縣級電子政務(wù)外網(wǎng)安全管理實現(xiàn)分析

摘? 要：電子政務(wù)外網(wǎng)是政府的一種全新管理方式，也是一種在電子政務(wù)外網(wǎng)下的綜合業(yè)務(wù)方式。通過電子政務(wù)外網(wǎng)參與公共服務(wù)，要求網(wǎng)絡(luò)系統(tǒng)必須是安全的、可靠的、防災(zāi)的，可恢復(fù)的。在我國電子政務(wù)網(wǎng)絡(luò)建設(shè)的不斷發(fā)展過程中，依賴電子政務(wù)外網(wǎng)的業(yè)務(wù)越來越多，電子政務(wù)外網(wǎng)作為民生基礎(chǔ)網(wǎng)絡(luò)的重要組成部分，網(wǎng)絡(luò)安全的作用日益突顯。由于互聯(lián)網(wǎng)的開放性和公共性，網(wǎng)絡(luò)安全問題成為電子政務(wù)外網(wǎng)的核心問題。當前，處理好電子政務(wù)網(wǎng)絡(luò)安全問題顯得十分重要，因為網(wǎng)絡(luò)安全問題會導(dǎo)致整個電子政務(wù)系統(tǒng)不可用，并且會對電子政務(wù)系統(tǒng)的健康發(fā)展產(chǎn)生較大的影響。

關(guān)鍵詞：電子政務(wù);政務(wù)外網(wǎng);網(wǎng)絡(luò)安全;外網(wǎng)安全管理

中圖分類號：TP393.08? ? ? 文獻標識碼：A 文章編號：2096-4706（2019）20-0147-04

Abstract：E-government extranet is a new management mode of the government，and also a comprehensive business mode under the e-government extranet. To participate in public service through e-government extranet，it is necessary to require the network system to be safe，reliable，disaster-proof and recoverable. In the process of continuous development of e-government network construction in China，more and more businesses rely on e-government extranet. As an important part of the basic network of peoples livelihood，e-government extranet plays an increasingly prominent role in network security. Because of the openness and publicity of the internet，network security has become the core issue of e-government? extranet. Now，it is very important to do a good job of e-government network security，because network security will lead to the unavailability of the whole e-government system，and network security issues will also have a greater impact on the healthy development of e-government system.

Keywords：e-government;government extranet;network security;security management of extranet

0? 引? 言

隨著電子政務(wù)在政府部門的廣泛應(yīng)用，黨政機關(guān)電子政務(wù)網(wǎng)絡(luò)應(yīng)用安全的重要性日益突出。在全球化信息安全受到威脅的前提下，作為黨政機關(guān)的工作人員，應(yīng)不斷提高網(wǎng)絡(luò)安全意識，加強電子政務(wù)網(wǎng)絡(luò)設(shè)施建設(shè)和安全管理，確保政府網(wǎng)絡(luò)安全高效運行，保障國家安全信息不被泄露，維護黨政機關(guān)的良好形象。當前電子政務(wù)外網(wǎng)面臨安全隱患的主要原因是傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)存在缺陷，部分網(wǎng)絡(luò)協(xié)議也存在安全漏洞。為了保障電子政務(wù)外網(wǎng)的安全健康運行，要在電子政務(wù)外網(wǎng)中合理規(guī)劃設(shè)計一個安全的網(wǎng)絡(luò)運行環(huán)境，從網(wǎng)絡(luò)層、安全需求及管理的角度出發(fā)，確保政務(wù)網(wǎng)數(shù)據(jù)傳輸安全、可靠、防災(zāi)、可恢復(fù)，形成一個立體化的政務(wù)網(wǎng)絡(luò)安全防護體系。本文結(jié)合電子政務(wù)外網(wǎng)實施的案例，針對當前政務(wù)外網(wǎng)的安全需求及現(xiàn)狀、安全需求實現(xiàn)措施、安全管理體系保障等，探討縣級電子政務(wù)外網(wǎng)的安全實現(xiàn)分析。

1? 電子政務(wù)和電子政務(wù)網(wǎng)絡(luò)安全概念

電子政務(wù)是政府機構(gòu)，以適應(yīng)經(jīng)濟全球化的信息網(wǎng)絡(luò)和應(yīng)用現(xiàn)代信息技術(shù)的功能處理政府事務(wù)，政府管理、政府服務(wù)通過網(wǎng)絡(luò)實現(xiàn)有機結(jié)合，并通過流程的優(yōu)化和創(chuàng)新，提高政府管理效率，降低管理成本，提高政府服務(wù)水平，以適應(yīng)信息時代需要，建立現(xiàn)代政府工作機制。

電子政務(wù)網(wǎng)絡(luò)安全是指對信息網(wǎng)絡(luò)硬件、系統(tǒng)軟件和數(shù)據(jù)的保護，不被意外或惡意篡改，確保網(wǎng)絡(luò)信息的保密性、可用性，能使網(wǎng)絡(luò)服務(wù)應(yīng)用不中斷。

我國的電子政務(wù)網(wǎng)分政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)（如圖1所示），政務(wù)外網(wǎng)從上至下分別為國家級電子政務(wù)外網(wǎng)、省級電子政務(wù)外網(wǎng)、市級電子政務(wù)外網(wǎng)、區(qū)縣級電子政務(wù)外網(wǎng)四級。我國的電子政務(wù)網(wǎng)每一級有不同的網(wǎng)絡(luò)要求，每一級建設(shè)模式也相對比較固定，但各級對設(shè)備性能、設(shè)備功能也有不相同的要求。

2? 當前縣級電子政務(wù)外網(wǎng)的現(xiàn)狀

2.1? 縣級電子政務(wù)外網(wǎng)需求現(xiàn)狀

2.1.1? 電子政務(wù)外網(wǎng)基礎(chǔ)網(wǎng)絡(luò)需求

我國電子政務(wù)外網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)要求，主要表現(xiàn)在網(wǎng)絡(luò)的連通覆蓋率上。據(jù)中國電子政務(wù)論壇《電子政務(wù)藍皮書：中國電子政務(wù)發(fā)展報告（2014）》統(tǒng)計，目前我國的電子政務(wù)外網(wǎng)已經(jīng)覆蓋所有的省、自治區(qū)、直轄市，90%以上的市和80%以上的縣。截至2014年初，各級政府網(wǎng)站普及率不斷提高，我國副省級以上、地市級、縣級地方政府網(wǎng)站覆蓋率分別達到100%、100%、80%[1]。顯然，縣級電子政務(wù)網(wǎng)絡(luò)的需求呈日益增長趨勢。

2.1.2? 電子政務(wù)外網(wǎng)業(yè)務(wù)互聯(lián)互訪需求

電子政務(wù)外網(wǎng)作為一個統(tǒng)一的網(wǎng)絡(luò)承載平臺，實現(xiàn)各級政府部門互相訪問，形成統(tǒng)一的虛擬網(wǎng)絡(luò)平臺，部門間各電子政務(wù)平臺采用虛擬專用網(wǎng)絡(luò)安全隔離。由于電子政務(wù)應(yīng)用系統(tǒng)的發(fā)展，又要求對數(shù)據(jù)交換和資源共享采用虛擬專用網(wǎng)絡(luò)技術(shù)進行隔離。同時，還涉及到專有網(wǎng)絡(luò)的用戶接入公共資源、訪問互聯(lián)網(wǎng)等。所以，在電子政務(wù)外網(wǎng)環(huán)境中，存在非常復(fù)雜的網(wǎng)絡(luò)業(yè)務(wù)互聯(lián)互訪需求，急切需要一種有效的訪問控制手段來滿足電子政務(wù)外網(wǎng)業(yè)務(wù)互聯(lián)互訪的安全需求。

2.1.3? 電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全需求

當前，許多電子政務(wù)網(wǎng)絡(luò)在安全規(guī)劃上缺乏整體解決方案，而僅僅簡單地疊加網(wǎng)絡(luò)安全設(shè)備，這樣只是解決局部且特定的安全風(fēng)險。例如，僅通過防火墻抵御外攻擊，入侵行為僅通過IDS檢測等。解決這些網(wǎng)絡(luò)安全問題大多是通過事后補救的方式，無法做到前期預(yù)防、實時檢測以及建立聯(lián)動的全網(wǎng)智能且主動防御體系。

據(jù)《中國互聯(lián)網(wǎng)發(fā)展報告（2014）》報道，我國面臨大量境外地址攻擊威脅，國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測發(fā)現(xiàn)在2013年我國境內(nèi)1090萬余臺計算機主機被境外服務(wù)器控制，其中源自美國的占30.2%[2]。

2.1.4? 電子政務(wù)外網(wǎng)安全綜合管理需求

電子政務(wù)外網(wǎng)承載的業(yè)務(wù)越來越多，則電子政務(wù)外網(wǎng)規(guī)模也越來越大，所以對網(wǎng)絡(luò)的管理功能在安全方面也提出更高的需求。包括對網(wǎng)絡(luò)資源的管理和調(diào)配，不再局限于對網(wǎng)絡(luò)設(shè)備的簡單管理，而且這種網(wǎng)絡(luò)管理，在網(wǎng)絡(luò)安全方面能夠更好地支撐各層業(yè)務(wù)系統(tǒng)運行正常。

2.2? 縣級電子政務(wù)外網(wǎng)安全的問題分析

本文以樂昌縣級電子政務(wù)外網(wǎng)為例，分析縣級電子政務(wù)外網(wǎng)安全的需求實現(xiàn)。樂昌縣級電子應(yīng)用主要包括辦公自動化（OA）、市縣公文流轉(zhuǎn)、信息共享和交互平臺等，業(yè)務(wù)實現(xiàn)通過B/S、C/S模式開展，政務(wù)系統(tǒng)應(yīng)用主要以B/S模式為主。確保政務(wù)網(wǎng)數(shù)據(jù)傳輸?shù)陌踩?、保密性、可用性是電子政?wù)外網(wǎng)安全保障的關(guān)鍵，同時對采用C/S模式應(yīng)用的業(yè)務(wù)，也要確保政務(wù)網(wǎng)數(shù)據(jù)傳輸過程中身份認證、訪問授權(quán)、傳輸加密的安全規(guī)劃，保證了縣級電子政務(wù)網(wǎng)絡(luò)安全需求。

分析圖2可以看出，匯聚層采用的交換機量較大，網(wǎng)絡(luò)易受DoS攻擊，網(wǎng)絡(luò)性能和安全在骨干交換機被DoS攻擊后會受到嚴重影響，嚴重后果有可能是引起網(wǎng)絡(luò)癱瘓。加強對網(wǎng)絡(luò)交換機設(shè)備安全口令管理，及時升級固件版本漏洞，一定程度上能有效提高設(shè)備安全性能。要想取得更佳的安全防范效果，還需從網(wǎng)絡(luò)規(guī)劃部署上考慮相關(guān)的電子政務(wù)外網(wǎng)安全方面的規(guī)劃設(shè)計。

3? 縣級電子政務(wù)外網(wǎng)安全與安全管理實現(xiàn)分析

3.1? 基于核心交換機匯聚網(wǎng)絡(luò)安全實現(xiàn)

如圖3所示，在樂昌電子政務(wù)外網(wǎng)的核心層規(guī)劃具備路由功能的核心交換機兩臺，實現(xiàn)了設(shè)備的冗余互備，每臺交換機均有AC主備供電源模塊，保證設(shè)備穩(wěn)定和可靠性。根據(jù)不同部門的業(yè)務(wù)劃分VLAN ID，能有效隔離網(wǎng)絡(luò)廣播風(fēng)暴;使跨區(qū)域相同業(yè)務(wù)部門使用相同的業(yè)務(wù)VLAN ID，既能實現(xiàn)業(yè)務(wù)安全隔離，又能實現(xiàn)業(yè)務(wù)協(xié)同辦公。結(jié)合核心交換機的安全策略應(yīng)用，能實現(xiàn)安全訪問更加細膩的訪問控制和流量控制。不同VLAN間的特殊業(yè)務(wù)訪問，可后續(xù)部署安全設(shè)備實現(xiàn)更高級的安全管理。

在應(yīng)用層服務(wù)器配置1G網(wǎng)卡，實現(xiàn)1G帶寬接入網(wǎng)絡(luò)核心層，骨干使用1G光纖與各匯聚點接入，保證了業(yè)務(wù)通信的穩(wěn)定性和可靠性。

在接入層，通過對政務(wù)系統(tǒng)應(yīng)用的接入終端和互聯(lián)網(wǎng)的邏輯隔離，安全需求高的部門要求做好與互聯(lián)網(wǎng)的物理隔離。全面實現(xiàn)電子政務(wù)網(wǎng)絡(luò)的安全應(yīng)用。

3.2? 基于VLAN網(wǎng)絡(luò)安全實現(xiàn)

基于VLAN網(wǎng)絡(luò)安全，可實現(xiàn)不同網(wǎng)絡(luò)平臺和網(wǎng)段之間的有效隔離，避免產(chǎn)生相互攻擊或非法訪問。在樂昌市電子政務(wù)外網(wǎng)規(guī)劃中，需滿足以下安全需求：（1）通過安全策略配置，做好訪問控制，限制對服務(wù)器的訪問權(quán)限及通訊協(xié)議方式，重點保護應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器，網(wǎng)絡(luò)來訪用戶只能按特定的訪問策略與服務(wù)器進行通信。（2）能識別鄉(xiāng)鎮(zhèn)用戶和局單位用戶的數(shù)據(jù)包，分別對鄉(xiāng)鎮(zhèn)、各局的用戶區(qū)分授權(quán)訪問網(wǎng)絡(luò)，可以實現(xiàn)部分部門通過樂昌市電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)跨地區(qū)協(xié)同辦公。（3）能及時發(fā)現(xiàn)當前服務(wù)器、網(wǎng)絡(luò)設(shè)備受到來自不同VLAN的攻擊。通過對應(yīng)用服務(wù)器、交換設(shè)備的流量監(jiān)控，識別異常流量并阻斷，能有效防范全縣各級黨政機關(guān)內(nèi)網(wǎng)各種服務(wù)器、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)傳輸設(shè)備被攻擊。

通過基于VLAN網(wǎng)絡(luò)實現(xiàn)安全（如圖4所示），可滿足縣級各局單位與各鎮(zhèn)、局派出單位內(nèi)部網(wǎng)絡(luò)安全互聯(lián)的需求。通過基于VLAN劃分不同業(yè)務(wù)[3]，并結(jié)合路由策略配置、防火墻安全策略配置，對不同VLAN之間的訪問控制可以實現(xiàn)精細控制，進一步保護政務(wù)網(wǎng)絡(luò)免受攻擊。

3.3? 基于劃分安全域?qū)崿F(xiàn)網(wǎng)絡(luò)安全

在電子政務(wù)網(wǎng)絡(luò)應(yīng)用的可用性的基礎(chǔ)上，劃分安全網(wǎng)域，同時保障網(wǎng)絡(luò)中各種服務(wù)器應(yīng)用的安全。采用安全區(qū)、非安全區(qū)和非軍事化區(qū)（DMZ）結(jié)構(gòu)分段式網(wǎng)絡(luò)。

目前，樂昌市電子政務(wù)系統(tǒng)采用的是“瀏覽器/Web服務(wù)器/數(shù)據(jù)庫服務(wù)器”的系統(tǒng)架構(gòu)。基于劃分安全域?qū)崿F(xiàn)網(wǎng)絡(luò)安全，我們把用戶界面層、服務(wù)器層和數(shù)據(jù)庫應(yīng)用層分別規(guī)劃放置在不同的安全域里，以實現(xiàn)網(wǎng)絡(luò)安全。重要數(shù)據(jù)存儲在數(shù)據(jù)庫層;臨時數(shù)據(jù)則存放在用戶界面層及應(yīng)用服務(wù)器層。安全策略拒絕用戶對數(shù)據(jù)庫層中的數(shù)據(jù)庫服務(wù)器直接訪問;僅允許用戶采用普通的瀏覽器或客戶端對應(yīng)用服務(wù)器層訪問，通過用戶界面層訪問應(yīng)用服務(wù)器，應(yīng)用服務(wù)器再訪問后臺數(shù)據(jù)庫。基于劃分安全域?qū)崿F(xiàn)網(wǎng)絡(luò)安全的應(yīng)用，運用非軍事化區(qū)結(jié)構(gòu)的電子政務(wù)網(wǎng)絡(luò)拓撲有利于提高網(wǎng)絡(luò)安全性。

如圖5所示，我們基于劃分安全域?qū)崿F(xiàn)網(wǎng)絡(luò)安全，可以采用防火墻來實現(xiàn)這種域安全。首先在防火墻上劃分三個不同區(qū)域，分別為外網(wǎng)（非安全區(qū)）、內(nèi)網(wǎng)（安全區(qū)）、非軍事化區(qū)。非軍事化區(qū)供外部用戶訪問，但外部用戶不能訪問內(nèi)網(wǎng)。內(nèi)網(wǎng)放置存放各種重要的數(shù)據(jù)的服務(wù)器，這種服務(wù)器于屬數(shù)據(jù)庫層，外網(wǎng)不允許直接訪問。非軍事化區(qū)放置Web應(yīng)用服務(wù)器，互聯(lián)網(wǎng)用戶使用如IE瀏覽器可以訪問Web應(yīng)用服務(wù)器;放置在內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)器，則僅供非軍事化區(qū)的應(yīng)用服務(wù)器訪問。

同時，把內(nèi)部應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器部署在不同的安全域內(nèi)，再用虛擬網(wǎng)方法劃分成不同的子網(wǎng)，子網(wǎng)對應(yīng)外網(wǎng)、內(nèi)網(wǎng)用戶，確保只有內(nèi)網(wǎng)用戶能訪問非安全區(qū)、安全區(qū)、非軍事化區(qū)網(wǎng)絡(luò)，但不能直接去訪問數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)。外網(wǎng)用戶，包括縣級黨政機關(guān)及各鎮(zhèn)派出單位網(wǎng)絡(luò)以及移動辦公的用戶，他們與樂昌市電子政務(wù)外網(wǎng)的連接都必須通過防火墻，且只能訪問非軍事化區(qū)網(wǎng)絡(luò)應(yīng)用。

3.4? 基于運用網(wǎng)絡(luò)安全管理系統(tǒng)，提高網(wǎng)絡(luò)安全管理效率

隨著電子政務(wù)外網(wǎng)規(guī)模的擴大，網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)設(shè)備故障排除難度加大，及時發(fā)現(xiàn)和排除網(wǎng)絡(luò)故障，做到對整個電子政外網(wǎng)設(shè)備的全局管理是至關(guān)重要的。采用優(yōu)秀的網(wǎng)絡(luò)安全管理系統(tǒng)，能夠圖形化地展示當前網(wǎng)絡(luò)拓撲和運行狀態(tài)，分別在鏈路層、網(wǎng)絡(luò)層進行全程監(jiān)控，進一步有效提高網(wǎng)絡(luò)管理人員工作效率和網(wǎng)絡(luò)資源利用率。同時，要考慮網(wǎng)絡(luò)設(shè)備選型盡可能是同一品牌，減少兼容問題，做到無縫連接，使網(wǎng)絡(luò)安全管理系統(tǒng)最大程度地發(fā)揮效率。充分利用管理系統(tǒng)快速高效的特點，實時評估網(wǎng)絡(luò)安全動態(tài)趨勢，對網(wǎng)絡(luò)安全事故的發(fā)生提早預(yù)警，降低因為網(wǎng)絡(luò)安全引起的電子政務(wù)系統(tǒng)運行風(fēng)險。

在樂昌市電子政務(wù)外網(wǎng)使用的路由、交換設(shè)備，都支持簡單網(wǎng)絡(luò)管理協(xié)議（SNMP），網(wǎng)絡(luò)安全管理系統(tǒng)也可使用SNMP協(xié)議來監(jiān)控設(shè)備。網(wǎng)絡(luò)設(shè)備受到攻擊時，網(wǎng)絡(luò)安全管理系統(tǒng)會實時警報，運用網(wǎng)絡(luò)安全管理系統(tǒng)也是防范樂昌市電子政務(wù)外網(wǎng)攻擊的一種辦法。

3.5? 基于電子政務(wù)網(wǎng)絡(luò)安全管理體系

實現(xiàn)電子政務(wù)網(wǎng)絡(luò)安全管理，除了依靠上述的技術(shù)體系，還需要從組織體系、管理體系兩方面保證，如圖6所示。

安全管理組織保障，需要安全組織體系護航。實現(xiàn)電子政務(wù)外網(wǎng)安全管理的安全組織體系包括三個層次，從上到下依次為決策組織、日常管理機構(gòu)、執(zhí)行維護單元。國家層面的政策法規(guī)和單位內(nèi)部的安全管理制度，保障工作由決策組織和日常管理機構(gòu)執(zhí)行，并行使對內(nèi)部人員進行信息安全培訓(xùn)教育、安全技能指導(dǎo)、安全行為監(jiān)督、安全績效考核等職責(zé)。

管理體系，是實現(xiàn)電子政務(wù)外網(wǎng)的安全管理的法律保障。運用法律法規(guī)、網(wǎng)絡(luò)安全制度對網(wǎng)絡(luò)進行安全管理，從制度上保障了電子政務(wù)外網(wǎng)的安全。

4? 結(jié)? 論

隨著電子政務(wù)網(wǎng)絡(luò)安全技術(shù)的發(fā)展，電子政務(wù)外網(wǎng)建設(shè)在規(guī)劃階段、設(shè)計階段、維護階段、管理階段都要全面考慮網(wǎng)絡(luò)的安全。需要從網(wǎng)絡(luò)協(xié)議層次、各組網(wǎng)的網(wǎng)絡(luò)單元的網(wǎng)絡(luò)安全風(fēng)險去分析，采用相應(yīng)的網(wǎng)絡(luò)安全技術(shù)，以實現(xiàn)電子政務(wù)外網(wǎng)所需要的網(wǎng)絡(luò)安全服務(wù)，這樣使不同的網(wǎng)絡(luò)安全技術(shù)能互相補充、互相完善，全方位保障電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)的安全。

參考文獻：

[1] 洪毅，杜平.電子政務(wù)藍皮書：中國電子政務(wù)發(fā)展報告（2014） [M].北京：社會科學(xué)文獻出版社，2014.

[2] 中國互聯(lián)網(wǎng)協(xié)會.中國互聯(lián)網(wǎng)發(fā)展報告（2014） [R/OL].[2019-07-08].http：//www.cac.gov.cn/files/pdf/ISC-zghl wfzbg2014jingjian.pdf.

[3] 周瑾怡.基于Vlan及VRRP技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用實踐 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（3）：104-105.

作者簡介：唐清發(fā)（1978.03-），男，漢族，廣東樂昌人，樂昌市政務(wù)服務(wù)數(shù)據(jù)管理局黨組成員，樂昌市信息中心高級工程師，網(wǎng)絡(luò)規(guī)劃設(shè)計師，信息系統(tǒng)項目管理師，本科，研究方向：電子政務(wù)與信息化。