引言：本文以筆者單位網(wǎng)絡(luò)與信息安全建設(shè)為例，從技術(shù)角度出發(fā)，就如何使網(wǎng)絡(luò)與信息安全建設(shè)跟上信息化建設(shè)的步伐，分析筆者單位網(wǎng)絡(luò)與信息安全建設(shè)總體現(xiàn)狀、存在問題、解決方法及意義等方面對縣局網(wǎng)絡(luò)與信息安全建設(shè)進(jìn)行思考。

隨著信息化建設(shè)步伐越來越快，網(wǎng)絡(luò)與信息安全也越來越重要，更是信息化建設(shè)永恒的話題。本文以筆者單位為例，介紹單位網(wǎng)絡(luò)與信息安全建設(shè)的基本情況與問題。

網(wǎng)絡(luò)與信息安全建設(shè)總體現(xiàn)狀

1.總體架構(gòu)

筆者單位在2012年搬遷到新辦公樓后，經(jīng)過幾年的網(wǎng)絡(luò)與信息安全建設(shè)，網(wǎng)絡(luò)與信息安全的總體架構(gòu)已初步形成，網(wǎng)絡(luò)系統(tǒng)在2014年通過信息安全等級保護測評三級測評，總體架構(gòu)如圖1所示。筆者單位的網(wǎng)絡(luò)與信息安全系統(tǒng)由兩臺互備的H3C S10508三層核心交換機提供各區(qū)域間的連接。

2.橫向接入?yún)^(qū)

主要為稅務(wù)分局、行政服務(wù)中心、銀行、國稅、鄉(xiāng)鎮(zhèn)街道財政所等外聯(lián)單位的接入，以及各行政事業(yè)單位通過縣電子政務(wù)網(wǎng)對縣財政應(yīng)用系統(tǒng)（如非稅征管、國庫集中支付系統(tǒng)）進(jìn)行訪問的業(yè)務(wù)接入。安全設(shè)備部署有2臺雙機模式運行的千兆防火墻，專為外聯(lián)接入提供安全防護功能。部署有2臺雙機模式運行千兆網(wǎng)閘，主要為政務(wù)外網(wǎng)接入提供內(nèi)外網(wǎng)安全邊界隔離。

圖1 總體架構(gòu)圖

3.縱向接入?yún)^(qū)

縱向接入?yún)^(qū)為上聯(lián)至省財政廳、省地稅局的連接區(qū)域，通過S6506R與AR4640、AR2831路由器經(jīng)由該市市財稅局至省地稅局的地稅廣域網(wǎng)鏈路，為當(dāng)前《稅友龍版》、視頻會議、《辦稅服務(wù)廳管理系統(tǒng)》視頻監(jiān)控的承載線路，該部分安全設(shè)備部署有2臺雙機模式運行千兆防火墻，提供省財政廳、省地稅局與縣局的安全邊界防護功能。

4.服務(wù)器區(qū)域

服務(wù)器區(qū)域部署了單位各種財政、地稅業(yè)務(wù)的各類服務(wù)器，建有VMware vSphere 5.5虛擬化平臺、Oracle數(shù)據(jù)庫實時應(yīng)用集群、PC服務(wù)器4余臺與小型機兩臺，通過一臺服務(wù)器匯聚交換機經(jīng)兩臺下一代防火墻連接到核心交換機。服務(wù)器區(qū)域部署有數(shù)據(jù)庫審計、安全運維管理平臺、日志審計系統(tǒng)及堡壘機等安全設(shè)備。

5.內(nèi)部接入?yún)^(qū)

內(nèi)部接入?yún)^(qū)為各樓層辦公終端、視頻監(jiān)控接入的接入層區(qū)域，各樓層通過樓層交換機經(jīng)光纖鏈路上聯(lián)至核心交換機，內(nèi)部接入終端目前部署有一套通軟安全桌面準(zhǔn)入系統(tǒng)。

網(wǎng)絡(luò)與信息安全建設(shè)存在的問題

1.財政與地稅業(yè)務(wù)邊界未分離

省地稅局在2015年3月制定的《浙江地稅系統(tǒng)業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)邊界安全防護規(guī)范》中提出：地稅與財政網(wǎng)絡(luò)須獨立部署，實現(xiàn)地稅與財政之間終端、鏈路、網(wǎng)絡(luò)與安全設(shè)備、服務(wù)器及業(yè)務(wù)應(yīng)用各層級之間的相互獨立運作的技術(shù)要求。按照圖1所示的網(wǎng)絡(luò)與信息安全結(jié)構(gòu)圖，當(dāng)前為財政、地稅網(wǎng)絡(luò)混合部署，無法滿足規(guī)范里規(guī)定的有：樓層終端未分離，財政地稅的終端當(dāng)前均使用了地稅的IP地址，并未按照規(guī)范要求進(jìn)行分離；網(wǎng)絡(luò)及安全設(shè)備未分離，財政及地稅采用了同一套網(wǎng)絡(luò)安全設(shè)備進(jìn)行接入；服務(wù)器及業(yè)務(wù)應(yīng)用未分離，采用了同一套網(wǎng)絡(luò)進(jìn)行接入；地稅網(wǎng)絡(luò)與財政網(wǎng)絡(luò)的邊界未分離。

2.安全意識有待提升

隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等一系列新技術(shù)和新應(yīng)用的興起，互聯(lián)網(wǎng)安全形勢正在發(fā)生前所未有的變化。而與此對應(yīng)的卻是全體干部職工相對薄弱的安全意識。而提升網(wǎng)絡(luò)安全水平，是在提升單位安全設(shè)備的同時，更要依賴于干部職工安全意識的提升。部分干部職工對賬號密碼設(shè)置方式、自覺安裝防病毒軟件、為操作系統(tǒng)打補丁等一些基本的互聯(lián)網(wǎng)安全仍不夠重視，存在隨意下載安裝激活不熟悉的應(yīng)用程序、使用非主流的應(yīng)用程序、對硬盤和U盤等存儲設(shè)備很少病毒查殺、隨意打開不明郵件附件、輕信免費無線連接等現(xiàn)象。

3.專業(yè)認(rèn)證人員缺乏

在信息社會大背景下，網(wǎng)絡(luò)與信息安全建設(shè)亟需一批既懂網(wǎng)絡(luò)、又懂信息安全的高級信息技術(shù)人才。由于工作人員網(wǎng)絡(luò)與信息安全意識與應(yīng)用技術(shù)水平參差不齊，使網(wǎng)絡(luò)與安全產(chǎn)品的選型、推廣及應(yīng)用產(chǎn)生了一定的難度，影響了網(wǎng)絡(luò)與信息安全建設(shè)的深入和發(fā)展。網(wǎng)絡(luò)與信息安全建設(shè)即要求全體工作人員能應(yīng)用相關(guān)殺毒軟件，又要求技術(shù)部門要有精通網(wǎng)絡(luò)與信息安全的技術(shù)人員，這就需要我局采取切實有效的途徑加大網(wǎng)絡(luò)與信息安全全員培訓(xùn)力度，鼓勵專業(yè)技術(shù)人員參加網(wǎng)絡(luò)與信息安全專業(yè)化認(rèn)證考試，增強財稅干部網(wǎng)絡(luò)與信息安全意識，提高信息安全實際應(yīng)對能力，提升我局網(wǎng)絡(luò)與信息安全建設(shè)隊伍綜合素質(zhì)。

4.網(wǎng)絡(luò)布局受政策影響大

該單位對應(yīng)到省級業(yè)務(wù)指導(dǎo)有省財政廳與省地稅局兩個業(yè)務(wù)單位，省財政廳與省地稅局對網(wǎng)絡(luò)與信息安全建設(shè)都有相關(guān)建設(shè)指導(dǎo)文件，如《浙江省數(shù)字財政建設(shè)領(lǐng)導(dǎo)小組辦公室關(guān)于做好全省財政系統(tǒng)信息安全等級保護工作的通知》(浙數(shù)財辦[2014]11號)、浙地稅函《浙江省地方稅務(wù)局關(guān)于加強地稅業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)邊界安全防護工作的通知》（〔2015〕78號），按照文件要求，縣局要對網(wǎng)絡(luò)結(jié)構(gòu)和安全設(shè)備的安全策略進(jìn)行調(diào)整，牽一發(fā)而動全身，即使是小小的調(diào)整，也要對整個的配置進(jìn)行修改。

5.終端內(nèi)外網(wǎng)未實現(xiàn)物理隔離

終端物理隔離是行政事業(yè)單位防止各類黑客攻擊，保護信息系統(tǒng)數(shù)據(jù)安全而采取的重要措施，通過終端物理隔離可以杜絕內(nèi)外網(wǎng)絡(luò)信息交換。目前該縣某局部分電腦使用隔離卡形式來實現(xiàn)終端內(nèi)外網(wǎng)物理隔離，但在使用過程中，內(nèi)外網(wǎng)切換時間長，影響工作效率。

6.安全設(shè)備的設(shè)置不夠細(xì)化

如圖1，單位有安全設(shè)備13臺，防火墻4臺，下一代防火墻2臺，網(wǎng)閘2臺，日志審計1臺，堡壘機、數(shù)據(jù)庫審計、防毒墻與安全桌面各1臺。安全設(shè)備設(shè)置尚不夠細(xì)化，如省財政與縣局之間的防火墻，目前設(shè)置為通過省財政廳能訪問單位哪些服務(wù)器，但安全設(shè)置未到端口級；如在銀行與MQ前置機服務(wù)器之間的防火墻目前設(shè)置為銀行只能訪問MQ前置機服務(wù)器，不能訪問其他服務(wù)器，但設(shè)置未細(xì)化到只能訪問到MQ前置機服務(wù)器的相應(yīng)端口。

網(wǎng)絡(luò)與信息安全建設(shè)解決方法

針對以上問題，可以從以下三大方面來解決網(wǎng)絡(luò)與信息安全面臨的相關(guān)問題。

1.加強硬件建設(shè)，為網(wǎng)絡(luò)與信息安全提供硬保障

圖2 業(yè)務(wù)邊界分離后的總體架構(gòu)

為實現(xiàn)縣局財政與地稅業(yè)務(wù)邊界分離，提升網(wǎng)絡(luò)性能，強化信息安全，可以依照省地稅局安全防護規(guī)范中的各項技術(shù)要求，對圖1網(wǎng)絡(luò)與信息安全架構(gòu)進(jìn)行改造，在網(wǎng)絡(luò)與信息安全結(jié)構(gòu)方面實現(xiàn)財政、地稅的分離部署，包括核心區(qū)域分離、外聯(lián)邊界區(qū)域分離、業(yè)務(wù)系統(tǒng)分離、終端接入分離。業(yè)務(wù)邊界分離后的整體架構(gòu)如圖2所示。

終端內(nèi)外隔離可以便于網(wǎng)絡(luò)安全管理，避免終端外網(wǎng)使用過程中感染的病毒在內(nèi)網(wǎng)絡(luò)廣泛傳播。運用虛擬桌面形式來部署外網(wǎng)更有利于節(jié)約成本、日常維護與信息安全。通過小型KVM轉(zhuǎn)換器就可實現(xiàn)內(nèi)網(wǎng)計算機、虛擬桌面共用一套顯示器、鍵盤和鼠標(biāo)，節(jié)約成本開銷。虛擬桌面大部分維護工作都在服務(wù)器端完成，可以極大地減少計算機維護人員維護工作量。虛擬桌面沒有病毒感染的可能性，具備完美的防病毒特性，即使感染病毒也可直接刪除虛擬機重新分配虛擬桌面，避免病毒傳播。

2.抓好軟投入，為網(wǎng)絡(luò)與信息安全提供理論基礎(chǔ)

提升全局干部職工網(wǎng)絡(luò)與信息安全意識是網(wǎng)絡(luò)與信息安全建設(shè)的第一步，如跟局屬各單位負(fù)責(zé)人簽訂網(wǎng)絡(luò)與信息安全責(zé)任書，提高各單位負(fù)責(zé)人的網(wǎng)絡(luò)安全意識；各單位指定網(wǎng)絡(luò)信息安全管理員，使網(wǎng)絡(luò)與信息安全工作有專人負(fù)責(zé)；采用多種形式對全局干部職工定期舉行網(wǎng)絡(luò)與信息安全相關(guān)內(nèi)容培訓(xùn)，廣泛宣傳網(wǎng)絡(luò)信息安全知識，提升網(wǎng)絡(luò)與信息安全的應(yīng)對能力。

加強網(wǎng)絡(luò)與信息安全專業(yè)人才培養(yǎng)是確保網(wǎng)絡(luò)穩(wěn)定與信息安全的前提。我局網(wǎng)絡(luò)與信息安全人才缺乏，要鼓勵計技術(shù)人員參加計算機技術(shù)與軟件專業(yè)技術(shù)資格網(wǎng)絡(luò)與信息安全方面的考試，通過考試來加強平時的理論學(xué)習(xí)，為實際工作打下扎實的理論基礎(chǔ)。選派技術(shù)人員參加省市局每年舉行的網(wǎng)絡(luò)與信息安全培訓(xùn)，提升行業(yè)內(nèi)的網(wǎng)絡(luò)與信息安全運維能力。

開展網(wǎng)絡(luò)與信息安全檢查，可以查出薄弱環(huán)節(jié)，做到防患于未然。根據(jù)相關(guān)的技術(shù)法規(guī)、標(biāo)準(zhǔn)與制度確定檢查內(nèi)容，再運用信息安全檢測工具開展深度安全檢查，確保檢查取得實效。檢查重點可以圍繞信息安全管理、安全教育培訓(xùn)、技術(shù)防護、應(yīng)急預(yù)案、安全問題整改等，分析安全威脅與風(fēng)險，評估安全防護水平，查找突出問題和薄弱環(huán)節(jié)，確保信息安全落到實處。針對發(fā)現(xiàn)問題和隱患，剖析原因、明確責(zé)任、限期整改，確保實效。

3.細(xì)化改進(jìn)，為網(wǎng)絡(luò)與信息安全提供細(xì)節(jié)支持

按照等級保護制度進(jìn)行網(wǎng)絡(luò)布局可以使網(wǎng)絡(luò)與信息安全實施有據(jù)可依科學(xué)規(guī)范，對以后省廳省局下發(fā)的關(guān)于網(wǎng)絡(luò)與信息安全建設(shè)文件可以很好的開展工作，而不需要大范圍的調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，使網(wǎng)絡(luò)與信息安全建設(shè)有擴展性。新建網(wǎng)絡(luò)與信息安全系統(tǒng)，實施前，要實施網(wǎng)絡(luò)與信息安全風(fēng)險評估，按省廳省局的相關(guān)要求確定安全保護等級，實施過程中，進(jìn)行信息安全測評，使建設(shè)的網(wǎng)絡(luò)達(dá)到相關(guān)安全保護等級，網(wǎng)絡(luò)投入運行后，按照網(wǎng)絡(luò)與信息安全相關(guān)制度，定期進(jìn)行信息安全檢查與評估。只有在網(wǎng)絡(luò)與信息安全實施的每個過程把關(guān)，才能網(wǎng)絡(luò)與信息安全布局合理可靠。確保網(wǎng)絡(luò)穩(wěn)定，信息安全，為各類系統(tǒng)可靠運行提供保障。

優(yōu)化網(wǎng)絡(luò)配置，提升網(wǎng)絡(luò)性能。筆者單位的網(wǎng)絡(luò)性能的好壞很大程度上由核心交換機與樓層交換機的配置決定。優(yōu)化網(wǎng)絡(luò)配置，使用2臺H3C S7506E部署IRF虛擬化，作為地稅網(wǎng)絡(luò)核心交換機，經(jīng)過核心交換機虛擬化，只要通過對主交換機進(jìn)行路由配置和維護，其配置和維護的信息可以同時更新到另一臺交換機上，從而不需對兩臺交換機都進(jìn)行維護，減輕維護配置工作量，提高工作效率，提升網(wǎng)絡(luò)性能。通過對核心財政與地稅核心交換機、樓層交換機配置VLAN，每個樓層財政與地稅樓層交換機分別屬于同一VLAN，這樣很好的防止了廣播風(fēng)暴，并且提升了網(wǎng)絡(luò)性能。

細(xì)化安全配置，提升防范能力。筆者單位目前防火墻安全配置大部分都基于機器級，如財政網(wǎng)絡(luò)哪些機器可以訪問地稅網(wǎng)絡(luò)中哪幾臺服務(wù)器，銀行端哪些機器可以訪問財政端哪幾臺服務(wù)器，雖然這種配置可以有效防止各種非法攻擊，但這種設(shè)置還不夠細(xì)化，還沒有到服務(wù)器的端口級，如可以把銀行端哪些機器訪問財政端哪幾臺服務(wù)器細(xì)化到銀行端哪些機器可以訪問財政端哪幾臺服務(wù)器的端口，如只開發(fā)FTP端口、MQ端口等。提高監(jiān)控設(shè)備通知功能，在原只有網(wǎng)絡(luò)機房故障通知功能的基礎(chǔ)上，升級監(jiān)控設(shè)備功能，使監(jiān)控設(shè)備每天早上、晚上對機房的溫度都進(jìn)行通知，使機房值班人員第一時間知道機房的溫度情況。開啟監(jiān)控設(shè)備手機卡費用最低額度通知功能，值班人員可第一時間對監(jiān)控設(shè)備手機卡進(jìn)行充值，避免當(dāng)故障發(fā)生時監(jiān)控設(shè)備手機卡因無余額而無法通知的情況發(fā)生。安全配置細(xì)化后，可進(jìn)一步提升信息安全的防范能力。