电子政务等级保护安全保障体系构建
2020-06-22曾俊
摘要:随着5G网络通信技术的发展,万物互联逐步形成,网络攻击行为越来越频繁和多样化,构建符合等级保护2.0技术要求、主动防御网络攻击行为的电子政务安全保障体系,尤为重要。
关键词:电子政务;等级保护;安全保障体系;区域边界安全
中图分类号:TTP309 文献标识码:A 文章编号:1007-9416(2020)04-0000-00
随着5G网络通信技术的发展,万物互联正逐步形成,每个被接入网络的点都有可能被黑客利用,网络攻击的行为越来越频繁,攻击方式越来越多样化;政府大力推进“一网办”,电子政务网作为“一网办”的承载体,安全保障体系尤为重要。本文以市级电子政务网为例,结合实际工作,阐述如何构建具有主动防御功能的安全保障体系。
1电子政务主动防御体系
国家实施等级保护制度,电子政务发展,要积极落实等级保护制度,加强安全等级保护建设,提升电子平台工作安全性[1],从被动防御转变为主动防御,构建一个中心、三重防护的安全保障体系,如图1所示。
从以下几个方面落实:
(1)安全计算环境方面。对政务云平台下的全部操作系统,关闭不需要的服务(如打印机、共享服务等),禁用135、445等不安全的高危端口。禁用guest账户,建立安全审计账号;并要求系统账户密码复杂度不低于8位字符,且定期更换密码;安装杀毒软件,定级升级病毒库;对操作系统、中间件、数据库等定期进行漏洞扫描,定期升级系统补丁。
(2)安全通信网络方面。根据单位性质和网络用户规模,将电子政务网络划分10、192、172三个内网地址段,并分别配以100MB、60MB和30MB的带宽,满足高峰期的业务需求。
网络间数据传输均通过加密技术,各安全设备采用SSH传输协议远程管理,防止信息在网络传输中被窃听。
(3)安全区域边界。各区县接入到电子政务云平台前,应在边界防火墙中设置源地址、目的地址、源端口、目的端口,以允许或拒绝非法数据包的进出,关闭不用的端口,保障边界接入安全。登陆防火墙,选择内容过滤,选择http协议,FTP协议、https协议等。
启动入侵防御系统的网络攻击行为识别和检测功能,有效防止黑客攻击、蠕虫、网络病毒、后门木马、D.O.S攻击等恶意流量。登陆入侵防御系统,选择策略配置>安全设置>入侵防御,配置相关攻击行为事件。
(4)安全管理中心。通过访问VPN进入内部网络,再通过堡垒机进入各操作系统,记录每个接入日志,且日志保留6个月以上,对于异常接入行为、服务器异常状况,系统自动触发短信报警。
在浏览器中输入VPN访问地址,输入账号密码后登陆,登陆成功后,再输入堡垒机的访问地址,输入账号密码,进入堡垒机管理界面,在堡垒机内,根据用户权限,呈现被管理的主机,选择主机,进入操作系统界面,输入賬号密码登录操作系统。
2电子政务安全等级确定
按照《GA/T 1389-2017 信息安全技术网络安全等级保护定级指南》,从业务信息安全和系统服务安全两个方面对电子政务网进行定级。
电子政务网承载了政府办公业务以及公众服务业务,业务安全级别较高;一旦业务数据遭受攻击,将影响政府办公、公众办理业务,更严重者,可能导致政府决策信息泄露或数篡改,影响社会秩序和公共利益,不影响国家安全。
在系统安全服务层面,电子政务保障了各业务系统正常被访问,数据正常传输,安全级别较高;一旦电子政务遭受攻击,导致网络中断,影响社会秩序和公共利益,不影响国家安全。
综合业务信息安全和系统服务安全两个方面的认识,根据定级指南,电子政务定级为三级。
3电子政务等级保护安全总体设计
针对电子政务按照不同的区域以及行业进行分域保护,充分考虑到电子政务发展中的不同类别、阶段以及等级等,将其划分为相应的安全区域进行管理[2]。
电子政务等级保护安全总体设计,遵循等级保护2.0技术标准,从技术和管理两个方面构建,技术方面包括安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面;管理方面包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面。由此构建电子政务的安全保障机制[3]。
4电子政务等级保护安全保障体系构建
构建电子政务的安全保障体系,根据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》,形成一个中心三重防护,建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。
4.1建立电子政府分域保护框架
按照等级保护三级技术要求,网络架构应划分不同的网络区域,并按照方便管理和控制的原则为各网络分配地址,且重要网络区域与其他网络区域之间应采用可靠的技术手段隔离。由此将安全保障机制划分为5域15区机制[4]。5域包括基础设施域、通信网络域、区域边界域、计算环境域和安全管理域;15区包括非涉密机房区、网络边界区、核心数据区、托管服务区、业务系统区、业务测试区、涉密机房区、电子政务内网区、电子政务外网区、终端边界区、资源共享交换区、办公区、安全管理区、安全服务区、安全运维区。
4.2建立主动防御的保障体系
按照电子政务网的定级标准以及《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》技术要求,从基础设施安全、安全区域边界、安全通信网络和安全计算环境等几个方面构建主动防御的保障体系。
4.2.1加强基础设施安全
基础设施安全主要包括机房访问控制、机房环境、设备与介质管理等。机房访问控制中对机房的外来人员制定访问条件,由专人对外来访问人员进行审批,为其设置方位授权目标。按照GB50174-2008中的相应要求设置机房中的墙壁、装修方式、门、天花板等,并在机房中安装配置UPS、过电压防护设备、并行电路、供电线路上配置稳压器等。在机房中安装火灾自动消防系统以及精密空调。设备与介质管理过程中,为系统安装防盗报警系统、监控系统,将一些较为敏感的安全业务信息安装在较为安全的区域内。并为机房管理建立环境监控制度以及出入管理制度[5]。
4.2.2加强区域边界安全
电子政务网分内网和外网,加强外网与内网之间的隔离;在外网与内网之间加强不同安全域的安全边界设置。加强边界设置的完整性,在电子政务使用过程中阻断非法网络接入行为、非法外联行为的进攻,构成可信接入网络。由终端网络准入、边界网络接入构成网络可信接入,由移动客户端、PC 客户端共同构成终端网络准入,为系统运行建立认证、安全隧道、访问权限控制等多种机制。
建立有效的边界入侵防范机制,在电子政务系统运行内部建立多手段检测方式,使得系统运行中能够抵御外部多项网络的入侵与攻击。并对此能够及时识别并建立相应的报警机制。
4.2.3构建安全通信网络
保证通信的完整性和保密性。部署VPN系统保证数据传输的完整性和保密性。利用安全隧道、认证、访问权限控制、分域防控等安全机制,实现政务网络互联安全、移动办公安全、重点区域的边界防护安全。安装部署网络堡垒机对网络设备运维人员进行 USBkey+ 密码进行身份鉴别,对网络设备管理员登录地址进行限制,加密会话,并且记录及审计操作日志,以便进行责任认定与事件跟踪。
4.2.4加强计算环境安全
统一身份管理与授權管理系统。统一身份管理与授权管理系统作为安全管理中心的一部分,部署于安全管理域。统一身份认证与授权管理系统完成用户统一身份认证、授权管理等功能。身份管理和授权管理是访问控制的前提,身份管理对用户的身份进行标识与鉴别;授权管理对用户访问资源的权限进行标识与管理。通过采用统一身份认证、统一授权管理和访问控制等安全机制,结合应用系统的工作流访问控制,解决了政务办公系统的信息传输安全、身份鉴别、系统使用权限控制与信息访问权限控制等安全问题。
5结语
网络安全是电子政务建设过程中首先考虑的重要因素之一,在运行过程中严格践行一个中心、三重防护的安全保障体系,建立电子政府分域保护框架,建立安全技术体系,加强基础设置安全,加强区域边界安全,加强计算环境安全,构建主动防御的安全保障体系。
参考文献
[1]丁震.为电子政务护航 建立安全管理体系——国家计委完成等级保护试点[J].信息网络安全,2003(5):9.
[2]宋丽丽.基于SSE-CMM的重庆市电子政务安全风险评估与信息安全保障体系的构建与实现[D].重庆大学,2004.
[3]王靖.构建符合国家安全标准要求的市级金保工程安全体系[J].中国新通信,2018,20(7):14-149.
[4]黄晓波,尚艳伟,林细君.基于等级保护设计要求下的移动业务系统安全防御体系[J].中国信息化,2018(4):78-79.
[5]李兆君,张建,宋宸.地铁票务系统信息安全等级保护建设方案探讨[J].设备管理与维修,2019(15):105-107.
收稿日期:2020-02-22
作者简介:曾俊(1979—),男,安徽六安人,本科,高级工程师,研究方向:电子政务。
Construction of Security Protection System for E-government Level Protection
ZENG Jun
(Lu'an?data?resources?administration,Lu'an Anhui 237000)
Abstract: With the development of 5G network communication technology, the Internet of Everything is gradually formed, and network attack behaviors are becoming more and more frequent and diversified. It is particularly important to build an e-government security assurance system that meets the technical requirements of grade protection 2.0 and actively defends against network attack behaviors.
Keywords: e-government; level protection; security guarantee system; regional border security