福州市氣象局網(wǎng)絡(luò)安全系統(tǒng)建設(shè)探討

1、福州市氣象局網(wǎng)絡(luò)安全系統(tǒng)建設(shè)探討摘要：隨著信息技術(shù)的持續(xù)快速發(fā)展，網(wǎng)絡(luò)安全形勢(shì)愈發(fā)嚴(yán)峻，大規(guī)模網(wǎng)絡(luò)攻擊和惡意風(fēng)險(xiǎn)持續(xù)爆發(fā)。棱鏡門信息泄密事件，將網(wǎng)絡(luò)安全演變成為大國角力戰(zhàn)場(chǎng);勒索病毒席卷全球重創(chuàng)我國多個(gè)重要部門，網(wǎng)絡(luò)安全問題逐漸被相關(guān)部門重視，尤其與人類生活密切相關(guān)的氣象信息。本文從網(wǎng)絡(luò)安全建設(shè)的必要性入題，分析了福州市氣象網(wǎng)絡(luò)安全系統(tǒng)和安全設(shè)計(jì)部署系統(tǒng)，確保氣象業(yè)務(wù)的安全穩(wěn)定運(yùn)行和氣象數(shù)據(jù)的安全共享，對(duì)維護(hù)氣象網(wǎng)絡(luò)安全具有建設(shè)性意義。關(guān)鍵詞：網(wǎng)絡(luò)安全;氣象信息;氣象業(yè)務(wù)概述氣象部門是關(guān)系國計(jì)民生的重要基礎(chǔ)性部門，隨著氣象現(xiàn)代化的高速發(fā)展，氣象信息化的急速推進(jìn)，對(duì)氣象信息網(wǎng)絡(luò)安全提出了更高要求

2、，迫切需要強(qiáng)化氣象信息網(wǎng)絡(luò)安全頂層設(shè)計(jì)，逐步縮短與安全標(biāo)桿企業(yè)信息網(wǎng)絡(luò)安全管理、技術(shù)等的差距，逐步完善網(wǎng)絡(luò)安全、數(shù)據(jù)中心安全等信息安全系統(tǒng)建設(shè)，提升氣象行業(yè)整體網(wǎng)絡(luò)安全體系的防護(hù)能力。隨著氣象業(yè)務(wù)的不斷擴(kuò)展，對(duì)氣象服務(wù)產(chǎn)品一體化及氣象信息共享等服務(wù)需求也日益增加，從而對(duì)業(yè)務(wù)數(shù)據(jù)量的處理和傳輸性能等要求也相應(yīng)提高，同時(shí)也增加了數(shù)據(jù)傳輸過程中的風(fēng)險(xiǎn)，氣象信息也將面臨多重的安全威脅，因此，要確保網(wǎng)絡(luò)操作系統(tǒng)和集群文件系統(tǒng)的安全可靠，需要構(gòu)建完整的安全防護(hù)體系，切實(shí)保證信息系統(tǒng)的長(zhǎng)期安全穩(wěn)定運(yùn)行，必須加強(qiáng)網(wǎng)絡(luò)漏洞管理、網(wǎng)絡(luò)審計(jì)系統(tǒng)以及防入侵系統(tǒng)等全面安全系統(tǒng)設(shè)備的設(shè)計(jì)與構(gòu)建，建立全方位、多層次的網(wǎng)絡(luò)安

3、全防護(hù)系統(tǒng)，提高氣象網(wǎng)絡(luò)安全服務(wù)性能，保障通訊安全和暢通，保證氣象信息傳輸、交換和共享數(shù)據(jù)的效率及完整性和有效性。福州市氣象信息網(wǎng)絡(luò)安全現(xiàn)狀福州市氣象信息網(wǎng)絡(luò)與裝備保障中心作為市級(jí)主要信息網(wǎng)絡(luò)運(yùn)行單位，多年來不斷加強(qiáng)福州市信息網(wǎng)絡(luò)安全技術(shù)防護(hù)建設(shè)，建立了分區(qū)域縱深的技術(shù)防護(hù)體系，部署了完善的邊界隔離和訪問控制措施，主要網(wǎng)絡(luò)出口邊界部署各類入侵檢測(cè)、WE的護(hù)等設(shè)施，防御病毒及惡意攻擊的能力不斷提升，終端安全管理不斷推廣，安全寄計(jì)能力逐步完善，具備了一定的安全防護(hù)能力。福州市氣象信息系統(tǒng)安全工作在較長(zhǎng)的時(shí)期內(nèi)，基本滿足了氣象信息業(yè)務(wù)的發(fā)展需要，保障了氣象業(yè)務(wù)的穩(wěn)定運(yùn)行。但是，嚴(yán)峻的內(nèi)外部網(wǎng)絡(luò)安全形

4、勢(shì)和新技術(shù)的不斷發(fā)展，勒索病毒席卷全球重創(chuàng)我國多個(gè)重要部門，網(wǎng)絡(luò)安全問題逐漸被相關(guān)部門重視，尤其與人類生活密切相關(guān)的氣象信息，信息安全工作暴露出諸多問題。氣象信息網(wǎng)絡(luò)安全防御體系建設(shè)分析技術(shù)概述。安全域是將所有相同安全等級(jí)、具有相同安全需求的計(jì)算機(jī)劃入同一網(wǎng)段內(nèi)，在網(wǎng)段的邊界處進(jìn)行訪問控制?？v向網(wǎng)接入?yún)^(qū)提供縱向網(wǎng)絡(luò)的接入，通過國家、省市縣四級(jí)廣域網(wǎng)組成氣象專網(wǎng)，提供縱向網(wǎng)絡(luò)資源共享通道。internet訪問區(qū)在互聯(lián)網(wǎng)上部署防火墻、上網(wǎng)行為管理以及IPS（入侵防御檢測(cè)）。核心數(shù)據(jù)交換區(qū)負(fù)責(zé)氣象信息數(shù)據(jù)報(bào)文核心轉(zhuǎn)發(fā)。業(yè)務(wù)服務(wù)器區(qū)部門內(nèi)部辦公系統(tǒng)及業(yè)務(wù)平臺(tái)相關(guān)服務(wù)器均部署在該區(qū)域。屬于業(yè)務(wù)系統(tǒng)的核心

5、，也是安全防護(hù)的主要區(qū)塊。終端接入?yún)^(qū)提供辦公系統(tǒng)和業(yè)務(wù)系統(tǒng)終端設(shè)備的接入。福州市氣象信息網(wǎng)絡(luò)安全建設(shè)針對(duì)福州市氣象局目前面臨的安全方面保障，在我局氣象專網(wǎng)上部署了兩臺(tái)防火墻，在每臺(tái)專網(wǎng)機(jī)子上安裝正版的殺毒軟件，加強(qiáng)防病毒能力，并且在氣象專網(wǎng)部署了網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)以致做到內(nèi)網(wǎng)終端接入管理及非法外聯(lián)控制;在政務(wù)網(wǎng)上，部署了一臺(tái)防火墻智網(wǎng)上部署了邊界防護(hù)系統(tǒng)?；ヂ?lián)網(wǎng)上，通過網(wǎng)御開放單向ftp協(xié)議端口來讀取數(shù)據(jù)庫服務(wù)器上的數(shù)據(jù)，專網(wǎng)與互聯(lián)網(wǎng)進(jìn)行了物理上的隔離，保證了專網(wǎng)的數(shù)據(jù)安全。在互聯(lián)網(wǎng)上部署了IPS（入侵防御檢測(cè)系統(tǒng)）以及堡壘機(jī)，局里互聯(lián)網(wǎng)上部署了上網(wǎng)行為管理：每臺(tái)機(jī)子MACM址與IP地址綁定，每

6、個(gè)用戶對(duì)應(yīng)于一個(gè)賬號(hào)。安全技術(shù)體系圍繞信息系統(tǒng)的安全防護(hù)已經(jīng)形成了眾多安全技術(shù)，通過綜合采用多種技術(shù)和部署安全產(chǎn)品，建立完善的安全檢測(cè)與審計(jì)機(jī)制，邊界防護(hù)機(jī)制，應(yīng)用冗余機(jī)制，建立一個(gè)縱深安全防護(hù)體系。防火墻防火墻安裝在被保護(hù)的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連結(jié)點(diǎn)上，用于保護(hù)網(wǎng)絡(luò)邊界安全的主要手段之一，根據(jù)建立正確的網(wǎng)絡(luò)訪問策略和過濾規(guī)則列表，來鑒別哪些內(nèi)部服務(wù)允許（禁止）外部訪問，哪些外部服務(wù)允許（禁止）內(nèi)部訪問，或其他特定活動(dòng)，被認(rèn)為是一種訪問控制機(jī)制。防火墻技術(shù)是遏制攻擊技術(shù)之一，保護(hù)離開安全域的信息的安全，同時(shí)防止來自外部的攻擊和非法接入，從而實(shí)現(xiàn)保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。在局里氣象專網(wǎng)上部署兩臺(tái)防火墻

7、，作為互為備份之勢(shì)，在互聯(lián)網(wǎng)上部署了安全路由器及一臺(tái)防火墻，需要再部署一臺(tái)安全路由器作為備份之勢(shì)。漏洞掃描在我局的氣象專網(wǎng)上部署了一臺(tái)漏洞掃描設(shè)備，網(wǎng)絡(luò)管理員通過掃描等手段對(duì)指定的遠(yuǎn)程目標(biāo)主機(jī)或本地計(jì)算機(jī)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全檢測(cè)，了解目標(biāo)主機(jī)網(wǎng)絡(luò)安全設(shè)置和運(yùn)行環(huán)境，及時(shí)發(fā)現(xiàn)可利用漏洞，并對(duì)其掃描結(jié)果進(jìn)行評(píng)估和漏洞的修復(fù)。起到了主動(dòng)防范的作用，有效地避免黑客攻擊行為，進(jìn)一步保障系統(tǒng)網(wǎng)絡(luò)環(huán)境安全。入侵檢測(cè)在氣象專網(wǎng)中心交換機(jī)上部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，基于核心交換機(jī)端口的鏡像流量進(jìn)行網(wǎng)絡(luò)行為的分析，進(jìn)行實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)攻擊行為，若入侵檢測(cè)系統(tǒng)檢測(cè)到異常時(shí)，則產(chǎn)生報(bào)警信息，同時(shí)入侵檢測(cè)系統(tǒng)與防火墻實(shí)現(xiàn)聯(lián)動(dòng)，入侵

8、檢測(cè)系統(tǒng)將通知防火墻實(shí)施訪問阻斷，保證整個(gè)信息系統(tǒng)的數(shù)據(jù)信息安全。網(wǎng)絡(luò)隔離在福州市氣象專網(wǎng)與因特網(wǎng)的接口處部署一臺(tái)安全交互系統(tǒng)設(shè)備，用來內(nèi)外網(wǎng)交互。防病毒在氣象專網(wǎng)部署網(wǎng)絡(luò)威脅發(fā)現(xiàn)設(shè)備，在內(nèi)網(wǎng)客戶端全面部署防病毒客戶端，從而實(shí)現(xiàn)檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)流量中病毒、木馬、間諜等入侵行為，定位存在威脅的計(jì)算機(jī)，追蹤入侵者，監(jiān)控網(wǎng)絡(luò)安全問題。通過病毒防護(hù)中心實(shí)現(xiàn)全局全網(wǎng)殺毒防護(hù)統(tǒng)一更新、病毒預(yù)警和集中管理，實(shí)現(xiàn)對(duì)重要信息系統(tǒng)掃描監(jiān)控，包括文件監(jiān)控、郵件監(jiān)控。為全網(wǎng)建立了穩(wěn)定、安全、全自動(dòng)的防病毒體系。準(zhǔn)入管理系統(tǒng)在氣象專網(wǎng)部署準(zhǔn)入管理系統(tǒng)，根據(jù)管理系統(tǒng)的準(zhǔn)入行為和準(zhǔn)入策略，對(duì)用戶身份及接入終端信息進(jìn)行認(rèn)證，實(shí)時(shí)

9、監(jiān)測(cè)接入設(shè)備的可靠性及安全性，禁止接入違規(guī)或未經(jīng)授權(quán)的終端設(shè)備，實(shí)現(xiàn)了對(duì)終端設(shè)備全面管理。上網(wǎng)行為管理在福州市氣象局互聯(lián)網(wǎng)上部署了一臺(tái)上網(wǎng)行為管理設(shè)備，滿足網(wǎng)絡(luò)行為監(jiān)控、控制和管理需要，每臺(tái)機(jī)子MACM址與IP地址綁定，每個(gè)用戶對(duì)應(yīng)于一個(gè)賬號(hào)。有效防止有人非法接入并使用可以上網(wǎng)的網(wǎng)絡(luò)設(shè)備，以及解決私自修改IP地址造成IP沖突的問題。上網(wǎng)行為管理設(shè)備提供對(duì)互聯(lián)網(wǎng)的用戶進(jìn)行檢測(cè)、過濾不良信息或敏感文字的功能，并提供上網(wǎng)內(nèi)容記錄和內(nèi)容審查的功能，以規(guī)范上網(wǎng)行為，消除網(wǎng)絡(luò)接入所面臨的潛在法律風(fēng)險(xiǎn)。堡壘機(jī)針對(duì)業(yè)務(wù)環(huán)境下的建維操作進(jìn)行控制和審計(jì)的合規(guī)性管控系統(tǒng)，在我局部署了一臺(tái)堡壘機(jī)，加強(qiáng)局里對(duì)業(yè)務(wù)操作行

10、為監(jiān)管、避免核心資產(chǎn)（服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）損失、保障業(yè)務(wù)系統(tǒng)的正常運(yùn)營。日志服務(wù)器將氣象專網(wǎng)上的防火墻、網(wǎng)閘，互聯(lián)網(wǎng)防火墻、網(wǎng)閘，上網(wǎng)行為管理等日志發(fā)送到日志服務(wù)器，通過日志檢查及深入分析保存日志，可以識(shí)別出系統(tǒng)的運(yùn)作問題，并提供有用信息，從而解決問題;還可檢驗(yàn)信息系統(tǒng)安全機(jī)制的有效性。安全技術(shù)聯(lián)動(dòng)在福州市氣象專網(wǎng)及氣象互聯(lián)網(wǎng)中采用入侵檢測(cè)系統(tǒng)，組建一套完整的主動(dòng)防御體系，目前是采用混合入侵檢測(cè)，在氣象專網(wǎng)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。由漏洞掃描、入侵檢測(cè)、防火墻、殺毒軟件、堡壘機(jī)構(gòu)成縱深安全防護(hù)體系。漏洞掃描、防火墻、和入侵檢測(cè)三者緊密結(jié)合，實(shí)現(xiàn)防御聯(lián)動(dòng)，有效增強(qiáng)了系

11、統(tǒng)的安全防御能力。入侵檢測(cè)系統(tǒng)與漏洞掃描聯(lián)動(dòng)通過漏洞掃描與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)，系統(tǒng)定期對(duì)氣象專網(wǎng)中的漏洞進(jìn)行掃描，根據(jù)掃描出來的報(bào)告對(duì)氣象專網(wǎng)中存在的安全漏洞及時(shí)進(jìn)行打補(bǔ)丁修復(fù)，再將結(jié)果發(fā)送到入侵檢測(cè)，入侵檢測(cè)系統(tǒng)將模式庫中與已得到修復(fù)的安全漏洞相對(duì)應(yīng)的攻擊特征進(jìn)行刪除。防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)技術(shù)防火墻通過利用分布式入侵檢測(cè)系統(tǒng)及時(shí)的發(fā)出了做好的安全策略之外的入侵攻擊行為之外，入侵檢測(cè)系統(tǒng)通過防火墻阻斷來自外部網(wǎng)絡(luò)的攻擊行為，形成一個(gè)有效的安全保護(hù)機(jī)制，從而提高網(wǎng)絡(luò)的整體防御能力。結(jié)語氣象信息網(wǎng)絡(luò)是氣象業(yè)務(wù)工作的一個(gè)重要組成部分，它的任務(wù)是傳輸各類氣象信息和資料，滿足氣象預(yù)報(bào)、服務(wù)及科研工作的需要。是氣象工作的支撐與紐帶。氣象信息網(wǎng)絡(luò)安全防火體系的建設(shè)目的是提供一個(gè)安全性、穩(wěn)定性、保密性的工作網(wǎng)絡(luò)環(huán)境，更好地為氣象事業(yè)發(fā)展做出貢獻(xiàn)。參考文獻(xiàn)：陳亮.省市級(jí)氣象信息安全系統(tǒng)建設(shè)探析.數(shù)