福建地震網(wǎng)絡(luò)信息安全策略研究

◆戴麗金 陳家樑 林加寶 張麗娜 巫立華

福建地震網(wǎng)絡(luò)信息安全策略研究

◆戴麗金 陳家樑 林加寶 張麗娜 巫立華

（福建省地震局 福建 350000）

隨著計算機技術(shù)的飛速發(fā)展，計算機網(wǎng)絡(luò)技術(shù)在地震行業(yè)的應(yīng)用越來越廣泛，依賴程度越來越高，也不斷促進著地震行業(yè)信息化的發(fā)展。地震數(shù)據(jù)共享、信息服務(wù)以及網(wǎng)絡(luò)式分布增加了網(wǎng)絡(luò)受攻擊和威脅的可能性。本文分析了福建地震部門的網(wǎng)絡(luò)現(xiàn)狀和存在的安全隱患，利用現(xiàn)行的網(wǎng)絡(luò)安全技術(shù)，提出了科學(xué)、合理的解決方案，以保障地震網(wǎng)絡(luò)的安全可靠運行。

網(wǎng)絡(luò)技術(shù)；信息化；網(wǎng)絡(luò)安全；地震網(wǎng)絡(luò)

1 引言

隨著計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)技術(shù)在地震信息系統(tǒng)的應(yīng)用越來越廣泛，大量的地震數(shù)據(jù)及信息需要通過網(wǎng)絡(luò)進行共享與傳輸，計算機網(wǎng)絡(luò)技術(shù)也極大地提高了地震系統(tǒng)的工作效果、數(shù)據(jù)傳輸?shù)木珳?zhǔn)性及時效性。然而，計算機網(wǎng)絡(luò)的多樣性、開放性及共享性特征，也增加了計算機網(wǎng)絡(luò)的不安全性，一旦遭受到網(wǎng)絡(luò)攻擊，勢必會對地震工作造成嚴(yán)重的影響。因此，地震部門的網(wǎng)絡(luò)安全問題是當(dāng)前亟須解決的關(guān)鍵問題，努力做好網(wǎng)絡(luò)安全防范，是保障地震系統(tǒng)穩(wěn)定、安全、正常運行的關(guān)鍵所在。

2 福建地震網(wǎng)絡(luò)發(fā)展現(xiàn)狀

目前，福建省地震局已建成國省MPLS-VPN及SRv6 TE雙平面、省市MSTP、市縣MSTP、省縣VPN等混合方式的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)。福建省地震局所屬地震監(jiān)測站點通過運營商MSTP專線、VPN鏈路和省局?jǐn)?shù)據(jù)處理中心連接，省局通過預(yù)警骨干網(wǎng)和國家中心、技術(shù)保障中心等實現(xiàn)數(shù)據(jù)的互聯(lián)互通。具體來說，福建省地震監(jiān)測站分為一般站、基準(zhǔn)站和基本站三種。一般站通過運營商互聯(lián)網(wǎng)VPN鏈路和省地震局實現(xiàn)業(yè)務(wù)數(shù)據(jù)的連接，基本站/基準(zhǔn)站通過MSTP專線方式和省地震局實現(xiàn)業(yè)務(wù)的連接。省地震局預(yù)警業(yè)務(wù)數(shù)據(jù)處理平臺是省局生產(chǎn)系統(tǒng)的一部分，部署在省地震局預(yù)警網(wǎng)數(shù)據(jù)中心。

視頻會商系統(tǒng)、預(yù)警系統(tǒng)及其產(chǎn)品、地震信息服務(wù)、觀測數(shù)據(jù)及辦公自動化系統(tǒng)等已經(jīng)在全省地震主干網(wǎng)絡(luò)上運行傳輸，隨著監(jiān)測站點的增多及地震業(yè)務(wù)的不斷發(fā)展，網(wǎng)絡(luò)系統(tǒng)承擔(dān)著越來越多的數(shù)據(jù)獲取、傳輸、利用及共享的任務(wù)。隨著地震網(wǎng)絡(luò)規(guī)模的不斷擴大，地震信息在逐步開放和共享的同時也增加了網(wǎng)絡(luò)的不安全性，各種各樣的網(wǎng)絡(luò)入侵也越來越多，給地震業(yè)務(wù)系統(tǒng)造成了嚴(yán)重的威脅。

3 福建地震網(wǎng)絡(luò)安全隱患

3.1 用戶網(wǎng)絡(luò)安全意識薄弱

目前，計算機已經(jīng)在各行各業(yè)領(lǐng)域應(yīng)用廣泛，但在福建省地震局一些業(yè)務(wù)部門中，還有部分用戶網(wǎng)絡(luò)安全意識較低或者未熟練掌握安全防范知識，用戶的一些行為很容易增加地震信息網(wǎng)絡(luò)的安全隱患。例如，隨意使用外來移動設(shè)備進行計算機之間拷貝資料，使用業(yè)務(wù)計算機任意瀏覽、下載文件、收發(fā)電子郵件等，很容易導(dǎo)致業(yè)務(wù)計算機遭受病毒攻擊，使系統(tǒng)癱瘓，嚴(yán)重影響業(yè)務(wù)系統(tǒng)的運行。我局雖然成立了相應(yīng)的管理機構(gòu)和技術(shù)團隊，但在網(wǎng)絡(luò)安全實際工作中，仍存在部分相關(guān)負(fù)責(zé)同志網(wǎng)絡(luò)安全意識淡薄，對網(wǎng)絡(luò)安全工作重視不夠的情況。比如弱口令問題，中國地震局多次下發(fā)相關(guān)要求開展弱口令排查及整改工作，但在2019年6月份HW演習(xí)期間還是存在因服務(wù)器的弱口令問題被攻破。

3.2 網(wǎng)絡(luò)安全管理規(guī)制和運行機制不健全

中國地震局高度重視網(wǎng)絡(luò)安全工作，成立了局網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組，局屬單位也均已成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)機構(gòu)，但是普遍存在網(wǎng)絡(luò)安全管理制度不完善、管理制度不全面、責(zé)任落實不到位、響應(yīng)機制不健全以及部分管理制度過時不能滿足相關(guān)要求等問題。我局目前同樣也存在著這些問題。各業(yè)務(wù)部門每年的工作任務(wù)中信息化建設(shè)都占有很大比重，各自建設(shè)，造成信息網(wǎng)絡(luò)運維部門很難掌握相應(yīng)的基礎(chǔ)信息，信息化建設(shè)缺乏統(tǒng)籌管理；信息部門對自己管理的資源，如IP地址，網(wǎng)絡(luò)拓?fù)洹⑦\維信息，也是家底不清，幾次梳理工作都沒有實效。網(wǎng)絡(luò)安全管理機構(gòu)，執(zhí)行機構(gòu)，運行制度還不十分明確；網(wǎng)絡(luò)安全制度不完善，人員分工不合理。網(wǎng)絡(luò)運維和網(wǎng)絡(luò)安全制度嚴(yán)重缺失，運維、監(jiān)控工作隨意性強；管理人員職責(zé)不清，已有工作分工不合理，核心崗位沒有設(shè)置AB角色，A不在了工作就無法開展，業(yè)務(wù)系統(tǒng)容易癱瘓。

3.3 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施防護能力薄弱

福建省地震局網(wǎng)絡(luò)安全體系是以中國地震局網(wǎng)絡(luò)安防一期項目為基礎(chǔ)，結(jié)合本局自有配套部分安全設(shè)備而建設(shè)。網(wǎng)絡(luò)安防一期工程投入運行后，監(jiān)控運維類系統(tǒng)已經(jīng)開始發(fā)揮作用，但行業(yè)網(wǎng)防火墻久久沒啟用控制策略，未能啟到保護區(qū)域網(wǎng)絡(luò)的作用，安全軟硬件設(shè)備不能起到應(yīng)有的防范作用，整體網(wǎng)絡(luò)安全形勢極為嚴(yán)峻。還有多年以來在信息化的相關(guān)建設(shè)中一直存在“重系統(tǒng)輕安全”的慣性思想，導(dǎo)致網(wǎng)絡(luò)安全軟硬件投入有限，由此直接導(dǎo)致全網(wǎng)的安全防護能力降低。

3.4 網(wǎng)絡(luò)安全防護與國家等級保護要求仍有差距

地震網(wǎng)絡(luò)是一張全國大網(wǎng)，各單位普遍存在地震網(wǎng)絡(luò)邊界不清、內(nèi)部區(qū)域劃分混亂、行業(yè)網(wǎng)和互聯(lián)網(wǎng)出口多、對外服務(wù)混亂等現(xiàn)象，我局也未實現(xiàn)行業(yè)網(wǎng)、互聯(lián)網(wǎng)兩網(wǎng)隔離，導(dǎo)致各類互聯(lián)網(wǎng)攻擊直接滲透到行業(yè)網(wǎng)內(nèi)，對行業(yè)網(wǎng)的安全造成重大沖擊，嚴(yán)重影響行業(yè)網(wǎng)穩(wěn)定運行。同時，重要信息系統(tǒng)老舊、主機漏洞多和安全基線較低；核心業(yè)務(wù)系統(tǒng)安全漏洞修復(fù)面臨很大風(fēng)險，地震局“3+1”業(yè)務(wù)系統(tǒng)中，例如前兆業(yè)務(wù)系統(tǒng)因為系統(tǒng)建設(shè)時間早，操作系統(tǒng)和數(shù)據(jù)庫發(fā)現(xiàn)漏洞后，受應(yīng)用層技術(shù)架構(gòu)和開發(fā)語言的限制，不能升級，存在很大的漏洞。其他部門的業(yè)務(wù)系統(tǒng)也存在類似問題；業(yè)務(wù)系統(tǒng)及儀器設(shè)備較脆弱，容易因某些因素影響穩(wěn)定運行。另外，地震系統(tǒng)自身研制的各種應(yīng)用軟件和一些網(wǎng)絡(luò)應(yīng)用協(xié)議，在開發(fā)過程中，也存在一定缺陷，有時還有一些未被解決的系統(tǒng)漏洞，也容易遭到攻擊者的攻擊。

3.5 網(wǎng)絡(luò)安全人才隊伍比較薄弱

目前，我局地震臺站在人員管理、業(yè)務(wù)培訓(xùn)等方面缺乏制度和經(jīng)費保障，導(dǎo)致地震臺站缺乏相關(guān)的網(wǎng)絡(luò)安全專業(yè)技術(shù)人員，使得從業(yè)人員在網(wǎng)絡(luò)安全技術(shù)能力方面提升緩慢，當(dāng)網(wǎng)絡(luò)發(fā)生故障時，基本是由在職的非專業(yè)人員進行維護，對于專業(yè)病毒防御、網(wǎng)絡(luò)區(qū)域設(shè)置等關(guān)鍵技術(shù)掌握甚少，無法解決復(fù)雜的網(wǎng)絡(luò)安全故障，進而影響臺站的正常穩(wěn)定運行。

4 福建地震信息系統(tǒng)網(wǎng)絡(luò)安全策略

地震信息系統(tǒng)具有全程全網(wǎng)，內(nèi)外互聯(lián)、信息傳輸量大、時效性高等特點，必須加強對系統(tǒng)的運行管理。我們需要網(wǎng)絡(luò)安全技術(shù)來保障網(wǎng)絡(luò)的安全，而一個完整的技術(shù)安全體系應(yīng)該是由分布式的多種等級安全技術(shù)和安全產(chǎn)品組成的復(fù)雜系統(tǒng)，不僅有技術(shù)的因素，也有人為的因素。各級信息系統(tǒng)以及系統(tǒng)內(nèi)部業(yè)務(wù)之間、各個部門之間必須緊密協(xié)作配合，制定出適合本系統(tǒng)本單位的網(wǎng)絡(luò)安全策略，確保全系統(tǒng)的穩(wěn)定運行。

4.1 強化全系統(tǒng)網(wǎng)絡(luò)安全意識

定期開展針對地震網(wǎng)絡(luò)安全的宣傳教育活動，加強全系統(tǒng)工作人員的網(wǎng)絡(luò)安全意識，制定相關(guān)的計算機操作和網(wǎng)絡(luò)應(yīng)用規(guī)范，定期開展與計算機相關(guān)的技能培訓(xùn)及知識講座，使全體人員能養(yǎng)成良好的上網(wǎng)習(xí)慣，最大程度降低因疏忽和不當(dāng)操作造成對地震網(wǎng)絡(luò)的影響。

4.2 計算機網(wǎng)絡(luò)安全管理策略

在計算機網(wǎng)絡(luò)系統(tǒng)安全策略中，不僅需要采取網(wǎng)絡(luò)技術(shù)措施來保障網(wǎng)絡(luò)安全，還必須有相關(guān)的網(wǎng)絡(luò)安全管理制度來保障，并且需要相關(guān)行政部門來約束監(jiān)督嚴(yán)格執(zhí)行，這樣才能起到有效的作用。

地震系統(tǒng)網(wǎng)絡(luò)安全管理策略主要包括：網(wǎng)絡(luò)安全管理制度；機房管理制度；網(wǎng)絡(luò)操作使用規(guī)程；網(wǎng)絡(luò)安全應(yīng)急預(yù)案等。

4.3 地震網(wǎng)絡(luò)安全技術(shù)防護

4.3.1實施網(wǎng)絡(luò)安全防護項目

2018年7月，實施了地震信息第一期的網(wǎng)絡(luò)安全防護項目，我局配備一套相關(guān)的安全設(shè)備與軟件，初步建成具有一定防護能力的地震網(wǎng)絡(luò)安全體系。但因各種因素，項目落地情況不理想，行業(yè)網(wǎng)網(wǎng)絡(luò)安全邊界防護中，防火墻訪問控制策略設(shè)置缺失未發(fā)揮項目預(yù)期效果。

網(wǎng)絡(luò)控制策略是地震信息系統(tǒng)安全防范和保護的主要策略，它的主要任務(wù)是保護網(wǎng)絡(luò)資源不被非法訪問和使用，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

我局將對局域網(wǎng)內(nèi)各業(yè)務(wù)系統(tǒng)進行應(yīng)用層面的梳理，在行業(yè)網(wǎng)防火墻上實施策略部署。具體來說，按照各自應(yīng)用系統(tǒng)業(yè)務(wù)流進行源地址和目標(biāo)地址的梳理，采用白名單方案，制定策略規(guī)劃，缺省“阻斷”，按策略“開放”，建立明確的互訪需求。同類的業(yè)務(wù)可以互訪，不同業(yè)務(wù)之間禁止訪問，發(fā)揮行業(yè)網(wǎng)防火墻的作用，確保區(qū)域網(wǎng)絡(luò)的安全穩(wěn)定。

4.3.2實施信息系統(tǒng)等級保護

信息安全等級保護制度，是維護國家信息安全的根本保障。為了保障地震行業(yè)信息系統(tǒng)安全，地震行業(yè)在落實國家網(wǎng)絡(luò)安全要求的同時，積極開展地震系統(tǒng)信息安全等級保護工作。我局從自身信息化業(yè)務(wù)需求和安全需求角度出發(fā)，為了滿足我局門戶網(wǎng)站和業(yè)務(wù)信息系統(tǒng)的安全穩(wěn)定運行，提高對重要信息安全的基本防護水平，2019年按照國家信息安全等級保護三級水平開展安全整改建設(shè)工作，2020年門戶網(wǎng)站按照三級水平進行了復(fù)測，存在的安全風(fēng)險及時進行了整改，確保信息系統(tǒng)安全、可靠、穩(wěn)定運行。為了信息系統(tǒng)的穩(wěn)定長遠(yuǎn)發(fā)展，我局將繼續(xù)按照規(guī)范和要求實施信息系統(tǒng)等級保護工作，提高福建地震網(wǎng)絡(luò)的安全系數(shù)，有效地規(guī)避和降低風(fēng)險，保障系統(tǒng)內(nèi)各系統(tǒng)的穩(wěn)定、高效運行。

4.3.3其他技術(shù)措施

（1）流量監(jiān)控系統(tǒng)：我局通過一期安全防護項目安裝的科來網(wǎng)絡(luò)全流量安全分析系統(tǒng)，是基于網(wǎng)絡(luò)全流量分析技術(shù)，通過回溯分析數(shù)據(jù)包特征、異常網(wǎng)絡(luò)行為，發(fā)現(xiàn)潛伏已久的高級未知攻擊。網(wǎng)絡(luò)全流量分析技術(shù)是發(fā)現(xiàn)APT網(wǎng)絡(luò)攻擊的重要技術(shù)手段，幫助用戶建立自適應(yīng)網(wǎng)絡(luò)安全架構(gòu)。

（2）殺毒軟件。當(dāng)前我局地震部門主要使用360殺毒軟件進行防護，病毒層出不窮，變異快，因此殺毒軟件也要進行病毒庫更新方可防御最新病毒，采用現(xiàn)有先進的云查殺技術(shù)，實時訪問云數(shù)據(jù)中心進行判斷，用戶無需頻繁升級病毒庫即可防御最新病毒。

（3）上網(wǎng)行為管理：我局通過上網(wǎng)行為管理設(shè)備實現(xiàn)用戶對互聯(lián)網(wǎng)的訪問控制，其包括對網(wǎng)頁訪問過濾、上網(wǎng)隱私保護、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析等。它也是保證網(wǎng)絡(luò)安全的重要措施之一。

4.4 加強網(wǎng)絡(luò)安全人才隊伍建設(shè)

強化我局地震系統(tǒng)網(wǎng)絡(luò)安全專業(yè)技術(shù)人員的培養(yǎng)與團隊建設(shè)，組織技術(shù)人員積極參加國家局組織的網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，可定期對我局安全專業(yè)技術(shù)人員開展有針對性的網(wǎng)絡(luò)安全專項能力培訓(xùn)與檢測，每年組織開展全行業(yè)網(wǎng)絡(luò)安全應(yīng)急演練，提高網(wǎng)絡(luò)應(yīng)急處置能力，增強網(wǎng)絡(luò)維護水平。

5 結(jié)束語

本文結(jié)合地震部門網(wǎng)絡(luò)現(xiàn)狀，著重針對我局地震部門網(wǎng)絡(luò)安全存在的問題提出了科學(xué)、合理的應(yīng)對措施，涵蓋了從規(guī)章制度到技術(shù)手段等各方面。希望通過本方案的實施，可以建立更完善的網(wǎng)絡(luò)安全體系，有效的防范信息系統(tǒng)各方面的攻擊和威脅，最大的保障網(wǎng)絡(luò)系統(tǒng)的安全和穩(wěn)定。

[1]何鵬翔.淺析我國網(wǎng)絡(luò)信息安全存在的問題及對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（05）：06-07.

[2]黃兆麒. 關(guān)于計算機網(wǎng)絡(luò)信息系統(tǒng)安全問題的分析與對策研究[J]. 信息系統(tǒng)工程，2017（11）：15-16.

[3]衛(wèi)晉芳.氣象信息網(wǎng)絡(luò)安全技術(shù)探析[J].現(xiàn)代農(nóng)業(yè)科技，2017（16）：25-26.

[4]叢曉穎. 計算機網(wǎng)絡(luò)信息系統(tǒng)安全問題的分析與對策[J]. 信息安全與技術(shù)，2016（01）：45-47.

[5]李淑渝. 計算機網(wǎng)絡(luò)信息安全問題及防范對策分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（09）：88-89.

福建省地震局“福建省地震網(wǎng)絡(luò)信息安全技術(shù)策略應(yīng)用研究”課題資助