◆姜 琪 李亚龙 张 洁 马 犇

新形势下的电子政务网络安全保障体系蓝图设计

◆姜 琪 李亚龙 张 洁 马 犇

（安徽地震局信息中心安徽 230031）

本文以保护电子政务行业业务系统为核心，从网络安全现状出发，结合网络安全法、电子政务信息安全等级保护、关键基础设施保护条例等法规制度和行业规范，开展网络安全保障顶层设计和蓝图规划，以安全策略为指引、以管理规范为指导、以技术措施手段为落实、以组织结构为保障，构建自上而下的网络安全保障体系，提高电子政务整体网络安全管理水平。

电子政务；网络安全；保障体系；蓝图设计

0 引言

随着政务网络的不断发展完善，其承载业务逐渐增多。面对日渐复杂的网络环境，电子政务网络面临的网络攻击、计算机病毒、信息泄露等安全威胁和风险也呈上升趋势。为推动电子政务网络信息安全建设和安全管理工作，亟需加强电子政务网络安全保障体系建设，提高对网络攻击、病毒入侵、网络失窃等攻击的防范能力，防止有害信息传播，保障电子政务网络安全。

1 网络安全需求

1.1 威胁分析

基于互联网的电子政务面临的信息安全威胁主要有：

( 1 ) 身份假冒、口令窃取威胁

身份鉴别是网络安全的基本要求，电子政务网络安全存在身份假冒的风险。一旦政务办公人员的身份被假冒，不法分子可能会发布虚假信息，影响政务办公系统的正常使用。

( 2 ) 信息窃取、篡改威胁

电子政务系统存在大量保密信息，如政府各种数据、文件、档案、社会经济数据等，这些数据在传输过程中存在被窃取、监听/泄露的风险。

( 3 ) 恶意攻击

电子政务系统中的民生、公众服务信息发布系统，允许从互联网上直接访问。

( 4 ) 病毒传播和扩散威胁

互联网上存在大量的资源和服务，人们在获取资源和享受服务的同时，也极易将病毒带来。

1.2 需求分析

（1）外部合规需求：依据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例(征求意见稿)》、《网络安全等级保护2.0(征求意见稿)》、《电子政务信息安全等级保护实施指南》、《基于互联网电子政务信息安全实施指南》等，分析对照电子政务网络安全现状，得出外部合规需求包括：实现安全接入与安全互联，在互联网上构建安全的电子政务网络；实现强的安全认证、授权管理与访问控制机制，确保电子政务系统的安全访问；采取分类分域防护措施，加大综合防范和安全管理力度，进行不同类别信息和系统的有效保护。

（2）内部安全需求：参照《“十三五”国家政务信息化工程建设规划》，结合相关法律法规要求，对照电子政务网络安全现状，并结合近年来电子政务工作暴露的安全事件，得出内部需求包括：通过电子政务网络安全体系建设，确保电子政务网资源不能被非法访问；加强应用数据管控，从数据泄露、内容分析、数据审计等方面实现数据保护，确保不同安全域之间的安全数据交换；建设电子政务网统一的安全管理体系，确保政务外网与互联网的安全互连。

2 网络安全保障体系蓝图设计

2.1 战略目标分析

战略是指依据国家法律法规和行业相关要求，根据中办发[2003]27号文件中“坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全”的要求。“积极防御、综合防范”是指导电子政务信息安全保障的总体战略方针。

电子政务系统是复杂的大系统，通过建立健全安全制度及标准体系、加强网络安全管控、完善纵深防御体系、探索监测预警分析、强化应急响应处置等重点工作任务和保护措施，有效提高电子政务网络安全整体安全能力。

举措是以基础设施及业务为保护对象，以风险管理为导向，完善顶层结构设计，建立健全信息安全管理责任制，建设和完善信息安全监控体系，实现整体安全战略目标。实现要点需要围绕基础设施及业务，完善网络安全顶层结构设计、完善安全治理及优化管理流程和完善技术支撑与资源保障机制。

2.2 体系蓝图框架

依据网络安全法、等级保护、行业相关要求和业内最佳实践，按照中办发[2003]27号文件“积极防御、综合防范”的方针，借助国内外网络安全实践的成功经验，从电子政务网络安全现状和需求分析结论出发，描述符合电子政务未来发展的网络安全蓝图框架，如图1。

电子政务网络安全蓝图是落实十三五期间网络安全工作顶层设计框架；由一套标准，两大体系，四项运营能力组成。其中，一套管理标准是以保护电子政务系统为核心构建的一套管理标准，以安全策略为指引、管理规范为指导、技术手段为落实、以组织架构为保障，构建自上而下的安全管理标准；两大支撑体系是支撑电子政务网络安全发展蓝图有序推进和有效落地的一体化保障措施，两大支撑体系由安全管理、安全技术两个部分组成，为电子政务网络安全建设、管理和应用提供全方位保障；四项安全能力是保障安全管理有效落实，技术保障持续优化的一种运作机制，通过体系化的管理规范和技术措施，形成由主动防御、监控分析、态势预警及应急响应构成的闭环安全能力；通过构建监控分析能力实现“可视”，主动防御能力实现“可管”，应急响应能力实现“可控”，态势预警能力实现“可预测”的安全目标。

图1 电子政务网络安全蓝图框架

2.3 一套管理标准

以保护电子政务系统为核心，构建一套管理标准，以安全策略为指引、管理规范为指导、技术手段为落实、组织架构为保障，构建自上而下的安全管理标准：能够指导网络安全工作的开展，使其符合国际、国内的有关安全政策、标准和规范要求；建立安全管理机制，有效地保障各项安全责任的落实，最大限度调动各力量，共同维护网络安全环境。明确安全需求和目标，制定整体网络安全建设规划，统一安全框架、统一安全标准、统一安全措施和统一监督管理。

2.4 两大支撑体系

两大支撑体系是支撑电子政务网络安全发展蓝图有序推进和有效落地的一体化保障措施，两大支撑体系由网络安全管理、网络安全技术两个部分组成，为电子政务网络安全建设、管理和应用提供全方位保障。

( 1 ) 网络安全管理体系：安全管理体系满足国家法律、法规及相关政策要求和相关标准，充分考虑安全管理现状、安全管理措施落地及考核评价机制，按照方针策略、安全组织、安全运营三个层面进行架构设计。

（2）网络安全技术体系：网络安全技术体系设计充分利用各种成熟网络安全检测与防护手段，结合电子政务信息安全等级保护要求，从身份鉴别、访问控制、内容安全、监控审计和备份恢复节点的安全防护要求出发，设计贯穿物理安全、网络安全、系统安全、应用安全、终端安全、数据安全六个层面的安全防护，建立一个具有“六横五纵”的纵深防御体系。

2.5 四项运营能力

主动防御能力是通过漏洞管理、配置管理和风险评估等，主动发现系统脆弱性并进行修复，结合风险评估机制，可以防患于未然；监控分析能力是指通过网络与信息安全事件监测分析，实现全网安全状态可视化，并对安全日志、安全事件等进行综合分析与审计，识别和定位内外部攻击和违规行为；态势预警能力是指通过建设网络安全威胁情报系统、网络安全监测预警及网络安全态势感知系统等实时收集威胁情报，并运用大数据技术进行分析和展现，为全网安全运营监管和应急处置提供支持；应急响应能力是指应通过提升应急预案体系的完整性、可操作性以及开展应急演练，提高应急处置效率。

3 结束语

本文完成了现状分析、蓝图设计、基础架构设计三大阶段性工作，明确了电子政务网络安全建设的总体目标，形成了符合电子政务网络安全现状和国家行业要求的电子政务网络安全蓝图框架。结合网络安全建设过程中可能遇到的各类安全威胁，对网络安全建设具有长久的、宏观的战略指导意义，将作为电子政务未来网络安全工作的行动纲领，用以指导电子政务网络安全的建设、管理与应用。

[1]中华人民共和国网络安全法.

[2]国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号).

[3]国家互联网信息办公室关于《关键信息基础设施安全保护条例（征求意见稿）》.

[4]GB/T 22239-2008.信息安全技术信息体系安全等级保护基本要求[S].

[5]电子政务信息安全等级保护实施指南.