编者按：王俊局长在2015年工作报告中指出：水文信息化是水文现代化的基础和重要标志，也是全局事业发展和经济发展的有力支撑，但目前水文局信息化工作还存在缺乏整体规划、信息资源共享程度低、服务能力不足等问题。提出要以长江委信息化顶层设计工作思路为指导，以“大水文”发展需求为驱动，依托信息网络新技术，力争用3年时间，基本建成包括“数据资源一个中心”、“信息共享一张图”、“应用服务一个平台”（简称“三个一”）的水文信息化工程，为全局发展提供有力的信息化支撑。

三年来，水文局围绕“三个一”，开展长江水文信息化顶层设计，制定了信息化建设实施方案，积极推进信息资源整合和共享，努力构建一站式服务，进一步实现应用协同，加强基础保障，促进水文信息化可持续发展。今年是水文局三年信息化建设的收官之年，随着各项工作逐步进入收尾阶段，信息化成果逐步投入实际应用，初步发挥成效。三年的信息化建设给水文局带来了哪些变化和成效？我们将分期介绍和展示水文局三年信息化建设成果。今天刊登第八篇：网络安全保障。

——网络安全保障

网络安全保障是信息化建设的一项非常基础而关键的工作，随着《中华人民共和国网络安全法》在2017年6月1日正式实施，网络安全上升到了前所未有的高度。网络安全保障牵涉面广，专业性强，不仅需要有基本安全产品做支撑，还需要人员、技术和管理综合发挥作用，是一项艰巨而复杂的工作。三年来围绕“三个一”的水文信息化工程，水文局进一步加强组织机构建设，完善网络安全制度，推进各项技术安全防护，积极开展了网络安全管理、教育培训和应急保障服务等工作，为保障水文局日常事务及业务管理提供了有效支撑。下面从组织机构建设、制度建设、技术安全防护、安全监控管理、人员管理、教育培训、应急预案与处理等方面介绍三年来水文局在网络安全保障方面所做的工作。

一、组织机构建设

为进一步加强全局信息化与网络安全工作的领导，2015年5月8日水文局成立水文局信息化与网络安全工作领导小组，并以水文人劳【2015】227号正式下发。

领导小组组长由王俊局长担任，领导小组下设办公室，办公室设在局办公室，网络信息中心承担有关技术工作。领导小组负责全局信息化顶层设计和总体规划，指导全局信息化与网络安全工作，组织制定管理办法和发布技术标准、规范，协调、研究解决全局信息化与网络安全工作中的重大问题。

水文局信息化与网络安全工作领导小组的成立，为水文局网络安全和信息化发展提供了组织保障，为统筹协调解决全江网络安全重大问题，研究制定网络安全和信息化发展规划和重大决策，推动我局网络安全和信息化建设，增强安全保障能力，具有非常重要的意义。

二、制度建设

网络安全不仅仅需要技术措施，更需要在制度层面约束和规定使用者和管理者的行为活动。

为保障网络信息系统安全稳定运行，预防和应对网络安全事件，水文局组织开展了网络安全相关制度编制工作。2017年，水文局编制完成了网络安全机构职责、网络安全、人员信息安全、信息资产安全、机房安全、软件管理、信息系统外部服务、防病毒管理及计算与存储资源管理等方面的制度，组织修订了《水文局机关计算机设备管理办法》和《水文局网络宣传管理规定》（试行）等管理办法和规范。

三、技术安全防护

（一）物理安全

物理安全特指水文局中心机房、通信线路等基础保障环境建设。水文楼中心机房按照B级标准设计，物理安全设计上充分考虑了防盗窃、防雷击、消防、防水、防潮、防静电及温湿度调节等安全措施，并通过环境控制系统对设施状态进行监控。

在通信线路方面， 2015年和2016年先后完成了“水文局-勘测局-勘测分局”互联电路的技术升级和扩容，汛旱情报送骨干网可靠性和安全性大幅提高。汛旱情报送骨干网的主备地面专线选用主流的MSTP传输技术，具有高安全性、低传输延时和多路由保护等特点，为全局汛旱情信息交换和各类业务应用提供了安全保障。

（二）网络安全

网络的安全区域划分，是提高网络安全、保障核心业务和数据安全最为直接的技术措施。

2015年，根据不断发展的信息化建设对网络信息安全的需要，水文局对网络安全区域进行了重新的规划设计，将水文局网络划分为：核心交换区、互联网接入区、DMZ区、广域网区、网络边界互联区、二级核心服务区、非核心服务区、三级服务区、办公终端接入区、水情中心及网络运维区等11个安全区域。同时，在各安全区域的边界，利用防火墙、流量控制等设备对网络通信进行隔离控制。管理员根据授权，禁止和放开区域间的数据通信，有效阻断非法的访问，提高核心业务和数据的可靠性。

为保障各区域的网络安全，水文局共部署了255条防火墙安全策略对核心交换机进行安全防护，247条防火墙策略对互联网区进行安全防护，防御各种外部的网络攻击。

水文局网络安全域规划

（三）应用安全

随着网络应用的快速发展，脚本攻击、SQL注入、恶意软件及垃圾邮件等安全风险给水文局各项应用的安全运行带来了威胁。针对对内、对外业务系统的不同特点，水文局有重点的进行了相关应用安全建设。通过部署互联网区WEB应用防火墙，配置垃圾邮件网关，以及部署统一用户认证系统等手段，较好保证了水文局各类应用的安全。

经过统计，每天WEB应用防火墙会帮助mobile 28365-365.com成功阻断来自互联网的1万多次非法请求。水文局电子邮件网关实时监控水文邮箱的发送和接收，有效阻止、隔离各类恶意软件和垃圾邮件。经过统计水文局电子邮件网关每天可拦截约三分之二的垃圾邮件。统一用户认证系统实现了用户访问内部系统的统一登陆认证，并对接了RTX、综合办公系统、合同管理系统、财务管理系统、一张图、水文数据服务系统、测站信息管理、图像管理系统、培训考试系统、设施设备管理系统、无线网认证、云桌面等10多个内部系统，通过统一用户与身份认证实现对以上系统的“一次登录、统一认证”，在提供登陆便捷性的同时，也保障了系统访问的安全性。

（四）数据安全

“三分技术、七分管理、十二分数据”，充分说明了数据安全的重要性。经过多年信息化建设，水文局积累了大量的核心数据资源。保障核心数据资源的安全是网络安全保障的重中之重。3年来水文局针对性开展了重要业务和数据定时备份、重要应用系统负载均衡，高可用性数据库建设等工作，有效的保障了数据安全。

为了防止数据因意外而丢失，利用CommVault和虚拟化平台对各业务系统、数据及关键应用进行备份，有效提高了数据抵御风险能力。在系统应用层面，通过负载均衡技术，完成综合办公系统、mobile 28365-365.com的负载均衡升级，有效降低了应用层的单点故障，保障了业务连续性。2017年9月建设完成了高可用ORACLE数据库系统，并成功实施了统一用户数据库迁移。目前实时水雨情库及水文测验原始数据库已经成功迁移至高可用ORACLE数据库，综合办公系统等重要数据库也将陆续向高可用ORACLE数据库迁移。

四、安全监控管理

安全监控管理是网络安全保障的一项日常性工作，琐碎和繁杂。三年来通过探索和实践，水文局总结了一套安全监控管理的工作模式，有效的保障了水文局信息系统的安全运行。

结合水文局自身网络和业务系统运行特点，每天网络安全员通过网络监控平台查看网络基本工作情况，逐一登陆安全设备查看安全日志、设备工作状态，浏览主流安全网站查看最新安全动向、各类系统漏洞、信息舆情及病毒爆发等安全资讯，然后进行汇总分析。针对发现的隐患逐一处理，同时对于较大的安全隐患进行逐级上报，直至最后隐患的消除。

三年来将日常安全监控管理与值班结合，累计修复升级核心交换机、无线控制器、网络负载均衡及防火墙等硬件设备漏洞16项，各类服务器漏洞约80项，有效应对了2016年和2017年互联网勒索病毒爆发，成功保障了互联网、汛旱情报送骨干网及各应用系统的安全运行。

五、人员管理

人员作为网络空间的参与者，是网络安全需要考虑的又一个关键要素。网络安全的问题落脚点往往都是人的问题。所以合理规范网络使用者行为、明确管理者职责，对于创造安全的网络环境有着重要意义。

为了更好规范网络使用行为，完善信息安全管理职责，提高广大职工的信息安全意识和管理员的技术水平，2016年水文局修订了《水文局人员信息安全管理规定》。《水文局人员信息安全管理规定》明确了人员职责分工、信息安全岗位要求，规定了员工入职、在职、调职、离职及培训的安全管理要求。《水文局人员信息安全管理规定》较全面的规范了网络管理者和参与者的行为，对营造安全、可靠的网络环境奠定了基础。

六、教育培训

教育培训是提高水文局广大职工的安全意识及网络安全管理人员技术水平的重要手段。三年来水文局结合实际开展了网络安全相关的教育和培训工作。

三年来水文局组织了《移动设备的安全威胁与防御》、《主机系统安全与计算机病毒》等安全专题讲座。在mobile 28365-365.com专门开辟“信息安全”专栏，宣传、普及网络信息安全知识。三年来mobile 28365-365.com累计转载、发布各类网络安全文章、稿件等近100篇，举办网络管理员交流培训班4次，累计培训270余人。以上形式多样的教育与培训为提高水文局职工网络安全意识、提升管理人员技术水平发挥了重要作用。

七、应急预案与处理

为有效应对中心机房、网络等发生的突发事件，水文局有针对性的制定了相关处置的应急预案，并在实践中得到了较好应用。

（一）完善应急预案

在中心机房应急方面，2016年汛前编制完成《水文局中心机房消防应急预案》、《中心机房停电应急预案》，同年汛期开始试行。《水文局中心机房消防应急预案》包括指挥、应急处置、善后与评估等方面，对日常中心机房消防管理，预防、正确快速处理中心机房消防突发事件提供了指导。《中心机房停电应急预案》以保障设备和数据安全为首要目的，根据停电时间长短，定制不同的处置方案。

在网络应急方面，根据网络发展情况，每年汛前水文局组织修订了《水文局汛旱情报送骨干网络应急预案》及《水文局汛旱情报送骨干网络应急预案维护规程》。为应对汛旱情报送网络的突发故障，2017年汛前水文局编制完成了《水文局分中心报汛应急VPN接入方案》。对以往常规通信手段失效导致的无法报汛的问题，该方案提供了一套有效的解决办法，经过各分中心的应用，实用效果较为理想。

（二）应急响应和处理

每年汛前水文局组织针对汛旱情报送网的可靠性演练，成功实现了地空多链路的冗余和应急恢复，为汛旱情报送业务提供了优质的网络保障。

在中心机房应急响应与处理中，近三年成功应对测报中心数次长时间停电事故。通过有计划有步骤的采取开门通风、落地扇散热、关闭非关键业务等措施，降低机房环境温度，延长UPS后备时间，未造成业务系统故障及数据丢失，有效保障了汛旱情报送网的正常运行，确保了中心机房设备安全。

八、存在不足

网络安全和信息化是一体之两翼、驱动之双轮。在水文局信息化攻坚的三年里，对比信息化的投入，网络安全总体投入偏少。当前水文局网络安全防护底子还很薄，技术装备、人员层次及管理水平等方面还有待加强和提高，随着移动互联网快速发展，各类传统应用逐渐转向移动化，水文局网络安全保障将面临更大的挑战。

相关系列报道：

水文局三年信息化建设成果报道之一

水文局三年信息化建设成果报道之二

水文局三年信息化建设成果报道之三

水文局三年信息化建设成果报道之四

水文局三年信息化建设成果报道之五

水文局三年信息化建设成果报道之六

水文局三年信息化建设成果报道之七

　责任编辑：杨杰