周萍 章伟

摘  要： 在发展新型“互联网+电子政务”的同时，做好电子政务服务的网络安全防护工作显得尤为重要，对推进国家信息化建设和信息安全保障建设也有着举足轻重的作用。为了应对新兴信息技术带来的安全威胁，本文从电子政务网络安全保障技术出发，分析了传统电子政务在安全上存在的问题，深入探讨了“互联网+”背景下新型电子政务系统的安全保障技术，以提高电子政务服务的安全防护和应对技术，保障电子政务信息安全。

关键词： 电子政务;互联网+;网络安全;安全保障技术;边界控制

中图分类号： TP309    文献标识码： A    DOI：10.3969/j.issn.1003-6970.2020.07.028

本文著录格式：周萍，章伟.“互联网+电子政务”网络安全保障技术研究[J]. 软件，2020，41（07）：140-142+163

Research on Network Security and Safety Technology of Internet Plus E-government

ZHOU Ping， ZHANG Wei

（Automobile and Information Engineering School， Urban Vocational College of Sichuan， Chengdu， Sichuan 610101， China）

【Abstract】： Duing development of new Internet plus e-government， it is particularly important to protect network security of e-government service， which plays decisive role in promoting construction of national informatization and information security. To deal with security threats caused by new information technology， the paper analyzes problems of traditional e-government started from its security technology， and deeply discusses security protection technology of new e-government system under background of “Internet plus”， to improve security protection and response technology of e-government service and ensure information security of e-government.

【Key words】： E-government; Internet plus; Network security; Security technology; Border control

0  引言

電子政务是服务于中央和各级政府机关及企事业单位的政务平台，是我国电子政务服务的重要公共基础设施。它致力于为政务部门业务系统提供资源、网络、安全等支撑服务，为公众提供政务信息服务。其业务类型包括各级政府部门内部业务类（如电子监察、信息报送、协同办公等）、公共服务类（如政策公告、行政审批、报税交税、社保查询等）以及基础服务类（如视频会议、电子邮件服务、数据备份等）。整个电子政务服务体系包括国家、省级、地市级、区县级四级网络平台。目前，国家电子政务服务体系已经基本建成，承载了100多个全国性业务系统和6000多项地方业务系统^[1]。电子政务服务网络已成为我国覆盖最广、业务承载类型最多最丰富的公共政务服务网络平台^[2]。

在发展电子政务服务的同时，应当同等重视电子政务的网络安全问题。“第十五届中国政府网站绩效评估结果”显示：电子政务服务网站普遍存在着各种安全漏洞，网站被恶意篡改和资料盗取事件频发，电子政务安全防御能力急需加强^[3]。问题主要集中在：

（1）网站被篡改。各级政府部门网站作为“政府形象”和政策展示平台，一旦被别有用心的人篡改，用以传播谣言或加入非法内容，轻则引起社会混乱，重则造成政治事件，进而影响国家和政府的公信力，给社会造成极大的负面影响。

（2）为公众提供服务的在线业务被攻击。电子政务服务体系建设的主要内容之一就是向企业、公众提供在线政府服务的窗口和网站，这些服务一旦被攻击，必然导致服务异常或终止，对社会造成影响，对国家造成重大损失。同时，这些网站中储存有大量企业和公众的商业秘密和私密信息，一旦被泄露，必然会造成企业和个人的利益损失。

（3）政府部门的办公网络被入侵，导致政府部门正常工作业务无法进行。因此，如何防范黑客入侵也是电子政务服务网络防护的重要内容。

在“互联网+电子政务”战略提出后，特别是《网络安全法》颁布后，“互联网+电子政务”网络安全问题越来越受到关注。要做电子政务网站真正意义上的安全，就需要建立全方位的安全防护保障体系，包括发展自主信息产业和核心技术，在技术上建立完整的网络保障体系，建立可靠的信息安全管理制度等。

本文从电子政务网络安全保障技术出发，分析了传统电子政务系统在安全上存在的问题，深入探讨了“互联网+”背景下新型电子政务系统的安全保障实现技术，以提高电子政务系统的安全防护及应对技术，保障电子政务信息安全。

1  传统电子政务安全保障技术

目前大部分电子政务网络安全技术主要体现在防火墙、病毒与木马检测、入侵检测与入侵防御、对不同安全级别区域实施不同的安全策略、VPN等网络安全技术^[4-5]。这些安全手段只能在网络层（OSI模型第三层）防范和封堵非授权访问和黑客入侵，以防止来自网络外部的攻击，而对合法用户的访问没有进行防范，加上操作系统本身的技术缺陷会导致应用系统的各种漏洞和错误层出不穷。封堵法捕捉病毒攻击和黑客入侵的特点和资料，导致获取信息滞后，不能提前预测未来的攻击态势和入侵特征。随着黑客入侵手段越来越多，安全技术人员只能把特征数据库和病毒库越做越大、防火墙越砌越高、入侵防御技术越做越复杂，从而使安全保障与网络维护更加复杂，CPU处理时间和内存资源开销更长更大，最终使安全防护效率大大降低。

2  新型电子政务安全保障技术

我国电子政务网是由内网和外网两部分组成的，内网处理国家秘密事务，是涉密网，外网是各级政府部门的业务网，面向社会提供政务服务和不在内网运行的业务，是非涉密网^[6]。内网与外网在物理上隔离，外网与互联网在逻辑上隔离。无论政务内网或外网，它的应用范围和边界都是明确的，使用者都是确定的，操作流程也是固定的。在电子政务安全保障体系中，应该不止防范外部用户，更应以防范内部人员或内外勾结为主。新型“互联网+电子政务”安全保障体系可归纳为：控制使用、防内外、高可信、强机制。

2.1  基于边界控制的安全保障框架

采用基于边界控制的安全保障框架后，用户只能按照被授与的访问权限和访问控制规则来访问电子政务网，只要访问控制规则设置合理，整个电子政务系统的资源访问过程就相对安全，如此构成了安全可信的应用环境。安全共享服务边界采用安全边界路由器、安全边界三层交换机或防火墙等安全边界设备，具有用户身份认证、访问操作安全审计等功能，将非法访问者（如非法访问的非可信终端）与资源服务器隔离，从而节省带宽，减轻服务器工作量，防止拒绝服务攻击DoS和分布式拒绝服务攻击DDoS。网络通信采用IPSec协议实现网络的全程安全通信，IPSec在操作系统内工作，可确保数据传输的完整性、保密性和一致性。总之，全程安全的网络通信过程、可信的应用操作平台、安全的共享资源边界保护，构成了访问及工作流程相对固定的信息安全防护框架。

基于边界控制的安全保障框架从技术上可分为以下5个部分：

（1）应用环境安全：在终端设备上应用密码加密、访问控制、身份认证、安全审计等技术，组成可信应用环境。

（2）应用区域边界安全：在应用区域边界上部署保护措施，控制对电子政务网络的访问，实现局域网与互联网外网之间的隔离和安全访问。采用防火墙或部署在路由器、三层交换机上的安全技术（如访问控制技术ACL等）过滤流量，实现对资源服务器的可信连接。

（3）网络和通信传输安全：确保通信的机密性、完整性和一致性。采用加密/解密、数字签名、消息验证码、完整性校验等技术，实现可信连接与消息安全传输。

（4）认证中心与安全管理中心：采用分级的认证中心和安全管理中心，提供身份认证、实时访问控制、记账等访问安全服务。

（5）密钥管理中心：提供公钥密码体制下的密钥服务、公钥证书和对称密钥体制下的密钥管理。

对更重要的、对安全性要求更高的电子政务系统，可组成由公共区、专用区、保密区的不同安全区域和网络通信、應用区域边界、应用环境搭建的网络安全保障框架。不同应用区域分别采用不同级别的安全保障措施后，区域之间采用安全隔离和信息交换设备进行更安全的相互连接和信息交换。

2.2  可信计算技术

可信计算技术可以从基础结构上提高计算机及其它网络设备的可信性。可信计算终端基于可信平台模块（TPM，Trusted Platform Module），以密码技术为支持，以安全的操作系统为核心。可信计算平台技术应用电子政务网络，可以实现以下功能：确保数据处理、传输和存储的完整性和机密性，确保用户身份的唯一性、工作空间的可用性，确保密钥使用和密钥存储的安全，确保硬件环境配置的完整性，确保操作系统、软件服务与应用程序的完整性，确保系统具有免疫力，从根本上阻止黑客和病毒的攻击^[7]。

2.3  面向电子政务的威胁情报感知技术

随着各种网络攻击技术的不断更新，高水平的入侵技术、多样化的攻击点、不断提升的高效且有针对性的各种软件攻击工具，使网络威胁的破坏力加大，威胁成本降低。威胁情报感知技术、威胁情报共享与分析技术的核心思想是，采用各种多样化技术手段、通过多种渠道采集大规模异常数据碎片以及网络攻击信息，集中进行数据挖掘、提炼、合并、归纳，进一步形成相关威胁线索的集合，再借助机器智能学习、数据挖掘、相关事件关联等技术，分析已发生的入侵威胁的特征或关键要素，对未来网络威胁进行预先研判，在此基础上预测潜在的网络安全威胁，以便指导用户制定安全策略，减少未来网络威胁，提升系统的防御能力和安全性。同时，这些原始威胁情报可以通过整合、剖析，得到对未来防控网络威胁的有用信息，比如攻击特征、攻击方法、网络安全态势研判、有效应对措施等，这些有用信息又可以作为威胁情报的一个组成部分，为其他信息安全技术人员提供借鉴。威胁情报感知  这一新技术将广泛应用于新型“互联网+电子政务”网络安全体系中，有效保证电子政务服务网络的  安全。

2.4  面向电子政务的动态防御技术

动态防御是指在被动或主动触发条件下动态地选择各种硬件设备及其相应软件，使内部或外部入侵者观察到的硬件和软件工作状态非常难以确定，因此很难或无法建立起基于漏洞的有效攻击，以达成降低安全风险、提高系统整体安全性的目的^[8]。动态防御技术的思想来源于生物学中的“拟态生物”，即某种生物在形状、颜色、动作上模拟另一种生物以捕食或逃避天敌攻击。动态防御体系可以针对电子政务网络在各种公共事务服务领域的应用层上基于病毒、木马、后门等未知威胁，提供普适性的创新防御方法，既能为电子政务关键网络基础设施提供可重建的或部分重建的服务能力，也能提供一套一体化的独立于传统安全手段的内生安全系统，或者结合已有的入侵防御技术，获得最佳防御效果。动态防御体系在技术上融合了多种入侵防御技术，比如：以多样性、异构性改变目标系统的单一性和相似性;以随机性、动态性改变目标系统的确定性、静态性;以异构冗余多模机制判别和屏蔽未知缺陷和不明威胁;以高可靠性增强电子政务服务系统的弹性或可变性;以系统的不确定性属性检测或防御不确定性威胁。这些动态防御技术具有普适性，能够集约化地以一体化系统的形式为电子政务网络防御和解决已有或未来威胁^[9]。

3  结语

“互联网+电子政务”服务体系将全面提升我国政府的政务服务能力，形成规范、统一、多级联动的政府服务体系，极大地提高服务质量。为构建完善的网络安全保障体系，确保我国“互联网+电子政务”服务体系在日益复杂的网络环境中发挥效用，电子政务网络安全保障体系的建设一定要做好规划，积极引进比如雾计算、基于边界控制的安全保障技术、可信计算技术、威胁情报感知技术、动态防御技术、软件定义网络、安全态势感知技术等前沿技术，确保电子政务安全保障体系的先进性和可扩展性。本文从网络安全保障技术出发，分析了传统电子政务在安全上存在的问题，深入探讨了“互联网+”背景下新型电子政务系统的安全保障技术^[10]。“互联网+电子政务”网络安全保障体系的建设还涉及到国家及政府部门一系列管理政策与措施的改革与创新，以及与新兴信息安全技术的有机结合，仍需要在未来做出进一步的研究，并结合实践进行改进和完善。

参考文献

1. 杨茜晶. 互联网+视域中区县电子政务建设的困境及对策研究[D]. 湖南师范大学， 2019.
2. 陈玲玲. 宿州市“互联网+政务服务”信息安全管理研究[D]. 安徽大学， 2019.
3. 张欢欢. “互联网+”时代公共信息安全对策研究[D]. 河北科技大学， 2018.
4. 欧阳秋梅， 吴超. 大数据与传统安全统计数据的比较及其应用展望[J]. 中国安全科学学报， 2016， 26（3）： 1-7.
5. 林龙成， 陈波， 郭向民. 传统网络安全防御面临的新威胁：APT攻擊[J]. 信息安全与技术， 2013， 4（3）： 20-25.

1. 栾庆林， 卢辉斌. 自适应遗传算法优化神经网络的入侵检测研究[J]. 计算机工程与设计， 2008， 29（12）： 3022-3025.
2. Datta A. Franklin J. Garg D. A logic of secure systems and its application to trusted computing[C]. 30th IEEE Symposium on Security and Privacy. Berkeley： IEEE， 2009： 221- 236.
3. 郭瑞. 深度动态防御应对APT攻击[J]. 信息安全与技术， 2014， 9： 67-69.
4. Romeis C. Jaeger J. Dynamic protection security assessment， a technique for blackout prevention[C]. 2013 IEEE Grenoble Conference. Crenoble， France： IEEE， 2013： 1-6.
5. 马立新， 金月光. 基于策略的网络安全管理系统设计与实现[J]. 软件， 2013， 34（06）： 25-26.