氣象信息化建設(shè)中的網(wǎng)絡(luò)防護(hù)體系研究

張新禹 韓仲?gòu)?qiáng)

（內(nèi)蒙古自治區(qū)氣象信息中心 內(nèi)蒙古自治區(qū)呼和浩特市 010051）

網(wǎng)絡(luò)信息化的不斷發(fā)展給社會(huì)的發(fā)展帶來巨大的便利，同時(shí)不斷發(fā)展的技術(shù)給氣象信息化網(wǎng)絡(luò)運(yùn)維中帶來了很多挑戰(zhàn)，隨著網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0于2019年12月初頒布實(shí)施，并且網(wǎng)絡(luò)安全法如今已納入《中華人民共和國(guó)憲法》中，網(wǎng)絡(luò)安全被提高到一個(gè)全新的高度，每當(dāng)舉辦大型體育活動(dòng)圖或者政治活動(dòng)需要對(duì)網(wǎng)絡(luò)安全增強(qiáng)防護(hù)，本文以氣象信息化建設(shè)中遇到的問題來講述遇到不同的網(wǎng)絡(luò)問題時(shí)的安全防護(hù)策略。

1 氣象信息化建設(shè)中的遇到的網(wǎng)絡(luò)安全問題

1.1 網(wǎng)絡(luò)邊界安全

在氣象信息化建設(shè)中，氣象內(nèi)部專網(wǎng)供內(nèi)部辦公接入了外部運(yùn)營(yíng)商的互聯(lián)網(wǎng)，按照行業(yè)要求接入的電子政務(wù)網(wǎng)及行業(yè)專網(wǎng)，為了氣象數(shù)據(jù)由省級(jí)中心到區(qū)域中心、各市、縣的氣象業(yè)務(wù)寬帶網(wǎng)，各自市、縣級(jí)部門接入的辦公互聯(lián)網(wǎng)，不同的網(wǎng)絡(luò)區(qū)域都要經(jīng)過氣象內(nèi)網(wǎng)傳輸數(shù)據(jù)，使得氣象內(nèi)網(wǎng)容易受到外部網(wǎng)絡(luò)滲透，容易受到黑客的訪問，針對(duì)不同網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)安全建設(shè)需要統(tǒng)一集中防護(hù)部署相關(guān)網(wǎng)絡(luò)安全設(shè)備。

1.2 服務(wù)器及終端網(wǎng)絡(luò)安全

服務(wù)器及終端網(wǎng)絡(luò)防護(hù)中，Windows系統(tǒng)是重災(zāi)區(qū)，易受病毒感染及挖礦病毒運(yùn)行，感染病毒的主機(jī)會(huì)出現(xiàn)網(wǎng)絡(luò)中斷的現(xiàn)象或者操作系統(tǒng)內(nèi)部出現(xiàn)內(nèi)存利用率達(dá)到峰值的情況，目前互聯(lián)網(wǎng)上殺毒軟件殺毒效果參差不齊，辦公內(nèi)部安裝的瑞星殺毒軟件病毒庫(kù)比較舊，查殺效果不明顯，漏洞補(bǔ)丁陳舊不能完成終端病毒查殺。部分服務(wù)器感染挖礦病毒導(dǎo)致服務(wù)器的CPU達(dá)到峰值，業(yè)務(wù)無法正常運(yùn)行。氣象業(yè)務(wù)依賴的數(shù)據(jù)目前由服務(wù)器以文件共享的方式提供，該服務(wù)利用445端口訪問共享資源，目前該端口易受勒索病毒“永痕之藍(lán)”攻擊，受攻擊的服務(wù)器呈現(xiàn)反復(fù)關(guān)機(jī)的特征，并且部分變種病毒會(huì)導(dǎo)致主機(jī)文件被加密的情況，嚴(yán)重影響了業(yè)務(wù)的正常運(yùn)行[1]。

1.3 互聯(lián)網(wǎng)遠(yuǎn)程訪問安全

氣象業(yè)務(wù)運(yùn)行過程中，部分業(yè)務(wù)服務(wù)器及終端在外部公司運(yùn)維的情況下，需要由公司網(wǎng)絡(luò)接入到氣象內(nèi)網(wǎng)里面，實(shí)現(xiàn)數(shù)據(jù)通信的方法為利用Teamviwer遠(yuǎn)程客戶端或者QQ遠(yuǎn)程的方式，上述通信方式的服務(wù)器都為外網(wǎng)服務(wù)器，一旦服務(wù)器被黑客攻破，黑客將得到相關(guān)秘鑰進(jìn)而滲透到內(nèi)網(wǎng)環(huán)境，對(duì)氣象加密數(shù)據(jù)造成嚴(yán)重泄露。對(duì)遠(yuǎn)程訪問無法實(shí)施監(jiān)視遠(yuǎn)程訪問行為，信息中心對(duì)可以的遠(yuǎn)程訪問無法做限制，且找不到具體遠(yuǎn)程的目的主機(jī)，發(fā)生網(wǎng)絡(luò)安全事件時(shí)處于被動(dòng)防御的形勢(shì)。

2 氣象信息化建設(shè)中的網(wǎng)絡(luò)安全防護(hù)體系

2.1 網(wǎng)絡(luò)安全區(qū)域劃分

氣象網(wǎng)絡(luò)安全區(qū)域建立在氣象信息中心機(jī)房局域網(wǎng)內(nèi)，主要由業(yè)務(wù)內(nèi)網(wǎng)區(qū)、隔離交換區(qū)、安全設(shè)管理區(qū)、自治區(qū)氣象寬帶網(wǎng)區(qū)組成。

業(yè)務(wù)內(nèi)網(wǎng)區(qū)位于自治區(qū)網(wǎng)絡(luò)安全區(qū)的公共連接處，進(jìn)行互聯(lián)網(wǎng)、氣象業(yè)務(wù)數(shù)據(jù)之間的交換，連接有互聯(lián)網(wǎng)隔離交換區(qū)、自治區(qū)氣象寬帶網(wǎng)區(qū)和安全管理區(qū)，網(wǎng)絡(luò)內(nèi)部建設(shè)的氣象數(shù)據(jù)環(huán)境可以完成氣象信息的收集、處理、存儲(chǔ)、分發(fā)。氣象數(shù)據(jù)中心通過互聯(lián)網(wǎng)DMZ區(qū)及氣象寬帶網(wǎng)區(qū)收集綜合觀測(cè)系統(tǒng)中地面區(qū)域自動(dòng)站的氣象數(shù)據(jù)，通過內(nèi)網(wǎng)業(yè)務(wù)區(qū)內(nèi)部局域網(wǎng)絡(luò)提供給氣象臺(tái)和氣象服務(wù)中心，保障預(yù)報(bào)預(yù)測(cè)系統(tǒng)、氣象服務(wù)系統(tǒng)的數(shù)據(jù)來源，同時(shí)經(jīng)過自治區(qū)級(jí)氣象寬帶網(wǎng)提供給盟市級(jí)氣象信息系統(tǒng)完成當(dāng)?shù)貧庀箢A(yù)報(bào)產(chǎn)品制作。

隔離交換區(qū)建立在內(nèi)網(wǎng)業(yè)務(wù)區(qū)與外部網(wǎng)絡(luò)之間，進(jìn)行內(nèi)外部數(shù)據(jù)中轉(zhuǎn)交換。外部網(wǎng)絡(luò)接入主要包括各運(yùn)營(yíng)商的互聯(lián)網(wǎng)專線，根據(jù)外網(wǎng)業(yè)務(wù)接入的性質(zhì)和風(fēng)險(xiǎn)，互聯(lián)網(wǎng)交換區(qū)提供基于TCP/UDP類型的端口流量接入，同時(shí)提供SSL-VPN通道加密通訊協(xié)議的流量接入，氣象數(shù)據(jù)環(huán)境經(jīng)隔離區(qū)與互聯(lián)網(wǎng)進(jìn)行單向數(shù)據(jù)交換，為行業(yè)專項(xiàng)服務(wù)提供數(shù)據(jù)支撐。

安全管理區(qū)通過網(wǎng)絡(luò)線路旁路接入到核心網(wǎng)絡(luò)區(qū)域，實(shí)現(xiàn)辦公區(qū)到業(yè)務(wù)區(qū)的訪問控制、管理，對(duì)核心網(wǎng)絡(luò)區(qū)內(nèi)部的日志信息和數(shù)據(jù)庫(kù)進(jìn)行審計(jì)，并且對(duì)網(wǎng)絡(luò)環(huán)境內(nèi)部的服務(wù)器及終端設(shè)備進(jìn)行病毒防護(hù)與漏洞修復(fù)。

自治區(qū)氣象寬帶網(wǎng)區(qū)建立在內(nèi)網(wǎng)業(yè)務(wù)區(qū)與盟市網(wǎng)絡(luò)區(qū)域之間，進(jìn)行氣象業(yè)務(wù)數(shù)據(jù)之間的交換，到盟市網(wǎng)絡(luò)安全區(qū)之間建設(shè)有網(wǎng)絡(luò)安全防護(hù)設(shè)備，實(shí)現(xiàn)盟市到自治區(qū)氣象數(shù)據(jù)的訪問控制，流量監(jiān)視。

2.1 網(wǎng)絡(luò)邊界防御

針對(duì)目前氣象內(nèi)網(wǎng)的邊界的復(fù)雜形勢(shì)，省級(jí)氣象內(nèi)網(wǎng)在氣象內(nèi)網(wǎng)與外部運(yùn)營(yíng)商互聯(lián)網(wǎng)、電子政務(wù)網(wǎng)、行業(yè)專網(wǎng)、氣象業(yè)務(wù)寬帶網(wǎng)之間根據(jù)業(yè)務(wù)特性部署防火墻，對(duì)其中路由及訪問策略進(jìn)行嚴(yán)格管理控制，具體網(wǎng)絡(luò)拓?fù)湟妶D1。在互聯(lián)網(wǎng)鏈路上部署入侵監(jiān)測(cè)與入侵防御設(shè)備。部分氣象業(yè)務(wù)需要開放到互聯(lián)網(wǎng)的端口在防火墻上進(jìn)行端口轉(zhuǎn)換，使用特殊端口保障氣象服務(wù)不受外部網(wǎng)絡(luò)掃描并關(guān)閉關(guān)于業(yè)務(wù)服務(wù)器的ICMP協(xié)議訪問。在外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)主機(jī)過程中利用堡壘機(jī)實(shí)現(xiàn)用戶的訪問審計(jì)，在網(wǎng)絡(luò)流量監(jiān)測(cè)過程中，內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間引入網(wǎng)絡(luò)安全態(tài)勢(shì)感知設(shè)備，將全部訪問流量鏡像到態(tài)勢(shì)感知設(shè)備中，利用病毒規(guī)則庫(kù)對(duì)流量進(jìn)行分析，分析結(jié)果中包含有風(fēng)險(xiǎn)的主機(jī)，需要對(duì)主機(jī)所在單位進(jìn)行通報(bào)、整改。在辦公區(qū)與業(yè)務(wù)區(qū)之間部署網(wǎng)絡(luò)設(shè)備進(jìn)行對(duì)內(nèi)外網(wǎng)絡(luò)之間的邏輯隔離，從根本上防止外部網(wǎng)絡(luò)進(jìn)入到內(nèi)網(wǎng)[2]。

2.2 服務(wù)器及終端防護(hù)措施

對(duì)于安裝有windows服務(wù)器或者終端，按照服務(wù)器檢測(cè)技術(shù)規(guī)范，對(duì)其中的登錄日志、登錄賬號(hào)密碼安全等級(jí)、可疑日志、可疑進(jìn)程、系統(tǒng)服務(wù)、共享目錄等項(xiàng)目進(jìn)行檢查。引入市場(chǎng)上主流的殺毒軟件，內(nèi)網(wǎng)中部署殺毒軟件控制中心對(duì)安裝有殺軟的系統(tǒng)定期進(jìn)行自動(dòng)殺毒，登記部門內(nèi)使用殺毒軟件的人數(shù)信息，推進(jìn)終端殺毒軟件的安裝部署。對(duì)網(wǎng)信辦發(fā)布的網(wǎng)絡(luò)漏洞，及時(shí)安裝相應(yīng)的補(bǔ)丁軟件，關(guān)閉風(fēng)險(xiǎn)端口，開啟防火墻。定期采集終端的殺毒日志進(jìn)行分析，對(duì)殺毒軟件無法查殺的挖礦病毒及CC通信風(fēng)險(xiǎn)，參考態(tài)勢(shì)感知系統(tǒng)的流量分析報(bào)告進(jìn)行病毒查找，檢查服務(wù)器系統(tǒng)計(jì)劃任務(wù)中可疑的任務(wù)，保證服務(wù)器遠(yuǎn)離挖礦病毒的影響。

2.3 部署遠(yuǎn)程訪問設(shè)備

在互聯(lián)網(wǎng)DMZ區(qū)域部署SSL-VPN設(shè)備，SSL-VPN設(shè)備使用專用加密通訊協(xié)議，部署于DMZ區(qū)域?qū)?nèi)網(wǎng)絡(luò)訪問相對(duì)較安全，氣象部門外部訪問氣象內(nèi)網(wǎng)時(shí)需要首先登陸SSL-VPN設(shè)備，通過VPN打通外部到內(nèi)網(wǎng)的網(wǎng)絡(luò)通道，期間網(wǎng)絡(luò)行為通過與上網(wǎng)行為管理設(shè)備和態(tài)勢(shì)感知設(shè)備聯(lián)動(dòng)實(shí)現(xiàn)遠(yuǎn)程訪問的實(shí)時(shí)監(jiān)控，VPN用戶訪問內(nèi)網(wǎng)拓?fù)淙鐖D2所示。

圖1：邊界防護(hù)拓?fù)?/p>

圖2：VPN用戶訪問內(nèi)網(wǎng)拓?fù)?/p>

使用VPN設(shè)備時(shí)，需要向領(lǐng)導(dǎo)部門進(jìn)行申請(qǐng)，待批復(fù)后獲得離線安裝包及登錄用戶名密碼，整個(gè)過程需在互聯(lián)網(wǎng)外完成，避免信息泄露。在互聯(lián)網(wǎng)出口部署的遠(yuǎn)程VPN服務(wù)需提供內(nèi)部人員遠(yuǎn)程訪問，采用USB-key認(rèn)證，限制訪問指定應(yīng)用，對(duì)訪問全程進(jìn)行審計(jì)記錄，對(duì)VPN客戶端設(shè)備進(jìn)行安全檢測(cè)，對(duì)登錄、訪問行為進(jìn)行異常分析與檢測(cè)。

2.4 網(wǎng)絡(luò)安全管理制度

人員管理方面：與重要崗位人員全部簽訂安全保密協(xié)議、《信息中心計(jì)算機(jī)系統(tǒng)信息網(wǎng)絡(luò)安全責(zé)任書》、《安全生產(chǎn)和社會(huì)治安綜合治理工作責(zé)任書》，完善了《人員離職離崗安全規(guī)定》、《外部人員訪問機(jī)房等重要區(qū)域?qū)徟怼贰?/p>

資產(chǎn)管理方面：嚴(yán)格落實(shí)資產(chǎn)管理相關(guān)制度，定期開展固定資產(chǎn)盤點(diǎn)工作。單位已配備了與行政事業(yè)單位資產(chǎn)管理信息系統(tǒng)相匹配的條碼打印機(jī)和條碼數(shù)據(jù)采集器，現(xiàn)正在開展資產(chǎn)盤點(diǎn)工作，從系統(tǒng)中打印出條碼粘貼到實(shí)物資產(chǎn)上。資產(chǎn)盤點(diǎn)人員由專門、資產(chǎn)使用科室派員組成，接受中心紀(jì)檢人員對(duì)資產(chǎn)盤點(diǎn)全過程的監(jiān)督，待盤點(diǎn)結(jié)束后形成固定資產(chǎn)盤點(diǎn)報(bào)告，并按要求歸檔。

數(shù)據(jù)、介質(zhì)管理方面：建立了氣象數(shù)據(jù)共享接口應(yīng)急切換備份省氣象共享數(shù)據(jù)環(huán)境機(jī)制，為汛期實(shí)時(shí)業(yè)務(wù)運(yùn)行保障、重大氣象活動(dòng)保障提供穩(wěn)定的數(shù)據(jù)服務(wù)；單位在電子政務(wù)云上備份氣象數(shù)據(jù)庫(kù)部分?jǐn)?shù)據(jù)。

網(wǎng)絡(luò)安全值班防護(hù)：完善部門內(nèi)部的網(wǎng)絡(luò)安全值班制度的制定與更新，定期對(duì)網(wǎng)絡(luò)安全環(huán)境進(jìn)行自查，找出不滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告中的技術(shù)漏洞、口令強(qiáng)度等問題，集中整改出現(xiàn)的問題并定期到公安機(jī)關(guān)對(duì)二級(jí)以上等級(jí)保護(hù)系統(tǒng)進(jìn)行備案。應(yīng)對(duì)重大活動(dòng)的網(wǎng)絡(luò)安全保障時(shí)，制定部門內(nèi)部的網(wǎng)絡(luò)安全應(yīng)急預(yù)案，出現(xiàn)網(wǎng)絡(luò)安全事件時(shí)，按照應(yīng)急預(yù)案中提到的等級(jí)分類，對(duì)網(wǎng)絡(luò)安全事件進(jìn)行處理并向上級(jí)機(jī)關(guān)進(jìn)行報(bào)備。定期組織網(wǎng)絡(luò)安全講堂，填補(bǔ)部門人員對(duì)于網(wǎng)絡(luò)安全的空缺，提高網(wǎng)絡(luò)安全知識(shí)的普及，對(duì)經(jīng)期出現(xiàn)的網(wǎng)絡(luò)安全事件進(jìn)行講解，提高公眾對(duì)于網(wǎng)絡(luò)安全的認(rèn)知與信息安全的防護(hù)意識(shí)[3]。

3 結(jié)語(yǔ)

覆蓋全球的Internet，以其自身協(xié)議的開放性方便了各種計(jì)算機(jī)網(wǎng)絡(luò)的入網(wǎng)互連，極大地拓寬了共享資源。但是，由于早期網(wǎng)絡(luò)協(xié)議對(duì)安全問題的忽視，以及在使用和管理上的無序狀態(tài)，網(wǎng)絡(luò)安全受到嚴(yán)重威脅，安全事故屢有發(fā)生。從目前來看，網(wǎng)絡(luò)安全的狀況仍令人擔(dān)憂，從技術(shù)到管理都處于落后、被動(dòng)局面。近年來，我國(guó)互聯(lián)網(wǎng)蓬勃發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)用水平不斷提高，成為推動(dòng)經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步的巨大力量。與此同時(shí)，氣象網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展過程中也出現(xiàn)了許多新情況、新問題、新挑戰(zhàn)，尤其是當(dāng)前網(wǎng)絡(luò)立法系統(tǒng)性不強(qiáng)、及時(shí)性不夠和立法規(guī)格不高，物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新技術(shù)新應(yīng)用、數(shù)據(jù)和用戶信息泄露等的網(wǎng)絡(luò)安全問題日益突出。每一位公民都需要有網(wǎng)絡(luò)安全防御意識(shí)，從個(gè)人角度到部門角度，網(wǎng)絡(luò)范圍在不斷擴(kuò)大，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也在不斷增加，隱藏的網(wǎng)絡(luò)安全邊界防護(hù)不到位將會(huì)使整個(gè)網(wǎng)絡(luò)的防御一招不勝，滿盤皆輸，當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時(shí)再進(jìn)行防護(hù)措施，為時(shí)已晚，因此做好網(wǎng)絡(luò)安全防護(hù)工作至關(guān)重要。