劉劍

摘 要：本文分析了政務(wù)網(wǎng)絡(luò)存在的安全問題，在此基礎(chǔ)上，提出基于可信虛擬化技術(shù)的解決方案，采用密碼技術(shù)建立政務(wù)網(wǎng)絡(luò)軟件“白名單”，防止木馬等病毒軟件；對訪問政務(wù)網(wǎng)絡(luò)中人員和設(shè)備的多因子安全認證，并基于用戶身份對其數(shù)據(jù)復(fù)制行為進行安全控制，保護政務(wù)信息不被非法外泄，從而構(gòu)建安全政務(wù)網(wǎng)絡(luò)。

關(guān)鍵詞：政務(wù)網(wǎng)絡(luò)；政務(wù)網(wǎng)絡(luò)安全；可信技術(shù)；可信虛擬化技術(shù)

中圖分類號：TB47 文獻標識碼：A

文章編碼：1672-7053（2017）07-0132-03

Abstract：This paper analyzes the security problems of e-government network. On the basis of this， we propose the solution for the government network based on trusted virtualization technology. Use "white list" based on encryption technology to prevent the Trojan virus software. Use multi factor security authentication for personnel and equipment to access government network. Based on the user's identity， the security of data replication is controlled to protect government information from illegal leakage to build a secure government network.

Key Words：government network； government network security； trusted technology； trusted virtualization technology

1 背景

政務(wù)網(wǎng)絡(luò)系統(tǒng)包括公文流轉(zhuǎn)、電子郵件、檔案管理等辦公業(yè)務(wù)以及其它專業(yè)業(yè)務(wù)應(yīng)用。通過這些辦公和業(yè)務(wù)應(yīng)用平臺實現(xiàn)社會服務(wù)和管理職能，因此保護政務(wù)網(wǎng)絡(luò)數(shù)據(jù)安全、保證政務(wù)網(wǎng)絡(luò)運行穩(wěn)定對正常工作和業(yè)務(wù)運轉(zhuǎn)十分重要。

政務(wù)網(wǎng)絡(luò)系統(tǒng)面臨著以下信息安全問題：

1）計算機病毒、木馬等惡意軟件破壞。惡意軟件不僅影響政務(wù)網(wǎng)絡(luò)系統(tǒng)的正常穩(wěn)定運行，而且還可能導(dǎo)致政務(wù)敏感信息的失泄密事件，影響政府形象；

2）數(shù)據(jù)安全問題。政務(wù)網(wǎng)絡(luò)系統(tǒng)中會包含敏感數(shù)據(jù)，內(nèi)部人員、第三方合作方、計算機木馬等會接觸敏感信息；可能導(dǎo)致失泄密事件；

3）信息安全管控落實不到位。由于種種原因一般單位很難真正對系統(tǒng)做到及時運行安全維護保障，系統(tǒng)運行存在嚴重安全隱患。

傳統(tǒng)的信息安全解決方案和產(chǎn)品不能很好地有效解決上述問題。曾經(jīng)采購部署的殺毒軟件、入侵檢測、終端安全控制、數(shù)據(jù)防泄漏系統(tǒng)和防火墻信息安全產(chǎn)品，不能對未知病毒和攻擊進行有效檢測和防范，不能實現(xiàn)高效的集中安全管控運維，不能防范授權(quán)人員對數(shù)據(jù)的非法復(fù)制和盜取；另外，由于過去信息安全方案還存在自身安全產(chǎn)品多、安裝數(shù)量多、應(yīng)用兼容性差、對系統(tǒng)性能影響大以及安全易用性等問題，實際效果并不盡人意。

2 政務(wù)網(wǎng)絡(luò)安全需求

在對政務(wù)網(wǎng)絡(luò)系統(tǒng)進行新的信息安全風(fēng)險評估之后，對其信息安全目標也進行了重新審視和認識，要求政務(wù)網(wǎng)絡(luò)在滿足政策合乎要求的基礎(chǔ)上，真正實現(xiàn)安全有效性、經(jīng)濟性和易用易管性的有機統(tǒng)一。

首先，政務(wù)網(wǎng)絡(luò)安全不僅要能夠檢測和防范已知的病毒和攻擊，還應(yīng)當(dāng)有能力防范各種未知的病毒攻擊；不僅要方便正常的業(yè)務(wù)辦公，而且還要有效防范有合法授權(quán)的內(nèi)部人員和外部合作方非法復(fù)制和盜取內(nèi)部敏感數(shù)據(jù)；不僅要能支持系統(tǒng)的可管可控，還要能實現(xiàn)對系統(tǒng)高效實時化的集中管控。

其次，政務(wù)網(wǎng)絡(luò)安全方案要在安全有效的基礎(chǔ)上，降低系統(tǒng)安全成本，減少安全機制對系統(tǒng)的性能影響。政務(wù)網(wǎng)絡(luò)安全方案要考慮系統(tǒng)安全結(jié)構(gòu)的簡化，盡量減少安全設(shè)備和安全軟件安裝的數(shù)量，從而降低安全建設(shè)和運維成本，降低安全機制對政務(wù)系統(tǒng)的性能影響。

再次，政務(wù)網(wǎng)絡(luò)安全方案要考慮到安全產(chǎn)品和安全機制的易用易管性。政務(wù)網(wǎng)絡(luò)安全方案要盡量不改變原有的應(yīng)用程序、不改變用戶的操作習(xí)慣和應(yīng)用管理流程，保證用戶的良好體驗。

另外，移動辦公和移動業(yè)務(wù)成為發(fā)展趨勢。為提高業(yè)務(wù)的時效性，在指定政務(wù)網(wǎng)絡(luò)安全方案需求時，強調(diào)要考慮對移動辦公和移動業(yè)務(wù)的安全支持。要求其政務(wù)網(wǎng)絡(luò)安全方案必須解決移動設(shè)備的安全認證問題、通信安全問題以及移動設(shè)備遺失帶來的數(shù)據(jù)泄露問題。

3 可信虛擬化技術(shù)

可信虛擬化技術(shù)基于政務(wù)網(wǎng)絡(luò)的特點，以密碼技術(shù)為基礎(chǔ)，采用“白名單”安全機制防范各種已知和未知攻擊；以基于用戶身份的數(shù)據(jù)復(fù)制和傳送安全控制機制保證內(nèi)部敏感數(shù)據(jù)的安全，即使是內(nèi)部合法人員和授權(quán)的外部合作方都不能非法復(fù)制和盜取各種辦公和業(yè)務(wù)敏感信息；以基于虛擬存儲技術(shù)的系統(tǒng)集中安全管控機制大幅減少系統(tǒng)安全運維設(shè)備數(shù)量和復(fù)雜度、克服軟硬件配置差異帶來的系統(tǒng)兼容性問題，最終提高安全管控運維的效率。

此外，可信虛擬化技術(shù)還能夠在不增加開發(fā)工作量的前提下，支持移動辦公和移動業(yè)務(wù)的開展和快速部署?？尚盘摂M化技術(shù)支持對移動設(shè)備的多因子身份認證、安全加密通信，并且不在移動設(shè)備上保存任何與辦公和業(yè)務(wù)相關(guān)的數(shù)據(jù)，即使移動設(shè)備丟失，也不會導(dǎo)致失泄密事件的發(fā)生。

可信虛擬化技術(shù)可以支持政務(wù)網(wǎng)絡(luò)系統(tǒng)實現(xiàn)非法人員“進不來”、“看不到”、“拿不走”、“跑不掉”；幫助系統(tǒng)安全管理人員能夠?qū)ο到y(tǒng)“管的住”、“管的少”、“管的好”；對應(yīng)用和辦公業(yè)務(wù)人員“沒感覺”、“影響小”。

4 以可信虛擬化技術(shù)構(gòu)建安全政務(wù)網(wǎng)絡(luò)方案

原有的政務(wù)網(wǎng)絡(luò)系統(tǒng)是一個典型的終端服務(wù)器結(jié)構(gòu)，用戶終端分布在工作人員的工位或?qū)Ｓ脜^(qū)域中，應(yīng)用服務(wù)器集中在在服務(wù)器機房中。如圖1所示：

如前所述，現(xiàn)有政務(wù)網(wǎng)絡(luò)系統(tǒng)存在包括病毒木馬和數(shù)據(jù)安全在內(nèi)的諸多安全問題，采用以可信虛擬化技術(shù)構(gòu)建安全政務(wù)網(wǎng)絡(luò)的方案可以從根本上解決這些問題。

可信虛擬化方案的核心思想是以虛擬桌面技術(shù)為基礎(chǔ)，通過虛擬桌面信息流安全控制機制和基于密碼技術(shù)的虛擬桌面的可執(zhí)行代碼保護機制，防范各種已知和未知病毒木馬保護內(nèi)部數(shù)據(jù)安全。其具體實現(xiàn)方式如圖2所示：

圖2中，在機房中部署了四臺虛擬桌面服務(wù)器，每臺虛擬桌面服務(wù)器上支持運行五十個左右的虛擬桌面，這些虛擬桌面在功能上取代了傳統(tǒng)的PC業(yè)務(wù)應(yīng)用終端，無論是C/S應(yīng)用還是B/S應(yīng)用，其業(yè)務(wù)客戶端軟件或應(yīng)用瀏覽器客戶端軟件都實際運行在虛擬桌面上；工作人員通過工位上的PC或安全瘦客戶機（我們稱之為操作終端）中的IE等瀏覽器工具連接到虛擬桌面，進而訪問相應(yīng)應(yīng)用。虛擬桌面系統(tǒng)的好處是它可以將用戶操作終端與應(yīng)用終端在物理上加以分離，實際的辦公等應(yīng)用軟件和應(yīng)用數(shù)據(jù)都在虛擬桌面上運行和處理，操作終端只是起到虛擬桌面的顯示器和鍵盤鼠標輸入作用，從而為數(shù)據(jù)安全提供了保護基礎(chǔ)。

為了加強對用戶業(yè)務(wù)操作的集中管理控制、控制工作人員在虛擬桌面和操作終端之間的數(shù)據(jù)交換和文件復(fù)制行為，在虛擬桌面和用戶工位上的操作終端之間部署了專用的虛擬桌面安全網(wǎng)關(guān)。為提高系統(tǒng)安全機制的可靠性，圖2方案根據(jù)需要部署了兩臺虛擬桌面安全網(wǎng)關(guān)，實現(xiàn)雙機安全熱備功能。

4.1 病毒木馬的有效防范

圖2方案以政務(wù)網(wǎng)絡(luò)軟件選用列表為基礎(chǔ)，采用密碼技術(shù)建立政務(wù)網(wǎng)絡(luò)軟件“白名單”。在虛擬桌面上只允許“白名單”中的程序和代碼運行，因而能夠有效防范各種已知和未知病毒；同時，“白名單”機制對系統(tǒng)CPU資源的占用也非常小（一般情況下不到1%），也不會有大量的磁盤操作，因此非常適用于虛擬化技術(shù)。由于上述“白名單”保護機制只部署在辦公等生產(chǎn)型業(yè)務(wù)系統(tǒng)的虛擬桌面中，對工作人員工位中的操作終端沒有影響，因此它完全不影響一般用戶的實際操作體驗，從而有效地幫助了信息安全方案的快速部署和應(yīng)用推廣。

4.2 數(shù)據(jù)安全保護

圖2方案還通過虛擬桌面安全網(wǎng)關(guān)實現(xiàn)對訪問政務(wù)網(wǎng)絡(luò)中人員和設(shè)備的多因子安全認證，并基于用戶身份對其數(shù)據(jù)復(fù)制行為進行安全控制，防止政務(wù)信息非法外泄。

對人員和設(shè)備身份進行認證，根據(jù)其權(quán)限和工作要求分配和選擇適當(dāng)?shù)奶摂M桌面和存儲資源，并對其虛擬桌面工作環(huán)境進行安全部署，保證其辦公和其它業(yè)務(wù)的正常開展；

基于工作人員身份，對其在虛擬桌面和操作終端之間的數(shù)據(jù)和文件復(fù)制行為進行控制，比如某些崗位可將虛擬桌面中的數(shù)據(jù)和文件復(fù)制到操作終端上，而其它崗位只能從操作終端向內(nèi)部的虛擬桌面中復(fù)制數(shù)據(jù)和文件，或者兩種操作都不被允許；

對用戶登錄和其它系統(tǒng)管理行為進行審計。

基于虛擬桌面系統(tǒng)和虛擬桌面安全網(wǎng)關(guān)的安全防護功能，無需再花費精力對工作人員工位上的PC等操作終端進行網(wǎng)絡(luò)或USB等端口的控制和管理，就可以有效保證政務(wù)網(wǎng)絡(luò)敏感信息被非法復(fù)制或外泄。

此外，虛擬桌面安全網(wǎng)關(guān)還通過對虛擬桌面的以下安全管理措施保護數(shù)據(jù)安全：

1）終端無痕化管理。當(dāng)用戶退出政務(wù)辦公或其它業(yè)務(wù)應(yīng)用后，系統(tǒng)自動將虛擬桌面進行安全清理，保證不保留前一用戶的任何使用痕跡，包括各種臨時數(shù)據(jù)等。

2）本地設(shè)備不留密。用戶通過PC或移動設(shè)備等本地設(shè)備訪問虛擬桌面，處理辦公和應(yīng)用業(yè)務(wù)，但是這些辦公和業(yè)務(wù)數(shù)據(jù)并不會保存在本地設(shè)備上，防止政務(wù)敏感信息被非法復(fù)制、盜取。

4.3 集中安全管控

圖2方案以安全虛擬存儲技術(shù)為基礎(chǔ)，對虛擬桌面進行高效的集中安全管控。如圖2所示，所有虛擬桌面的系統(tǒng)鏡像都集中存放在鏡像服務(wù)器中，并根據(jù)應(yīng)用類型和崗位性質(zhì)制作母本，實現(xiàn)鏡像的快速克隆和部署。通過這種鏡像集中管控技術(shù)機制，軟件升級和補丁安裝時間大大縮短，基本能在一小時內(nèi)完成；鏡像集中管控技術(shù)還有效避免了傳統(tǒng)系統(tǒng)升級可能帶來的兼容問題。典型情況下，以可信虛擬存儲技術(shù)為基礎(chǔ)的虛擬桌面集中安全管控方案可以使信息系統(tǒng)運維工作量達到百分之九十以上的減幅，有效緩解政務(wù)網(wǎng)絡(luò)系統(tǒng)運維管理人員編制少、運維工作量大的難題。

圖2方案支持系統(tǒng)管理、安全管理和系統(tǒng)審計管理等不同管理角色和管理權(quán)限的分離，最大程度地保證管理安全性和安全合規(guī)性。

4.4 安全移動辦公和移動業(yè)務(wù)支持

在圖2方案設(shè)計過程中，也充分考慮到了未來移動辦公和移動業(yè)務(wù)的發(fā)展趨勢和安全需求。隨著各種手持設(shè)備和智能手機的應(yīng)用普及，為提高辦公和業(yè)務(wù)的時效性，政府單位對移動辦公和移動業(yè)務(wù)也有著迫切的需求，但是設(shè)備認證、通信安全以及移動設(shè)備遺失帶來的數(shù)據(jù)安全等問題是制約政府應(yīng)用新型移動業(yè)務(wù)的關(guān)鍵因素。在可信虛擬化方案中，這些移動設(shè)備和智能手機也可以作為操作終端，連接到虛擬桌面系統(tǒng)中；但是如同工作人員工位上的PC操作終端一樣，由于應(yīng)用數(shù)據(jù)并不實際在這些移動設(shè)備上保存和處理，因此不存在由于移動設(shè)備丟失帶來的數(shù)據(jù)安全問題；在方案中，虛擬桌面安全網(wǎng)關(guān)支持對移動設(shè)備的多因子安全認證和加密通信保護機制。

4.5 多因子身份認證

圖2方案支持對人員和設(shè)備的多因子身份認證，兼容用戶已有應(yīng)用。虛擬桌面安全網(wǎng)關(guān)內(nèi)置用戶名/口令字、數(shù)字證書、指紋等身份認證功能，并支持第三方統(tǒng)一的身份認證機制，用戶可以選用認證方式。原有系統(tǒng)已經(jīng)建設(shè)了OTP動態(tài)口令系統(tǒng)，方案二中虛擬桌面安全網(wǎng)關(guān)采用了原有的動態(tài)口令機制，以兼容原有安全結(jié)構(gòu)，同時也降低了用戶安全管理的難度。

4.6 云安全隔離支持

圖2方案通過動態(tài)虛擬網(wǎng)絡(luò)安全機制支持云安全隔離能力。該機制可以自動適應(yīng)云計算環(huán)境下應(yīng)用規(guī)模的彈性變化，并在無人工干預(yù)的情況下，自動生成相適應(yīng)的應(yīng)用安全邊界，防范應(yīng)用系統(tǒng)被非法訪問或入侵，保護應(yīng)用整體安全；

此外，圖2方案還支持云計算環(huán)境下不同客戶、不同應(yīng)用和不同用戶之間的數(shù)據(jù)安全隔離，防范未經(jīng)許可的數(shù)據(jù)共享和交換。

4.7安全審計

圖2方案不僅可以主動對用戶應(yīng)用和數(shù)據(jù)進行安全保護，還可以根據(jù)安全策略配置在不同層面對用戶的訪問行為進行安全審計。

圖2方案的安全審計功能包括：（1）用戶登錄和訪問系統(tǒng)的時間、地點、操作行為、結(jié)果等內(nèi)容；（2）系統(tǒng)管理員和安全管理員的管理操作內(nèi)容及其時間、地點、結(jié)果等；（3）系統(tǒng)當(dāng)前資源使用狀態(tài)，如虛擬機和虛擬存儲總量、當(dāng)前使用量、故障比例等。

4.8 其它安全功能

圖2中的應(yīng)用防火墻主要功能包括支持基于用戶身份的資源訪問行控制和審計等，從而對辦公等應(yīng)用提供更進一步的安全訪問控制。應(yīng)用防火墻通過將業(yè)務(wù)邏輯和安全邏輯分離，實現(xiàn)對用戶既有應(yīng)用的兼容性，在保證安全訪問控制的同時，不要求用戶修改應(yīng)用程序、改變操作流程和操作習(xí)慣。

應(yīng)用防火墻還可以幫助用戶高效率、低成本地滿足合規(guī)性要求。比如應(yīng)用防火墻可以支持多因子身份認證、安全標記和強制訪問控制等商用產(chǎn)品難以實現(xiàn)的安全指標性功能，使用戶能夠通過簡單的安全結(jié)構(gòu)和整改方式滿足國家信息安全等級保護三級或三級以上信息系統(tǒng)安全要求。

5 方案配置說明

圖2方案的設(shè)備配置情況如表1所示：

在其可信虛擬化方案中的主要安全策略包括：

除了授權(quán)管理人員外，一般工作人員都不能在其操作終端和應(yīng)用終端之間拷貝任何數(shù)據(jù)和文件；管理崗位可以從其操作終端上把互聯(lián)網(wǎng)上或其它外部文件數(shù)據(jù)拷貝到內(nèi)部信息系統(tǒng)中；部分崗位領(lǐng)導(dǎo)或授權(quán)人員可以從內(nèi)部系統(tǒng)向操作終端拷貝文件；

在內(nèi)部辦公等應(yīng)用系統(tǒng)中激活“白名單”防病毒木馬機制，保證辦公等各種應(yīng)用的可靠運行和穩(wěn)定性；

采用鏡像母本克隆機制。在系統(tǒng)需要升級或改變配置時，只需要對母本進行操作，從而大大減少系統(tǒng)運維工作量，提高系統(tǒng)運維效率；

為一般工作人員配置普通桌面類型應(yīng)用終端，并激活“桌面無痕安全機制”，在防止不同人員信息交叉使用的前提下，提高系統(tǒng)資源利用率；

為管理崗位配置VIP桌面類型應(yīng)用終端，并支持其在單位外部通過各類操作終端訪問其個人應(yīng)用客戶端桌面，保證其工作連續(xù)性和便利性。

6 結(jié)論

采用基于可信虛擬化技術(shù)的安全政務(wù)網(wǎng)絡(luò)方案后，政務(wù)辦公和業(yè)務(wù)應(yīng)用系統(tǒng)不再擔(dān)心各種病毒和木馬的入侵破壞，也不再擔(dān)心內(nèi)部數(shù)據(jù)失泄密事件的發(fā)生；不僅如此，政務(wù)網(wǎng)絡(luò)系統(tǒng)管理和運維人員工作比起以前更為輕松，工作效率更高；同時，由于新安全方案無需改變應(yīng)用程序、操作流程和應(yīng)用習(xí)慣，因此普通用戶基本感受不到傳統(tǒng)信息安全機制和安全措施可能帶來的不方便，極大地保證了用戶的安全應(yīng)用體驗。

參考文獻

[1]于千婷. 對政府在網(wǎng)絡(luò)信息安全工作方面的幾點建議[J]. 工程技術(shù)：全文版， 2016（10）： 00271-00271.

[2]鐘靜. 政府機關(guān)計算機網(wǎng)絡(luò)安全防御措施探討[J]. 中國新通信， 2016，18（10）：66-66.

[3]呂風(fēng)明. "互聯(lián)網(wǎng)+"時代：政府網(wǎng)站網(wǎng)絡(luò)安全的新挑戰(zhàn)[J]. 電腦與電信， 2016（Z1）：69-70.

[4] Wu B， Liu P， Xu X. An evolutionary analysis of low-carbon strategies based on the government-enterprise game in the complex network context[J]. Journal of Cleaner Production， 2017， 141：168-179.

[5] Wincent J， Anokhin S， Ortqvist D. Supporting innovation in government-sponsored networks： The role of network board composition[J]. International Small Business Journal， 2013， 31（8）：997-1020.

[6] Murphy B M. Interdoc： The first international non-government computer network[J]. 2005，10（5）：1486.

[7] Jing L I. View of the government network according to the application of electronic technology to taxation[J]. Liaoning Taxation College Journal， 2002.

[8] Hufen H， Bruijn H D. Energy performance contracts as a tool for property management by local government[J]. Journal of Cleaner Production， 2015， 112.