福州市氣象局網(wǎng)絡(luò)安全系統(tǒng)建設(shè)探討

林春艷　蔡敏　陳建云

摘 要：隨著信息技術(shù)的持續(xù)快速發(fā)展，網(wǎng)絡(luò)安全形勢愈發(fā)嚴峻，大規(guī)模網(wǎng)絡(luò)攻擊和惡意風險持續(xù)爆發(fā)。棱鏡門信息泄密事件，將網(wǎng)絡(luò)安全演變成為大國角力戰(zhàn)場;勒索病毒席卷全球重創(chuàng)我國多個重要部門，網(wǎng)絡(luò)安全問題逐漸被相關(guān)部門重視，尤其與人類生活密切相關(guān)的氣象信息。本文從網(wǎng)絡(luò)安全建設(shè)的必要性入題，分析了福州市氣象網(wǎng)絡(luò)安全系統(tǒng)和安全設(shè)計部署系統(tǒng)，確保氣象業(yè)務(wù)的安全穩(wěn)定運行和氣象數(shù)據(jù)的安全共享，對維護氣象網(wǎng)絡(luò)安全具有建設(shè)性意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全;氣象信息;氣象業(yè)務(wù)

1 概述

氣象部門是關(guān)系國計民生的重要基礎(chǔ)性部門，隨著氣象現(xiàn)代化的高速發(fā)展，氣象信息化的急速推進，對氣象信息網(wǎng)絡(luò)安全提出了更高要求，迫切需要強化氣象信息網(wǎng)絡(luò)安全頂層設(shè)計，逐步縮短與安全標桿企業(yè)信息網(wǎng)絡(luò)安全管理、技術(shù)等的差距，逐步完善網(wǎng)絡(luò)安全、數(shù)據(jù)中心安全等信息安全系統(tǒng)建設(shè)，提升氣象行業(yè)整體網(wǎng)絡(luò)安全體系的防護能力。

隨著氣象業(yè)務(wù)的不斷擴展，對氣象服務(wù)產(chǎn)品一體化及氣象信息共享等服務(wù)需求也日益增加，從而對業(yè)務(wù)數(shù)據(jù)量的處理和傳輸性能等要求也相應(yīng)提高，同時也增加了數(shù)據(jù)傳輸過程中的風險，氣象信息也將面臨多重的安全威脅，因此，要確保網(wǎng)絡(luò)操作系統(tǒng)和集群文件系統(tǒng)的安全可靠，需要構(gòu)建完整的安全防護體系，切實保證信息系統(tǒng)的長期安全穩(wěn)定運行，必須加強網(wǎng)絡(luò)漏洞管理、網(wǎng)絡(luò)審計系統(tǒng)以及防入侵系統(tǒng)等全面安全系統(tǒng)設(shè)備的設(shè)計與構(gòu)建，建立全方位、多層次的網(wǎng)絡(luò)安全防護系統(tǒng)，提高氣象網(wǎng)絡(luò)安全服務(wù)性能，保障通訊安全和暢通，保證氣象信息傳輸、交換和共享數(shù)據(jù)的效率及完整性和有效性。

2 福州市氣象信息網(wǎng)絡(luò)安全現(xiàn)狀

福州市氣象信息網(wǎng)絡(luò)與裝備保障中心作為市級主要信息網(wǎng)絡(luò)運行單位，多年來不斷加強福州市信息網(wǎng)絡(luò)安全技術(shù)防護建設(shè)，建立了分區(qū)域縱深的技術(shù)防護體系，部署了完善的邊界隔離和訪問控制措施，主要網(wǎng)絡(luò)出口邊界部署各類入侵檢測、WEB防護等設(shè)施，防御病毒及惡意攻擊的能力不斷提升，終端安全管理不斷推廣，安全審計能力逐步完善，具備了一定的安全防護能力。

福州市氣象信息系統(tǒng)安全工作在較長的時期內(nèi)，基本滿足了氣象信息業(yè)務(wù)的發(fā)展需要，保障了氣象業(yè)務(wù)的穩(wěn)定運行。但是，嚴峻的內(nèi)外部網(wǎng)絡(luò)安全形勢和新技術(shù)的不斷發(fā)展，勒索病毒席卷全球重創(chuàng)我國多個重要部門，網(wǎng)絡(luò)安全問題逐漸被相關(guān)部門重視，尤其與人類生活密切相關(guān)的氣象信息，信息安全工作暴露出諸多問題。

3 氣象信息網(wǎng)絡(luò)安全防御體系建設(shè)分析

技術(shù)概述。安全域是將所有相同安全等級、具有相同安全需求的計算機劃入同一網(wǎng)段內(nèi)，在網(wǎng)段的邊界處進行訪問控制。

3.1 縱向網(wǎng)接入?yún)^(qū)

提供縱向網(wǎng)絡(luò)的接入，通過國家、省市縣四級廣域網(wǎng)組成氣象專網(wǎng)，提供縱向網(wǎng)絡(luò)資源共享通道。

3.2 internet訪問區(qū)

在互聯(lián)網(wǎng)上部署防火墻、上網(wǎng)行為管理以及IPS（入侵防御檢測）。

3.3 核心數(shù)據(jù)交換區(qū)

負責氣象信息數(shù)據(jù)報文核心轉(zhuǎn)發(fā)。

3.4 業(yè)務(wù)服務(wù)器區(qū)

部門內(nèi)部辦公系統(tǒng)及業(yè)務(wù)平臺相關(guān)服務(wù)器均部署在該區(qū)域。屬于業(yè)務(wù)系統(tǒng)的核心，也是安全防護的主要區(qū)塊。

3.5 終端接入?yún)^(qū)

提供辦公系統(tǒng)和業(yè)務(wù)系統(tǒng)終端設(shè)備的接入。

4 福州市氣象信息網(wǎng)絡(luò)安全建設(shè)

針對福州市氣象局目前面臨的安全方面保障，在我局氣象專網(wǎng)上部署了兩臺防火墻，在每臺專網(wǎng)機子上安裝正版的殺毒軟件，加強防病毒能力，并且在氣象專網(wǎng)部署了網(wǎng)絡(luò)準入控制系統(tǒng)以致做到內(nèi)網(wǎng)終端接入管理及非法外聯(lián)控制;在政務(wù)網(wǎng)上，部署了一臺防火墻;智網(wǎng)上部署了邊界防護系統(tǒng)?；ヂ?lián)網(wǎng)上，通過網(wǎng)御開放單向ftp協(xié)議端口來讀取數(shù)據(jù)庫服務(wù)器上的數(shù)據(jù)，專網(wǎng)與互聯(lián)網(wǎng)進行了物理上的隔離，保證了專網(wǎng)的數(shù)據(jù)安全。在互聯(lián)網(wǎng)上部署了IPS（入侵防御檢測系統(tǒng)）以及堡壘機，局里互聯(lián)網(wǎng)上部署了上網(wǎng)行為管理：每臺機子MAC地址與IP地址綁定，每個用戶對應(yīng)于一個賬號。

4.1 安全技術(shù)體系

圍繞信息系統(tǒng)的安全防護已經(jīng)形成了眾多安全技術(shù)，通過綜合采用多種技術(shù)和部署安全產(chǎn)品，建立完善的安全檢測與審計機制，邊界防護機制，應(yīng)用冗余機制，建立一個縱深安全防護體系。

4.1.1 防火墻

防火墻安裝在被保護的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連結(jié)點上，用于保護網(wǎng)絡(luò)邊界安全的主要手段之一，根據(jù)建立正確的網(wǎng)絡(luò)訪問策略和過濾規(guī)則列表，來鑒別哪些內(nèi)部服務(wù)允許（禁止）外部訪問，哪些外部服務(wù)允許（禁止）內(nèi)部訪問，或其他特定活動，被認為是一種訪問控制機制。防火墻技術(shù)是遏制攻擊技術(shù)之一，保護離開安全域的信息的安全，同時防止來自外部的攻擊和非法接入，從而實現(xiàn)保護內(nèi)部網(wǎng)絡(luò)的目的。在局里氣象專網(wǎng)上部署兩臺防火墻，作為互為備份之勢，在互聯(lián)網(wǎng)上部署了安全路由器及一臺防火墻，需要再部署一臺安全路由器作為備份之勢。

4.1.2 漏洞掃描

在我局的氣象專網(wǎng)上部署了一臺漏洞掃描設(shè)備，網(wǎng)絡(luò)管理員通過掃描等手段對指定的遠程目標主機或本地計算機系統(tǒng)進行網(wǎng)絡(luò)安全檢測，了解目標主機網(wǎng)絡(luò)安全設(shè)置和運行環(huán)境，及時發(fā)現(xiàn)可利用漏洞，并對其掃描結(jié)果進行評估和漏洞的修復(fù)。起到了主動防范的作用，有效地避免黑客攻擊行為，進一步保障系統(tǒng)網(wǎng)絡(luò)環(huán)境安全。

4.1.3 入侵檢測

在氣象專網(wǎng)中心交換機上部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，基于核心交換機端口的鏡像流量進行網(wǎng)絡(luò)行為的分析，進行實時監(jiān)測網(wǎng)絡(luò)攻擊行為，若入侵檢測系統(tǒng)檢測到異常時，則產(chǎn)生報警信息，同時入侵檢測系統(tǒng)與防火墻實現(xiàn)聯(lián)動，入侵檢測系統(tǒng)將通知防火墻實施訪問阻斷，保證整個信息系統(tǒng)的數(shù)據(jù)信息安全。

4.1.4 網(wǎng)絡(luò)隔離

在福州市氣象專網(wǎng)與因特網(wǎng)的接口處部署一臺安全交互系統(tǒng)設(shè)備，用來內(nèi)外網(wǎng)交互。

4.1.5 防病毒

在氣象專網(wǎng)部署網(wǎng)絡(luò)威脅發(fā)現(xiàn)設(shè)備，在內(nèi)網(wǎng)客戶端全面部署防病毒客戶端，從而實現(xiàn)檢測發(fā)現(xiàn)網(wǎng)絡(luò)流量中病毒、木馬、間諜等入侵行為，定位存在威脅的計算機，追蹤入侵者，監(jiān)控網(wǎng)絡(luò)安全問題。通過病毒防護中心實現(xiàn)全局全網(wǎng)殺毒防護統(tǒng)一更新、病毒預(yù)警和集中管理，實現(xiàn)對重要信息系統(tǒng)掃描監(jiān)控，包括文件監(jiān)控、郵件監(jiān)控。為全網(wǎng)建立了穩(wěn)定、安全、全自動的防病毒體系。

4.1.6 準入管理系統(tǒng)

在氣象專網(wǎng)部署準入管理系統(tǒng)，根據(jù)管理系統(tǒng)的準入行為和準入策略，對用戶身份及接入終端信息進行認證，實時監(jiān)測接入設(shè)備的可靠性及安全性，禁止接入違規(guī)或未經(jīng)授權(quán)的終端設(shè)備，實現(xiàn)了對終端設(shè)備全面管理。

4.1.7 上網(wǎng)行為管理

在福州市氣象局互聯(lián)網(wǎng)上部署了一臺上網(wǎng)行為管理設(shè)備，滿足網(wǎng)絡(luò)行為監(jiān)控、控制和管理需要，每臺機子MAC地址與IP地址綁定，每個用戶對應(yīng)于一個賬號。有效防止有人非法接入并使用可以上網(wǎng)的網(wǎng)絡(luò)設(shè)備，以及解決私自修改IP地址造成IP沖突的問題。上網(wǎng)行為管理設(shè)備提供對互聯(lián)網(wǎng)的用戶進行檢測、過濾不良信息或敏感文字的功能，并提供上網(wǎng)內(nèi)容記錄和內(nèi)容審查的功能，以規(guī)范上網(wǎng)行為，消除網(wǎng)絡(luò)接入所面臨的潛在法律風險。

4.1.8 堡壘機

針對業(yè)務(wù)環(huán)境下的運維操作進行控制和審計的合規(guī)性管控系統(tǒng)，在我局部署了一臺堡壘機，加強局里對業(yè)務(wù)操作行為監(jiān)管、避免核心資產(chǎn)（服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）損失、保障業(yè)務(wù)系統(tǒng)的正常運營。

4.1.9 日志服務(wù)器

將氣象專網(wǎng)上的防火墻、網(wǎng)閘，互聯(lián)網(wǎng)防火墻、網(wǎng)閘，上網(wǎng)行為管理等日志發(fā)送到日志服務(wù)器，通過日志檢查及深入分析保存日志，可以識別出系統(tǒng)的運作問題，并提供有用信息，從而解決問題;還可檢驗信息系統(tǒng)安全機制的有效性。

4.2 安全技術(shù)聯(lián)動

在福州市氣象專網(wǎng)及氣象互聯(lián)網(wǎng)中采用入侵檢測系統(tǒng)，組建一套完整的主動防御體系，目前是采用混合入侵檢測，在氣象專網(wǎng)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)。

由漏洞掃描、入侵檢測、防火墻、殺毒軟件、堡壘機構(gòu)成縱深安全防護體系。漏洞掃描、防火墻、和入侵檢測三者緊密結(jié)合，實現(xiàn)防御聯(lián)動，有效增強了系統(tǒng)的安全防御能力。

4.2.1 入侵檢測系統(tǒng)與漏洞掃描聯(lián)動

通過漏洞掃描與網(wǎng)絡(luò)入侵檢測系統(tǒng)的聯(lián)動，系統(tǒng)定期對氣象專網(wǎng)中的漏洞進行掃描，根據(jù)掃描出來的報告對氣象專網(wǎng)中存在的安全漏洞及時進行打補丁修復(fù)，再將結(jié)果發(fā)送到入侵檢測，入侵檢測系統(tǒng)將模式庫中與已得到修復(fù)的安全漏洞相對應(yīng)的攻擊特征進行刪除。

4.2.2 防火墻與入侵檢測系統(tǒng)聯(lián)動技術(shù)

防火墻通過利用分布式入侵檢測系統(tǒng)及時的發(fā)出了做好的安全策略之外的入侵攻擊行為之外，入侵檢測系統(tǒng)通過防火墻阻斷來自外部網(wǎng)絡(luò)的攻擊行為，形成一個有效的安全保護機制，從而提高網(wǎng)絡(luò)的整體防御能力。

5 結(jié)語

氣象信息網(wǎng)絡(luò)是氣象業(yè)務(wù)工作的一個重要組成部分，它的任務(wù)是傳輸各類氣象信息和資料，滿足氣象預(yù)報、服務(wù)及科研工作的需要。是氣象工作的支撐與紐帶。氣象信息網(wǎng)絡(luò)安全防火體系的建設(shè)目的是提供一個安全性、穩(wěn)定性、保密性的工作網(wǎng)絡(luò)環(huán)境，更好地為氣象事業(yè)發(fā)展做出貢獻。

參考文獻：

[1]陳亮.省市級氣象信息安全系統(tǒng)建設(shè)探析.數(shù)字技術(shù)與應(yīng)用，2016：193-194.

[2]吳燕.防火墻與入侵檢測系統(tǒng)聯(lián)動技術(shù)的分析與研究[J].數(shù)字技術(shù)與應(yīng)用，2015（5）：182-183.

[3]張秀英，王祺，姚建麗.烏海市氣象信息網(wǎng)絡(luò)安全防護的設(shè)計與應(yīng)用.內(nèi)蒙古氣象，2016（2）：46-48.

[4]官紅青，黃特理.玉溪市氣象局網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計及實現(xiàn).信息技術(shù)與信息化，2015（01）.