政務(wù)信息系統(tǒng)及網(wǎng)絡(luò)安全運(yùn)維

張帥

當(dāng)前為打造服務(wù)型政府，傳統(tǒng)辦公模式已無法滿足。大型政務(wù)服務(wù)事項、公文流轉(zhuǎn)、行政審批、費(fèi)稅征繳、信息公開、網(wǎng)格化社會管理、三網(wǎng)融合、智慧城市建設(shè)等大量政府核心業(yè)務(wù)越來越依賴信息化。隨著互聯(lián)網(wǎng)+政務(wù)的全面進(jìn)入建設(shè)期，大多數(shù)政務(wù)信息系統(tǒng)趨于成熟期且大部分進(jìn)入全面維護(hù)階段，政務(wù)信息應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全成為重中之重，互聯(lián)網(wǎng)+政務(wù)的安全生產(chǎn)、運(yùn)維已經(jīng)成新戰(zhàn)略制高點(diǎn)。

【關(guān)鍵詞】CA證書認(rèn)證 體系設(shè)計 非功能性技術(shù)設(shè)計 內(nèi)外網(wǎng)統(tǒng)一安全接入——P2P VSN虛擬安全域 社會工程學(xué)入侵

目前大部分市區(qū)級政務(wù)信息網(wǎng)絡(luò)主要著承載政務(wù)辦公數(shù)據(jù)流系統(tǒng)、對公眾提供業(yè)務(wù)辦理等系統(tǒng)以及基本的互聯(lián)網(wǎng)訪問權(quán)限。隨著政務(wù)信息業(yè)務(wù)系統(tǒng)業(yè)務(wù)邏輯日趨復(fù)雜，體量日益龐大，在政務(wù)信息系統(tǒng)的風(fēng)險控制，安全運(yùn)維成本，科學(xué)管理，方面將迎來一個全新的戰(zhàn)場。

當(dāng)前政務(wù)信息系統(tǒng)有或部分有以下問題：

區(qū)縣的相關(guān)管理、運(yùn)維人員能力匱乏，網(wǎng)絡(luò)安全知識相對較落后，對全局政務(wù)網(wǎng)的硬件服務(wù)器、存儲、數(shù)據(jù)庫軟件、應(yīng)用服務(wù)器中間件、相關(guān)政務(wù)信息業(yè)務(wù)系統(tǒng)并沒有做到了如指掌不能完全駕馭全局運(yùn)維與安全保障。在出現(xiàn)故障時無法從業(yè)務(wù)角度快度鎖定故障起源點(diǎn)，無法對故障進(jìn)行深度解析并提供完整解決方案并實施。

區(qū)縣政務(wù)信息系統(tǒng)是沒有統(tǒng)一的認(rèn)證授權(quán)并各自為政，無法做到訪問控制，沒有USB-KEY，CA證書認(rèn)證等技術(shù)融入，病毒非常容相互間在各個系統(tǒng)中傳遞感染，重要數(shù)據(jù)岌岌可危；區(qū)縣政務(wù)網(wǎng)基本沒有全網(wǎng)的日志審計和客戶機(jī)上網(wǎng)行為管理的，各種繁雜的應(yīng)用安全系統(tǒng)設(shè)備產(chǎn)生的安全事件以及網(wǎng)絡(luò)安全行為監(jiān)控各自獨(dú)立，冗余度過高，沒有科學(xué)的審計，有效的整合，出現(xiàn)問題業(yè)務(wù)系統(tǒng)管理員根本無法防御爆炸式連鎖攻擊，安全風(fēng)險系數(shù)極高。外網(wǎng)辦公接入設(shè)備直接接入業(yè)務(wù)網(wǎng)，沒有對過程數(shù)據(jù)流進(jìn)行監(jiān)察審計，業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸缺乏近乎透明傳遞，安全隱患非常嚴(yán)重。

當(dāng)政務(wù)信息網(wǎng)絡(luò)發(fā)生故障或者爆發(fā)大規(guī)模病毒攻擊時，無法精準(zhǔn)鎖定攻擊源頭，從根源控制攻擊，整個處理過程也缺少科學(xué)的提高故障解決手段，缺少應(yīng)急預(yù)案，缺少專家應(yīng)急小組。

這些問題必須且毋庸置疑的解決和改善，應(yīng)采用以下技術(shù)和策略：CA證書認(rèn)證體系設(shè)計，非功能性技術(shù)設(shè)計，內(nèi)外網(wǎng)統(tǒng)一安全接入——P2P VSN虛擬安全域，USB-KEY，動態(tài)短信密碼，一次性口令等方式，堵著社會工程學(xué)入侵缺口。

1 政務(wù)信息系統(tǒng)及網(wǎng)絡(luò)安全運(yùn)維的實踐

實現(xiàn)終端內(nèi)外網(wǎng)統(tǒng)一接入：整合梳理辦公內(nèi)網(wǎng)和Internet網(wǎng)絡(luò)的用戶認(rèn)證、訪問授權(quán)、資源權(quán)限等問題，徹底不留隱患的有效的解決辦公內(nèi)網(wǎng)的安全接入和Internet網(wǎng)絡(luò)安全接入，徹底清除未授權(quán)終端非法用戶對政務(wù)信息系統(tǒng)的存在威脅，確保了政務(wù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)在政務(wù)網(wǎng)絡(luò)中安全數(shù)據(jù)流傳輸?shù)目煽啃浴?/p>

完整的用戶行為和關(guān)鍵政務(wù)信息系統(tǒng)數(shù)據(jù)流日志審計，記錄并保留一個月以上的用戶上網(wǎng)行為是非常有必要的，在龐大的用戶痕跡日志信息中進(jìn)行初步數(shù)據(jù)挖掘，能發(fā)現(xiàn)潛在的安全隱患，防患于未然，將安全隱患控制牢牢控制，并扼殺。若已發(fā)生安全事故，可迅速定位事故爆發(fā)點(diǎn)，妥善快速解決問題，如事故造成嚴(yán)重的財產(chǎn)損失，可提交公安機(jī)關(guān)進(jìn)行取證。

定期由專業(yè)安全運(yùn)維第三方服務(wù)公司提供專家級業(yè)務(wù)報告，為下一步網(wǎng)絡(luò)優(yōu)化提供建議，保障網(wǎng)絡(luò)持續(xù)、健康發(fā)展、安全：對整個被監(jiān)控網(wǎng)絡(luò)能夠提供全面安全健康狀態(tài)檢測報告。報告內(nèi)容包含客戶機(jī)非安全訪問記錄、并發(fā)數(shù)異常記錄、帶寬控制效果、攻擊發(fā)生統(tǒng)計等等。

2 政務(wù)信息系統(tǒng)及網(wǎng)絡(luò)安全運(yùn)維建設(shè)

2.1 政務(wù)信息系統(tǒng)建設(shè)內(nèi)容應(yīng)涵蓋以下方面

建立覆蓋區(qū)縣政務(wù)信息系統(tǒng)所涉及的硬件服務(wù)器設(shè)備、存儲設(shè)備、核心網(wǎng)絡(luò)鏈路拓?fù)洹⒄?wù)業(yè)務(wù)系統(tǒng)結(jié)構(gòu)、數(shù)據(jù)庫并發(fā)數(shù)據(jù)鏈路流和中間件異常并發(fā)情況的綜合管理安全運(yùn)維平臺，包括集中授權(quán)管理中心、面向業(yè)務(wù)的精確帶寬流量控制系統(tǒng)和業(yè)務(wù)服務(wù)中心，系統(tǒng)應(yīng)具備完整業(yè)務(wù)功能和良好伸縮性。

實現(xiàn)集中授權(quán)管理中心，建立集中安全管控平臺：構(gòu)建全網(wǎng)集中的用戶賬號管理、認(rèn)證管理、授權(quán)管理、日志審計，為內(nèi)外網(wǎng)用戶提供統(tǒng)一的接入服務(wù)，加強(qiáng)內(nèi)控管理，并且為精確帶寬流量控制系統(tǒng)和業(yè)務(wù)服務(wù)管理中心提供管理控制依據(jù)。

面向業(yè)務(wù)的帶寬流量控制系統(tǒng)：構(gòu)建業(yè)務(wù)網(wǎng)絡(luò)分析、凈化、控制系統(tǒng)，進(jìn)行全面的流量監(jiān)視、凈化和控制，有效提高鏈路的帶寬利用率，保障重點(diǎn)業(yè)務(wù)的網(wǎng)絡(luò)質(zhì)量。

2.2 CA證書認(rèn)證體系設(shè)計

為切實做好政務(wù)信息系統(tǒng)安全認(rèn)證工作，提高各個區(qū)縣網(wǎng)絡(luò)安全保障水平和對應(yīng)用系統(tǒng)的防護(hù)能力，建立CA證書認(rèn)證體系。

遵循“建設(shè)政務(wù)信息系統(tǒng)統(tǒng)一的身份認(rèn)證體系，為構(gòu)建政務(wù)網(wǎng)絡(luò)信任體系奠定基礎(chǔ)，提高應(yīng)用系統(tǒng)安全保障和防護(hù)能力”的目標(biāo)，保證數(shù)據(jù)的完整性和保密性，確保用戶來源和行為的真實性和不可否認(rèn)性。

2.3 內(nèi)外網(wǎng)統(tǒng)一安全接入——P2P VSN虛擬安全工作域

建立P2P構(gòu)成的虛擬安全域，確保政務(wù)信息業(yè)務(wù)應(yīng)用環(huán)境的安全性。

通過集中安全管控平臺，用戶終端無論在企業(yè)網(wǎng)內(nèi)或是在互聯(lián)網(wǎng)中，只需要能夠在網(wǎng)絡(luò)層與安全網(wǎng)關(guān)之間可達(dá)、通過身份認(rèn)證后即可建立P2P VSN虛擬安全工作域，借由端到端的加密隧道與授權(quán)業(yè)務(wù)系統(tǒng)進(jìn)行通信。

2.4 防止社會工程學(xué)入侵滲透

在以上的技術(shù)應(yīng)用可以阻止90%以上的黑客攻擊，但是有關(guān)信息系統(tǒng)及其網(wǎng)絡(luò)安全的問題是矛與盾永無休止的話題，事實上，沒有任何技術(shù)能防范社會工程學(xué)攻擊。這就是安全方面做薄弱的環(huán)節(jié)：人！

政務(wù)信息所有工作人員都應(yīng)該進(jìn)行定期前言安全知識培訓(xùn)。

政務(wù)信息系統(tǒng)所有業(yè)務(wù)干系人都應(yīng)懂得基本的安全策略，策略是指導(dǎo)業(yè)務(wù)人員行為保護(hù)政務(wù)信息系統(tǒng)與敏感信息所必須的規(guī)則。

參考文獻(xiàn)

[1]張麗麗.新常態(tài)下推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”建設(shè)研究——以浙江省政務(wù)服務(wù)網(wǎng)為例[J].浙江學(xué)刊，2016（05）.

[2]馮巧玲.IPS在電子政務(wù)系統(tǒng)中的部署與實現(xiàn)[J].西安文理學(xué)院學(xué)報（自然科學(xué)版）， 2015（02）.

[3]劉邦凡，關(guān)夢穎.電子政務(wù)的信息安全立法[J].電子商務(wù)，2014（01）.

作者單位

武漢市東西湖區(qū)宣傳信息中心 湖北省武漢市 430040