摘 要 本文詳細(xì)闡述了“新型冠狀病毒肺炎”防治期間，重慶市規(guī)劃和自然資源局快速部署遠(yuǎn)程辦公環(huán)境的技術(shù)方法，以及相關(guān)的網(wǎng)絡(luò)安全運(yùn)維和管控的具體措施。

關(guān)鍵詞 新型冠狀病毒肺炎;遠(yuǎn)程辦公;網(wǎng)絡(luò)安全;運(yùn)維

Yan Liang

Information center of Planning and Natural resources of Chongqing Municipality， ChongQing， 400015

Abstract This paper elaborates detailly the technical methods for the rapid deployment of a telecommuting environment in Chongqing Planning and Natural Resources Bureau during the prevention and control of "new coronavirus pneumonia（NCP）" after the Spring Festival in 2020， as well as the specific measures for the operation， maintenance and control of network security.

Keywords NCP; Telecommuting; Network Security; Operation and Maintenance

概述

2020年春節(jié)復(fù)工后，為防治“新型冠狀病毒肺炎”，最大限度減少人員聚集，將疫情防控工作落到實(shí)處，重慶市規(guī)劃和自然資源局迅速安排部署，在全市規(guī)劃和自然資源系統(tǒng)中全面推行網(wǎng)上辦公，降低節(jié)后返崗上班人員聚集交叉感染的風(fēng)險(xiǎn)。自工作部署開(kāi)始，局信息中心作為技術(shù)支撐單位，分別在設(shè)施設(shè)備準(zhǔn)備、網(wǎng)絡(luò)架構(gòu)調(diào)整、安全管控軟硬件支撐、移動(dòng)辦公平臺(tái)改造等方面積極行動(dòng)，有效地支撐了全局在特殊階段遠(yuǎn)程辦公和網(wǎng)上服務(wù)的需要，圓滿地完成了任務(wù)。

本文重點(diǎn)論述了全系統(tǒng)遠(yuǎn)程辦公環(huán)境的搭建過(guò)程及使用到的技術(shù)方法和管理方式，并詳細(xì)闡述了遠(yuǎn)程辦公涉及的網(wǎng)絡(luò)安全管理和運(yùn)維工作的思考和做法。

1遠(yuǎn)程辦公環(huán)境部署

重慶市規(guī)劃和自然資源局日常沒(méi)有使用遠(yuǎn)程辦公，信息化建設(shè)模式采用大集中建設(shè)方式，全局統(tǒng)建了行業(yè)數(shù)據(jù)中心，通過(guò)電子政務(wù)網(wǎng)及業(yè)務(wù)專網(wǎng)連接各區(qū)（縣）局、局屬事業(yè)單位，全系統(tǒng)工作人員登錄國(guó)土空間信息平臺(tái)，統(tǒng)一處理政務(wù)、業(yè)務(wù)辦理、數(shù)據(jù)處理及郵件等工作。

為了滿足遠(yuǎn)程辦公的緊急需要，局信息中心快速響應(yīng)，依托已有的信息化資源，成立了專項(xiàng)工作小組，制定遠(yuǎn)程辦公工作方案并組織了實(shí)施，主要包含軟硬件資源準(zhǔn)備、網(wǎng)絡(luò)架構(gòu)調(diào)整、移動(dòng)應(yīng)用系統(tǒng)改造和組織管理保障四個(gè)方面的內(nèi)容。

1.1 軟硬件資源

軟硬件資源主要是針對(duì)遠(yuǎn)程辦公所需要的VPN、堡壘機(jī)等硬件設(shè)備，用戶注冊(cè)管理、權(quán)限分配系統(tǒng)、視頻會(huì)議等軟件產(chǎn)品，以及其他配套使用的一系列基礎(chǔ)支撐工具[1]。

在硬件設(shè)備方面，我局日常配置有一臺(tái)VPN設(shè)備，主要用于移動(dòng)執(zhí)法等小范圍工作需要，為了應(yīng)對(duì)全系統(tǒng)遠(yuǎn)程辦公需求，緊急協(xié)調(diào)兩臺(tái)VPN設(shè)備配置成資源池，在保障高可用的同時(shí)，提升了并發(fā)處理能力;對(duì)于需要遠(yuǎn)程維護(hù)業(yè)務(wù)系統(tǒng)及服務(wù)器的技術(shù)人員，采用“VPN+堡壘機(jī)”方式進(jìn)行訪問(wèn)，起到了最小化權(quán)限訪問(wèn)、全程記錄操作過(guò)程的作用。

在軟件工具方面，用戶注冊(cè)、權(quán)限分配系統(tǒng)采用國(guó)土空間信息平臺(tái)賬號(hào)系統(tǒng)，將全系統(tǒng)賬號(hào)相關(guān)數(shù)據(jù)導(dǎo)入到VPN設(shè)備中，然后所有用戶通過(guò)手機(jī)移動(dòng)辦公平臺(tái)APP，以業(yè)務(wù)內(nèi)網(wǎng)中平臺(tái)賬號(hào)權(quán)限登錄并提交手機(jī)號(hào)碼進(jìn)行審核，審核通過(guò)后，用戶的賬號(hào)、手機(jī)號(hào)碼、手機(jī)設(shè)備與國(guó)土空間信息平臺(tái)通過(guò)VPN進(jìn)行聯(lián)通，可以進(jìn)行移動(dòng)辦公桌面使用。整體工作情況詳見(jiàn)圖1所示。

1.2 網(wǎng)絡(luò)資源

重慶市規(guī)劃自然資源系統(tǒng)包含市局機(jī)關(guān)、40個(gè)區(qū)（縣）分局、50余個(gè)局屬事業(yè)單位，以及軟件系統(tǒng)開(kāi)發(fā)外圍服務(wù)公司等，為了保障全系統(tǒng)遠(yuǎn)程辦公的高帶寬使用，局信息中心聯(lián)系網(wǎng)絡(luò)運(yùn)營(yíng)商，緊急對(duì)互聯(lián)網(wǎng)出入口帶寬、各單位連接到市局機(jī)關(guān)的業(yè)務(wù)網(wǎng)專線等網(wǎng)絡(luò)資源進(jìn)行了調(diào)整，其互聯(lián)網(wǎng)出入口帶寬由400M升級(jí)到雙運(yùn)營(yíng)商雙線路800M，不動(dòng)產(chǎn)登記中心、區(qū)（縣）分局專線帶寬由10M緊急提升到100M。

此外，為了保障后續(xù)安全管理及運(yùn)維的需要，還對(duì)內(nèi)部網(wǎng)絡(luò)架構(gòu)進(jìn)行了調(diào)整，如單獨(dú)劃分了遠(yuǎn)程辦公連接所使用的跳轉(zhuǎn)服務(wù)器區(qū)域、中間數(shù)據(jù)庫(kù)區(qū)域，并設(shè)置防火墻、web應(yīng)用網(wǎng)關(guān)等設(shè)備對(duì)上述區(qū)域和網(wǎng)絡(luò)流量單獨(dú)審計(jì)管理。

1.3 移動(dòng)應(yīng)用系統(tǒng)

局信息中心對(duì)國(guó)土空間信息平臺(tái)進(jìn)行緊急改造，封裝H5頁(yè)面，打包成移動(dòng)辦公平臺(tái)APP，可以滿足通知、公文、閱辦件處理，收發(fā)內(nèi)網(wǎng)郵件，查看一張圖、通訊錄、運(yùn)維監(jiān)控信息等。如圖2所示。

同時(shí)為了方便及時(shí)掌握疫情防控信息、提升個(gè)人防護(hù)水平，在移動(dòng)辦公平臺(tái)中緊急上線了“疫情專題”、“重慶疫情動(dòng)態(tài)”等專題應(yīng)用，將發(fā)布的疫情信息與國(guó)土空間信息疊加，方便單位用戶使用、查看。

1.4 組織管理

除了軟硬件、網(wǎng)絡(luò)及移動(dòng)應(yīng)用等技術(shù)工作實(shí)施外，遠(yuǎn)程辦公部署工作小組設(shè)置了注冊(cè)、申請(qǐng)、驗(yàn)證、綁定、授權(quán)、使用、咨詢、反饋等多個(gè)流程節(jié)點(diǎn)，配置了注冊(cè)審核、授權(quán)綁定、平臺(tái)使用咨詢、運(yùn)維支撐四個(gè)工作小組，及時(shí)通過(guò)短信、微信、QQ等多種方式下發(fā)了遠(yuǎn)程辦公使用通知、制作了《移動(dòng)辦公平臺(tái)安裝及使用手冊(cè)》、公布了問(wèn)題咨詢?nèi)藛T手機(jī)號(hào)碼等，全方位地支撐遠(yuǎn)程辦公中所遇到的問(wèn)題。在遠(yuǎn)程辦公期間（1月31日至2月14日），合計(jì)安裝移動(dòng)設(shè)備2500余臺(tái)、每日用戶登錄使用平臺(tái)1500余次、日均訪問(wèn)各類業(yè)務(wù)15000余次。詳見(jiàn)圖3所示。

2網(wǎng)絡(luò)安全運(yùn)維管理

2.1 嚴(yán)格權(quán)限管理

所有使用遠(yuǎn)程辦公人員及技術(shù)維護(hù)人員必須是局屬工作人員，基于業(yè)務(wù)網(wǎng)中國(guó)土空間信息平臺(tái)用戶為基礎(chǔ)，采用移動(dòng)設(shè)備、手機(jī)號(hào)碼、用戶賬號(hào)綁定模式進(jìn)行使用，在移動(dòng)辦公平臺(tái)APP中根據(jù)各自的工作職責(zé)設(shè)定不同的業(yè)務(wù)和數(shù)據(jù)訪問(wèn)權(quán)限;對(duì)于需要遠(yuǎn)程維護(hù)的技術(shù)人員，根據(jù)其負(fù)責(zé)的業(yè)務(wù)系統(tǒng)，采用堡壘機(jī)分別管控方式，其訪問(wèn)設(shè)備通過(guò)VPN進(jìn)行綁定授權(quán)。

所有用戶每天進(jìn)行審計(jì)，對(duì)于超過(guò)5天沒(méi)有使用的用戶進(jìn)行凍結(jié)和賬號(hào)鎖定，如果VPN使用終端設(shè)備出現(xiàn)變化，則需要重新申請(qǐng)、綁定后才可以使用。

2.2 調(diào)整網(wǎng)絡(luò)架構(gòu)

（1）收縮管理外網(wǎng)映射范圍

對(duì)發(fā)布在外網(wǎng)上的應(yīng)用及服務(wù)進(jìn)行全面梳理和確認(rèn)，最小化發(fā)布對(duì)外服務(wù)，根據(jù)防疫期間暫停辦理的業(yè)務(wù)等通知要求，進(jìn)行應(yīng)用關(guān)停、服務(wù)器關(guān)閉、網(wǎng)絡(luò)映射停止等全面操作，收縮防控范圍，減少因?yàn)榫W(wǎng)絡(luò)流程錯(cuò)誤而泄露服務(wù)器或應(yīng)用信息，避免網(wǎng)絡(luò)拓?fù)潢P(guān)系數(shù)據(jù)泄露的安全隱患[2]。

（2）調(diào)整網(wǎng)絡(luò)架構(gòu)體系

遠(yuǎn)程辦公期間，VPN作為核心設(shè)備，承擔(dān)高頻次、高并發(fā)的網(wǎng)絡(luò)流量出入，為防止出現(xiàn)單獨(dú)故障隱患，將三臺(tái)VPN設(shè)備配置高可用架構(gòu)的資源池模式。另外，對(duì)堡壘機(jī)需要訪問(wèn)、連接的服務(wù)器進(jìn)行網(wǎng)絡(luò)設(shè)置，通過(guò)網(wǎng)段防火墻、單機(jī)防火墻等方式，設(shè)置最短訪問(wèn)連接、最小訪問(wèn)權(quán)限，同時(shí)對(duì)服務(wù)器相關(guān)端口進(jìn)行關(guān)閉，只提供必要的端口，不得通過(guò)訪問(wèn)的資源進(jìn)行跳轉(zhuǎn)等操作。

2.3 提升監(jiān)控能力

（1）開(kāi)發(fā)移動(dòng)監(jiān)控工具

為了保證隨時(shí)對(duì)數(shù)據(jù)中心基礎(chǔ)環(huán)境、設(shè)施設(shè)備、業(yè)務(wù)系統(tǒng)及各數(shù)據(jù)庫(kù)運(yùn)行狀況進(jìn)行監(jiān)控和預(yù)警，局信息中心臨時(shí)將運(yùn)維監(jiān)控平臺(tái)（PC端）進(jìn)行改造，封裝到移動(dòng)辦公平臺(tái)APP中，可以隨時(shí)對(duì)各方面情況進(jìn)行監(jiān)控，并能自動(dòng)根據(jù)故障問(wèn)題進(jìn)行短信、APP通知報(bào)警。如圖4所示。

（2）提升監(jiān)控水平

遠(yuǎn)程辦公期間，安排專職人員通過(guò)遠(yuǎn)程方式一是對(duì)鏈路負(fù)載均衡、防火墻、防毒墻、主動(dòng)防御、WEB應(yīng)用防護(hù)、防篡改等安全防護(hù)的設(shè)施設(shè)備進(jìn)行巡檢，二是加強(qiáng)應(yīng)用日志及數(shù)據(jù)庫(kù)訪問(wèn)的審計(jì)工作，三是請(qǐng)安全防護(hù)第三方團(tuán)隊(duì)定期遠(yuǎn)程對(duì)已發(fā)布在外網(wǎng)的應(yīng)用、服務(wù)、接口等進(jìn)行高頻次的漏洞掃描、滲透測(cè)試等工作，嚴(yán)防網(wǎng)絡(luò)安全事件的發(fā)生。

（3）加大重點(diǎn)防護(hù)

在遠(yuǎn)程辦公期間，對(duì)外服務(wù)也盡量鼓勵(lì)網(wǎng)上辦理，如不動(dòng)產(chǎn)登記、查詢、抵押、過(guò)戶等操作，由于不動(dòng)產(chǎn)登記系統(tǒng)中處理和存儲(chǔ)有大量個(gè)人房產(chǎn)等隱私性數(shù)據(jù)，為防止出現(xiàn)網(wǎng)絡(luò)安全隱患，在加大對(duì)外服務(wù)、加強(qiáng)市政府各單位業(yè)務(wù)協(xié)同辦理和數(shù)據(jù)共享的同時(shí)，對(duì)不動(dòng)產(chǎn)登記系統(tǒng)的主機(jī)、應(yīng)用、數(shù)據(jù)庫(kù)進(jìn)行了不同的防護(hù)策略設(shè)定。一是對(duì)數(shù)據(jù)庫(kù)進(jìn)行最小化放權(quán)訪問(wèn)設(shè)定，二是進(jìn)一步對(duì)含有個(gè)人房產(chǎn)隱私數(shù)據(jù)的數(shù)據(jù)表進(jìn)行獨(dú)立數(shù)據(jù)庫(kù)用戶訪問(wèn)，三是對(duì)應(yīng)用主機(jī)實(shí)行最小化安裝策略，開(kāi)放最少訪問(wèn)端口，四是對(duì)系統(tǒng)中需要訪問(wèn)相關(guān)數(shù)據(jù)的代碼頁(yè)面進(jìn)行改造，防止越權(quán)訪問(wèn)、數(shù)據(jù)泄露等，五是針對(duì)該部分?jǐn)?shù)據(jù)的使用和訪問(wèn)記錄進(jìn)行自動(dòng)化審計(jì)。

3結(jié)束語(yǔ)

重慶市規(guī)劃和自然資源局在疫情防控期間，采用遠(yuǎn)程辦公、網(wǎng)上服務(wù)方式，最大限度做到不聚集政務(wù)辦公、不見(jiàn)面業(yè)務(wù)辦理，確保了疫情防控和服務(wù)群眾兩不誤。截止到2月28日，移動(dòng)辦公平臺(tái)注冊(cè)用戶達(dá)2800余人，共計(jì)訪問(wèn)各類業(yè)務(wù)系統(tǒng)25萬(wàn)余次，基本實(shí)現(xiàn)全市系統(tǒng)管理人員手機(jī)端或個(gè)人PC終端全覆蓋，確保了疫情防控關(guān)鍵期政務(wù)、業(yè)務(wù)辦理24小時(shí)不間斷。

在疫情防控期間搭建遠(yuǎn)程辦公環(huán)境，由于時(shí)間緊、任務(wù)重、人數(shù)多，難免有顧全不周的問(wèn)題，在后期應(yīng)急響應(yīng)等工作方面需要進(jìn)一步完善和優(yōu)化，日常需要做足充分的準(zhǔn)備和應(yīng)急演練等工作。同時(shí)，在此也向重慶電信、重慶聯(lián)通等運(yùn)營(yíng)商公司、深信服、騰訊、華為等公司表示感謝，他們?cè)诒締挝灰咔榉揽仄陂g提供了強(qiáng)有力的信息化技術(shù)支撐。

參考文獻(xiàn)

[1] 楊鑫.網(wǎng)絡(luò)安全技術(shù)中VPN技術(shù)的應(yīng)用[J].電子技術(shù)與軟件工程，2019，（3）：208.

[2] 何天玲.電力數(shù)據(jù)通信網(wǎng)安全防護(hù)方案的分析和研究[J]，電力信息與通信技術(shù)，2020，（1）：74-79.

作者簡(jiǎn)介

閆亮（1983-），男，山東濟(jì)寧人;畢業(yè)院校：重慶郵電大學(xué)，專業(yè)：計(jì)算機(jī)應(yīng)用技術(shù)，學(xué)歷：碩士研究生，高級(jí)工程師，現(xiàn)就職單位：重慶市規(guī)劃和自然資源信息中心，研究方向：規(guī)劃和自然資源管理信息化工作研究。