行業(yè)信息安全體系建設(shè)實(shí)踐

貴州省黔南布依族苗族自治州氣象局 黃笞 李波 汪華 曹華

隨著信息技術(shù)的持續(xù)快速發(fā)展，網(wǎng)絡(luò)安全形勢(shì)愈發(fā)嚴(yán)峻，大規(guī)模網(wǎng)絡(luò)攻擊和惡意風(fēng)險(xiǎn)持續(xù)爆發(fā)。2017 年6 月1 日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱(chēng)“網(wǎng)絡(luò)安全法”）正式實(shí)施，將網(wǎng)絡(luò)安全問(wèn)題提到了前所未有的高度。

筆者單位作為氣象行業(yè)單位，在信息系統(tǒng)安全工作方面，在較長(zhǎng)的時(shí)期內(nèi)，基本滿(mǎn)足了氣象信息業(yè)務(wù)的發(fā)展需要，保障了氣象業(yè)務(wù)的穩(wěn)定運(yùn)行。

但嚴(yán)峻的內(nèi)外部網(wǎng)絡(luò)安全形勢(shì)和新技術(shù)的不斷發(fā)展，使得現(xiàn)有的安全管理模式和技術(shù)防護(hù)能力已經(jīng)無(wú)法滿(mǎn)足不斷增長(zhǎng)的業(yè)務(wù)需求，信息安全工作暴露出諸多問(wèn)題。

安全現(xiàn)狀

2015 年，貴州省氣象部門(mén)確定了以氣象信息化為抓手、后發(fā)趕超、加快實(shí)現(xiàn)氣象現(xiàn)代化的目標(biāo)。結(jié)合貴州氣象事業(yè)發(fā)展實(shí)際，加強(qiáng)頂層設(shè)計(jì)和統(tǒng)籌協(xié)調(diào)，以需求為導(dǎo)向，以創(chuàng)新為動(dòng)力，以數(shù)據(jù)為核心，以安全為保障，在基礎(chǔ)設(shè)施云平臺(tái)、氣象大數(shù)據(jù)云平臺(tái)建設(shè)及大數(shù)據(jù)創(chuàng)新應(yīng)用等方面取得了長(zhǎng)足進(jìn)步。

省級(jí)行業(yè)區(qū)、服務(wù)器區(qū)、專(zhuān)網(wǎng)區(qū)均部署了防火墻進(jìn)行防護(hù)和過(guò)濾；互聯(lián)網(wǎng)DMZ 區(qū)部署了入侵防御、上網(wǎng)行為管理、SSLVPN、安全準(zhǔn)入、防火墻等安全設(shè)備。

但安全設(shè)備和防護(hù)軟件大部分是2010 年以前建設(shè)的，設(shè)備故障頻發(fā)，部分設(shè)備已經(jīng)停產(chǎn)，獲得技術(shù)支持困難。2018 年更新省級(jí)安全運(yùn)維防護(hù)設(shè)備，通過(guò)超融合架構(gòu)構(gòu)建互聯(lián)網(wǎng)區(qū)安全資源池防護(hù)區(qū)，互聯(lián)網(wǎng)區(qū)安全資源池采取三物理節(jié)點(diǎn)集群內(nèi)部署冗余虛擬化安全組件的高可用架構(gòu)（包含VAC*2、VAF*2、VSSL*2），避免了原有AC、AF、SSLVPN 單物理設(shè)備面對(duì)不斷提升的網(wǎng)絡(luò)帶寬所導(dǎo)致的硬件性能瓶頸及可能會(huì)帶來(lái)的斷路風(fēng)險(xiǎn)。同時(shí)在核心交換區(qū)鏡像旁?huà)炝藬?shù)據(jù)庫(kù)防火墻安全審計(jì)設(shè)備，對(duì)整網(wǎng)數(shù)據(jù)庫(kù)的訪問(wèn)進(jìn)行實(shí)時(shí)監(jiān)控、審計(jì)及告警。

市州級(jí)作為重要的廣域網(wǎng)接入二級(jí)匯聚節(jié)點(diǎn)，在信息安全體系建設(shè)中非常重要，但安全設(shè)備和防護(hù)能力一直不足。互聯(lián)網(wǎng)訪問(wèn)區(qū)部署了傳統(tǒng)防火墻一類(lèi)的安全防護(hù)設(shè)備，防護(hù)規(guī)則和策略不統(tǒng)一，廣域網(wǎng)邊界基本沒(méi)有有效的安全防護(hù)設(shè)備，部分市州采用了業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)隔離的方式避免了業(yè)務(wù)網(wǎng)受到來(lái)自互聯(lián)網(wǎng)的安全威脅，但業(yè)務(wù)網(wǎng)內(nèi)部的失陷主機(jī)和受帶惡意病毒存儲(chǔ)設(shè)備感染終端的各類(lèi)安全攻擊事件屢禁不止，均不同程度存在通過(guò)互聯(lián)網(wǎng)提供氣象服務(wù)而暴露信息安全薄弱點(diǎn)的情況，安全隱患大，信息安全防范意識(shí)不足，網(wǎng)絡(luò)安全防護(hù)手段缺失。

區(qū)縣安全體系建設(shè)主要關(guān)注點(diǎn)在廣域網(wǎng)的縣級(jí)接入點(diǎn)，部分區(qū)縣在建設(shè)過(guò)程中基本依賴(lài)于運(yùn)營(yíng)商提供的初級(jí)防護(hù)能力。在近兩年區(qū)縣調(diào)研中發(fā)現(xiàn)部分臺(tái)站業(yè)務(wù)平臺(tái)上分別接入了兩個(gè)運(yùn)營(yíng)商的互聯(lián)網(wǎng)線(xiàn)路、政務(wù)外網(wǎng)，線(xiàn)路走向混亂、區(qū)域劃分不清晰的問(wèn)題普遍存在。部分區(qū)縣還存在通過(guò)互聯(lián)網(wǎng)提供氣象服務(wù)的需求，是安全防護(hù)的薄弱環(huán)節(jié)。區(qū)縣級(jí)的安全防護(hù)主要在氣象廣域網(wǎng)的接入端，通過(guò)省局部署的終端認(rèn)證系統(tǒng)確認(rèn)用戶(hù)身份，通過(guò)廣域網(wǎng)邊界的防火墻提供接入內(nèi)網(wǎng)的安全防護(hù)。

問(wèn)題分析

全省各級(jí)氣象部門(mén)一直以來(lái)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)要求各自開(kāi)展網(wǎng)絡(luò)安全建設(shè)，但缺乏統(tǒng)籌考慮，各自為戰(zhàn)，在信息系統(tǒng)孤島基礎(chǔ)上形成安全孤島，難以共享和協(xié)同。同時(shí)市州縣分別都存在互聯(lián)網(wǎng)訪問(wèn)出口，致使信息安全的防御戰(zhàn)線(xiàn)長(zhǎng)，市州縣級(jí)安全措施部署和運(yùn)維困難，安全防護(hù)不均衡，防護(hù)短板大量存在，整體防御能力處于較低水平。全省的信息安全基本依賴(lài)省級(jí)信息部門(mén)的規(guī)劃和部署，星型的網(wǎng)絡(luò)結(jié)構(gòu)導(dǎo)致延展性的技術(shù)支撐很困難，防護(hù)的智能化程度不夠，技術(shù)監(jiān)管能力不足，使得信息安全工作難以落到實(shí)處。部分單位在系統(tǒng)設(shè)計(jì)、建設(shè)與運(yùn)行管理方面不重視網(wǎng)絡(luò)安全，系統(tǒng)安全功能缺失、漏洞大量存在。

由于建設(shè)的不統(tǒng)一性，導(dǎo)致在基礎(chǔ)設(shè)施建設(shè)時(shí)信息安全設(shè)備類(lèi)型多樣，品牌各異，基本上均為獨(dú)立運(yùn)行設(shè)備，單一設(shè)備受限于設(shè)備類(lèi)型、部署位置等，監(jiān)測(cè)分析能力有限，對(duì)氣象信息網(wǎng)絡(luò)整體網(wǎng)絡(luò)安全缺乏有效的監(jiān)測(cè)手段，面對(duì)潛在的安全風(fēng)險(xiǎn)處于被動(dòng)局面。

各單位都設(shè)置了安全管理崗位，但一般職責(zé)均不限于信息安全方面，專(zhuān)業(yè)背景知識(shí)匱乏，系統(tǒng)培訓(xùn)不足，導(dǎo)致出現(xiàn)信息網(wǎng)絡(luò)安全事件時(shí)應(yīng)對(duì)處置能力不足。

安全體系構(gòu)建思路

對(duì)市州縣級(jí)人員運(yùn)維能力的調(diào)研發(fā)現(xiàn)，縣級(jí)基本不具備專(zhuān)業(yè)的IT 運(yùn)維能力，但作為氣象廣域網(wǎng)的終端節(jié)點(diǎn)，要求業(yè)務(wù)人員具備基本的網(wǎng)絡(luò)運(yùn)維能力，因此首先要組織并加強(qiáng)對(duì)網(wǎng)絡(luò)運(yùn)維能力的培訓(xùn)，提升基層人員對(duì)網(wǎng)絡(luò)故障初步判斷的能力。

省以下氣象信息化建設(shè)的重點(diǎn)應(yīng)該要改變傳統(tǒng)“國(guó)家-省-市-縣”四級(jí)布局，業(yè)務(wù)系統(tǒng)建設(shè)要大幅度收縮節(jié)點(diǎn)，業(yè)務(wù)和數(shù)據(jù)存儲(chǔ)務(wù)必向省級(jí)匯聚，提倡集約建設(shè)，停建零散孤立的市州、縣級(jí)數(shù)據(jù)存儲(chǔ)系統(tǒng)，基層業(yè)務(wù)應(yīng)用統(tǒng)一使用省級(jí)提供的數(shù)據(jù)環(huán)境，逐步實(shí)現(xiàn)“兩級(jí)布局、多級(jí)應(yīng)用”，避免存儲(chǔ)系統(tǒng)和業(yè)務(wù)系統(tǒng)的復(fù)雜運(yùn)維給市縣級(jí)業(yè)務(wù)人員造成壓力。

大幅度提升省-市-縣三級(jí)的網(wǎng)絡(luò)帶寬，去除數(shù)據(jù)訪問(wèn)和資源使用的帶寬瓶頸，不同時(shí)空和地域均可實(shí)現(xiàn)可靠、穩(wěn)定、高速的訪問(wèn)，同時(shí)省級(jí)要規(guī)模化應(yīng)用服務(wù)器虛擬化、分布式存儲(chǔ)、分布式計(jì)算、分布式安全資源池等技術(shù)，構(gòu)建基于云服務(wù)的基礎(chǔ)設(shè)施資源池和安全資源池，實(shí)現(xiàn)統(tǒng)一規(guī)劃管理、降低多級(jí)運(yùn)維費(fèi)用，強(qiáng)化多維度信息綜合分析。

市縣級(jí)作為一個(gè)獨(dú)立的網(wǎng)絡(luò)節(jié)點(diǎn)，往往具備多個(gè)網(wǎng)絡(luò)出口，并且具有獨(dú)立的互聯(lián)網(wǎng)接口，因此需要在氣象廣域網(wǎng)的入口端設(shè)置更為嚴(yán)格的準(zhǔn)入策略，有條件的單位部署相應(yīng)的安全防護(hù)設(shè)備，保障全網(wǎng)的安全，同時(shí)需要精簡(jiǎn)縣級(jí)業(yè)務(wù)，采取關(guān)鍵業(yè)務(wù)與互聯(lián)網(wǎng)物理隔離、備份關(guān)鍵節(jié)點(diǎn)的方式確保節(jié)點(diǎn)的信息安全，要加強(qiáng)對(duì)縣級(jí)業(yè)務(wù)人員的信息安全意識(shí)的培訓(xùn)，防微杜漸，另外還應(yīng)該制定細(xì)致并可落地的信息安全的管理制度，樹(shù)立信息安全從點(diǎn)滴做起，信息安全從自身做起的意識(shí)，保障市縣兩級(jí)的業(yè)務(wù)安全。

結(jié)論

針對(duì)當(dāng)前信息網(wǎng)絡(luò)存在的安全隱患，急需根據(jù)分區(qū)分域防護(hù)的原則，按照一個(gè)中心三重防護(hù)的思想，規(guī)劃建設(shè)完善的信息系統(tǒng)安全縱深防御保障體系。安全保障主體是業(yè)務(wù)系統(tǒng)，安全縱深保障框架中所有安全控制都應(yīng)以安全方針、策略做為安全工作的指導(dǎo)與依據(jù)，落實(shí)安全管理和安全技術(shù)兩大維度的具體實(shí)施與維護(hù)，以業(yè)務(wù)系統(tǒng)的安全運(yùn)營(yíng)為信息安全保障建設(shè)的核心，并輔以安全評(píng)估與安全培訓(xùn)貫穿信息安全保障體系的全過(guò)程，形成風(fēng)險(xiǎn)可控的安全縱深保障框架體系。構(gòu)建覆蓋省-市-縣三級(jí)的信息安全體系，建設(shè)基于全局視角的安全感知平臺(tái)，結(jié)合威脅情報(bào)、行為分析建模、UEBA、失陷主機(jī)檢測(cè)、圖關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化平臺(tái)等技術(shù)，實(shí)現(xiàn)全網(wǎng)應(yīng)用可視化，業(yè)務(wù)可視化，攻擊與可疑流量可視化，解決安全黑洞與安全洼地的問(wèn)題。

在完善全省互聯(lián)網(wǎng)統(tǒng)一出口管控“一張網(wǎng)”的同時(shí)，應(yīng)避免市、縣自有信息系統(tǒng)基礎(chǔ)硬件設(shè)施的重復(fù)投入，提升省級(jí)及市、縣級(jí)現(xiàn)有計(jì)算及存儲(chǔ)資源利用率，減少信息系統(tǒng)分布式存儲(chǔ)架構(gòu)投入。考慮通過(guò)統(tǒng)一管理統(tǒng)一發(fā)布的方式實(shí)現(xiàn)動(dòng)態(tài)防護(hù)，解決市州級(jí)和區(qū)縣級(jí)沒(méi)有專(zhuān)業(yè)運(yùn)維人員的問(wèn)題。現(xiàn)階段安全領(lǐng)域采用的基于同一硬件架構(gòu)提供的融合防護(hù)方案是較好的解決方式，可減少傳統(tǒng)安全防護(hù)設(shè)備的重復(fù)投入、運(yùn)維困難的問(wèn)題，使得全網(wǎng)具有在統(tǒng)一安全策略管控下，最終達(dá)到整體信息安全保護(hù)與安全運(yùn)行的目的。