政務信息系統及網絡安全運維

張帥

當前為打造服務型政府，傳統辦公模式已無法滿足。大型政務服務事項、公文流轉、行政審批、費稅征繳、信息公開、網格化社會管理、三網融合、智慧城市建設等大量政府核心業務越來越依賴信息化。隨著互聯網+政務的全面進入建設期，大多數政務信息系統趨于成熟期且大部分進入全面維護階段，政務信息應用系統的網絡安全成為重中之重，互聯網+政務的安全生產、運維已經成新戰略制高點。

【關鍵詞】CA證書認證 體系設計 非功能性技術設計 內外網統一安全接入——P2P VSN虛擬安全域 社會工程學入侵

目前大部分市區級政務信息網絡主要著承載政務辦公數據流系統、對公眾提供業務辦理等系統以及基本的互聯網訪問權限。隨著政務信息業務系統業務邏輯日趨復雜，體量日益龐大，在政務信息系統的風險控制，安全運維成本，科學管理，方面將迎來一個全新的戰場。

當前政務信息系統有或部分有以下問題：

區縣的相關管理、運維人員能力匱乏，網絡安全知識相對較落后，對全局政務網的硬件服務器、存儲、數據庫軟件、應用服務器中間件、相關政務信息業務系統并沒有做到了如指掌不能完全駕馭全局運維與安全保障。在出現故障時無法從業務角度快度鎖定故障起源點，無法對故障進行深度解析并提供完整解決方案并實施。

區縣政務信息系統是沒有統一的認證授權并各自為政，無法做到訪問控制，沒有USB-KEY，CA證書認證等技術融入，病毒非常容相互間在各個系統中傳遞感染，重要數據岌岌可危；區縣政務網基本沒有全網的日志審計和客戶機上網行為管理的，各種繁雜的應用安全系統設備產生的安全事件以及網絡安全行為監控各自獨立，冗余度過高，沒有科學的審計，有效的整合，出現問題業務系統管理員根本無法防御爆炸式連鎖攻擊，安全風險系數極高。外網辦公接入設備直接接入業務網，沒有對過程數據流進行監察審計，業務數據在網絡中的傳輸缺乏近乎透明傳遞，安全隱患非常嚴重。

當政務信息網絡發生故障或者爆發大規模病毒攻擊時，無法精準鎖定攻擊源頭，從根源控制攻擊，整個處理過程也缺少科學的提高故障解決手段，缺少應急預案，缺少專家應急小組。

這些問題必須且毋庸置疑的解決和改善，應采用以下技術和策略：CA證書認證體系設計，非功能性技術設計，內外網統一安全接入——P2P VSN虛擬安全域，USB-KEY，動態短信密碼，一次性口令等方式，堵著社會工程學入侵缺口。

1 政務信息系統及網絡安全運維的實踐

實現終端內外網統一接入：整合梳理辦公內網和Internet網絡的用戶認證、訪問授權、資源權限等問題，徹底不留隱患的有效的解決辦公內網的安全接入和Internet網絡安全接入，徹底清除未授權終端非法用戶對政務信息系統的存在威脅，確保了政務業務系統的數據在政務網絡中安全數據流傳輸的可靠性。

完整的用戶行為和關鍵政務信息系統數據流日志審計，記錄并保留一個月以上的用戶上網行為是非常有必要的，在龐大的用戶痕跡日志信息中進行初步數據挖掘，能發現潛在的安全隱患，防患于未然，將安全隱患控制牢牢控制，并扼殺。若已發生安全事故，可迅速定位事故爆發點，妥善快速解決問題，如事故造成嚴重的財產損失，可提交公安機關進行取證。

定期由專業安全運維第三方服務公司提供專家級業務報告，為下一步網絡優化提供建議，保障網絡持續、健康發展、安全：對整個被監控網絡能夠提供全面安全健康狀態檢測報告。報告內容包含客戶機非安全訪問記錄、并發數異常記錄、帶寬控制效果、攻擊發生統計等等。

2 政務信息系統及網絡安全運維建設

2.1 政務信息系統建設內容應涵蓋以下方面

建立覆蓋區縣政務信息系統所涉及的硬件服務器設備、存儲設備、核心網絡鏈路拓撲、政務業務系統結構、數據庫并發數據鏈路流和中間件異常并發情況的綜合管理安全運維平臺，包括集中授權管理中心、面向業務的精確帶寬流量控制系統和業務服務中心，系統應具備完整業務功能和良好伸縮性。

實現集中授權管理中心，建立集中安全管控平臺：構建全網集中的用戶賬號管理、認證管理、授權管理、日志審計，為內外網用戶提供統一的接入服務，加強內控管理，并且為精確帶寬流量控制系統和業務服務管理中心提供管理控制依據。

面向業務的帶寬流量控制系統：構建業務網絡分析、凈化、控制系統，進行全面的流量監視、凈化和控制，有效提高鏈路的帶寬利用率，保障重點業務的網絡質量。

2.2 CA證書認證體系設計

為切實做好政務信息系統安全認證工作，提高各個區縣網絡安全保障水平和對應用系統的防護能力，建立CA證書認證體系。

遵循“建設政務信息系統統一的身份認證體系，為構建政務網絡信任體系奠定基礎，提高應用系統安全保障和防護能力”的目標，保證數據的完整性和保密性，確保用戶來源和行為的真實性和不可否認性。

2.3 內外網統一安全接入——P2P VSN虛擬安全工作域

建立P2P構成的虛擬安全域，確保政務信息業務應用環境的安全性。

通過集中安全管控平臺，用戶終端無論在企業網內或是在互聯網中，只需要能夠在網絡層與安全網關之間可達、通過身份認證后即可建立P2P VSN虛擬安全工作域，借由端到端的加密隧道與授權業務系統進行通信。

2.4 防止社會工程學入侵滲透

在以上的技術應用可以阻止90%以上的黑客攻擊，但是有關信息系統及其網絡安全的問題是矛與盾永無休止的話題，事實上，沒有任何技術能防范社會工程學攻擊。這就是安全方面做薄弱的環節：人！

政務信息所有工作人員都應該進行定期前言安全知識培訓。

政務信息系統所有業務干系人都應懂得基本的安全策略，策略是指導業務人員行為保護政務信息系統與敏感信息所必須的規則。

參考文獻

[1]張麗麗.新常態下推進“互聯網+政務服務”建設研究——以浙江省政務服務網為例[J].浙江學刊，2016（05）.

[2]馮巧玲.IPS在電子政務系統中的部署與實現[J].西安文理學院學報（自然科學版）， 2015（02）.

[3]劉邦凡，關夢穎.電子政務的信息安全立法[J].電子商務，2014（01）.

作者單位

武漢市東西湖區宣傳信息中心 湖北省武漢市 430040