电子政务等级保护安全保障体系研究

时间:2022-06-17 05:06:24

电子政务等级保护安全保障体系研究

摘要:随着5G网络通信技术的发展,万物互联逐步形成,网络攻击行为越来越频繁和多样化,构建符合等级保护2.0技术要求、主动防御网络攻击行为的电子政务安全保障体系,尤为重要。

关键词:电子政务;等级保护;安全保障体系;区域边界安全

随着5G网络通信技术的发展,万物互联正逐步形成,每个被接入网络的点都有可能被黑客利用,网络攻击的行为越来越频繁,攻击方式越来越多样化;政府大力推进“一网办”,电子政务网作为“一网办”的承载体,安全保障体系尤为重要。本文以市级电子政务网为例,结合实际工作,阐述如何构建具有主动防御功能的安全保障体系。

1电子政务主动防御体系

国家实施等级保护制度,电子政务发展,要积极落实等级保护制度,加强安全等级保护建设,提升电子平台工作安全性[1],从被动防御转变为主动防御,构建一个中心、三重防护的安全保障体系,如图1所示。从以下几个方面落实:(1)安全计算环境方面。对政务云平台下的全部操作系统,关闭不需要的服务(如打印机、共享服务等),禁用135、445等不安全的高危端口。禁用guest账户,建立安全审计账号;并要求系统账户密码复杂度不低于8位字符,且定期更换密码;安装杀毒软件,定级升级病毒库;对操作系统、中间件、数据库等定期进行漏洞扫描,定期升级系统补丁。(2)安全通信网络方面。根据单位性质和网络用户规模,将电子政务网络划分10、192、172三个内网地址段,并分别配以100MB、60MB和30MB的带宽,满足高峰期的业务需求。网络间数据传输均通过加密技术,各安全设备采用SSH传输协议远程管理,防止信息在网络传输中被窃听。(3)安全区域边界。各区县接入到电子政务云平台前,应在边界防火墙中设置源地址、目的地址、源端口、目的端口,以允许或拒绝非法数据包的进出,关闭不用的端口,保障边界接入安全。登陆防火墙,选择内容过滤,选择http协议,FTP协议、https协议等。启动入侵防御系统的网络攻击行为识别和检测功能,有效防止黑客攻击、蠕虫、网络病毒、后门木马、D.O.S攻击等恶意流量。登陆入侵防御系统,选择策略配置>安全设置>入侵防御,配置相关攻击行为事件。(4)安全管理中心。通过访问VPN进入内部网络,再通过堡垒机进入各操作系统,记录每个接入日志,且日志保留6个月以上,对于异常接入行为、服务器异常状况,系统自动触发短信报警。在浏览器中输入VPN访问地址,输入账号密码后登陆,登陆成功后,再输入堡垒机的访问地址,输入账号密码,进入堡垒机管理界面,在堡垒机内,根据用户权限,呈现被管理的主机,选择主机,进入操作系统界面,输入账号密码登录操作系统。

2电子政务安全等级确定

按照《GA/T1389-2017信息安全技术网络安全等级保护定级指南》,从业务信息安全和系统服务安全两个方面对电子政务网进行定级。电子政务网承载了政府办公业务以及公众服务业务,业务安全级别较高;一旦业务数据遭受攻击,将影响政府办公、公众办理业务,更严重者,可能导致政府决策信息泄露或数篡改,影响社会秩序和公共利益,不影响国家安全。在系统安全服务层面,电子政务保障了各业务系统正常被访问,数据正常传输,安全级别较高;一旦电子政务遭受攻击,导致网络中断,影响社会秩序和公共利益,不影响国家安全。综合业务信息安全和系统服务安全两个方面的认识,根据定级指南,电子政务定级为三级。

3电子政务等级保护安全总体设计

针对电子政务按照不同的区域以及行业进行分域保护,充分考虑到电子政务发展中的不同类别、阶段以及等级等,将其划分为相应的安全区域进行管理[2]。电子政务等级保护安全总体设计,遵循等级保护2.0技术标准,从技术和管理两个方面构建,技术方面包括安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面;管理方面包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面。由此构建电子政务的安全保障机制[3]。

4电子政务等级保护安全保障体系构建

构建电子政务的安全保障体系,根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》,形成一个中心三重防护,建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。4.1建立电子政府分域保护框架。按照等级保护三级技术要求,网络架构应划分不同的网络区域,并按照方便管理和控制的原则为各网络分配地址,且重要网络区域与其他网络区域之间应采用可靠的技术手段隔离。由此将安全保障机制划分为5域15区机制[4]。5域包括基础设施域、通信网络域、区域边界域、计算环境域和安全管理域;15区包括非涉密机房区、网络边界区、核心数据区、托管服务区、业务系统区、业务测试区、涉密机房区、电子政务内网区、电子政务外网区、终端边界区、资源共享交换区、办公区、安全管理区、安全服务区、安全运维区。4.2建立主动防御的保障体系。按照电子政务网的定级标准以及《GB/T22239-2019信息安全技术网络安全等级保护基本要求》技术要求,从基础设施安全、安全区域边界、安全通信网络和安全计算环境等几个方面构建主动防御的保障体系。4.2.1加强基础设施安全。基础设施安全主要包括机房访问控制、机房环境、设备与介质管理等。机房访问控制中对机房的外来人员制定访问条件,由专人对外来访问人员进行审批,为其设置方位授权目标。按照GB50174-2008中的相应要求设置机房中的墙壁、装修方式、门、天花板等,并在机房中安装配置UPS、过电压防护设备、并行电路、供电线路上配置稳压器等。在机房中安装火灾自动消防系统以及精密空调。设备与介质管理过程中,为系统安装防盗报警系统、监控系统,将一些较为敏感的安全业务信息安装在较为安全的区域内。并为机房管理建立环境监控制度以及出入管理制度[5]。4.2.2加强区域边界安全。电子政务网分内网和外网,加强外网与内网之间的隔离;在外网与内网之间加强不同安全域的安全边界设置。加强边界设置的完整性,在电子政务使用过程中阻断非法网络接入行为、非法外联行为的进攻,构成可信接入网络。由终端网络准入、边界网络接入构成网络可信接入,由移动客户端、PC客户端共同构成终端网络准入,为系统运行建立认证、安全隧道、访问权限控制等多种机制。建立有效的边界入侵防范机制,在电子政务系统运行内部建立多手段检测方式,使得系统运行中能够抵御外部多项网络的入侵与攻击。并对此能够及时识别并建立相应的报警机制。4.2.3构建安全通信网络。保证通信的完整性和保密性。部署VPN系统保证数据传输的完整性和保密性。利用安全隧道、认证、访问权限控制、分域防控等安全机制,实现政务网络互联安全、移动办公安全、重点区域的边界防护安全。安装部署网络堡垒机对网络设备运维人员进行USBkey+密码进行身份鉴别,对网络设备管理员登录地址进行限制,加密会话,并且记录及审计操作日志,以便进行责任认定与事件跟踪。4.2.4加强计算环境安全。统一身份管理与授权管理系统。统一身份管理与授权管理系统作为安全管理中心的一部分,部署于安全管理域。统一身份认证与授权管理系统完成用户统一身份认证、授权管理等功能。身份管理和授权管理是访问控制的前提,身份管理对用户的身份进行标识与鉴别;授权管理对用户访问资源的权限进行标识与管理。通过采用统一身份认证、统一授权管理和访问控制等安全机制,结合应用系统的工作流访问控制,解决了政务办公系统的信息传输安全、身份鉴别、系统使用权限控制与信息访问权限控制等安全问题。

5结语

网络安全是电子政务建设过程中首先考虑的重要因素之一,在运行过程中严格践行一个中心、三重防护的安全保障体系,建立电子政府分域保护框架,建立安全技术体系,加强基础设置安全,加强区域边界安全,加强计算环境安全,构建主动防御的安全保障体系。

参考文献

[1]丁震.为电子政务护航建立安全管理体系——国家计委完成等级保护试点[J].信息网络安全,2003(5):9.

[2]宋丽丽.基于SSE-CMM的重庆市电子政务安全风险评估与信息安全保障体系的构建与实现[D].重庆:重庆大学,2004.

[3]王靖.构建符合国家安全标准要求的市级金保工程安全体系[J].中国新通信,2018,20(7):14-149.

[4]黄晓波,尚艳伟,林细君.基于等级保护设计要求下的移动业务系统安全防御体系[J].中国信息化,2018(4):78-79.

[5]李兆君,张建,宋宸.地铁票务系统信息安全等级保护建设方案探讨[J].设备管理与维修,2019(15):105-107.

作者:曾俊 单位:六安市数据资源管理局