杨德保，王 晶

（南京市国土资源信息中心，江苏 南京 210005）

0 引言

当今社会已进入大数据、云计算时代，计算机网络系统日益成为重要的信息处理、传输、存储工具。国土系统更是如此。随着国民经济的发展，城镇化进程的不断推进，国土部门各种数据信息每年呈几何级数上升，“一张图”系统应运而生。为保障国土系统“一张图”系统的全面应用，提升国土综合管理水平和效能，全面应对各种网络信息安全的严峻挑战，保护国家和人民财产安全，必须认清国土系统网络的脆弱性和潜在威胁以及客观存在的各种安全问题，采取强有力的安全策略。

1 网络信息安全内容

网络信息安全包含网络安全和信息安全2 方面：（1）硬件安全。网络硬件和存储媒体的安全。要保护这些硬设施不受损害，能够正常工作。（2）软件安全。计算机及其网络中各种软件不被篡改或破坏，不被非法操作或误操作，功能不会失效，不被非法复制。（3）运行服务安全。网络中的各个信息系统能够正常运行，并能正常地通过网络交换和控制信息。并对网络系统中的各种设备运行状况进行监测，发现不安全因素能及时报警并采取措施加以纠正，保障网络系统正常运行。（4）信息安全。即网络中存储及流通数据的安全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等，它是保障网络安全最根本的目的。

2 南京市国土系统网络信息现状分析

2.1 网络现状及分析

自2006 年国家启动“金土工程”，开展国土资源信息化建设工作，南京市初步建成连接全市、区、国土所三级的一体化网络，覆盖全市近7000 平方千米的土地面积，能够全面、准确、快速地交换和处理国土资源管理的各类信息，在全国率先形成规范、科学、高效的网络信息化国土资源管理模式，为落实最严格的耕地保护制度、保障国家矿产资源可持续供应、有效降低重大地质灾害，提高国土资源管理参与国民经济的宏观调控发挥着重要作用。有5 个特点：（1）网络线路长，覆盖范围广，客户端数量大，而且分布不均衡；（2）与省厅、市政府、区政府专线连接，安全级别较高；（3）传输处理的数据基本是以图形、图片、视频为主的大数据，时效性强、抗窃获高；（4）市局中心机房有文件服务器、档案服务器、图形服务器、EMCC 存储器，再加上各类虚拟服务器等共30 余台，设备多且复杂，部分设备老化陈旧；（5）市局与分局开通10M 带宽、分局与国土所开通2M 带宽，网络速度较慢。

2.2 存在的安全隐患

信息化领导办公室根据市局信息安全条例，每年进行信息化安全大检查，存在的问题和隐患集中表现为3 个方面。

2.2.1 工作人员无安全意识。

（1）安全意识淡薄。有人认为网络信息安全是网管人员的事，与己无关；相当一部分人认为计算机内无重要信息或认为计算机在内网，可不设置系统口令或口令很简单。这就为病毒、木马等非法侵入提供了便利，从而使整个内网受到安全威胁。

（2）任意共享。部门员工之间为使用方便，常常互设共享目录，甚至整盘共享，不设置必要的访问权限。这不仅为恶意窃取数据提供了方便通道，也为病毒快速传播提供了机会。

（3）数据随意存放。数据安全是信息安全的核心，部分工作人员的工作文件和数据存放无条理性，甚至堆满桌面，对重要数据不作备份。

（4）机器不设密码或密码长时间不修改或不关机。一些人员长期以系统密码或业务管理帐户为初始密码，或者有时为工作方便把密码随意告知同事或无关人。有些人怕费事长时间不关机，也不切断插座电源，这就给非法用户远程登录提供了机会。

（5）防病毒软件不及时更新或根本就不安装，或私自在外网上随便下载安装杀毒软件，大大增重机器运行负载，造成软件冲突、机器运行缓慢等问题。

2.2.2 私自接入设备。

（1）内网借助无线设备违规上互联网。有些工作人员喜欢给机器加装无线网卡、网络切换模块、双网卡，从而造成计算机形成内外网“混联”。

（2）在内网中使用无线路由或使用具备WIFE 功能而又不加控制的设备。现在笔记本和有些台式机兼有无线和有线2种网络连接方式，为内外互联网提拱了方便，同时也为有效监管增加了难度。

（3）对接入网内的存储设备缺少有效监管。对蓝牙设备、U盘、光驱、数码设备等具有移动存储功能的设备接入内网不加有效的管控，在内外网之间随意混用，而不采取相应的安全病毒防范措施。

（4）把连接外网使用过的机器不加病毒处理就直接接入内网使用，造成病毒在内网的快速传播。

（5）接入内网端口或终端不加认证限制。内网在定位布设时基本都留有余量，这些空闭的网口基本都无设防护措施的。据检查，全市各级对空闭网口的监管几乎都处于空白状态，没有有效的防护措施，起码缺少系统的防护措施。对接入内网终端机器不加认证限制，这就给未经授权终端接入内网打开了方便之门。

当以上事件发生时，网管人员无法迅速定位接入点，不能及时有效地对非法接入设备进行安全访问控制。

2.2.3 网络漏洞常出

漏洞是造成信息安全问题的重要隐患之一。一是系统软件漏洞不及时修复。二是业务系统软件没有经充分评估就匆匆投入使用，缺少必要标准规范、应对技术和手段。出现漏洞时，下载一些插件应付处理，头痛医头脚痛医脚，没有从根本上解决应用系统的漏洞。三是大量盗版软件被复制使用，有些分局服务器系统甚至也使用盗版软件。

3 “一张图”系统对网络信息安全提出更高要求

“一张图”系统将国土资源地理、航摄（遥感）、土地利用现状调查、城镇地籍调查、土地规划等资源信息集成，并与国土资源的计划、审批、供应、补充、开发、执法等行政管理系统迭加，从而构成统一综合的国土数据管理平台，将基础地理、土地规划、利用现状、城镇地籍、土地征收、土地供应、违法用地、矿山开发和治理等多个应用系统及其数据库融为一体，进行实时转化和传输。因此“一张图”系统具有子系统多、数据库多、服务器多且数据交换控制频繁等特点，真正将国土资源信息化推向了云计算和云处理的大数据时代。为此，“一张图”对网络带宽、服务器、数据均衡、信息安全等都提出了较高要求，大大增加了网络信息安全保障的压力。

4 国土资源网络信息安全策略

根据“一张图”系统的特点，结合多年的网络管理和维护工作的切身实践，搞好“一张图”网络信息安全必须要从制度和技术2 个方面着手，缺一不可。

4.1 制度管理

制度主要是管着人的行为。据权威统计，所有信息安全事故百分之七八十是由内部人员造成，其中信息泄密百分之七十以上来自于内部。内部人员有意或无意造成的数据泄露或损坏远远高于外部攻击，斯诺登事件就是很好的例证。所以，加强内部规范对于信息安全至关重要。

一要健全和落实好制度。通过健全计算机、网络、网站、数据、设备、机房等一系列的制度，来规范管理、规范行为，把技术之外的的安全隐患降到最低；

二要经常检查，明确责任。只有通过常态化监督检查机制，才能把制度落到实处，把责任明确到人。

三要严明纪律，赏罚分明。信息安全无小事，特别是在互联网时代，稍有不慎导致敏感或涉密信息泄露，都可能掀起舆论风暴，造成不可收拾的局面。所以，对信息制度的执行要严，要靠严约束、重赏罚形成文明用网的良好习惯。

4.2 做好现有网络环境的技术提升

4.2.1 提高网络带宽以适应一张图系统的要求。

将市局与分局带宽提至50M，分局与土管所提至10M，形成大带宽的传输线路。优化路由和交换机负载，在集点之间设置数据均衡，合理分配数据流量，避免数据赌塞，确保网络流畅。

4.2.2 挖掘服务器性能，合理划分虚拟空间。

根据一张图子系统的运行需要，淘汰部分陈旧服务器设备，合理分配服务器资源，划分虚拟运行和存储空间，努力提高软件运行的高效性。

4.2.3 做好冗余备份。

冗余备份是做好网络安全应对突发事件的主要手段。网络传输要有多家运营商做保障，必须至少有2 家以上的运营线路冗余。重要系统的服务器要做好热备，有的服务器可以做冷备。总之要做好各方面的设备和技术冗余，才能有效应对各种网络信息安全的突发事件。

4.3 确保4 个安全

4.3.1 物理安全

物理环境的安全性主要是保证计算机信息存在的物理环境、实体环境的安全，这是基本的安全要求，其中人的因素是最关键的——网络管理人员要保证网络信息设备存在的物理环境安全。目前南京市局机房严格照标准设计，各项监控安装到位，交换机和和网络设备也安装在专门地方。可是有些分局机房不满足要求，主要表现在没有防盗设备，有的甚至没有专用机房，把服务器或交换机安装在办公室，存在明显的问题。

4.3.2 操作系统安全

操作系统安全是信息安全最基本的软件基础。操作系统存在这样那样的漏洞，需要不断打补丁、升级，目前需要做好XP系统的更新换替代等工作。要提高人员的安全意识和责任感，使他们认识到信息安全的重要性，并从操作系统层面做好信息的安全保障工作。

4.3.3 传输安全

传输安全主要是指数据在空间的安全性，这个过程主要是防止数据被窃获。我们将采取加密技术和VPN 技术。

（1）加密分为对称和非对称加密。对于那些应用范围小的数据信息加大非对称加密技术应用力度，通用数据采用严格的数据加密处理，并且适时更换密钥。

（2）防火墙技术。强化防火墙安全策略，严格控制网络访问控制，提高网络安全保障的硬件、软件能力。注意防火墙不是万能的，防火墙不能防范外部的网络威胁，不能防范病毒、恶意软件攻击等。

4.3.4 接入安全

接入安全包括客户端和外设的接入。随着现代信息技术的不断发展，网络接入设备的多样化，窃取信息的方式越来越便捷。因此，必须加强对接入设备的认证管控，做到人机一一对应，IP 地址、交换机端口、MAC 地址的一一对应；关闭空闲的接入网口，严禁在内网使用带有无线上网的接入或移动存储设备。

5 结语

网络信息安全是一项长期复杂而艰巨的工作，“三分技术，七分管理”同样适用于现代网络信息安全管理。先进的技术管理只是手段，而严格的管理制度才是保证。我们要站在国家战略安全高度，做好南京市国土网络信息的安全保障，全面应对各种网络信息安全挑战，实现国土资源信息“保密性、完整性、可用性、可控性、可审查性”的目标。