新时期电子政务云平台的安全技术设计

刘立刚+雷颖

摘要：面对新时期网络技术的快速发展，对我国各级电子政务网络平台的安全建设提出了更高的要求，在基于大数据的云计算平台下，各级电子政务网络平台如何能面对新的安全挑战，是当前要面对的一个重要课题。文章对电子政务网络平台建设时必须要考虑的安全技术设计进行了汇总，并对具体安全技术防范设计进行了阐述。

关键词：电子政务；云平台；安全；技术；设计

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）32-0267-02

Security Technology Design of E-government Cloud Platform in the New Era

LIU Li-gang，LEI Ying

（Dali County of Weinan province Shaanxi City Information Office， Weinan 715100， China）

Abstract： With the rapid development of network technology in the new period， put forward higher requirements for construction safety at all levels of our country E-government network platform， in the big data cloud computing platform Based on E-government network platform， at all levels how to face new security challenges， is currently an important topic to face. This paper summarizes the security technology design which must be considered in the construction of e-government network platform， and expounds the specific security technology prevention design.

Key words： e-government； cloud platform； security； technology； design

1 概述

近年来，我国各级政府电子政务网络平台发展迅速，国家领导人多次提出加快互联网+政务建设、国家一体化大数据中心建设的指示精神，以民生、政务、互联网等基础服务为依据，着力提升国家的政务整体服务水平，给我国政务机构提出了相关的要求；各级省市也落实中央精神相应出台了政务互联的指导文件，代表着我国政务服务工作将出现新的发展局面。

2 当前电子政务网络平台及业务应用现状

电子政务网络平台作为我国统一的政务服务平台总体框架的重要组成部分和电子政务网的重要基础设施，主要服务于党委、人大、政府、政协、法院和检察院的政务业务，依托国家电子政务骨干传输网构建，满足各级政务部门社会管理、公共服务等面向社会服务的需要，支持各部门政务业务系统和国家战略性、基础性信息资源库的运行，支持跨部门、跨地区的信息资源共享和交换。

当前各级政府网络平台运行的政务业务系统已聚积了大量的信息资源，已成为政府成熟的业务展示和应用的系统，是各部门工作模式创新与业务流程优化、开展协同办公和提升网络服务的基础，是政府在网络领域工作开展以来建立的重要据点。虽经过多年的平台建设及发展，各业务系统难以整合，数据库独立运行，无法实现共享的问题还是比较突出。现阶段加快实现平台资源整合，构建大数据下统一的电子政务云平台，将会彻底改变各级电子政务平台运行现状。

3 平台安全防范技术将发生变化

由于传统政务服务模式都是依托独立的数据库来提供，安全防范从技术、管理和人员三个方面围绕业务来保障即可实现，但政务互联后将从单一的数据中心过渡到集中的云数据中心，这将使传统的IT架构发生变化，安全边界、业务应用和数据分享都需要重新设计，才能满足业务发展的需求。云数据中心伴随着的云安全，也给各级政务平台管理部门带来的一定的困扰。传统安全有法可依，有标准可遵循，而云计算平台安全将是我们面临的新课题，更需要重新设计整体架构。

4 电子政务云平台安全技术设计

4.1 总体设计

平台安全运行始终以业务为保障目标，电子政务平台要时刻为这些互联业务开展的基础资源提供安全防护，按照目前对政务互联安全的发展需求，可将新阶段电子政务云平台安全技术设计归结为以下几点：

（1） 用户访问政务云资源时的安全性，包括用户认证，访问控制，资源隔离，以及对政务云内部资源的保护；

（2） 云平台自身的安全性，包括网络、主机、应用、数据等各个层面的安全威胁都应该能够防御与监控、审计；

（3） 各个层面用户的安全访问与权限管理；

（4） 对使用方的安全控制与安全审计；

（5） 平台数据之间交换安全的防范；

（6） 多样化移动接入的安全防范控制；由于网上政务服务应用模式的改变，多样化接入政务平台的方式也将是平台安全设计时要考虑的一个重要方面。

4.2 云平台建设安全具体技术设计

在具体的电子政务平台建设安全设计中，应重点注重以下四个技术方面，实现网络边界自主可控，提升整体安全防护能力。

1） IT架构设计

采用云、边界、端的联动机制，对业务系统进行强有力的保障，同时实现虚拟化环境下的边界安全防护问题，解决东西向流量不可见的風险问题。endprint

2） 虛拟网络层安全设计

在云平台上采用软件定义网络（SDN）和网络功能虚拟化（NFV）来提供网络基础架构的可扩展性、敏捷性和可编程性。虚拟网络可视化，能帮助管理人员及时清晰的了解云环境下的虚拟网络的结构和变化。网络流量审计，能帮助管理员应对SDN架构模式的虚拟网络环境下的南北向流量，东西向流量的各种攻击事件。

3） 虚拟主机层安全设计

（1） Webshell检测（网页后门检测）

Webshell常常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限。Webshell虽是一个web的页面动态脚本，但是它的功能非常强大可以获得一些管理员不希望获得的权限，比如执行系统命令、删除web页面、修改主页等。在设计时应注重具备此危害的防范

（2） 虚拟机防病毒

通过虚拟化技术实现在单一物理系统中运行多个虚拟机的设计，从而使资源得到更高效的利用。此设计虽可以大幅削减设备的资本支出、降低与电力和冷却相关的能源成本以及节省物理空间。但是虚拟环境下的服务器会和传统物理服务器碰到相同的安全性问题，例如病毒、蠕虫、木马程序和恶意软件的入侵。所以在虚拟环境下的服务器同样需要考虑有效地防范。

（3） 虚拟主机防火墙

在云数据中心平台中，业务可以部署在任何机架上的服务器虚拟机中，通过基于主机实现的虚拟防火墙，实现对云平台中东西向流量管理。虚拟防火墙可利用数据中心的基础资源进行虚拟化部署。虚拟化防火墙即能防止来自外部的攻击和侦查扫描，提高虚拟服务器的安全性。通过灵活的策略配置，实现对虚拟机全方位的防护。

（4） 虚拟主机入侵防御系统（IPS）

实现对虚拟机的通信进行检查，对非法的攻击行为进行监控和阻断。通过对已知的未经修补的漏洞进行检测修补，防止被非法用户利用，同时能对web应用层的SQL注入攻击、XSS攻击以及其他应用攻击提供安全防护能力；

针对虚拟机操作系统漏洞的攻击防护：应提供基本病毒防护功能，拦截利用漏洞的病毒攻击感染；深度数据包检测技术，全面拦截利用系统漏洞的攻击；

提供虚拟补丁功能，智能规则通过检测包含恶意代码的异常协议数据，针对漏洞攻击行为提供“零日漏洞”攻击防护。漏洞攻击规则可停止已知攻击和恶意软件，使用签名来识别和阻止已知的单个漏洞攻击行为。

4） 移动终端VPN安全接入设计

移动终端的多样化接入平台的模式，对接入平台的安全性带来极大的挑战，在这种环境下需要对移动接入的设备进行全方位的安全检测，避免安全事件的发生。同时在数据交互的过程中，更加需要精细的审计过程，按照业务的流程在关键节点上进行审计并配合一定的控制措施，实现移动终端的安全接入。

5 结论

网络安全建设任重道远，我国网络安全法的实施，对新时期国家网络安全提供了法律保障，在技术层面，不断加强电子政务平台的安全防范能力，是我们永不改变的话题，通过分析新时期电子政务云平台安全设计重点，以实现引领网上政务平台互联发展的新形势，提供大数据云平台、政务服务平台业务应用的安全保障。

参考文献：

[1] 数据中心网络架构特点“新三样”[Z].http：//tech.idcquan.com/60325.shtml

[2] 李岱.基于零日漏洞攻击的原理与防范[J].电脑知识与技术，2009，5 （33）：9394-9395.endprint