劉磊

摘要：網(wǎng)絡(luò)安全等級保護(hù)是我國網(wǎng)絡(luò)安全的一項(xiàng)基本國策，《中華人民共和國網(wǎng)絡(luò)安全法》的出臺，標(biāo)志其已經(jīng)上升到了法律層面。通過對省級測繪的重要信息系統(tǒng)——安徽省地理信息公共服務(wù)平臺網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析，針對其存在的網(wǎng)絡(luò)安全問題，結(jié)合現(xiàn)行網(wǎng)絡(luò)安全等級保護(hù)2.0的相關(guān)要求，從安全技術(shù)和安全管理兩大方面，提出了安全體系建設(shè)的一些思路，為系統(tǒng)的安全建設(shè)整改提供了重要依據(jù)和有力保障。

關(guān)鍵詞：等級保護(hù)2.0;安全體系;基本要求;網(wǎng)絡(luò)安全;天地圖

中圖分類號：TP399 文獻(xiàn)標(biāo)識碼：A

2017年6月1日起實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）第二十一條規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)安全等級保護(hù)作為我國信息安全保障的基本策略，是網(wǎng)絡(luò)空間安全保障體系的重要支撐，是應(yīng)對網(wǎng)絡(luò)攻擊的有效措施。

國家地理信息公共服務(wù)平臺（簡稱“天地圖”）是促進(jìn)測繪成果廣泛應(yīng)用、推進(jìn)地理信息資源共建共享、轉(zhuǎn)變地理信息服務(wù)方式的重要公共服務(wù)平臺。安徽省地理信息公共服務(wù)平臺（簡稱“天地圖·安徽”）是省級地理信息公共服務(wù)平臺，是自然資源部門的重要信息系統(tǒng)，屬于關(guān)鍵信息基礎(chǔ)設(shè)施范疇，需要在技術(shù)上加強(qiáng)安全防護(hù)，更需要借助管理手段進(jìn)行安全保障，兩者相互配合、相互支撐。為平臺構(gòu)建動(dòng)態(tài)的網(wǎng)絡(luò)安全防護(hù)體系，按照等級保護(hù)2.0的基本要求，基于統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一管理、安全適度、重點(diǎn)防護(hù)的原則，展開三級標(biāo)準(zhǔn)的安全體系建設(shè)，從而保證安徽省地理信息公共服務(wù)平臺的安全性和合規(guī)性。

1安徽省地理信息公共服務(wù)平臺安全風(fēng)險(xiǎn)分析

安徽省地理信息公共服務(wù)平臺依托國家地理信息公共服務(wù)平臺的總體框架，遵照“天地圖”建設(shè)相關(guān)技術(shù)標(biāo)準(zhǔn)與規(guī)范建成?！疤斓貓D·安徽”基于安徽省地理信息資源，作為省級接入節(jié)點(diǎn)，與“天地圖”主節(jié)點(diǎn)實(shí)現(xiàn)服務(wù)聚合與協(xié)同，向社會(huì)公眾提供免費(fèi)的地理信息瀏覽、查詢等綜合服務(wù)，向企事業(yè)單位等提供標(biāo)準(zhǔn)的開發(fā)接口。

依據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安[2007]861號）和《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》（GB/T 2240-2008），以及《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》（GA/T 1389-2017）文件要求，安徽省地理信息公共服務(wù)平臺屬于重要信息系統(tǒng)，主要對公眾、企事業(yè)單位、政府部門提供24小時(shí)不間斷“一站式”地理信息服務(wù)與API增值開發(fā)，一旦被破壞將會(huì)對政府聲譽(yù)、社會(huì)秩序造成嚴(yán)重?fù)p害，因此業(yè)務(wù)信息安全保護(hù)等級為第三級;當(dāng)系統(tǒng)服務(wù)受到破壞后，導(dǎo)致系統(tǒng)無法查詢地理信息，會(huì)給公眾、企事業(yè)單位等的相關(guān)生活工作帶來一般損害，因此系統(tǒng)服務(wù)安全保護(hù)等級為第二級。由于信息系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級較高者決定，所以安徽省地理信息公共服務(wù)平臺的安全保護(hù)等級定為第三級。

安徽省地理信息公共服務(wù)平臺包含安徽省公共地理框架數(shù)據(jù)、安徽省節(jié)點(diǎn)服務(wù)系統(tǒng)、門戶網(wǎng)站以及連接各相關(guān)部門的網(wǎng)絡(luò)。平臺建成至今逐步完善并加強(qiáng)了系統(tǒng)安全防護(hù)建設(shè)。隨著信息化技術(shù)的飛速發(fā)展，來到了等級保護(hù)2.0時(shí)代，對照等級保護(hù)2.0的“信息安全技術(shù)、網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求”（GB/T25070-2019）、“實(shí)施指南”（GB/T25058-2019）和“信息安全技術(shù)、網(wǎng)絡(luò)安全等級保護(hù)基本要求”（GB/T22239-2019）中的第三級要求，安徽省地理信息公共服務(wù)平臺目前在安全技術(shù)和安全管理方面都存在一些差距。

1.1技術(shù)方面

等級保護(hù)安全技術(shù)方面主要包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心等五個(gè)方面。安徽省地理信息公共服務(wù)平臺在前期建設(shè)中，已經(jīng)考慮到網(wǎng)絡(luò)邊界處的安全風(fēng)險(xiǎn)防護(hù)，部署了鏈路負(fù)載均衡、防毒墻、防火墻等對出口鏈路進(jìn)行了負(fù)載分擔(dān)，進(jìn)行了病毒防護(hù)和訪問控制。為加強(qiáng)運(yùn)維服務(wù)管控，部署了堡壘機(jī)進(jìn)行運(yùn)維服務(wù)審計(jì)。部署了漏洞掃描系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)等安全設(shè)備，進(jìn)行系統(tǒng)漏洞檢測和安全審計(jì)。使平臺具備了基本的安全防護(hù)能力，但對照等級保護(hù)2.0的安全防護(hù)要求，還存在著防護(hù)不足之處。

安全物理環(huán)境方面已經(jīng)具有安全可靠的機(jī)房，能夠提供良好的運(yùn)行環(huán)境，用以支撐平臺的安全運(yùn)行。機(jī)房具有防盜、防火、防水、防雷等功能，設(shè)置了專業(yè)的門禁系統(tǒng)控制人員進(jìn)出。具備物理安全保障能力，滿足了系統(tǒng)平臺的物理安全防護(hù)要求。

安全通信網(wǎng)絡(luò)方面，目前安徽省地理信息公共服務(wù)平臺采用了冗余網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力可以滿足高峰期的需要，采取了相應(yīng)的訪問控制措施，對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行了過濾。在可信驗(yàn)證方面目前還存在著安全風(fēng)險(xiǎn)，還需進(jìn)行安全加固。

安全區(qū)域邊界方面，已經(jīng)在邊界防護(hù)上實(shí)施了訪問控制，在入侵防范、惡意代碼防范和安全審計(jì)等方面都做了安全加固，保證跨越邊界的訪問和數(shù)據(jù)流只能通過邊界設(shè)備提供的受控接口進(jìn)行通信，防止或限制從外部或者內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。目前尚未在可信驗(yàn)證方面進(jìn)行安全防控，無法實(shí)現(xiàn)在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，存在著安全風(fēng)險(xiǎn)。

安全計(jì)算環(huán)境方面，現(xiàn)部署在VMware虛擬化平臺中。身份鑒別層面能夠確定用戶是否具有對某種資源的訪問、使用權(quán)限。通過防火墻、網(wǎng)絡(luò)審計(jì)和防毒墻在訪問控制、安全審計(jì)、入侵防范、惡意代碼防范等方面加強(qiáng)了防控。同時(shí)，部署了數(shù)據(jù)備份系統(tǒng)進(jìn)行重要數(shù)據(jù)備份。在可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、剩余信息保護(hù)和個(gè)人信息保護(hù)等方面還需加強(qiáng)安全防護(hù)，以全面提升安全計(jì)算環(huán)境的安全保障能力。

安全管理中心方面，在系統(tǒng)管理方面加強(qiáng)了身份鑒別，對系統(tǒng)管理員的身份進(jìn)行鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作。在審計(jì)管理方面雖然配備了審計(jì)管理員，但在對每臺設(shè)備或每個(gè)系統(tǒng)的操作審計(jì)方面存在不足。安全管理與審計(jì)管理方面存在執(zhí)行落實(shí)不到位的問題。在集中管控層面缺乏縱深防御體系，不能實(shí)現(xiàn)從全局角度對信息網(wǎng)絡(luò)的安全狀態(tài)做到有效監(jiān)控，更無法實(shí)施整網(wǎng)安全策略。

1.2管理方面

“三分建設(shè)，七分管理”，健全的安全管理體系和安全管理制度是安全管理的根本，安徽省地理信息公共服務(wù)平臺建立之初在管理方面就進(jìn)行了嚴(yán)格要求，設(shè)立了安全管理機(jī)構(gòu)，配備了安全管理人員。制定了相應(yīng)的安全管理工作總體方針，并設(shè)置了相關(guān)的安全管理策略，對安全管理活動(dòng)中的各類管理內(nèi)容建立了安全管理制度。目前安全管理制度的執(zhí)行、落實(shí)方面與等級保護(hù)2.0安全管理要求還存在很多的偏差，需要嚴(yán)格規(guī)定安全管理制度的授權(quán)和制定，使之能完全符合平臺的實(shí)際情況。在安全建設(shè)管理、安全運(yùn)維管理等方面還存在不足之處，需要進(jìn)一步完善。

2安全體系建設(shè)

《網(wǎng)絡(luò)安全法》將現(xiàn)行的網(wǎng)絡(luò)安全等級保護(hù)制度上升為法律層面，也標(biāo)志著網(wǎng)絡(luò)安全等級保護(hù)1.0時(shí)代向2.0時(shí)代邁進(jìn)，等級保護(hù)2.0要求從分層防護(hù)向綜合防控、集中防護(hù)的思想轉(zhuǎn)變。

安徽省地理信息公共服務(wù)平臺的整個(gè)安全體系架構(gòu)按照等級保護(hù)2.0的“一個(gè)中心，三重防護(hù)”的體系框架建設(shè)。一個(gè)安全管理中心，就是將安全管理，安全監(jiān)測、安全審計(jì)等各類的設(shè)備和應(yīng)用平臺進(jìn)行集中管控。三重防護(hù)就是加強(qiáng)”安全通信環(huán)境”、”安全區(qū)域邊界”和”安全計(jì)算環(huán)境”的安全防控。下面是在等級保護(hù)2.0第三級（S3A2C3）的要求基礎(chǔ)上進(jìn)行的技術(shù)和管理體系設(shè)計(jì)。

安全體系架構(gòu)如圖1所示：

2.1安全技術(shù)體系建設(shè)

1）安全計(jì)算環(huán)境防護(hù)體系

通過部署數(shù)據(jù)庫審計(jì)與防護(hù)系統(tǒng)，實(shí)時(shí)監(jiān)控、識別、阻斷外部攻擊以及來自內(nèi)部非授權(quán)的數(shù)據(jù)竊取行為，應(yīng)對來自外部和內(nèi)部的數(shù)據(jù)庫安全威脅，滿足計(jì)算環(huán)境安全審計(jì)的合規(guī)性要求。部署數(shù)據(jù)泄露防護(hù)系統(tǒng)，通過終端和網(wǎng)絡(luò)的雙重防護(hù)，對關(guān)鍵數(shù)據(jù)的使用、流轉(zhuǎn)和外發(fā)進(jìn)行實(shí)時(shí)監(jiān)控和操作控制，有效防護(hù)敏感數(shù)據(jù)（如圖形數(shù)據(jù)、傳票數(shù)據(jù)等）通過網(wǎng)絡(luò)、郵件或終端泄露，滿足訪問控制及安全審計(jì)的合規(guī)性要求。

2）安全區(qū)域邊界防護(hù)體系

通過部署防火墻、入侵防御系統(tǒng)、入侵檢測系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)、安全日志審計(jì)系統(tǒng)等安全設(shè)備，按照分級、分域的原則，對安全區(qū)域邊界進(jìn)行全面保護(hù)，有效應(yīng)對區(qū)域邊界常見的安全威脅，實(shí)現(xiàn)層層防御的立體安全體系。

3）安全通信網(wǎng)絡(luò)防護(hù)體系

通過負(fù)載均衡、VPN等保護(hù)基礎(chǔ)通信網(wǎng)絡(luò)安全。在業(yè)務(wù)優(yōu)化訪問方面，利用應(yīng)用負(fù)載網(wǎng)關(guān)選擇最優(yōu)的訪問路徑，通過應(yīng)用交付控制器實(shí)現(xiàn)應(yīng)用性能優(yōu)化，提升服務(wù)器、帶寬效率和用戶體驗(yàn)，提高系統(tǒng)的可用性和業(yè)務(wù)的連續(xù)性。從可用性的角度，對通信鏈路的帶寬，按照業(yè)務(wù)類型進(jìn)行重新分配，對關(guān)鍵的業(yè)務(wù)應(yīng)用進(jìn)行資源的保障，確保業(yè)務(wù)的連續(xù)性;在加密通信方面，采用支持國密碼算法的安全通信設(shè)備，全面保障通信的機(jī)密性、完整性。

4）安全管理中心防護(hù)體系

通過安全管理平臺、大數(shù)據(jù)智能分析平臺提供有效的集中安全管理及大數(shù)據(jù)分析，大大降低運(yùn)維管理成本。運(yùn)用全局性日志管理、統(tǒng)一策略管理、設(shè)備狀態(tài)集中監(jiān)控、監(jiān)控?cái)?shù)據(jù)匯總和報(bào)表統(tǒng)計(jì)等手段解決網(wǎng)絡(luò)安全狀況不直觀、安全策略管理亂、安全事件響應(yīng)慢、安全故障定位難等問題，為平臺網(wǎng)絡(luò)提供全面的集中管理解決方案，同時(shí)滿足安全管理中心集中管控的合規(guī)性要求。大數(shù)據(jù)分析平臺通過AI智能驅(qū)動(dòng)大數(shù)據(jù)統(tǒng)一關(guān)聯(lián)分析，綜合事件、威脅、工單、行為等安全要點(diǎn)，進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)和業(yè)務(wù)健康度的態(tài)勢呈現(xiàn)、分析、預(yù)測與處置，構(gòu)建網(wǎng)絡(luò)及業(yè)務(wù)安全的全網(wǎng)大腦。

2.2安全管理體系建設(shè)

1）安全管理制度

在現(xiàn)有的安全管理制度基礎(chǔ)上，結(jié)合等級保護(hù)2.0安全管理制度基本要求，梳理和完善各類管理規(guī)定和管理制度。制度要求與實(shí)際工作相結(jié)合，具有可操作性、指導(dǎo)性，同時(shí)，必須定期對安全管理制度中不足和有待改進(jìn)的地方進(jìn)行評審和修訂，確保安全管理制度可操作、可執(zhí)行。

2）安全管理機(jī)構(gòu)

基于單位現(xiàn)有的安全管理機(jī)構(gòu)設(shè)置，梳理安全機(jī)構(gòu)運(yùn)作方式，明確各崗位職責(zé)，設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等安全管理崗位。除了崗位的設(shè)定和職責(zé)的劃分，還必須進(jìn)行人員配備和落實(shí)，監(jiān)督和管理各安全管理崗位人員操作行為和規(guī)范，加強(qiáng)人員管理。

3）安全管理人員

人員管理制度結(jié)合單位現(xiàn)有的人員錄用、離崗、考核、教育培訓(xùn)人員管理制度進(jìn)行。對網(wǎng)絡(luò)安全關(guān)鍵崗位人員結(jié)合等級保護(hù)2.0相關(guān)要求進(jìn)行以安全為核心的管理，對關(guān)鍵崗位的人員上崗前進(jìn)行全面、嚴(yán)格的安全審查、安全意識教育、技能考核，簽署保密協(xié)議。只有注重對安全管理人員的教育和培養(yǎng)，提高其安全防范意識，才能保障安徽省地理信息公共服務(wù)平臺安全有效運(yùn)行。此外，對于離崗人員需要加強(qiáng)撤銷系統(tǒng)賬戶和相關(guān)權(quán)限的防護(hù)措施，規(guī)避因人員離崗造成的平臺安全風(fēng)險(xiǎn)。

4）系統(tǒng)建設(shè)管理

安徽省地理信息公共服務(wù)平臺建設(shè)之時(shí)就嚴(yán)格遵照國家“天地圖”相關(guān)技術(shù)標(biāo)準(zhǔn)與規(guī)范進(jìn)行建設(shè)，并加強(qiáng)了建設(shè)過程的安全管理，按照管理制度落實(shí)各項(xiàng)管理措施，完整保存相關(guān)的管理記錄和過程文檔。

5）系統(tǒng)運(yùn)維管理

系統(tǒng)運(yùn)維管理階段將是安徽省地理信息公共服務(wù)平臺整個(gè)生命周期里最長的階段，也是安全管理最為復(fù)雜的階段，需要全套的運(yùn)維管理制度進(jìn)行資產(chǎn)管理、配置管理、運(yùn)維管理、安全機(jī)制的配置與管理等，保障平臺保持良性的、持續(xù)性的運(yùn)營，能向社會(huì)公眾提供免費(fèi)的地理信息瀏覽、查詢等綜合服務(wù)。

系統(tǒng)運(yùn)維管理制度中事件處置與應(yīng)急響應(yīng)制度也是最容易缺失的制度，需要分級處置信息安全事件，制定應(yīng)急處置策略，落實(shí)應(yīng)急指揮部門、執(zhí)行部門和技術(shù)支撐部門，建立應(yīng)急協(xié)調(diào)機(jī)制。

建立災(zāi)難備份制度，制定數(shù)據(jù)的備份策略和恢復(fù)策略，實(shí)現(xiàn)重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等定期備份。

建立制定安全檢查制度，定期檢查各項(xiàng)制度、措施的落實(shí)情況，并不斷完善，定期對系統(tǒng)安全狀況進(jìn)行自查，第三級信息系統(tǒng)每年需自查一次。

2.3安全運(yùn)營體系建設(shè)

1）安全規(guī)劃與開發(fā)

安徽省地理信息公共服務(wù)平臺是在國家地理信息公共服務(wù)平臺的總體框架下進(jìn)行開發(fā)設(shè)計(jì)的，在系統(tǒng)規(guī)劃設(shè)計(jì)階段充分考慮了系統(tǒng)安全功能需求的設(shè)計(jì)，并形成安全需求設(shè)計(jì)方案，作為信息系統(tǒng)整體規(guī)劃的一部分，并組織相關(guān)部門和人員對安全需求方案進(jìn)行了評審。

在系統(tǒng)開發(fā)階段加強(qiáng)系統(tǒng)開發(fā)人員的安全意識，要求其按照代碼安全開發(fā)規(guī)范進(jìn)行系統(tǒng)開發(fā)工作，避免由于代碼的不規(guī)范而產(chǎn)生安全漏洞。

在系統(tǒng)開發(fā)建設(shè)階段采購安全產(chǎn)品，需預(yù)先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單，對于所使用的產(chǎn)品應(yīng)保證其符合國家的相關(guān)要求。

2）安全測試與驗(yàn)收

安徽省地理信息公共服務(wù)平臺在安全測試與驗(yàn)收階段建立針對系統(tǒng)測試驗(yàn)收的操作流程和規(guī)范，指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗(yàn)收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗(yàn)收工作。

系統(tǒng)交付時(shí)，對負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)，保存培訓(xùn)記錄，詳細(xì)記錄培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和參與人員等。

建立代碼安全測試流程，對于新上線的業(yè)務(wù)應(yīng)用，執(zhí)行嚴(yán)格的安全測試流程，包括不限于滲透測試、代碼安全審計(jì)等，對于所發(fā)現(xiàn)的安全漏洞要求開發(fā)人員進(jìn)行修復(fù)驗(yàn)證，直至通過安全測試方可正式上線運(yùn)行。

結(jié)合業(yè)務(wù)應(yīng)用的開發(fā)語言與框架，制定具有針對性的代碼安全編寫規(guī)范，指導(dǎo)開發(fā)人員的代碼編寫工作，做到有效提前預(yù)防漏洞的產(chǎn)生。

3）安全運(yùn)行與變更

安徽省地理信息公共服務(wù)平臺在安全運(yùn)行過程中，對全網(wǎng)資產(chǎn)（包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等）進(jìn)行統(tǒng)一管理，記錄資產(chǎn)最新的安全狀態(tài)信息（如IP地址、操作系統(tǒng)類型及版本、數(shù)據(jù)庫類型及版本、中間件版本等）。對全網(wǎng)資產(chǎn)安全屬性及時(shí)更新記錄，包括資產(chǎn)自身的賬號權(quán)限、漏洞遺留情況、安全配置、端口開放狀態(tài)等。建立所有設(shè)備賬號權(quán)限的管理規(guī)范，明確賬號權(quán)限的統(tǒng)一管理、分配規(guī)則，包括口令復(fù)雜度要求等。

對于超級管理員類賬號應(yīng)明確統(tǒng)一的授權(quán)及分配規(guī)則，原則上，應(yīng)用程序賬號不得使用超級管理員權(quán)限，運(yùn)維人員賬號權(quán)限分配應(yīng)遵循最小化授權(quán)原則。

建立各類終端（包括生產(chǎn)維護(hù)終端、辦公終端）的安全管理規(guī)范和流程，實(shí)現(xiàn)對終端準(zhǔn)入、日常監(jiān)測維護(hù)、退出處置全流程管控;實(shí)現(xiàn)對終端的病毒防護(hù)、合規(guī)檢查、軟件安全管理、數(shù)據(jù)泄漏防護(hù)等全面的管控，并建立日常終端安全監(jiān)控周報(bào)制度。

建立完善的網(wǎng)絡(luò)信息安全教育與培訓(xùn)體系，提高專業(yè)人員安全知識和技能，以及全員的安全法律責(zé)任意識，促進(jìn)整體網(wǎng)絡(luò)安全防護(hù)水平的提升;針對網(wǎng)絡(luò)安全專業(yè)人員建立一套完善的技能培訓(xùn)機(jī)制，包括攻防知識、安全管理知識、法律法規(guī)培訓(xùn)等，提升安全運(yùn)營人員的專業(yè)水平;定期組織全員網(wǎng)絡(luò)信息安全培訓(xùn)，包括個(gè)人辦公安全意識、網(wǎng)絡(luò)安全法、信息安全意識等培訓(xùn)。

制訂系統(tǒng)變更管理流程，明確變更審批過程記錄、事后通報(bào)、變更失敗恢復(fù)程序等;需要申報(bào)的變更類型，針對不同的變更類型設(shè)定不同的變更控制流程，明確申報(bào)流程、審批部門、批準(zhǔn)人等方面內(nèi)容;變更失敗后的恢復(fù)流程等方面內(nèi)容;確認(rèn)系統(tǒng)中要發(fā)生的變更，向主管領(lǐng)導(dǎo)申請，保存具有主管領(lǐng)導(dǎo)批準(zhǔn)簽字的變更申請書。

制訂系統(tǒng)退服管理流程，明確系統(tǒng)退服申請、審批、數(shù)據(jù)備份、檢查記錄等程序和責(zé)任人員。

2.4安全體系實(shí)施與運(yùn)行

安徽省地理信息公共服務(wù)平臺安全體系建成后，嚴(yán)格按照體系進(jìn)行落實(shí)和執(zhí)行。加強(qiáng)包括資源，能力、培訓(xùn)和意識，信息交流，文件控制，記錄控制，運(yùn)行控制等方面的要求，并制定策略控制措施、風(fēng)險(xiǎn)處理計(jì)劃，驗(yàn)證控制措施有效性，實(shí)施安全教育培訓(xùn)、運(yùn)行管理、資源管理以及安全事件應(yīng)急處理等。

安全體系具有動(dòng)態(tài)的，持續(xù)改進(jìn)的特點(diǎn)。在安徽省地理信息公共服務(wù)平臺安全體系運(yùn)行過程中需對照策略、目標(biāo)與實(shí)際運(yùn)行情況，實(shí)時(shí)監(jiān)控并及時(shí)評審運(yùn)行狀態(tài)，并根據(jù)評審結(jié)果編制與完善平臺的安全計(jì)劃，有針對性地持續(xù)改進(jìn)平臺的安全體系。

3結(jié)論

通過對安徽省地理信息公共服務(wù)平臺安全體系建設(shè)介紹，結(jié)合2019年12月1日正式實(shí)施的等級保護(hù)2.0相關(guān)標(biāo)準(zhǔn)，按照“一個(gè)中心、三重防護(hù)”的核心思想對平臺進(jìn)行了較為詳細(xì)的安全技術(shù)規(guī)劃，建立“可信、可控、可管”的安全防護(hù)體系，使得平臺能夠按照預(yù)期運(yùn)行，免受信息安全攻擊和破壞，全面提升網(wǎng)絡(luò)的安全性，建成后的安全保障體系將符合國家等級保護(hù)2.0相關(guān)標(biāo)準(zhǔn)要求，能夠?yàn)榘不帐〉乩硇畔⒐卜?wù)平臺穩(wěn)定運(yùn)行提供有力保障。