導(dǎo)語(yǔ)：電子政務(wù)網(wǎng)絡(luò)邊界安全設(shè)計(jì)與實(shí)現(xiàn)一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：現(xiàn)階段，電子政務(wù)網(wǎng)絡(luò)正在不斷發(fā)展中，隨之而來(lái)的是其邊界安全問題愈發(fā)凸顯。該文著重介紹當(dāng)前電子政務(wù)網(wǎng)絡(luò)存在的邊界安全問題，在此基礎(chǔ)上分析并提出具體的防護(hù)技術(shù)和應(yīng)對(duì)措施。

關(guān)鍵詞：電子政務(wù)；邊界安全；安全體系

隨著我省電子政務(wù)網(wǎng)絡(luò)的快速發(fā)展，各級(jí)政府部門的工作逐步走向信息化和網(wǎng)絡(luò)化，為了滿足人民群眾的辦事需求，電子政務(wù)網(wǎng)絡(luò)的建設(shè)和發(fā)展逐步深入，承載的業(yè)務(wù)系統(tǒng)也越來(lái)越多，網(wǎng)絡(luò)安全問題日益突出。各級(jí)政府網(wǎng)站和業(yè)務(wù)系統(tǒng)網(wǎng)頁(yè)被惡意篡改、SQL數(shù)據(jù)庫(kù)被注入、DDOS攻擊等安全事件頻發(fā)，網(wǎng)絡(luò)安全受到了極大的挑戰(zhàn)。面對(duì)黑客的猖狂攻擊，防護(hù)網(wǎng)絡(luò)邊界安全刻不容緩。

1電子政務(wù)網(wǎng)絡(luò)現(xiàn)狀及邊界安全需求分析

目前多數(shù)政府部門未建立起統(tǒng)一且具有指導(dǎo)性的安全策略，沒有站在全局高度提供信息安全工作的方針或指導(dǎo)意見，安全管理未引起足夠重視，前景堪憂。大部分政府部門沒有明確網(wǎng)絡(luò)安全責(zé)任部門，制度建設(shè)不完善，人員的安全意識(shí)薄弱，運(yùn)維人員往往身兼管理和審計(jì)職責(zé)，安全管理責(zé)任邊界不清晰。盡管現(xiàn)有的電子政務(wù)網(wǎng)絡(luò)中通常都按照要求部署了一定的網(wǎng)絡(luò)邊界安全防護(hù)系統(tǒng)和設(shè)備，如防火墻、漏洞掃描、入侵檢測(cè)、防毒墻等，但是這些設(shè)備往往都沒有配置切實(shí)有效的安全防護(hù)策略，導(dǎo)致其形同虛設(shè)；而且在日常運(yùn)維中缺少流量分析和總結(jié)，無(wú)法做到安全預(yù)警和態(tài)勢(shì)感知，不能形成協(xié)同防護(hù)的合力。

2電子政務(wù)網(wǎng)絡(luò)邊界安全防護(hù)體系

通過分析以上電子政務(wù)網(wǎng)絡(luò)的安全策略、安全管理、安全技術(shù)、日常運(yùn)維等四個(gè)方面的現(xiàn)狀，以及存在的電子政務(wù)網(wǎng)絡(luò)邊界安全問題，根據(jù)國(guó)家的電子政務(wù)網(wǎng)絡(luò)安全建設(shè)總體要求，在實(shí)踐中可以通過統(tǒng)一的安全策略，從管理、技術(shù)和運(yùn)維等多個(gè)維度進(jìn)行全流程的防護(hù)，構(gòu)建全面、立體、多維的網(wǎng)絡(luò)邊界安全防護(hù)體系。網(wǎng)絡(luò)安全策略通常是由網(wǎng)絡(luò)管理人員在授權(quán)的基礎(chǔ)之上，根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)面臨的風(fēng)險(xiǎn)及安全目標(biāo)，基于身份、規(guī)則、角色等角度制定的安全防護(hù)策略。在實(shí)施過程中，堅(jiān)持最小權(quán)限原則、三權(quán)分立原則、多級(jí)防護(hù)原則等。電子政務(wù)網(wǎng)絡(luò)安全防范和保護(hù)的主要策略是訪問控制策略，通過各種訪問控制策略相互配合，真正發(fā)揮協(xié)同保護(hù)作用，確保電子政務(wù)網(wǎng)絡(luò)資源不被非授權(quán)訪問和使用。網(wǎng)絡(luò)安全管理體系要緊緊圍繞電子政務(wù)網(wǎng)絡(luò)的應(yīng)用場(chǎng)景和業(yè)務(wù)特點(diǎn)，按照信息系統(tǒng)生命周期理論，建立信息系統(tǒng)規(guī)劃、開發(fā)、操作等各個(gè)階段的制度、流程和規(guī)范。安全技術(shù)體系是所有安全策略的技術(shù)措施綜合。常用的安全技術(shù)包括身份認(rèn)證、VPN、防火墻、入侵檢測(cè)、漏洞掃描、網(wǎng)閘、防毒墻等一系列防護(hù)技術(shù)。在執(zhí)行整體安全防護(hù)策略的同時(shí)，綜合運(yùn)用各類安全防護(hù)技術(shù)和工具，并利用其日志及分析數(shù)據(jù)做系統(tǒng)加固，使系統(tǒng)整體處于低風(fēng)險(xiǎn)狀態(tài)。安全運(yùn)維體系是貫徹和落實(shí)安全管理體系各項(xiàng)規(guī)章制度，將各項(xiàng)規(guī)章制度在執(zhí)行層面體系化、規(guī)范化和流程化；主要包括信息安全事件監(jiān)測(cè)和處理、安全設(shè)備管理和運(yùn)維、安全工具的管理和維護(hù)、網(wǎng)絡(luò)安全培訓(xùn)和應(yīng)急演練，信息系統(tǒng)的定級(jí)備案、風(fēng)險(xiǎn)評(píng)估、安全整改等。

3電子政務(wù)網(wǎng)絡(luò)邊界安全實(shí)現(xiàn)方法

為保障電子政務(wù)網(wǎng)絡(luò)邊界安全，要嚴(yán)格按照國(guó)家對(duì)電子政務(wù)網(wǎng)絡(luò)安全防護(hù)的要求，根據(jù)電子政務(wù)網(wǎng)絡(luò)傳輸?shù)男畔⒅匾潭?，分類分網(wǎng)進(jìn)行數(shù)據(jù)通信，通過網(wǎng)絡(luò)的物理隔離或邏輯隔離，實(shí)現(xiàn)防止網(wǎng)絡(luò)攻擊以及信息泄露的目標(biāo)；并在此基礎(chǔ)上，針對(duì)性地采取以下安全防護(hù)技術(shù)和措施。3.1身份認(rèn)證技術(shù)。在計(jì)算機(jī)網(wǎng)絡(luò)中，為了保證以數(shù)字身份進(jìn)行操作的操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，而產(chǎn)生的一種解決方法。作為防護(hù)網(wǎng)絡(luò)安全的第一道關(guān)口，身份認(rèn)證有著重要的作用。身份認(rèn)證系統(tǒng)通常由認(rèn)證服務(wù)器、認(rèn)證客戶端和認(rèn)證設(shè)備組成，主要通過單向或雙向兩類認(rèn)證協(xié)議和認(rèn)證系統(tǒng)軟硬件實(shí)現(xiàn)，此外，為了提高認(rèn)證的可靠性，通常采用雙因子認(rèn)證機(jī)制。身份認(rèn)證技術(shù)往往涉及三個(gè)方面：認(rèn)證、授權(quán)和審計(jì)；用戶在做任何動(dòng)作之前必須要識(shí)別動(dòng)作執(zhí)行者的真實(shí)身份，防止攻擊者假冒合法用戶來(lái)獲取訪問權(quán)限；在確認(rèn)用戶的身份之后，授權(quán)該用戶對(duì)權(quán)限范圍內(nèi)的文件和數(shù)據(jù)進(jìn)行操作；并在完成操作后要留下記錄，以便審計(jì)、核查。3.2VPN技術(shù)。VPN技術(shù)，也即虛擬專用網(wǎng)技術(shù)，是指在公用網(wǎng)絡(luò)上（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN技術(shù)為遠(yuǎn)程用戶和網(wǎng)絡(luò)提供低成本和安全連接的能力，通過對(duì)VPN服務(wù)器和客戶機(jī)之間的通訊數(shù)據(jù)進(jìn)行加密，可以讓外部人員安全地遠(yuǎn)程訪問內(nèi)部資源，在實(shí)際應(yīng)用中VPN技術(shù)發(fā)揮越來(lái)越重要的作用。在遠(yuǎn)程訪問VPN中，通常采用兩種基于網(wǎng)絡(luò)加密的協(xié)議類型。一種是IPsecVPN，用戶通過VPN隧道進(jìn)行身份驗(yàn)證并連接到遠(yuǎn)程網(wǎng)絡(luò)后，就可以限制訪問；IPsecVPN需要安裝客戶端軟件;一種是SSLVPN，通過采用SSL協(xié)議（一種基于WEB應(yīng)用的安全協(xié)議）來(lái)實(shí)現(xiàn)遠(yuǎn)程接入；SSLVPN技術(shù)可以免于安裝客戶端，具有部署簡(jiǎn)單、網(wǎng)絡(luò)適應(yīng)強(qiáng)、維護(hù)成本低等特點(diǎn)。由于IPsecVPN只能基于IP級(jí)進(jìn)行限制，訪問控制粒度不夠精細(xì)，許多安全運(yùn)維部門已逐步遷移到SSLVPN，管理員可以將用戶訪問控制粒度限制在應(yīng)用程序級(jí)。3.3防火墻技術(shù)。防火墻技術(shù)需要利用訪問控制策略，搭建網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行監(jiān)控及分析，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部資源的保護(hù)。防火墻技術(shù)通過攔截所需保護(hù)網(wǎng)絡(luò)的向外傳輸信息來(lái)達(dá)到不被外部共計(jì)的目的。這需要管理員在安全控制策略的基礎(chǔ)上執(zhí)行包過濾準(zhǔn)則，并根據(jù)需要進(jìn)行增加、修改及刪除。通過防火墻技術(shù)可以實(shí)現(xiàn)多種功能：阻止可能出現(xiàn)的非法操作，對(duì)服務(wù)器進(jìn)行全面監(jiān)管；通過MAC地址與IP進(jìn)行綁定，在不影響訪問網(wǎng)絡(luò)的正常需要基礎(chǔ)上，將用戶的訪問權(quán)限控制在最低范圍；還可以通過防火墻收集到各類試探攻擊的日志和統(tǒng)計(jì)數(shù)據(jù)。3.4入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)是在各電子政務(wù)的網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處監(jiān)控并收集信息，分析其是否屬于入侵行為以及是否違反了網(wǎng)絡(luò)安全策略。該技術(shù)最大的優(yōu)勢(shì)是能夠在提供安全監(jiān)測(cè)，攻擊識(shí)別、反攻擊的同時(shí)，不影響網(wǎng)絡(luò)的性能；通過將攻擊過程進(jìn)行記錄、斷開網(wǎng)絡(luò)連接、緊急告警、對(duì)攻擊源進(jìn)行分析并追蹤等措施實(shí)施有效地對(duì)系統(tǒng)進(jìn)行保護(hù)。該系統(tǒng)通常被安裝在數(shù)據(jù)較敏感的網(wǎng)絡(luò)邊界上，當(dāng)監(jiān)控到數(shù)據(jù)流發(fā)生異常時(shí)，該系統(tǒng)可根據(jù)安全策略迅速做出反應(yīng)。3.5漏洞掃描技術(shù)。漏洞掃描技術(shù)基于漏洞數(shù)據(jù)庫(kù)，通過對(duì)網(wǎng)絡(luò)的掃描進(jìn)行安全脆弱性檢測(cè)，它和防火墻、入侵檢測(cè)系統(tǒng)相互配合，可以有效提高網(wǎng)絡(luò)的安全性。漏洞掃描技術(shù)可以幫助網(wǎng)絡(luò)管理員及時(shí)了解網(wǎng)絡(luò)的安全設(shè)置，發(fā)現(xiàn)安全漏洞，以及客觀地評(píng)估當(dāng)前網(wǎng)絡(luò)存在的風(fēng)險(xiǎn)。網(wǎng)絡(luò)管理員能夠根據(jù)掃描的結(jié)果，及時(shí)修復(fù)安全漏洞和錯(cuò)誤配置，防患于未然。相比較防火墻技術(shù)和入侵檢測(cè)技術(shù)，漏洞掃描是一種主動(dòng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)，可以有效避免網(wǎng)絡(luò)攻擊行為。3.6網(wǎng)閘技術(shù)。網(wǎng)閘技術(shù)在電子政務(wù)網(wǎng)絡(luò)中，主要部署于電子政務(wù)外網(wǎng)和部委縱向?qū)＞W(wǎng)的連接邊界，實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的業(yè)務(wù)流轉(zhuǎn)。它的設(shè)計(jì)是基于“不同時(shí)連接”，通過建立緩沖區(qū)使業(yè)務(wù)數(shù)據(jù)通過“擺渡”的方式實(shí)現(xiàn)交換，大大降低了跨網(wǎng)入侵的可能性。網(wǎng)閘技術(shù)的應(yīng)用使得其擺渡的數(shù)據(jù)清晰可見，可以及時(shí)發(fā)現(xiàn)病毒與潛在的入侵，保障了網(wǎng)絡(luò)邊界的安全。但同時(shí)由于網(wǎng)閘為了支持復(fù)雜多樣的業(yè)務(wù)數(shù)據(jù)，通常要開放各種通信協(xié)議，因此會(huì)降低安全檢查的效果和力度。3.7防毒墻技術(shù)防毒墻技術(shù)針對(duì)HTTP、HTTPS、SMTP、POP3、FTP、IMAP等常見應(yīng)用協(xié)議的內(nèi)容檢查，實(shí)現(xiàn)病毒、木馬、后門、蠕蟲等惡意軟件的掃描和雙向?qū)崟r(shí)檢測(cè)過濾。可對(duì)Web上網(wǎng)、郵件、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)炒股、FTP、P2P、即時(shí)通訊等常見網(wǎng)絡(luò)應(yīng)用進(jìn)行管控，配合細(xì)粒度的策略，實(shí)現(xiàn)電子政務(wù)網(wǎng)絡(luò)業(yè)務(wù)安全保障。

4結(jié)論

隨著電子政務(wù)網(wǎng)絡(luò)業(yè)務(wù)不斷深化和發(fā)展，電子政務(wù)網(wǎng)絡(luò)邊界安全所面臨的問題日趨嚴(yán)峻，在具體的設(shè)計(jì)和建設(shè)中，要短期目標(biāo)和長(zhǎng)期目標(biāo)相結(jié)合，局部設(shè)計(jì)和全局規(guī)劃相結(jié)合，盡量做到統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一規(guī)劃、統(tǒng)籌安排，避免重復(fù)建設(shè)，在服務(wù)于業(yè)務(wù)需求的同時(shí)，保證邊界安全防護(hù)系統(tǒng)具有實(shí)用性、先進(jìn)性、可靠性、擴(kuò)展性、易用性、規(guī)范性。同時(shí)，要用動(dòng)態(tài)的、創(chuàng)新的、與時(shí)俱進(jìn)的眼光來(lái)認(rèn)識(shí)網(wǎng)絡(luò)安全，定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估和整改，加強(qiáng)日常的安全學(xué)習(xí)和運(yùn)維管理。

參考文獻(xiàn)：

[1]冉艷,胡學(xué)鋼.構(gòu)建市級(jí)電子政務(wù)安全平臺(tái)[J].計(jì)算機(jī)技術(shù)與發(fā)展,2007,17(8):140-157.

[2]任金強(qiáng),羅紅斌,李素明.國(guó)家電子政務(wù)外網(wǎng)信任體系建設(shè)初探[J].信息網(wǎng)絡(luò)安全,2007(8):56-58.

[3]徐榮花,陳海東.我國(guó)電子政務(wù)的發(fā)展[J].通信業(yè)與經(jīng)濟(jì)市場(chǎng),2007(7):9-12.

作者:劉兵 單位:安徽省經(jīng)濟(jì)信息中心