電子政務等級保護安全保障體系構建

摘要：隨著5G網絡通信技術的發展，萬物互聯逐步形成，網絡攻擊行為越來越頻繁和多樣化，構建符合等級保護2.0技術要求、主動防御網絡攻擊行為的電子政務安全保障體系，尤為重要。

關鍵詞：電子政務;等級保護;安全保障體系;區域邊界安全

中圖分類號：TTP309? ?文獻標識碼：A? ? ?文章編號：1007-9416（2020）04-0000-00

隨著5G網絡通信技術的發展，萬物互聯正逐步形成，每個被接入網絡的點都有可能被黑客利用，網絡攻擊的行為越來越頻繁，攻擊方式越來越多樣化;政府大力推進“一網辦”，電子政務網作為“一網辦”的承載體，安全保障體系尤為重要。本文以市級電子政務網為例，結合實際工作，闡述如何構建具有主動防御功能的安全保障體系。

1電子政務主動防御體系

國家實施等級保護制度，電子政務發展，要積極落實等級保護制度，加強安全等級保護建設，提升電子平臺工作安全性[1]，從被動防御轉變為主動防御，構建一個中心、三重防護的安全保障體系，如圖1所示。

從以下幾個方面落實：

（1）安全計算環境方面。對政務云平臺下的全部操作系統，關閉不需要的服務（如打印機、共享服務等），禁用135、445等不安全的高危端口。禁用guest賬戶，建立安全審計賬號;并要求系統賬戶密碼復雜度不低于8位字符，且定期更換密碼;安裝殺毒軟件，定級升級病毒庫;對操作系統、中間件、數據庫等定期進行漏洞掃描，定期升級系統補丁。

（2）安全通信網絡方面。根據單位性質和網絡用戶規模，將電子政務網絡劃分10、192、172三個內網地址段，并分別配以100MB、60MB和30MB的帶寬，滿足高峰期的業務需求。

網絡間數據傳輸均通過加密技術，各安全設備采用SSH傳輸協議遠程管理，防止信息在網絡傳輸中被竊聽。

（3）安全區域邊界。各區縣接入到電子政務云平臺前，應在邊界防火墻中設置源地址、目的地址、源端口、目的端口，以允許或拒絕非法數據包的進出，關閉不用的端口，保障邊界接入安全。登陸防火墻，選擇內容過濾，選擇http協議，FTP協議、https協議等。

啟動入侵防御系統的網絡攻擊行為識別和檢測功能，有效防止黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.O.S攻擊等惡意流量。登陸入侵防御系統，選擇策略配置>安全設置>入侵防御，配置相關攻擊行為事件。

（4）安全管理中心。通過訪問VPN進入內部網絡，再通過堡壘機進入各操作系統，記錄每個接入日志，且日志保留6個月以上，對于異常接入行為、服務器異常狀況，系統自動觸發短信報警。

在瀏覽器中輸入VPN訪問地址，輸入賬號密碼后登陸，登陸成功后，再輸入堡壘機的訪問地址，輸入賬號密碼，進入堡壘機管理界面，在堡壘機內，根據用戶權限，呈現被管理的主機，選擇主機，進入操作系統界面，輸入賬號密碼登錄操作系統。

2電子政務安全等級確定

按照《GA/T 1389-2017 信息安全技術網絡安全等級保護定級指南》，從業務信息安全和系統服務安全兩個方面對電子政務網進行定級。

電子政務網承載了政府辦公業務以及公眾服務業務，業務安全級別較高;一旦業務數據遭受攻擊，將影響政府辦公、公眾辦理業務，更嚴重者，可能導致政府決策信息泄露或數篡改，影響社會秩序和公共利益，不影響國家安全。

在系統安全服務層面，電子政務保障了各業務系統正常被訪問，數據正常傳輸，安全級別較高;一旦電子政務遭受攻擊，導致網絡中斷，影響社會秩序和公共利益，不影響國家安全。

綜合業務信息安全和系統服務安全兩個方面的認識，根據定級指南，電子政務定級為三級。

3電子政務等級保護安全總體設計

針對電子政務按照不同的區域以及行業進行分域保護，充分考慮到電子政務發展中的不同類別、階段以及等級等，將其劃分為相應的安全區域進行管理[2]。

電子政務等級保護安全總體設計，遵循等級保護2.0技術標準，從技術和管理兩個方面構建，技術方面包括安全通信網絡、安全區域邊界、安全計算環境和安全管理中心等五個方面;管理方面包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理等五個方面。由此構建電子政務的安全保障機制[3]。

4電子政務等級保護安全保障體系構建

構建電子政務的安全保障體系，根據《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》，形成一個中心三重防護，建立以計算環境安全為基礎，以區域邊界安全、通信網絡安全為保障，以安全管理中心為核心的信息安全整體保障體系。

4.1建立電子政府分域保護框架

按照等級保護三級技術要求，網絡架構應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡分配地址，且重要網絡區域與其他網絡區域之間應采用可靠的技術手段隔離。由此將安全保障機制劃分為5域15區機制[4]。5域包括基礎設施域、通信網絡域、區域邊界域、計算環境域和安全管理域;15區包括非涉密機房區、網絡邊界區、核心數據區、托管服務區、業務系統區、業務測試區、涉密機房區、電子政務內網區、電子政務外網區、終端邊界區、資源共享交換區、辦公區、安全管理區、安全服務區、安全運維區。

4.2建立主動防御的保障體系

按照電子政務網的定級標準以及《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》技術要求，從基礎設施安全、安全區域邊界、安全通信網絡和安全計算環境等幾個方面構建主動防御的保障體系。

4.2.1加強基礎設施安全

基礎設施安全主要包括機房訪問控制、機房環境、設備與介質管理等。機房訪問控制中對機房的外來人員制定訪問條件，由專人對外來訪問人員進行審批，為其設置方位授權目標。按照GB50174-2008中的相應要求設置機房中的墻壁、裝修方式、門、天花板等，并在機房中安裝配置UPS、過電壓防護設備、并行電路、供電線路上配置穩壓器等。在機房中安裝火災自動消防系統以及精密空調。設備與介質管理過程中，為系統安裝防盜報警系統、監控系統，將一些較為敏感的安全業務信息安裝在較為安全的區域內。并為機房管理建立環境監控制度以及出入管理制度[5]。

4.2.2加強區域邊界安全

電子政務網分內網和外網，加強外網與內網之間的隔離;在外網與內網之間加強不同安全域的安全邊界設置。加強邊界設置的完整性，在電子政務使用過程中阻斷非法網絡接入行為、非法外聯行為的進攻，構成可信接入網絡。由終端網絡準入、邊界網絡接入構成網絡可信接入，由移動客戶端、PC 客戶端共同構成終端網絡準入，為系統運行建立認證、安全隧道、訪問權限控制等多種機制。

建立有效的邊界入侵防范機制，在電子政務系統運行內部建立多手段檢測方式，使得系統運行中能夠抵御外部多項網絡的入侵與攻擊。并對此能夠及時識別并建立相應的報警機制。

4.2.3構建安全通信網絡

保證通信的完整性和保密性。部署VPN系統保證數據傳輸的完整性和保密性。利用安全隧道、認證、訪問權限控制、分域防控等安全機制，實現政務網絡互聯安全、移動辦公安全、重點區域的邊界防護安全。安裝部署網絡堡壘機對網絡設備運維人員進行 USBkey+ 密碼進行身份鑒別，對網絡設備管理員登錄地址進行限制，加密會話，并且記錄及審計操作日志，以便進行責任認定與事件跟蹤。

4.2.4加強計算環境安全

統一身份管理與授權管理系統。統一身份管理與授權管理系統作為安全管理中心的一部分，部署于安全管理域。統一身份認證與授權管理系統完成用戶統一身份認證、授權管理等功能。身份管理和授權管理是訪問控制的前提，身份管理對用戶的身份進行標識與鑒別;授權管理對用戶訪問資源的權限進行標識與管理。通過采用統一身份認證、統一授權管理和訪問控制等安全機制，結合應用系統的工作流訪問控制，解決了政務辦公系統的信息傳輸安全、身份鑒別、系統使用權限控制與信息訪問權限控制等安全問題。

5結語

網絡安全是電子政務建設過程中首先考慮的重要因素之一，在運行過程中嚴格踐行一個中心、三重防護的安全保障體系，建立電子政府分域保護框架，建立安全技術體系，加強基礎設置安全，加強區域邊界安全，加強計算環境安全，構建主動防御的安全保障體系。

參考文獻

[1]丁震.為電子政務護航 建立安全管理體系——國家計委完成等級保護試點[J].信息網絡安全，2003（5）：9.

[2]宋麗麗.基于SSE-CMM的重慶市電子政務安全風險評估與信息安全保障體系的構建與實現[D].重慶大學，2004.

[3]王靖.構建符合國家安全標準要求的市級金保工程安全體系[J].中國新通信，2018，20（7）：14-149.

[4]黃曉波，尚艷偉，林細君.基于等級保護設計要求下的移動業務系統安全防御體系[J].中國信息化，2018（4）：78-79.

[5]李兆君，張建，宋宸.地鐵票務系統信息安全等級保護建設方案探討[J].設備管理與維修，2019（15）：105-107.

收稿日期：2020-02-22

作者簡介：曾俊（1979—），男，安徽六安人，本科，高級工程師，研究方向：電子政務。

Construction of Security Protection System for E-government Level Protection

ZENG Jun

（Lu'an？data？resources？administration，Lu'an Anhui? 237000）

Abstract： With the development of 5G network communication technology， the Internet of Everything is gradually formed， and network attack behaviors are becoming more and more frequent and diversified. It is particularly important to build an e-government security assurance system that meets the technical requirements of grade protection 2.0 and actively defends against network attack behaviors.

Keywords： e-government; level protection; security guarantee system; regional border security