呂盛槐

（山西省科學(xué)技術(shù)廳信息中心，山西太原 030001）

山西省科技系統(tǒng)網(wǎng)站安全部署解決方案

呂盛槐

（山西省科學(xué)技術(shù)廳信息中心，山西太原 030001）

隨著信息化建設(shè)的深入推進和信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)和信息系統(tǒng)已經(jīng)成為承載科技業(yè)務(wù)運轉(zhuǎn)的基礎(chǔ)設(shè)施，但是網(wǎng)絡(luò)安全面臨的形勢異常嚴(yán)峻復(fù)雜，山西省各級科技部門有大量的網(wǎng)站和信息系統(tǒng)需要安全穩(wěn)定運轉(zhuǎn)，各級基層部門既缺經(jīng)費又缺人才。尋求一種安全可靠，經(jīng)濟實用的部署手段相當(dāng)迫切。本文分析當(dāng)前的各種形勢，提出通過私有云的方式，集中管理各類系統(tǒng)的解決方案。

山西 科技系統(tǒng) 網(wǎng)絡(luò)安全 私有云

當(dāng)前，隨著信息化建設(shè)的深入推進和信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)和信息系統(tǒng)已成為承載國家運轉(zhuǎn)、社會運行的重要基礎(chǔ)設(shè)施。黨中央、國務(wù)院對網(wǎng)絡(luò)安全工作高度重視。中央先后兩次召開網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組會議，習(xí)近平總書記做了重要講話?？倳浉哒斑h矚，審時度勢，認(rèn)為網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進。山西省科技系統(tǒng)相關(guān)業(yè)務(wù)部門，如何保證網(wǎng)站和業(yè)務(wù)系統(tǒng)的相對安全，適應(yīng)當(dāng)前國內(nèi)外網(wǎng)絡(luò)安全嚴(yán)峻形勢成為一項重要的挑戰(zhàn)。

1 國內(nèi)網(wǎng)絡(luò)安全形勢嚴(yán)峻

近年來敵對國家利用高科技優(yōu)勢，對我國網(wǎng)絡(luò)常態(tài)化探測、攻擊和竊密。以國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的網(wǎng)絡(luò)安全信息與動態(tài)周報為例，在2016年第10期（2.29-3.6）中公布境內(nèi)本周感染網(wǎng)絡(luò)病毒的主機數(shù)量75.54萬臺，境內(nèi)被篡改網(wǎng)站總數(shù)3877個，其中政府網(wǎng)站數(shù)量57個；境內(nèi)被植入后門網(wǎng)站總數(shù)1998個，其中政府網(wǎng)站數(shù)量64個；針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量4030個；新增信息安全漏洞數(shù)量102個，其中高危漏洞30個。山西省政府部門網(wǎng)站2014年以來被攻擊數(shù)量也逐年上升而且數(shù)量驚人。為了應(yīng)對嚴(yán)峻的形勢，信息安全部門從2015年在11個市，92個廳局逐步推動重要信息系統(tǒng)等級保護工作，加強信息安全保護工作，很快會對下一級部門業(yè)務(wù)系統(tǒng)進行安全檢查，并提出整改要求。

2 科技部門網(wǎng)絡(luò)安全的困境

山西省科技系統(tǒng)部門眾多，省科技廳有16個下屬單位。11個地市每個有8個左右下屬單位，119個縣區(qū)都設(shè)有科技局，總計超過200個部門。很多部門建有網(wǎng)站和業(yè)務(wù)系統(tǒng)。由于科技部門經(jīng)費緊張，網(wǎng)站管理人才缺失，目前眾多網(wǎng)站系統(tǒng)離國家等級考核的標(biāo)準(zhǔn)相距甚遠，網(wǎng)絡(luò)安全狀況堪憂。

在中國市場上有運營商、互聯(lián)網(wǎng)巨頭、IDC運營商提供的公有云成本低廉，維護人員技術(shù)實力雄厚，能解決部分網(wǎng)絡(luò)攻擊問題。但是公有云更多的適合企業(yè)應(yīng)用。目前在攻擊防護、業(yè)務(wù)透明、數(shù)據(jù)安全、使用規(guī)則和互聯(lián)標(biāo)準(zhǔn)都存在問題。政府部門無法信任私有云能保障自己數(shù)據(jù)的安全，不敢把系統(tǒng)部署到公有云。山西省級政務(wù)云（私有云）的建設(shè)目前逐步探討摸索中，未來政務(wù)云的建設(shè)會解決政府部門對共有云的信用問題，應(yīng)該是未來的發(fā)展方向。目前應(yīng)該如何選擇，加固自己的網(wǎng)絡(luò)系統(tǒng)，是各級科技部門面臨的難題。

3 省級科技私有云平臺的規(guī)劃建設(shè)

山西省科技廳有新建的機房，信息中心維護團隊，按照三級等保的要求配備了安全產(chǎn)品，基本能保障省級網(wǎng)站的信息安全。山西省科技廳利用現(xiàn)有的資源，統(tǒng)籌規(guī)劃建設(shè)山西省級科技服務(wù)私有云。為地市級科技部門、科研院所提供可靠的服務(wù)器資源，可以保障山西省科技網(wǎng)站和重要科技業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全。

山西省科技廳科技管理系統(tǒng)建設(shè)按照三級等保的要求，后期私有云可以建設(shè)在網(wǎng)絡(luò)安全設(shè)備的內(nèi)部，共享網(wǎng)絡(luò)安全環(huán)境。山西省科技廳2015年新建了科技廳網(wǎng)絡(luò)機房。能滿足三級等保的物理完全的相關(guān)要求（物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷防火、防水防潮防靜電、溫濕度、電力供應(yīng)）。為保證網(wǎng)絡(luò)安全配備了雙路百兆接入，每一路上配備了出口路由、下一代防火墻、DDOS網(wǎng)關(guān)、入侵檢測、上網(wǎng)行為審計、核心交換雙活，滿足了網(wǎng)絡(luò)安全的要求。為服務(wù)器安裝正版操所系統(tǒng)、配備了堡壘機、日志審計系統(tǒng)、運維安全管控系統(tǒng)保障主機安全。為應(yīng)用系統(tǒng)進行身份鑒別，訪問控制、數(shù)據(jù)加密，數(shù)據(jù)庫審計保證應(yīng)用安全。配備了存儲雙活，數(shù)據(jù)庫審計，備份一體機確保數(shù)據(jù)安全。建立了《網(wǎng)絡(luò)及信息安全管理辦法》、《計算機和網(wǎng)絡(luò)信息安全及保密暫行規(guī)定》、《網(wǎng)絡(luò)信息系統(tǒng)建設(shè)和運維管理辦法》、《信息系統(tǒng)和網(wǎng)絡(luò)安全管理辦法》、《網(wǎng)絡(luò)安全應(yīng)急處理辦法》確保網(wǎng)絡(luò)管理有章可依。配備了系統(tǒng)管理員、安全管理員、網(wǎng)絡(luò)管理員，保證了互相監(jiān)督，避免了人為犯錯。

私有云的建設(shè)需遵循如下原則：強化核心技術(shù)的規(guī)劃、應(yīng)用、創(chuàng)新、保障、服務(wù)和再升級能力，鞏固集約化發(fā)展模式；依托共享平臺，有效利用基礎(chǔ)設(shè)備和基礎(chǔ)軟件資源，對業(yè)務(wù)系統(tǒng)實行統(tǒng)一規(guī)劃和建設(shè)，通過云計算等創(chuàng)新和成熟技術(shù)，建設(shè)統(tǒng)一的數(shù)據(jù)中心，逐步為科技業(yè)務(wù)提供應(yīng)用支撐基礎(chǔ)平臺服務(wù)和數(shù)據(jù)存儲、容災(zāi)、交換等服務(wù)，實現(xiàn)基礎(chǔ)軟硬件資源的統(tǒng)一管理、按需分配、綜合利用，降低各下屬部門單位信息化系統(tǒng)建設(shè)成本和日常運行維護成本，提高工作效率，提高云計算平臺整體可靠性、可信性、可用性，同時建立整套的云計算平臺維護、培訓(xùn)支撐體系，解決當(dāng)前面臨的問題。

私有云主要搭建對公眾服務(wù)的WEB平臺，為了給公共業(yè)務(wù)區(qū)提供足夠計算資源和存儲資源，增配如下設(shè)備：配置5臺服務(wù)器，采用 4路服務(wù)器，每臺配置4顆CPU、128GB內(nèi)存，300GB硬盤3塊。擴容存儲系統(tǒng)，為現(xiàn)有的存儲系統(tǒng)擴容，拓展10TB的裸容量。增配ssl VPN網(wǎng)關(guān)，為用戶遠程鏈接提供安全保證。通過服務(wù)器虛擬化，每臺服務(wù)器能虛擬出15臺服務(wù)器，總計能虛擬出75臺服務(wù)器。為山西省科技業(yè)務(wù)提供穩(wěn)定的網(wǎng)絡(luò)服務(wù)器環(huán)境。

通過建設(shè)私有云，可以有效解決山西目前眾多科技服務(wù)網(wǎng)站和業(yè)務(wù)系統(tǒng)的安全問題，解決地市級科技部門經(jīng)費緊張的情況下發(fā)展科技業(yè)務(wù)信息化問題。也能為下一步建立各種行業(yè)云、省級政務(wù)云探索一條道路。

［1］山西省經(jīng)濟和信息化委員會網(wǎng)站，國家互聯(lián)網(wǎng)應(yīng)急中心.網(wǎng)絡(luò)安全信息與動態(tài)周報［J/0L］.2016（10）：01-08［2016-02-29］［2016--03-06］.

http：//www.shanxieic.gov.cn/wnzz/ProManage/ProUpload/file/ 20160329/20160329163559_9001.pdf

［2］GB/T 22239-2008，信息系統(tǒng)安全等級保護基本要求［S］.

呂盛槐（1979—），男，漢族，山西文水人，畢業(yè)于太原理工大學(xué)計算機系，山西省科學(xué)技術(shù)廳信息中心助理研究員，研究方向：電子政務(wù)。