新形勢下的電子政務網絡安全保障體系藍圖設計

◆姜 琪 李亞龍 張 潔 馬 犇

新形勢下的電子政務網絡安全保障體系藍圖設計

◆姜 琪 李亞龍 張 潔 馬 犇

（安徽地震局信息中心安徽 230031）

本文以保護電子政務行業(yè)業(yè)務系統(tǒng)為核心，從網絡安全現狀出發(fā)，結合網絡安全法、電子政務信息安全等級保護、關鍵基礎設施保護條例等法規(guī)制度和行業(yè)規(guī)范，開展網絡安全保障頂層設計和藍圖規(guī)劃，以安全策略為指引、以管理規(guī)范為指導、以技術措施手段為落實、以組織結構為保障，構建自上而下的網絡安全保障體系，提高電子政務整體網絡安全管理水平。

電子政務；網絡安全；保障體系；藍圖設計

0 引言

隨著政務網絡的不斷發(fā)展完善，其承載業(yè)務逐漸增多。面對日漸復雜的網絡環(huán)境，電子政務網絡面臨的網絡攻擊、計算機病毒、信息泄露等安全威脅和風險也呈上升趨勢。為推動電子政務網絡信息安全建設和安全管理工作，亟需加強電子政務網絡安全保障體系建設，提高對網絡攻擊、病毒入侵、網絡失竊等攻擊的防范能力，防止有害信息傳播，保障電子政務網絡安全。

1 網絡安全需求

1.1 威脅分析

基于互聯網的電子政務面臨的信息安全威脅主要有：

( 1 ) 身份假冒、口令竊取威脅

身份鑒別是網絡安全的基本要求，電子政務網絡安全存在身份假冒的風險。一旦政務辦公人員的身份被假冒，不法分子可能會發(fā)布虛假信息，影響政務辦公系統(tǒng)的正常使用。

( 2 ) 信息竊取、篡改威脅

電子政務系統(tǒng)存在大量保密信息，如政府各種數據、文件、檔案、社會經濟數據等，這些數據在傳輸過程中存在被竊取、監(jiān)聽/泄露的風險。

( 3 ) 惡意攻擊

電子政務系統(tǒng)中的民生、公眾服務信息發(fā)布系統(tǒng)，允許從互聯網上直接訪問。

( 4 ) 病毒傳播和擴散威脅

互聯網上存在大量的資源和服務，人們在獲取資源和享受服務的同時，也極易將病毒帶來。

1.2 需求分析

（1）外部合規(guī)需求：依據《中華人民共和國網絡安全法》、《關鍵信息基礎設施安全保護條例(征求意見稿)》、《網絡安全等級保護2.0(征求意見稿)》、《電子政務信息安全等級保護實施指南》、《基于互聯網電子政務信息安全實施指南》等，分析對照電子政務網絡安全現狀，得出外部合規(guī)需求包括：實現安全接入與安全互聯，在互聯網上構建安全的電子政務網絡；實現強的安全認證、授權管理與訪問控制機制，確保電子政務系統(tǒng)的安全訪問；采取分類分域防護措施，加大綜合防范和安全管理力度，進行不同類別信息和系統(tǒng)的有效保護。

（2）內部安全需求：參照《“十三五”國家政務信息化工程建設規(guī)劃》，結合相關法律法規(guī)要求，對照電子政務網絡安全現狀，并結合近年來電子政務工作暴露的安全事件，得出內部需求包括：通過電子政務網絡安全體系建設，確保電子政務網資源不能被非法訪問；加強應用數據管控，從數據泄露、內容分析、數據審計等方面實現數據保護，確保不同安全域之間的安全數據交換；建設電子政務網統(tǒng)一的安全管理體系，確保政務外網與互聯網的安全互連。

2 網絡安全保障體系藍圖設計

2.1 戰(zhàn)略目標分析

戰(zhàn)略是指依據國家法律法規(guī)和行業(yè)相關要求，根據中辦發(fā)[2003]27號文件中“堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎信息網絡和重要信息系統(tǒng)安全”的要求。“積極防御、綜合防范”是指導電子政務信息安全保障的總體戰(zhàn)略方針。

電子政務系統(tǒng)是復雜的大系統(tǒng)，通過建立健全安全制度及標準體系、加強網絡安全管控、完善縱深防御體系、探索監(jiān)測預警分析、強化應急響應處置等重點工作任務和保護措施，有效提高電子政務網絡安全整體安全能力。

舉措是以基礎設施及業(yè)務為保護對象，以風險管理為導向，完善頂層結構設計，建立健全信息安全管理責任制，建設和完善信息安全監(jiān)控體系，實現整體安全戰(zhàn)略目標。實現要點需要圍繞基礎設施及業(yè)務，完善網絡安全頂層結構設計、完善安全治理及優(yōu)化管理流程和完善技術支撐與資源保障機制。

2.2 體系藍圖框架

依據網絡安全法、等級保護、行業(yè)相關要求和業(yè)內最佳實踐，按照中辦發(fā)[2003]27號文件“積極防御、綜合防范”的方針，借助國內外網絡安全實踐的成功經驗，從電子政務網絡安全現狀和需求分析結論出發(fā)，描述符合電子政務未來發(fā)展的網絡安全藍圖框架，如圖1。

電子政務網絡安全藍圖是落實十三五期間網絡安全工作頂層設計框架；由一套標準，兩大體系，四項運營能力組成。其中，一套管理標準是以保護電子政務系統(tǒng)為核心構建的一套管理標準，以安全策略為指引、管理規(guī)范為指導、技術手段為落實、以組織架構為保障，構建自上而下的安全管理標準；兩大支撐體系是支撐電子政務網絡安全發(fā)展藍圖有序推進和有效落地的一體化保障措施，兩大支撐體系由安全管理、安全技術兩個部分組成，為電子政務網絡安全建設、管理和應用提供全方位保障；四項安全能力是保障安全管理有效落實，技術保障持續(xù)優(yōu)化的一種運作機制，通過體系化的管理規(guī)范和技術措施，形成由主動防御、監(jiān)控分析、態(tài)勢預警及應急響應構成的閉環(huán)安全能力；通過構建監(jiān)控分析能力實現“可視”，主動防御能力實現“可管”，應急響應能力實現“可控”，態(tài)勢預警能力實現“可預測”的安全目標。

圖1 電子政務網絡安全藍圖框架

2.3 一套管理標準

以保護電子政務系統(tǒng)為核心，構建一套管理標準，以安全策略為指引、管理規(guī)范為指導、技術手段為落實、組織架構為保障，構建自上而下的安全管理標準：能夠指導網絡安全工作的開展，使其符合國際、國內的有關安全政策、標準和規(guī)范要求；建立安全管理機制，有效地保障各項安全責任的落實，最大限度調動各力量，共同維護網絡安全環(huán)境。明確安全需求和目標，制定整體網絡安全建設規(guī)劃，統(tǒng)一安全框架、統(tǒng)一安全標準、統(tǒng)一安全措施和統(tǒng)一監(jiān)督管理。

2.4 兩大支撐體系

兩大支撐體系是支撐電子政務網絡安全發(fā)展藍圖有序推進和有效落地的一體化保障措施，兩大支撐體系由網絡安全管理、網絡安全技術兩個部分組成，為電子政務網絡安全建設、管理和應用提供全方位保障。

( 1 ) 網絡安全管理體系：安全管理體系滿足國家法律、法規(guī)及相關政策要求和相關標準，充分考慮安全管理現狀、安全管理措施落地及考核評價機制，按照方針策略、安全組織、安全運營三個層面進行架構設計。

（2）網絡安全技術體系：網絡安全技術體系設計充分利用各種成熟網絡安全檢測與防護手段，結合電子政務信息安全等級保護要求，從身份鑒別、訪問控制、內容安全、監(jiān)控審計和備份恢復節(jié)點的安全防護要求出發(fā)，設計貫穿物理安全、網絡安全、系統(tǒng)安全、應用安全、終端安全、數據安全六個層面的安全防護，建立一個具有“六橫五縱”的縱深防御體系。

2.5 四項運營能力

主動防御能力是通過漏洞管理、配置管理和風險評估等，主動發(fā)現系統(tǒng)脆弱性并進行修復，結合風險評估機制，可以防患于未然；監(jiān)控分析能力是指通過網絡與信息安全事件監(jiān)測分析，實現全網安全狀態(tài)可視化，并對安全日志、安全事件等進行綜合分析與審計，識別和定位內外部攻擊和違規(guī)行為；態(tài)勢預警能力是指通過建設網絡安全威脅情報系統(tǒng)、網絡安全監(jiān)測預警及網絡安全態(tài)勢感知系統(tǒng)等實時收集威脅情報，并運用大數據技術進行分析和展現，為全網安全運營監(jiān)管和應急處置提供支持；應急響應能力是指應通過提升應急預案體系的完整性、可操作性以及開展應急演練，提高應急處置效率。

3 結束語

本文完成了現狀分析、藍圖設計、基礎架構設計三大階段性工作，明確了電子政務網絡安全建設的總體目標，形成了符合電子政務網絡安全現狀和國家行業(yè)要求的電子政務網絡安全藍圖框架。結合網絡安全建設過程中可能遇到的各類安全威脅，對網絡安全建設具有長久的、宏觀的戰(zhàn)略指導意義，將作為電子政務未來網絡安全工作的行動綱領，用以指導電子政務網絡安全的建設、管理與應用。

[1]中華人民共和國網絡安全法.

[2]國家信息化領導小組關于加強信息安全保障工作的意見(中辦發(fā)[2003]27號).

[3]國家互聯網信息辦公室關于《關鍵信息基礎設施安全保護條例（征求意見稿）》.

[4]GB/T 22239-2008.信息安全技術信息體系安全等級保護基本要求[S].

[5]電子政務信息安全等級保護實施指南.