崔亞明

（中國通信建設(shè)集團設(shè)計院有限公司第四分公司，河南 鄭州 450000）

0 引言

伴隨著信息技術(shù)的突飛猛進發(fā)展，我國政府信息化經(jīng)過不斷演進，逐步建立起了相對完備的國家電子政務(wù)體系，進一步推動了國家治理能力和治理體系現(xiàn)代化進程，電子政務(wù)外網(wǎng)被賦予的責(zé)任也越來越重大。確保省級電子政務(wù)外網(wǎng)網(wǎng)管中心安全，符合國家相關(guān)部門的一些政策要求。省級電子政務(wù)外網(wǎng)網(wǎng)管中心安全有效運行，是踐行習(xí)近平新時代特色社會主義思想的重大舉措，將推進數(shù)字中國、智慧社會的建設(shè)進程，助力于本省國民經(jīng)濟和社會發(fā)展，將會推動各級政務(wù)部門利用電子政務(wù)外網(wǎng)開展業(yè)務(wù)應(yīng)用，推進政務(wù)信息資源的整合共享，進一步提高政府社會管理和公共服務(wù)水平。將加快促進省級政務(wù)外網(wǎng)管理部門提升省電子政務(wù)外網(wǎng)綜合管理能力，是實現(xiàn)省級電子政務(wù)外網(wǎng)網(wǎng)絡(luò)管理職能的基礎(chǔ)支撐和核心抓手。

1 省級電子政務(wù)外網(wǎng)網(wǎng)管中心面臨的挑戰(zhàn)

經(jīng)過長期的不斷完善與發(fā)展，省級電子政務(wù)外聯(lián)網(wǎng)已經(jīng)形成了連接國家與國家的紐帶省、市、縣、鄉(xiāng)四級，橫向銜接政府部門網(wǎng)絡(luò)結(jié)構(gòu)，有力地支撐了傳統(tǒng)模式下電子政務(wù)應(yīng)用的可持續(xù)發(fā)展[1]。為了在傳統(tǒng)模式架構(gòu)下政務(wù)外網(wǎng)適應(yīng)大數(shù)據(jù)時代電子政務(wù)的應(yīng)用，這對省級電子政務(wù)外網(wǎng)網(wǎng)管中心的要求愈發(fā)嚴(yán)格。伴隨著云計算、大數(shù)據(jù)、邊緣計算等前沿技術(shù)不斷應(yīng)用到電子政務(wù)外網(wǎng)當(dāng)中，網(wǎng)管中心所扮演的角色變得越來越重要[2]。省級電子政務(wù)外網(wǎng)網(wǎng)管中心對于新的需求新模式和新特點面臨著諸多挑戰(zhàn)，主要體現(xiàn)在流量、安全防護和穩(wěn)定性三個方面。

（1）流量壓力。省級電子政務(wù)外網(wǎng)經(jīng)過不斷發(fā)展與完善，截至目前已基本形成上連國家，下連省、市、縣、鄉(xiāng)四級，橫向連接各政務(wù)部門的網(wǎng)絡(luò)結(jié)構(gòu)。伴隨電子政務(wù)外網(wǎng)的不斷進步，與之而來的是省級電子政務(wù)外網(wǎng)骨干網(wǎng)的數(shù)據(jù)吞吐量也極大增加，這極大增加了省級電子政務(wù)外網(wǎng)網(wǎng)管中心的壓力，省級電子政務(wù)外網(wǎng)網(wǎng)管中心所承受的流量壓力日益嚴(yán)峻。

（2）安全防護問題日益嚴(yán)峻。大數(shù)據(jù)時代，政務(wù)變得越來越電子化、數(shù)字化，電子政務(wù)承載著國家經(jīng)濟、政治、軍事等多方面的信息，并與國家安全息息相關(guān)。與此同時，網(wǎng)管中心所承受的外界惡意攻擊的風(fēng)險也越來越嚴(yán)重。因此，網(wǎng)管中心安全是電子政務(wù)建設(shè)的基礎(chǔ)部分，也是電子政務(wù)正常運行的前提條件。

（3）網(wǎng)絡(luò)穩(wěn)定性要求更高。隨著電子政務(wù)外網(wǎng)肩負(fù)的重?fù)?dān)越來越重，這就要求網(wǎng)管中心具有更強的穩(wěn)定性。但是，由于電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)架構(gòu)越來越復(fù)雜，所承載的業(yè)務(wù)也會變得更加龐大，也更容易發(fā)生故障，這就對網(wǎng)管中心提出了更大的挑戰(zhàn)。

2 省級電子政務(wù)外網(wǎng)網(wǎng)管中心安全應(yīng)對策略

2.1 綜合安全網(wǎng)關(guān)

綜合安全網(wǎng)關(guān)是一種具備多種安全防護能力的綜合安全設(shè)備，包含F(xiàn)W、IPS、IDS、抗DDOS等功能，支持旁路、串接等組網(wǎng)方式。綜合安全網(wǎng)關(guān)進行防火墻、IPS入侵防御、流量控制、流量分析等業(yè)務(wù)插卡集成，實現(xiàn)多業(yè)務(wù)融合和一體化安全，實現(xiàn)網(wǎng)絡(luò)與安全、應(yīng)用的深度融合。安全及業(yè)務(wù)插卡模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴展性強的特點，降低了用戶管理難度，減少了維護成本。

2.2 態(tài)勢感知系統(tǒng)

態(tài)勢感知是一種基于環(huán)境動態(tài)、全面地了解安全風(fēng)險的能力。它利用數(shù)據(jù)挖掘、數(shù)據(jù)融合、智能數(shù)據(jù)分析和數(shù)據(jù)可視化技術(shù)，將網(wǎng)絡(luò)環(huán)境的實時安全狀態(tài)直觀地展示出來，為網(wǎng)絡(luò)安全提供技術(shù)支持。態(tài)勢感知主要就是通過對數(shù)據(jù)的采集和整理，進而對當(dāng)前的網(wǎng)絡(luò)以及未來將出現(xiàn)的可能性威脅進行判斷和預(yù)警，并且給出分析報告，幫助做好網(wǎng)絡(luò)安全的防范措施。

借助態(tài)勢感知，政務(wù)外網(wǎng)網(wǎng)管中心運維人員可以及時了解網(wǎng)絡(luò)狀態(tài)、攻擊情況、攻擊來源以及哪些服務(wù)容易受到攻擊；用戶單位能夠清楚地掌握網(wǎng)絡(luò)的安全狀況和趨勢，并作出相應(yīng)的防范準(zhǔn)備，減少甚至避免網(wǎng)絡(luò)中病毒和惡意攻擊造成的損失；應(yīng)急組織還可以從形勢中了解服務(wù)網(wǎng)絡(luò)的安全狀況和發(fā)展趨勢，為制訂可預(yù)測的應(yīng)急計劃提供參考。與傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)施相比較，網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)是建立在大量的數(shù)據(jù)收集論證的基礎(chǔ)上，因此判斷的處理結(jié)果會更加精確有效。態(tài)勢感知系統(tǒng)分為三層設(shè)計，即由三大核心子系統(tǒng)構(gòu)成：流量采集處理系統(tǒng)、流量大數(shù)據(jù)分析系統(tǒng)、安全態(tài)勢感知系統(tǒng)。

（1）流量采集處理系統(tǒng)：采對全網(wǎng)業(yè)務(wù)流量進行深度處理，利用DPI技術(shù)和DFI技術(shù)對網(wǎng)絡(luò)中的流量進行匯聚分流、同源同宿、建流、應(yīng)用協(xié)議識別、協(xié)議元數(shù)據(jù)提取、精細(xì)化協(xié)議識別、精細(xì)化五元組話單等功能等。

（2）流量大數(shù)據(jù)分析系統(tǒng)：整個系統(tǒng)保存一定時間段內(nèi)的全流量會話信息，可對歷史數(shù)據(jù)進行回溯，并可通過人工智能、大數(shù)據(jù)分析等進行模型訓(xùn)練分析，對異常流量進行預(yù)測。

（3）安全態(tài)勢感知系統(tǒng)：安全態(tài)勢感知，通過全流量采集處理，結(jié)合大數(shù)據(jù)和人工智能技術(shù)，構(gòu)建安全基線，可發(fā)現(xiàn)如異常流量、異地登錄、違規(guī)行為等異常情況；網(wǎng)絡(luò)流量態(tài)勢感知，可從鏈路、網(wǎng)段、區(qū)域、用戶、應(yīng)用五個層面感知網(wǎng)絡(luò)流量態(tài)勢；網(wǎng)絡(luò)行為態(tài)勢感知，可對網(wǎng)絡(luò)中的四到七層協(xié)議進行精細(xì)化識別。

2.3 運維審計堡壘機

運維審計堡壘機主要包含策略管理、應(yīng)用代理和審計三大組件。策略管理組件主要負(fù)責(zé)與網(wǎng)管中心管理員進行交互，并將輸入的安全策略指令存儲在運維審計堡壘機內(nèi)的策略配置庫中。應(yīng)用代理組件是運維審核堡壘的核心，負(fù)責(zé)運維審核堡壘內(nèi)與其他組件間的交互，負(fù)責(zé)運維用戶的操作轉(zhuǎn)移。應(yīng)用代理組件在接收到運維人員的請求指令后，調(diào)用策略管理組件，根據(jù)管理員設(shè)置的策略配置庫檢查操作行為。如果違規(guī)操作或不遵循安全策略，應(yīng)用程序代理組件將拒絕執(zhí)行該操作。策略管理組件驗證操作后，將操作人員替換為代理組件代連接到目標(biāo)設(shè)備完成相應(yīng)操作，并將操作結(jié)果返回給相應(yīng)的運維操作人員。同時，操作過程將提交到審計組件，并記錄在審計日志數(shù)據(jù)庫中。必要時，進行歷史運行調(diào)查，記錄運行維護人員，審計日志查詢審計堡壘機運行維護情況，接著審計組件從審計日志中獲取對應(yīng)的日志記錄數(shù)據(jù)庫，并在審計的交互界面上將它們展示出來。

2.4 網(wǎng)絡(luò)防病毒軟件

為降低省級電子政務(wù)外網(wǎng)管理中心機房服務(wù)器的安全威脅，應(yīng)采用創(chuàng)新的安全技術(shù)對服務(wù)器進行安全加固。因為傳統(tǒng)的安全技術(shù)應(yīng)用服務(wù)器的保護具有短板效應(yīng)，任何的疏忽都會使整個信息系統(tǒng)的安全防線缺位，并帶來經(jīng)濟和企業(yè)聲譽的損失。更重要的是，這些被廣泛使用的傳統(tǒng)安全產(chǎn)品基本上只能在網(wǎng)絡(luò)層保護服務(wù)器系統(tǒng)，卻無法應(yīng)對新的安全威脅。因此，我們需要采用創(chuàng)新的安全技術(shù)，完善網(wǎng)管中心信息安全保護體系的基礎(chǔ)設(shè)施，抵御最新的安全威脅。它可以減少安全威脅的出現(xiàn)與真正防范之間的時間差，提高服務(wù)器的安全性和抗攻擊能力，從而為電子政務(wù)外網(wǎng)業(yè)務(wù)系統(tǒng)提供可用性應(yīng)用。

2.5 DMZ（隔離區(qū)）

可對省級電子政務(wù)外網(wǎng)網(wǎng)管中心核心路由器新增防火墻和接入交換機，以旁路方式通過配置策略，搭建DMZ區(qū)域。未來區(qū)域內(nèi)將根據(jù)實際需要設(shè)置各類應(yīng)用服務(wù)器，以確保服務(wù)器的穩(wěn)定地對外提供服務(wù)。

2.6 綜合安全網(wǎng)關(guān)

綜合安全網(wǎng)關(guān)是一種具備多種安全防護能力的綜合安全設(shè)備，包含F(xiàn)W、IPS、IDS、抗DDOS等功能，支持旁路、串接等組網(wǎng)方式。綜合安全網(wǎng)關(guān)進行防火墻、IPS入侵防御、流量控制、流量分析等業(yè)務(wù)插卡集成，實現(xiàn)多業(yè)務(wù)融合和一體化安全，實現(xiàn)網(wǎng)絡(luò)與安全、應(yīng)用的深度融合。安全及業(yè)務(wù)插卡模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴展性強的特點，降低了用戶管理難度，減少了維護成本。

3 結(jié)束語

隨著我國科學(xué)技術(shù)和電子政務(wù)的不斷發(fā)展，電子政務(wù)外網(wǎng)網(wǎng)管中心就會面臨很多安全問題。針對電子政務(wù)外網(wǎng)網(wǎng)管中心的安全問題，應(yīng)當(dāng)與時俱進采取新的諸如云計算、區(qū)塊鏈、生物識別技術(shù)等前沿科技手段和技術(shù)，只有這樣才能夠在安全問題出現(xiàn)時做到從容應(yīng)對。只有不斷采取新的科技手段，才能不斷改善電子政務(wù)外網(wǎng)網(wǎng)管中心的安全問題。