摘 要 本文詳細(xì)闡述了“新型冠狀病毒肺炎”防治期間，重慶市規(guī)劃和自然資源局快速部署遠(yuǎn)程辦公環(huán)境的技術(shù)方法，以及相關(guān)的網(wǎng)絡(luò)安全運維和管控的具體措施。

關(guān)鍵詞 新型冠狀病毒肺炎;遠(yuǎn)程辦公;網(wǎng)絡(luò)安全;運維

Yan Liang

Information center of Planning and Natural resources of Chongqing Municipality， ChongQing， 400015

Abstract This paper elaborates detailly the technical methods for the rapid deployment of a telecommuting environment in Chongqing Planning and Natural Resources Bureau during the prevention and control of "new coronavirus pneumonia（NCP）" after the Spring Festival in 2020， as well as the specific measures for the operation， maintenance and control of network security.

Keywords NCP; Telecommuting; Network Security; Operation and Maintenance

概述

2020年春節(jié)復(fù)工后，為防治“新型冠狀病毒肺炎”，最大限度減少人員聚集，將疫情防控工作落到實處，重慶市規(guī)劃和自然資源局迅速安排部署，在全市規(guī)劃和自然資源系統(tǒng)中全面推行網(wǎng)上辦公，降低節(jié)后返崗上班人員聚集交叉感染的風(fēng)險。自工作部署開始，局信息中心作為技術(shù)支撐單位，分別在設(shè)施設(shè)備準(zhǔn)備、網(wǎng)絡(luò)架構(gòu)調(diào)整、安全管控軟硬件支撐、移動辦公平臺改造等方面積極行動，有效地支撐了全局在特殊階段遠(yuǎn)程辦公和網(wǎng)上服務(wù)的需要，圓滿地完成了任務(wù)。

本文重點論述了全系統(tǒng)遠(yuǎn)程辦公環(huán)境的搭建過程及使用到的技術(shù)方法和管理方式，并詳細(xì)闡述了遠(yuǎn)程辦公涉及的網(wǎng)絡(luò)安全管理和運維工作的思考和做法。

1遠(yuǎn)程辦公環(huán)境部署

重慶市規(guī)劃和自然資源局日常沒有使用遠(yuǎn)程辦公，信息化建設(shè)模式采用大集中建設(shè)方式，全局統(tǒng)建了行業(yè)數(shù)據(jù)中心，通過電子政務(wù)網(wǎng)及業(yè)務(wù)專網(wǎng)連接各區(qū)（縣）局、局屬事業(yè)單位，全系統(tǒng)工作人員登錄國土空間信息平臺，統(tǒng)一處理政務(wù)、業(yè)務(wù)辦理、數(shù)據(jù)處理及郵件等工作。

為了滿足遠(yuǎn)程辦公的緊急需要，局信息中心快速響應(yīng)，依托已有的信息化資源，成立了專項工作小組，制定遠(yuǎn)程辦公工作方案并組織了實施，主要包含軟硬件資源準(zhǔn)備、網(wǎng)絡(luò)架構(gòu)調(diào)整、移動應(yīng)用系統(tǒng)改造和組織管理保障四個方面的內(nèi)容。

1.1 軟硬件資源

軟硬件資源主要是針對遠(yuǎn)程辦公所需要的VPN、堡壘機等硬件設(shè)備，用戶注冊管理、權(quán)限分配系統(tǒng)、視頻會議等軟件產(chǎn)品，以及其他配套使用的一系列基礎(chǔ)支撐工具[1]。

在硬件設(shè)備方面，我局日常配置有一臺VPN設(shè)備，主要用于移動執(zhí)法等小范圍工作需要，為了應(yīng)對全系統(tǒng)遠(yuǎn)程辦公需求，緊急協(xié)調(diào)兩臺VPN設(shè)備配置成資源池，在保障高可用的同時，提升了并發(fā)處理能力;對于需要遠(yuǎn)程維護業(yè)務(wù)系統(tǒng)及服務(wù)器的技術(shù)人員，采用“VPN+堡壘機”方式進行訪問，起到了最小化權(quán)限訪問、全程記錄操作過程的作用。

在軟件工具方面，用戶注冊、權(quán)限分配系統(tǒng)采用國土空間信息平臺賬號系統(tǒng)，將全系統(tǒng)賬號相關(guān)數(shù)據(jù)導(dǎo)入到VPN設(shè)備中，然后所有用戶通過手機移動辦公平臺APP，以業(yè)務(wù)內(nèi)網(wǎng)中平臺賬號權(quán)限登錄并提交手機號碼進行審核，審核通過后，用戶的賬號、手機號碼、手機設(shè)備與國土空間信息平臺通過VPN進行聯(lián)通，可以進行移動辦公桌面使用。整體工作情況詳見圖1所示。

1.2 網(wǎng)絡(luò)資源

重慶市規(guī)劃自然資源系統(tǒng)包含市局機關(guān)、40個區(qū)（縣）分局、50余個局屬事業(yè)單位，以及軟件系統(tǒng)開發(fā)外圍服務(wù)公司等，為了保障全系統(tǒng)遠(yuǎn)程辦公的高帶寬使用，局信息中心聯(lián)系網(wǎng)絡(luò)運營商，緊急對互聯(lián)網(wǎng)出入口帶寬、各單位連接到市局機關(guān)的業(yè)務(wù)網(wǎng)專線等網(wǎng)絡(luò)資源進行了調(diào)整，其互聯(lián)網(wǎng)出入口帶寬由400M升級到雙運營商雙線路800M，不動產(chǎn)登記中心、區(qū)（縣）分局專線帶寬由10M緊急提升到100M。

此外，為了保障后續(xù)安全管理及運維的需要，還對內(nèi)部網(wǎng)絡(luò)架構(gòu)進行了調(diào)整，如單獨劃分了遠(yuǎn)程辦公連接所使用的跳轉(zhuǎn)服務(wù)器區(qū)域、中間數(shù)據(jù)庫區(qū)域，并設(shè)置防火墻、web應(yīng)用網(wǎng)關(guān)等設(shè)備對上述區(qū)域和網(wǎng)絡(luò)流量單獨審計管理。

1.3 移動應(yīng)用系統(tǒng)

局信息中心對國土空間信息平臺進行緊急改造，封裝H5頁面，打包成移動辦公平臺APP，可以滿足通知、公文、閱辦件處理，收發(fā)內(nèi)網(wǎng)郵件，查看一張圖、通訊錄、運維監(jiān)控信息等。如圖2所示。

同時為了方便及時掌握疫情防控信息、提升個人防護水平，在移動辦公平臺中緊急上線了“疫情專題”、“重慶疫情動態(tài)”等專題應(yīng)用，將發(fā)布的疫情信息與國土空間信息疊加，方便單位用戶使用、查看。

1.4 組織管理

除了軟硬件、網(wǎng)絡(luò)及移動應(yīng)用等技術(shù)工作實施外，遠(yuǎn)程辦公部署工作小組設(shè)置了注冊、申請、驗證、綁定、授權(quán)、使用、咨詢、反饋等多個流程節(jié)點，配置了注冊審核、授權(quán)綁定、平臺使用咨詢、運維支撐四個工作小組，及時通過短信、微信、QQ等多種方式下發(fā)了遠(yuǎn)程辦公使用通知、制作了《移動辦公平臺安裝及使用手冊》、公布了問題咨詢?nèi)藛T手機號碼等，全方位地支撐遠(yuǎn)程辦公中所遇到的問題。在遠(yuǎn)程辦公期間（1月31日至2月14日），合計安裝移動設(shè)備2500余臺、每日用戶登錄使用平臺1500余次、日均訪問各類業(yè)務(wù)15000余次。詳見圖3所示。

2網(wǎng)絡(luò)安全運維管理

2.1 嚴(yán)格權(quán)限管理

所有使用遠(yuǎn)程辦公人員及技術(shù)維護人員必須是局屬工作人員，基于業(yè)務(wù)網(wǎng)中國土空間信息平臺用戶為基礎(chǔ)，采用移動設(shè)備、手機號碼、用戶賬號綁定模式進行使用，在移動辦公平臺APP中根據(jù)各自的工作職責(zé)設(shè)定不同的業(yè)務(wù)和數(shù)據(jù)訪問權(quán)限;對于需要遠(yuǎn)程維護的技術(shù)人員，根據(jù)其負(fù)責(zé)的業(yè)務(wù)系統(tǒng)，采用堡壘機分別管控方式，其訪問設(shè)備通過VPN進行綁定授權(quán)。

所有用戶每天進行審計，對于超過5天沒有使用的用戶進行凍結(jié)和賬號鎖定，如果VPN使用終端設(shè)備出現(xiàn)變化，則需要重新申請、綁定后才可以使用。

2.2 調(diào)整網(wǎng)絡(luò)架構(gòu)

（1）收縮管理外網(wǎng)映射范圍

對發(fā)布在外網(wǎng)上的應(yīng)用及服務(wù)進行全面梳理和確認(rèn)，最小化發(fā)布對外服務(wù)，根據(jù)防疫期間暫停辦理的業(yè)務(wù)等通知要求，進行應(yīng)用關(guān)停、服務(wù)器關(guān)閉、網(wǎng)絡(luò)映射停止等全面操作，收縮防控范圍，減少因為網(wǎng)絡(luò)流程錯誤而泄露服務(wù)器或應(yīng)用信息，避免網(wǎng)絡(luò)拓?fù)潢P(guān)系數(shù)據(jù)泄露的安全隱患[2]。

（2）調(diào)整網(wǎng)絡(luò)架構(gòu)體系

遠(yuǎn)程辦公期間，VPN作為核心設(shè)備，承擔(dān)高頻次、高并發(fā)的網(wǎng)絡(luò)流量出入，為防止出現(xiàn)單獨故障隱患，將三臺VPN設(shè)備配置高可用架構(gòu)的資源池模式。另外，對堡壘機需要訪問、連接的服務(wù)器進行網(wǎng)絡(luò)設(shè)置，通過網(wǎng)段防火墻、單機防火墻等方式，設(shè)置最短訪問連接、最小訪問權(quán)限，同時對服務(wù)器相關(guān)端口進行關(guān)閉，只提供必要的端口，不得通過訪問的資源進行跳轉(zhuǎn)等操作。

2.3 提升監(jiān)控能力

（1）開發(fā)移動監(jiān)控工具

為了保證隨時對數(shù)據(jù)中心基礎(chǔ)環(huán)境、設(shè)施設(shè)備、業(yè)務(wù)系統(tǒng)及各數(shù)據(jù)庫運行狀況進行監(jiān)控和預(yù)警，局信息中心臨時將運維監(jiān)控平臺（PC端）進行改造，封裝到移動辦公平臺APP中，可以隨時對各方面情況進行監(jiān)控，并能自動根據(jù)故障問題進行短信、APP通知報警。如圖4所示。

（2）提升監(jiān)控水平

遠(yuǎn)程辦公期間，安排專職人員通過遠(yuǎn)程方式一是對鏈路負(fù)載均衡、防火墻、防毒墻、主動防御、WEB應(yīng)用防護、防篡改等安全防護的設(shè)施設(shè)備進行巡檢，二是加強應(yīng)用日志及數(shù)據(jù)庫訪問的審計工作，三是請安全防護第三方團隊定期遠(yuǎn)程對已發(fā)布在外網(wǎng)的應(yīng)用、服務(wù)、接口等進行高頻次的漏洞掃描、滲透測試等工作，嚴(yán)防網(wǎng)絡(luò)安全事件的發(fā)生。

（3）加大重點防護

在遠(yuǎn)程辦公期間，對外服務(wù)也盡量鼓勵網(wǎng)上辦理，如不動產(chǎn)登記、查詢、抵押、過戶等操作，由于不動產(chǎn)登記系統(tǒng)中處理和存儲有大量個人房產(chǎn)等隱私性數(shù)據(jù)，為防止出現(xiàn)網(wǎng)絡(luò)安全隱患，在加大對外服務(wù)、加強市政府各單位業(yè)務(wù)協(xié)同辦理和數(shù)據(jù)共享的同時，對不動產(chǎn)登記系統(tǒng)的主機、應(yīng)用、數(shù)據(jù)庫進行了不同的防護策略設(shè)定。一是對數(shù)據(jù)庫進行最小化放權(quán)訪問設(shè)定，二是進一步對含有個人房產(chǎn)隱私數(shù)據(jù)的數(shù)據(jù)表進行獨立數(shù)據(jù)庫用戶訪問，三是對應(yīng)用主機實行最小化安裝策略，開放最少訪問端口，四是對系統(tǒng)中需要訪問相關(guān)數(shù)據(jù)的代碼頁面進行改造，防止越權(quán)訪問、數(shù)據(jù)泄露等，五是針對該部分?jǐn)?shù)據(jù)的使用和訪問記錄進行自動化審計。

3結(jié)束語

重慶市規(guī)劃和自然資源局在疫情防控期間，采用遠(yuǎn)程辦公、網(wǎng)上服務(wù)方式，最大限度做到不聚集政務(wù)辦公、不見面業(yè)務(wù)辦理，確保了疫情防控和服務(wù)群眾兩不誤。截止到2月28日，移動辦公平臺注冊用戶達2800余人，共計訪問各類業(yè)務(wù)系統(tǒng)25萬余次，基本實現(xiàn)全市系統(tǒng)管理人員手機端或個人PC終端全覆蓋，確保了疫情防控關(guān)鍵期政務(wù)、業(yè)務(wù)辦理24小時不間斷。

在疫情防控期間搭建遠(yuǎn)程辦公環(huán)境，由于時間緊、任務(wù)重、人數(shù)多，難免有顧全不周的問題，在后期應(yīng)急響應(yīng)等工作方面需要進一步完善和優(yōu)化，日常需要做足充分的準(zhǔn)備和應(yīng)急演練等工作。同時，在此也向重慶電信、重慶聯(lián)通等運營商公司、深信服、騰訊、華為等公司表示感謝，他們在本單位疫情防控期間提供了強有力的信息化技術(shù)支撐。

參考文獻

[1] 楊鑫.網(wǎng)絡(luò)安全技術(shù)中VPN技術(shù)的應(yīng)用[J].電子技術(shù)與軟件工程，2019，（3）：208.

[2] 何天玲.電力數(shù)據(jù)通信網(wǎng)安全防護方案的分析和研究[J]，電力信息與通信技術(shù)，2020，（1）：74-79.

作者簡介

閆亮（1983-），男，山東濟寧人;畢業(yè)院校：重慶郵電大學(xué)，專業(yè)：計算機應(yīng)用技術(shù)，學(xué)歷：碩士研究生，高級工程師，現(xiàn)就職單位：重慶市規(guī)劃和自然資源信息中心，研究方向：規(guī)劃和自然資源管理信息化工作研究。