远程办公环境搭建及网络安全运维管理探讨
2020-07-10闫亮
摘 要 本文详细阐述了“新型冠状病毒肺炎”防治期间,重庆市规划和自然资源局快速部署远程办公环境的技术方法,以及相关的网络安全运维和管控的具体措施。
关键词 新型冠状病毒肺炎;远程办公;网络安全;运维
Yan Liang
Information center of Planning and Natural resources of Chongqing Municipality, ChongQing, 400015
Abstract This paper elaborates detailly the technical methods for the rapid deployment of a telecommuting environment in Chongqing Planning and Natural Resources Bureau during the prevention and control of "new coronavirus pneumonia(NCP)" after the Spring Festival in 2020, as well as the specific measures for the operation, maintenance and control of network security.
Keywords NCP; Telecommuting; Network Security; Operation and Maintenance
概述
2020年春节复工后,为防治“新型冠状病毒肺炎”,最大限度减少人员聚集,将疫情防控工作落到实处,重庆市规划和自然资源局迅速安排部署,在全市规划和自然资源系统中全面推行网上办公,降低节后返岗上班人员聚集交叉感染的风险。自工作部署开始,局信息中心作为技术支撑单位,分别在设施设备准备、网络架构调整、安全管控软硬件支撑、移动办公平台改造等方面积极行动,有效地支撑了全局在特殊阶段远程办公和网上服务的需要,圆满地完成了任务。
本文重点论述了全系统远程办公环境的搭建过程及使用到的技术方法和管理方式,并详细阐述了远程办公涉及的网络安全管理和运维工作的思考和做法。
1远程办公环境部署
重庆市规划和自然资源局日常没有使用远程办公,信息化建设模式采用大集中建设方式,全局统建了行业数据中心,通过电子政务网及业务专网连接各区(县)局、局属事业单位,全系统工作人员登录国土空间信息平台,统一处理政务、业务办理、数据处理及邮件等工作。
为了满足远程办公的紧急需要,局信息中心快速响应,依托已有的信息化资源,成立了专项工作小组,制定远程办公工作方案并组织了实施,主要包含软硬件资源准备、网络架构调整、移动应用系统改造和组织管理保障四个方面的内容。
1.1 软硬件资源
软硬件资源主要是针对远程办公所需要的VPN、堡垒机等硬件设备,用户注册管理、权限分配系统、视频会议等软件产品,以及其他配套使用的一系列基础支撑工具[1]。
在硬件设备方面,我局日常配置有一台VPN设备,主要用于移动执法等小范围工作需要,为了应对全系统远程办公需求,紧急协调两台VPN设备配置成资源池,在保障高可用的同时,提升了并发处理能力;对于需要远程维护业务系统及服务器的技术人员,采用“VPN+堡垒机”方式进行访问,起到了最小化权限访问、全程记录操作过程的作用。
在软件工具方面,用户注册、权限分配系统采用国土空间信息平台账号系统,将全系统账号相关数据导入到VPN设备中,然后所有用户通过手机移动办公平台APP,以业务内網中平台账号权限登录并提交手机号码进行审核,审核通过后,用户的账号、手机号码、手机设备与国土空间信息平台通过VPN进行联通,可以进行移动办公桌面使用。整体工作情况详见图1所示。
1.2 网络资源
重庆市规划自然资源系统包含市局机关、40个区(县)分局、50余个局属事业单位,以及软件系统开发外围服务公司等,为了保障全系统远程办公的高带宽使用,局信息中心联系网络运营商,紧急对互联网出入口带宽、各单位连接到市局机关的业务网专线等网络资源进行了调整,其互联网出入口带宽由400M升级到双运营商双线路800M,不动产登记中心、区(县)分局专线带宽由10M紧急提升到100M。
此外,为了保障后续安全管理及运维的需要,还对内部网络架构进行了调整,如单独划分了远程办公连接所使用的跳转服务器区域、中间数据库区域,并设置防火墙、web应用网关等设备对上述区域和网络流量单独审计管理。
1.3 移动应用系统
局信息中心对国土空间信息平台进行紧急改造,封装H5页面,打包成移动办公平台APP,可以满足通知、公文、阅办件处理,收发内网邮件,查看一张图、通讯录、运维监控信息等。如图2所示。
同时为了方便及时掌握疫情防控信息、提升个人防护水平,在移动办公平台中紧急上线了“疫情专题”、“重庆疫情动态”等专题应用,将发布的疫情信息与国土空间信息叠加,方便单位用户使用、查看。
1.4 组织管理
除了软硬件、网络及移动应用等技术工作实施外,远程办公部署工作小组设置了注册、申请、验证、绑定、授权、使用、咨询、反馈等多个流程节点,配置了注册审核、授权绑定、平台使用咨询、运维支撑四个工作小组,及时通过短信、微信、QQ等多种方式下发了远程办公使用通知、制作了《移动办公平台安装及使用手册》、公布了问题咨询人员手机号码等,全方位地支撑远程办公中所遇到的问题。在远程办公期间(1月31日至2月14日),合计安装移动设备2500余台、每日用户登录使用平台1500余次、日均访问各类业务15000余次。详见图3所示。
2网络安全运维管理
2.1 严格权限管理
所有使用远程办公人员及技术维护人员必须是局属工作人员,基于业务网中国土空间信息平台用户为基础,采用移动设备、手机号码、用户账号绑定模式进行使用,在移动办公平台APP中根据各自的工作职责设定不同的业务和数据访问权限;对于需要远程维护的技术人员,根据其负责的业务系统,采用堡垒机分别管控方式,其访问设备通过VPN进行绑定授权。
所有用户每天进行审计,对于超过5天没有使用的用户进行冻结和账号锁定,如果VPN使用终端设备出现变化,则需要重新申请、绑定后才可以使用。
2.2 调整网络架构
(1)收缩管理外网映射范围
对发布在外网上的应用及服务进行全面梳理和确认,最小化发布对外服务,根据防疫期间暂停办理的业务等通知要求,进行应用关停、服务器关闭、网络映射停止等全面操作,收缩防控范围,减少因为网络流程错误而泄露服务器或应用信息,避免网络拓扑关系数据泄露的安全隐患[2]。
(2)调整网络架构体系
远程办公期间,VPN作为核心设备,承担高频次、高并发的网络流量出入,为防止出现单独故障隐患,将三台VPN设备配置高可用架構的资源池模式。另外,对堡垒机需要访问、连接的服务器进行网络设置,通过网段防火墙、单机防火墙等方式,设置最短访问连接、最小访问权限,同时对服务器相关端口进行关闭,只提供必要的端口,不得通过访问的资源进行跳转等操作。
2.3 提升监控能力
(1)开发移动监控工具
为了保证随时对数据中心基础环境、设施设备、业务系统及各数据库运行状况进行监控和预警,局信息中心临时将运维监控平台(PC端)进行改造,封装到移动办公平台APP中,可以随时对各方面情况进行监控,并能自动根据故障问题进行短信、APP通知报警。如图4所示。
(2)提升监控水平
远程办公期间,安排专职人员通过远程方式一是对链路负载均衡、防火墙、防毒墙、主动防御、WEB应用防护、防篡改等安全防护的设施设备进行巡检,二是加强应用日志及数据库访问的审计工作,三是请安全防护第三方团队定期远程对已发布在外网的应用、服务、接口等进行高频次的漏洞扫描、渗透测试等工作,严防网络安全事件的发生。
(3)加大重点防护
在远程办公期间,对外服务也尽量鼓励网上办理,如不动产登记、查询、抵押、过户等操作,由于不动产登记系统中处理和存储有大量个人房产等隐私性数据,为防止出现网络安全隐患,在加大对外服务、加强市政府各单位业务协同办理和数据共享的同时,对不动产登记系统的主机、应用、数据库进行了不同的防护策略设定。一是对数据库进行最小化放权访问设定,二是进一步对含有个人房产隐私数据的数据表进行独立数据库用户访问,三是对应用主机实行最小化安装策略,开放最少访问端口,四是对系统中需要访问相关数据的代码页面进行改造,防止越权访问、数据泄露等,五是针对该部分数据的使用和访问记录进行自动化审计。
3结束语
重庆市规划和自然资源局在疫情防控期间,采用远程办公、网上服务方式,最大限度做到不聚集政务办公、不见面业务办理,确保了疫情防控和服务群众两不误。截止到2月28日,移动办公平台注册用户达2800余人,共计访问各类业务系统25万余次,基本实现全市系统管理人员手机端或个人PC终端全覆盖,确保了疫情防控关键期政务、业务办理24小时不间断。
在疫情防控期间搭建远程办公环境,由于时间紧、任务重、人数多,难免有顾全不周的问题,在后期应急响应等工作方面需要进一步完善和优化,日常需要做足充分的准备和应急演练等工作。同时,在此也向重庆电信、重庆联通等运营商公司、深信服、腾讯、华为等公司表示感谢,他们在本单位疫情防控期间提供了强有力的信息化技术支撑。
参考文献
[1] 杨鑫.网络安全技术中VPN技术的应用[J].电子技术与软件工程,2019,(3):208.
[2] 何天玲.电力数据通信网安全防护方案的分析和研究[J],电力信息与通信技术,2020,(1):74-79.
作者简介
闫亮(1983-),男,山东济宁人;毕业院校:重庆邮电大学,专业:计算机应用技术,学历:硕士研究生,高级工程师,现就职单位:重庆市规划和自然资源信息中心,研究方向:规划和自然资源管理信息化工作研究。