電子政務網絡安全威脅及應對措施研究

◆張一梅

電子政務網絡安全威脅及應對措施研究

◆張一梅

（山西省數字政府服務中心 山西 030031）

在電子政務加快建設的過程中，“互聯網+政務服務”、政務信息共享共用等以大數據驅動的政務信息化服務新模式不斷形成，電子政務從門戶網站到OA系統辦公再到移動辦公等各種業務支撐系統的應用實現，對電子政務網絡的安全提出了越來越高的要求，電子政務網絡的安全成了電子政務服務的基礎保障。電子政務網絡安全包括網絡系統的安全和網絡信息的安全，本文針對電子政務網絡遭受的安全威脅，從惡意程序、安全漏洞以及管理人員安全技術和安全意識等方面提出了相應的應對措施，并提出積極推進IPv6部署和安全態勢感知的應用，這些措施的實施能全面提升電子政務外網應對外部攻擊時及時預測響應防御能力，更好地加固電子政務網絡安全。

電子政務網絡安全；惡意程序；安全漏洞；入侵檢測；IPV6；安全態勢感知

在全國網絡安全和信息化工作會議上，強調加快推進電子政務，構建全流程一體化在線服務平臺，優化政務服務流程，創新服務方式，強化政務信息共享共用，更好地讓企業和群眾共享“互聯網+政務服務”的發展成果。中國互聯網絡信息中心（CNNIC）發布的第45次《中國互聯網絡發展狀況統計報告》顯示，截至2020年3月，我國在線政務服務用戶規模達6.94億。電子政務從門戶網站到OA系統辦公再到移動辦公等各種業務支撐系統的應用實現，電子政務建設在加速前進的過程中，隨之產生的問題也逐漸增多，對電子政務網絡的安全提出了越來越高的要求，電子政務網絡安全成了電子政務服務的基礎保障，受到了政府部門的高度關注。

電子政務網絡安全包括兩方面：網絡系統的安全和網絡信息的安全，最終目標是保護網絡信息的安全。電子政務網絡信息具有一定的價值性、機密性和敏感性，極易被不法分子竊取、篡改和刪除，從而給社會和國家造成巨大損失。由于網絡的互聯性、開放性等特征，致使電子政務網絡容易受到黑客、病毒、惡意程序等攻擊。根據國家互聯網應急中心（CNCERT）《2019年我國互聯網網絡安全態勢綜述》中顯示，2019年，某黑客組織對我國300余家政府網站發起了1000 余次 DDoS 攻擊，在初期其攻擊可導致 80.0% 以上的攻擊目標網站正常服務受到不同程度影響；重要黨政機關部門遭受APT攻擊，釣魚郵件攻擊數量達50 多萬次，月均4.6 萬封[1]，這些安全威脅一旦成為攻擊事實，就會對政府公信力造成極其惡劣的影響。

1 人為因素帶來的安全威脅

電子政務網絡安全是保護電子政務網絡系統的硬件、軟件及其系統中的數據不受偶然的或者惡意的原因而遭到破壞、更改、泄露，使系統連續可靠運行，網絡服務不中斷[2]。電子政務網絡受到的安全威脅有物理安全威脅（如自然災害等）和人為因素帶來的安全威脅，本文主要從如下幾方面討論人為因素帶來的安全威脅。

（1）惡意程序

惡意程序是非用戶期望運行的、懷有惡意目的或完成惡意功能的程序的統稱[3]。病毒、DDoS、僵尸、劫持、后門/陷門、勒索軟件、跟蹤軟件等都屬于惡意程序。黑客或不法分子利用惡意程序控制PC主機，進行攻擊、竊取、篡改信息，達到破壞和非法盈利的目的。惡意程序的開發具有針對性、朝著高度定向的方向發展，這類惡意程序采用環境敏感、休眠行為和條件出發等機制，攻擊行為在具備特定條件時才會表現出來[4]，而且惡意程序利用對抗技術增強隱蔽性、不確定性逃避檢測，延長存活時間，最大限度地擴大其破壞性。惡意程序的不斷更新發展，加大了檢測、分析、清除與預防的難度。

（2）安全漏洞

電子政務網絡的軟硬件及設備都存在不同程度的安全漏洞。安全漏洞主要包括應用程序漏洞，Web應用漏洞，操作系統漏洞，網絡設備（如路由器、交換機等）漏洞，安全產品（如防火墻、入侵檢測系統等）漏洞，數據庫漏洞等。2019 年，國家信息安全漏洞共享平臺（CNVD）新收錄通用軟硬件漏洞數量創下歷史新高，達 16193 個，同比增長 14. 0%，這些漏洞影響范圍從操作系統、辦公自動化系統（OA）等軟件再到 VPN 設備等網絡硬件設備[1]，一旦漏洞被公開或曝光，如未及時修復，易遭不法分子利用從而進行竊取信息、植入后門、篡改內容等攻擊操作。

（3）管理人員的安全技術和安全意識問題

安全管理人員的數量和專業技能跟不上安全技術的發展，大部分安全管理人員屬于兼職，安全問題技術處理沒有受到專業培訓，出現安全告警信息后得不到及時回應和有效處置?；蛘吖芾砣藛T有意或無意泄露管理員的用戶名口令、設備的登錄名口令等關鍵信息，泄露重要政務信息，故意使用黑客程序入侵他人主機等。

（4）互聯網協議第四版（IPv4）地址即將消耗殆盡，安全問題凸顯

基于互聯網在全球范圍內的高速發展，IPv4地址被不斷分配和使用，目前的地址需求已超過地址總量[5]，電子政務網絡已覆蓋到省市縣鄉，依托政務外網的部署的業務應用持續增加，受到了IPV4地址缺乏的制約。而且 IPV4協議中數據在網絡層使用明文傳輸，數據容易被竊取而造成不同程度的安全損失。

（5）電子政務網絡安全數據分散，整體安全態勢難管控

電子政務網絡安全設備包括防火墻、入侵檢測系統、網閘、防病毒、安全漏洞掃描、日志審計系統等等，這些安全設備和系統能較好解決某一方面的安全問題，如防火墻能依據預定義的策略阻止違反策略的訪問；防病毒系統能利用病毒特征庫發現已知的病毒；日志審計系統能追蹤可疑訪問；安全漏洞掃描能發現系統的漏洞等。然而隨著電子政務網絡承載的業務越來越復雜，安全設備的告警信息、審計信息等安全相關信息都各自存放，沒有從全方位視角看待安全問題，不能掌握網絡整體安全態勢，安全防御體系沒有得到充分利用，在受到高級持續性威脅的情況下，安全威脅的檢測、發現、響應和溯源等方面存在嚴重不足。

2 防范措施

電子政務網絡安全防護就是通過采取各種技術與管理等安全措施保障網絡信息在傳輸、存儲、處理的過程中，實現網絡信息的完整性、可用性、保密性、可控性和可審查性。針對電子政務網絡安全威脅，采取如下防范措施：

（1）惡意程序應對

電子政務網絡采用防火墻、入侵檢測、防病毒、VPN技術等安全措施應對惡意程序。

防火墻是一種訪問控制技術，是對電子政務外網和互聯網之間、電子政務內網之間、電子政務專網之間的通信進行控制，通過配置接口地址、路由、訪問控制、地址映射等安全策略，防止外部網絡對內部網絡和內部網絡內部的非法讀取、破壞受限網絡資源。

入侵檢測是防火墻的補充和延伸，是繼防火墻之后的第二道安全閘門，是安全審計中的核心技術之一。電子政務網絡交換機旁路接入IDS設備，能實時、動態地檢測來自外部和內部的攻擊。入侵攻擊對網絡和系統發生危害前，檢測到入侵攻擊，利用報警與防護系統防御入侵攻擊；入侵攻擊過程中，減少入侵攻擊所造成的損失；被入侵攻擊后，能收集入侵攻擊的相關信息，作為防范系統的知識，添加到知識庫內，以增強系統的防范能力[6]。入侵檢測的關鍵是入侵檢測技術，該技術應具有高準確性、低誤報率、低漏報率的分析檢測能力。目前入侵檢測系統（IDS）模型主要有分布入侵檢測系統（DIDS）、協作入侵檢測系統（CIDS）及結合大數據處理框架的IDS等[7]。隨著電子政務網絡更加廣度和深度的發展，惡意程序入侵攻擊的手段也在不斷提升，入侵檢測技術也需朝更新更廣的領用發展優化，電子政務網絡IDS設備根據需要及時對產品進行升級或更換。

電子政務網絡部署專門的防病毒服務器，應用服務器和終端裝有防病毒客戶端軟件，進行實時防護，病毒庫在線升級，預防新型病毒入侵；部署抗DDos設備，預防分布式拒絕服務攻擊；部署VPN設備，提供互聯網用戶通過SSLVPN撥號方式接入電子政務外網，訪問電子政務網絡系統資源。電子政務網絡安全防御產品除了從技術上提高性能之外，盡量采用自主知識產權的產品代替國外同類產品，減少產品存在后門導致的惡意程序攻擊。這些技術措施都從不同角度預防了不法分子的入侵攻擊。

（2）安全漏洞彌補

電子政務網絡的軟件和設備都存在一定的安全漏洞，這些安全漏洞是可能被利用而造成危害的薄弱環節，因此及早檢測安全漏洞并及時修復、加固是減少因安全漏洞造成損害的有效措施。漏洞形成的因素多種多樣，漏洞檢測方法是針對不同漏洞形成不同的檢測方法?！毒彌_區溢出漏洞分析技術研究進展》對主流的緩沖區溢出分析技術進行了分類，對緩沖區溢出漏洞的檢測方法具有積極的理論指導意義；《一種利用補丁的未知漏洞發現方法》提出了一種利用補丁進行同源漏洞檢測的方法等[8]，這些檢測方法的研究都有助于盡早發現漏洞，分析漏洞，在黑客攻擊之前修復漏洞，完善產品，提高產品的安全健壯性。電子政務網絡采用漏洞掃描設備，定期檢查系統漏洞，及時發現漏洞并修復，保證電子政務網絡安全運行。

（3）提高管理人員的安全技術和安全防范意識

定期對安全管理人員培訓相關安全技術技能、操作規范，掌握已有設備安全問題處理方法，了解最新網絡安全問題及應對措施。建立健全安全運營流程，嚴格按照流程管控安全問題，設立專門的安全部門及安全人員實時查看、監測安全情況，發現問題及時上報處理。

制定嚴格的機房管理制度、安全管理制度，明確規定出入機房登記管理和操作規范，明確安全管理人員的責任和義務，從制度上約束安全行為。在技術上使用審計工具如數據庫審計系統，網絡行為審計系統等，監控操作行為，在發生安全威脅時有利于快速追查溯源，降低安全風險。

（4）推進互聯網協議第六版（IPv6）部署

IPv6具有海量的地址空間，能使每個終端設備都擁有唯一的IPv6地址，其從技術上可以解決網絡實名制，實現地址精準定位，用戶身份溯源，快速提升偵查處置能力。《推進互聯網協議第六版（IPv6）規模部署行動計劃》（廳字[2017]47號）文明確要求，到2020年，持續推進既有電子政務系統IPv6升級改造，全面完成電子政務外網IPv6升級，骨干網IPv6互聯互通。IPv6能提供身份驗證和加密，具有更高的安全性，升級后的IPv6比IPv4具有更多的優勢。

（5）推進電子政務網絡安全態勢感知應用

安全態勢感知是對網絡系統安全狀態的認知過程，是對從網絡系統中收集到的原始數據進行融合處理，得到更加準確全面的信息，提取網絡系統的背景狀態及活動語義，利用大數據，識別出各類網絡活動及其異?；顒拥囊鈭D，從而獲得網絡的安全態勢，評估此時的網絡安全態勢對正常網絡運行產生的影響[9]。電子政務網絡安全態勢感知通過采集電子政務網絡系統中的網絡設備、安全設備、服務器、數據庫、中間件、應用系統等軟硬件系統的日志數據、流量信息、威脅情報、資產信息、漏洞信息，按照統一標準對數據進行預處理，得到高質量可用數據，基于大數據結合機器學習和人工智能進行監測、分析、判斷、預測，并以多角度多維度的層次化呈現網絡安全態勢，決策者根據呈現的攻擊、威脅、風險提示，及時作出預判與干預，快速精準消除或降低安全威脅隱患，做到網絡安全全面管控。安全態勢感知在電子政務外網的應用能全面提升電子政務外網應對攻擊時及時預測響應防御能力，更好地加固網絡安全。

任何的安全措施都不能保證網絡信息數據的萬無一失，因此在電子政務網絡安全體系中必須包括數據備份和容災，進一步增加數據的安全性。

[1]國家互聯網應急中心. 2019年我國互聯網網絡安全態勢綜述[R].2020-5.

[2]趙磊.電子政務網絡風險評估與安全控制[D].上海交通大學，2011：18.

[3]Sikorski M，Honig A. Practical Malware Analysis：The Hands-on Guide toDissecting Malicious Software.SanFrancisco：No Starch Press，2012.

[4]劉劍，蘇璞睿，楊珉，和亮，張源，朱雪陽，林惠民.軟件與網絡安全研究綜述[J].軟件學報,2018，29（1）：45-46.

[5]張庭.電子政務外網網絡結構與安全管理[D].南京郵電大學，2012：21-23.

[6]賴敬坤，梅洪.電子政務外網IPV6網絡部署安全風險及對策研究[J].江西通信科技，2019（4）：32-35。

[7]劉海燕，張鈺，畢建權，邢萌.基于分布式及協同式網絡入侵檢測技術綜述[J].計算機工程與應用，2018，54（8）：1-5.

[8]王林章，陳愷，王戟.軟件安全漏洞檢測專題前言[J].軟件學報，2018，29（5）：1177-1178.

[9]龔儉，臧小東，蘇琪，胡曉艷，徐杰.網絡安全態勢感知綜述[J].軟件學報，2017，28（4）:1010-1026。