网络安全体系设计

一、项目概述与系统网络安全需求

本人曾参与市级政务综合办公平台的设计、开发与运维管理工作，该平台面向全市各级机关单位，整合公文流转、人事档案管理、财务审批、通知公告、在线协同办公等核心业务，是政务日常运转的核心信息化载体。平台采用分层架构，前端为 Web 门户与移动端 APP，后端基于微服务架构搭建，服务节点跨多个机房部署，各级单位通过政务内网、专用 VPN 网络接入系统，日均处理公文、档案、财务单据等数万条敏感数据，用户覆盖数百个机关单位、上千名工作人员。

在项目中，我担任系统架构师，主要负责整体技术架构规划、网络安全体系方案设计、安全模块选型与落地实施，同时牵头对接安全测评机构，完成系统安全整改与合规验收工作。

结合政务业务特性与数据属性，本系统在网络安全方面提出了严苛要求，具体如下：

1. 身份可信要求：仅允许单位授权人员访问系统，杜绝非法用户、仿冒账号登录，确保访问者身份真实有效。
2. 权限管控要求：遵循 “最小权限原则”，不同岗位、不同部门用户仅能操作职责范围内的功能与数据，禁止越权访问、越权操作。
3. 数据保密要求：政府公文、人事档案、财务账目等均为涉密 / 敏感数据，数据在网络传输、服务器存储过程中不得被窃听、泄露。
4. 数据可信要求：公文、审批单据等核心数据在传输和修改后，必须保证内容未被篡改，防止恶意伪造、篡改业务数据。
5. 行为可追溯要求：所有关键操作（发文、审批、删除、修改数据）必须留存记录，操作人员无法否认自身执行过的行为，出现安全问题时可定位追责。
6. 网络环境安全要求：抵御内网扫描、恶意攻击、非法接入等网络威胁，保障跨机房、跨单位网络通信链路稳定安全。

二、GB/T9387.2—1995 五大安全服务定义及实现手段

依据国家标准 GB/T9387.2—1995，OSI 安全体系定义了认证服务、访问控制服务、数据机密性服务、数据完整性服务、抗抵赖性服务五大核心安全服务，各服务定义与主流实现手段如下：

（一）认证服务

1. 定义：也叫鉴别服务，用于验证通信实体（用户、设备、服务节点）的真实身份，确认交互双方并非伪造主体，分为对等实体认证和数据源点认证，是所有安全防护的基础。
2. 主要实现手段：
   • 口令认证：静态密码、动态短信验证码；
   • 证书认证：数字证书、CA 证书、SSL/TLS 证书；
   • 生物认证：人脸、指纹识别；
   • 密钥认证：对称密钥、非对称密钥校验。

（二）访问控制服务

1. 定义：在实体身份认证通过后，根据预设安全策略，限制实体对系统资源、数据、功能的访问权限，阻止非法越权访问，分为自主访问控制、强制访问控制、基于角色的访问控制等类型。
2. 主要实现手段：
   • 角色权限管理（RBAC）：按岗位、部门划分角色，批量分配权限；
   • 访问控制列表（ACL）：针对文件、接口、数据库表设置访问黑白名单；
   • 防火墙策略：网络层限制 IP、端口、网段接入；
   • 接口鉴权、资源白名单、操作权限拦截。

（三）数据机密性服务

1. 定义：防止数据在存储、传输过程中被未授权主体窃听、读取、泄露，保证敏感数据仅被合法实体查看，分为连接机密性、无连接机密性、选择字段机密性。
2. 主要实现手段：
   • 传输加密：SSL/TLS、IPSec、VPN、HTTPS；
   • 存储加密：数据库字段加密、文件加密、磁盘加密；
   • 加密算法：AES、DES、RSA 等对称 / 非对称加密算法。

（四）数据完整性服务

1. 定义：保证数据在传输、存储、交互过程中不被非法篡改、删除、插入，一旦数据被改动可及时检测发现，保障数据内容的真实性与一致性。
2. 主要实现手段：
   • 哈希算法：MD5、SHA-1、SHA-256 生成数据摘要校验；
   • 数字签名：结合非对称密钥对数据进行签名校验；
   • 消息认证码（MAC）、数据校验码、事务日志校验。

（五）抗抵赖性服务

1. 定义：又称不可否认服务，确保实体无法否认自己已执行的操作、发送的数据或发起的通信行为，分为原发抗抵赖（发送方不可否认）和交付抗抵赖（接收方不可否认），多用于追责、审计场景。
2. 主要实现手段：
   • 操作日志、审计日志全量记录；
   • 数字签名、时间戳服务；
   • 第三方可信存证、行为快照、操作留痕。

三、项目中五大安全服务的落地实现与技术手段

结合市级政务综合办公平台的安全需求，本项目完整落地了全部五类安全服务，并根据政务系统特点搭配对应技术方案，具体实现如下：

（一）认证服务落地

平台采用多维度组合认证方式，保障实体身份可信：

1. 用户登录认证：主体采用账号 + 静态密码作为基础认证，针对管理员、涉密岗位人员增加动态短信验证码二次认证；移动端 APP 集成人脸生物认证，提升便捷性与安全性。
2. 服务节点与链路认证：系统跨机房微服务通信、跨单位 VPN 接入，采用CA 数字证书完成对等实体认证，所有外网访问入口部署 SSL 证书，完成数据源点身份校验，杜绝仿冒服务节点接入。

（二）访问控制服务落地

结合政务岗位分工，分层实现访问控制，严格落实最小权限原则：

1. 应用层权限控制：采用RBAC 基于角色的访问控制模型，按部门、职级、岗位划分管理员、普通办公人员、财务人员、人事专员等角色，为角色分配对应功能与数据权限，账号仅继承所属角色权限，支持权限临时回收、变更。
2. 网络层访问控制：部署硬件防火墙，配置ACL 访问控制列表，仅开放政务内网、指定专用网段的 IP 与端口，屏蔽公网非法 IP 接入；对外接口设置接口白名单，仅允许授权第三方系统调用。
3. 数据层访问控制：对人事档案、财务数据表配置细粒度权限，普通用户无法查询核心敏感字段。

（三）数据机密性服务落地

针对传输、存储两个场景实现全链路数据加密，防止数据泄露：

1. 传输加密：所有 Web、移动端访问统一使用HTTPS 协议（基于 SSL/TLS）加密传输；跨机房、跨单位的内网通信采用IPSec VPN加密链路，保证公文、单据在网络传输中不被窃听。
2. 存储加密：数据库中身份证号、薪资、涉密公文内容等敏感字段，使用AES 对称加密算法加密存储；重要档案文件采用文件加密技术，服务器磁盘开启加密保护，即使数据库或文件被非法导出也无法直接读取明文。

（四）数据完整性服务落地

全程校验数据完整性，防范数据篡改、伪造：

1. 业务数据校验：所有提交的公文、审批单据、表单数据，后端使用SHA-256 哈希算法生成数据摘要，摘要与数据同步存入数据库，每次查询、审核时重新计算摘要比对，若不一致则判定数据被篡改并告警。
2. 关键报文校验：微服务之间调用、跨系统数据交互，使用消息认证码 MAC校验报文完整性，拦截被篡改的网络数据包。

（五）抗抵赖性服务落地

依托日志、数字签名、时间戳实现操作不可否认，满足政务审计追责要求：

1. 全量审计日志：系统搭建独立审计日志模块，完整记录所有用户的登录、查询、新增、修改、删除、审批等操作，包含操作人账号、IP 地址、操作时间、操作内容，日志禁止人为删除、篡改。
2. 数字签名 + 时间戳：正式下发的红头文件、终审财务单据，使用RSA 非对称算法生成数字签名，并加盖权威时间戳；文件一旦签发，签发人无法否认发文行为，接收方也无法否认收到文件。
3. 操作留痕：公文修改全程保留版本记录与操作人信息，实现行为可追溯、责任可定位。

四、总结

在政务综合办公平台项目中，我们严格依据 GB/T9387.2—1995 安全体系标准，将五大安全服务结合业务场景分层部署在 OSI 模型各层级，从身份认证、权限管控、数据加密、完整性校验到行为追溯，构建了一套完整、合规的网络安全体系。系统上线后顺利通过政务信息安全等级保护测评，有效抵御了非法访问、数据窃听、恶意篡改等网络威胁，保障了政务敏感数据与核心业务的安全稳定运行。同时也印证了 OSI 安全体系结构在政企信息化系统中的实用性与指导性，为同类政务、企业系统的网络安全设计提供了可复用的实践方案。