“互聯網+電子政務”網絡安全保障技術研究

周萍 章偉

摘? 要： 在發展新型“互聯網+電子政務”的同時，做好電子政務服務的網絡安全防護工作顯得尤為重要，對推進國家信息化建設和信息安全保障建設也有著舉足輕重的作用。為了應對新興信息技術帶來的安全威脅，本文從電子政務網絡安全保障技術出發，分析了傳統電子政務在安全上存在的問題，深入探討了“互聯網+”背景下新型電子政務系統的安全保障技術，以提高電子政務服務的安全防護和應對技術，保障電子政務信息安全。

關鍵詞： 電子政務;互聯網+;網絡安全;安全保障技術;邊界控制

中圖分類號： TP309 ???文獻標識碼： A??? DOI：10.3969/j.issn.1003-6970.2020.07.028

本文著錄格式：周萍，章偉.“互聯網+電子政務”網絡安全保障技術研究[J]. 軟件，2020，41（07）：140-142+163

Research on Network Security and Safety Technology of Internet Plus E-government

ZHOU Ping， ZHANG Wei

（Automobile and Information Engineering School， Urban Vocational College of Sichuan， Chengdu， Sichuan 610101， China）

【Abstract】： Duing development of new Internet plus e-government， it is particularly important to protect network security of e-government service， which plays decisive role in promoting construction of national informatization and information security. To deal with security threats caused by new information technology， the paper analyzes problems of traditional e-government started from its security technology， and deeply discusses security protection technology of new e-government system under background of “Internet plus”， to improve security protection and response technology of e-government service and ensure information security of e-government.

【Key words】： E-government; Internet plus; Network security; Security technology; Border control

0? 引言

電子政務是服務于中央和各級政府機關及企事業單位的政務平臺，是我國電子政務服務的重要公共基礎設施。它致力于為政務部門業務系統提供資源、網絡、安全等支撐服務，為公眾提供政務信息服務。其業務類型包括各級政府部門內部業務類（如電子監察、信息報送、協同辦公等）、公共服務類（如政策公告、行政審批、報稅交稅、社保查詢等）以及基礎服務類（如視頻會議、電子郵件服務、數據備份等）。整個電子政務服務體系包括國家、省級、地市級、區縣級四級網絡平臺。目前，國家電子政務服務體系已經基本建成，承載了100多個全國性業務系統和6000多項地方業務系統^[1]。電子政務服務網絡已成為我國覆蓋最廣、業務承載類型最多最豐富的公共政務服務網絡平臺^[2]。

在發展電子政務服務的同時，應當同等重視電子政務的網絡安全問題。“第十五屆中國政府網站績效評估結果”顯示：電子政務服務網站普遍存在著各種安全漏洞，網站被惡意篡改和資料盜取事件頻發，電子政務安全防御能力急需加強^[3]。問題主要集中在：

（1）網站被篡改。各級政府部門網站作為“政府形象”和政策展示平臺，一旦被別有用心的人篡改，用以傳播謠言或加入非法內容，輕則引起社會混亂，重則造成政治事件，進而影響國家和政府的公信力，給社會造成極大的負面影響。

（2）為公眾提供服務的在線業務被攻擊。電子政務服務體系建設的主要內容之一就是向企業、公眾提供在線政府服務的窗口和網站，這些服務一旦被攻擊，必然導致服務異常或終止，對社會造成影響，對國家造成重大損失。同時，這些網站中儲存有大量企業和公眾的商業秘密和私密信息，一旦被泄露，必然會造成企業和個人的利益損失。

（3）政府部門的辦公網絡被入侵，導致政府部門正常工作業務無法進行。因此，如何防范黑客入侵也是電子政務服務網絡防護的重要內容。

在“互聯網+電子政務”戰略提出后，特別是《網絡安全法》頒布后，“互聯網+電子政務”網絡安全問題越來越受到關注。要做電子政務網站真正意義上的安全，就需要建立全方位的安全防護保障體系，包括發展自主信息產業和核心技術，在技術上建立完整的網絡保障體系，建立可靠的信息安全管理制度等。

本文從電子政務網絡安全保障技術出發，分析了傳統電子政務系統在安全上存在的問題，深入探討了“互聯網+”背景下新型電子政務系統的安全保障實現技術，以提高電子政務系統的安全防護及應對技術，保障電子政務信息安全。

1 ?傳統電子政務安全保障技術

目前大部分電子政務網絡安全技術主要體現在防火墻、病毒與木馬檢測、入侵檢測與入侵防御、對不同安全級別區域實施不同的安全策略、VPN等網絡安全技術^[4-5]。這些安全手段只能在網絡層（OSI模型第三層）防范和封堵非授權訪問和黑客入侵，以防止來自網絡外部的攻擊，而對合法用戶的訪問沒有進行防范，加上操作系統本身的技術缺陷會導致應用系統的各種漏洞和錯誤層出不窮。封堵法捕捉病毒攻擊和黑客入侵的特點和資料，導致獲取信息滯后，不能提前預測未來的攻擊態勢和入侵特征。隨著黑客入侵手段越來越多，安全技術人員只能把特征數據庫和病毒庫越做越大、防火墻越砌越高、入侵防御技術越做越復雜，從而使安全保障與網絡維護更加復雜，CPU處理時間和內存資源開銷更長更大，最終使安全防護效率大大降低。

2 ?新型電子政務安全保障技術

我國電子政務網是由內網和外網兩部分組成的，內網處理國家秘密事務，是涉密網，外網是各級政府部門的業務網，面向社會提供政務服務和不在內網運行的業務，是非涉密網^[6]。內網與外網在物理上隔離，外網與互聯網在邏輯上隔離。無論政務內網或外網，它的應用范圍和邊界都是明確的，使用者都是確定的，操作流程也是固定的。在電子政務安全保障體系中，應該不止防范外部用戶，更應以防范內部人員或內外勾結為主。新型“互聯網+電子政務”安全保障體系可歸納為：控制使用、防內外、高可信、強機制。

2.1 ?基于邊界控制的安全保障框架

采用基于邊界控制的安全保障框架后，用戶只能按照被授與的訪問權限和訪問控制規則來訪問電子政務網，只要訪問控制規則設置合理，整個電子政務系統的資源訪問過程就相對安全，如此構成了安全可信的應用環境。安全共享服務邊界采用安全邊界路由器、安全邊界三層交換機或防火墻等安全邊界設備，具有用戶身份認證、訪問操作安全審計等功能，將非法訪問者（如非法訪問的非可信終端）與資源服務器隔離，從而節省帶寬，減輕服務器工作量，防止拒絕服務攻擊DoS和分布式拒絕服務攻擊DDoS。網絡通信采用IPSec協議實現網絡的全程安全通信，IPSec在操作系統內工作，可確保數據傳輸的完整性、保密性和一致性。總之，全程安全的網絡通信過程、可信的應用操作平臺、安全的共享資源邊界保護，構成了訪問及工作流程相對固定的信息安全防護框架。

基于邊界控制的安全保障框架從技術上可分為以下5個部分：

（1）應用環境安全：在終端設備上應用密碼加密、訪問控制、身份認證、安全審計等技術，組成可信應用環境。

（2）應用區域邊界安全：在應用區域邊界上部署保護措施，控制對電子政務網絡的訪問，實現局域網與互聯網外網之間的隔離和安全訪問。采用防火墻或部署在路由器、三層交換機上的安全技術（如訪問控制技術ACL等）過濾流量，實現對資源服務器的可信連接。

（3）網絡和通信傳輸安全：確保通信的機密性、完整性和一致性。采用加密/解密、數字簽名、消息驗證碼、完整性校驗等技術，實現可信連接與消息安全傳輸。

（4）認證中心與安全管理中心：采用分級的認證中心和安全管理中心，提供身份認證、實時訪問控制、記賬等訪問安全服務。

（5）密鑰管理中心：提供公鑰密碼體制下的密鑰服務、公鑰證書和對稱密鑰體制下的密鑰管理。

對更重要的、對安全性要求更高的電子政務系統，可組成由公共區、專用區、保密區的不同安全區域和網絡通信、應用區域邊界、應用環境搭建的網絡安全保障框架。不同應用區域分別采用不同級別的安全保障措施后，區域之間采用安全隔離和信息交換設備進行更安全的相互連接和信息交換。

2.2 ?可信計算技術

可信計算技術可以從基礎結構上提高計算機及其它網絡設備的可信性。可信計算終端基于可信平臺模塊（TPM，Trusted Platform Module），以密碼技術為支持，以安全的操作系統為核心。可信計算平臺技術應用電子政務網絡，可以實現以下功能：確保數據處理、傳輸和存儲的完整性和機密性，確保用戶身份的唯一性、工作空間的可用性，確保密鑰使用和密鑰存儲的安全，確保硬件環境配置的完整性，確保操作系統、軟件服務與應用程序的完整性，確保系統具有免疫力，從根本上阻止黑客和病毒的攻擊^[7]。

2.3 ?面向電子政務的威脅情報感知技術

隨著各種網絡攻擊技術的不斷更新，高水平的入侵技術、多樣化的攻擊點、不斷提升的高效且有針對性的各種軟件攻擊工具，使網絡威脅的破壞力加大，威脅成本降低。威脅情報感知技術、威脅情報共享與分析技術的核心思想是，采用各種多樣化技術手段、通過多種渠道采集大規模異常數據碎片以及網絡攻擊信息，集中進行數據挖掘、提煉、合并、歸納，進一步形成相關威脅線索的集合，再借助機器智能學習、數據挖掘、相關事件關聯等技術，分析已發生的入侵威脅的特征或關鍵要素，對未來網絡威脅進行預先研判，在此基礎上預測潛在的網絡安全威脅，以便指導用戶制定安全策略，減少未來網絡威脅，提升系統的防御能力和安全性。同時，這些原始威脅情報可以通過整合、剖析，得到對未來防控網絡威脅的有用信息，比如攻擊特征、攻擊方法、網絡安全態勢研判、有效應對措施等，這些有用信息又可以作為威脅情報的一個組成部分，為其他信息安全技術人員提供借鑒。威脅情報感知? 這一新技術將廣泛應用于新型“互聯網+電子政務”網絡安全體系中，有效保證電子政務服務網絡的? 安全。

2.4 ?面向電子政務的動態防御技術

動態防御是指在被動或主動觸發條件下動態地選擇各種硬件設備及其相應軟件，使內部或外部入侵者觀察到的硬件和軟件工作狀態非常難以確定，因此很難或無法建立起基于漏洞的有效攻擊，以達成降低安全風險、提高系統整體安全性的目的^[8]。動態防御技術的思想來源于生物學中的“擬態生物”，即某種生物在形狀、顏色、動作上模擬另一種生物以捕食或逃避天敵攻擊。動態防御體系可以針對電子政務網絡在各種公共事務服務領域的應用層上基于病毒、木馬、后門等未知威脅，提供普適性的創新防御方法，既能為電子政務關鍵網絡基礎設施提供可重建的或部分重建的服務能力，也能提供一套一體化的獨立于傳統安全手段的內生安全系統，或者結合已有的入侵防御技術，獲得最佳防御效果。動態防御體系在技術上融合了多種入侵防御技術，比如：以多樣性、異構性改變目標系統的單一性和相似性;以隨機性、動態性改變目標系統的確定性、靜態性;以異構冗余多模機制判別和屏蔽未知缺陷和不明威脅;以高可靠性增強電子政務服務系統的彈性或可變性;以系統的不確定性屬性檢測或防御不確定性威脅。這些動態防御技術具有普適性，能夠集約化地以一體化系統的形式為電子政務網絡防御和解決已有或未來威脅^[9]。

3 ?結語

“互聯網+電子政務”服務體系將全面提升我國政府的政務服務能力，形成規范、統一、多級聯動的政府服務體系，極大地提高服務質量。為構建完善的網絡安全保障體系，確保我國“互聯網+電子政務”服務體系在日益復雜的網絡環境中發揮效用，電子政務網絡安全保障體系的建設一定要做好規劃，積極引進比如霧計算、基于邊界控制的安全保障技術、可信計算技術、威脅情報感知技術、動態防御技術、軟件定義網絡、安全態勢感知技術等前沿技術，確保電子政務安全保障體系的先進性和可擴展性。本文從網絡安全保障技術出發，分析了傳統電子政務在安全上存在的問題，深入探討了“互聯網+”背景下新型電子政務系統的安全保障技術^[10]。“互聯網+電子政務”網絡安全保障體系的建設還涉及到國家及政府部門一系列管理政策與措施的改革與創新，以及與新興信息安全技術的有機結合，仍需要在未來做出進一步的研究，并結合實踐進行改進和完善。

參考文獻

1. 楊茜晶. 互聯網+視域中區縣電子政務建設的困境及對策研究[D]. 湖南師范大學， 2019.
2. 陳玲玲. 宿州市“互聯網+政務服務”信息安全管理研究[D]. 安徽大學， 2019.
3. 張歡歡. “互聯網+”時代公共信息安全對策研究[D]. 河北科技大學， 2018.
4. 歐陽秋梅， 吳超. 大數據與傳統安全統計數據的比較及其應用展望[J]. 中國安全科學學報， 2016， 26（3）： 1-7.
5. 林龍成， 陳波， 郭向民. 傳統網絡安全防御面臨的新威脅：APT攻擊[J]. 信息安全與技術， 2013， 4（3）： 20-25.

1. 欒慶林， 盧輝斌. 自適應遺傳算法優化神經網絡的入侵檢測研究[J]. 計算機工程與設計， 2008， 29（12）： 3022-3025.
2. Datta A. Franklin J. Garg D. A logic of secure systems and its application to trusted computing[C]. 30th IEEE Symposium on Security and Privacy. Berkeley： IEEE， 2009： 221- 236.
3. 郭瑞. 深度動態防御應對APT攻擊[J]. 信息安全與技術， 2014， 9： 67-69.
4. Romeis C. Jaeger J. Dynamic protection security assessment， a technique for blackout prevention[C]. 2013 IEEE Grenoble Conference. Crenoble， France： IEEE， 2013： 1-6.
5. 馬立新， 金月光. 基于策略的網絡安全管理系統設計與實現[J]. 軟件， 2013， 34（06）： 25-26.