊界設(shè)置。加強(qiáng)邊界設(shè)置的完整性，在電子政務(wù)使用過程中阻斷非法網(wǎng)絡(luò)接入行為、非法外聯(lián)行為的進(jìn)攻，構(gòu)成可信接入網(wǎng)絡(luò)。由終端網(wǎng)絡(luò)準(zhǔn)入、邊界網(wǎng)絡(luò)接入構(gòu)成網(wǎng)絡(luò)可信接入，由移動(dòng)客戶端、PC 客戶端共同構(gòu)成終端網(wǎng)絡(luò)準(zhǔn)入，為系統(tǒng)運(yùn)行建立認(rèn)證、安全隧道、訪問權(quán)限控制等多種機(jī)制。

建立有效的邊界入侵防范機(jī)制，在電子政務(wù)系統(tǒng)運(yùn)行內(nèi)部建立多手段檢測方式，使得系統(tǒng)運(yùn)行中能夠抵御外部多項(xiàng)網(wǎng)絡(luò)的入侵與攻擊。并對此能夠及時(shí)識別并建立相應(yīng)的報(bào)警機(jī)制。

4.2.3構(gòu)建安全通信網(wǎng)絡(luò)

保證通信的完整性和保密性。部署VPN系統(tǒng)保證數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄?。利用安全隧道、認(rèn)證、訪問權(quán)限控制、分域防控等安全機(jī)制，實(shí)現(xiàn)政務(wù)網(wǎng)絡(luò)互聯(lián)安全、移動(dòng)辦公安全、重點(diǎn)區(qū)域的邊界防護(hù)安全。安裝部署網(wǎng)絡(luò)堡壘機(jī)對網(wǎng)絡(luò)設(shè)備運(yùn)維人員進(jìn)行 USBkey+ 密碼進(jìn)行身份鑒別，對網(wǎng)絡(luò)設(shè)備管理員登錄地址進(jìn)行限制，加密會(huì)話，并且記錄及審計(jì)操作日志，以便進(jìn)行責(zé)任認(rèn)定與事件跟蹤。

4.2.4加強(qiáng)計(jì)算環(huán)境安全

統(tǒng)一身份管理與授權(quán)管理系統(tǒng)。統(tǒng)一身份管理與授權(quán)管理系統(tǒng)作為安全管理中心的一部分，部署于安全管理域。統(tǒng)一身份認(rèn)證與授權(quán)管理系統(tǒng)完成用戶統(tǒng)一身份認(rèn)證、授權(quán)管理等功能。身份管理和授權(quán)管理是訪問控制的前提，身份管理對用戶的身份進(jìn)行標(biāo)識與鑒別;授權(quán)管理對用戶訪問資源的權(quán)限進(jìn)行標(biāo)識與管理。通過采用統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)管理和訪問控制等安全機(jī)制，結(jié)合應(yīng)用系統(tǒng)的工作流訪問控制，解決了政務(wù)辦公系統(tǒng)的信息傳輸安全、身份鑒別、系統(tǒng)使用權(quán)限控制與信息訪問權(quán)限控制等安全問題。

5結(jié)語

網(wǎng)絡(luò)安全是電子政務(wù)建設(shè)過程中首先考慮的重要因素之一，在運(yùn)行過程中嚴(yán)格踐行一個(gè)中心、三重防護(hù)的安全保障體系，建立電子政府分域保護(hù)框架，建立安全技術(shù)體系，加強(qiáng)基礎(chǔ)設(shè)置安全，加強(qiáng)區(qū)域邊界安全，加強(qiáng)計(jì)算環(huán)境安全，構(gòu)建主動(dòng)防御的安全保障體系。

參考文獻(xiàn)

[1]丁震.為電子政務(wù)護(hù)航 建立安全管理體系——國家計(jì)委完成等級保護(hù)試點(diǎn)[J].信息網(wǎng)絡(luò)安全，2003（5）：9.

[2]宋麗麗.基于SSE-CMM的重慶市電子政務(wù)安全風(fēng)險(xiǎn)評估與信息安全保障體系的構(gòu)建與實(shí)現(xiàn)[D].重慶大學(xué)，2004.

[3]王靖.構(gòu)建符合國家安全標(biāo)準(zhǔn)要求的市級金保工程安全體系[J].中國新通信，2018，20（7）：14-149.

[4]黃曉波，尚艷偉，林細(xì)君.基于等級保護(hù)設(shè)計(jì)要求下的移動(dòng)業(yè)務(wù)系統(tǒng)安全防御體系[J].中國信息化，2018（4）：78-79.

[5]李兆君，張建，宋宸.地鐵票務(wù)系統(tǒng)信息安全等級保護(hù)建設(shè)方案探討[J].設(shè)備管理與維修，2019（15）：105-107.

收稿日期：2020-02-22

作者簡介：曾?。?979—），男，安徽六安人，本科，高級工程師，研究方向：電子政務(wù)。

Construction of Security Protection System for E-government Level Protection

ZENG Jun

（Lu'an？data？resources？administration，Lu'an Anhui? 237000）

Abstract： With the development of 5G network communication technology， the Internet of Everything is gradually formed， and network attack behaviors are becoming more and more frequent and diversified. It is particularly important to build an e-government security assurance system that meets the technical requirements of grade protection 2.0 and actively defends against network attack behaviors.

Keywords： e-government; level protection; security guarantee system; regional border security