政务信息系统及网络安全运维

张帅

当前为打造服务型政府，传统办公模式已无法满足。大型政务服务事项、公文流转、行政审批、费税征缴、信息公开、网格化社会管理、三网融合、智慧城市建设等大量政府核心业务越来越依赖信息化。随着互联网+政务的全面进入建设期，大多数政务信息系统趋于成熟期且大部分进入全面维护阶段，政务信息应用系统的网络安全成为重中之重，互联网+政务的安全生产、运维已经成新战略制高点。

【关键词】CA证书认证 体系设计 非功能性技术设计 内外网统一安全接入——P2P VSN虚拟安全域 社会工程学入侵

目前大部分市区级政务信息网络主要着承载政务办公数据流系统、对公众提供业务办理等系统以及基本的互联网访问权限。随着政务信息业务系统业务逻辑日趋复杂，体量日益庞大，在政务信息系统的风险控制，安全运维成本，科学管理，方面将迎来一个全新的战场。

当前政务信息系统有或部分有以下问题：

区县的相关管理、运维人员能力匮乏，网络安全知识相对较落后，对全局政务网的硬件服务器、存储、数据库软件、应用服务器中间件、相关政务信息业务系统并没有做到了如指掌不能完全驾驭全局运维与安全保障。在出现故障时无法从业务角度快度锁定故障起源点，无法对故障进行深度解析并提供完整解决方案并实施。

区县政务信息系统是没有统一的认证授权并各自为政，无法做到访问控制，没有USB-KEY，CA证书认证等技术融入，病毒非常容相互间在各个系统中传递感染，重要数据岌岌可危；区县政务网基本没有全网的日志审计和客户机上网行为管理的，各种繁杂的应用安全系统设备产生的安全事件以及网络安全行为监控各自独立，冗余度过高，没有科学的审计，有效的整合，出现问题业务系统管理员根本无法防御爆炸式连锁攻击，安全风险系数极高。外网办公接入设备直接接入业务网，没有对过程数据流进行监察审计，业务数据在网络中的传输缺乏近乎透明传递，安全隐患非常严重。

當政务信息网络发生故障或者爆发大规模病毒攻击时，无法精准锁定攻击源头，从根源控制攻击，整个处理过程也缺少科学的提高故障解决手段，缺少应急预案，缺少专家应急小组。

这些问题必须且毋庸置疑的解决和改善，应采用以下技术和策略：CA证书认证体系设计，非功能性技术设计，内外网统一安全接入——P2P VSN虚拟安全域，USB-KEY，动态短信密码，一次性口令等方式，堵着社会工程学入侵缺口。

1 政务信息系统及网络安全运维的实践

实现终端内外网统一接入：整合梳理办公内网和Internet网络的用户认证、访问授权、资源权限等问题，彻底不留隐患的有效的解决办公内网的安全接入和Internet网络安全接入，彻底清除未授权终端非法用户对政务信息系统的存在威胁，确保了政务业务系统的数据在政务网络中安全数据流传输的可靠性。

完整的用户行为和关键政务信息系统数据流日志审计，记录并保留一个月以上的用户上网行为是非常有必要的，在庞大的用户痕迹日志信息中进行初步数据挖掘，能发现潜在的安全隐患，防患于未然，将安全隐患控制牢牢控制，并扼杀。若已发生安全事故，可迅速定位事故爆发点，妥善快速解决问题，如事故造成严重的财产损失，可提交公安机关进行取证。

定期由专业安全运维第三方服务公司提供专家级业务报告，为下一步网络优化提供建议，保障网络持续、健康发展、安全：对整个被监控网络能够提供全面安全健康状态检测报告。报告内容包含客户机非安全访问记录、并发数异常记录、带宽控制效果、攻击发生统计等等。

2 政务信息系统及网络安全运维建设

2.1 政务信息系统建设内容应涵盖以下方面

建立覆盖区县政务信息系统所涉及的硬件服务器设备、存储设备、核心网络链路拓扑、政务业务系统结构、数据库并发数据链路流和中间件异常并发情况的综合管理安全运维平台，包括集中授权管理中心、面向业务的精确带宽流量控制系统和业务服务中心，系统应具备完整业务功能和良好伸缩性。

实现集中授权管理中心，建立集中安全管控平台：构建全网集中的用户账号管理、认证管理、授权管理、日志审计，为内外网用户提供统一的接入服务，加强内控管理，并且为精确带宽流量控制系统和业务服务管理中心提供管理控制依据。

面向业务的带宽流量控制系统：构建业务网络分析、净化、控制系统，进行全面的流量监视、净化和控制，有效提高链路的带宽利用率，保障重点业务的网络质量。

2.2 CA证书认证体系设计

为切实做好政务信息系统安全认证工作，提高各个区县网络安全保障水平和对应用系统的防护能力，建立CA证书认证体系。

遵循“建设政务信息系统统一的身份认证体系，为构建政务网络信任体系奠定基础，提高应用系统安全保障和防护能力”的目标，保证数据的完整性和保密性，确保用户来源和行为的真实性和不可否认性。

2.3 内外网统一安全接入——P2P VSN虚拟安全工作域

建立P2P构成的虚拟安全域，确保政务信息业务应用环境的安全性。

通过集中安全管控平台，用户终端无论在企业网内或是在互联网中，只需要能够在网络层与安全网关之间可达、通过身份认证后即可建立P2P VSN虚拟安全工作域，借由端到端的加密隧道与授权业务系统进行通信。

2.4 防止社会工程学入侵渗透

在以上的技术应用可以阻止90%以上的黑客攻击，但是有关信息系统及其网络安全的问题是矛与盾永无休止的话题，事实上，没有任何技术能防范社会工程学攻击。这就是安全方面做薄弱的环节：人！

政务信息所有工作人员都应该进行定期前言安全知识培训。

政务信息系统所有业务干系人都应懂得基本的安全策略，策略是指导业务人员行为保护政务信息系统与敏感信息所必须的规则。

参考文献

[1]张丽丽.新常态下推进“互联网+政务服务”建设研究——以浙江省政务服务网为例[J].浙江学刊，2016（05）.

[2]冯巧玲.IPS在电子政务系统中的部署与实现[J].西安文理学院学报（自然科学版）， 2015（02）.

[3]刘邦凡，关梦颖.电子政务的信息安全立法[J].电子商务，2014（01）.

作者单位

武汉市东西湖区宣传信息中心 湖北省武汉市 430040