新時期電子政務(wù)云平臺的安全技術(shù)設(shè)計

劉立剛+雷穎

摘要：面對新時期網(wǎng)絡(luò)技術(shù)的快速發(fā)展，對我國各級電子政務(wù)網(wǎng)絡(luò)平臺的安全建設(shè)提出了更高的要求，在基于大數(shù)據(jù)的云計算平臺下，各級電子政務(wù)網(wǎng)絡(luò)平臺如何能面對新的安全挑戰(zhàn)，是當前要面對的一個重要課題。文章對電子政務(wù)網(wǎng)絡(luò)平臺建設(shè)時必須要考慮的安全技術(shù)設(shè)計進行了匯總，并對具體安全技術(shù)防范設(shè)計進行了闡述。

關(guān)鍵詞：電子政務(wù)；云平臺；安全；技術(shù)；設(shè)計

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）32-0267-02

Security Technology Design of E-government Cloud Platform in the New Era

LIU Li-gang，LEI Ying

（Dali County of Weinan province Shaanxi City Information Office， Weinan 715100， China）

Abstract： With the rapid development of network technology in the new period， put forward higher requirements for construction safety at all levels of our country E-government network platform， in the big data cloud computing platform Based on E-government network platform， at all levels how to face new security challenges， is currently an important topic to face. This paper summarizes the security technology design which must be considered in the construction of e-government network platform， and expounds the specific security technology prevention design.

Key words： e-government； cloud platform； security； technology； design

1 概述

近年來，我國各級政府電子政務(wù)網(wǎng)絡(luò)平臺發(fā)展迅速，國家領(lǐng)導(dǎo)人多次提出加快互聯(lián)網(wǎng)+政務(wù)建設(shè)、國家一體化大數(shù)據(jù)中心建設(shè)的指示精神，以民生、政務(wù)、互聯(lián)網(wǎng)等基礎(chǔ)服務(wù)為依據(jù)，著力提升國家的政務(wù)整體服務(wù)水平，給我國政務(wù)機構(gòu)提出了相關(guān)的要求；各級省市也落實中央精神相應(yīng)出臺了政務(wù)互聯(lián)的指導(dǎo)文件，代表著我國政務(wù)服務(wù)工作將出現(xiàn)新的發(fā)展局面。

2 當前電子政務(wù)網(wǎng)絡(luò)平臺及業(yè)務(wù)應(yīng)用現(xiàn)狀

電子政務(wù)網(wǎng)絡(luò)平臺作為我國統(tǒng)一的政務(wù)服務(wù)平臺總體框架的重要組成部分和電子政務(wù)網(wǎng)的重要基礎(chǔ)設(shè)施，主要服務(wù)于黨委、人大、政府、政協(xié)、法院和檢察院的政務(wù)業(yè)務(wù)，依托國家電子政務(wù)骨干傳輸網(wǎng)構(gòu)建，滿足各級政務(wù)部門社會管理、公共服務(wù)等面向社會服務(wù)的需要，支持各部門政務(wù)業(yè)務(wù)系統(tǒng)和國家戰(zhàn)略性、基礎(chǔ)性信息資源庫的運行，支持跨部門、跨地區(qū)的信息資源共享和交換。

當前各級政府網(wǎng)絡(luò)平臺運行的政務(wù)業(yè)務(wù)系統(tǒng)已聚積了大量的信息資源，已成為政府成熟的業(yè)務(wù)展示和應(yīng)用的系統(tǒng)，是各部門工作模式創(chuàng)新與業(yè)務(wù)流程優(yōu)化、開展協(xié)同辦公和提升網(wǎng)絡(luò)服務(wù)的基礎(chǔ)，是政府在網(wǎng)絡(luò)領(lǐng)域工作開展以來建立的重要據(jù)點。雖經(jīng)過多年的平臺建設(shè)及發(fā)展，各業(yè)務(wù)系統(tǒng)難以整合，數(shù)據(jù)庫獨立運行，無法實現(xiàn)共享的問題還是比較突出。現(xiàn)階段加快實現(xiàn)平臺資源整合，構(gòu)建大數(shù)據(jù)下統(tǒng)一的電子政務(wù)云平臺，將會徹底改變各級電子政務(wù)平臺運行現(xiàn)狀。

3 平臺安全防范技術(shù)將發(fā)生變化

由于傳統(tǒng)政務(wù)服務(wù)模式都是依托獨立的數(shù)據(jù)庫來提供，安全防范從技術(shù)、管理和人員三個方面圍繞業(yè)務(wù)來保障即可實現(xiàn)，但政務(wù)互聯(lián)后將從單一的數(shù)據(jù)中心過渡到集中的云數(shù)據(jù)中心，這將使傳統(tǒng)的IT架構(gòu)發(fā)生變化，安全邊界、業(yè)務(wù)應(yīng)用和數(shù)據(jù)分享都需要重新設(shè)計，才能滿足業(yè)務(wù)發(fā)展的需求。云數(shù)據(jù)中心伴隨著的云安全，也給各級政務(wù)平臺管理部門帶來的一定的困擾。傳統(tǒng)安全有法可依，有標準可遵循，而云計算平臺安全將是我們面臨的新課題，更需要重新設(shè)計整體架構(gòu)。

4 電子政務(wù)云平臺安全技術(shù)設(shè)計

4.1 總體設(shè)計

平臺安全運行始終以業(yè)務(wù)為保障目標，電子政務(wù)平臺要時刻為這些互聯(lián)業(yè)務(wù)開展的基礎(chǔ)資源提供安全防護，按照目前對政務(wù)互聯(lián)安全的發(fā)展需求，可將新階段電子政務(wù)云平臺安全技術(shù)設(shè)計歸結(jié)為以下幾點：

（1） 用戶訪問政務(wù)云資源時的安全性，包括用戶認證，訪問控制，資源隔離，以及對政務(wù)云內(nèi)部資源的保護；

（2） 云平臺自身的安全性，包括網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)等各個層面的安全威脅都應(yīng)該能夠防御與監(jiān)控、審計；

（3） 各個層面用戶的安全訪問與權(quán)限管理；

（4） 對使用方的安全控制與安全審計；

（5） 平臺數(shù)據(jù)之間交換安全的防范；

（6） 多樣化移動接入的安全防范控制；由于網(wǎng)上政務(wù)服務(wù)應(yīng)用模式的改變，多樣化接入政務(wù)平臺的方式也將是平臺安全設(shè)計時要考慮的一個重要方面。

4.2 云平臺建設(shè)安全具體技術(shù)設(shè)計

在具體的電子政務(wù)平臺建設(shè)安全設(shè)計中，應(yīng)重點注重以下四個技術(shù)方面，實現(xiàn)網(wǎng)絡(luò)邊界自主可控，提升整體安全防護能力。

1） IT架構(gòu)設(shè)計

采用云、邊界、端的聯(lián)動機制，對業(yè)務(wù)系統(tǒng)進行強有力的保障，同時實現(xiàn)虛擬化環(huán)境下的邊界安全防護問題，解決東西向流量不可見的風(fēng)險問題。endprint

2） 虛擬網(wǎng)絡(luò)層安全設(shè)計

在云平臺上采用軟件定義網(wǎng)絡(luò)（SDN）和網(wǎng)絡(luò)功能虛擬化（NFV）來提供網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的可擴展性、敏捷性和可編程性。虛擬網(wǎng)絡(luò)可視化，能幫助管理人員及時清晰的了解云環(huán)境下的虛擬網(wǎng)絡(luò)的結(jié)構(gòu)和變化。網(wǎng)絡(luò)流量審計，能幫助管理員應(yīng)對SDN架構(gòu)模式的虛擬網(wǎng)絡(luò)環(huán)境下的南北向流量，東西向流量的各種攻擊事件。

3） 虛擬主機層安全設(shè)計

（1） Webshell檢測（網(wǎng)頁后門檢測）

Webshell常常被稱為匿名用戶（入侵者）通過網(wǎng)站端口對網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。Webshell雖是一個web的頁面動態(tài)腳本，但是它的功能非常強大可以獲得一些管理員不希望獲得的權(quán)限，比如執(zhí)行系統(tǒng)命令、刪除web頁面、修改主頁等。在設(shè)計時應(yīng)注重具備此危害的防范

（2） 虛擬機防病毒

通過虛擬化技術(shù)實現(xiàn)在單一物理系統(tǒng)中運行多個虛擬機的設(shè)計，從而使資源得到更高效的利用。此設(shè)計雖可以大幅削減設(shè)備的資本支出、降低與電力和冷卻相關(guān)的能源成本以及節(jié)省物理空間。但是虛擬環(huán)境下的服務(wù)器會和傳統(tǒng)物理服務(wù)器碰到相同的安全性問題，例如病毒、蠕蟲、木馬程序和惡意軟件的入侵。所以在虛擬環(huán)境下的服務(wù)器同樣需要考慮有效地防范。

（3） 虛擬主機防火墻

在云數(shù)據(jù)中心平臺中，業(yè)務(wù)可以部署在任何機架上的服務(wù)器虛擬機中，通過基于主機實現(xiàn)的虛擬防火墻，實現(xiàn)對云平臺中東西向流量管理。虛擬防火墻可利用數(shù)據(jù)中心的基礎(chǔ)資源進行虛擬化部署。虛擬化防火墻即能防止來自外部的攻擊和偵查掃描，提高虛擬服務(wù)器的安全性。通過靈活的策略配置，實現(xiàn)對虛擬機全方位的防護。

（4） 虛擬主機入侵防御系統(tǒng)（IPS）

實現(xiàn)對虛擬機的通信進行檢查，對非法的攻擊行為進行監(jiān)控和阻斷。通過對已知的未經(jīng)修補的漏洞進行檢測修補，防止被非法用戶利用，同時能對web應(yīng)用層的SQL注入攻擊、XSS攻擊以及其他應(yīng)用攻擊提供安全防護能力；

針對虛擬機操作系統(tǒng)漏洞的攻擊防護：應(yīng)提供基本病毒防護功能，攔截利用漏洞的病毒攻擊感染；深度數(shù)據(jù)包檢測技術(shù)，全面攔截利用系統(tǒng)漏洞的攻擊；

提供虛擬補丁功能，智能規(guī)則通過檢測包含惡意代碼的異常協(xié)議數(shù)據(jù)，針對漏洞攻擊行為提供“零日漏洞”攻擊防護。漏洞攻擊規(guī)則可停止已知攻擊和惡意軟件，使用簽名來識別和阻止已知的單個漏洞攻擊行為。

4） 移動終端VPN安全接入設(shè)計

移動終端的多樣化接入平臺的模式，對接入平臺的安全性帶來極大的挑戰(zhàn)，在這種環(huán)境下需要對移動接入的設(shè)備進行全方位的安全檢測，避免安全事件的發(fā)生。同時在數(shù)據(jù)交互的過程中，更加需要精細的審計過程，按照業(yè)務(wù)的流程在關(guān)鍵節(jié)點上進行審計并配合一定的控制措施，實現(xiàn)移動終端的安全接入。

5 結(jié)論

網(wǎng)絡(luò)安全建設(shè)任重道遠，我國網(wǎng)絡(luò)安全法的實施，對新時期國家網(wǎng)絡(luò)安全提供了法律保障，在技術(shù)層面，不斷加強電子政務(wù)平臺的安全防范能力，是我們永不改變的話題，通過分析新時期電子政務(wù)云平臺安全設(shè)計重點，以實現(xiàn)引領(lǐng)網(wǎng)上政務(wù)平臺互聯(lián)發(fā)展的新形勢，提供大數(shù)據(jù)云平臺、政務(wù)服務(wù)平臺業(yè)務(wù)應(yīng)用的安全保障。

參考文獻：

[1] 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)特點“新三樣”[Z].http：//tech.idcquan.com/60325.shtml

[2] 李岱.基于零日漏洞攻擊的原理與防范[J].電腦知識與技術(shù)，2009，5 （33）：9394-9395.endprint