導(dǎo)語：電子政務(wù)網(wǎng)絡(luò)邊界安全設(shè)計與實現(xiàn)一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：現(xiàn)階段，電子政務(wù)網(wǎng)絡(luò)正在不斷發(fā)展中，隨之而來的是其邊界安全問題愈發(fā)凸顯。該文著重介紹當(dāng)前電子政務(wù)網(wǎng)絡(luò)存在的邊界安全問題，在此基礎(chǔ)上分析并提出具體的防護(hù)技術(shù)和應(yīng)對措施。

關(guān)鍵詞：電子政務(wù)；邊界安全；安全體系

隨著我省電子政務(wù)網(wǎng)絡(luò)的快速發(fā)展，各級政府部門的工作逐步走向信息化和網(wǎng)絡(luò)化，為了滿足人民群眾的辦事需求，電子政務(wù)網(wǎng)絡(luò)的建設(shè)和發(fā)展逐步深入，承載的業(yè)務(wù)系統(tǒng)也越來越多，網(wǎng)絡(luò)安全問題日益突出。各級政府網(wǎng)站和業(yè)務(wù)系統(tǒng)網(wǎng)頁被惡意篡改、SQL數(shù)據(jù)庫被注入、DDOS攻擊等安全事件頻發(fā)，網(wǎng)絡(luò)安全受到了極大的挑戰(zhàn)。面對黑客的猖狂攻擊，防護(hù)網(wǎng)絡(luò)邊界安全刻不容緩。

1電子政務(wù)網(wǎng)絡(luò)現(xiàn)狀及邊界安全需求分析

目前多數(shù)政府部門未建立起統(tǒng)一且具有指導(dǎo)性的安全策略，沒有站在全局高度提供信息安全工作的方針或指導(dǎo)意見，安全管理未引起足夠重視，前景堪憂。大部分政府部門沒有明確網(wǎng)絡(luò)安全責(zé)任部門，制度建設(shè)不完善，人員的安全意識薄弱，運(yùn)維人員往往身兼管理和審計職責(zé)，安全管理責(zé)任邊界不清晰。盡管現(xiàn)有的電子政務(wù)網(wǎng)絡(luò)中通常都按照要求部署了一定的網(wǎng)絡(luò)邊界安全防護(hù)系統(tǒng)和設(shè)備，如防火墻、漏洞掃描、入侵檢測、防毒墻等，但是這些設(shè)備往往都沒有配置切實有效的安全防護(hù)策略，導(dǎo)致其形同虛設(shè)；而且在日常運(yùn)維中缺少流量分析和總結(jié)，無法做到安全預(yù)警和態(tài)勢感知，不能形成協(xié)同防護(hù)的合力。

2電子政務(wù)網(wǎng)絡(luò)邊界安全防護(hù)體系

通過分析以上電子政務(wù)網(wǎng)絡(luò)的安全策略、安全管理、安全技術(shù)、日常運(yùn)維等四個方面的現(xiàn)狀，以及存在的電子政務(wù)網(wǎng)絡(luò)邊界安全問題，根據(jù)國家的電子政務(wù)網(wǎng)絡(luò)安全建設(shè)總體要求，在實踐中可以通過統(tǒng)一的安全策略，從管理、技術(shù)和運(yùn)維等多個維度進(jìn)行全流程的防護(hù)，構(gòu)建全面、立體、多維的網(wǎng)絡(luò)邊界安全防護(hù)體系。網(wǎng)絡(luò)安全策略通常是由網(wǎng)絡(luò)管理人員在授權(quán)的基礎(chǔ)之上，根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)面臨的風(fēng)險及安全目標(biāo)，基于身份、規(guī)則、角色等角度制定的安全防護(hù)策略。在實施過程中，堅持最小權(quán)限原則、三權(quán)分立原則、多級防護(hù)原則等。電子政務(wù)網(wǎng)絡(luò)安全防范和保護(hù)的主要策略是訪問控制策略，通過各種訪問控制策略相互配合，真正發(fā)揮協(xié)同保護(hù)作用，確保電子政務(wù)網(wǎng)絡(luò)資源不被非授權(quán)訪問和使用。網(wǎng)絡(luò)安全管理體系要緊緊圍繞電子政務(wù)網(wǎng)絡(luò)的應(yīng)用場景和業(yè)務(wù)特點，按照信息系統(tǒng)生命周期理論，建立信息系統(tǒng)規(guī)劃、開發(fā)、操作等各個階段的制度、流程和規(guī)范。安全技術(shù)體系是所有安全策略的技術(shù)措施綜合。常用的安全技術(shù)包括身份認(rèn)證、VPN、防火墻、入侵檢測、漏洞掃描、網(wǎng)閘、防毒墻等一系列防護(hù)技術(shù)。在執(zhí)行整體安全防護(hù)策略的同時，綜合運(yùn)用各類安全防護(hù)技術(shù)和工具，并利用其日志及分析數(shù)據(jù)做系統(tǒng)加固，使系統(tǒng)整體處于低風(fēng)險狀態(tài)。安全運(yùn)維體系是貫徹和落實安全管理體系各項規(guī)章制度，將各項規(guī)章制度在執(zhí)行層面體系化、規(guī)范化和流程化；主要包括信息安全事件監(jiān)測和處理、安全設(shè)備管理和運(yùn)維、安全工具的管理和維護(hù)、網(wǎng)絡(luò)安全培訓(xùn)和應(yīng)急演練，信息系統(tǒng)的定級備案、風(fēng)險評估、安全整改等。

3電子政務(wù)網(wǎng)絡(luò)邊界安全實現(xiàn)方法

為保障電子政務(wù)網(wǎng)絡(luò)邊界安全，要嚴(yán)格按照國家對電子政務(wù)網(wǎng)絡(luò)安全防護(hù)的要求，根據(jù)電子政務(wù)網(wǎng)絡(luò)傳輸?shù)男畔⒅匾潭龋诸惙志W(wǎng)進(jìn)行數(shù)據(jù)通信，通過網(wǎng)絡(luò)的物理隔離或邏輯隔離，實現(xiàn)防止網(wǎng)絡(luò)攻擊以及信息泄露的目標(biāo)；并在此基礎(chǔ)上，針對性地采取以下安全防護(hù)技術(shù)和措施。3.1身份認(rèn)證技術(shù)。在計算機(jī)網(wǎng)絡(luò)中，為了保證以數(shù)字身份進(jìn)行操作的操作者的物理身份與數(shù)字身份相對應(yīng)，而產(chǎn)生的一種解決方法。作為防護(hù)網(wǎng)絡(luò)安全的第一道關(guān)口，身份認(rèn)證有著重要的作用。身份認(rèn)證系統(tǒng)通常由認(rèn)證服務(wù)器、認(rèn)證客戶端和認(rèn)證設(shè)備組成，主要通過單向或雙向兩類認(rèn)證協(xié)議和認(rèn)證系統(tǒng)軟硬件實現(xiàn)，此外，為了提高認(rèn)證的可靠性，通常采用雙因子認(rèn)證機(jī)制。身份認(rèn)證技術(shù)往往涉及三個方面：認(rèn)證、授權(quán)和審計；用戶在做任何動作之前必須要識別動作執(zhí)行者的真實身份，防止攻擊者假冒合法用戶來獲取訪問權(quán)限；在確認(rèn)用戶的身份之后，授權(quán)該用戶對權(quán)限范圍內(nèi)的文件和數(shù)據(jù)進(jìn)行操作；并在完成操作后要留下記錄，以便審計、核查。3.2VPN技術(shù)。VPN技術(shù)，也即虛擬專用網(wǎng)技術(shù)，是指在公用網(wǎng)絡(luò)上（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN技術(shù)為遠(yuǎn)程用戶和網(wǎng)絡(luò)提供低成本和安全連接的能力，通過對VPN服務(wù)器和客戶機(jī)之間的通訊數(shù)據(jù)進(jìn)行加密，可以讓外部人員安全地遠(yuǎn)程訪問內(nèi)部資源，在實際應(yīng)用中VPN技術(shù)發(fā)揮越來越重要的作用。在遠(yuǎn)程訪問VPN中，通常采用兩種基于網(wǎng)絡(luò)加密的協(xié)議類型。一種是IPsecVPN，用戶通過VPN隧道進(jìn)行身份驗證并連接到遠(yuǎn)程網(wǎng)絡(luò)后，就可以限制訪問；IPsecVPN需要安裝客戶端軟件;一種是SSLVPN，通過采用SSL協(xié)議（一種基于WEB應(yīng)用的安全協(xié)議）來實現(xiàn)遠(yuǎn)程接入；SSLVPN技術(shù)可以免于安裝客戶端，具有部署簡單、網(wǎng)絡(luò)適應(yīng)強(qiáng)、維護(hù)成本低等特點。由于IPsecVPN只能基于IP級進(jìn)行限制，訪問控制粒度不夠精細(xì)，許多安全運(yùn)維部門已逐步遷移到SSLVPN，管理員可以將用戶訪問控制粒度限制在應(yīng)用程序級。3.3防火墻技術(shù)。防火墻技術(shù)需要利用訪問控制策略，搭建網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行監(jiān)控及分析，從而實現(xiàn)對網(wǎng)絡(luò)內(nèi)部資源的保護(hù)。防火墻技術(shù)通過攔截所需保護(hù)網(wǎng)絡(luò)的向外傳輸信息來達(dá)到不被外部共計的目的。這需要管理員在安全控制策略的基礎(chǔ)上執(zhí)行包過濾準(zhǔn)則，并根據(jù)需要進(jìn)行增加、修改及刪除。通過防火墻技術(shù)可以實現(xiàn)多種功能：阻止可能出現(xiàn)的非法操作，對服務(wù)器進(jìn)行全面監(jiān)管；通過MAC地址與IP進(jìn)行綁定，在不影響訪問網(wǎng)絡(luò)的正常需要基礎(chǔ)上，將用戶的訪問權(quán)限控制在最低范圍；還可以通過防火墻收集到各類試探攻擊的日志和統(tǒng)計數(shù)據(jù)。3.4入侵檢測技術(shù)。入侵檢測技術(shù)是在各電子政務(wù)的網(wǎng)絡(luò)關(guān)鍵節(jié)點處監(jiān)控并收集信息，分析其是否屬于入侵行為以及是否違反了網(wǎng)絡(luò)安全策略。該技術(shù)最大的優(yōu)勢是能夠在提供安全監(jiān)測，攻擊識別、反攻擊的同時，不影響網(wǎng)絡(luò)的性能；通過將攻擊過程進(jìn)行記錄、斷開網(wǎng)絡(luò)連接、緊急告警、對攻擊源進(jìn)行分析并追蹤等措施實施有效地對系統(tǒng)進(jìn)行保護(hù)。該系統(tǒng)通常被安裝在數(shù)據(jù)較敏感的網(wǎng)絡(luò)邊界上，當(dāng)監(jiān)控到數(shù)據(jù)流發(fā)生異常時，該系統(tǒng)可根據(jù)安全策略迅速做出反應(yīng)。3.5漏洞掃描技術(shù)。漏洞掃描技術(shù)基于漏洞數(shù)據(jù)庫，通過對網(wǎng)絡(luò)的掃描進(jìn)行安全脆弱性檢測，它和防火墻、入侵檢測系統(tǒng)相互配合，可以有效提高網(wǎng)絡(luò)的安全性。漏洞掃描技術(shù)可以幫助網(wǎng)絡(luò)管理員及時了解網(wǎng)絡(luò)的安全設(shè)置，發(fā)現(xiàn)安全漏洞，以及客觀地評估當(dāng)前網(wǎng)絡(luò)存在的風(fēng)險。網(wǎng)絡(luò)管理員能夠根據(jù)掃描的結(jié)果，及時修復(fù)安全漏洞和錯誤配置，防患于未然。相比較防火墻技術(shù)和入侵檢測技術(shù)，漏洞掃描是一種主動的網(wǎng)絡(luò)安全防護(hù)技術(shù)，可以有效避免網(wǎng)絡(luò)攻擊行為。3.6網(wǎng)閘技術(shù)。網(wǎng)閘技術(shù)在電子政務(wù)網(wǎng)絡(luò)中，主要部署于電子政務(wù)外網(wǎng)和部委縱向?qū)＞W(wǎng)的連接邊界，實現(xiàn)不同網(wǎng)絡(luò)之間的業(yè)務(wù)流轉(zhuǎn)。它的設(shè)計是基于“不同時連接”，通過建立緩沖區(qū)使業(yè)務(wù)數(shù)據(jù)通過“擺渡”的方式實現(xiàn)交換，大大降低了跨網(wǎng)入侵的可能性。網(wǎng)閘技術(shù)的應(yīng)用使得其擺渡的數(shù)據(jù)清晰可見，可以及時發(fā)現(xiàn)病毒與潛在的入侵，保障了網(wǎng)絡(luò)邊界的安全。但同時由于網(wǎng)閘為了支持復(fù)雜多樣的業(yè)務(wù)數(shù)據(jù)，通常要開放各種通信協(xié)議，因此會降低安全檢查的效果和力度。3.7防毒墻技術(shù)防毒墻技術(shù)針對HTTP、HTTPS、SMTP、POP3、FTP、IMAP等常見應(yīng)用協(xié)議的內(nèi)容檢查，實現(xiàn)病毒、木馬、后門、蠕蟲等惡意軟件的掃描和雙向?qū)崟r檢測過濾?？蓪eb上網(wǎng)、郵件、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)炒股、FTP、P2P、即時通訊等常見網(wǎng)絡(luò)應(yīng)用進(jìn)行管控，配合細(xì)粒度的策略，實現(xiàn)電子政務(wù)網(wǎng)絡(luò)業(yè)務(wù)安全保障。

4結(jié)論

隨著電子政務(wù)網(wǎng)絡(luò)業(yè)務(wù)不斷深化和發(fā)展，電子政務(wù)網(wǎng)絡(luò)邊界安全所面臨的問題日趨嚴(yán)峻，在具體的設(shè)計和建設(shè)中，要短期目標(biāo)和長期目標(biāo)相結(jié)合，局部設(shè)計和全局規(guī)劃相結(jié)合，盡量做到統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一規(guī)劃、統(tǒng)籌安排，避免重復(fù)建設(shè)，在服務(wù)于業(yè)務(wù)需求的同時，保證邊界安全防護(hù)系統(tǒng)具有實用性、先進(jìn)性、可靠性、擴(kuò)展性、易用性、規(guī)范性。同時，要用動態(tài)的、創(chuàng)新的、與時俱進(jìn)的眼光來認(rèn)識網(wǎng)絡(luò)安全，定期進(jìn)行安全風(fēng)險評估和整改，加強(qiáng)日常的安全學(xué)習(xí)和運(yùn)維管理。

參考文獻(xiàn)：

[1]冉艷,胡學(xué)鋼.構(gòu)建市級電子政務(wù)安全平臺[J].計算機(jī)技術(shù)與發(fā)展,2007,17(8):140-157.

[2]任金強(qiáng),羅紅斌,李素明.國家電子政務(wù)外網(wǎng)信任體系建設(shè)初探[J].信息網(wǎng)絡(luò)安全,2007(8):56-58.

[3]徐榮花,陳海東.我國電子政務(wù)的發(fā)展[J].通信業(yè)與經(jīng)濟(jì)市場,2007(7):9-12.

作者:劉兵 單位:安徽省經(jīng)濟(jì)信息中心