面向電子政務(wù)網(wǎng)絡(luò)建設(shè)的信任互聯(lián)管控模型

陳中林 單志廣 肖國玉 陳山枝

1(北京郵電大學(xué)網(wǎng)絡(luò)技術(shù)研究院 北京 100876) 2(國家信息中心信息化和產(chǎn)業(yè)發(fā)展部 北京 100045) 3(復(fù)旦大學(xué)網(wǎng)絡(luò)安全研究中心 上海 200433)

隨著我國政務(wù)信息化的深入發(fā)展，電子政務(wù)網(wǎng)絡(luò)作為國家關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)，電子政務(wù)網(wǎng)絡(luò)安全被提升到國家戰(zhàn)略的高度[1].由于承載政務(wù)內(nèi)涵使命的特殊性，相對于互聯(lián)網(wǎng)、移動通信網(wǎng)等公眾網(wǎng)絡(luò)的信息化，電子政務(wù)網(wǎng)絡(luò)更加注重行政管控與業(yè)務(wù)安全的融合，在滿足各級各類政務(wù)部門高效辦公需求的同時，需要與業(yè)務(wù)安全要求和管理模式相適應(yīng)[2].

電子政務(wù)網(wǎng)絡(luò)安全作為重要研究領(lǐng)域，國內(nèi)一些機構(gòu)和人員開展了大量的深入研究和設(shè)計.其中，張勇進等人[3]基于業(yè)務(wù)流的角度對政務(wù)網(wǎng)絡(luò)的管理體制進行了深入研究；蘇銳丹[4]從電子政務(wù)安全工程的幾個關(guān)鍵問題出發(fā)，對政務(wù)網(wǎng)絡(luò)中聯(lián)合身份管理、基于身份的公鑰基礎(chǔ)設(shè)施、網(wǎng)絡(luò)層與傳輸層數(shù)據(jù)通信加密等多個安全技術(shù)進行研究和系統(tǒng)設(shè)計；周曉斌[5]重點針對電子政務(wù)信任管理方面的開放式身份認(rèn)證、資源共享的身份安全、網(wǎng)絡(luò)身份管理的聯(lián)盟體系架構(gòu)等電子認(rèn)證的一些關(guān)鍵技術(shù)進行了研究.然而，這些基于傳統(tǒng)“客戶端 -服務(wù)器”局域網(wǎng)模式(無域間信任)和單純扁平“客戶端 -云服務(wù)”的互聯(lián)網(wǎng)模式(無層級化管控)都不能完全適應(yīng)我國電子政務(wù)網(wǎng)絡(luò)對信任互聯(lián)和按區(qū)域管控的需要.

在信息安全領(lǐng)域，最早由美國國家安全局(National Security Agency， NSA)提出的IATF(information assurance technical framework)《信息保障技術(shù)框架》[6]，形成以“縱深防御”為核心思想，采用多層次、縱深安全措施來保障信息系統(tǒng)安全的防御理論.2016年美國國家標(biāo)準(zhǔn)技術(shù)研究院(National Institute of Standards and Technology，NIST)發(fā)布的《美國網(wǎng)絡(luò)空間安全威脅信息共享指南》，進一步對美國聯(lián)邦政府各部門之間進行數(shù)據(jù)和信息的安全共享，提出了相關(guān)實施建議并對信息的信任互聯(lián)進行了重點闡述[7].這些理論和實踐對我國電子政務(wù)網(wǎng)絡(luò)的安全信任管控體系有重要的參考意義.

然而，基于美國行政體系的政府業(yè)務(wù)架構(gòu)不能很好適應(yīng)于我國行政規(guī)劃、電子政務(wù)網(wǎng)絡(luò)特征和安全要求.單一局部性的技術(shù)改進也無法滿足我國以地理區(qū)域為基礎(chǔ)、“縱橫兼?zhèn)洹钡碾娮诱?wù)網(wǎng)絡(luò)結(jié)構(gòu).當(dāng)前我國電子政務(wù)網(wǎng)絡(luò)在互聯(lián)互通、可信可管面臨4方面現(xiàn)狀和需求[8].

1) 政務(wù)網(wǎng)絡(luò)從局部分離到統(tǒng)一互通

國家電子政務(wù)網(wǎng)絡(luò)需要實現(xiàn)從中央到地方的統(tǒng)一互通，但地方電子政務(wù)網(wǎng)絡(luò)客觀存在不同程度的網(wǎng)絡(luò)與安全問題.

在網(wǎng)絡(luò)互聯(lián)方面：①網(wǎng)絡(luò)設(shè)計不規(guī)范，各地建設(shè)在先、規(guī)范在后，需要進行統(tǒng)一規(guī)劃和調(diào)整；②網(wǎng)絡(luò)路由和IP地址不規(guī)范，先建的地方網(wǎng)絡(luò)按照獨立專網(wǎng)模式進行IP分配，導(dǎo)致全網(wǎng)互聯(lián)時存在地址分配沖突，采用網(wǎng)絡(luò)地址轉(zhuǎn)換(network address translation，NAT)仍需深入研究和實踐.

在安全互聯(lián)方面：①地方電子政務(wù)網(wǎng)絡(luò)安全互聯(lián)的范圍和向下延伸缺少有效的管控措施；②地方電子政務(wù)網(wǎng)絡(luò)內(nèi)部沒有形成安全保障互信體系；③地方電子政務(wù)網(wǎng)絡(luò)經(jīng)過中央電子政務(wù)網(wǎng)絡(luò)平臺時，尚未形成切實可靠的互聯(lián)互信任體系.

2) 部門專網(wǎng)遷移的隔離與互聯(lián)

中央和地方工作部門的業(yè)務(wù)專網(wǎng)以承載本系統(tǒng)垂直業(yè)務(wù)為主，各部門獨立進行建設(shè)，業(yè)務(wù)依賴程度較高.按要求，電子政務(wù)網(wǎng)絡(luò)統(tǒng)一平臺建設(shè)后，部門專網(wǎng)需要逐步向統(tǒng)一的電子政務(wù)網(wǎng)絡(luò)平臺遷移.

部門專網(wǎng)向電子政務(wù)網(wǎng)絡(luò)遷移和互聯(lián)時需要解決多方面的現(xiàn)實問題:①部門業(yè)務(wù)的隔離需求，專網(wǎng)遷移到電子政務(wù)統(tǒng)一網(wǎng)絡(luò)平臺后仍然有保持一定業(yè)務(wù)相對獨立需求；②部門專網(wǎng)遷移到電子政務(wù)網(wǎng)絡(luò)平臺后，其業(yè)務(wù)范圍可以得到有效擴展，信息共享和協(xié)同辦公成為新的發(fā)展要求[9-10]，在保持專有業(yè)務(wù)隔離基礎(chǔ)上的互聯(lián)互通是面臨的另一個問題.

3) 網(wǎng)絡(luò)上的分割與業(yè)務(wù)上統(tǒng)一互信

電子政務(wù)網(wǎng)絡(luò)根據(jù)管理安全需要，在分層分域上按照行政管理區(qū)域為主體進行適配分割，但在分級分類上按照業(yè)務(wù)類別覆蓋范圍為主線進行隔離劃分.

當(dāng)前電子政務(wù)更迫切地跨地區(qū)信息共享、跨部門業(yè)務(wù)協(xié)同和全流程一體化辦公.安全分域管理電子政務(wù)網(wǎng)絡(luò)，如何更科學(xué)有效地支撐電子政務(wù)業(yè)務(wù)互信統(tǒng)一，是必須面對和解決的重要挑戰(zhàn).電子政務(wù)網(wǎng)絡(luò)一方面在結(jié)構(gòu)上不能違反安全域的要求，在管理上必須遵循政務(wù)管轄范圍；另一方面政務(wù)信息能快速自動實現(xiàn)跨區(qū)域互信互通，在跨部門協(xié)同時能實現(xiàn)信息的順暢流動又不影響到其他部門內(nèi)部信息安全.

4) 域間的安全監(jiān)管與全域的動態(tài)聯(lián)動

電子政務(wù)網(wǎng)絡(luò)分層分域的管理方式，使得基于行政管理邊界構(gòu)建的安全防御系統(tǒng)對電子政務(wù)網(wǎng)絡(luò)整體的安全防御體系至關(guān)重要.基于傳統(tǒng)網(wǎng)絡(luò)防御系統(tǒng)建立體系化的安全監(jiān)管協(xié)同聯(lián)動系統(tǒng)，成為當(dāng)前政務(wù)網(wǎng)絡(luò)邊界安全的新需求與新問題.

層級化的電子政務(wù)網(wǎng)絡(luò)需要實現(xiàn)安全監(jiān)管的協(xié)同聯(lián)動，對構(gòu)建可控可管安全提出了更高的要求：①安全行為可視化，需要對影響政務(wù)業(yè)務(wù)安全的行為按層級進行記錄和展示；②安全事件可追蹤，在跨行政區(qū)域時需要協(xié)同其他區(qū)域進行全程責(zé)任查證；③安全影響范圍可管控，基于邊界的安全管理在攻擊防范的基礎(chǔ)上，能夠?qū)⑽：κ录芸卦诒居虻姆秶鷥?nèi)；④安全動態(tài)可預(yù)測，能夠通過對安全事件的監(jiān)控、動態(tài)發(fā)現(xiàn)，安全事件海量信息的關(guān)聯(lián)、融合分析，形成對網(wǎng)絡(luò)安全的狀態(tài)和發(fā)展趨勢感知和預(yù)警，從而提升安全應(yīng)急處理能力.

因此，有必要基于我國電子政務(wù)的發(fā)展現(xiàn)狀，分析我國電子政務(wù)網(wǎng)絡(luò)的基本特征，研究在跨域條件下設(shè)計適應(yīng)我國電子政務(wù)網(wǎng)絡(luò)業(yè)務(wù)安全和管理需求的信任互聯(lián)和安全管控模型，設(shè)計與我國電子政務(wù)網(wǎng)絡(luò)在信息共享、分區(qū)管理、結(jié)構(gòu)匹配、邊界防護等多方面協(xié)作共生的總體安全架構(gòu)管理模型.針對電子政務(wù)網(wǎng)絡(luò)復(fù)雜環(huán)境，如何在分層分域基礎(chǔ)上實現(xiàn)身份鑒別、信任傳遞、可信互聯(lián)和邊界安全管控，是亟需解決的重要科學(xué)問題.

本文的主要貢獻和創(chuàng)新是基于對電子政務(wù)網(wǎng)絡(luò)特征和實踐的分析研究，將國際IATF模型和我國電子政務(wù)網(wǎng)絡(luò)管理應(yīng)用模型有機融合，創(chuàng)新性地提出了對等互聯(lián)、層級互聯(lián)和混合互聯(lián)3種適應(yīng)電子政務(wù)分級分域管理的信任互聯(lián)管控模型，并針對跨域信任傳遞、跨間安全監(jiān)管和全程策略管控等關(guān)鍵技術(shù)進行了設(shè)計與闡述.本文提出的信任互聯(lián)管控架構(gòu)模型，在電子政務(wù)規(guī)劃及相關(guān)課題的應(yīng)用示范中得到了實踐驗證，對電子政務(wù)的規(guī)劃設(shè)計具有重要借鑒意義，對信任服務(wù)相關(guān)產(chǎn)品的研制具有重要參考價值.

1 信任互聯(lián)管控模型

隨著國家電子政務(wù)網(wǎng)絡(luò)的演進和發(fā)展，結(jié)合這幾年的建設(shè)實踐，我國電子政務(wù)網(wǎng)絡(luò)在結(jié)構(gòu)建設(shè)和安全防御體系方面呈現(xiàn)出3方面特征:

特征1. 分層分域的安全防護結(jié)構(gòu).電子政務(wù)網(wǎng)絡(luò)都由國家統(tǒng)一進行規(guī)劃，適配行政管理體制劃分安全域、安全區(qū)[11]，依據(jù) “技術(shù)分層、安全分域”保護原則，分別按照涉密信息系統(tǒng)分級保護和信息系統(tǒng)安全等級保護實施安全保護，重點對安全區(qū)域的邊界嚴(yán)密管控[12].

特征2. 分級分類的受控訪問要求.政務(wù)信息作為國家管理重要的信息資源，是國家行政管理的主要業(yè)務(wù)內(nèi)容，由不同的行政機構(gòu)產(chǎn)生，具有相應(yīng)的行政流通范圍和不同的安全屬性要求.按要求，政務(wù)信息按不同密級、不同知悉范圍、不同類別進行分級分類與受控訪問.

特征3. 分級負(fù)責(zé)的安全管理模式.我國電子政務(wù)網(wǎng)絡(luò)按照分級負(fù)責(zé)、各司其職的原則，共同實施安全管理，在上下級部門之間、有網(wǎng)絡(luò)和業(yè)務(wù)互聯(lián)的不同部門之間、信息化部門與業(yè)務(wù)部門之間、監(jiān)管系統(tǒng)和被監(jiān)管網(wǎng)絡(luò)之間，實施基于身份的邊界訪問控制、責(zé)任溯源認(rèn)定和建立建全管理制度等安全管理.

基于分級分域基本要素和互聯(lián)可信可控的管理要求，電子政務(wù)網(wǎng)絡(luò)信任互聯(lián)管控(trust inter-connection control， TIC)模型架構(gòu)以行政區(qū)域單元互聯(lián)為特征，影響TIC模型實現(xiàn)的關(guān)鍵安全因素包括：跨域信任互聯(lián)(如域內(nèi)身份認(rèn)證、網(wǎng)關(guān)信任傳遞)、域間邊界防護(如數(shù)據(jù)傳輸安全、邊界策略維護)和層級安全管控(如授權(quán)策略管理)等，如表1所示：

Table 1 TIC Model Key Security Factors表1 TIC模型關(guān)鍵安全因素

根據(jù)研究分析，電子政務(wù)網(wǎng)絡(luò)安全規(guī)劃可以歸納設(shè)計為3種模式：管理區(qū)域間(簡稱管理域或域)的對等或接入聯(lián)接(簡稱對等互聯(lián)模型)、上下層級管理區(qū)域的互聯(lián)(簡稱層級互聯(lián)模型)和兩者同時兼有的混合聯(lián)接(簡稱混合互聯(lián)模型).

1.1 對等互聯(lián)模型

電子政務(wù)網(wǎng)絡(luò)中根據(jù)行政管轄邊界劃分形成不同的管理域，2個或多個管理域之間的互聯(lián)可分為2種情形.

1) 對等域間直接互聯(lián)

2個或多個相互獨立沒有主從或上下級關(guān)系的域進行互聯(lián)，如圖1所示.域A和域B是2個完全對等的管理域，在各自封閉的域內(nèi)，網(wǎng)絡(luò)系統(tǒng)通過本地的域邊界防護網(wǎng)關(guān)(gateway, G)與對方的域邊界防護網(wǎng)關(guān)實現(xiàn)互聯(lián)，域邊界防護網(wǎng)關(guān)G相互之間建立信任關(guān)系(mutual trusted relationship， mTR)，彼此信任來自對方的訪問，從而實現(xiàn)域間的安全聯(lián)接.

域A和域B都有自己獨立的域安全管理，負(fù)責(zé)對本域的安全管理.域安全管理相互對等獨立.可根據(jù)需要，通過約定的交互接口進行信息交換.

Fig. 1 Peer domain interconnection model圖1 對等域之間直接互聯(lián)模型

2) 跨中心橋?qū)Φ然ヂ?lián)

在實際應(yīng)用中，根據(jù)管理需要還可進行跨中心橋的集中管理，即設(shè)置一個中心域，其他域則通過內(nèi)嵌相應(yīng)的安全管理模塊，接入到中心域進行統(tǒng)一管理.

從網(wǎng)絡(luò)關(guān)系來看，其他域相互之間沒有直接相聯(lián)，而是通過中心域作為橋梁實現(xiàn)聯(lián)接。但其他域和中心域之間互聯(lián)時還是按對等方式連接，故仍視為對等互聯(lián)模型.如圖2所示.

域A1，A2，A3，A4通過各自的域邊界防護網(wǎng)關(guān)G與中心A實現(xiàn)對等互聯(lián).中心域A分別和其他4個域的邊界防護網(wǎng)關(guān)G建立互信關(guān)系mTR，從而實現(xiàn)各域相互之間及各域與中心域A之間的互信訪問.當(dāng)其他域需要跨中心域A進行互訪時，如域A1與域A4之間需要互訪時，域A1和A4同時信任中心域A，由中心域A完成它們之間的信任傳遞，從而實現(xiàn)沒有直接相連的2個域A1與A4之間跨域安全互通.

1.2 層級互聯(lián)模型

當(dāng)2個或多個域之間存在主從關(guān)系或上下級關(guān)系而進行互訪聯(lián)接時，即構(gòu)成層級互聯(lián)關(guān)系，如圖3所示.

Fig. 2 Across bridge peering model圖2 跨中心橋的對等互聯(lián)模型

Fig. 3 Hierarchical interconnection model圖3 層級互聯(lián)模型

在此模型中，假設(shè)域A有2個下屬的子域A1和子域A2；域A需要分別與這2個下屬子域進行管理訪問；但子域A1和子域A2之間沒有管理訪問關(guān)系，它們之間的業(yè)務(wù)往來通過其上級域A進行交換.首先，域A的邊界防護網(wǎng)關(guān)G將分別與子域A1和A2建立互信關(guān)系mTR.同理，如果子域A1或A2還有下屬分支機構(gòu)，則應(yīng)類似地再與其相應(yīng)下屬分支機構(gòu)的邊界防護網(wǎng)關(guān)建立互信關(guān)系,這樣逐次向下形成多層的級聯(lián)結(jié)構(gòu).

Fig. 4 Hybrid interconnection model圖4 混合互聯(lián)模型

對于層級互聯(lián)模型的集中安全管理，則可將下屬子域的安全管理系統(tǒng)通過遠(yuǎn)程保護接入上級域的安全管理系統(tǒng).遠(yuǎn)程接入保護可單獨設(shè)計為域間安全管理的控制通道，以區(qū)別業(yè)務(wù)平臺的互聯(lián)，不影響業(yè)務(wù)流，同時增強域安全管理的可靠性與可維護性.這與對等互聯(lián)模型中的安全管理相互獨立和互不管理有所不同.例如在圖3的層級互聯(lián)模型中，域A安全管理作為全域的安全管理平臺對所有子域進行管理，包括域A本地的安全管理模塊、子域A1和A2安全管理系統(tǒng).子域A1和A2的安全管理系統(tǒng)經(jīng)過受保護的遠(yuǎn)程接入通道，單獨向位于頂層域A的統(tǒng)一安全管理系統(tǒng)進行安全上報，接受域A的統(tǒng)一管理.

1.3 混合互聯(lián)模型

在實際應(yīng)用環(huán)境中，電子政務(wù)網(wǎng)絡(luò)環(huán)境往往比較復(fù)雜，既存在不同管理域之間的對等互聯(lián)，也存在上下層級之間的層級互聯(lián).當(dāng)出現(xiàn)這種混合互聯(lián)情形時，不能簡單套用某1種或2種模型的組合，還需要對整體網(wǎng)絡(luò)架構(gòu)進行梳理，然后再結(jié)合總體模型進行規(guī)劃和設(shè)計.

1) 設(shè)計原則

① 按層級優(yōu)先方法將梳理出復(fù)雜網(wǎng)絡(luò)中合理的層級結(jié)構(gòu)，分解為不同層域的骨干域.根據(jù)實際經(jīng)驗，管理域的層級不能太多，以2～3級為宜，一般不超過4級.

② 在同一層級網(wǎng)絡(luò)結(jié)構(gòu)下分析是否存在中心域，如果不存在則可視為一個管理域；如果存在中心域和分支域，首先則定位出中心域與其他分支域的邏輯關(guān)系，在此基礎(chǔ)上劃定管理域的邊界.

③ 根據(jù)已梳理劃定的域及邊界，按照相應(yīng)的模型進行統(tǒng)籌分析，如有交叉部分時按照“屬地優(yōu)先原則”進行歸并設(shè)計[13].

2) 典型模型

在實際網(wǎng)絡(luò)中，不同網(wǎng)絡(luò)劃分和互聯(lián)方式可能不盡相同，因此混合互聯(lián)結(jié)構(gòu)可能有所不同.以圖4為例所示的是一種比較典型的混合互聯(lián)結(jié)構(gòu)模型.其中，電子政務(wù)網(wǎng)絡(luò)第1級以“跨中心橋?qū)Φ然ヂ?lián)模型”為主構(gòu)成；電子政務(wù)網(wǎng)絡(luò)第2級和第3級，則以“對等域之間直接互聯(lián)模型”為主構(gòu)成；在電子政務(wù)網(wǎng)絡(luò)的總體結(jié)構(gòu)上，又形成“級聯(lián)互聯(lián)模型”的結(jié)構(gòu)關(guān)系.

在圖4的混合模型中，上下層級的電子政務(wù)網(wǎng)絡(luò)之間通過所在層級的域邊界防護網(wǎng)關(guān)構(gòu)建互信關(guān)系mTR.電子政務(wù)網(wǎng)絡(luò)第1級與第2級、第2級與第3級之間的邊界防護網(wǎng)關(guān)G相互之間進行互信互認(rèn)；在同一層級域內(nèi)部，由中心域或指定的邊界防護網(wǎng)關(guān)G對外進行域間互信關(guān)系的建設(shè).例如，電子政務(wù)網(wǎng)絡(luò)第1級的中心域邊界防護網(wǎng)關(guān)G作為電子政務(wù)第1級統(tǒng)一的對外接口，負(fù)責(zé)與電子政務(wù)2級的邊界防護網(wǎng)關(guān)互聯(lián)；同級域A和域B只與中心域的邊界防護網(wǎng)關(guān)建立互信，而不直接與下屬的電子政務(wù)第2級所的域邊界防護網(wǎng)關(guān)對接；電子政務(wù)第2級與電子政務(wù)第3級的內(nèi)外部關(guān)系同理.

Fig. 5 The influence of cross-domain cascading access to the business圖5 跨域級聯(lián)訪問對業(yè)務(wù)的影響

混合模型中的域安全管理系統(tǒng)按照層級互聯(lián)模式通過單獨通道進行逐層管理，也可根據(jù)需要進行集中統(tǒng)一管理.例如圖4中電子政務(wù)網(wǎng)絡(luò)第1級、第2級和第3級分別由本級的域安全管理系統(tǒng)形成全網(wǎng)的域安全管理體系.第3級域安全管理向第2級域安全管理系統(tǒng)上報，并接受第2級域安全管理系統(tǒng)的管理；第2級域安全管理系統(tǒng)則向第1級域安全管理系統(tǒng)上報，并授受第1級域安全管理系統(tǒng)的管理.本級域的安全管理系統(tǒng)若由多個安全子域組成，則各安全子域安全管理模塊負(fù)責(zé)向本級的域安全管理系統(tǒng)上報，并接受其管理和對外提供統(tǒng)一接口.

2 信任互聯(lián)管控的關(guān)鍵技術(shù)

基于信任互聯(lián)管控(TIC)模型構(gòu)建電子政務(wù)網(wǎng)絡(luò)安全的安全可信、可控可管的縱深防御體系，涉及多項關(guān)鍵技術(shù).本節(jié)主要針對電子政務(wù)網(wǎng)絡(luò)中如何實現(xiàn)信任互聯(lián)管控的關(guān)鍵技術(shù)進行闡述[14].

2.1 跨域信任傳遞技術(shù)

國家電子政務(wù)網(wǎng)絡(luò)由中央電子政務(wù)網(wǎng)絡(luò)管理域和各個地方電子政務(wù)網(wǎng)絡(luò)管理域，按照分級分域的總體架構(gòu)形成.根據(jù)信任互聯(lián)管控(TIC)模型，在各電子政務(wù)網(wǎng)絡(luò)域出口由邊界防護網(wǎng)關(guān)進行隔離和保護，統(tǒng)一的電子政務(wù)網(wǎng)絡(luò)互聯(lián)平臺形成后，電子政務(wù)業(yè)務(wù)將實現(xiàn)全域受控共享，跨域訪問將不可避免.電子政務(wù)業(yè)務(wù)不僅要在本域內(nèi)進行訪問(即域內(nèi)訪問)，必然跨過本級管理域訪問到相關(guān)部門域(即域間訪問)，還將通過級聯(lián)到其他層級的管理域進行訪問處理(即跨層訪問).因此，如何實現(xiàn)跨多個管理域的安全可信訪問是面臨重要技術(shù)問題。

電子政務(wù)網(wǎng)絡(luò)通過管理邊界劃分出不同的管理域，當(dāng)未獲信任的終端用戶訪問或跨過本管理域進行業(yè)務(wù)訪問時，該域邊界防護網(wǎng)關(guān)將進行攔截，并要求用戶進行身份認(rèn)證.電子政務(wù)網(wǎng)絡(luò)全網(wǎng)互聯(lián)后就會形成多級“串接式”的訪問攔截，如果每次攔截處理都要求用戶重新進行一次身份認(rèn)證，這種情形將嚴(yán)重影響業(yè)務(wù)效率和用戶體驗；同時，由于身份認(rèn)證已超越出該用戶所在的管理域邊界，可能導(dǎo)致產(chǎn)生新的安全風(fēng)險[15-16]，如圖5所示：

1) 面對“串接式”的多級訪問情形，每一次的網(wǎng)關(guān)認(rèn)證都將使業(yè)務(wù)時延漸增加，政務(wù)業(yè)務(wù)的處理效率將隨級聯(lián)的次數(shù)增加而降低，用戶體驗下降同，甚至導(dǎo)致超時而無法訪問.

2) 為了保障域內(nèi)安全，在實際電子政務(wù)網(wǎng)絡(luò)中管理域的邊界安全如防火墻或網(wǎng)關(guān)的安全策略通常都設(shè)置為域外發(fā)起的連接請求為阻斷.在圖5中的場景下，當(dāng)后一個管理域要求用戶重新進行身份認(rèn)證時，認(rèn)證請求數(shù)據(jù)包將被前一個管理域的邊界防護網(wǎng)關(guān)攔截阻斷，從而使反向重新認(rèn)證要求無法送達，政務(wù)業(yè)務(wù)訪問被中斷.

3) 后一個管理域保護邊界網(wǎng)關(guān)的反向連接的認(rèn)證請求若設(shè)置為允許，則后面的管理域?qū)⒚媾R被非法訪問的安全風(fēng)險.

基于信任互聯(lián)管控(TIC)模型的跨域信任傳遞技術(shù)可以有效解決電子政務(wù)網(wǎng)絡(luò)互聯(lián)中的上述1)～3)難題，實現(xiàn)“一次認(rèn)證、全網(wǎng)通行”，成為保障電子政務(wù)業(yè)務(wù)安全高效的關(guān)鍵.與普通防火墻只有“放行/拒絕”不同，跨域信任傳遞技術(shù)不是取消后續(xù)認(rèn)證和簡單放行，而是將第1次身份認(rèn)證結(jié)果安全傳遞到后續(xù)管理域的邊界防護網(wǎng)關(guān)，使之能“認(rèn)識”已通過的來訪者.當(dāng)認(rèn)證請求到來時，后續(xù)管理域的邊界防護網(wǎng)關(guān)只須做再“查驗”而不做全新的“認(rèn)證”過程，驗證通過則快速放行，提高安全通行效率.首先，通過邊界防護網(wǎng)關(guān)在不同管理域之間預(yù)先建立互信關(guān)系.網(wǎng)關(guān)間的互信關(guān)系mTR將采用密碼方式(如數(shù)字簽名、雜湊算法等)保障網(wǎng)關(guān)間數(shù)據(jù)傳遞的機密性和完整性.信任傳遞原理如圖6所示:

Fig. 6 Cross-domain trust transfer model圖6 跨域信任傳遞模型

當(dāng)域A中的用戶發(fā)起訪問時，先在域A的本地歸屬邊界網(wǎng)關(guān)進行安全認(rèn)證，邊界防護網(wǎng)關(guān)G保存認(rèn)證結(jié)果并傳遞給下一個域B的邊界防護網(wǎng)關(guān)G，并逐次傳遞到域X的邊界防護網(wǎng)關(guān)G.當(dāng)訪問經(jīng)過其中任意一個域I的邊界防護網(wǎng)關(guān)G時, 該G將判斷是否來自前一個受信任的邊界防護網(wǎng)關(guān)G，然后再對認(rèn)證請求進行“查驗”后放行，不再要求重新返回到第一個發(fā)起點進行傳統(tǒng)方式的身份認(rèn)證.以此類推，直到訪問最終目標(biāo)域X所在的政務(wù)業(yè)務(wù)應(yīng)用[17-18].跨域信任傳遞過程將平滑接續(xù)一次完成，不出現(xiàn)多重返復(fù)，用戶對傳遞過程感知.

跨域信任傳遞技術(shù)不但遵循了電子政務(wù)網(wǎng)絡(luò)中分層分域的管控要求，還為政務(wù)業(yè)務(wù)的全網(wǎng)統(tǒng)一互信建立了訪問控制基石，可以有效支撐不同管理域內(nèi)信任結(jié)果不統(tǒng)一無法全網(wǎng)通行的難題.

2.2 域間安全監(jiān)管技術(shù)

在信任互聯(lián)管控(TIC)模型中，管理域邊界既是保護域內(nèi)網(wǎng)絡(luò)系統(tǒng)關(guān)鍵也是被攻關(guān)的重點，域間安全保障集中在域邊界防護網(wǎng)關(guān)處，域間安全監(jiān)管技術(shù)則是多種安全技術(shù)在域邊界防護網(wǎng)關(guān)的綜合運用，是域間安全監(jiān)管的關(guān)鍵保障.通過對各層級管理域的安全監(jiān)管平臺的逐級互聯(lián)，形成電子政務(wù)網(wǎng)絡(luò)的安全監(jiān)管體系，如圖7所示.

Fig. 7 Inter-domain security supervision model圖7 域間安全監(jiān)管模型

電子政務(wù)網(wǎng)絡(luò)域邊界安全監(jiān)管與保障的關(guān)鍵技術(shù)包括：

1) 防網(wǎng)絡(luò)攻擊技術(shù).電子政務(wù)網(wǎng)絡(luò)作為共同的承載平臺，網(wǎng)絡(luò)和安全設(shè)備本身必須具備抗網(wǎng)絡(luò)攻擊的防范能力，如DOS/DDOS攻擊、流量攻擊等.

2) 防病毒擴散技術(shù).電子政務(wù)網(wǎng)絡(luò)由不同域連接形成大范圍的公共平臺，各域的管理和應(yīng)用環(huán)境復(fù)雜，通過集成防病毒擴散技術(shù)，防止由于其中某一個子域或個別服務(wù)器或終端感染病毒向其他域擴散而造成全網(wǎng)感染的風(fēng)險.

3) 異常行為監(jiān)管技術(shù).電子政務(wù)域間業(yè)務(wù)經(jīng)過邊界安全網(wǎng)關(guān)監(jiān)管，通過異常行為監(jiān)管技術(shù)可以有效發(fā)現(xiàn)業(yè)務(wù)異常行為，并對違規(guī)行為進行報警或阻止.

4) 動態(tài)可視化技術(shù).電子政務(wù)網(wǎng)絡(luò)業(yè)務(wù)流量和流向都是動態(tài)變化的，安全風(fēng)險也會隨著應(yīng)用范圍和外部交互而發(fā)生動態(tài)變化.通過動態(tài)可視化技術(shù)，一方面要能及時反映各種網(wǎng)絡(luò)和業(yè)務(wù)的動態(tài)變化狀況;另一方面要對動態(tài)變形以視圖方式直觀展示.

2.3 全程策略管控技術(shù)

電子政務(wù)網(wǎng)絡(luò)的策略管理要求實現(xiàn)政務(wù)業(yè)務(wù)全流程協(xié)同統(tǒng)一.當(dāng)面對全程業(yè)務(wù)管控，比如開通一條縱向跨區(qū)域部署的政務(wù)應(yīng)用時，需要對電子政務(wù)網(wǎng)絡(luò)中各相應(yīng)管理域進行安全策略的配置；若對某一全網(wǎng)性業(yè)務(wù)需要改變訪問限制范圍時，則同樣需要對電子政務(wù)網(wǎng)絡(luò)中各管理域進行安全策略的配置，讓其中一部分訪問者為放行或阻止.通過全程策略管理技術(shù)實現(xiàn)對電子政務(wù)業(yè)務(wù)管理協(xié)調(diào)和快速響應(yīng).

電子政務(wù)網(wǎng)絡(luò)實際建設(shè)過程中，不可避免地面臨多種廠商、不同型號設(shè)備的異構(gòu).為有效實現(xiàn)策略配置的精準(zhǔn)和高效，需要研究集成異構(gòu)設(shè)備和語義轉(zhuǎn)換的融合創(chuàng)新的全程策略管控技術(shù)，以適應(yīng)業(yè)務(wù)管理要求.全程策略管理技術(shù)包含對安全策略管控的體系化設(shè)計和設(shè)備策略配置的集成設(shè)計[19]，如圖8所示.

Fig. 8 The whole-process strategy control model圖8 全程策略管控模型

面向策略語義轉(zhuǎn)換上進行體系化設(shè)計，即一個業(yè)務(wù)安全管理策略的語義在全網(wǎng)或所管轄的范圍內(nèi)是全網(wǎng)通行的，這與分區(qū)分域安全監(jiān)管有所不同.比如某域的業(yè)務(wù)開通策略，則該策略在所有域間的相關(guān)邊界防護網(wǎng)關(guān)、域內(nèi)的安全設(shè)備均應(yīng)可生效執(zhí)行；當(dāng)一個開通全網(wǎng)業(yè)務(wù)策略時，則該策略將通達到所屬各層級的管理域，即涉及各層級的域邊界防護網(wǎng)關(guān)及相應(yīng)的安全設(shè)備均可生效執(zhí)行.

面向設(shè)備策略配置上采用集成化，即全程安全策略到達具體設(shè)備時，再將全程策略語義進行翻譯即本地化集成轉(zhuǎn)換，不僅保證不因設(shè)備的差異性而無法實現(xiàn)業(yè)務(wù)上的全程化，而且有利于電子政務(wù)業(yè)務(wù)開展和管理過程中的平滑過渡.

3 模型評估

為驗證本文提出的信任互聯(lián)監(jiān)管模型的適用性，基于我國信息安全專家組提出的WPDRRC[20](Waring預(yù)警、Protection保護、Detection檢測、Reaction響應(yīng)、Recovery恢復(fù)、Counter-attack反擊) 信息安全模型，采用層次分析法(analytic hierarchy process， AHP)[21]進行評估.

在實施應(yīng)用中，對基于本方案中的混合信任互聯(lián)管控模型及其關(guān)鍵技術(shù)在電子政務(wù)網(wǎng)絡(luò)的相關(guān)示范應(yīng)用課題項目中進行驗證，包括1個中央結(jié)點(對應(yīng)TIC模型中的電子政務(wù)網(wǎng)絡(luò)第1級)、2個2級結(jié)點(對應(yīng)TIC模型中的電子政務(wù)網(wǎng)絡(luò)第2級)和相應(yīng)的3個區(qū)縣(對應(yīng)TIC模型中的電子政務(wù)網(wǎng)絡(luò)第3級)結(jié)點構(gòu)成跨域網(wǎng)絡(luò)，部署信任互聯(lián)應(yīng)用及安全防護網(wǎng)關(guān)，形成層級互聯(lián)結(jié)構(gòu)，模擬跨層級、跨地區(qū)、跨部門的跨域信任互認(rèn)、傳遞以及安全監(jiān)控驗證.

3.1 評估步驟

1) 根據(jù)關(guān)鍵安全因素建立層次安全模型，如圖9所示.

Fig. 9 TIC model for AHP based on WPDRRC圖9 基于WPDRRC的TIC層次安全模型

模型中的關(guān)鍵安全因素包括域內(nèi)身份認(rèn)證(inter-domain identity authentication， ID -Auth)、域間信任傳遞(cross-domain trust transfer， Cross-TT)、安全傳輸(data secure transmission， Sec -TR)、邊界保護(boundary protection， bProtect)、策略管理(policy management， Policy-Mgt).

2) 進行關(guān)鍵安全因素之間的兩兩比較，構(gòu)造判斷矩陣A：

A=(αi j)n×n,

(1)

結(jié)合大數(shù)據(jù)治國戰(zhàn)略研究課題和國家科技支撐計劃項目的應(yīng)用示范課題中形成的相關(guān)應(yīng)用數(shù)據(jù)，TIC模型安全分析矩陣A，域內(nèi)身份認(rèn)證、網(wǎng)關(guān)信任傳遞、數(shù)據(jù)傳輸安全、邊界防火墻、授權(quán)策略管理的判斷矩陣B1，B2，B3，B4，B5構(gòu)造：

(2)

(3)

(4)

(5)

(6)

(7)

3) 計算最大特征根λmax、一致性指標(biāo)CI及一致性比率CR，保證數(shù)據(jù)邏輯一致性.一致性指標(biāo)RI取值，如表2所示：

Table 2 The Index RI of Random Consistency Value表2 隨機一致性指標(biāo)RI的取值

4) 根據(jù)計算結(jié)果及順序關(guān)系，制定出最優(yōu)方案(best scheme， bScheme).

(8)

(9)

(10)

3.2 計算結(jié)果及分析

經(jīng)過對矩陣的計算，得出安全關(guān)鍵因素層及方案層各指標(biāo)權(quán)重Wi及λmax=5.368，如表3、表4所示：

Table 3 The Weight Result of Key Security Factor Layer(λmax=5.368)

Table 4 Weight Result of Security Factor for Scheme Layer (λmax=5.368)

從表3中列出的安全因素層權(quán)重結(jié)果可知，在本模型中各關(guān)鍵安全因素的重要性排序如下：信任傳遞>身份認(rèn)證>安全傳輸>邊界保護>策略管理.

根據(jù)式(8)～(10)及上述表中的λmax計算，求出A，B1，B2，B3，B4，B5的一致性比例CR，如表5所示：

Table 5 Judgment Result of Matrix Consistency表5 矩陣一致性判斷結(jié)果

由表5可知，矩陣A，B1，B2，B3，B4，B5的CR<0.1，其一致性滿足要求.根據(jù)表4列出方案層各指標(biāo)的權(quán)重排序為：檢測>響應(yīng)>保護>預(yù)警>恢復(fù)>反擊.依據(jù)計算結(jié)果驗證表明：在復(fù)雜的電子政務(wù)網(wǎng)絡(luò)中，基于身份認(rèn)證的跨域信任傳遞是實現(xiàn)多層多域可信互聯(lián)的核心要素，并應(yīng)優(yōu)先考慮檢測和響應(yīng)對信任傳遞的支持，這與實際試驗系統(tǒng)運行安全狀況相符.

4 結(jié)束語

電子政務(wù)網(wǎng)絡(luò)建設(shè)是一項統(tǒng)籌規(guī)劃、分步建設(shè)的系統(tǒng)性工作，面向電子政務(wù)的網(wǎng)絡(luò)信任互聯(lián)與安全管控，是電子政務(wù)網(wǎng)絡(luò)安全規(guī)劃和設(shè)計中必須解決和思考的基礎(chǔ)性關(guān)鍵問題，需要從頂層設(shè)計和關(guān)鍵安全管控技術(shù)2方面進行分析研究.

本文在深入分析電子政務(wù)網(wǎng)絡(luò)的基本特征和當(dāng)前面臨的需求與問題基礎(chǔ)上，設(shè)計提出了適應(yīng)電子政務(wù)分級分域管理的信任互聯(lián)管控模型，并設(shè)計闡述了實現(xiàn)該信任互聯(lián)管控模型的跨域信任傳遞、域間安全監(jiān)管和全程策略管控等關(guān)鍵管控技術(shù).本文提出的信任互聯(lián)管控模型是基于對電子政務(wù)實踐思考和對分析電子政務(wù)本質(zhì)特征的分析，將行政管控與政務(wù)業(yè)務(wù)安全地進行融合設(shè)計，能夠很好地適應(yīng)電子政務(wù)網(wǎng)絡(luò)在各層級間的信任管理互聯(lián)中的不同安全管控場景，能夠?qū)?gòu)建適應(yīng)我國管理特色和政務(wù)業(yè)務(wù)需要的電子政務(wù)安全體系和相關(guān)安全系統(tǒng)的研制與設(shè)計提供重要的參考借鑒.

致謝特別感謝清華大學(xué)林闖教授對本論文的指導(dǎo)!