淺議國土資源“一張圖”系統信息安全體系建設

摘 要：隨著河南省國土資源“一張圖”系統的建設，省市縣各級的“一張圖”系統陸續上線運行，相關信息安全體系建設存在的隱患也日趨突出，需要各級單位加強重視。本文以三大體系建設為出發點，闡明了信息安全體系的大框架下，管理與監督體系、技術與運維體系和宣傳與教育體系三大體系建設同步開展的必要性，從而保障項目安全實施、系統穩定運行，為河南省國土資源工作提供有力支撐。

關鍵詞：信息安全體系；管理與監督體系；技術與運維體系；宣傳與教育體系

中圖分類號：TP39 文獻標識碼：A 文章編號：2096-4706（2018）11-0142-03

Discussion on the Construction of Information Security System for Land and

Resources “One Map” System

DONG Jiangbo

（Henan Province Land and Resources E-government Center，Zhengzhou 450016，China）

Abstract：With the construction of “One Map”system of land and resources in Henan province，the “One Map”system at all levels of provinces，cities and counties has been put into operation，and the hidden dangers of the related information security system construction have become increasingly prominent，which needs to be paid more attention at all levels. Based on the construction of the three major systems，this paper expounds the necessity of carrying out the construction of the management and supervision system，the technology operation and maintenance system and the publicity and education system at the same time under the framework of the information security system，so as to ensure the safe implementation of the project and the stable operation of the system，and provide strong support for the land and resources work of Henan province.

Keywords：information security system；management and supervision system；technology and operation and maintenance system；publicity and education system

0 引 言

新形勢下，如何用習近平總書記新時代中國特色社會主義思想武裝頭腦，用十九大精神指導國土資源管理實踐，正確處理好國土資源“一張圖”建設和信息安全體系建設的關系，探索省市縣聯動的信息安全建設道路，仍需進一步厘清思路，統籌規劃，切實做好信息安全體系建設。

1 “一張圖”簡介

河南省國土資源“一張圖”建設，是以基礎地理信息、多時相正射遙感影像和數字高程模型為系統底層數據基礎，將土地、礦產地質、地質和地質環境類數據及相關聯的業務審批和管理數據為系統的運行數據，通過“一張圖”系統中的綜合監管平臺把最新的底層數據和地政、礦政、地質環境等業務數據全部整合，實時反映全省地政的“批、供、用、補、查”，礦產資源的勘查、儲量、規劃、開發和執法檢查工作點的信息，實現了將權力變成服務，增強了審批的客觀性與實時性，實現了資源開發利用從前期規劃到后期監管的全流程實時動態監管和展示的目標。河南省“一張圖”建設起步較早，但總體發展較慢。

2 現狀概覽

“一張圖”系統具有子系統多、數據庫多樣化、服務器需求量大、網絡接入彈性大、數據交換控制頻繁等特點，因此，“一張圖”對計算資源、數據存儲和網絡帶寬等都提出了極高的需求，極大增加了系統整體安全保障的壓力。同時，省市縣各級之間發展不協調，省市縣各級重視程度不同，只有省級和少數市縣系統建設能力強、投入高，但總體較其他政府部門仍相對滯后。由于信息化投入不足，信息安全專業人員極其缺乏，并且部分技術人員技術能力較弱，其情況如下：注重前期規劃建設，沒有后期運維管理；有制度無管理監督；硬件設備投入高，軟件采購難度大；有設備沒有安全策略；有技術沒有管理體系。只有建立相應的安全體系才能應對這些復雜問題的挑戰，所以建立安全體系迫在眉睫，這也是保障全省“一張圖”全面開展建設的必要前提。

3 信息安全體系簡述

河南省“一張圖”系統整體的信息安全體系建設分為三部分：管理與監督體系、技術與運維體系和宣傳與教育體系，三個體系是相輔相成、互相促進、協調發展的關系，而不是孤立存在的。管理與監督體系是實現技術與運維體系的前提；技術與運維體系是管理與監督的具體實現，同時是推進管理與監督體系優化和改進的源動力。宣傳與教育體系為推廣和落實管理與監督體系優化了管理環境和知識基礎，而宣傳與教育體系本身也是管理與監督中溝通管理的成果。管理與監督體系的建設對技術與運維體系提出要求，反過來，管理與監督體系、技術與運維體系和宣傳與教育體系，共同構建起了“一張圖”系統的信息安全體系，為國土資源業務的持續安全穩定開展保駕護航。

4 信息安全體系建設

4.1 管理與監督體系的建設

實現網絡和信息安全制度化保障。依據《中華人民共和國計算機信息系統安全保護條例》 《計算機信息網絡國際聯網安全保護管理辦法（公安部第33號令）》《中華人民共和國網絡安全法》《互聯網安全保護技術措施規定（公安部令第82號）》等法律法規的要求，參照《ISO/IEC 27001 Information technology -- Security techniques -- Information security management systems -- Requirements》來制定相關信息系統安全要求的安全體系。制訂一整套的信息安全管理制度，從組織安全構建、硬件安全管理、軟件安全管理、開發安全管理、運維安全管理、訪問控制管理、風險評估與風險管理等方面建立管理制度，并抓好制度的落實；建立網絡安全應急處置機制，有效提升突發事件處置能力。同時對省市縣各級明確“分級管理、分級負責、自主防護”的原則，并建立相應的監督體系，對各級制度建設及落實進行規范和督導。管理制度主要是對人的行為進行約束和規范，而信息安全事故的發生往往是相關人員的行為不規范造成的，所以如果不對內部人員的行為進行規范和約束，其危害遠大于來自外部的攻擊，所以加強制度建設和監督對于信息安全至關重要。

4.2 安全技術與運維體系的建設

安全技術與運維體系的建設包括硬件安全管理、數據安全管理、系統安全管理、網絡安全管理及運維體系建設。

硬件安全管理，主要針對系統所面臨的安全威脅，這些潛在的安全威脅包括自然災害、化學與生態災害、能源災害、結構失效和人為原因威脅。其中人為因素是最關鍵的——所以要有授權、認證和審計系統，還要有環境監控及視頻監控等各項監控系統。目前我省本級已有完整的物理環境安全保障系統，但大部分市縣都存在系統不完善的狀況，特別是對“一張圖”核心數據沒有嚴格的保護措施。

數據的安全，對數據應進行加密處理，特別是通用數據要嚴格進行數據加密處理，同時要把需通過網絡分發的數據與網絡加密技術相結合，通過加密技術、數字簽名技術、鑒別技術和密鑰分配技術以及各種安全協議來避免網絡通信遭受截獲、中斷、篡改和偽造這些攻擊行為。除此之外，還要做好數據的備份，除了本地的備份，還應有異地備份，并且必須定時進行備份恢復測試。只有做好這些措施，才能有效應對數據安全問題。

系統的安全性，“一張圖”系統包括服務器的操作系統、數據庫系統和“一張圖”系統及其子系統。操作系統安全是信息安全最基本的底層軟件要求，特別是服務器操作系統和客戶端操作系統存在系統漏洞，需要由操作系統廠商提供升級和補丁服務，要求系統使用人員有安全意識和責任感，使他們從自身開始做好信息的安全保障工作。由于“一張圖”系統的子系統是不斷增加的，所以要嚴格執行準入制度，加強信息系統生命周期安全管理，特別是市縣“一張圖”項目必須在立項階段就將安全需求納入必備的要求之中，在項目交付時應出具第三方的系統安全檢測報告，要實現全省的“一張圖”系統安全標準統一，同時依托各級各類安全監管系統和設備，實行遠程監測和現場檢查相結合的常態化檢查制度，省市縣三級應定時對安全隱患進行通報和督促整改，從而實現對“一張圖”系統的生命周期安全管理。

網絡安全，需要實行訪問控制，在局域網內部必須劃分內部網絡和外部網絡，并且完全隔離，并對網絡劃分VLAN，制定相應的安全策略，對于外部網絡和內部網絡的基本安全設備必須具備對外有防火墻、IDS、防病毒網關、網閘，內部有IPS、防病毒服務器、網絡審計系統。加強對接入安全管控，一方面從網絡接入管控入手，做到IP地址、交換機端口和MAC地址綁定，杜絕接入層的隨意入網；另一方面對終端的接入端口進行管控，嚴禁未注冊存儲設備連接終端。由于目前計算機病毒已經由單一傳播、單種行為，變成依賴網絡傳播，因此，殺毒軟件必須采用網絡版，這樣才能隨時擁有最新的防病毒能力；對病毒經常攻擊的應用程序提供重點保護，讓客戶端用戶盡快地了解到新病毒的特點和解決方案。

運維體系建設是信息安全體系的根本。運維體系是省市縣各級“一張圖”系統建設中最容易忽視的工作，而安全方面運維工作的缺失也給系統使用帶來了巨大的隱患，系統安全不是一朝一夕就能做好的，這是一個長期持久的過程，所以必須有一個嚴格的流程，包括硬件安全運維流程、軟件安全運維流程、系統安全運維流程和應急保障流程。硬件安全運維流程主要包括硬件的巡檢、記錄和上報等基本過程，通過各種環境監控、視頻監控、遠程KVM和設備自身的監管軟件進行管理；軟件安全運維流程主要是通過軟件對操作系統進行主動掃描，對未按時打補丁及更新殺毒軟件的軟件使用終端進行標注，一方面上報管理部門，同時進行自動修補，對“一張圖”系統進行安全性評估，及時向系統開發人員反饋問題，由系統開發人員對安全隱患進行處理，清除安全隱患后再次進行安全評估，解決問題后進行記錄并上報通報。系統安全運維流程主要是通過系統開發人員及使用人員按照程序對系統進行管理，基本包括：過程變更申請、系統審批、變更實施和過程變更確認，要求全部過程有記錄。應急保障流程是針對突發事件而制定的，所以要定時進行應急演練，保證在緊急情況下系統的正常運行不受到影響。

4.3 宣傳與教育體系的構成

要持續組織開展網絡和信息安全培訓、信息系統等級保護培訓、網絡管理員培訓、數據管理人員培訓，加強相關人員的保密意識；利用網站、微信、會議等多種方式開展網絡安全知識宣傳，提升全體人員的網絡安全意識；整合電子政務中心與專業安全廠商的資源，開展相關人員的安全素養提升活動。

5 結 論

河南省國土資源“一張圖”安全體系建設，需要省市縣三級的相互配合，同時建立和完善管理與監督體系、技術與運維體系和宣傳與教育體系，并且將這三個體系協同統一地實施，應對各種信息系統安全挑戰，實現“一張圖”系統“安全性、穩定性、可用性、可靠性”的目標。

參考文獻：

[1] 謝希仁.計算機網絡（第五版） [M].北京：電子工業出版社，2008.

[2] 伍旭川，劉學.淺談金融科技信息技術安全三個重要體系的建設 [J].債券，2017（8）：52-54.

[3] 馬勇，朱濤.新形勢下中國民航網絡信息安全體系建設研究 [J].民航管理，2018（3）：11-14.

作者簡介：董江波（1983-），男，網絡工程師，信息系統項目管理師。從事國土資源信息化研究。