電子政務信息系統安全監控的研究

劉鵬 吳艷艷 魏彬

北京市政務信息安全應急處置中心 北京 100101

0 引言

電子政務就是政府機構應用現代信息和通信技術，將管理和服務通過網絡技術進行集成，在互聯網上實現政府組織結構和工作流程的優化重組，超越時間和空間及部門之間的分隔限制，向社會提供優質和全方位的、規范而透明的、符合國際水準的管理和服務。

電子政務外網建設到今天，基本建成從中央到地方統一的國家政務外網，橫向連接各級黨委、人大、政府、政協、法院、檢察院等各級政務部門，縱向覆蓋中央、省、地(市)、縣，滿足各級政務部門社會管理和公共服務的需要，確保了國家政務外網的統一性和完整性。這對政務內外網的監管提出了更高的要求，建設信息安全監控體系，及時發現和處置網絡攻擊，防止有害信息傳播，對網絡和系統實施有效的監控和預警是當務之急。

1 電子政務系統的網絡安全問題

電子政務不同于電子商務，它涉及到很多黨政機關的重要文件，其中有些內容甚至關系到國家利益和國家安全。而且政府作為社會管理機構，如果因為電子政務系統癱瘓而造成業務流程的停頓，帶來的損失和波及的范圍將會非常巨大。電子政務系統是依賴計算機和網絡技術而存在，不可避免地受到多種安全威脅。根據網絡邊界的劃分，將安全威脅劃分為外部安全威脅與內部安全威脅。

1.1 電子政務系統的外部安全威脅

目前，電子政務系統在外網安全建設方面進行了大量建設，如網絡拓撲、鏈路冗余、設備冗余、MPLS VPN、防火墻、入侵檢測(IDS)、病毒防護等。但作為面向社會的公眾服務系統，仍然面臨著各種安全風險和威脅。公眾服務系統成為惡意攻擊的目標，大量安全事件報告中，蠕蟲病毒以外的惡意流量基本都是以取得公眾服務系統管理員權限為目的的攻擊流量；雖然電子政務系統采用了必要的隔離手段，但缺少威脅傳播抑制手段造成了威脅泛濫；缺少統一安全管理手段造成對安全威脅的反應滯后；網絡自身的脆弱性也使得系統受到威脅。

1.2 電子政務系統的內部安全威脅

政務信息更容易受到來自內部的安全，機構內部的安全隱患問題更應該引起足夠的重視。網絡內部應用缺乏管理、內部人員的違規操作、故意違法犯罪、發生故意竊密行為對整個系統的威脅更大。如果對網絡性能監控和管理的力度不夠，對系統網絡中的應用流量沒有進行嚴密的監測和控制，可能導致重要的業務應用得不到保證。目前電子政務系統中的內部安全威脅主要包括：

(1) 缺乏有效的攻擊檢測和病毒防御手段；

(2) 缺乏對網絡設備及資源進行非正常使用的訪問管理控制機制，對非法用戶進入網絡系統的非法操作以及合法用戶的越權操作等問題，沒有有效的控制措施；

(3) 對終端用戶的安全管理力度不夠，當設備更新頻繁時，往往由于對終端用戶的管理滯后而造成混亂；

(4) 缺少桌面安全接入手段造成局域網內部威脅不可控，缺乏網絡信任體制的信息失密威脅；

(5) 對于內部人員及維護人員的非法操作、誤操作等由于共享賬號而無法追蹤到具體人員；

(6) 當新的安全漏洞和病毒危機出現時，往往由于升級文件包和補丁分發的滯后而造成巨大損失；

(7) 缺乏對安全日志集中收集和管理，無法信息共享，無法綜合分析；

(8) 出現網絡安全事故時，不能很快獲得網絡整體的、綜合的安全信息。

2 電子政務系統安全監控

由于系統中存在著各種內部、外部的安全威脅，嚴密、總體的安全監控應得到足夠的重視。不僅要對網絡、主機、應用系統進行有效的監控，也要通過對系統中各個子系統、計算設備、數據庫系統、應用系統用戶行為、維護人員操作等全方位監控，并對各種安全告警日志數據進行收集、整合，進行直接或間接的關聯分析，從管理的角度體現信息安全系統的動態模型，而不僅僅是一些靜態的管理模型，重點提升對網絡、互聯網出口、核心業務系統、重要網站的主要安全威脅的可知、可控、可管能力。安全監控系統要具有4A的服務能力(Anyone Anytime Anywhere Anything)，也就是說任何人在任何時候任何地方都只能訪問到其權限內的應用和資源，對內部非法行為、操作要能發現、能追溯到自然人。

2.1 安全監控平臺總體功能架構

安全監控平臺以各種 IT支撐設備和系統的監測信息和日志信息作為數據源，以各類數據的流轉和處理為功能劃分依據，將總體功能分為數據采集功能、數據處理功能、數據分析功能、安全監測功能4大類別，如圖1所示。

圖1 安全監控平臺總體功能架構

(1) 數據采集功能：根據平臺指定的運維策略，數據采集層負責各種IT支撐設備和系統采集各種安全相關信息，并進行數據格式標準化、數據歸并、數據壓縮等處理。

(2) 數據處理功能：中心平臺一旦發現各類受監測的軟硬件系統發生異?；蚬收希R上以系統告警形式報告中心平臺操作員，并實時定位提取相關責任單位基本信息。知識庫管理作為數據處理的重要輔助手段引入至中心平臺，用來提升安全監測的準確性和應急事件的處理能力。

(3) 數據分析功能：以豐富的報表展現手段對各類數據進行直觀顯示，輔助以網絡拓撲、地理位置兩種圖形化功能為平臺用戶提供方便快捷的信息獲取途徑，也會借助知識庫提供的分析策略提高數據分析的準確性。

(4) 安全監測功能：實現整個平臺的靈活展示和配置管理。一方面通過豐富的圖形化展示方式呈現政務外網、大型網絡互聯網接入、重要信息系統、網站等安全狀況，提供有效的安全監測，減少安全破壞的發生，降低安全事件所造成的損失；另一方面對整個平臺進行配置與維護。

2.2 電子政務系統外部網絡監控技術

(1) 物理層監控技術。政務系統外網物理層的安全，必須實時監控底層設備狀態，比如防火墻系統、VPN網關、身份認證系統、交換機設備和路由器設備都屬于網絡節點關鍵設備，一旦這些設備出現故障，整個網絡將無法正常運行。對這些底層設備的監控可以采集設備的工作環境數據(電壓、電流、溫度、風扇轉速等)、運行狀態(CPU負載、內存占用、磁盤空間、進程狀態、端口流量、協議流量等)、報警日志等。通過對這些指標進行綜合分析，配合網絡拓撲圖、地理位置圖，以圖示的方式顯示可以方便管理員實時監視這些設備的運行情況，及時發現并定位故障點。

(2) 網絡層監控技術。在政務系統網絡邊界如果發生拒絕服務(DoS)攻擊，邊界路由設備上運行的BGP、OSPF路由會發生重啟，產生路由震蕩。路由震蕩會使交換路由設備的控制層耗費大量資源，會對電子政務外網性能造成極大的影響。因此，應實時監控邊界路由設備的路由狀態，可以使用SNMP(簡單網絡管理協議)、RMON(遠程監控)對邊界路由設備的路由信息、流量信息進行監控，及時發現問題。采用具有動態自適應地調節Hello定時器值的路由設備，可以大大減少了鏈路震蕩引起的路由震蕩。

(3) 應用層監控技術。應用層的安全需要考慮若干方面因素，對于電子政務外網而言，大體可分成：ACL、VPN、QoS、認證、內容過濾、審計、病毒防護和災難恢復等。對這些方面的監控需要針對不同的系統進行日志事件分析，運用統計分析、聚類分析、業務流分析技術及時發現或預測安全事件。

2.3 電子政務系統內部網絡安全監控技術

電子政務網絡內部應用缺乏管理、內部人員的違規操作、故意違法犯罪,發生故意竊密行為對整個系統的威脅更大。需要針對內部人員、維護人員的網絡使用行為、操作規范等方面進行監控管理。

(1) 網絡使用行為管理技術。由于傳統的網絡安全設備只是對網絡數據包進行檢測、過濾，無法對上網用戶的使用行為進行監測和控制?？梢詰媒y計分析技術，分析識別用戶的上網數據流，并轉換為圖數據結構。然后使用頻繁子圖挖掘技術對其進行分析，能對網絡行為中的已知安全事件進行檢測的同時對安全事件進行預測，為網絡安全管理員提供了一種行之有效的檢測方式。

(2) 數據庫訪問監控技術。政務系統中存在大量應用服務系統，這些應用系統對數據庫的訪問一般使用共享數據庫賬號，這樣就造成一旦數據庫發生安全事件，無法追查到自然人，無法追究責任的情況。同樣，系統中的維護人員由于擁有較高權限的賬號，對其操作過程的審計也是非常重要的。建設數據庫統一訪問控制系統可以使數據庫賬號與自然人關聯，實現了對自然人的數據訪問、操作行為進行記錄、分析、展現、操作追蹤回放等功能。由于應用系統(WEB應用)賬號無法與數據庫操作行為準確關聯，可以采用關聯規則技術對應用系統的用戶請求和數據庫操作進行分析，找到應用系統賬號的請求與數據庫操作的關系，以獲得數據庫操作與自然人的關聯。

(3) 終端設備監控技術。政務系統中的大量終端設備的監控也是內網安全監控工作中的重點。移動設備管制、網絡垃圾數據監測、惡意軟件監測、系統補丁分發、病毒、蠕蟲、木馬的防護等工作都需要落實，以免系統內部的漏洞或非法操作威脅整個政務系統的正常運行。

(4) 內部網絡設備、服務器管理技術。由于對內部的網絡設備、服務器的管理操作一般很難被第三方控制，可以采用堡壘機技術接管對這些網絡設備、服務器的管理操作，審核通過后再轉發給被管理的設備、服務器。同時進行日志記錄，審計記錄。

2.4 政務系統安全態勢監控

對政務系統的監控不僅要從外網和內網進行監控，還需要綜合分析政務系統的總體安全狀況。采用安全態勢技術對政務系統進行總體的綜合分析，給出系統當前的安全態勢，進行安全態勢預測，使管理者更快速、更直觀的對系統當前的狀態進行判斷，及時做出決策。

網絡安全態勢感知是應用多傳感器數據融合建立網絡安全態勢感知的框架，利用入侵檢測系統、網絡安全設備、連接設備、主機的分布式傳感器進行數據融合，對網絡安全態勢進行評估。典型的網絡安全態勢感知模型如圖2所示。

圖2 網絡安全態勢感知模型

在這個模型中，態勢感知的實現被分為了 5個級別(階段)，首先是對多種數據源進行態勢要素信息采集(可以通過分布在政務系統中現有的Netflow采集器、IDS、Firewall、VDS等來實現)，然后經過不同級別的處理及反饋，最終通過網絡安全態勢可視化實現人機交互。5個處理級別分為是：數據預處理，事件提取，網絡安全態勢評估，網絡威脅評估，資源管理、過程控制與優化。

在網絡安全態勢評估及網絡威脅評估過程中，常用的主要有4種分析方法：關聯分析、序列模式分析、分類分析和聚類分析。關聯分析用于挖掘數據之間的聯系，即在給定的數據集中，挖掘出支持度和可信度分別大于用戶給定的最小支持度(minimum support)和最小可信度(minimum confidence)的關聯規則，常用算法有Apriori算法、AprioriTid算法等。序列模式分析和關聯分析相似，但側重于分析數據間的前后(因果)關系，即在給定的數據集中，從用戶指定最小支持度的序列中找出最大序列(maximum sequence)，常用算法有DynamicSome算法、AprioriSome算法等。分類分析就是通過分析訓練集中的數據，為每個類別建立分析模型，然后對其它數據庫中的記錄進行分類，常用的模型有決策樹模型、貝葉斯分類模型、神經網絡模型等。與分類分析不同，聚類分析不依賴預先定義好的類，它的劃分是未知的，常用的方法有模糊聚類法、動態聚類法、基于密度的方法等。關聯分析和序列模式分析主要用于模式發現和特征構造，而分類分析和聚類分析主要用于最后的檢測模型。

3 結束語

電子政務系統作為面向社會的公眾服務的系統，面臨各種安全風險和威脅。如果電子政務系統癱瘓造成業務停頓，帶來的損失和波及的范圍將會非常巨大，所以對政務系統的安全監控應受到高度重視。通過相關技術手段實現對政務系統的安全監控，可以提高對各種安全威脅的識別、控制能力，為政務系統高效穩定運行提供保障。