導(dǎo)語(yǔ)：電子政務(wù)等級(jí)保護(hù)安全保障體系研究一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:隨著5G網(wǎng)絡(luò)通信技術(shù)的發(fā)展,萬(wàn)物互聯(lián)逐步形成,網(wǎng)絡(luò)攻擊行為越來(lái)越頻繁和多樣化,構(gòu)建符合等級(jí)保護(hù)2.0技術(shù)要求、主動(dòng)防御網(wǎng)絡(luò)攻擊行為的電子政務(wù)安全保障體系,尤為重要。

關(guān)鍵詞:電子政務(wù)；等級(jí)保護(hù)；安全保障體系；區(qū)域邊界安全

隨著5G網(wǎng)絡(luò)通信技術(shù)的發(fā)展,萬(wàn)物互聯(lián)正逐步形成,每個(gè)被接入網(wǎng)絡(luò)的點(diǎn)都有可能被黑客利用,網(wǎng)絡(luò)攻擊的行為越來(lái)越頻繁,攻擊方式越來(lái)越多樣化;政府大力推進(jìn)“一網(wǎng)辦”,電子政務(wù)網(wǎng)作為“一網(wǎng)辦”的承載體,安全保障體系尤為重要。本文以市級(jí)電子政務(wù)網(wǎng)為例,結(jié)合實(shí)際工作,闡述如何構(gòu)建具有主動(dòng)防御功能的安全保障體系。

1電子政務(wù)主動(dòng)防御體系

國(guó)家實(shí)施等級(jí)保護(hù)制度,電子政務(wù)發(fā)展,要積極落實(shí)等級(jí)保護(hù)制度,加強(qiáng)安全等級(jí)保護(hù)建設(shè),提升電子平臺(tái)工作安全性[1],從被動(dòng)防御轉(zhuǎn)變?yōu)橹鲃?dòng)防御,構(gòu)建一個(gè)中心、三重防護(hù)的安全保障體系,如圖1所示。從以下幾個(gè)方面落實(shí):(1)安全計(jì)算環(huán)境方面。對(duì)政務(wù)云平臺(tái)下的全部操作系統(tǒng),關(guān)閉不需要的服務(wù)(如打印機(jī)、共享服務(wù)等),禁用135、445等不安全的高危端口。禁用guest賬戶,建立安全審計(jì)賬號(hào);并要求系統(tǒng)賬戶密碼復(fù)雜度不低于8位字符,且定期更換密碼;安裝殺毒軟件,定級(jí)升級(jí)病毒庫(kù);對(duì)操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等定期進(jìn)行漏洞掃描,定期升級(jí)系統(tǒng)補(bǔ)丁。(2)安全通信網(wǎng)絡(luò)方面。根據(jù)單位性質(zhì)和網(wǎng)絡(luò)用戶規(guī)模,將電子政務(wù)網(wǎng)絡(luò)劃分10、192、172三個(gè)內(nèi)網(wǎng)地址段,并分別配以100MB、60MB和30MB的帶寬,滿足高峰期的業(yè)務(wù)需求。網(wǎng)絡(luò)間數(shù)據(jù)傳輸均通過(guò)加密技術(shù),各安全設(shè)備采用SSH傳輸協(xié)議遠(yuǎn)程管理,防止信息在網(wǎng)絡(luò)傳輸中被竊聽(tīng)。(3)安全區(qū)域邊界。各區(qū)縣接入到電子政務(wù)云平臺(tái)前,應(yīng)在邊界防火墻中設(shè)置源地址、目的地址、源端口、目的端口,以允許或拒絕非法數(shù)據(jù)包的進(jìn)出,關(guān)閉不用的端口,保障邊界接入安全。登陸防火墻,選擇內(nèi)容過(guò)濾,選擇http協(xié)議,FTP協(xié)議、https協(xié)議等。啟動(dòng)入侵防御系統(tǒng)的網(wǎng)絡(luò)攻擊行為識(shí)別和檢測(cè)功能,有效防止黑客攻擊、蠕蟲(chóng)、網(wǎng)絡(luò)病毒、后門(mén)木馬、D.O.S攻擊等惡意流量。登陸入侵防御系統(tǒng),選擇策略配置>安全設(shè)置>入侵防御,配置相關(guān)攻擊行為事件。(4)安全管理中心。通過(guò)訪問(wèn)VPN進(jìn)入內(nèi)部網(wǎng)絡(luò),再通過(guò)堡壘機(jī)進(jìn)入各操作系統(tǒng),記錄每個(gè)接入日志,且日志保留6個(gè)月以上,對(duì)于異常接入行為、服務(wù)器異常狀況,系統(tǒng)自動(dòng)觸發(fā)短信報(bào)警。在瀏覽器中輸入VPN訪問(wèn)地址,輸入賬號(hào)密碼后登陸,登陸成功后,再輸入堡壘機(jī)的訪問(wèn)地址,輸入賬號(hào)密碼,進(jìn)入堡壘機(jī)管理界面,在堡壘機(jī)內(nèi),根據(jù)用戶權(quán)限,呈現(xiàn)被管理的主機(jī),選擇主機(jī),進(jìn)入操作系統(tǒng)界面,輸入賬號(hào)密碼登錄操作系統(tǒng)。

2電子政務(wù)安全等級(jí)確定

按照《GA/T1389-2017信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》,從業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個(gè)方面對(duì)電子政務(wù)網(wǎng)進(jìn)行定級(jí)。電子政務(wù)網(wǎng)承載了政府辦公業(yè)務(wù)以及公眾服務(wù)業(yè)務(wù),業(yè)務(wù)安全級(jí)別較高;一旦業(yè)務(wù)數(shù)據(jù)遭受攻擊,將影響政府辦公、公眾辦理業(yè)務(wù),更嚴(yán)重者,可能導(dǎo)致政府決策信息泄露或數(shù)篡改,影響社會(huì)秩序和公共利益,不影響國(guó)家安全。在系統(tǒng)安全服務(wù)層面,電子政務(wù)保障了各業(yè)務(wù)系統(tǒng)正常被訪問(wèn),數(shù)據(jù)正常傳輸,安全級(jí)別較高;一旦電子政務(wù)遭受攻擊,導(dǎo)致網(wǎng)絡(luò)中斷,影響社會(huì)秩序和公共利益,不影響國(guó)家安全。綜合業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個(gè)方面的認(rèn)識(shí),根據(jù)定級(jí)指南,電子政務(wù)定級(jí)為三級(jí)。

3電子政務(wù)等級(jí)保護(hù)安全總體設(shè)計(jì)

針對(duì)電子政務(wù)按照不同的區(qū)域以及行業(yè)進(jìn)行分域保護(hù),充分考慮到電子政務(wù)發(fā)展中的不同類(lèi)別、階段以及等級(jí)等,將其劃分為相應(yīng)的安全區(qū)域進(jìn)行管理[2]。電子政務(wù)等級(jí)保護(hù)安全總體設(shè)計(jì),遵循等級(jí)保護(hù)2.0技術(shù)標(biāo)準(zhǔn),從技術(shù)和管理兩個(gè)方面構(gòu)建,技術(shù)方面包括安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心等五個(gè)方面;管理方面包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理等五個(gè)方面。由此構(gòu)建電子政務(wù)的安全保障機(jī)制[3]。

4電子政務(wù)等級(jí)保護(hù)安全保障體系構(gòu)建

構(gòu)建電子政務(wù)的安全保障體系,根據(jù)《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,形成一個(gè)中心三重防護(hù),建立以計(jì)算環(huán)境安全為基礎(chǔ),以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障,以安全管理中心為核心的信息安全整體保障體系。4.1建立電子政府分域保護(hù)框架。按照等級(jí)保護(hù)三級(jí)技術(shù)要求,網(wǎng)絡(luò)架構(gòu)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡(luò)分配地址,且重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采用可靠的技術(shù)手段隔離。由此將安全保障機(jī)制劃分為5域15區(qū)機(jī)制[4]。5域包括基礎(chǔ)設(shè)施域、通信網(wǎng)絡(luò)域、區(qū)域邊界域、計(jì)算環(huán)境域和安全管理域;15區(qū)包括非涉密機(jī)房區(qū)、網(wǎng)絡(luò)邊界區(qū)、核心數(shù)據(jù)區(qū)、托管服務(wù)區(qū)、業(yè)務(wù)系統(tǒng)區(qū)、業(yè)務(wù)測(cè)試區(qū)、涉密機(jī)房區(qū)、電子政務(wù)內(nèi)網(wǎng)區(qū)、電子政務(wù)外網(wǎng)區(qū)、終端邊界區(qū)、資源共享交換區(qū)、辦公區(qū)、安全管理區(qū)、安全服務(wù)區(qū)、安全運(yùn)維區(qū)。4.2建立主動(dòng)防御的保障體系。按照電子政務(wù)網(wǎng)的定級(jí)標(biāo)準(zhǔn)以及《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》技術(shù)要求,從基礎(chǔ)設(shè)施安全、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全計(jì)算環(huán)境等幾個(gè)方面構(gòu)建主動(dòng)防御的保障體系。4.2.1加強(qiáng)基礎(chǔ)設(shè)施安全?；A(chǔ)設(shè)施安全主要包括機(jī)房訪問(wèn)控制、機(jī)房環(huán)境、設(shè)備與介質(zhì)管理等。機(jī)房訪問(wèn)控制中對(duì)機(jī)房的外來(lái)人員制定訪問(wèn)條件,由專(zhuān)人對(duì)外來(lái)訪問(wèn)人員進(jìn)行審批,為其設(shè)置方位授權(quán)目標(biāo)。按照GB50174-2008中的相應(yīng)要求設(shè)置機(jī)房中的墻壁、裝修方式、門(mén)、天花板等,并在機(jī)房中安裝配置UPS、過(guò)電壓防護(hù)設(shè)備、并行電路、供電線路上配置穩(wěn)壓器等。在機(jī)房中安裝火災(zāi)自動(dòng)消防系統(tǒng)以及精密空調(diào)。設(shè)備與介質(zhì)管理過(guò)程中,為系統(tǒng)安裝防盜報(bào)警系統(tǒng)、監(jiān)控系統(tǒng),將一些較為敏感的安全業(yè)務(wù)信息安裝在較為安全的區(qū)域內(nèi)。并為機(jī)房管理建立環(huán)境監(jiān)控制度以及出入管理制度[5]。4.2.2加強(qiáng)區(qū)域邊界安全。電子政務(wù)網(wǎng)分內(nèi)網(wǎng)和外網(wǎng),加強(qiáng)外網(wǎng)與內(nèi)網(wǎng)之間的隔離;在外網(wǎng)與內(nèi)網(wǎng)之間加強(qiáng)不同安全域的安全邊界設(shè)置。加強(qiáng)邊界設(shè)置的完整性,在電子政務(wù)使用過(guò)程中阻斷非法網(wǎng)絡(luò)接入行為、非法外聯(lián)行為的進(jìn)攻,構(gòu)成可信接入網(wǎng)絡(luò)。由終端網(wǎng)絡(luò)準(zhǔn)入、邊界網(wǎng)絡(luò)接入構(gòu)成網(wǎng)絡(luò)可信接入,由移動(dòng)客戶端、PC客戶端共同構(gòu)成終端網(wǎng)絡(luò)準(zhǔn)入,為系統(tǒng)運(yùn)行建立認(rèn)證、安全隧道、訪問(wèn)權(quán)限控制等多種機(jī)制。建立有效的邊界入侵防范機(jī)制,在電子政務(wù)系統(tǒng)運(yùn)行內(nèi)部建立多手段檢測(cè)方式,使得系統(tǒng)運(yùn)行中能夠抵御外部多項(xiàng)網(wǎng)絡(luò)的入侵與攻擊。并對(duì)此能夠及時(shí)識(shí)別并建立相應(yīng)的報(bào)警機(jī)制。4.2.3構(gòu)建安全通信網(wǎng)絡(luò)。保證通信的完整性和保密性。部署VPN系統(tǒng)保證數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄?。利用安全隧道、認(rèn)證、訪問(wèn)權(quán)限控制、分域防控等安全機(jī)制,實(shí)現(xiàn)政務(wù)網(wǎng)絡(luò)互聯(lián)安全、移動(dòng)辦公安全、重點(diǎn)區(qū)域的邊界防護(hù)安全。安裝部署網(wǎng)絡(luò)堡壘機(jī)對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)維人員進(jìn)行USBkey+密碼進(jìn)行身份鑒別,對(duì)網(wǎng)絡(luò)設(shè)備管理員登錄地址進(jìn)行限制,加密會(huì)話,并且記錄及審計(jì)操作日志,以便進(jìn)行責(zé)任認(rèn)定與事件跟蹤。4.2.4加強(qiáng)計(jì)算環(huán)境安全。統(tǒng)一身份管理與授權(quán)管理系統(tǒng)。統(tǒng)一身份管理與授權(quán)管理系統(tǒng)作為安全管理中心的一部分,部署于安全管理域。統(tǒng)一身份認(rèn)證與授權(quán)管理系統(tǒng)完成用戶統(tǒng)一身份認(rèn)證、授權(quán)管理等功能。身份管理和授權(quán)管理是訪問(wèn)控制的前提,身份管理對(duì)用戶的身份進(jìn)行標(biāo)識(shí)與鑒別;授權(quán)管理對(duì)用戶訪問(wèn)資源的權(quán)限進(jìn)行標(biāo)識(shí)與管理。通過(guò)采用統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)管理和訪問(wèn)控制等安全機(jī)制,結(jié)合應(yīng)用系統(tǒng)的工作流訪問(wèn)控制,解決了政務(wù)辦公系統(tǒng)的信息傳輸安全、身份鑒別、系統(tǒng)使用權(quán)限控制與信息訪問(wèn)權(quán)限控制等安全問(wèn)題。

5結(jié)語(yǔ)

網(wǎng)絡(luò)安全是電子政務(wù)建設(shè)過(guò)程中首先考慮的重要因素之一,在運(yùn)行過(guò)程中嚴(yán)格踐行一個(gè)中心、三重防護(hù)的安全保障體系,建立電子政府分域保護(hù)框架,建立安全技術(shù)體系,加強(qiáng)基礎(chǔ)設(shè)置安全,加強(qiáng)區(qū)域邊界安全,加強(qiáng)計(jì)算環(huán)境安全,構(gòu)建主動(dòng)防御的安全保障體系。

參考文獻(xiàn)

[1]丁震.為電子政務(wù)護(hù)航建立安全管理體系——國(guó)家計(jì)委完成等級(jí)保護(hù)試點(diǎn)[J].信息網(wǎng)絡(luò)安全,2003(5):9.

[2]宋麗麗.基于SSE-CMM的重慶市電子政務(wù)安全風(fēng)險(xiǎn)評(píng)估與信息安全保障體系的構(gòu)建與實(shí)現(xiàn)[D].重慶:重慶大學(xué),2004.

[3]王靖.構(gòu)建符合國(guó)家安全標(biāo)準(zhǔn)要求的市級(jí)金保工程安全體系[J].中國(guó)新通信,2018,20(7):14-149.

[4]黃曉波,尚艷偉,林細(xì)君.基于等級(jí)保護(hù)設(shè)計(jì)要求下的移動(dòng)業(yè)務(wù)系統(tǒng)安全防御體系[J].中國(guó)信息化,2018(4):78-79.

[5]李兆君,張建,宋宸.地鐵票務(wù)系統(tǒng)信息安全等級(jí)保護(hù)建設(shè)方案探討[J].設(shè)備管理與維修,2019(15):105-107.

作者:曾俊 單位:六安市數(shù)據(jù)資源管理局