平臺運(yùn)行支持系統(tǒng)設(shè)計(jì)與建設(shè)

國家地理信息公共服務(wù)平臺運(yùn)行支持系統(tǒng)設(shè)計(jì)與建設(shè)132個(gè)數(shù)據(jù)中心（服務(wù)中心）1、1個(gè)主節(jié)點(diǎn)2、31個(gè)分節(jié)點(diǎn)3、100個(gè)信息基地++數(shù)據(jù)中心分類數(shù)據(jù)中心的核心任務(wù)分為三種方式:數(shù)據(jù)、web、計(jì)算數(shù)據(jù)中心分類發(fā)展過程行業(yè)網(wǎng)絡(luò)類型企業(yè)級數(shù)據(jù)中心

EDC一個(gè)數(shù)據(jù)中心兩地三中心垂直性較強(qiáng)的行業(yè)，金融、財(cái)稅、企業(yè)、能源兩地三中心互聯(lián)網(wǎng)數(shù)據(jù)中心一個(gè)Web中心集中在互聯(lián)網(wǎng)行業(yè)高容錯(cuò)省域同城IDCN個(gè)同城DC+M個(gè)異，如：百度、搜地DC狐、新浪、騰訊、阿里巴巴等高性能計(jì)算中心

HPCC一個(gè)計(jì)算中心一個(gè)超算中心石油勘探、政府超算等高密度超算中心數(shù)據(jù)中心面臨的挑戰(zhàn)海量的非結(jié)構(gòu)化數(shù)據(jù)服務(wù)器之間、存儲(chǔ)之間、服務(wù)器與存儲(chǔ)之間的海量數(shù)據(jù)傳輸由于架構(gòu)不統(tǒng)一，遭遇帶寬、容量和處理能力的瓶頸核心業(yè)務(wù)不斷擴(kuò)張上層業(yè)務(wù)之間相互交錯(cuò)，導(dǎo)致下層的數(shù)據(jù)中心基礎(chǔ)設(shè)施建設(shè)的難度加大，最終由于業(yè)務(wù)變化與基礎(chǔ)設(shè)施形成矛盾，導(dǎo)致系統(tǒng)難以改造核心數(shù)據(jù)面臨安全威脅數(shù)據(jù)保護(hù)是數(shù)據(jù)中心的根本，而面對龐大的數(shù)據(jù)、各種安全威脅和管理上的漏洞，如何系統(tǒng)地保護(hù)數(shù)據(jù)安全是每個(gè)節(jié)點(diǎn)面臨的挑戰(zhàn)海量的用戶訪問傳統(tǒng)的數(shù)據(jù)中心職能正從“數(shù)據(jù)”為核心向以“服務(wù)”為核心轉(zhuǎn)變，快速響應(yīng)用戶各種應(yīng)用請求成為節(jié)點(diǎn)重要的考核指標(biāo)之一核心服務(wù)核心數(shù)據(jù)服務(wù)斷流突發(fā)性大流量數(shù)據(jù)+服務(wù)集中=性能集中數(shù)據(jù)備份數(shù)據(jù)同步災(zāi)難恢復(fù)高性能并行處理海量數(shù)據(jù)庫管理數(shù)據(jù)中心業(yè)務(wù)驅(qū)動(dòng)不斷提高的性能要求帶寬、吞吐量業(yè)務(wù)連續(xù)性響應(yīng)時(shí)間、IOPS資源利用率在線發(fā)布系統(tǒng)異構(gòu)網(wǎng)絡(luò)管理突發(fā)性的流量網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜管理維護(hù)越來越繁瑣系統(tǒng)故障如何來排查維護(hù)成本居高不下共享研發(fā)服務(wù)處理采集 建庫數(shù)據(jù)數(shù)據(jù)+服務(wù)集中=復(fù)雜集中數(shù)據(jù)+服務(wù)集中=風(fēng)險(xiǎn)集中Web

servicesWeb

enabled

appsInternet

accessHTTP載荷中的病毒、木馬、蠕蟲等惡意代碼80端口:\服務(wù)器被攻破用戶體驗(yàn)：網(wǎng)頁遲遲打不開，延誤各種服務(wù)……客觀原因：隨著用戶激增，服務(wù)器負(fù)載越來越大數(shù)據(jù)+服務(wù)集中=響應(yīng)集中存儲(chǔ)備份層核心層匯聚層前端網(wǎng)絡(luò)/LAN服務(wù)器層（集群/刀片）接入層接入網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)存儲(chǔ)網(wǎng)絡(luò)接入電子政務(wù)內(nèi)網(wǎng)、外網(wǎng)存儲(chǔ)區(qū)域網(wǎng)（SAN）數(shù)據(jù)庫服務(wù)器集群Web發(fā)布服務(wù)器集群以太網(wǎng)中間件服務(wù)器負(fù)載均衡解決之道4、涉密計(jì)算機(jī)信息系統(tǒng)安全保密管理1、平臺廣域網(wǎng)構(gòu)建2、服務(wù)器系統(tǒng)建設(shè)3、存儲(chǔ)備份系統(tǒng)建設(shè)1問：平臺廣域網(wǎng)的建設(shè)原則是什么？答：平臺涉密信息的傳輸和應(yīng)用需在涉密廣域網(wǎng)環(huán)境中進(jìn)行，平臺非涉密信息的傳輸和應(yīng)用需在非涉密廣域網(wǎng)環(huán)境中進(jìn)行。主節(jié)點(diǎn)、分節(jié)點(diǎn)和信息基地構(gòu)成三級縱向網(wǎng)絡(luò)為層次化星型組網(wǎng)拓?fù)浣Y(jié)構(gòu)，構(gòu)建“測繪業(yè)務(wù)網(wǎng)”。1、平臺廣域網(wǎng)構(gòu)建2問：可用的廣域網(wǎng)有哪些？答：（1）中國測繪網(wǎng)（涉密）；電子政務(wù)內(nèi)網(wǎng)（涉密）；電子政務(wù)外網(wǎng)（非涉密）；互聯(lián)網(wǎng)（非涉密）。1、平臺廣域網(wǎng)構(gòu)建背景資料“中國測繪網(wǎng)”廣域連網(wǎng)系統(tǒng)構(gòu)成：根據(jù)國家基礎(chǔ)測繪設(shè)施項(xiàng)目建設(shè)設(shè)計(jì)方案的要求，廣域連網(wǎng)組網(wǎng)采用星狀結(jié)構(gòu)，采用基于SDH（同步數(shù)字傳輸體制）廣域網(wǎng)傳輸技術(shù)組建了國家測繪局涉密廣域網(wǎng)。以中心為廣域連網(wǎng)主節(jié)點(diǎn)，連接陜西、黑龍江、四川、重慶和海南測繪局/院以及測繪局管理信息中心，形成跨地域的廣域連網(wǎng)系統(tǒng)。技術(shù)資料：租用中國網(wǎng)通公司的光纖鏈路，網(wǎng)絡(luò)總帶寬為N*2Mbps(目前為12Mbps)。主節(jié)點(diǎn)和骨干節(jié)點(diǎn)之間的帶寬均為2Mbps（SDH）；北京主節(jié)點(diǎn)配置華為SDH光傳輸設(shè)備，各骨干節(jié)點(diǎn)配置4E1的光傳輸設(shè)備，以滿足各骨干節(jié)點(diǎn)目前數(shù)據(jù)傳輸以及未來一定時(shí)間內(nèi)網(wǎng)絡(luò)擴(kuò)展的需求

（100Mbps）。1、平臺廣域網(wǎng)構(gòu)建中心主節(jié)點(diǎn)（北京）國家測繪局管理信息中心（北京）(西安)(哈爾濱)(成都)（成都-龍泉）SDH（2M）SDH（2M）SDH（2M）SDH（2M）SDH（2M）20公里SDH（2M）重慶、海口“中國測繪網(wǎng)”結(jié)構(gòu)示意圖1、平臺廣域網(wǎng)構(gòu)建從根本上解決了測繪行業(yè)內(nèi)部各直屬單位之間涉密基礎(chǔ)地理信息數(shù)據(jù)遠(yuǎn)程傳輸交換問題，使中心可以實(shí)現(xiàn)與四川局、黑龍江測繪局、陜西測繪局、國家測繪局等聯(lián)網(wǎng)單位之間的涉密數(shù)據(jù)遠(yuǎn)程交換，同時(shí)由于在廣域網(wǎng)系統(tǒng)中采用了IP數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)和數(shù)據(jù)交換管理規(guī)定，決了涉密數(shù)據(jù)遠(yuǎn)程交換中的安全問題。連由于中國測繪網(wǎng)各骨干節(jié)點(diǎn)均配備了DNS、WWW、E-mail和FTP服務(wù)解器，使得測繪局各主要節(jié)點(diǎn)之間均可通過網(wǎng)頁瀏覽、內(nèi)部E-mail交換、

FTP數(shù)據(jù)傳輸進(jìn)行信息交流與共享；另外還可以充分利用各骨干節(jié)點(diǎn)配備的IP視頻和數(shù)據(jù)會(huì)議系統(tǒng)、IP電話系統(tǒng)，使各種生產(chǎn)、管理和技術(shù)信息交換變得更加快捷?！爸袊鴾y繪網(wǎng)”功能1、平臺廣域網(wǎng)構(gòu)建3問：為什么“中國測繪網(wǎng)”不能用于平臺建設(shè)？答：（1）中國測繪網(wǎng)是測繪部門內(nèi)的Intranet（行業(yè)內(nèi)部互聯(lián)網(wǎng)），是測繪業(yè)務(wù)網(wǎng)，是由測繪局管理的邏輯專網(wǎng)。其他部委、行業(yè)不愿或難以接入；租用中國聯(lián)通的商業(yè)鏈路，限制了電子政務(wù)的應(yīng)用；國家明確規(guī)定（中辦、國辦），政務(wù)服務(wù)不得單獨(dú)建立或使用獨(dú)立（物理/邏輯）的專網(wǎng)，必須使用國家統(tǒng)一建設(shè)的電子政務(wù)內(nèi)網(wǎng)（涉密）或電子政務(wù)外網(wǎng)（非涉密）。1、平臺廣域網(wǎng)構(gòu)建電子政務(wù)建設(shè)內(nèi)容111.政府門戶網(wǎng)站-互聯(lián)網(wǎng)門戶-外網(wǎng)門戶2.電子政務(wù)內(nèi)網(wǎng)和電子政務(wù)外網(wǎng)-內(nèi)網(wǎng)：各級政務(wù)部門內(nèi)部辦公、管理、協(xié)調(diào)、監(jiān)督和決策-外網(wǎng)：社會(huì)管理、公共服務(wù)3.四個(gè)基礎(chǔ)數(shù)據(jù)庫-人口-法人單位-空間地理和自然資源-宏觀經(jīng)濟(jì)24424.十二個(gè)業(yè)務(wù)系統(tǒng)-金卡、金關(guān)、金橋、金農(nóng)、金稅、金財(cái)-金質(zhì)、金審、金盾、金水、金關(guān)、金保一站

兩網(wǎng)

四庫

十二金1、平臺廣域網(wǎng)構(gòu)建全國電子政務(wù)內(nèi)網(wǎng)、外網(wǎng)國家級平臺基本形成中央城域網(wǎng)絡(luò)連接47/48個(gè)中央政務(wù)部門廣域骨干網(wǎng)實(shí)現(xiàn)了與31個(gè)省、自治區(qū)、直轄市和新疆生產(chǎn)建設(shè)兵團(tuán)的連接以及16個(gè)副省級以上城市的連接4問：如何利用電子政務(wù)內(nèi)網(wǎng)、外網(wǎng)進(jìn)行平臺建設(shè)？答：各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)通過接入路由器就近接入相應(yīng)網(wǎng)絡(luò)匯聚節(jié)點(diǎn)，鏈路采用MPLS以太組網(wǎng)鏈路。其中，主節(jié)點(diǎn)上行接入鏈路采用20Mbps光纖以太網(wǎng)，橫向網(wǎng)絡(luò)到達(dá)各部委的帶寬為20Mbps，縱向網(wǎng)絡(luò)到省級的帶寬為20Mbps；到市（縣）級的帶寬主要使用省內(nèi)涉密（非涉密)廣域網(wǎng)的鏈路資源，根據(jù)用戶訪問量分析和運(yùn)行成本控制，帶寬為10Mbps能夠滿足日常要求。上述接入環(huán)境具備在應(yīng)急服務(wù)時(shí)擴(kuò)容到100Mbps的能力。平臺內(nèi)部的每一個(gè)節(jié)點(diǎn)都是國家電子政務(wù)網(wǎng)絡(luò)的一個(gè)普通接入單位，接受國家有關(guān)部門的統(tǒng)一管理，包括鏈路、IP、域名、加密、身份認(rèn)證（CA）、制度等。5問：平臺內(nèi)各個(gè)節(jié)點(diǎn)和信息基地需要配置什么網(wǎng)絡(luò)接入設(shè)備？答：主節(jié)點(diǎn)配置核心級路由器2臺、核心交換機(jī)2臺、網(wǎng)管服務(wù)器1臺和加密機(jī)1臺；分節(jié)點(diǎn)（單點(diǎn)）配置部門級路由器1臺、部門級交換機(jī)1臺和加密機(jī)1臺；信息基地（單點(diǎn)）配置部門級路由器1臺、部門級交換機(jī)1臺和加密機(jī)1臺。1、平臺廣域網(wǎng)構(gòu)建平臺涉密廣域網(wǎng)拓?fù)浣Y(jié)構(gòu)圖平臺涉密信息的傳輸和應(yīng)用在國家電子政務(wù)內(nèi)網(wǎng)環(huán)境中進(jìn)行。主節(jié)點(diǎn)到達(dá)分節(jié)點(diǎn)的縱向網(wǎng)絡(luò)，使用國家電子政務(wù)內(nèi)網(wǎng)中央級傳輸骨干網(wǎng)；分節(jié)點(diǎn)到達(dá)子節(jié)點(diǎn)的縱向網(wǎng)絡(luò)，使用所在省、自治區(qū)和直轄市各自承建的省內(nèi)電子政務(wù)內(nèi)網(wǎng)鏈路。各類節(jié)點(diǎn)與各級政府、專業(yè)部門的聯(lián)通，分別采用國家電子政務(wù)內(nèi)網(wǎng)中央級和省內(nèi)電子政務(wù)內(nèi)網(wǎng)。

主節(jié)點(diǎn)、分節(jié)點(diǎn)和子節(jié)點(diǎn)構(gòu)成的三級縱向網(wǎng)絡(luò)為層次化星型拓?fù)浣Y(jié)構(gòu)。平臺非涉密廣域網(wǎng)拓?fù)浣Y(jié)構(gòu)圖非涉密地理信息的傳輸和應(yīng)用在國家電子政務(wù)外網(wǎng)廣域網(wǎng)絡(luò)環(huán)境和互聯(lián)網(wǎng)中進(jìn)行。主節(jié)點(diǎn)到達(dá)分節(jié)點(diǎn)的縱向網(wǎng)絡(luò)，使用國家電子政務(wù)外網(wǎng)中央級傳輸骨干網(wǎng)；分節(jié)點(diǎn)到達(dá)子節(jié)點(diǎn)的縱向網(wǎng)絡(luò)，使用所在省、自治區(qū)和直轄市各自承建的省內(nèi)電子政務(wù)外網(wǎng)鏈路。各類節(jié)點(diǎn)與各級政府、專業(yè)部門的聯(lián)通，分別采用國家電子政務(wù)外網(wǎng)中央級和省內(nèi)電子政務(wù)外網(wǎng)，社會(huì)公眾主要通過互聯(lián)網(wǎng)訪問平臺資源。主節(jié)點(diǎn)、分節(jié)點(diǎn)和子節(jié)點(diǎn)構(gòu)成的三級縱向網(wǎng)絡(luò)為層次化星型拓?fù)浣Y(jié)構(gòu)。2、服務(wù)器系統(tǒng)建設(shè)1問：平臺服務(wù)器系統(tǒng)的建設(shè)原則是什么？答：為保障數(shù)據(jù)服務(wù)的穩(wěn)定可靠，在主節(jié)點(diǎn)配置服務(wù)器集群（僅限涉密涉密廣域網(wǎng)），在分節(jié)點(diǎn)配置冗余熱備份服務(wù)器。數(shù)據(jù)庫軟件支持海量空間數(shù)據(jù)管理和應(yīng)用集群，地理信息服務(wù)軟件支持基于廣域網(wǎng)的地理空間數(shù)據(jù)并行協(xié)同服務(wù)。2問：平臺服務(wù)器系統(tǒng)配置需要考慮什么？答：（1）用戶數(shù)和用戶訪問并發(fā)最大值；（2）服務(wù)模式（DaaS（Data

as

a

Service)、SaaS(Software

as

a

Service))；（3）數(shù)據(jù)量（GB/TB/PB)；（4）在線應(yīng)用的復(fù)雜度(查詢/分析/開發(fā)）；（5）服務(wù)質(zhì)量（QoS）（用戶訪問的平均等待時(shí)間<2秒）數(shù)據(jù)接收、處理、建庫數(shù)據(jù)庫服務(wù)器集群中間件服務(wù)器中間件服務(wù)器Web應(yīng)用服務(wù)器集群Web應(yīng)用服務(wù)器：主節(jié)點(diǎn)部署服務(wù)與管理等

Web應(yīng)用服務(wù)器集群，分節(jié)點(diǎn)與信息基地部署Web應(yīng)用服務(wù)器系統(tǒng)。為保障數(shù)據(jù)服務(wù)的穩(wěn)定可靠，在主節(jié)點(diǎn)配置服務(wù)器集群。中間件服務(wù)器：部署中間件軟件，實(shí)現(xiàn)地理信息基于空間關(guān)系型數(shù)據(jù)庫的管理與訪問。數(shù)據(jù)庫服務(wù)器：主節(jié)點(diǎn)部署大型關(guān)系型數(shù)據(jù)庫管理系統(tǒng)集群，集中管理地理信息數(shù)據(jù)；分節(jié)點(diǎn)和信息基地部署大型關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。平臺服務(wù)器集群部署結(jié)構(gòu)圖服務(wù)器集群WFSWCSWMS

CSW

應(yīng)用系統(tǒng)FTP門戶網(wǎng)站用戶注冊管理服務(wù)器CA/RA管理服務(wù)器獲取檢索執(zhí)行數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)服務(wù)器集群系統(tǒng)結(jié)構(gòu)登錄用戶節(jié)點(diǎn)服務(wù)器集群配置本地雙機(jī)熱備份系統(tǒng)，保障異常宕機(jī)情況下的服務(wù)快速遷移；同時(shí)，主節(jié)點(diǎn)配置服務(wù)器集群，保障災(zāi)難情況下的服務(wù)快速遷移，以實(shí)現(xiàn)7*24的不間斷高可用性服務(wù)。負(fù)載均衡3、存儲(chǔ)備份系統(tǒng)建設(shè)1問：平臺存儲(chǔ)備份系統(tǒng)的建設(shè)原則是什么？答：為實(shí)現(xiàn)“平臺”廣域網(wǎng)絡(luò)各節(jié)點(diǎn)海量地理信息高效和可靠的存儲(chǔ)備份，需要構(gòu)建專門的存儲(chǔ)區(qū)域網(wǎng)（SAN），將各類節(jié)點(diǎn)零散分布存儲(chǔ)導(dǎo)致訪問效率低下的數(shù)據(jù)進(jìn)行集約化存儲(chǔ)管理。2問：什么是存儲(chǔ)區(qū)域網(wǎng)？答：存儲(chǔ)區(qū)域網(wǎng)(SAN)通過一個(gè)單獨(dú)的高速光纖網(wǎng)絡(luò)（1000Mbps）把存儲(chǔ)備份備份設(shè)備和連接在TCP/IP局域網(wǎng)上的服務(wù)器群相連，當(dāng)有海量數(shù)據(jù)的存取需求時(shí)，數(shù)據(jù)可以通過該獨(dú)立于局域網(wǎng)的光纖網(wǎng)絡(luò)在相關(guān)服務(wù)器和后臺存儲(chǔ)備份設(shè)備之間高速傳輸。存儲(chǔ)區(qū)域網(wǎng)實(shí)現(xiàn)了存儲(chǔ)設(shè)備的共享，突破了現(xiàn)有的距離限制和容量限制。服務(wù)器通過存儲(chǔ)區(qū)域網(wǎng)直接同存儲(chǔ)備份設(shè)備交換數(shù)據(jù)，釋放了寶貴的LAN資源，提高了存取速度。存儲(chǔ)區(qū)域網(wǎng)部署結(jié)構(gòu)圖3問：如何計(jì)算存儲(chǔ)區(qū)域網(wǎng)存儲(chǔ)備份空間？答：（1）存儲(chǔ)：（3-5年最大數(shù)據(jù)成果+主要的中間成果）*1.2；（2）備份：最大存儲(chǔ)數(shù)據(jù)量*（3~5）【指有備份必要的數(shù)據(jù)】注：中間成果包括數(shù)據(jù)處理、軟件運(yùn)行Cache、日志等。4問：如何配置涉密存儲(chǔ)區(qū)域網(wǎng)存儲(chǔ)備份空間？答：在涉密廣域網(wǎng)環(huán)境中，主節(jié)點(diǎn)建設(shè)存儲(chǔ)區(qū)域網(wǎng)，提供100TB光纖存儲(chǔ)空間和400TB自動(dòng)磁帶庫備份空間；分節(jié)點(diǎn)建設(shè)存儲(chǔ)區(qū)域網(wǎng)，提供10TB光纖存儲(chǔ)空間和40TB磁帶庫備份空間；信息基地配置存儲(chǔ)區(qū)域網(wǎng)，提供4TB光纖存儲(chǔ)空間和8TB磁帶機(jī)備份空間。1問：如何理解目前計(jì)算機(jī)信息系統(tǒng)安全保密的形勢？答：隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，人類社會(huì)實(shí)現(xiàn)了從模擬時(shí)代向數(shù)字時(shí)代的跨越，互聯(lián)網(wǎng)構(gòu)建了數(shù)字時(shí)代的“信息高速公路”，信息的處理、存儲(chǔ)和傳輸方式表現(xiàn)為數(shù)字化和網(wǎng)絡(luò)化。這在促進(jìn)了經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步的同時(shí)，也給信息安全帶來了嚴(yán)峻挑戰(zhàn)，計(jì)算機(jī)犯罪逐漸呈現(xiàn)上升趨勢。2008年CSI/FBI的計(jì)算機(jī)犯罪及安全調(diào)查指出，有90%的美國公司或組織發(fā)生過計(jì)算機(jī)安全問題。在我國，涉及國家秘密的數(shù)據(jù)成果安全保密防范工作也是任重道遠(yuǎn)。為了保護(hù)涉密數(shù)據(jù)成果的安全，中心涉密計(jì)算機(jī)安全保密防范工作面臨著越來越大的壓力，尤其是有效解決涉密信息外泄的問題更是重如泰山。4、涉密計(jì)算機(jī)信息系統(tǒng)安全保密建設(shè)面臨挑戰(zhàn)移動(dòng)存儲(chǔ)介質(zhì)、數(shù)碼視聽產(chǎn)品（MP3/MP4）、智能手機(jī)產(chǎn)品和計(jì)算機(jī)的普及，使得個(gè)人“數(shù)字化”成為可能。面臨挑戰(zhàn)黑客網(wǎng)絡(luò)實(shí)驗(yàn)室面臨挑戰(zhàn)黑客學(xué)術(shù)著作面臨挑戰(zhàn)2005年CSI/FBI的計(jì)算機(jī)犯罪及安全調(diào)查表明，44%的攻擊來自于公司或組織內(nèi)部。而內(nèi)部最具威脅性、后果最嚴(yán)重的攻擊來自于對涉密數(shù)據(jù)成果的竊取。面臨挑戰(zhàn)2問：如何理解測繪行業(yè)計(jì)算機(jī)犯罪的特點(diǎn)？答：涉密計(jì)算機(jī)安全建立在保密性、完整性和可用性之上，保密性是涉密計(jì)算機(jī)安全的關(guān)鍵。保密性的實(shí)質(zhì)就是預(yù)防和戰(zhàn)勝計(jì)算機(jī)犯罪。在測繪行業(yè)，所謂計(jì)算機(jī)犯罪主要指利用計(jì)算機(jī)技術(shù)進(jìn)行涉密數(shù)據(jù)成果的破壞、竊取等觸犯國家有關(guān)法規(guī)（如保密法）的犯罪活動(dòng)，其特點(diǎn)主要是：形式的隱蔽性、手段的智能性、動(dòng)機(jī)的獲利性、數(shù)據(jù)的涉密性以及內(nèi)部人員較多等。3問：安全保密工作千頭萬緒，應(yīng)如何開展？答：第一步：找依據(jù)定原則，第二步：定密級定范圍，第三步：找差距查風(fēng)險(xiǎn)，第四步：搞建設(shè)定制度，第五步：回頭看。4問：涉密計(jì)算機(jī)信息系統(tǒng)安全保密建設(shè)的依據(jù)是什么？答：《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)技術(shù)要求》(BMB17-2006)《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》(BMB20-2007)《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》（國保發(fā)【1998】1號）《中共中央保密委員會(huì)辦公室、國家保密局關(guān)于國家秘密載體保密管理的規(guī)定》（廳字【2000】58號）、《國家測繪局關(guān)于加強(qiáng)涉密測繪成果管理工作的通知》（國測成字【2008】2號）等標(biāo)準(zhǔn)和文件。找依據(jù)定原則安全保密建設(shè)依據(jù)BMB20-2007BMB17-2006國測成字【2008】2號中保委發(fā)【2007】4號找依據(jù)定原則5問：涉密計(jì)算機(jī)信息系統(tǒng)安全保密建設(shè)的原則是什么？答：“誰主管誰負(fù)責(zé)，誰使用誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)”（保密局）“保密性、完整性、可用性”（MattBishop）將國家有關(guān)保密工作的標(biāo)準(zhǔn)、方針、政策和法規(guī)與測繪工作緊密結(jié)合。找依據(jù)定原則6問：涉密計(jì)算機(jī)信息系統(tǒng)密級是什么？答：依據(jù)的主要文件：《測繪管理工作國家秘密范圍的規(guī)定》（國測辦字【2003】17號）（含測繪管理工作國家秘密目錄）例如，按照處理涉密數(shù)據(jù)的最高密級定密，國家基礎(chǔ)地理信息中心涉密計(jì)算機(jī)信息系統(tǒng)密級為“機(jī)密級”（普密）。定密級定范圍7問：涉密計(jì)算機(jī)信息系統(tǒng)安全保密建設(shè)管理的范圍是什么？答：適用于中心保密要害部門和要害場所用來采集、存儲(chǔ)、處理、傳遞、輸出涉及國家秘密信息的計(jì)算機(jī)信息系統(tǒng)，包括計(jì)算機(jī)、網(wǎng)絡(luò)、存儲(chǔ)備份、輸入輸出等設(shè)備，以及系統(tǒng)軟件和應(yīng)用軟件等。落實(shí)保密要害部門、保密要害場所。定密級定范圍8問：涉密計(jì)算機(jī)信息系統(tǒng)存在的主要風(fēng)險(xiǎn)是什么？答：

涉密數(shù)據(jù)外泄是涉密計(jì)算機(jī)信息系統(tǒng)面臨的主要風(fēng)險(xiǎn)。所有涉密數(shù)據(jù)成果均存儲(chǔ)在涉密局域網(wǎng)內(nèi)，與互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)等非涉密網(wǎng)絡(luò)采取了物理隔離手段，因此涉密數(shù)據(jù)安全防范的重點(diǎn)主要是涉密局域網(wǎng)內(nèi)部，主要包括涉密計(jì)算機(jī)和移動(dòng)存儲(chǔ)介質(zhì)；此外，涉密廣域網(wǎng)也是防范的重點(diǎn)，主要包括黑客攻擊的防御等。涉密局域網(wǎng)和涉密廣域網(wǎng)可以物理聯(lián)通、邏輯隔離（如中國測繪網(wǎng)）。找差距查風(fēng)險(xiǎn)9問：涉密計(jì)算機(jī)信息系統(tǒng)安全保密建設(shè)的框架模型是什么？答：涉密計(jì)算機(jī)信息系統(tǒng)安全保密物理層

網(wǎng)絡(luò)層

系統(tǒng)層

應(yīng)用層線路干擾器

安全域劃分

安全加固

網(wǎng)絡(luò)審計(jì)視頻干擾器

入侵檢測

漏洞掃描

防病毒屏蔽機(jī)柜

主機(jī)監(jiān)控

主機(jī)監(jiān)控門禁系統(tǒng)

與審計(jì)

與審計(jì)監(jiān)控系統(tǒng)

安全保密報(bào)警系統(tǒng)

檢查工具管理層安全管理平臺技術(shù)管理《涉密計(jì)算機(jī)信息系統(tǒng)安全保密管理暫行規(guī)定》滿足涉密信息系統(tǒng)分級保護(hù)機(jī)密級要求搞建設(shè)定制度10問：涉密計(jì)算機(jī)信息系統(tǒng)安全保密建設(shè)的主要內(nèi)容是什么？（8）部署安全保密檢查系統(tǒng)答：安全域劃分部署主機(jī)監(jiān)控與審計(jì)系統(tǒng)部署網(wǎng)絡(luò)防病毒系統(tǒng)部署入侵檢測與阻斷系統(tǒng)部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)部署漏洞掃描系統(tǒng)部署線路和視頻干擾系統(tǒng)涉密業(yè)務(wù)網(wǎng)和非涉密網(wǎng)（Internet、電子政務(wù)外網(wǎng)）嚴(yán)格實(shí)行物理隔離。部署安全管理系統(tǒng)制訂安全保密規(guī)章制度搞建設(shè)定制度平臺涉密廣域網(wǎng)安全保密防護(hù)層次加密機(jī)加密機(jī)加密機(jī)11問：安全保密系統(tǒng)安全域是如何劃分的？答：搞建設(shè)定制度12問：安全保密系統(tǒng)安全域管理策略是什么？答：（1）統(tǒng)一規(guī)劃涉密部門終端的IP地址，各個(gè)部門單獨(dú)形成一個(gè)

VLAN。（2）通過核心交換機(jī)ACL策略對涉密終端域?qū)崿F(xiàn)如下設(shè)置：安全管理域控制涉密終端域和涉密服務(wù)器域；涉密服務(wù)器域只能被涉密終端域中的授權(quán)用戶訪問；網(wǎng)絡(luò)互聯(lián)域?yàn)槠渌齻€(gè)域提供互聯(lián)互通，并進(jìn)行訪問控制設(shè)置；涉密終端域劃分為地圖、大地、遙感、工程、專題、檔案6個(gè)子域，彼此物理聯(lián)通邏輯隔離。搞建設(shè)定制度13問：主機(jī)監(jiān)控與審計(jì)系統(tǒng)包括什么內(nèi)容？答：對涉密終端的外設(shè)使用、文件操作、硬件資源、軟件資源和移動(dòng)存儲(chǔ)介質(zhì)使用等方面進(jìn)行控制和審計(jì)。實(shí)現(xiàn)IP地址和MAC地址綁定控制涉密終端端口使用（全封閉（70%）、只讀（25%）、讀寫（5%））（不可非法更改）對涉密移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行軟件注冊管理（排他性和唯一性）監(jiān)控涉密終端硬件和軟件變化，離線后網(wǎng)卡禁用監(jiān)控涉密終端非法外聯(lián)禁止非法終端接入粘貼易碎標(biāo)簽，防止非授權(quán)打開機(jī)箱；內(nèi)置硬盤加密對網(wǎng)絡(luò)傳輸和端口數(shù)據(jù)復(fù)制行為進(jìn)行審計(jì)（記錄實(shí)時(shí)存儲(chǔ)在服務(wù)器）搞建設(shè)定制度14問：為什么要進(jìn)行安全審計(jì)？答：面對世界范圍內(nèi)洶涌而來的計(jì)算機(jī)犯罪浪潮，測繪行業(yè)一方面通過加強(qiáng)教育和制度管理，另一方面通過安全保密技術(shù)防止和戰(zhàn)勝計(jì)算機(jī)犯罪的發(fā)生，特別是對正在或已經(jīng)發(fā)生的異常行為做到實(shí)時(shí)或事后審計(jì)、報(bào)警和取證。事實(shí)證明，在檢測違反安全規(guī)則、準(zhǔn)確發(fā)現(xiàn)涉密計(jì)算機(jī)發(fā)生的安全事件以及對安全事件的事后分析方面，審計(jì)發(fā)揮著巨大作用。搞建設(shè)定制度15問：什么是涉密計(jì)算機(jī)信息系統(tǒng)的安全審計(jì)？答：審計(jì)是事中、事后認(rèn)定違反安全規(guī)則行為的分析技術(shù),其發(fā)展來源于對計(jì)算機(jī)資源（如軟硬件、數(shù)據(jù)等）訪問的跟蹤。通過對日志記錄的事中、事后分析并以清晰的能夠?yàn)橛脩衾斫獾姆绞奖硎鰧徲?jì)結(jié)果。搞建設(shè)定制度審計(jì)系統(tǒng)功能結(jié)構(gòu)示意圖搞建設(shè)定制度16問：安全審計(jì)系統(tǒng)如何部署？答：審計(jì)基于在線日志記錄、分析和通告，要求所有的涉密計(jì)算機(jī)均安裝審計(jì)軟件客戶端，并統(tǒng)一由審計(jì)服務(wù)器進(jìn)行網(wǎng)絡(luò)環(huán)境下的集中管理。涉密計(jì)算機(jī)審計(jì)信息要集中存儲(chǔ)在審計(jì)服務(wù)器，不可由審計(jì)客戶端處理與存儲(chǔ)，以保障審計(jì)信息的完整性和準(zhǔn)確性，避免非授權(quán)修改、刪除。搞建設(shè)定制度17問：如何構(gòu)造安全審計(jì)規(guī)則（1）？答：（1）系統(tǒng)訪問規(guī)則。對于每一臺涉密計(jì)算機(jī)，都應(yīng)存在一個(gè)合法用戶集合，每一個(gè)合法用戶都有一個(gè)權(quán)限制約，規(guī)范其只能訪問自己權(quán)限內(nèi)的系統(tǒng)軟硬件資源。非授權(quán)提升用戶權(quán)限以訪問其他用戶的系統(tǒng)資源是違規(guī)行為；（2）數(shù)據(jù)訪問規(guī)則。對于每一臺涉密計(jì)算機(jī)內(nèi)存儲(chǔ)的數(shù)據(jù)成果，都應(yīng)設(shè)置擁有者（Owner）、同組人員（Group）和其他人員（Others）的相應(yīng)的讀、寫、執(zhí)行權(quán)限。數(shù)據(jù)訪問權(quán)限的非授權(quán)改變是違規(guī)行為；搞建設(shè)定制度18問：如何構(gòu)造安全審計(jì)規(guī)則（2）？答：（3）端口訪問規(guī)則。對于每一臺涉密計(jì)算機(jī)的外置端口，都應(yīng)設(shè)置封閉、只讀、可寫權(quán)限。以中心為例，其200臺涉密計(jì)算機(jī)的全部端口，包括USB、1394、ESATA、SCSI、串口、并口，設(shè)置為封閉的為75%，設(shè)置為只讀的為20%，設(shè)置為可寫的僅為5%（需通過專門審批）。非授權(quán)更改端口訪問為寫權(quán)限是嚴(yán)重的違規(guī)行為。此外，內(nèi)置端口非授權(quán)增減硬盤、刻盤機(jī)也視為嚴(yán)重的違規(guī)行為，也在審計(jì)之列；（4）網(wǎng)絡(luò)訪問規(guī)則。對于每一臺涉密計(jì)算機(jī)，都應(yīng)有一個(gè)網(wǎng)絡(luò)訪問列表，同一部門的涉密計(jì)算機(jī)可以相互訪問，不同部門間的涉密計(jì)算機(jī)邏輯隔離，部門間的數(shù)據(jù)交換必須通過專門審批才可放行。部門間涉密計(jì)算機(jī)間的非授權(quán)訪問是違規(guī)行為，部門內(nèi)涉密計(jì)算機(jī)的數(shù)據(jù)交換也需要列入審計(jì)報(bào)警記錄內(nèi)供審計(jì)參考。規(guī)則庫應(yīng)描述準(zhǔn)確，不可有二義性。搞建設(shè)定制度19問：網(wǎng)絡(luò)入侵檢測和阻斷系統(tǒng)有什么用？答：（1）對涉密服務(wù)器域受到的攻擊和非授權(quán)訪問進(jìn)行實(shí)時(shí)監(jiān)測和預(yù)警，以便及時(shí)發(fā)現(xiàn)和阻斷、處理惡意安全事件；（2）策略制定：定制符合平臺業(yè)務(wù)特點(diǎn)的安全事件集；（3）事件庫升級：定期升級事件庫，遇到重大安全事件實(shí)時(shí)升級（人工/自動(dòng)）。搞建設(shè)定制度20問：漏洞掃描軟件有什么用？答：（1）漏洞掃描系統(tǒng)定期對平臺每一臺計(jì)算機(jī)進(jìn)行安全性檢查，查看是否存在安全漏洞，并提出修補(bǔ)建議；（2）定期升級漏洞庫（人工/自動(dòng)）。搞建設(shè)定制度21問：安全管理系統(tǒng)有什么用？答：（1）收集涉密計(jì)算機(jī)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、安全保密設(shè)備、涉密服務(wù)器和PC