電子政務安全拿捏之道

圍繞電子政務安全建設問題，結合相關案例，本文從政策法規、網絡架構、隔離技術、安全體系、實施策略等五個維度對電子政務安全建設相關因素進行了審視、探索和詮釋，提出了一種電子政務安全的拿捏之道。

電 子政務安全是一個值得高度關注的問題，也是容易引 起爭議的焦點。如果信息安全失去保障，其后果不堪設想，因此，高度重視信息安全無可厚非。但是如果一味地強調安全，而忽視對政府信息資源的充分公開，必然對電子政務的應用造成許多人為的障礙，電子政務的價值也會大打折扣。面對諸多電子政務安全相關要素，我們需要運用系統工程的思想和方法，從多角度、多層次思考和把握電子政務安全問題，以一份成熟的理性，更有效率地做好電子政務安全工作。

政策法規——電子政務安全的法規依據

電子政務就是要實現政府決策、社會化管理、為公眾服務這三個業務過程的信息化?？紤]到國家秘密的安全，在電子政務中涉密網絡規劃和建設顯得尤為重要。以下是電子政務安全的相關政策法規依據:

2010年4月29日，第十一屆全國人大常委會第十四次會議審議通過了新修訂的《中華人民共和國保守國家秘密法》，自2010年10月1日起實施。新保密法的突出亮點就是要做到依法保密、依法公開、保放適度，充分體現了我國民主政治的進步。依法保守秘密是電子政務工作要恪守的。

2000年1月1日起頒布實施的《計算機信息系統國際聯網保密管理規定》第二章保密制度第六條規定，“涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其它公共信息網絡相連接，必須實行物理隔離”。

2002年7月，國家信息化領導小組針對當時電子政務網絡建設各自為政、重復建設、結構不合理等問題，在《關于我國電子政務建設的指導意見》(以下簡稱17號文件)中提出建設政務內網和政務外網。電子政務網絡由政務內網和政務外網構成，兩網之間物理隔離，政務外網與互聯網之間邏輯隔離。政務內網主要是副省級以上政務部門的辦公網，與副省級以下政務部門的辦公網物理隔離。政務外網是政府的業務專網，主要運行政務部門面向社會的專業性服務業務和不需在內網上運行的業務。

2006年5月，國辦又下發了《關于推進國家電子政務網絡建設的意見》(18號文)。專家認為，18號文是對17號文的完善和發展，不僅進一步細化了電子政務網絡建設的原則和目標，而且明確了統一網絡建設的責任主體等，增強了各級政府建設統一網絡的可操作性。首先，18號文擴充了電子政務內網的內涵，將黨委、人大、政府、政協、法院、檢察院等部門開展內部辦公、管理、協調、監督和決策時對有關專網的需求納入進來。此外，18號文所定義的政務外網進行了具體描述，即滿足各級政務部門、社會管理、公共服務等面向社會服務的需求。并新增了建設從中央到地方統一的國家電子政務傳輸骨干網的內容，明確了傳輸網的建設方法和建設主體以及建設原則等。還明確了副省級以上和副省級以下單位的網絡建設方式。

按照安全域的劃分，政府的內網就是涉密域，政府的外網就是非涉密域，互聯網就是公共服務域。根據以上電子政務相關的政策法規，可以得出以下電子政務網絡安全規范:(1)核心政務內網分別與地方政務內網和政務外網物理隔離;(2)地方政務內網與政務外網可以選用物理隔離或邏輯隔離;(3)政務外網與基于互聯網的公共服務平臺邏輯隔離;(4)通過安全網閘，把政務內網和政務外網聯系起來。

網絡架構——是“三網”還是“二網”

目前，對電子政務網絡架構的認識比較混亂。有人說是“三網”，有人說是“兩網”;即使是同一個名詞，實際指的往往不是同一個網絡，討論時常你東我西。

(一)基本概念

2000年，國務院辦公廳在闡述政務信息化建設目標時，提出了“三網一庫”的概念?！叭W”的概念秉承了傳統的網絡劃分方法，其中，“內網”是處理各單位內部辦公業務的網絡，“專網”是各單位之間交換和共享信息的網絡，“外網”是各單位向社會發布信息和提供服務的網絡。

2003年，國家又提出了“兩網一站四庫十二金”電子政務建設框架，將電子政務網絡架構確定為“兩網”，即“政務內網”和“政務外網”?！罢諆染W”包括“三網”中的“內網”和“專網”，其主要特點是:內部專用，即僅供政府內部使用，所有用戶都是政府公職人員;高度涉密，即這個網上運行的政務信息在沒有標明密級之前，按保密對待;物理隔離，即不僅要與互聯網隔離，而且要與所有非政府網隔離;全面覆蓋，即必須覆蓋各級政府部門，確保政令暢通，不留死角。

“政府外網”指的是部門業務專業網，在“三網”中沒有對應概念，運行的是社會監管和公共服務信息，一般和非政府網互聯，甚至和互聯網互聯。其主要特點是:

(1)可有可無。具體到一個政府部門來講，可能不需要外網。如不承擔社會監管和公共服務職能的部門，沒有獨立的組織機構體系的部門等。

(2)可大可小。根據社會監管和公共服務相對人的數量以及部門組織機構體系的大小，“政府外網”的規模可大可小。

(3)可通可斷。各部門“政府外網”不要求互聯互通，是通是斷完全根據實際工作需要來定。

(二)實踐案例

“兩網”的概念適合于網絡建設的部署。以寧波為例，寧波市電子政務網絡包括政務內網和政務外網。政務內網由核心政務內網和地方政務內網構成，核心政務內網是副省級以上政務部門的涉密辦公業務網絡，由中辦和國辦提出要求;地方政務內網是寧波市與各縣(市)、區政務部門的涉密辦公業務網絡，由寧波市政府提出要求。核心政務內網分別與地方政務內網和政務外網物理隔離;地方政務內網與政務外網可以選用物理隔離或邏輯隔離;政務外網與基于互聯網的公共服務平臺邏輯隔離。由此可見，盡管按“兩網”概念建設，但其政務內網卻由核心政務內網和地方政務內網構成，而地方政務內網與政務外網可以選用邏輯隔離。

“三網”的概念適合于應用建設的部署。以青島市為例，青島市電子政務網絡建設從2006年開始探討在國家規定的兩個網絡架構的基礎上，增加了政務專網，從而構筑了以“三網”為基本架構的電子政務網絡平臺:即政務內網、政務專網和政務外網，分別對應黨政涉密網、非涉密網和公共服務網。本文認為青島模式將電子政務網絡架構分為“政務內網”、“政務專網”和“政務外網”可操作性強，更便于應用部署。

目前，山東省濱州市正在參照青島模式進行全市電子政務網絡建設，其網絡架構遵循的是“小內網、大專網、小外網”的思路，政務內網、政務專網分別與其他網絡物理隔離，政務外網與互聯網邏輯隔離。

隔離技術——電子政務安全的基礎防御措施

網絡隔離技術的目標是確保把有害的攻擊隔離，在保證可信網絡內部信息不外泄的前提下，和可信網絡外部完成網間數據的安全交換。網絡隔離技術一般可分為物理隔離技術、邏輯隔離技術。

(一)物理隔離技術

物理隔離技術所連接的兩個獨立主機系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議“擺渡”，且對固態存儲介質只有“讀”和“寫”兩個命令。所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全。

目前常用的物理隔離技術有:采用兩臺電腦、分別聯接內外兩個網絡的線路隔離技術;在原有機器上增加一塊硬盤和一個隔離卡來實現物理隔離的隔離卡技術;以及通過專用硬件使兩個或者兩個以上的網絡在不連通的情況下實現安全數據傳輸和資源共享的隔離網閘技術。前兩種方式存在投資成本或增加或浪費的缺點，相比之下，隔離網閘技術的安全性要高于防火墻，在數據交換方面遠優于物理隔離卡。

(二)邏輯隔離技術

邏輯隔離技術即不是通過物理設備或從物理層上將兩個網絡隔離開來，而是要通過TCP/IP協議、操作系統等高層的單元的設置和隔離將網絡通信和信息傳輸根據需要靈活地進行有效的隔離，有時也稱為“網絡隔離”。常用的技術有防火墻技術、虛擬專用網技術VPN等。

防火墻技術。防火墻是內外網之間的第一道安全屏障，可以防止非法用戶的訪問和非法IP數據包的通過。到目前為止，防火墻技術基本上分為六大類，即靜態包過濾技術、網絡地址轉換技術、狀態檢測包過濾技術、電路代理技術、應用代理技術和智能過濾技術。防火墻側重于網絡層至應用層的策略隔離，往往還會存在一些安全問題，如本身操作系統、內部系統的漏洞、通用協議的缺陷等會造成被攻擊。

虛擬專用網技術VPN。虛擬專用網(VPN)可讓政府利用Internet來建立自己的內部網。VPN提供了安全、廉價和高性能的網絡解決方案，將分散在不同辦公地點的網絡通過公共網絡連接起來。VPN的實現是采用隧道技術(數據包封裝、發送和拆封過程稱為“隧道”)。隧道將原始數據包隱藏(或稱封裝)在新的數據包內部。新的數據包可能包含新的尋址和路由信息，這使新的數據包得以在網絡上傳輸。當隧道與保密性結合時，在網絡上竊聽通信的人將無法獲取原始數據包數據(以及原始的源和目的)。封裝的數據包到達目的地后，封裝報頭被刪除，原始數據包報頭被用來將數據包路由到最終目的地。政府網的數據依靠隧道協議封裝在隧道中進行傳輸，保證數據在公共網絡上流動的安全。

安全體系——電子政務安全的縱深防御措施

無論是政務內網還是政務外網，都具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、病毒、蠕蟲、惡意軟件和其他惡意的攻擊，所以為了確保網上信息的安全和保密，必須建設電子政務安全縱深防御體系。

(一)安全手段

電子政務安全防護的主要手段包括以下8種，需全面了解，才能根據需要進行靈活選擇或組合。

一是防火墻系統。對內部網和外部網進行隔離保護，以防止互聯網惡意攻擊。

二是VPN系統。對遠程辦公人員及分支機構提供方便的IPSec VPN接入，保護數據傳輸過程中的安全，實現用戶對服務器系統的受控訪問。對內部筆記本電腦在外出后，接入內部網進行安全控制，有效防止病毒或黑客程序被攜帶進內網。

三是入侵檢測系統。作為防火墻的功能互補，侵檢測設備提供對監控網段的攻擊的實時報警和積極響應，擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。

四是隱患掃描。對網絡設備、操作系統和數據庫三個方面進行掃描，指出有關網絡的安全漏洞及被測系統的薄弱環節，給出詳細的檢測報告，并針對檢測到的網絡安全隱患給出相應的修補措施和安全建議。

五是網絡行為監控系統。對網絡內的上網行為進行規范，并監控上網行為，過濾網頁訪問，過濾郵件，限制上網聊天行為，阻止不正當文件的下載。

六是病毒防護系統。電子政務在建設局域網的同時應該考慮客戶端網絡版防病毒的配置，但是部署了網絡版防病毒仍不能保證網絡的真正安全，這是因為網絡中的服務器和工作站沒有得到足夠的保護。為此，服務器和工作站還應該配備專門防病毒軟件。

七是帶寬控制系統。使網管人員對網絡中的實時數據流量情況能夠清晰了解，掌握整個網絡使用流量的平均標準，定位網絡流量的基線，及時發現網絡是否出現異常流量并控制帶寬。比如，網絡中經常出現一臺電腦感染“流量”病毒，整個網絡癱瘓的情況。通過帶寬分配管理，對這種癥狀可以進行一定程度的控制。

八是認證機構。采用公開密鑰基礎技術，專門提供網絡身份認證服務，負責簽發和管理數字證書，且具有權威性和公正性的第三方信任機構。目前，金融等領域已經采用CA認證系統，以確保交易安全。

(二)安全體系建設

隨著信息安全環境的不斷惡化，信息安全已經不再是單一安全產品逞英雄的時候，而是一個系統化的工程。對于各種安全事件，無論是入侵、蠕蟲還是病毒，我們都可以把整個爆發的過程分為三個階段:發作前、發作中、發作后。安全保障體系的建立就是要分別針對這三個階段采取相應的控制手段，有效地使用正確的處理方法，保障信息系統的安全性。

在安全事件發生之前，安全保障體系的作用主要是做出安全防護，避免各種安全隱患的發生。主要是根據安全等級的不同，把整個網絡劃分成不同的安全區域，在不同區域出口處部署訪問控制設備，對進出區域的數據包進行IP、TCP、應用層的檢查，鑒別和訪問控制。同時，在網絡出口處部署病毒過濾網關，在重要服務器或主機系統上部署防病毒軟件，建立全網病毒監控和防護體系。

在安全事件發作中，主要是對安全事件及時地監測出來，并根據預先設置的響應方式積極地做出反應，及時中斷安全事件的發生，確保系統不會受到損害。具體地說，就是在網絡內部部署入侵檢測和漏洞掃描系統，實時對網絡監控，定期對網絡進行掃描，采用和防火墻聯動的方式或其他積極響應方式，中斷入侵連接，保護信息系統。

安全事件發作后，即一旦安全防護設備被突破，能夠通過入侵者留下的蛛絲馬跡發現攻擊的過程，分析造成的損失，并追究攻擊者的責任。此時，安全保障體系的作用主要是對安全信息進行審計，及時發現曾經發生的安全威脅，對安全事件過程進行追蹤，并評估對信息系統造成的損失。通過事件追蹤，可以及時地發現保障體系中存在的防護和檢測漏洞，及時的進行修補，使整個防護體系處于動態的安全平衡之中。

實施策略——電子政務安全的理性思維與科學推進

(一)理性思維

多年的信息化實踐，使我們充分認識到了電子政務安全的重要性，但如何塑造安全的電子政務，用戶很多時候都會感到茫然不知所措或者一味求全或者只是針對某個側面展開安全建設。更多情況下安全方案任由集成商牽引，其中用戶概念不清、存在認識誤區、缺乏建設理念是主要原因。

安全認識要突破片面性。在電子政務安全建設中，需要權衡安全、成本、效率三者的關系。絕對的安全是沒有的，電子政務系統也不是“越安全越好”。不同的電子政務系統，對于信息安全的要求是不同的。因此，必須根據電子政務系統的實際要求做到恰到好處。用戶在進行電子政務安全設計的時候，必須根據實際應用情況，協調好安全、成本、效率三者的關系。一個電子政務系統的安全保密性能超出安全保密的管理要求不但沒有必要，而且還會造成資金上的浪費。

安全規劃要擁有前瞻性。由于受信息技術水平和建設資金等因素制約，許多政府尤其是基層政府的電子政務建設在規劃上經常缺少前瞻性的安全規劃，網絡流量存在多個瓶頸，路由表龐大復雜，IP地址缺乏統一規劃，廣播流量可控性差，子網故障隔離性差，重要流量缺乏帶寬管理和服務質量優先保證等一大堆問題。隨著安全問題的不斷出現，只能在運行過程中不停地修修補補，但是，這種修補只能解決暫時的問題，解決一個問題后，往往又有新問題出現。因此，用戶在開始著手安全建設時，一定要有個總框架、一個大設計，然后逐步完善。如果開始建網時就考慮安全問題，在以后就可以節省很多人力物力。若缺乏資金，可采用跟進策略，先部署最基本的安全設施，讓網絡先用起來，隨著應用的增加再逐步完善。

安全產品要強調協調性?，F有的信息安全產品中主要包括以下五大件:防火墻、入侵檢測、安全評估(漏洞掃描或者脆弱性分析)、身份認證、數據備份。由于國內外網絡安全產品五花八門，各種產品門類眾多，技術水平也有很大差別，政府部門在選用安全產品的時候經常會難辨優劣。而且，在部署安全產品的時候，也缺乏全局性和產品互補性的考慮，某類型的產品重復設置，而另一類型的產品卻沒有考慮，各種安全產品的統一部署協調性就很難維持，因此，也很難讓安全產品充分發揮其應有的功效。

安全體系要講究動態性。電子政務實質上是對當前工業時代政府形態的一種改造，即利用信息技術，超越時間、空間和部門分隔的制約，實現政府組織結構和工作流程的重組優化，構造出精簡、高效、廉潔、開放的政府運作模式。電子政務的建立是一個動態過程，即使在發達國家也不可能一蹴而就，必須分步實施。今后，隨著電子信息技術的不斷發展，以及政府機構、運行體制和機制的改革，新的電子政務應用形式還將被不斷地創造出來，所面臨的安全形勢也會不斷變化，這就要求安全體系要隨之調整。目前，對于安全產品的部署存在一個問題，很多用戶認為把硬件產品買回來就安全了，而忽略安全的動態性，以至產品軟件更新慢，配套的軟件配置落后，造成安全產品的安全功能沒有及時跟上安全威脅的變化。因此，根據安全需求的變化，動態調整安全策略和防護體系是必要的。

安全管理要追求一致性。安全管理的混亂和規范化的管理制度相對滯后，造成很多管理安全漏洞。由于電子政務的網絡是連接多個政務部門的城域網，需要跨部門地協調一致，來共同維護整個電子政務平臺的安全。但是，由于不同政府部門的信息技術人才和信息化水平的差異性，以及不同政府部門存在一些相關的利益和沖突，因此，很難做到安全管理的統一協調性。一旦發生安全事件，故障定位不準，追查事故源困難，責任問題牽扯不清，從而造成事件的破壞性后果更為嚴重。因此，在安全建設之初就要制定規范化的管理制度和運行機制，追求安全管理的一致性。

(二)科學實施

對于電子政務安全，我們應當有這樣一個基本理念，即信息安全問題要重視，不能低估，低估會給我們帶來直接的經濟和政治的損失。但是，信息安全問題也不能高估，高估它會給我們帶來間接的損失，就可能防衛過當，就可能制約甚至阻撓電子政務的發展。

確立安全體系。在電子政務安全技術不斷發展的今天，全面加強安全技術的應用是電子政務發展的一個重要內容。但網絡安全不僅僅是防火墻，也不是防病毒、入侵監測、防火墻、身份認證、加密等產品的簡單堆砌，而是包括從系統到應用、從設備到服務的完整體系。電子政務信息安全保障是一個綜合的復雜的問題。

明確安全要點。在制定安全方案時，通常是從安全的基礎設施著手，比如防火墻和防病毒軟件。但有一些項目在關鍵的地方已經開始對入侵監測和安全審計做一些相應的解決方案，另外還要考慮加密技術和認證平臺，這方面既要考慮國家的有關政策和規劃，又要結合具體的業務特點，不能脫離部門的工作，脫離部門對安全的需求。比如，基層政府或公共部門主要政務活動一般不涉及國家機密，并且承擔著大量的對企業、公眾的面對面服務職能。因此，建立邏輯隔離的電子政務網絡是在當前的技術條件下保證網絡安全并提供電子政務服務比較好的解決方案。

電子政務安全方案要點應包括以下四方面:

一是電子政務要建立功能強大的網絡管理中心。這個中心要對內容檢查、系統管理、網絡管理、網絡安全管理、行為監控、代理(Agent)管理、網絡遠程服務監控和標準化執行實施統一分級監管。二是安全檢測、監控、審計、追蹤與定位系統的建設。對于所有的網絡行為和物理接觸設備行為，要求采用安全日志或記錄進行審計、配備必要的信息安全檢測、網絡配置檢測、計算機行為安全檢測、網絡行為檢測、信息源追蹤、定位技術產品等。三是大規模入侵檢測和防護建設。配置對抗分布式拒絕服務攻擊(DDOS)設備與系統，有對抗大規模陌生代理入侵的能力。四是制定安全應急規范和安全應急培訓。參照國家信息基礎設施應急體系建設指南和國內的相關標準，建立電子政務系統的應急規范，并進行應急演練。

(三)認清形勢，動態跟進

一是要適時調整安全方案。信息系統、網絡系統中可能存在大量的安全漏洞或不安全配置，同時，安全是一個動態變化的體系，應隨著攻擊技術的發展而實時調整，應該及時檢測系統中的安全隱患，做到未雨綢繆。

一勞永逸地解決網絡安全問題是不現實的，一個完整的網絡安全解決方案不可能在很短的時間全部實施完成，需要對整個安全建設過程進行合理的規劃。根據電子政務網絡安全現狀，有步驟地分步實施。

由于網絡安全是動態的，雖然現在的方案解決了目前安全，但是隨著時間的變化，原有的網絡安全解決方案可能滿足不了其需求，這時就需要對原有的網絡解方案進行升級，所以現有的網絡解決方案應該具有可擴展性。

二是要優化組合安全產品。隨著信息安全環境的不斷惡化，信息安全已經不再是單一安全產品逞英雄的時候，而是一個系統化的工程。信息安全從單一的重視安全建設逐步發展到安全建設和安全運維并重，越來越多的組織意識到如何確保系統長期、動態的安全顯得更為重要，因此對安全運維解決方案的需求變得日趨迫切。

安全產品的重疊和簡單堆砌已經讓越來越多的客戶感到厭倦，如何量化系統的安全程度?如何動態掌握系統地安全狀況?如何系統地解決安全問題?已經成為客戶目前最為迫切的需求。采用當今國內、國際上最先進和成熟的計算機軟硬件平臺、軟件設計編程方法、開放式的體系結構和信息安全保障體系，使新建立的系統能夠最大限度地適應今后的業務發展變化需要。

以濱州市濱城區為例，由于目前濱城區信息化建設還處于剛剛起步階段，在政務外網安全方面，采用了如下措施:采用防火墻/VPN，限制用戶的訪問，以實現基本安全;病毒防護方面，采用網絡版和單機版相結合的方式，并做到即時升級，基本遏止了網絡病毒的傳播，確保了政府網絡的基本安全;在流量控制方面，購置rouseOS軟件進行流量控制管理，根據網絡上各政府單位分布情況進行分組，對不同的組分配不同的網段，并限制流量(每個網段2兆)，杜絕了“流量”病毒“一個感染全網癱瘓”的現象。隨著應用向深度發展，逐步增加其他安全產品，完善安全體系。

三是有效管理，保安全。“信息安全系統是三分技術，七分管理。”有數據顯示，超過85%的安全威脅來自內部，內部人員或者內外勾結造成的泄密損失是黑客所造成損失的16倍，病毒所造成損失的12倍，而且呈不斷上升的趨勢。首先，需要推行強有力的安全管理規范，建立嚴格的安全管理制度。電子政務網絡內部安全和外部安全一樣重要，內部安全除了需要體系化的安全防御策略，還需要嚴格的、可操作性強的安全管理制度。制度的制訂首先要規范，其次要強調制度的強制性、法規約束力和可操作性，這樣才能保證制度的真正貫徹和執行。其次，要建立網絡安全事件應急響應預案。網絡安全事件應急響應預案是安全管理制度的一個重要部分。事前有預案，一旦發生安全事件，就可以觸發相應的預案處理程序，在最短的時間內恢復正常的網絡服務和信息服務，力求把安全事件的破壞力降到最低。

(四)處理好發展與安全的關系

電子政務安全策略就是“國家推動，社會參與，全局治理，積極防御，保障發展，適度安全”。一定要處理好發展和安全的關系。發展是第一位的，安全是為發展提供保障和支持。

電子政務中安全保密和公共服務的關系是正三角和倒三角的關系，是相互各有側重和相互彌補的關系。從中央權力機構到省級權力機構，到地級，到縣區，安全保密的范圍要求是逐步縮小。不同的保密等級要求不同的防護標準，我們有待探求不同的安全模式，以恰如其分地處理好保密和公開的關系，安全和發展的關系。

(單位作者系山東省濱州市濱城區信息中心主任，國家系統分析師)