電子政務等級保護安全保障體系研究

導語：電子政務等級保護安全保障體系研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要:隨著5G網絡通信技術的發展,萬物互聯逐步形成,網絡攻擊行為越來越頻繁和多樣化,構建符合等級保護2.0技術要求、主動防御網絡攻擊行為的電子政務安全保障體系,尤為重要。

關鍵詞:電子政務；等級保護；安全保障體系；區域邊界安全

隨著5G網絡通信技術的發展,萬物互聯正逐步形成,每個被接入網絡的點都有可能被黑客利用,網絡攻擊的行為越來越頻繁,攻擊方式越來越多樣化;政府大力推進“一網辦”,電子政務網作為“一網辦”的承載體,安全保障體系尤為重要。本文以市級電子政務網為例,結合實際工作,闡述如何構建具有主動防御功能的安全保障體系。

1電子政務主動防御體系

國家實施等級保護制度,電子政務發展,要積極落實等級保護制度,加強安全等級保護建設,提升電子平臺工作安全性[1],從被動防御轉變為主動防御,構建一個中心、三重防護的安全保障體系,如圖1所示。從以下幾個方面落實:(1)安全計算環境方面。對政務云平臺下的全部操作系統,關閉不需要的服務(如打印機、共享服務等),禁用135、445等不安全的高危端口。禁用guest賬戶,建立安全審計賬號;并要求系統賬戶密碼復雜度不低于8位字符,且定期更換密碼;安裝殺毒軟件,定級升級病毒庫;對操作系統、中間件、數據庫等定期進行漏洞掃描,定期升級系統補丁。(2)安全通信網絡方面。根據單位性質和網絡用戶規模,將電子政務網絡劃分10、192、172三個內網地址段,并分別配以100MB、60MB和30MB的帶寬,滿足高峰期的業務需求。網絡間數據傳輸均通過加密技術,各安全設備采用SSH傳輸協議遠程管理,防止信息在網絡傳輸中被竊聽。(3)安全區域邊界。各區縣接入到電子政務云平臺前,應在邊界防火墻中設置源地址、目的地址、源端口、目的端口,以允許或拒絕非法數據包的進出,關閉不用的端口,保障邊界接入安全。登陸防火墻,選擇內容過濾,選擇http協議,FTP協議、https協議等。啟動入侵防御系統的網絡攻擊行為識別和檢測功能,有效防止黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.O.S攻擊等惡意流量。登陸入侵防御系統,選擇策略配置>安全設置>入侵防御,配置相關攻擊行為事件。(4)安全管理中心。通過訪問VPN進入內部網絡,再通過堡壘機進入各操作系統,記錄每個接入日志,且日志保留6個月以上,對于異常接入行為、服務器異常狀況,系統自動觸發短信報警。在瀏覽器中輸入VPN訪問地址,輸入賬號密碼后登陸,登陸成功后,再輸入堡壘機的訪問地址,輸入賬號密碼,進入堡壘機管理界面,在堡壘機內,根據用戶權限,呈現被管理的主機,選擇主機,進入操作系統界面,輸入賬號密碼登錄操作系統。

2電子政務安全等級確定

按照《GA/T1389-2017信息安全技術網絡安全等級保護定級指南》,從業務信息安全和系統服務安全兩個方面對電子政務網進行定級。電子政務網承載了政府辦公業務以及公眾服務業務,業務安全級別較高;一旦業務數據遭受攻擊,將影響政府辦公、公眾辦理業務,更嚴重者,可能導致政府決策信息泄露或數篡改,影響社會秩序和公共利益,不影響國家安全。在系統安全服務層面,電子政務保障了各業務系統正常被訪問,數據正常傳輸,安全級別較高;一旦電子政務遭受攻擊,導致網絡中斷,影響社會秩序和公共利益,不影響國家安全。綜合業務信息安全和系統服務安全兩個方面的認識,根據定級指南,電子政務定級為三級。

3電子政務等級保護安全總體設計

針對電子政務按照不同的區域以及行業進行分域保護,充分考慮到電子政務發展中的不同類別、階段以及等級等,將其劃分為相應的安全區域進行管理[2]。電子政務等級保護安全總體設計,遵循等級保護2.0技術標準,從技術和管理兩個方面構建,技術方面包括安全通信網絡、安全區域邊界、安全計算環境和安全管理中心等五個方面;管理方面包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理等五個方面。由此構建電子政務的安全保障機制[3]。

4電子政務等級保護安全保障體系構建

構建電子政務的安全保障體系,根據《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》,形成一個中心三重防護,建立以計算環境安全為基礎,以區域邊界安全、通信網絡安全為保障,以安全管理中心為核心的信息安全整體保障體系。4.1建立電子政府分域保護框架。按照等級保護三級技術要求,網絡架構應劃分不同的網絡區域,并按照方便管理和控制的原則為各網絡分配地址,且重要網絡區域與其他網絡區域之間應采用可靠的技術手段隔離。由此將安全保障機制劃分為5域15區機制[4]。5域包括基礎設施域、通信網絡域、區域邊界域、計算環境域和安全管理域;15區包括非涉密機房區、網絡邊界區、核心數據區、托管服務區、業務系統區、業務測試區、涉密機房區、電子政務內網區、電子政務外網區、終端邊界區、資源共享交換區、辦公區、安全管理區、安全服務區、安全運維區。4.2建立主動防御的保障體系。按照電子政務網的定級標準以及《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》技術要求,從基礎設施安全、安全區域邊界、安全通信網絡和安全計算環境等幾個方面構建主動防御的保障體系。4.2.1加強基礎設施安全。基礎設施安全主要包括機房訪問控制、機房環境、設備與介質管理等。機房訪問控制中對機房的外來人員制定訪問條件,由專人對外來訪問人員進行審批,為其設置方位授權目標。按照GB50174-2008中的相應要求設置機房中的墻壁、裝修方式、門、天花板等,并在機房中安裝配置UPS、過電壓防護設備、并行電路、供電線路上配置穩壓器等。在機房中安裝火災自動消防系統以及精密空調。設備與介質管理過程中,為系統安裝防盜報警系統、監控系統,將一些較為敏感的安全業務信息安裝在較為安全的區域內。并為機房管理建立環境監控制度以及出入管理制度[5]。4.2.2加強區域邊界安全。電子政務網分內網和外網,加強外網與內網之間的隔離;在外網與內網之間加強不同安全域的安全邊界設置。加強邊界設置的完整性,在電子政務使用過程中阻斷非法網絡接入行為、非法外聯行為的進攻,構成可信接入網絡。由終端網絡準入、邊界網絡接入構成網絡可信接入,由移動客戶端、PC客戶端共同構成終端網絡準入,為系統運行建立認證、安全隧道、訪問權限控制等多種機制。建立有效的邊界入侵防范機制,在電子政務系統運行內部建立多手段檢測方式,使得系統運行中能夠抵御外部多項網絡的入侵與攻擊。并對此能夠及時識別并建立相應的報警機制。4.2.3構建安全通信網絡。保證通信的完整性和保密性。部署VPN系統保證數據傳輸的完整性和保密性。利用安全隧道、認證、訪問權限控制、分域防控等安全機制,實現政務網絡互聯安全、移動辦公安全、重點區域的邊界防護安全。安裝部署網絡堡壘機對網絡設備運維人員進行USBkey+密碼進行身份鑒別,對網絡設備管理員登錄地址進行限制,加密會話,并且記錄及審計操作日志,以便進行責任認定與事件跟蹤。4.2.4加強計算環境安全。統一身份管理與授權管理系統。統一身份管理與授權管理系統作為安全管理中心的一部分,部署于安全管理域。統一身份認證與授權管理系統完成用戶統一身份認證、授權管理等功能。身份管理和授權管理是訪問控制的前提,身份管理對用戶的身份進行標識與鑒別;授權管理對用戶訪問資源的權限進行標識與管理。通過采用統一身份認證、統一授權管理和訪問控制等安全機制,結合應用系統的工作流訪問控制,解決了政務辦公系統的信息傳輸安全、身份鑒別、系統使用權限控制與信息訪問權限控制等安全問題。

5結語

網絡安全是電子政務建設過程中首先考慮的重要因素之一,在運行過程中嚴格踐行一個中心、三重防護的安全保障體系,建立電子政府分域保護框架,建立安全技術體系,加強基礎設置安全,加強區域邊界安全,加強計算環境安全,構建主動防御的安全保障體系。

參考文獻

[1]丁震.為電子政務護航建立安全管理體系——國家計委完成等級保護試點[J].信息網絡安全,2003(5):9.

[2]宋麗麗.基于SSE-CMM的重慶市電子政務安全風險評估與信息安全保障體系的構建與實現[D].重慶:重慶大學,2004.

[3]王靖.構建符合國家安全標準要求的市級金保工程安全體系[J].中國新通信,2018,20(7):14-149.

[4]黃曉波,尚艷偉,林細君.基于等級保護設計要求下的移動業務系統安全防御體系[J].中國信息化,2018(4):78-79.

[5]李兆君,張建,宋宸.地鐵票務系統信息安全等級保護建設方案探討[J].設備管理與維修,2019(15):105-107.

作者:曾俊 單位:六安市數據資源管理局