福州市氣象局網絡安全系統建設探討

林春艷　蔡敏　陳建云

摘 要：隨著信息技術的持續快速發展，網絡安全形勢愈發嚴峻，大規模網絡攻擊和惡意風險持續爆發。棱鏡門信息泄密事件，將網絡安全演變成為大國角力戰場;勒索病毒席卷全球重創我國多個重要部門，網絡安全問題逐漸被相關部門重視，尤其與人類生活密切相關的氣象信息。本文從網絡安全建設的必要性入題，分析了福州市氣象網絡安全系統和安全設計部署系統，確保氣象業務的安全穩定運行和氣象數據的安全共享，對維護氣象網絡安全具有建設性意義。

關鍵詞：網絡安全;氣象信息;氣象業務

1 概述

氣象部門是關系國計民生的重要基礎性部門，隨著氣象現代化的高速發展，氣象信息化的急速推進，對氣象信息網絡安全提出了更高要求，迫切需要強化氣象信息網絡安全頂層設計，逐步縮短與安全標桿企業信息網絡安全管理、技術等的差距，逐步完善網絡安全、數據中心安全等信息安全系統建設，提升氣象行業整體網絡安全體系的防護能力。

隨著氣象業務的不斷擴展，對氣象服務產品一體化及氣象信息共享等服務需求也日益增加，從而對業務數據量的處理和傳輸性能等要求也相應提高，同時也增加了數據傳輸過程中的風險，氣象信息也將面臨多重的安全威脅，因此，要確保網絡操作系統和集群文件系統的安全可靠，需要構建完整的安全防護體系，切實保證信息系統的長期安全穩定運行，必須加強網絡漏洞管理、網絡審計系統以及防入侵系統等全面安全系統設備的設計與構建，建立全方位、多層次的網絡安全防護系統，提高氣象網絡安全服務性能，保障通訊安全和暢通，保證氣象信息傳輸、交換和共享數據的效率及完整性和有效性。

2 福州市氣象信息網絡安全現狀

福州市氣象信息網絡與裝備保障中心作為市級主要信息網絡運行單位，多年來不斷加強福州市信息網絡安全技術防護建設，建立了分區域縱深的技術防護體系，部署了完善的邊界隔離和訪問控制措施，主要網絡出口邊界部署各類入侵檢測、WEB防護等設施，防御病毒及惡意攻擊的能力不斷提升，終端安全管理不斷推廣，安全審計能力逐步完善，具備了一定的安全防護能力。

福州市氣象信息系統安全工作在較長的時期內，基本滿足了氣象信息業務的發展需要，保障了氣象業務的穩定運行。但是，嚴峻的內外部網絡安全形勢和新技術的不斷發展，勒索病毒席卷全球重創我國多個重要部門，網絡安全問題逐漸被相關部門重視，尤其與人類生活密切相關的氣象信息，信息安全工作暴露出諸多問題。

3 氣象信息網絡安全防御體系建設分析

技術概述。安全域是將所有相同安全等級、具有相同安全需求的計算機劃入同一網段內，在網段的邊界處進行訪問控制。

3.1 縱向網接入區

提供縱向網絡的接入，通過國家、省市縣四級廣域網組成氣象專網，提供縱向網絡資源共享通道。

3.2 internet訪問區

在互聯網上部署防火墻、上網行為管理以及IPS（入侵防御檢測）。

3.3 核心數據交換區

負責氣象信息數據報文核心轉發。

3.4 業務服務器區

部門內部辦公系統及業務平臺相關服務器均部署在該區域。屬于業務系統的核心，也是安全防護的主要區塊。

3.5 終端接入區

提供辦公系統和業務系統終端設備的接入。

4 福州市氣象信息網絡安全建設

針對福州市氣象局目前面臨的安全方面保障，在我局氣象專網上部署了兩臺防火墻，在每臺專網機子上安裝正版的殺毒軟件，加強防病毒能力，并且在氣象專網部署了網絡準入控制系統以致做到內網終端接入管理及非法外聯控制;在政務網上，部署了一臺防火墻;智網上部署了邊界防護系統。互聯網上，通過網御開放單向ftp協議端口來讀取數據庫服務器上的數據，專網與互聯網進行了物理上的隔離，保證了專網的數據安全。在互聯網上部署了IPS（入侵防御檢測系統）以及堡壘機，局里互聯網上部署了上網行為管理：每臺機子MAC地址與IP地址綁定，每個用戶對應于一個賬號。

4.1 安全技術體系

圍繞信息系統的安全防護已經形成了眾多安全技術，通過綜合采用多種技術和部署安全產品，建立完善的安全檢測與審計機制，邊界防護機制，應用冗余機制，建立一個縱深安全防護體系。

4.1.1 防火墻

防火墻安裝在被保護的內部網絡與外部網絡的連結點上，用于保護網絡邊界安全的主要手段之一，根據建立正確的網絡訪問策略和過濾規則列表，來鑒別哪些內部服務允許（禁止）外部訪問，哪些外部服務允許（禁止）內部訪問，或其他特定活動，被認為是一種訪問控制機制。防火墻技術是遏制攻擊技術之一，保護離開安全域的信息的安全，同時防止來自外部的攻擊和非法接入，從而實現保護內部網絡的目的。在局里氣象專網上部署兩臺防火墻，作為互為備份之勢，在互聯網上部署了安全路由器及一臺防火墻，需要再部署一臺安全路由器作為備份之勢。

4.1.2 漏洞掃描

在我局的氣象專網上部署了一臺漏洞掃描設備，網絡管理員通過掃描等手段對指定的遠程目標主機或本地計算機系統進行網絡安全檢測，了解目標主機網絡安全設置和運行環境，及時發現可利用漏洞，并對其掃描結果進行評估和漏洞的修復。起到了主動防范的作用，有效地避免黑客攻擊行為，進一步保障系統網絡環境安全。

4.1.3 入侵檢測

在氣象專網中心交換機上部署網絡入侵檢測系統，基于核心交換機端口的鏡像流量進行網絡行為的分析，進行實時監測網絡攻擊行為，若入侵檢測系統檢測到異常時，則產生報警信息，同時入侵檢測系統與防火墻實現聯動，入侵檢測系統將通知防火墻實施訪問阻斷，保證整個信息系統的數據信息安全。

4.1.4 網絡隔離

在福州市氣象專網與因特網的接口處部署一臺安全交互系統設備，用來內外網交互。

4.1.5 防病毒

在氣象專網部署網絡威脅發現設備，在內網客戶端全面部署防病毒客戶端，從而實現檢測發現網絡流量中病毒、木馬、間諜等入侵行為，定位存在威脅的計算機，追蹤入侵者，監控網絡安全問題。通過病毒防護中心實現全局全網殺毒防護統一更新、病毒預警和集中管理，實現對重要信息系統掃描監控，包括文件監控、郵件監控。為全網建立了穩定、安全、全自動的防病毒體系。

4.1.6 準入管理系統

在氣象專網部署準入管理系統，根據管理系統的準入行為和準入策略，對用戶身份及接入終端信息進行認證，實時監測接入設備的可靠性及安全性，禁止接入違規或未經授權的終端設備，實現了對終端設備全面管理。

4.1.7 上網行為管理

在福州市氣象局互聯網上部署了一臺上網行為管理設備，滿足網絡行為監控、控制和管理需要，每臺機子MAC地址與IP地址綁定，每個用戶對應于一個賬號。有效防止有人非法接入并使用可以上網的網絡設備，以及解決私自修改IP地址造成IP沖突的問題。上網行為管理設備提供對互聯網的用戶進行檢測、過濾不良信息或敏感文字的功能，并提供上網內容記錄和內容審查的功能，以規范上網行為，消除網絡接入所面臨的潛在法律風險。

4.1.8 堡壘機

針對業務環境下的運維操作進行控制和審計的合規性管控系統，在我局部署了一臺堡壘機，加強局里對業務操作行為監管、避免核心資產（服務器、網絡設備、安全設備等）損失、保障業務系統的正常運營。

4.1.9 日志服務器

將氣象專網上的防火墻、網閘，互聯網防火墻、網閘，上網行為管理等日志發送到日志服務器，通過日志檢查及深入分析保存日志，可以識別出系統的運作問題，并提供有用信息，從而解決問題;還可檢驗信息系統安全機制的有效性。

4.2 安全技術聯動

在福州市氣象專網及氣象互聯網中采用入侵檢測系統，組建一套完整的主動防御體系，目前是采用混合入侵檢測，在氣象專網中同時采用基于網絡和基于主機的入侵檢測系統。

由漏洞掃描、入侵檢測、防火墻、殺毒軟件、堡壘機構成縱深安全防護體系。漏洞掃描、防火墻、和入侵檢測三者緊密結合，實現防御聯動，有效增強了系統的安全防御能力。

4.2.1 入侵檢測系統與漏洞掃描聯動

通過漏洞掃描與網絡入侵檢測系統的聯動，系統定期對氣象專網中的漏洞進行掃描，根據掃描出來的報告對氣象專網中存在的安全漏洞及時進行打補丁修復，再將結果發送到入侵檢測，入侵檢測系統將模式庫中與已得到修復的安全漏洞相對應的攻擊特征進行刪除。

4.2.2 防火墻與入侵檢測系統聯動技術

防火墻通過利用分布式入侵檢測系統及時的發出了做好的安全策略之外的入侵攻擊行為之外，入侵檢測系統通過防火墻阻斷來自外部網絡的攻擊行為，形成一個有效的安全保護機制，從而提高網絡的整體防御能力。

5 結語

氣象信息網絡是氣象業務工作的一個重要組成部分，它的任務是傳輸各類氣象信息和資料，滿足氣象預報、服務及科研工作的需要。是氣象工作的支撐與紐帶。氣象信息網絡安全防火體系的建設目的是提供一個安全性、穩定性、保密性的工作網絡環境，更好地為氣象事業發展做出貢獻。

參考文獻：

[1]陳亮.省市級氣象信息安全系統建設探析.數字技術與應用，2016：193-194.

[2]吳燕.防火墻與入侵檢測系統聯動技術的分析與研究[J].數字技術與應用，2015（5）：182-183.

[3]張秀英，王祺，姚建麗.烏海市氣象信息網絡安全防護的設計與應用.內蒙古氣象，2016（2）：46-48.

[4]官紅青，黃特理.玉溪市氣象局網絡安全系統的設計及實現.信息技術與信息化，2015（01）.