導語：電子政務網(wǎng)絡邊界安全設計與實現(xiàn)一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：現(xiàn)階段，電子政務網(wǎng)絡正在不斷發(fā)展中，隨之而來的是其邊界安全問題愈發(fā)凸顯。該文著重介紹當前電子政務網(wǎng)絡存在的邊界安全問題，在此基礎上分析并提出具體的防護技術和應對措施。

關鍵詞：電子政務；邊界安全；安全體系

隨著我省電子政務網(wǎng)絡的快速發(fā)展，各級政府部門的工作逐步走向信息化和網(wǎng)絡化，為了滿足人民群眾的辦事需求，電子政務網(wǎng)絡的建設和發(fā)展逐步深入，承載的業(yè)務系統(tǒng)也越來越多，網(wǎng)絡安全問題日益突出。各級政府網(wǎng)站和業(yè)務系統(tǒng)網(wǎng)頁被惡意篡改、SQL數(shù)據(jù)庫被注入、DDOS攻擊等安全事件頻發(fā)，網(wǎng)絡安全受到了極大的挑戰(zhàn)。面對黑客的猖狂攻擊，防護網(wǎng)絡邊界安全刻不容緩。

1電子政務網(wǎng)絡現(xiàn)狀及邊界安全需求分析

目前多數(shù)政府部門未建立起統(tǒng)一且具有指導性的安全策略，沒有站在全局高度提供信息安全工作的方針或指導意見，安全管理未引起足夠重視，前景堪憂。大部分政府部門沒有明確網(wǎng)絡安全責任部門，制度建設不完善，人員的安全意識薄弱，運維人員往往身兼管理和審計職責，安全管理責任邊界不清晰。盡管現(xiàn)有的電子政務網(wǎng)絡中通常都按照要求部署了一定的網(wǎng)絡邊界安全防護系統(tǒng)和設備，如防火墻、漏洞掃描、入侵檢測、防毒墻等，但是這些設備往往都沒有配置切實有效的安全防護策略，導致其形同虛設；而且在日常運維中缺少流量分析和總結，無法做到安全預警和態(tài)勢感知，不能形成協(xié)同防護的合力。

2電子政務網(wǎng)絡邊界安全防護體系

通過分析以上電子政務網(wǎng)絡的安全策略、安全管理、安全技術、日常運維等四個方面的現(xiàn)狀，以及存在的電子政務網(wǎng)絡邊界安全問題，根據(jù)國家的電子政務網(wǎng)絡安全建設總體要求，在實踐中可以通過統(tǒng)一的安全策略，從管理、技術和運維等多個維度進行全流程的防護，構建全面、立體、多維的網(wǎng)絡邊界安全防護體系。網(wǎng)絡安全策略通常是由網(wǎng)絡管理人員在授權的基礎之上，根據(jù)網(wǎng)絡與信息系統(tǒng)面臨的風險及安全目標，基于身份、規(guī)則、角色等角度制定的安全防護策略。在實施過程中，堅持最小權限原則、三權分立原則、多級防護原則等。電子政務網(wǎng)絡安全防范和保護的主要策略是訪問控制策略，通過各種訪問控制策略相互配合，真正發(fā)揮協(xié)同保護作用，確保電子政務網(wǎng)絡資源不被非授權訪問和使用。網(wǎng)絡安全管理體系要緊緊圍繞電子政務網(wǎng)絡的應用場景和業(yè)務特點，按照信息系統(tǒng)生命周期理論，建立信息系統(tǒng)規(guī)劃、開發(fā)、操作等各個階段的制度、流程和規(guī)范。安全技術體系是所有安全策略的技術措施綜合。常用的安全技術包括身份認證、VPN、防火墻、入侵檢測、漏洞掃描、網(wǎng)閘、防毒墻等一系列防護技術。在執(zhí)行整體安全防護策略的同時，綜合運用各類安全防護技術和工具，并利用其日志及分析數(shù)據(jù)做系統(tǒng)加固，使系統(tǒng)整體處于低風險狀態(tài)。安全運維體系是貫徹和落實安全管理體系各項規(guī)章制度，將各項規(guī)章制度在執(zhí)行層面體系化、規(guī)范化和流程化；主要包括信息安全事件監(jiān)測和處理、安全設備管理和運維、安全工具的管理和維護、網(wǎng)絡安全培訓和應急演練，信息系統(tǒng)的定級備案、風險評估、安全整改等。

3電子政務網(wǎng)絡邊界安全實現(xiàn)方法

為保障電子政務網(wǎng)絡邊界安全，要嚴格按照國家對電子政務網(wǎng)絡安全防護的要求，根據(jù)電子政務網(wǎng)絡傳輸?shù)男畔⒅匾潭?，分類分網(wǎng)進行數(shù)據(jù)通信，通過網(wǎng)絡的物理隔離或邏輯隔離，實現(xiàn)防止網(wǎng)絡攻擊以及信息泄露的目標；并在此基礎上，針對性地采取以下安全防護技術和措施。3.1身份認證技術。在計算機網(wǎng)絡中，為了保證以數(shù)字身份進行操作的操作者的物理身份與數(shù)字身份相對應，而產生的一種解決方法。作為防護網(wǎng)絡安全的第一道關口，身份認證有著重要的作用。身份認證系統(tǒng)通常由認證服務器、認證客戶端和認證設備組成，主要通過單向或雙向兩類認證協(xié)議和認證系統(tǒng)軟硬件實現(xiàn)，此外，為了提高認證的可靠性，通常采用雙因子認證機制。身份認證技術往往涉及三個方面：認證、授權和審計；用戶在做任何動作之前必須要識別動作執(zhí)行者的真實身份，防止攻擊者假冒合法用戶來獲取訪問權限；在確認用戶的身份之后，授權該用戶對權限范圍內的文件和數(shù)據(jù)進行操作；并在完成操作后要留下記錄，以便審計、核查。3.2VPN技術。VPN技術，也即虛擬專用網(wǎng)技術，是指在公用網(wǎng)絡上（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。VPN技術為遠程用戶和網(wǎng)絡提供低成本和安全連接的能力，通過對VPN服務器和客戶機之間的通訊數(shù)據(jù)進行加密，可以讓外部人員安全地遠程訪問內部資源，在實際應用中VPN技術發(fā)揮越來越重要的作用。在遠程訪問VPN中，通常采用兩種基于網(wǎng)絡加密的協(xié)議類型。一種是IPsecVPN，用戶通過VPN隧道進行身份驗證并連接到遠程網(wǎng)絡后，就可以限制訪問；IPsecVPN需要安裝客戶端軟件;一種是SSLVPN，通過采用SSL協(xié)議（一種基于WEB應用的安全協(xié)議）來實現(xiàn)遠程接入；SSLVPN技術可以免于安裝客戶端，具有部署簡單、網(wǎng)絡適應強、維護成本低等特點。由于IPsecVPN只能基于IP級進行限制，訪問控制粒度不夠精細，許多安全運維部門已逐步遷移到SSLVPN，管理員可以將用戶訪問控制粒度限制在應用程序級。3.3防火墻技術。防火墻技術需要利用訪問控制策略，搭建網(wǎng)絡通信監(jiān)控系統(tǒng)，對網(wǎng)絡數(shù)據(jù)流進行監(jiān)控及分析，從而實現(xiàn)對網(wǎng)絡內部資源的保護。防火墻技術通過攔截所需保護網(wǎng)絡的向外傳輸信息來達到不被外部共計的目的。這需要管理員在安全控制策略的基礎上執(zhí)行包過濾準則，并根據(jù)需要進行增加、修改及刪除。通過防火墻技術可以實現(xiàn)多種功能：阻止可能出現(xiàn)的非法操作，對服務器進行全面監(jiān)管；通過MAC地址與IP進行綁定，在不影響訪問網(wǎng)絡的正常需要基礎上，將用戶的訪問權限控制在最低范圍；還可以通過防火墻收集到各類試探攻擊的日志和統(tǒng)計數(shù)據(jù)。3.4入侵檢測技術。入侵檢測技術是在各電子政務的網(wǎng)絡關鍵節(jié)點處監(jiān)控并收集信息，分析其是否屬于入侵行為以及是否違反了網(wǎng)絡安全策略。該技術最大的優(yōu)勢是能夠在提供安全監(jiān)測，攻擊識別、反攻擊的同時，不影響網(wǎng)絡的性能；通過將攻擊過程進行記錄、斷開網(wǎng)絡連接、緊急告警、對攻擊源進行分析并追蹤等措施實施有效地對系統(tǒng)進行保護。該系統(tǒng)通常被安裝在數(shù)據(jù)較敏感的網(wǎng)絡邊界上，當監(jiān)控到數(shù)據(jù)流發(fā)生異常時，該系統(tǒng)可根據(jù)安全策略迅速做出反應。3.5漏洞掃描技術。漏洞掃描技術基于漏洞數(shù)據(jù)庫，通過對網(wǎng)絡的掃描進行安全脆弱性檢測，它和防火墻、入侵檢測系統(tǒng)相互配合，可以有效提高網(wǎng)絡的安全性。漏洞掃描技術可以幫助網(wǎng)絡管理員及時了解網(wǎng)絡的安全設置，發(fā)現(xiàn)安全漏洞，以及客觀地評估當前網(wǎng)絡存在的風險。網(wǎng)絡管理員能夠根據(jù)掃描的結果，及時修復安全漏洞和錯誤配置，防患于未然。相比較防火墻技術和入侵檢測技術，漏洞掃描是一種主動的網(wǎng)絡安全防護技術，可以有效避免網(wǎng)絡攻擊行為。3.6網(wǎng)閘技術。網(wǎng)閘技術在電子政務網(wǎng)絡中，主要部署于電子政務外網(wǎng)和部委縱向專網(wǎng)的連接邊界，實現(xiàn)不同網(wǎng)絡之間的業(yè)務流轉。它的設計是基于“不同時連接”，通過建立緩沖區(qū)使業(yè)務數(shù)據(jù)通過“擺渡”的方式實現(xiàn)交換，大大降低了跨網(wǎng)入侵的可能性。網(wǎng)閘技術的應用使得其擺渡的數(shù)據(jù)清晰可見，可以及時發(fā)現(xiàn)病毒與潛在的入侵，保障了網(wǎng)絡邊界的安全。但同時由于網(wǎng)閘為了支持復雜多樣的業(yè)務數(shù)據(jù)，通常要開放各種通信協(xié)議，因此會降低安全檢查的效果和力度。3.7防毒墻技術防毒墻技術針對HTTP、HTTPS、SMTP、POP3、FTP、IMAP等常見應用協(xié)議的內容檢查，實現(xiàn)病毒、木馬、后門、蠕蟲等惡意軟件的掃描和雙向實時檢測過濾?？蓪eb上網(wǎng)、郵件、網(wǎng)絡游戲、網(wǎng)絡炒股、FTP、P2P、即時通訊等常見網(wǎng)絡應用進行管控，配合細粒度的策略，實現(xiàn)電子政務網(wǎng)絡業(yè)務安全保障。

4結論

隨著電子政務網(wǎng)絡業(yè)務不斷深化和發(fā)展，電子政務網(wǎng)絡邊界安全所面臨的問題日趨嚴峻，在具體的設計和建設中，要短期目標和長期目標相結合，局部設計和全局規(guī)劃相結合，盡量做到統(tǒng)一標準、統(tǒng)一規(guī)劃、統(tǒng)籌安排，避免重復建設，在服務于業(yè)務需求的同時，保證邊界安全防護系統(tǒng)具有實用性、先進性、可靠性、擴展性、易用性、規(guī)范性。同時，要用動態(tài)的、創(chuàng)新的、與時俱進的眼光來認識網(wǎng)絡安全，定期進行安全風險評估和整改，加強日常的安全學習和運維管理。

參考文獻：

[1]冉艷,胡學鋼.構建市級電子政務安全平臺[J].計算機技術與發(fā)展,2007,17(8):140-157.

[2]任金強,羅紅斌,李素明.國家電子政務外網(wǎng)信任體系建設初探[J].信息網(wǎng)絡安全,2007(8):56-58.

[3]徐榮花,陳海東.我國電子政務的發(fā)展[J].通信業(yè)與經(jīng)濟市場,2007(7):9-12.

作者:劉兵 單位:安徽省經(jīng)濟信息中心