導(dǎo)語：電子政務(wù)等級保護安全保障體系研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:隨著5G網(wǎng)絡(luò)通信技術(shù)的發(fā)展,萬物互聯(lián)逐步形成,網(wǎng)絡(luò)攻擊行為越來越頻繁和多樣化,構(gòu)建符合等級保護2.0技術(shù)要求、主動防御網(wǎng)絡(luò)攻擊行為的電子政務(wù)安全保障體系,尤為重要。

關(guān)鍵詞:電子政務(wù)；等級保護；安全保障體系；區(qū)域邊界安全

隨著5G網(wǎng)絡(luò)通信技術(shù)的發(fā)展,萬物互聯(lián)正逐步形成,每個被接入網(wǎng)絡(luò)的點都有可能被黑客利用,網(wǎng)絡(luò)攻擊的行為越來越頻繁,攻擊方式越來越多樣化;政府大力推進“一網(wǎng)辦”,電子政務(wù)網(wǎng)作為“一網(wǎng)辦”的承載體,安全保障體系尤為重要。本文以市級電子政務(wù)網(wǎng)為例,結(jié)合實際工作,闡述如何構(gòu)建具有主動防御功能的安全保障體系。

1電子政務(wù)主動防御體系

國家實施等級保護制度,電子政務(wù)發(fā)展,要積極落實等級保護制度,加強安全等級保護建設(shè),提升電子平臺工作安全性[1],從被動防御轉(zhuǎn)變?yōu)橹鲃臃烙?構(gòu)建一個中心、三重防護的安全保障體系,如圖1所示。從以下幾個方面落實:(1)安全計算環(huán)境方面。對政務(wù)云平臺下的全部操作系統(tǒng),關(guān)閉不需要的服務(wù)(如打印機、共享服務(wù)等),禁用135、445等不安全的高危端口。禁用guest賬戶,建立安全審計賬號;并要求系統(tǒng)賬戶密碼復(fù)雜度不低于8位字符,且定期更換密碼;安裝殺毒軟件,定級升級病毒庫;對操作系統(tǒng)、中間件、數(shù)據(jù)庫等定期進行漏洞掃描,定期升級系統(tǒng)補丁。(2)安全通信網(wǎng)絡(luò)方面。根據(jù)單位性質(zhì)和網(wǎng)絡(luò)用戶規(guī)模,將電子政務(wù)網(wǎng)絡(luò)劃分10、192、172三個內(nèi)網(wǎng)地址段,并分別配以100MB、60MB和30MB的帶寬,滿足高峰期的業(yè)務(wù)需求。網(wǎng)絡(luò)間數(shù)據(jù)傳輸均通過加密技術(shù),各安全設(shè)備采用SSH傳輸協(xié)議遠程管理,防止信息在網(wǎng)絡(luò)傳輸中被竊聽。(3)安全區(qū)域邊界。各區(qū)縣接入到電子政務(wù)云平臺前,應(yīng)在邊界防火墻中設(shè)置源地址、目的地址、源端口、目的端口,以允許或拒絕非法數(shù)據(jù)包的進出,關(guān)閉不用的端口,保障邊界接入安全。登陸防火墻,選擇內(nèi)容過濾,選擇http協(xié)議,FTP協(xié)議、https協(xié)議等。啟動入侵防御系統(tǒng)的網(wǎng)絡(luò)攻擊行為識別和檢測功能,有效防止黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.O.S攻擊等惡意流量。登陸入侵防御系統(tǒng),選擇策略配置>安全設(shè)置>入侵防御,配置相關(guān)攻擊行為事件。(4)安全管理中心。通過訪問VPN進入內(nèi)部網(wǎng)絡(luò),再通過堡壘機進入各操作系統(tǒng),記錄每個接入日志,且日志保留6個月以上,對于異常接入行為、服務(wù)器異常狀況,系統(tǒng)自動觸發(fā)短信報警。在瀏覽器中輸入VPN訪問地址,輸入賬號密碼后登陸,登陸成功后,再輸入堡壘機的訪問地址,輸入賬號密碼,進入堡壘機管理界面,在堡壘機內(nèi),根據(jù)用戶權(quán)限,呈現(xiàn)被管理的主機,選擇主機,進入操作系統(tǒng)界面,輸入賬號密碼登錄操作系統(tǒng)。

2電子政務(wù)安全等級確定

按照《GA/T1389-2017信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》,從業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個方面對電子政務(wù)網(wǎng)進行定級。電子政務(wù)網(wǎng)承載了政府辦公業(yè)務(wù)以及公眾服務(wù)業(yè)務(wù),業(yè)務(wù)安全級別較高;一旦業(yè)務(wù)數(shù)據(jù)遭受攻擊,將影響政府辦公、公眾辦理業(yè)務(wù),更嚴重者,可能導(dǎo)致政府決策信息泄露或數(shù)篡改,影響社會秩序和公共利益,不影響國家安全。在系統(tǒng)安全服務(wù)層面,電子政務(wù)保障了各業(yè)務(wù)系統(tǒng)正常被訪問,數(shù)據(jù)正常傳輸,安全級別較高;一旦電子政務(wù)遭受攻擊,導(dǎo)致網(wǎng)絡(luò)中斷,影響社會秩序和公共利益,不影響國家安全。綜合業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個方面的認識,根據(jù)定級指南,電子政務(wù)定級為三級。

3電子政務(wù)等級保護安全總體設(shè)計

針對電子政務(wù)按照不同的區(qū)域以及行業(yè)進行分域保護,充分考慮到電子政務(wù)發(fā)展中的不同類別、階段以及等級等,將其劃分為相應(yīng)的安全區(qū)域進行管理[2]。電子政務(wù)等級保護安全總體設(shè)計,遵循等級保護2.0技術(shù)標準,從技術(shù)和管理兩個方面構(gòu)建,技術(shù)方面包括安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心等五個方面;管理方面包括安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理等五個方面。由此構(gòu)建電子政務(wù)的安全保障機制[3]。

4電子政務(wù)等級保護安全保障體系構(gòu)建

構(gòu)建電子政務(wù)的安全保障體系,根據(jù)《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》,形成一個中心三重防護,建立以計算環(huán)境安全為基礎(chǔ),以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障,以安全管理中心為核心的信息安全整體保障體系。4.1建立電子政府分域保護框架。按照等級保護三級技術(shù)要求,網(wǎng)絡(luò)架構(gòu)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡(luò)分配地址,且重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采用可靠的技術(shù)手段隔離。由此將安全保障機制劃分為5域15區(qū)機制[4]。5域包括基礎(chǔ)設(shè)施域、通信網(wǎng)絡(luò)域、區(qū)域邊界域、計算環(huán)境域和安全管理域;15區(qū)包括非涉密機房區(qū)、網(wǎng)絡(luò)邊界區(qū)、核心數(shù)據(jù)區(qū)、托管服務(wù)區(qū)、業(yè)務(wù)系統(tǒng)區(qū)、業(yè)務(wù)測試區(qū)、涉密機房區(qū)、電子政務(wù)內(nèi)網(wǎng)區(qū)、電子政務(wù)外網(wǎng)區(qū)、終端邊界區(qū)、資源共享交換區(qū)、辦公區(qū)、安全管理區(qū)、安全服務(wù)區(qū)、安全運維區(qū)。4.2建立主動防御的保障體系。按照電子政務(wù)網(wǎng)的定級標準以及《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》技術(shù)要求,從基礎(chǔ)設(shè)施安全、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全計算環(huán)境等幾個方面構(gòu)建主動防御的保障體系。4.2.1加強基礎(chǔ)設(shè)施安全?；A(chǔ)設(shè)施安全主要包括機房訪問控制、機房環(huán)境、設(shè)備與介質(zhì)管理等。機房訪問控制中對機房的外來人員制定訪問條件,由專人對外來訪問人員進行審批,為其設(shè)置方位授權(quán)目標。按照GB50174-2008中的相應(yīng)要求設(shè)置機房中的墻壁、裝修方式、門、天花板等,并在機房中安裝配置UPS、過電壓防護設(shè)備、并行電路、供電線路上配置穩(wěn)壓器等。在機房中安裝火災(zāi)自動消防系統(tǒng)以及精密空調(diào)。設(shè)備與介質(zhì)管理過程中,為系統(tǒng)安裝防盜報警系統(tǒng)、監(jiān)控系統(tǒng),將一些較為敏感的安全業(yè)務(wù)信息安裝在較為安全的區(qū)域內(nèi)。并為機房管理建立環(huán)境監(jiān)控制度以及出入管理制度[5]。4.2.2加強區(qū)域邊界安全。電子政務(wù)網(wǎng)分內(nèi)網(wǎng)和外網(wǎng),加強外網(wǎng)與內(nèi)網(wǎng)之間的隔離;在外網(wǎng)與內(nèi)網(wǎng)之間加強不同安全域的安全邊界設(shè)置。加強邊界設(shè)置的完整性,在電子政務(wù)使用過程中阻斷非法網(wǎng)絡(luò)接入行為、非法外聯(lián)行為的進攻,構(gòu)成可信接入網(wǎng)絡(luò)。由終端網(wǎng)絡(luò)準入、邊界網(wǎng)絡(luò)接入構(gòu)成網(wǎng)絡(luò)可信接入,由移動客戶端、PC客戶端共同構(gòu)成終端網(wǎng)絡(luò)準入,為系統(tǒng)運行建立認證、安全隧道、訪問權(quán)限控制等多種機制。建立有效的邊界入侵防范機制,在電子政務(wù)系統(tǒng)運行內(nèi)部建立多手段檢測方式,使得系統(tǒng)運行中能夠抵御外部多項網(wǎng)絡(luò)的入侵與攻擊。并對此能夠及時識別并建立相應(yīng)的報警機制。4.2.3構(gòu)建安全通信網(wǎng)絡(luò)。保證通信的完整性和保密性。部署VPN系統(tǒng)保證數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄?。利用安全隧道、認證、訪問權(quán)限控制、分域防控等安全機制,實現(xiàn)政務(wù)網(wǎng)絡(luò)互聯(lián)安全、移動辦公安全、重點區(qū)域的邊界防護安全。安裝部署網(wǎng)絡(luò)堡壘機對網(wǎng)絡(luò)設(shè)備運維人員進行USBkey+密碼進行身份鑒別,對網(wǎng)絡(luò)設(shè)備管理員登錄地址進行限制,加密會話,并且記錄及審計操作日志,以便進行責(zé)任認定與事件跟蹤。4.2.4加強計算環(huán)境安全。統(tǒng)一身份管理與授權(quán)管理系統(tǒng)。統(tǒng)一身份管理與授權(quán)管理系統(tǒng)作為安全管理中心的一部分,部署于安全管理域。統(tǒng)一身份認證與授權(quán)管理系統(tǒng)完成用戶統(tǒng)一身份認證、授權(quán)管理等功能。身份管理和授權(quán)管理是訪問控制的前提,身份管理對用戶的身份進行標識與鑒別;授權(quán)管理對用戶訪問資源的權(quán)限進行標識與管理。通過采用統(tǒng)一身份認證、統(tǒng)一授權(quán)管理和訪問控制等安全機制,結(jié)合應(yīng)用系統(tǒng)的工作流訪問控制,解決了政務(wù)辦公系統(tǒng)的信息傳輸安全、身份鑒別、系統(tǒng)使用權(quán)限控制與信息訪問權(quán)限控制等安全問題。

5結(jié)語

網(wǎng)絡(luò)安全是電子政務(wù)建設(shè)過程中首先考慮的重要因素之一,在運行過程中嚴格踐行一個中心、三重防護的安全保障體系,建立電子政府分域保護框架,建立安全技術(shù)體系,加強基礎(chǔ)設(shè)置安全,加強區(qū)域邊界安全,加強計算環(huán)境安全,構(gòu)建主動防御的安全保障體系。

參考文獻

[1]丁震.為電子政務(wù)護航建立安全管理體系——國家計委完成等級保護試點[J].信息網(wǎng)絡(luò)安全,2003(5):9.

[2]宋麗麗.基于SSE-CMM的重慶市電子政務(wù)安全風(fēng)險評估與信息安全保障體系的構(gòu)建與實現(xiàn)[D].重慶:重慶大學(xué),2004.

[3]王靖.構(gòu)建符合國家安全標準要求的市級金保工程安全體系[J].中國新通信,2018,20(7):14-149.

[4]黃曉波,尚艷偉,林細君.基于等級保護設(shè)計要求下的移動業(yè)務(wù)系統(tǒng)安全防御體系[J].中國信息化,2018(4):78-79.

[5]李兆君,張建,宋宸.地鐵票務(wù)系統(tǒng)信息安全等級保護建設(shè)方案探討[J].設(shè)備管理與維修,2019(15):105-107.

作者:曾俊 單位:六安市數(shù)據(jù)資源管理局