優化網絡性能，細化安全配置

引言：本文以筆者單位網絡與信息安全建設為例，從技術角度出發，就如何使網絡與信息安全建設跟上信息化建設的步伐，分析筆者單位網絡與信息安全建設總體現狀、存在問題、解決方法及意義等方面對縣局網絡與信息安全建設進行思考。

隨著信息化建設步伐越來越快，網絡與信息安全也越來越重要，更是信息化建設永恒的話題。本文以筆者單位為例，介紹單位網絡與信息安全建設的基本情況與問題。

網絡與信息安全建設總體現狀

1.總體架構

筆者單位在2012年搬遷到新辦公樓后，經過幾年的網絡與信息安全建設，網絡與信息安全的總體架構已初步形成，網絡系統在2014年通過信息安全等級保護測評三級測評，總體架構如圖1所示。筆者單位的網絡與信息安全系統由兩臺互備的H3C S10508三層核心交換機提供各區域間的連接。

2.橫向接入區

主要為稅務分局、行政服務中心、銀行、國稅、鄉鎮街道財政所等外聯單位的接入，以及各行政事業單位通過縣電子政務網對縣財政應用系統（如非稅征管、國庫集中支付系統）進行訪問的業務接入。安全設備部署有2臺雙機模式運行的千兆防火墻，專為外聯接入提供安全防護功能。部署有2臺雙機模式運行千兆網閘，主要為政務外網接入提供內外網安全邊界隔離。

圖1 總體架構圖

3.縱向接入區

縱向接入區為上聯至省財政廳、省地稅局的連接區域，通過S6506R與AR4640、AR2831路由器經由該市市財稅局至省地稅局的地稅廣域網鏈路，為當前《稅友龍版》、視頻會議、《辦稅服務廳管理系統》視頻監控的承載線路，該部分安全設備部署有2臺雙機模式運行千兆防火墻，提供省財政廳、省地稅局與縣局的安全邊界防護功能。

4.服務器區域

服務器區域部署了單位各種財政、地稅業務的各類服務器，建有VMware vSphere 5.5虛擬化平臺、Oracle數據庫實時應用集群、PC服務器4余臺與小型機兩臺，通過一臺服務器匯聚交換機經兩臺下一代防火墻連接到核心交換機。服務器區域部署有數據庫審計、安全運維管理平臺、日志審計系統及堡壘機等安全設備。

5.內部接入區

內部接入區為各樓層辦公終端、視頻監控接入的接入層區域，各樓層通過樓層交換機經光纖鏈路上聯至核心交換機，內部接入終端目前部署有一套通軟安全桌面準入系統。

網絡與信息安全建設存在的問題

1.財政與地稅業務邊界未分離

省地稅局在2015年3月制定的《浙江地稅系統業務專網網絡邊界安全防護規范》中提出：地稅與財政網絡須獨立部署，實現地稅與財政之間終端、鏈路、網絡與安全設備、服務器及業務應用各層級之間的相互獨立運作的技術要求。按照圖1所示的網絡與信息安全結構圖，當前為財政、地稅網絡混合部署，無法滿足規范里規定的有：樓層終端未分離，財政地稅的終端當前均使用了地稅的IP地址，并未按照規范要求進行分離；網絡及安全設備未分離，財政及地稅采用了同一套網絡安全設備進行接入；服務器及業務應用未分離，采用了同一套網絡進行接入；地稅網絡與財政網絡的邊界未分離。

2.安全意識有待提升

隨著云計算、大數據、移動互聯網等一系列新技術和新應用的興起，互聯網安全形勢正在發生前所未有的變化。而與此對應的卻是全體干部職工相對薄弱的安全意識。而提升網絡安全水平，是在提升單位安全設備的同時，更要依賴于干部職工安全意識的提升。部分干部職工對賬號密碼設置方式、自覺安裝防病毒軟件、為操作系統打補丁等一些基本的互聯網安全仍不夠重視，存在隨意下載安裝激活不熟悉的應用程序、使用非主流的應用程序、對硬盤和U盤等存儲設備很少病毒查殺、隨意打開不明郵件附件、輕信免費無線連接等現象。

3.專業認證人員缺乏

在信息社會大背景下，網絡與信息安全建設亟需一批既懂網絡、又懂信息安全的高級信息技術人才。由于工作人員網絡與信息安全意識與應用技術水平參差不齊，使網絡與安全產品的選型、推廣及應用產生了一定的難度，影響了網絡與信息安全建設的深入和發展。網絡與信息安全建設即要求全體工作人員能應用相關殺毒軟件，又要求技術部門要有精通網絡與信息安全的技術人員，這就需要我局采取切實有效的途徑加大網絡與信息安全全員培訓力度，鼓勵專業技術人員參加網絡與信息安全專業化認證考試，增強財稅干部網絡與信息安全意識，提高信息安全實際應對能力，提升我局網絡與信息安全建設隊伍綜合素質。

4.網絡布局受政策影響大

該單位對應到省級業務指導有省財政廳與省地稅局兩個業務單位，省財政廳與省地稅局對網絡與信息安全建設都有相關建設指導文件，如《浙江省數字財政建設領導小組辦公室關于做好全省財政系統信息安全等級保護工作的通知》(浙數財辦[2014]11號)、浙地稅函《浙江省地方稅務局關于加強地稅業務專網網絡邊界安全防護工作的通知》（〔2015〕78號），按照文件要求，縣局要對網絡結構和安全設備的安全策略進行調整，牽一發而動全身，即使是小小的調整，也要對整個的配置進行修改。

5.終端內外網未實現物理隔離

終端物理隔離是行政事業單位防止各類黑客攻擊，保護信息系統數據安全而采取的重要措施，通過終端物理隔離可以杜絕內外網絡信息交換。目前該縣某局部分電腦使用隔離卡形式來實現終端內外網物理隔離，但在使用過程中，內外網切換時間長，影響工作效率。

6.安全設備的設置不夠細化

如圖1，單位有安全設備13臺，防火墻4臺，下一代防火墻2臺，網閘2臺，日志審計1臺，堡壘機、數據庫審計、防毒墻與安全桌面各1臺。安全設備設置尚不夠細化，如省財政與縣局之間的防火墻，目前設置為通過省財政廳能訪問單位哪些服務器，但安全設置未到端口級；如在銀行與MQ前置機服務器之間的防火墻目前設置為銀行只能訪問MQ前置機服務器，不能訪問其他服務器，但設置未細化到只能訪問到MQ前置機服務器的相應端口。

網絡與信息安全建設解決方法

針對以上問題，可以從以下三大方面來解決網絡與信息安全面臨的相關問題。

1.加強硬件建設，為網絡與信息安全提供硬保障

圖2 業務邊界分離后的總體架構

為實現縣局財政與地稅業務邊界分離，提升網絡性能，強化信息安全，可以依照省地稅局安全防護規范中的各項技術要求，對圖1網絡與信息安全架構進行改造，在網絡與信息安全結構方面實現財政、地稅的分離部署，包括核心區域分離、外聯邊界區域分離、業務系統分離、終端接入分離。業務邊界分離后的整體架構如圖2所示。

終端內外隔離可以便于網絡安全管理，避免終端外網使用過程中感染的病毒在內網絡廣泛傳播。運用虛擬桌面形式來部署外網更有利于節約成本、日常維護與信息安全。通過小型KVM轉換器就可實現內網計算機、虛擬桌面共用一套顯示器、鍵盤和鼠標，節約成本開銷。虛擬桌面大部分維護工作都在服務器端完成，可以極大地減少計算機維護人員維護工作量。虛擬桌面沒有病毒感染的可能性，具備完美的防病毒特性，即使感染病毒也可直接刪除虛擬機重新分配虛擬桌面，避免病毒傳播。

2.抓好軟投入，為網絡與信息安全提供理論基礎

提升全局干部職工網絡與信息安全意識是網絡與信息安全建設的第一步，如跟局屬各單位負責人簽訂網絡與信息安全責任書，提高各單位負責人的網絡安全意識；各單位指定網絡信息安全管理員，使網絡與信息安全工作有專人負責；采用多種形式對全局干部職工定期舉行網絡與信息安全相關內容培訓，廣泛宣傳網絡信息安全知識，提升網絡與信息安全的應對能力。

加強網絡與信息安全專業人才培養是確保網絡穩定與信息安全的前提。我局網絡與信息安全人才缺乏，要鼓勵計技術人員參加計算機技術與軟件專業技術資格網絡與信息安全方面的考試，通過考試來加強平時的理論學習，為實際工作打下扎實的理論基礎。選派技術人員參加省市局每年舉行的網絡與信息安全培訓，提升行業內的網絡與信息安全運維能力。

開展網絡與信息安全檢查，可以查出薄弱環節，做到防患于未然。根據相關的技術法規、標準與制度確定檢查內容，再運用信息安全檢測工具開展深度安全檢查，確保檢查取得實效。檢查重點可以圍繞信息安全管理、安全教育培訓、技術防護、應急預案、安全問題整改等，分析安全威脅與風險，評估安全防護水平，查找突出問題和薄弱環節，確保信息安全落到實處。針對發現問題和隱患，剖析原因、明確責任、限期整改，確保實效。

3.細化改進，為網絡與信息安全提供細節支持

按照等級保護制度進行網絡布局可以使網絡與信息安全實施有據可依科學規范，對以后省廳省局下發的關于網絡與信息安全建設文件可以很好的開展工作，而不需要大范圍的調整網絡結構，使網絡與信息安全建設有擴展性。新建網絡與信息安全系統，實施前，要實施網絡與信息安全風險評估，按省廳省局的相關要求確定安全保護等級，實施過程中，進行信息安全測評，使建設的網絡達到相關安全保護等級，網絡投入運行后，按照網絡與信息安全相關制度，定期進行信息安全檢查與評估。只有在網絡與信息安全實施的每個過程把關，才能網絡與信息安全布局合理可靠。確保網絡穩定，信息安全，為各類系統可靠運行提供保障。

優化網絡配置，提升網絡性能。筆者單位的網絡性能的好壞很大程度上由核心交換機與樓層交換機的配置決定。優化網絡配置，使用2臺H3C S7506E部署IRF虛擬化，作為地稅網絡核心交換機，經過核心交換機虛擬化，只要通過對主交換機進行路由配置和維護，其配置和維護的信息可以同時更新到另一臺交換機上，從而不需對兩臺交換機都進行維護，減輕維護配置工作量，提高工作效率，提升網絡性能。通過對核心財政與地稅核心交換機、樓層交換機配置VLAN，每個樓層財政與地稅樓層交換機分別屬于同一VLAN，這樣很好的防止了廣播風暴，并且提升了網絡性能。

細化安全配置，提升防范能力。筆者單位目前防火墻安全配置大部分都基于機器級，如財政網絡哪些機器可以訪問地稅網絡中哪幾臺服務器，銀行端哪些機器可以訪問財政端哪幾臺服務器，雖然這種配置可以有效防止各種非法攻擊，但這種設置還不夠細化，還沒有到服務器的端口級，如可以把銀行端哪些機器訪問財政端哪幾臺服務器細化到銀行端哪些機器可以訪問財政端哪幾臺服務器的端口，如只開發FTP端口、MQ端口等。提高監控設備通知功能，在原只有網絡機房故障通知功能的基礎上，升級監控設備功能，使監控設備每天早上、晚上對機房的溫度都進行通知，使機房值班人員第一時間知道機房的溫度情況。開啟監控設備手機卡費用最低額度通知功能，值班人員可第一時間對監控設備手機卡進行充值，避免當故障發生時監控設備手機卡因無余額而無法通知的情況發生。安全配置細化后，可進一步提升信息安全的防范能力。