縣級電子政務外網安全管理實現分析

摘? 要：電子政務外網是政府的一種全新管理方式，也是一種在電子政務外網下的綜合業務方式。通過電子政務外網參與公共服務，要求網絡系統必須是安全的、可靠的、防災的，可恢復的。在我國電子政務網絡建設的不斷發展過程中，依賴電子政務外網的業務越來越多，電子政務外網作為民生基礎網絡的重要組成部分，網絡安全的作用日益突顯。由于互聯網的開放性和公共性，網絡安全問題成為電子政務外網的核心問題。當前，處理好電子政務網絡安全問題顯得十分重要，因為網絡安全問題會導致整個電子政務系統不可用，并且會對電子政務系統的健康發展產生較大的影響。

關鍵詞：電子政務;政務外網;網絡安全;外網安全管理

中圖分類號：TP393.08? ? ? 文獻標識碼：A 文章編號：2096-4706（2019）20-0147-04

Abstract：E-government extranet is a new management mode of the government，and also a comprehensive business mode under the e-government extranet. To participate in public service through e-government extranet，it is necessary to require the network system to be safe，reliable，disaster-proof and recoverable. In the process of continuous development of e-government network construction in China，more and more businesses rely on e-government extranet. As an important part of the basic network of peoples livelihood，e-government extranet plays an increasingly prominent role in network security. Because of the openness and publicity of the internet，network security has become the core issue of e-government? extranet. Now，it is very important to do a good job of e-government network security，because network security will lead to the unavailability of the whole e-government system，and network security issues will also have a greater impact on the healthy development of e-government system.

Keywords：e-government;government extranet;network security;security management of extranet

0? 引? 言

隨著電子政務在政府部門的廣泛應用，黨政機關電子政務網絡應用安全的重要性日益突出。在全球化信息安全受到威脅的前提下，作為黨政機關的工作人員，應不斷提高網絡安全意識，加強電子政務網絡設施建設和安全管理，確保政府網絡安全高效運行，保障國家安全信息不被泄露，維護黨政機關的良好形象。當前電子政務外網面臨安全隱患的主要原因是傳統的網絡結構存在缺陷，部分網絡協議也存在安全漏洞。為了保障電子政務外網的安全健康運行，要在電子政務外網中合理規劃設計一個安全的網絡運行環境，從網絡層、安全需求及管理的角度出發，確保政務網數據傳輸安全、可靠、防災、可恢復，形成一個立體化的政務網絡安全防護體系。本文結合電子政務外網實施的案例，針對當前政務外網的安全需求及現狀、安全需求實現措施、安全管理體系保障等，探討縣級電子政務外網的安全實現分析。

1? 電子政務和電子政務網絡安全概念

電子政務是政府機構，以適應經濟全球化的信息網絡和應用現代信息技術的功能處理政府事務，政府管理、政府服務通過網絡實現有機結合，并通過流程的優化和創新，提高政府管理效率，降低管理成本，提高政府服務水平，以適應信息時代需要，建立現代政府工作機制。

電子政務網絡安全是指對信息網絡硬件、系統軟件和數據的保護，不被意外或惡意篡改，確保網絡信息的保密性、可用性，能使網絡服務應用不中斷。

我國的電子政務網分政務內網和政務外網（如圖1所示），政務外網從上至下分別為國家級電子政務外網、省級電子政務外網、市級電子政務外網、區縣級電子政務外網四級。我國的電子政務網每一級有不同的網絡要求，每一級建設模式也相對比較固定，但各級對設備性能、設備功能也有不相同的要求。

2? 當前縣級電子政務外網的現狀

2.1? 縣級電子政務外網需求現狀

2.1.1? 電子政務外網基礎網絡需求

我國電子政務外網的基礎網絡要求，主要表現在網絡的連通覆蓋率上。據中國電子政務論壇《電子政務藍皮書：中國電子政務發展報告（2014）》統計，目前我國的電子政務外網已經覆蓋所有的省、自治區、直轄市，90%以上的市和80%以上的縣。截至2014年初，各級政府網站普及率不斷提高，我國副省級以上、地市級、縣級地方政府網站覆蓋率分別達到100%、100%、80%[1]。顯然，縣級電子政務網絡的需求呈日益增長趨勢。

2.1.2? 電子政務外網業務互聯互訪需求

電子政務外網作為一個統一的網絡承載平臺，實現各級政府部門互相訪問，形成統一的虛擬網絡平臺，部門間各電子政務平臺采用虛擬專用網絡安全隔離。由于電子政務應用系統的發展，又要求對數據交換和資源共享采用虛擬專用網絡技術進行隔離。同時，還涉及到專有網絡的用戶接入公共資源、訪問互聯網等。所以，在電子政務外網環境中，存在非常復雜的網絡業務互聯互訪需求，急切需要一種有效的訪問控制手段來滿足電子政務外網業務互聯互訪的安全需求。

2.1.3? 電子政務外網網絡安全需求

當前，許多電子政務網絡在安全規劃上缺乏整體解決方案，而僅僅簡單地疊加網絡安全設備，這樣只是解決局部且特定的安全風險。例如，僅通過防火墻抵御外攻擊，入侵行為僅通過IDS檢測等。解決這些網絡安全問題大多是通過事后補救的方式，無法做到前期預防、實時檢測以及建立聯動的全網智能且主動防御體系。

據《中國互聯網發展報告（2014）》報道，我國面臨大量境外地址攻擊威脅，國家互聯網應急中心監測發現在2013年我國境內1090萬余臺計算機主機被境外服務器控制，其中源自美國的占30.2%[2]。

2.1.4? 電子政務外網安全綜合管理需求

電子政務外網承載的業務越來越多，則電子政務外網規模也越來越大，所以對網絡的管理功能在安全方面也提出更高的需求。包括對網絡資源的管理和調配，不再局限于對網絡設備的簡單管理，而且這種網絡管理，在網絡安全方面能夠更好地支撐各層業務系統運行正常。

2.2? 縣級電子政務外網安全的問題分析

本文以樂昌縣級電子政務外網為例，分析縣級電子政務外網安全的需求實現。樂昌縣級電子應用主要包括辦公自動化（OA）、市縣公文流轉、信息共享和交互平臺等，業務實現通過B/S、C/S模式開展，政務系統應用主要以B/S模式為主。確保政務網數據傳輸的安全性、保密性、可用性是電子政務外網安全保障的關鍵，同時對采用C/S模式應用的業務，也要確保政務網數據傳輸過程中身份認證、訪問授權、傳輸加密的安全規劃，保證了縣級電子政務網絡安全需求。

分析圖2可以看出，匯聚層采用的交換機量較大，網絡易受DoS攻擊，網絡性能和安全在骨干交換機被DoS攻擊后會受到嚴重影響，嚴重后果有可能是引起網絡癱瘓。加強對網絡交換機設備安全口令管理，及時升級固件版本漏洞，一定程度上能有效提高設備安全性能。要想取得更佳的安全防范效果，還需從網絡規劃部署上考慮相關的電子政務外網安全方面的規劃設計。

3? 縣級電子政務外網安全與安全管理實現分析

3.1? 基于核心交換機匯聚網絡安全實現

如圖3所示，在樂昌電子政務外網的核心層規劃具備路由功能的核心交換機兩臺，實現了設備的冗余互備，每臺交換機均有AC主備供電源模塊，保證設備穩定和可靠性。根據不同部門的業務劃分VLAN ID，能有效隔離網絡廣播風暴;使跨區域相同業務部門使用相同的業務VLAN ID，既能實現業務安全隔離，又能實現業務協同辦公。結合核心交換機的安全策略應用，能實現安全訪問更加細膩的訪問控制和流量控制。不同VLAN間的特殊業務訪問，可后續部署安全設備實現更高級的安全管理。

在應用層服務器配置1G網卡，實現1G帶寬接入網絡核心層，骨干使用1G光纖與各匯聚點接入，保證了業務通信的穩定性和可靠性。

在接入層，通過對政務系統應用的接入終端和互聯網的邏輯隔離，安全需求高的部門要求做好與互聯網的物理隔離。全面實現電子政務網絡的安全應用。

3.2? 基于VLAN網絡安全實現

基于VLAN網絡安全，可實現不同網絡平臺和網段之間的有效隔離，避免產生相互攻擊或非法訪問。在樂昌市電子政務外網規劃中，需滿足以下安全需求：（1）通過安全策略配置，做好訪問控制，限制對服務器的訪問權限及通訊協議方式，重點保護應用服務器和數據庫服務器，網絡來訪用戶只能按特定的訪問策略與服務器進行通信。（2）能識別鄉鎮用戶和局單位用戶的數據包，分別對鄉鎮、各局的用戶區分授權訪問網絡，可以實現部分部門通過樂昌市電子政務外網的網絡跨地區協同辦公。（3）能及時發現當前服務器、網絡設備受到來自不同VLAN的攻擊。通過對應用服務器、交換設備的流量監控，識別異常流量并阻斷，能有效防范全縣各級黨政機關內網各種服務器、應用系統、網絡傳輸設備被攻擊。

通過基于VLAN網絡實現安全（如圖4所示），可滿足縣級各局單位與各鎮、局派出單位內部網絡安全互聯的需求。通過基于VLAN劃分不同業務[3]，并結合路由策略配置、防火墻安全策略配置，對不同VLAN之間的訪問控制可以實現精細控制，進一步保護政務網絡免受攻擊。

3.3? 基于劃分安全域實現網絡安全

在電子政務網絡應用的可用性的基礎上，劃分安全網域，同時保障網絡中各種服務器應用的安全。采用安全區、非安全區和非軍事化區（DMZ）結構分段式網絡。

目前，樂昌市電子政務系統采用的是“瀏覽器/Web服務器/數據庫服務器”的系統架構。基于劃分安全域實現網絡安全，我們把用戶界面層、服務器層和數據庫應用層分別規劃放置在不同的安全域里，以實現網絡安全。重要數據存儲在數據庫層;臨時數據則存放在用戶界面層及應用服務器層。安全策略拒絕用戶對數據庫層中的數據庫服務器直接訪問;僅允許用戶采用普通的瀏覽器或客戶端對應用服務器層訪問，通過用戶界面層訪問應用服務器，應用服務器再訪問后臺數據庫。基于劃分安全域實現網絡安全的應用，運用非軍事化區結構的電子政務網絡拓撲有利于提高網絡安全性。

如圖5所示，我們基于劃分安全域實現網絡安全，可以采用防火墻來實現這種域安全。首先在防火墻上劃分三個不同區域，分別為外網（非安全區）、內網（安全區）、非軍事化區。非軍事化區供外部用戶訪問，但外部用戶不能訪問內網。內網放置存放各種重要的數據的服務器，這種服務器于屬數據庫層，外網不允許直接訪問。非軍事化區放置Web應用服務器，互聯網用戶使用如IE瀏覽器可以訪問Web應用服務器;放置在內網的數據庫服務器，則僅供非軍事化區的應用服務器訪問。

同時，把內部應用服務器、數據庫服務器部署在不同的安全域內，再用虛擬網方法劃分成不同的子網，子網對應外網、內網用戶，確保只有內網用戶能訪問非安全區、安全區、非軍事化區網絡，但不能直接去訪問數據庫服務器網絡。外網用戶，包括縣級黨政機關及各鎮派出單位網絡以及移動辦公的用戶，他們與樂昌市電子政務外網的連接都必須通過防火墻，且只能訪問非軍事化區網絡應用。

3.4? 基于運用網絡安全管理系統，提高網絡安全管理效率

隨著電子政務外網規模的擴大，網絡安全管理和網絡設備故障排除難度加大，及時發現和排除網絡故障，做到對整個電子政外網設備的全局管理是至關重要的。采用優秀的網絡安全管理系統，能夠圖形化地展示當前網絡拓撲和運行狀態，分別在鏈路層、網絡層進行全程監控，進一步有效提高網絡管理人員工作效率和網絡資源利用率。同時，要考慮網絡設備選型盡可能是同一品牌，減少兼容問題，做到無縫連接，使網絡安全管理系統最大程度地發揮效率。充分利用管理系統快速高效的特點，實時評估網絡安全動態趨勢，對網絡安全事故的發生提早預警，降低因為網絡安全引起的電子政務系統運行風險。

在樂昌市電子政務外網使用的路由、交換設備，都支持簡單網絡管理協議（SNMP），網絡安全管理系統也可使用SNMP協議來監控設備。網絡設備受到攻擊時，網絡安全管理系統會實時警報，運用網絡安全管理系統也是防范樂昌市電子政務外網攻擊的一種辦法。

3.5? 基于電子政務網絡安全管理體系

實現電子政務網絡安全管理，除了依靠上述的技術體系，還需要從組織體系、管理體系兩方面保證，如圖6所示。

安全管理組織保障，需要安全組織體系護航。實現電子政務外網安全管理的安全組織體系包括三個層次，從上到下依次為決策組織、日常管理機構、執行維護單元。國家層面的政策法規和單位內部的安全管理制度，保障工作由決策組織和日常管理機構執行，并行使對內部人員進行信息安全培訓教育、安全技能指導、安全行為監督、安全績效考核等職責。

管理體系，是實現電子政務外網的安全管理的法律保障。運用法律法規、網絡安全制度對網絡進行安全管理，從制度上保障了電子政務外網的安全。

4? 結? 論

隨著電子政務網絡安全技術的發展，電子政務外網建設在規劃階段、設計階段、維護階段、管理階段都要全面考慮網絡的安全。需要從網絡協議層次、各組網的網絡單元的網絡安全風險去分析，采用相應的網絡安全技術，以實現電子政務外網所需要的網絡安全服務，這樣使不同的網絡安全技術能互相補充、互相完善，全方位保障電子政務外網的網絡的安全。

參考文獻：

[1] 洪毅，杜平.電子政務藍皮書：中國電子政務發展報告（2014） [M].北京：社會科學文獻出版社，2014.

[2] 中國互聯網協會.中國互聯網發展報告（2014） [R/OL].[2019-07-08].http：//www.cac.gov.cn/files/pdf/ISC-zghl wfzbg2014jingjian.pdf.

[3] 周瑾怡.基于Vlan及VRRP技術在企業網絡中的應用實踐 [J].網絡安全技術與應用，2016（3）：104-105.

作者簡介：唐清發（1978.03-），男，漢族，廣東樂昌人，樂昌市政務服務數據管理局黨組成員，樂昌市信息中心高級工程師，網絡規劃設計師，信息系統項目管理師，本科，研究方向：電子政務與信息化。