電子政務網絡邊界安全設計與實現

導語：電子政務網絡邊界安全設計與實現一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：現階段，電子政務網絡正在不斷發展中，隨之而來的是其邊界安全問題愈發凸顯。該文著重介紹當前電子政務網絡存在的邊界安全問題，在此基礎上分析并提出具體的防護技術和應對措施。

關鍵詞：電子政務；邊界安全；安全體系

隨著我省電子政務網絡的快速發展，各級政府部門的工作逐步走向信息化和網絡化，為了滿足人民群眾的辦事需求，電子政務網絡的建設和發展逐步深入，承載的業務系統也越來越多，網絡安全問題日益突出。各級政府網站和業務系統網頁被惡意篡改、SQL數據庫被注入、DDOS攻擊等安全事件頻發，網絡安全受到了極大的挑戰。面對黑客的猖狂攻擊，防護網絡邊界安全刻不容緩。

1電子政務網絡現狀及邊界安全需求分析

目前多數政府部門未建立起統一且具有指導性的安全策略，沒有站在全局高度提供信息安全工作的方針或指導意見，安全管理未引起足夠重視，前景堪憂。大部分政府部門沒有明確網絡安全責任部門，制度建設不完善，人員的安全意識薄弱，運維人員往往身兼管理和審計職責，安全管理責任邊界不清晰。盡管現有的電子政務網絡中通常都按照要求部署了一定的網絡邊界安全防護系統和設備，如防火墻、漏洞掃描、入侵檢測、防毒墻等，但是這些設備往往都沒有配置切實有效的安全防護策略，導致其形同虛設；而且在日常運維中缺少流量分析和總結，無法做到安全預警和態勢感知，不能形成協同防護的合力。

2電子政務網絡邊界安全防護體系

通過分析以上電子政務網絡的安全策略、安全管理、安全技術、日常運維等四個方面的現狀，以及存在的電子政務網絡邊界安全問題，根據國家的電子政務網絡安全建設總體要求，在實踐中可以通過統一的安全策略，從管理、技術和運維等多個維度進行全流程的防護，構建全面、立體、多維的網絡邊界安全防護體系。網絡安全策略通常是由網絡管理人員在授權的基礎之上，根據網絡與信息系統面臨的風險及安全目標，基于身份、規則、角色等角度制定的安全防護策略。在實施過程中，堅持最小權限原則、三權分立原則、多級防護原則等。電子政務網絡安全防范和保護的主要策略是訪問控制策略，通過各種訪問控制策略相互配合，真正發揮協同保護作用，確保電子政務網絡資源不被非授權訪問和使用。網絡安全管理體系要緊緊圍繞電子政務網絡的應用場景和業務特點，按照信息系統生命周期理論，建立信息系統規劃、開發、操作等各個階段的制度、流程和規范。安全技術體系是所有安全策略的技術措施綜合。常用的安全技術包括身份認證、VPN、防火墻、入侵檢測、漏洞掃描、網閘、防毒墻等一系列防護技術。在執行整體安全防護策略的同時，綜合運用各類安全防護技術和工具，并利用其日志及分析數據做系統加固，使系統整體處于低風險狀態。安全運維體系是貫徹和落實安全管理體系各項規章制度，將各項規章制度在執行層面體系化、規范化和流程化；主要包括信息安全事件監測和處理、安全設備管理和運維、安全工具的管理和維護、網絡安全培訓和應急演練，信息系統的定級備案、風險評估、安全整改等。

3電子政務網絡邊界安全實現方法

為保障電子政務網絡邊界安全，要嚴格按照國家對電子政務網絡安全防護的要求，根據電子政務網絡傳輸的信息重要程度，分類分網進行數據通信，通過網絡的物理隔離或邏輯隔離，實現防止網絡攻擊以及信息泄露的目標；并在此基礎上，針對性地采取以下安全防護技術和措施。3.1身份認證技術。在計算機網絡中，為了保證以數字身份進行操作的操作者的物理身份與數字身份相對應，而產生的一種解決方法。作為防護網絡安全的第一道關口，身份認證有著重要的作用。身份認證系統通常由認證服務器、認證客戶端和認證設備組成，主要通過單向或雙向兩類認證協議和認證系統軟硬件實現，此外，為了提高認證的可靠性，通常采用雙因子認證機制。身份認證技術往往涉及三個方面：認證、授權和審計；用戶在做任何動作之前必須要識別動作執行者的真實身份，防止攻擊者假冒合法用戶來獲取訪問權限；在確認用戶的身份之后，授權該用戶對權限范圍內的文件和數據進行操作；并在完成操作后要留下記錄，以便審計、核查。3.2VPN技術。VPN技術，也即虛擬專用網技術，是指在公用網絡上（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。VPN技術為遠程用戶和網絡提供低成本和安全連接的能力，通過對VPN服務器和客戶機之間的通訊數據進行加密，可以讓外部人員安全地遠程訪問內部資源，在實際應用中VPN技術發揮越來越重要的作用。在遠程訪問VPN中，通常采用兩種基于網絡加密的協議類型。一種是IPsecVPN，用戶通過VPN隧道進行身份驗證并連接到遠程網絡后，就可以限制訪問；IPsecVPN需要安裝客戶端軟件;一種是SSLVPN，通過采用SSL協議（一種基于WEB應用的安全協議）來實現遠程接入；SSLVPN技術可以免于安裝客戶端，具有部署簡單、網絡適應強、維護成本低等特點。由于IPsecVPN只能基于IP級進行限制，訪問控制粒度不夠精細，許多安全運維部門已逐步遷移到SSLVPN，管理員可以將用戶訪問控制粒度限制在應用程序級。3.3防火墻技術。防火墻技術需要利用訪問控制策略，搭建網絡通信監控系統，對網絡數據流進行監控及分析，從而實現對網絡內部資源的保護。防火墻技術通過攔截所需保護網絡的向外傳輸信息來達到不被外部共計的目的。這需要管理員在安全控制策略的基礎上執行包過濾準則，并根據需要進行增加、修改及刪除。通過防火墻技術可以實現多種功能：阻止可能出現的非法操作，對服務器進行全面監管；通過MAC地址與IP進行綁定，在不影響訪問網絡的正常需要基礎上，將用戶的訪問權限控制在最低范圍；還可以通過防火墻收集到各類試探攻擊的日志和統計數據。3.4入侵檢測技術。入侵檢測技術是在各電子政務的網絡關鍵節點處監控并收集信息，分析其是否屬于入侵行為以及是否違反了網絡安全策略。該技術最大的優勢是能夠在提供安全監測，攻擊識別、反攻擊的同時，不影響網絡的性能；通過將攻擊過程進行記錄、斷開網絡連接、緊急告警、對攻擊源進行分析并追蹤等措施實施有效地對系統進行保護。該系統通常被安裝在數據較敏感的網絡邊界上，當監控到數據流發生異常時，該系統可根據安全策略迅速做出反應。3.5漏洞掃描技術。漏洞掃描技術基于漏洞數據庫，通過對網絡的掃描進行安全脆弱性檢測，它和防火墻、入侵檢測系統相互配合，可以有效提高網絡的安全性。漏洞掃描技術可以幫助網絡管理員及時了解網絡的安全設置，發現安全漏洞，以及客觀地評估當前網絡存在的風險。網絡管理員能夠根據掃描的結果，及時修復安全漏洞和錯誤配置，防患于未然。相比較防火墻技術和入侵檢測技術，漏洞掃描是一種主動的網絡安全防護技術，可以有效避免網絡攻擊行為。3.6網閘技術。網閘技術在電子政務網絡中，主要部署于電子政務外網和部委縱向專網的連接邊界，實現不同網絡之間的業務流轉。它的設計是基于“不同時連接”，通過建立緩沖區使業務數據通過“擺渡”的方式實現交換，大大降低了跨網入侵的可能性。網閘技術的應用使得其擺渡的數據清晰可見，可以及時發現病毒與潛在的入侵，保障了網絡邊界的安全。但同時由于網閘為了支持復雜多樣的業務數據，通常要開放各種通信協議，因此會降低安全檢查的效果和力度。3.7防毒墻技術防毒墻技術針對HTTP、HTTPS、SMTP、POP3、FTP、IMAP等常見應用協議的內容檢查，實現病毒、木馬、后門、蠕蟲等惡意軟件的掃描和雙向實時檢測過濾?？蓪eb上網、郵件、網絡游戲、網絡炒股、FTP、P2P、即時通訊等常見網絡應用進行管控，配合細粒度的策略，實現電子政務網絡業務安全保障。

4結論

隨著電子政務網絡業務不斷深化和發展，電子政務網絡邊界安全所面臨的問題日趨嚴峻，在具體的設計和建設中，要短期目標和長期目標相結合，局部設計和全局規劃相結合，盡量做到統一標準、統一規劃、統籌安排，避免重復建設，在服務于業務需求的同時，保證邊界安全防護系統具有實用性、先進性、可靠性、擴展性、易用性、規范性。同時，要用動態的、創新的、與時俱進的眼光來認識網絡安全，定期進行安全風險評估和整改，加強日常的安全學習和運維管理。

參考文獻：

[1]冉艷,胡學鋼.構建市級電子政務安全平臺[J].計算機技術與發展,2007,17(8):140-157.

[2]任金強,羅紅斌,李素明.國家電子政務外網信任體系建設初探[J].信息網絡安全,2007(8):56-58.

[3]徐榮花,陳海東.我國電子政務的發展[J].通信業與經濟市場,2007(7):9-12.

作者:劉兵 單位:安徽省經濟信息中心