沈進(jìn)棋

摘 要：本文筆者根據(jù)所在財(cái)政地稅部門的網(wǎng)絡(luò)與信息安全建設(shè)現(xiàn)狀，客觀分析了來自設(shè)備環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)管理等方面的風(fēng)險(xiǎn)，提出通過加強(qiáng)安全宣傳和培訓(xùn)、加大網(wǎng)絡(luò)規(guī)劃和投入、完善制度建設(shè)和管理、深入開展信息安全等級(jí)保護(hù)等工作，全面提升基層財(cái)稅部門的網(wǎng)絡(luò)與信息安全整體保障水平。

關(guān)鍵詞：財(cái)稅部門 網(wǎng)絡(luò) 信息安全 調(diào)查研究

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2014）02（a）-0035-02

隨著財(cái)政、地稅和國(guó)資業(yè)務(wù)的不斷應(yīng)用和發(fā)展，我局的財(cái)稅網(wǎng)絡(luò)已從最初的純內(nèi)部系統(tǒng)的局域網(wǎng)，逐步擴(kuò)大到上聯(lián)省財(cái)政廳、省地稅局，下聯(lián)各稅務(wù)分局、各鄉(xiāng)鎮(zhèn)財(cái)政所的三級(jí)縱向網(wǎng)絡(luò)；從財(cái)稅系統(tǒng)內(nèi)部網(wǎng)絡(luò)，逐步擴(kuò)大到各預(yù)算單位、非稅執(zhí)收單位、各銀行和工商國(guó)稅社保等數(shù)據(jù)共享交換部門的橫向互聯(lián)互通的開放型網(wǎng)絡(luò)。開放型的網(wǎng)絡(luò)，對(duì)于我們的財(cái)稅工作帶來便捷的同時(shí)，也使我們的信息安全面臨嚴(yán)峻的考驗(yàn)。如何有效的建設(shè)和管理我局的財(cái)稅網(wǎng)絡(luò)，提高系統(tǒng)的可靠性、安全性和完整性，確保網(wǎng)絡(luò)與信息安全，是我們要考慮的首要問題。

1 我局網(wǎng)絡(luò)與信息安全建設(shè)現(xiàn)狀

在網(wǎng)絡(luò)設(shè)備和架構(gòu)方面：我局的財(cái)稅內(nèi)部網(wǎng)絡(luò)以一臺(tái)思科4006三層交換機(jī)為核心（如圖1所示），通過三臺(tái)防火墻將整個(gè)網(wǎng)絡(luò)劃分為服務(wù)器區(qū)、內(nèi)聯(lián)區(qū)、辦公區(qū)和外聯(lián)區(qū)。服務(wù)器區(qū)主要為各類財(cái)政、地稅和國(guó)資信息系統(tǒng)服務(wù)器，通過一臺(tái)防火墻進(jìn)行安全防護(hù)；內(nèi)聯(lián)區(qū)為連接省財(cái)政廳、省地稅局、各基層分局、便民中心和部分銀行區(qū)域；外聯(lián)區(qū)通過百兆防火墻連接財(cái)務(wù)專網(wǎng)、政務(wù)網(wǎng)等，并增設(shè)一道防火墻，用以通過VPN設(shè)備接入我局內(nèi)部網(wǎng)絡(luò)的二級(jí)行政事業(yè)單位（如圖1）。

在信息安全制度和管理方面：一是信息安全組織機(jī)構(gòu)健全，成立以局長(zhǎng)為組長(zhǎng)的網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組，設(shè)立單位專職信息安全員且設(shè)置AB崗。二是制度建設(shè)較為完備，制定出臺(tái)了《計(jì)算機(jī)機(jī)房管理制度》等制度，并實(shí)現(xiàn)《計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理責(zé)任狀》的全覆蓋簽訂。三是信息安全防護(hù)管理較為規(guī)范。通過雙主機(jī)方式實(shí)現(xiàn)因特網(wǎng)和內(nèi)網(wǎng)的物理隔離，部署防火墻、入侵檢測(cè)系統(tǒng)和漏洞掃描等系統(tǒng)，定期對(duì)安全產(chǎn)品進(jìn)行巡檢和開展應(yīng)急演練等工作。

2 網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)分析

盡管我局的網(wǎng)絡(luò)與信息安全建設(shè)在近幾年扎實(shí)有效推進(jìn)，但由于財(cái)政、地稅和國(guó)資業(yè)務(wù)的迅速發(fā)展，對(duì)網(wǎng)絡(luò)的性能和擴(kuò)展性要求越來越高，再加上核心設(shè)備比較陳舊，現(xiàn)有資源瀕于耗盡，來自各方面的網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)形勢(shì)嚴(yán)峻。

2.1 來自設(shè)備環(huán)境方面的風(fēng)險(xiǎn)

一是核心設(shè)備存在單點(diǎn)故障且使用年限已久。核心交換機(jī)、內(nèi)網(wǎng)防火墻和服務(wù)器防火墻都是單機(jī)單鏈路配置，任何上述設(shè)備的故障都會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)崩潰。部分核心設(shè)備使用年限已久，遠(yuǎn)遠(yuǎn)超出維保期限，出現(xiàn)故障概率較大。二是核心設(shè)備性能和擴(kuò)展性存在嚴(yán)重瓶頸。核心交換機(jī)思科 4006購(gòu)置于2003年，整體性能已無法承受我局系統(tǒng)業(yè)務(wù)處理的需求。三是網(wǎng)絡(luò)機(jī)房UPS供電和溫濕度環(huán)境方面的風(fēng)險(xiǎn)。我局網(wǎng)絡(luò)機(jī)房均為單路UPS供電和單臺(tái)空調(diào)控溫，未配備環(huán)境監(jiān)控系統(tǒng)，一旦出現(xiàn)故障，將會(huì)延誤處理。

2.2 來自網(wǎng)絡(luò)結(jié)構(gòu)方面的風(fēng)險(xiǎn)

目前內(nèi)聯(lián)和外聯(lián)單位均接在同一個(gè)防火墻下，與內(nèi)網(wǎng)未嚴(yán)格隔離，不少銀行單位更是直接與核心交換機(jī)直連，給我局內(nèi)網(wǎng)安全構(gòu)成嚴(yán)重的安全威脅。

一是來自政務(wù)網(wǎng)等外聯(lián)單位的風(fēng)險(xiǎn)。目前我局網(wǎng)絡(luò)與政務(wù)網(wǎng)、國(guó)稅、社保、便民中心和市內(nèi)11家銀行均有專網(wǎng)互聯(lián)，由于網(wǎng)絡(luò)設(shè)備資源問題，甚至有部分銀行臨時(shí)接在了核心交換機(jī)上，這些外聯(lián)單位對(duì)我局的網(wǎng)絡(luò)安全帶來較大的風(fēng)險(xiǎn)。二是來自財(cái)務(wù)專網(wǎng)接入單位的風(fēng)險(xiǎn)。因國(guó)庫集中支付和鄉(xiāng)鎮(zhèn)財(cái)務(wù)管理的需要，我局財(cái)務(wù)專網(wǎng)延伸到了各行政事業(yè)單位和鄉(xiāng)鎮(zhèn)財(cái)辦，專網(wǎng)點(diǎn)數(shù)達(dá)100多個(gè)，這些專網(wǎng)接入單位的終端計(jì)算機(jī)等同于我局內(nèi)網(wǎng)終端計(jì)算機(jī)，可通過核心交換機(jī)訪問我局服務(wù)器資源，但由于其分散在各個(gè)部門和鄉(xiāng)鎮(zhèn)，給我們的管理帶來較大的困難。三是來自VPN撥號(hào)接入單位的風(fēng)險(xiǎn)。為解決專網(wǎng)建設(shè)成本高的問題，我局于2009年購(gòu)置天融信SSL VPN設(shè)備，作為部分二級(jí)行政事業(yè)單位的財(cái)務(wù)專網(wǎng)接入，該設(shè)備一旦出現(xiàn)故障，將直接影響通過該設(shè)備接入單位的系統(tǒng)應(yīng)用，存在較大的單點(diǎn)風(fēng)險(xiǎn)。

2.3 來自網(wǎng)絡(luò)管理方面的風(fēng)險(xiǎn)

一是操作人員安全意識(shí)和技術(shù)缺乏帶來的風(fēng)險(xiǎn)。操作人員對(duì)于信息安全沒有太多的認(rèn)識(shí)和技能，有的甚至認(rèn)為網(wǎng)絡(luò)與信息安全僅僅是技術(shù)部門的事，于己無關(guān)。二是制度不完善和執(zhí)行不到位帶來的風(fēng)險(xiǎn)。由于信息技術(shù)的不斷發(fā)展，出現(xiàn)了很多新技術(shù)和新產(chǎn)品，容易出現(xiàn)制度文件的漏洞和執(zhí)行不到位情況。三是技術(shù)防護(hù)策略不嚴(yán)密帶來的風(fēng)險(xiǎn)。我局在網(wǎng)絡(luò)安全方面投入了較多的設(shè)備，如防火墻、VPN、防病毒軟件，IDS等，但這些產(chǎn)品的功能比較分散，形成了相互沒有關(guān)聯(lián)的、隔離的安全孤島，相互之間沒有有效統(tǒng)一的管理調(diào)度機(jī)制，從而使其應(yīng)用效能無法得到充分的發(fā)揮。

3 網(wǎng)絡(luò)與信息安全建設(shè)的對(duì)策與措施

針對(duì)我局的網(wǎng)絡(luò)現(xiàn)狀和存在的上述網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)，提出如下對(duì)策和措施，以全面提升我局的網(wǎng)絡(luò)與信息安全整體保障水平。

3.1 加強(qiáng)安全宣傳和培訓(xùn)，提升防范意識(shí)和技術(shù)能力

（1）加強(qiáng)全員宣傳培訓(xùn)，增強(qiáng)防范意識(shí)和責(zé)任意識(shí)。進(jìn)一步加強(qiáng)網(wǎng)絡(luò)與信息安全知識(shí)的宣傳和培訓(xùn)，完善培訓(xùn)機(jī)制、拓展培訓(xùn)內(nèi)容、豐富培訓(xùn)和宣傳的方式，使系統(tǒng)廣大干部掌握常見的網(wǎng)絡(luò)與信息安全知識(shí)和防范技能，提高信息安全問題的處置能力。

（2）加強(qiáng)網(wǎng)絡(luò)技術(shù)人員培養(yǎng)和激勵(lì)，提升專業(yè)技術(shù)能力和工作積極性。如果沒有專業(yè)技術(shù)人員進(jìn)行安全策略配置、日常監(jiān)控管理，安全產(chǎn)品即使再多再先進(jìn)，也只能是一種擺設(shè)，技術(shù)人員的水平高低將直接影響一個(gè)單位的網(wǎng)絡(luò)防護(hù)能力，因此，需要進(jìn)一步加強(qiáng)專業(yè)技術(shù)人員的引進(jìn)和培養(yǎng)，使其掌握較強(qiáng)的專業(yè)技能。同時(shí)，由于專業(yè)技術(shù)人員工作的特殊性，需要其經(jīng)常犧牲休息時(shí)間加班加點(diǎn)進(jìn)行系統(tǒng)調(diào)試和配置優(yōu)化等工作，有必要進(jìn)一步完善針對(duì)技術(shù)人員的激勵(lì)制度，以增加其工作的積極性。endprint

3.2 加強(qiáng)網(wǎng)絡(luò)規(guī)劃和投入，提升系統(tǒng)自身免疫能力

針對(duì)我局網(wǎng)絡(luò)設(shè)備和架構(gòu)現(xiàn)狀，我們提出如下改造目標(biāo)：消除核心設(shè)備單點(diǎn)故障，實(shí)現(xiàn)核心交換設(shè)備的虛擬化，架設(shè)千兆基礎(chǔ)的主干網(wǎng)絡(luò)，合理劃分安全等級(jí)區(qū)域，滿足可預(yù)期內(nèi)視頻等各種高數(shù)據(jù)流量信號(hào)的網(wǎng)絡(luò)運(yùn)行要求，提高網(wǎng)絡(luò)總體運(yùn)行水平和故障應(yīng)對(duì)能力（見圖2）。

通過加大硬件設(shè)備的投入，并整合利用現(xiàn)有資源，對(duì)整個(gè)內(nèi)網(wǎng)網(wǎng)絡(luò)作如下改造（改造后的網(wǎng)絡(luò)拓?fù)淙鐖D2所示）：根據(jù)各區(qū)域安全防護(hù)級(jí)別不同，分別設(shè)置核心區(qū)、外聯(lián)區(qū)、內(nèi)聯(lián)區(qū)、服務(wù)器區(qū)和辦公區(qū)等區(qū)域。一是在核心區(qū)新購(gòu)置2臺(tái)核心交換機(jī)（含防火墻模塊）做虛擬化方案，替代原有的思科4006交換機(jī)，消除核心設(shè)備單點(diǎn)故障；同時(shí)在該區(qū)域部署IDS、IPS、漏洞掃描和桌面終端管理平臺(tái)等安全產(chǎn)品。二是在外聯(lián)區(qū)新購(gòu)置2臺(tái)千兆防火墻通過雙機(jī)熱備作為外聯(lián)區(qū)防火墻，并在網(wǎng)閘的配合下，隔離外聯(lián)單位，新增一臺(tái)VPN設(shè)備做雙機(jī)熱備。三是在辦公區(qū)新購(gòu)置4臺(tái)二層交換機(jī)作為機(jī)關(guān)大院各樓宇的匯聚層交換機(jī)，實(shí)現(xiàn)主干網(wǎng)絡(luò)的千兆架構(gòu)。通過合理的規(guī)劃、設(shè)備的投入和安全產(chǎn)品的整合，建立一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系，進(jìn)一步提升網(wǎng)絡(luò)系統(tǒng)自身的免疫能力。

3.3 加強(qiáng)制度建設(shè)和執(zhí)行，建立信息安全運(yùn)維體系

信息安全防護(hù)“三分靠技術(shù)，七分靠管理”，再好的信息安全防護(hù)系統(tǒng)，如果沒有好的管理制度、管理策略和運(yùn)維體系相配套，也是形同虛設(shè)。

一是建立健全網(wǎng)絡(luò)安全制度體系。要針對(duì)網(wǎng)絡(luò)與信息安全的薄弱環(huán)節(jié)、關(guān)鍵環(huán)節(jié)和容易忽視的環(huán)節(jié)，制定、修改和完善具有較強(qiáng)操作性的制度，通過制度來強(qiáng)化信息安全。建立健全機(jī)房安全、系統(tǒng)運(yùn)行、人員管理、密碼口令、網(wǎng)絡(luò)通信、數(shù)據(jù)管理等網(wǎng)絡(luò)與信息安全管理制度，提高安全防范水平。

二是建立網(wǎng)絡(luò)安全管理聯(lián)動(dòng)機(jī)制。實(shí)行網(wǎng)絡(luò)安全管理的“三級(jí)聯(lián)動(dòng)模式”，即計(jì)算機(jī)使用人員、分局計(jì)算機(jī)管理員和市局專業(yè)技術(shù)人員三者聯(lián)動(dòng)，充分發(fā)揮分局計(jì)算機(jī)管理員作用，使其做好所在單位的網(wǎng)絡(luò)與信息安全日常維護(hù)工作，縮短計(jì)算機(jī)和網(wǎng)絡(luò)故障的處理時(shí)間。

三是強(qiáng)化日常維護(hù)和監(jiān)督管理。加強(qiáng)網(wǎng)絡(luò)設(shè)備的日常運(yùn)行維護(hù)，定期開展設(shè)備保養(yǎng)，對(duì)設(shè)備運(yùn)行中存在的隱患及時(shí)了解和掌握，排除存在的不安全因素和故障，變運(yùn)行維護(hù)工作由“事后救火”為“日常保健”。加強(qiáng)網(wǎng)絡(luò)與信息安全的日常監(jiān)督管理，定期或不定期的開展網(wǎng)絡(luò)巡查，及時(shí)發(fā)現(xiàn)干部職工在網(wǎng)絡(luò)與信息安全方面的違規(guī)行為，防微杜漸，變“事后處理”為“事先預(yù)防”。

3.4 加強(qiáng)等級(jí)保護(hù)定級(jí)和整改，全面提升系統(tǒng)安全等級(jí)

開展等級(jí)保護(hù)工作，對(duì)于進(jìn)一步完善我局信息安全制度體系，規(guī)范信息安全管理，增強(qiáng)信息系統(tǒng)安全保護(hù)的整體性、針對(duì)性具有非常重要的意義。

一是合理劃分信息系統(tǒng)等級(jí)。針對(duì)我局各類信息系統(tǒng)種類多的特點(diǎn)，根據(jù)不同信息系統(tǒng)的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍和系統(tǒng)結(jié)構(gòu)等基本情況，合理確定信息系統(tǒng)的安全等級(jí)并向公安機(jī)關(guān)備案。

二是認(rèn)真做好等級(jí)保護(hù)測(cè)評(píng)和整改工作。根據(jù)公安部門備案審核結(jié)果，選擇具有國(guó)家相關(guān)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)，對(duì)我局的信息系統(tǒng)進(jìn)行等保測(cè)評(píng)，并根據(jù)測(cè)評(píng)結(jié)果進(jìn)行整改落實(shí)。

三是定期開展自查和接受公安部門檢查。定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施落實(shí)情況開展自查和接受檢查，對(duì)未達(dá)到相應(yīng)等級(jí)保護(hù)要求的，及時(shí)進(jìn)行整改。通過信息安全等級(jí)保護(hù)工作，全面提升我局的信息安全保障能力和整體水平。

參考文獻(xiàn)

[1] 高長(zhǎng)永.計(jì)算機(jī)網(wǎng)絡(luò)安全問題及其防范措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（11）.

[2] 高金鎖.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)信息安全與防范[J].電子技術(shù)與軟件工程，2013（17）.

[3] GB/T 22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求[Z].endprint

3.2 加強(qiáng)網(wǎng)絡(luò)規(guī)劃和投入，提升系統(tǒng)自身免疫能力

針對(duì)我局網(wǎng)絡(luò)設(shè)備和架構(gòu)現(xiàn)狀，我們提出如下改造目標(biāo)：消除核心設(shè)備單點(diǎn)故障，實(shí)現(xiàn)核心交換設(shè)備的虛擬化，架設(shè)千兆基礎(chǔ)的主干網(wǎng)絡(luò)，合理劃分安全等級(jí)區(qū)域，滿足可預(yù)期內(nèi)視頻等各種高數(shù)據(jù)流量信號(hào)的網(wǎng)絡(luò)運(yùn)行要求，提高網(wǎng)絡(luò)總體運(yùn)行水平和故障應(yīng)對(duì)能力（見圖2）。

通過加大硬件設(shè)備的投入，并整合利用現(xiàn)有資源，對(duì)整個(gè)內(nèi)網(wǎng)網(wǎng)絡(luò)作如下改造（改造后的網(wǎng)絡(luò)拓?fù)淙鐖D2所示）：根據(jù)各區(qū)域安全防護(hù)級(jí)別不同，分別設(shè)置核心區(qū)、外聯(lián)區(qū)、內(nèi)聯(lián)區(qū)、服務(wù)器區(qū)和辦公區(qū)等區(qū)域。一是在核心區(qū)新購(gòu)置2臺(tái)核心交換機(jī)（含防火墻模塊）做虛擬化方案，替代原有的思科4006交換機(jī)，消除核心設(shè)備單點(diǎn)故障；同時(shí)在該區(qū)域部署IDS、IPS、漏洞掃描和桌面終端管理平臺(tái)等安全產(chǎn)品。二是在外聯(lián)區(qū)新購(gòu)置2臺(tái)千兆防火墻通過雙機(jī)熱備作為外聯(lián)區(qū)防火墻，并在網(wǎng)閘的配合下，隔離外聯(lián)單位，新增一臺(tái)VPN設(shè)備做雙機(jī)熱備。三是在辦公區(qū)新購(gòu)置4臺(tái)二層交換機(jī)作為機(jī)關(guān)大院各樓宇的匯聚層交換機(jī)，實(shí)現(xiàn)主干網(wǎng)絡(luò)的千兆架構(gòu)。通過合理的規(guī)劃、設(shè)備的投入和安全產(chǎn)品的整合，建立一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系，進(jìn)一步提升網(wǎng)絡(luò)系統(tǒng)自身的免疫能力。

3.3 加強(qiáng)制度建設(shè)和執(zhí)行，建立信息安全運(yùn)維體系

信息安全防護(hù)“三分靠技術(shù)，七分靠管理”，再好的信息安全防護(hù)系統(tǒng)，如果沒有好的管理制度、管理策略和運(yùn)維體系相配套，也是形同虛設(shè)。

一是建立健全網(wǎng)絡(luò)安全制度體系。要針對(duì)網(wǎng)絡(luò)與信息安全的薄弱環(huán)節(jié)、關(guān)鍵環(huán)節(jié)和容易忽視的環(huán)節(jié)，制定、修改和完善具有較強(qiáng)操作性的制度，通過制度來強(qiáng)化信息安全。建立健全機(jī)房安全、系統(tǒng)運(yùn)行、人員管理、密碼口令、網(wǎng)絡(luò)通信、數(shù)據(jù)管理等網(wǎng)絡(luò)與信息安全管理制度，提高安全防范水平。

二是建立網(wǎng)絡(luò)安全管理聯(lián)動(dòng)機(jī)制。實(shí)行網(wǎng)絡(luò)安全管理的“三級(jí)聯(lián)動(dòng)模式”，即計(jì)算機(jī)使用人員、分局計(jì)算機(jī)管理員和市局專業(yè)技術(shù)人員三者聯(lián)動(dòng)，充分發(fā)揮分局計(jì)算機(jī)管理員作用，使其做好所在單位的網(wǎng)絡(luò)與信息安全日常維護(hù)工作，縮短計(jì)算機(jī)和網(wǎng)絡(luò)故障的處理時(shí)間。

三是強(qiáng)化日常維護(hù)和監(jiān)督管理。加強(qiáng)網(wǎng)絡(luò)設(shè)備的日常運(yùn)行維護(hù)，定期開展設(shè)備保養(yǎng)，對(duì)設(shè)備運(yùn)行中存在的隱患及時(shí)了解和掌握，排除存在的不安全因素和故障，變運(yùn)行維護(hù)工作由“事后救火”為“日常保健”。加強(qiáng)網(wǎng)絡(luò)與信息安全的日常監(jiān)督管理，定期或不定期的開展網(wǎng)絡(luò)巡查，及時(shí)發(fā)現(xiàn)干部職工在網(wǎng)絡(luò)與信息安全方面的違規(guī)行為，防微杜漸，變“事后處理”為“事先預(yù)防”。

3.4 加強(qiáng)等級(jí)保護(hù)定級(jí)和整改，全面提升系統(tǒng)安全等級(jí)

開展等級(jí)保護(hù)工作，對(duì)于進(jìn)一步完善我局信息安全制度體系，規(guī)范信息安全管理，增強(qiáng)信息系統(tǒng)安全保護(hù)的整體性、針對(duì)性具有非常重要的意義。

一是合理劃分信息系統(tǒng)等級(jí)。針對(duì)我局各類信息系統(tǒng)種類多的特點(diǎn)，根據(jù)不同信息系統(tǒng)的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍和系統(tǒng)結(jié)構(gòu)等基本情況，合理確定信息系統(tǒng)的安全等級(jí)并向公安機(jī)關(guān)備案。

二是認(rèn)真做好等級(jí)保護(hù)測(cè)評(píng)和整改工作。根據(jù)公安部門備案審核結(jié)果，選擇具有國(guó)家相關(guān)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)，對(duì)我局的信息系統(tǒng)進(jìn)行等保測(cè)評(píng)，并根據(jù)測(cè)評(píng)結(jié)果進(jìn)行整改落實(shí)。

三是定期開展自查和接受公安部門檢查。定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施落實(shí)情況開展自查和接受檢查，對(duì)未達(dá)到相應(yīng)等級(jí)保護(hù)要求的，及時(shí)進(jìn)行整改。通過信息安全等級(jí)保護(hù)工作，全面提升我局的信息安全保障能力和整體水平。

參考文獻(xiàn)

[1] 高長(zhǎng)永.計(jì)算機(jī)網(wǎng)絡(luò)安全問題及其防范措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（11）.

[2] 高金鎖.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)信息安全與防范[J].電子技術(shù)與軟件工程，2013（17）.

[3] GB/T 22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求[Z].endprint

3.2 加強(qiáng)網(wǎng)絡(luò)規(guī)劃和投入，提升系統(tǒng)自身免疫能力

針對(duì)我局網(wǎng)絡(luò)設(shè)備和架構(gòu)現(xiàn)狀，我們提出如下改造目標(biāo)：消除核心設(shè)備單點(diǎn)故障，實(shí)現(xiàn)核心交換設(shè)備的虛擬化，架設(shè)千兆基礎(chǔ)的主干網(wǎng)絡(luò)，合理劃分安全等級(jí)區(qū)域，滿足可預(yù)期內(nèi)視頻等各種高數(shù)據(jù)流量信號(hào)的網(wǎng)絡(luò)運(yùn)行要求，提高網(wǎng)絡(luò)總體運(yùn)行水平和故障應(yīng)對(duì)能力（見圖2）。

通過加大硬件設(shè)備的投入，并整合利用現(xiàn)有資源，對(duì)整個(gè)內(nèi)網(wǎng)網(wǎng)絡(luò)作如下改造（改造后的網(wǎng)絡(luò)拓?fù)淙鐖D2所示）：根據(jù)各區(qū)域安全防護(hù)級(jí)別不同，分別設(shè)置核心區(qū)、外聯(lián)區(qū)、內(nèi)聯(lián)區(qū)、服務(wù)器區(qū)和辦公區(qū)等區(qū)域。一是在核心區(qū)新購(gòu)置2臺(tái)核心交換機(jī)（含防火墻模塊）做虛擬化方案，替代原有的思科4006交換機(jī)，消除核心設(shè)備單點(diǎn)故障；同時(shí)在該區(qū)域部署IDS、IPS、漏洞掃描和桌面終端管理平臺(tái)等安全產(chǎn)品。二是在外聯(lián)區(qū)新購(gòu)置2臺(tái)千兆防火墻通過雙機(jī)熱備作為外聯(lián)區(qū)防火墻，并在網(wǎng)閘的配合下，隔離外聯(lián)單位，新增一臺(tái)VPN設(shè)備做雙機(jī)熱備。三是在辦公區(qū)新購(gòu)置4臺(tái)二層交換機(jī)作為機(jī)關(guān)大院各樓宇的匯聚層交換機(jī)，實(shí)現(xiàn)主干網(wǎng)絡(luò)的千兆架構(gòu)。通過合理的規(guī)劃、設(shè)備的投入和安全產(chǎn)品的整合，建立一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系，進(jìn)一步提升網(wǎng)絡(luò)系統(tǒng)自身的免疫能力。

3.3 加強(qiáng)制度建設(shè)和執(zhí)行，建立信息安全運(yùn)維體系

信息安全防護(hù)“三分靠技術(shù)，七分靠管理”，再好的信息安全防護(hù)系統(tǒng)，如果沒有好的管理制度、管理策略和運(yùn)維體系相配套，也是形同虛設(shè)。

一是建立健全網(wǎng)絡(luò)安全制度體系。要針對(duì)網(wǎng)絡(luò)與信息安全的薄弱環(huán)節(jié)、關(guān)鍵環(huán)節(jié)和容易忽視的環(huán)節(jié)，制定、修改和完善具有較強(qiáng)操作性的制度，通過制度來強(qiáng)化信息安全。建立健全機(jī)房安全、系統(tǒng)運(yùn)行、人員管理、密碼口令、網(wǎng)絡(luò)通信、數(shù)據(jù)管理等網(wǎng)絡(luò)與信息安全管理制度，提高安全防范水平。

二是建立網(wǎng)絡(luò)安全管理聯(lián)動(dòng)機(jī)制。實(shí)行網(wǎng)絡(luò)安全管理的“三級(jí)聯(lián)動(dòng)模式”，即計(jì)算機(jī)使用人員、分局計(jì)算機(jī)管理員和市局專業(yè)技術(shù)人員三者聯(lián)動(dòng)，充分發(fā)揮分局計(jì)算機(jī)管理員作用，使其做好所在單位的網(wǎng)絡(luò)與信息安全日常維護(hù)工作，縮短計(jì)算機(jī)和網(wǎng)絡(luò)故障的處理時(shí)間。

三是強(qiáng)化日常維護(hù)和監(jiān)督管理。加強(qiáng)網(wǎng)絡(luò)設(shè)備的日常運(yùn)行維護(hù)，定期開展設(shè)備保養(yǎng)，對(duì)設(shè)備運(yùn)行中存在的隱患及時(shí)了解和掌握，排除存在的不安全因素和故障，變運(yùn)行維護(hù)工作由“事后救火”為“日常保健”。加強(qiáng)網(wǎng)絡(luò)與信息安全的日常監(jiān)督管理，定期或不定期的開展網(wǎng)絡(luò)巡查，及時(shí)發(fā)現(xiàn)干部職工在網(wǎng)絡(luò)與信息安全方面的違規(guī)行為，防微杜漸，變“事后處理”為“事先預(yù)防”。

3.4 加強(qiáng)等級(jí)保護(hù)定級(jí)和整改，全面提升系統(tǒng)安全等級(jí)

開展等級(jí)保護(hù)工作，對(duì)于進(jìn)一步完善我局信息安全制度體系，規(guī)范信息安全管理，增強(qiáng)信息系統(tǒng)安全保護(hù)的整體性、針對(duì)性具有非常重要的意義。

一是合理劃分信息系統(tǒng)等級(jí)。針對(duì)我局各類信息系統(tǒng)種類多的特點(diǎn)，根據(jù)不同信息系統(tǒng)的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍和系統(tǒng)結(jié)構(gòu)等基本情況，合理確定信息系統(tǒng)的安全等級(jí)并向公安機(jī)關(guān)備案。

二是認(rèn)真做好等級(jí)保護(hù)測(cè)評(píng)和整改工作。根據(jù)公安部門備案審核結(jié)果，選擇具有國(guó)家相關(guān)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)，對(duì)我局的信息系統(tǒng)進(jìn)行等保測(cè)評(píng)，并根據(jù)測(cè)評(píng)結(jié)果進(jìn)行整改落實(shí)。

三是定期開展自查和接受公安部門檢查。定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施落實(shí)情況開展自查和接受檢查，對(duì)未達(dá)到相應(yīng)等級(jí)保護(hù)要求的，及時(shí)進(jìn)行整改。通過信息安全等級(jí)保護(hù)工作，全面提升我局的信息安全保障能力和整體水平。

參考文獻(xiàn)

[1] 高長(zhǎng)永.計(jì)算機(jī)網(wǎng)絡(luò)安全問題及其防范措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（11）.

[2] 高金鎖.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)信息安全與防范[J].電子技術(shù)與軟件工程，2013（17）.

[3] GB/T 22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求[Z].endprint