周萍 章偉

摘? 要： 在發(fā)展新型“互聯(lián)網(wǎng)+電子政務(wù)”的同時，做好電子政務(wù)服務(wù)的網(wǎng)絡(luò)安全防護工作顯得尤為重要，對推進國家信息化建設(shè)和信息安全保障建設(shè)也有著舉足輕重的作用。為了應(yīng)對新興信息技術(shù)帶來的安全威脅，本文從電子政務(wù)網(wǎng)絡(luò)安全保障技術(shù)出發(fā)，分析了傳統(tǒng)電子政務(wù)在安全上存在的問題，深入探討了“互聯(lián)網(wǎng)+”背景下新型電子政務(wù)系統(tǒng)的安全保障技術(shù)，以提高電子政務(wù)服務(wù)的安全防護和應(yīng)對技術(shù)，保障電子政務(wù)信息安全。

關(guān)鍵詞： 電子政務(wù);互聯(lián)網(wǎng)+;網(wǎng)絡(luò)安全;安全保障技術(shù);邊界控制

中圖分類號： TP309 ???文獻標識碼： A??? DOI：10.3969/j.issn.1003-6970.2020.07.028

本文著錄格式：周萍，章偉.“互聯(lián)網(wǎng)+電子政務(wù)”網(wǎng)絡(luò)安全保障技術(shù)研究[J]. 軟件，2020，41（07）：140-142+163

Research on Network Security and Safety Technology of Internet Plus E-government

ZHOU Ping， ZHANG Wei

（Automobile and Information Engineering School， Urban Vocational College of Sichuan， Chengdu， Sichuan 610101， China）

【Abstract】： Duing development of new Internet plus e-government， it is particularly important to protect network security of e-government service， which plays decisive role in promoting construction of national informatization and information security. To deal with security threats caused by new information technology， the paper analyzes problems of traditional e-government started from its security technology， and deeply discusses security protection technology of new e-government system under background of “Internet plus”， to improve security protection and response technology of e-government service and ensure information security of e-government.

【Key words】： E-government; Internet plus; Network security; Security technology; Border control

0? 引言

電子政務(wù)是服務(wù)于中央和各級政府機關(guān)及企事業(yè)單位的政務(wù)平臺，是我國電子政務(wù)服務(wù)的重要公共基礎(chǔ)設(shè)施。它致力于為政務(wù)部門業(yè)務(wù)系統(tǒng)提供資源、網(wǎng)絡(luò)、安全等支撐服務(wù)，為公眾提供政務(wù)信息服務(wù)。其業(yè)務(wù)類型包括各級政府部門內(nèi)部業(yè)務(wù)類（如電子監(jiān)察、信息報送、協(xié)同辦公等）、公共服務(wù)類（如政策公告、行政審批、報稅交稅、社保查詢等）以及基礎(chǔ)服務(wù)類（如視頻會議、電子郵件服務(wù)、數(shù)據(jù)備份等）。整個電子政務(wù)服務(wù)體系包括國家、省級、地市級、區(qū)縣級四級網(wǎng)絡(luò)平臺。目前，國家電子政務(wù)服務(wù)體系已經(jīng)基本建成，承載了100多個全國性業(yè)務(wù)系統(tǒng)和6000多項地方業(yè)務(wù)系統(tǒng)^[1]。電子政務(wù)服務(wù)網(wǎng)絡(luò)已成為我國覆蓋最廣、業(yè)務(wù)承載類型最多最豐富的公共政務(wù)服務(wù)網(wǎng)絡(luò)平臺^[2]。

在發(fā)展電子政務(wù)服務(wù)的同時，應(yīng)當同等重視電子政務(wù)的網(wǎng)絡(luò)安全問題。“第十五屆中國政府網(wǎng)站績效評估結(jié)果”顯示：電子政務(wù)服務(wù)網(wǎng)站普遍存在著各種安全漏洞，網(wǎng)站被惡意篡改和資料盜取事件頻發(fā)，電子政務(wù)安全防御能力急需加強^[3]。問題主要集中在：

（1）網(wǎng)站被篡改。各級政府部門網(wǎng)站作為“政府形象”和政策展示平臺，一旦被別有用心的人篡改，用以傳播謠言或加入非法內(nèi)容，輕則引起社會混亂，重則造成政治事件，進而影響國家和政府的公信力，給社會造成極大的負面影響。

（2）為公眾提供服務(wù)的在線業(yè)務(wù)被攻擊。電子政務(wù)服務(wù)體系建設(shè)的主要內(nèi)容之一就是向企業(yè)、公眾提供在線政府服務(wù)的窗口和網(wǎng)站，這些服務(wù)一旦被攻擊，必然導(dǎo)致服務(wù)異?；蚪K止，對社會造成影響，對國家造成重大損失。同時，這些網(wǎng)站中儲存有大量企業(yè)和公眾的商業(yè)秘密和私密信息，一旦被泄露，必然會造成企業(yè)和個人的利益損失。

（3）政府部門的辦公網(wǎng)絡(luò)被入侵，導(dǎo)致政府部門正常工作業(yè)務(wù)無法進行。因此，如何防范黑客入侵也是電子政務(wù)服務(wù)網(wǎng)絡(luò)防護的重要內(nèi)容。

在“互聯(lián)網(wǎng)+電子政務(wù)”戰(zhàn)略提出后，特別是《網(wǎng)絡(luò)安全法》頒布后，“互聯(lián)網(wǎng)+電子政務(wù)”網(wǎng)絡(luò)安全問題越來越受到關(guān)注。要做電子政務(wù)網(wǎng)站真正意義上的安全，就需要建立全方位的安全防護保障體系，包括發(fā)展自主信息產(chǎn)業(yè)和核心技術(shù)，在技術(shù)上建立完整的網(wǎng)絡(luò)保障體系，建立可靠的信息安全管理制度等。

本文從電子政務(wù)網(wǎng)絡(luò)安全保障技術(shù)出發(fā)，分析了傳統(tǒng)電子政務(wù)系統(tǒng)在安全上存在的問題，深入探討了“互聯(lián)網(wǎng)+”背景下新型電子政務(wù)系統(tǒng)的安全保障實現(xiàn)技術(shù)，以提高電子政務(wù)系統(tǒng)的安全防護及應(yīng)對技術(shù)，保障電子政務(wù)信息安全。

1 ?傳統(tǒng)電子政務(wù)安全保障技術(shù)

目前大部分電子政務(wù)網(wǎng)絡(luò)安全技術(shù)主要體現(xiàn)在防火墻、病毒與木馬檢測、入侵檢測與入侵防御、對不同安全級別區(qū)域?qū)嵤┎煌陌踩呗?、VPN等網(wǎng)絡(luò)安全技術(shù)^[4-5]。這些安全手段只能在網(wǎng)絡(luò)層（OSI模型第三層）防范和封堵非授權(quán)訪問和黑客入侵，以防止來自網(wǎng)絡(luò)外部的攻擊，而對合法用戶的訪問沒有進行防范，加上操作系統(tǒng)本身的技術(shù)缺陷會導(dǎo)致應(yīng)用系統(tǒng)的各種漏洞和錯誤層出不窮。封堵法捕捉病毒攻擊和黑客入侵的特點和資料，導(dǎo)致獲取信息滯后，不能提前預(yù)測未來的攻擊態(tài)勢和入侵特征。隨著黑客入侵手段越來越多，安全技術(shù)人員只能把特征數(shù)據(jù)庫和病毒庫越做越大、防火墻越砌越高、入侵防御技術(shù)越做越復(fù)雜，從而使安全保障與網(wǎng)絡(luò)維護更加復(fù)雜，CPU處理時間和內(nèi)存資源開銷更長更大，最終使安全防護效率大大降低。

2 ?新型電子政務(wù)安全保障技術(shù)

我國電子政務(wù)網(wǎng)是由內(nèi)網(wǎng)和外網(wǎng)兩部分組成的，內(nèi)網(wǎng)處理國家秘密事務(wù)，是涉密網(wǎng)，外網(wǎng)是各級政府部門的業(yè)務(wù)網(wǎng)，面向社會提供政務(wù)服務(wù)和不在內(nèi)網(wǎng)運行的業(yè)務(wù)，是非涉密網(wǎng)^[6]。內(nèi)網(wǎng)與外網(wǎng)在物理上隔離，外網(wǎng)與互聯(lián)網(wǎng)在邏輯上隔離。無論政務(wù)內(nèi)網(wǎng)或外網(wǎng)，它的應(yīng)用范圍和邊界都是明確的，使用者都是確定的，操作流程也是固定的。在電子政務(wù)安全保障體系中，應(yīng)該不止防范外部用戶，更應(yīng)以防范內(nèi)部人員或內(nèi)外勾結(jié)為主。新型“互聯(lián)網(wǎng)+電子政務(wù)”安全保障體系可歸納為：控制使用、防內(nèi)外、高可信、強機制。

2.1 ?基于邊界控制的安全保障框架

采用基于邊界控制的安全保障框架后，用戶只能按照被授與的訪問權(quán)限和訪問控制規(guī)則來訪問電子政務(wù)網(wǎng)，只要訪問控制規(guī)則設(shè)置合理，整個電子政務(wù)系統(tǒng)的資源訪問過程就相對安全，如此構(gòu)成了安全可信的應(yīng)用環(huán)境。安全共享服務(wù)邊界采用安全邊界路由器、安全邊界三層交換機或防火墻等安全邊界設(shè)備，具有用戶身份認證、訪問操作安全審計等功能，將非法訪問者（如非法訪問的非可信終端）與資源服務(wù)器隔離，從而節(jié)省帶寬，減輕服務(wù)器工作量，防止拒絕服務(wù)攻擊DoS和分布式拒絕服務(wù)攻擊DDoS。網(wǎng)絡(luò)通信采用IPSec協(xié)議實現(xiàn)網(wǎng)絡(luò)的全程安全通信，IPSec在操作系統(tǒng)內(nèi)工作，可確保數(shù)據(jù)傳輸?shù)耐暾?、保密性和一致性?？傊贪踩木W(wǎng)絡(luò)通信過程、可信的應(yīng)用操作平臺、安全的共享資源邊界保護，構(gòu)成了訪問及工作流程相對固定的信息安全防護框架。

基于邊界控制的安全保障框架從技術(shù)上可分為以下5個部分：

（1）應(yīng)用環(huán)境安全：在終端設(shè)備上應(yīng)用密碼加密、訪問控制、身份認證、安全審計等技術(shù)，組成可信應(yīng)用環(huán)境。

（2）應(yīng)用區(qū)域邊界安全：在應(yīng)用區(qū)域邊界上部署保護措施，控制對電子政務(wù)網(wǎng)絡(luò)的訪問，實現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)外網(wǎng)之間的隔離和安全訪問。采用防火墻或部署在路由器、三層交換機上的安全技術(shù)（如訪問控制技術(shù)ACL等）過濾流量，實現(xiàn)對資源服務(wù)器的可信連接。

（3）網(wǎng)絡(luò)和通信傳輸安全：確保通信的機密性、完整性和一致性。采用加密/解密、數(shù)字簽名、消息驗證碼、完整性校驗等技術(shù)，實現(xiàn)可信連接與消息安全傳輸。

（4）認證中心與安全管理中心：采用分級的認證中心和安全管理中心，提供身份認證、實時訪問控制、記賬等訪問安全服務(wù)。

（5）密鑰管理中心：提供公鑰密碼體制下的密鑰服務(wù)、公鑰證書和對稱密鑰體制下的密鑰管理。

對更重要的、對安全性要求更高的電子政務(wù)系統(tǒng)，可組成由公共區(qū)、專用區(qū)、保密區(qū)的不同安全區(qū)域和網(wǎng)絡(luò)通信、應(yīng)用區(qū)域邊界、應(yīng)用環(huán)境搭建的網(wǎng)絡(luò)安全保障框架。不同應(yīng)用區(qū)域分別采用不同級別的安全保障措施后，區(qū)域之間采用安全隔離和信息交換設(shè)備進行更安全的相互連接和信息交換。

2.2 ?可信計算技術(shù)

可信計算技術(shù)可以從基礎(chǔ)結(jié)構(gòu)上提高計算機及其它網(wǎng)絡(luò)設(shè)備的可信性?？尚庞嬎憬K端基于可信平臺模塊（TPM，Trusted Platform Module），以密碼技術(shù)為支持，以安全的操作系統(tǒng)為核心?？尚庞嬎闫脚_技術(shù)應(yīng)用電子政務(wù)網(wǎng)絡(luò)，可以實現(xiàn)以下功能：確保數(shù)據(jù)處理、傳輸和存儲的完整性和機密性，確保用戶身份的唯一性、工作空間的可用性，確保密鑰使用和密鑰存儲的安全，確保硬件環(huán)境配置的完整性，確保操作系統(tǒng)、軟件服務(wù)與應(yīng)用程序的完整性，確保系統(tǒng)具有免疫力，從根本上阻止黑客和病毒的攻擊^[7]。

2.3 ?面向電子政務(wù)的威脅情報感知技術(shù)

隨著各種網(wǎng)絡(luò)攻擊技術(shù)的不斷更新，高水平的入侵技術(shù)、多樣化的攻擊點、不斷提升的高效且有針對性的各種軟件攻擊工具，使網(wǎng)絡(luò)威脅的破壞力加大，威脅成本降低。威脅情報感知技術(shù)、威脅情報共享與分析技術(shù)的核心思想是，采用各種多樣化技術(shù)手段、通過多種渠道采集大規(guī)模異常數(shù)據(jù)碎片以及網(wǎng)絡(luò)攻擊信息，集中進行數(shù)據(jù)挖掘、提煉、合并、歸納，進一步形成相關(guān)威脅線索的集合，再借助機器智能學習、數(shù)據(jù)挖掘、相關(guān)事件關(guān)聯(lián)等技術(shù)，分析已發(fā)生的入侵威脅的特征或關(guān)鍵要素，對未來網(wǎng)絡(luò)威脅進行預(yù)先研判，在此基礎(chǔ)上預(yù)測潛在的網(wǎng)絡(luò)安全威脅，以便指導(dǎo)用戶制定安全策略，減少未來網(wǎng)絡(luò)威脅，提升系統(tǒng)的防御能力和安全性。同時，這些原始威脅情報可以通過整合、剖析，得到對未來防控網(wǎng)絡(luò)威脅的有用信息，比如攻擊特征、攻擊方法、網(wǎng)絡(luò)安全態(tài)勢研判、有效應(yīng)對措施等，這些有用信息又可以作為威脅情報的一個組成部分，為其他信息安全技術(shù)人員提供借鑒。威脅情報感知? 這一新技術(shù)將廣泛應(yīng)用于新型“互聯(lián)網(wǎng)+電子政務(wù)”網(wǎng)絡(luò)安全體系中，有效保證電子政務(wù)服務(wù)網(wǎng)絡(luò)的? 安全。

2.4 ?面向電子政務(wù)的動態(tài)防御技術(shù)

動態(tài)防御是指在被動或主動觸發(fā)條件下動態(tài)地選擇各種硬件設(shè)備及其相應(yīng)軟件，使內(nèi)部或外部入侵者觀察到的硬件和軟件工作狀態(tài)非常難以確定，因此很難或無法建立起基于漏洞的有效攻擊，以達成降低安全風險、提高系統(tǒng)整體安全性的目的^[8]。動態(tài)防御技術(shù)的思想來源于生物學中的“擬態(tài)生物”，即某種生物在形狀、顏色、動作上模擬另一種生物以捕食或逃避天敵攻擊。動態(tài)防御體系可以針對電子政務(wù)網(wǎng)絡(luò)在各種公共事務(wù)服務(wù)領(lǐng)域的應(yīng)用層上基于病毒、木馬、后門等未知威脅，提供普適性的創(chuàng)新防御方法，既能為電子政務(wù)關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供可重建的或部分重建的服務(wù)能力，也能提供一套一體化的獨立于傳統(tǒng)安全手段的內(nèi)生安全系統(tǒng)，或者結(jié)合已有的入侵防御技術(shù)，獲得最佳防御效果。動態(tài)防御體系在技術(shù)上融合了多種入侵防御技術(shù)，比如：以多樣性、異構(gòu)性改變目標系統(tǒng)的單一性和相似性;以隨機性、動態(tài)性改變目標系統(tǒng)的確定性、靜態(tài)性;以異構(gòu)冗余多模機制判別和屏蔽未知缺陷和不明威脅;以高可靠性增強電子政務(wù)服務(wù)系統(tǒng)的彈性或可變性;以系統(tǒng)的不確定性屬性檢測或防御不確定性威脅。這些動態(tài)防御技術(shù)具有普適性，能夠集約化地以一體化系統(tǒng)的形式為電子政務(wù)網(wǎng)絡(luò)防御和解決已有或未來威脅^[9]。

3 ?結(jié)語

“互聯(lián)網(wǎng)+電子政務(wù)”服務(wù)體系將全面提升我國政府的政務(wù)服務(wù)能力，形成規(guī)范、統(tǒng)一、多級聯(lián)動的政府服務(wù)體系，極大地提高服務(wù)質(zhì)量。為構(gòu)建完善的網(wǎng)絡(luò)安全保障體系，確保我國“互聯(lián)網(wǎng)+電子政務(wù)”服務(wù)體系在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境中發(fā)揮效用，電子政務(wù)網(wǎng)絡(luò)安全保障體系的建設(shè)一定要做好規(guī)劃，積極引進比如霧計算、基于邊界控制的安全保障技術(shù)、可信計算技術(shù)、威脅情報感知技術(shù)、動態(tài)防御技術(shù)、軟件定義網(wǎng)絡(luò)、安全態(tài)勢感知技術(shù)等前沿技術(shù)，確保電子政務(wù)安全保障體系的先進性和可擴展性。本文從網(wǎng)絡(luò)安全保障技術(shù)出發(fā)，分析了傳統(tǒng)電子政務(wù)在安全上存在的問題，深入探討了“互聯(lián)網(wǎng)+”背景下新型電子政務(wù)系統(tǒng)的安全保障技術(shù)^[10]。“互聯(lián)網(wǎng)+電子政務(wù)”網(wǎng)絡(luò)安全保障體系的建設(shè)還涉及到國家及政府部門一系列管理政策與措施的改革與創(chuàng)新，以及與新興信息安全技術(shù)的有機結(jié)合，仍需要在未來做出進一步的研究，并結(jié)合實踐進行改進和完善。

參考文獻

1. 楊茜晶. 互聯(lián)網(wǎng)+視域中區(qū)縣電子政務(wù)建設(shè)的困境及對策研究[D]. 湖南師范大學， 2019.
2. 陳玲玲. 宿州市“互聯(lián)網(wǎng)+政務(wù)服務(wù)”信息安全管理研究[D]. 安徽大學， 2019.
3. 張歡歡. “互聯(lián)網(wǎng)+”時代公共信息安全對策研究[D]. 河北科技大學， 2018.
4. 歐陽秋梅， 吳超. 大數(shù)據(jù)與傳統(tǒng)安全統(tǒng)計數(shù)據(jù)的比較及其應(yīng)用展望[J]. 中國安全科學學報， 2016， 26（3）： 1-7.
5. 林龍成， 陳波， 郭向民. 傳統(tǒng)網(wǎng)絡(luò)安全防御面臨的新威脅：APT攻擊[J]. 信息安全與技術(shù)， 2013， 4（3）： 20-25.

1. 欒慶林， 盧輝斌. 自適應(yīng)遺傳算法優(yōu)化神經(jīng)網(wǎng)絡(luò)的入侵檢測研究[J]. 計算機工程與設(shè)計， 2008， 29（12）： 3022-3025.
2. Datta A. Franklin J. Garg D. A logic of secure systems and its application to trusted computing[C]. 30th IEEE Symposium on Security and Privacy. Berkeley： IEEE， 2009： 221- 236.
3. 郭瑞. 深度動態(tài)防御應(yīng)對APT攻擊[J]. 信息安全與技術(shù)， 2014， 9： 67-69.
4. Romeis C. Jaeger J. Dynamic protection security assessment， a technique for blackout prevention[C]. 2013 IEEE Grenoble Conference. Crenoble， France： IEEE， 2013： 1-6.
5. 馬立新， 金月光. 基于策略的網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計與實現(xiàn)[J]. 軟件， 2013， 34（06）： 25-26.