林春艷　蔡敏　陳建云

摘 要：隨著信息技術的持續(xù)快速發(fā)展，網(wǎng)絡安全形勢愈發(fā)嚴峻，大規(guī)模網(wǎng)絡攻擊和惡意風險持續(xù)爆發(fā)。棱鏡門信息泄密事件，將網(wǎng)絡安全演變成為大國角力戰(zhàn)場;勒索病毒席卷全球重創(chuàng)我國多個重要部門，網(wǎng)絡安全問題逐漸被相關部門重視，尤其與人類生活密切相關的氣象信息。本文從網(wǎng)絡安全建設的必要性入題，分析了福州市氣象網(wǎng)絡安全系統(tǒng)和安全設計部署系統(tǒng)，確保氣象業(yè)務的安全穩(wěn)定運行和氣象數(shù)據(jù)的安全共享，對維護氣象網(wǎng)絡安全具有建設性意義。

關鍵詞：網(wǎng)絡安全;氣象信息;氣象業(yè)務

1 概述

氣象部門是關系國計民生的重要基礎性部門，隨著氣象現(xiàn)代化的高速發(fā)展，氣象信息化的急速推進，對氣象信息網(wǎng)絡安全提出了更高要求，迫切需要強化氣象信息網(wǎng)絡安全頂層設計，逐步縮短與安全標桿企業(yè)信息網(wǎng)絡安全管理、技術等的差距，逐步完善網(wǎng)絡安全、數(shù)據(jù)中心安全等信息安全系統(tǒng)建設，提升氣象行業(yè)整體網(wǎng)絡安全體系的防護能力。

隨著氣象業(yè)務的不斷擴展，對氣象服務產(chǎn)品一體化及氣象信息共享等服務需求也日益增加，從而對業(yè)務數(shù)據(jù)量的處理和傳輸性能等要求也相應提高，同時也增加了數(shù)據(jù)傳輸過程中的風險，氣象信息也將面臨多重的安全威脅，因此，要確保網(wǎng)絡操作系統(tǒng)和集群文件系統(tǒng)的安全可靠，需要構建完整的安全防護體系，切實保證信息系統(tǒng)的長期安全穩(wěn)定運行，必須加強網(wǎng)絡漏洞管理、網(wǎng)絡審計系統(tǒng)以及防入侵系統(tǒng)等全面安全系統(tǒng)設備的設計與構建，建立全方位、多層次的網(wǎng)絡安全防護系統(tǒng)，提高氣象網(wǎng)絡安全服務性能，保障通訊安全和暢通，保證氣象信息傳輸、交換和共享數(shù)據(jù)的效率及完整性和有效性。

2 福州市氣象信息網(wǎng)絡安全現(xiàn)狀

福州市氣象信息網(wǎng)絡與裝備保障中心作為市級主要信息網(wǎng)絡運行單位，多年來不斷加強福州市信息網(wǎng)絡安全技術防護建設，建立了分區(qū)域縱深的技術防護體系，部署了完善的邊界隔離和訪問控制措施，主要網(wǎng)絡出口邊界部署各類入侵檢測、WEB防護等設施，防御病毒及惡意攻擊的能力不斷提升，終端安全管理不斷推廣，安全審計能力逐步完善，具備了一定的安全防護能力。

福州市氣象信息系統(tǒng)安全工作在較長的時期內(nèi)，基本滿足了氣象信息業(yè)務的發(fā)展需要，保障了氣象業(yè)務的穩(wěn)定運行。但是，嚴峻的內(nèi)外部網(wǎng)絡安全形勢和新技術的不斷發(fā)展，勒索病毒席卷全球重創(chuàng)我國多個重要部門，網(wǎng)絡安全問題逐漸被相關部門重視，尤其與人類生活密切相關的氣象信息，信息安全工作暴露出諸多問題。

3 氣象信息網(wǎng)絡安全防御體系建設分析

技術概述。安全域是將所有相同安全等級、具有相同安全需求的計算機劃入同一網(wǎng)段內(nèi)，在網(wǎng)段的邊界處進行訪問控制。

3.1 縱向網(wǎng)接入?yún)^(qū)

提供縱向網(wǎng)絡的接入，通過國家、省市縣四級廣域網(wǎng)組成氣象專網(wǎng)，提供縱向網(wǎng)絡資源共享通道。

3.2 internet訪問區(qū)

在互聯(lián)網(wǎng)上部署防火墻、上網(wǎng)行為管理以及IPS（入侵防御檢測）。

3.3 核心數(shù)據(jù)交換區(qū)

負責氣象信息數(shù)據(jù)報文核心轉(zhuǎn)發(fā)。

3.4 業(yè)務服務器區(qū)

部門內(nèi)部辦公系統(tǒng)及業(yè)務平臺相關服務器均部署在該區(qū)域。屬于業(yè)務系統(tǒng)的核心，也是安全防護的主要區(qū)塊。

3.5 終端接入?yún)^(qū)

提供辦公系統(tǒng)和業(yè)務系統(tǒng)終端設備的接入。

4 福州市氣象信息網(wǎng)絡安全建設

針對福州市氣象局目前面臨的安全方面保障，在我局氣象專網(wǎng)上部署了兩臺防火墻，在每臺專網(wǎng)機子上安裝正版的殺毒軟件，加強防病毒能力，并且在氣象專網(wǎng)部署了網(wǎng)絡準入控制系統(tǒng)以致做到內(nèi)網(wǎng)終端接入管理及非法外聯(lián)控制;在政務網(wǎng)上，部署了一臺防火墻;智網(wǎng)上部署了邊界防護系統(tǒng)?；ヂ?lián)網(wǎng)上，通過網(wǎng)御開放單向ftp協(xié)議端口來讀取數(shù)據(jù)庫服務器上的數(shù)據(jù)，專網(wǎng)與互聯(lián)網(wǎng)進行了物理上的隔離，保證了專網(wǎng)的數(shù)據(jù)安全。在互聯(lián)網(wǎng)上部署了IPS（入侵防御檢測系統(tǒng)）以及堡壘機，局里互聯(lián)網(wǎng)上部署了上網(wǎng)行為管理：每臺機子MAC地址與IP地址綁定，每個用戶對應于一個賬號。

4.1 安全技術體系

圍繞信息系統(tǒng)的安全防護已經(jīng)形成了眾多安全技術，通過綜合采用多種技術和部署安全產(chǎn)品，建立完善的安全檢測與審計機制，邊界防護機制，應用冗余機制，建立一個縱深安全防護體系。

4.1.1 防火墻

防火墻安裝在被保護的內(nèi)部網(wǎng)絡與外部網(wǎng)絡的連結(jié)點上，用于保護網(wǎng)絡邊界安全的主要手段之一，根據(jù)建立正確的網(wǎng)絡訪問策略和過濾規(guī)則列表，來鑒別哪些內(nèi)部服務允許（禁止）外部訪問，哪些外部服務允許（禁止）內(nèi)部訪問，或其他特定活動，被認為是一種訪問控制機制。防火墻技術是遏制攻擊技術之一，保護離開安全域的信息的安全，同時防止來自外部的攻擊和非法接入，從而實現(xiàn)保護內(nèi)部網(wǎng)絡的目的。在局里氣象專網(wǎng)上部署兩臺防火墻，作為互為備份之勢，在互聯(lián)網(wǎng)上部署了安全路由器及一臺防火墻，需要再部署一臺安全路由器作為備份之勢。

4.1.2 漏洞掃描

在我局的氣象專網(wǎng)上部署了一臺漏洞掃描設備，網(wǎng)絡管理員通過掃描等手段對指定的遠程目標主機或本地計算機系統(tǒng)進行網(wǎng)絡安全檢測，了解目標主機網(wǎng)絡安全設置和運行環(huán)境，及時發(fā)現(xiàn)可利用漏洞，并對其掃描結(jié)果進行評估和漏洞的修復。起到了主動防范的作用，有效地避免黑客攻擊行為，進一步保障系統(tǒng)網(wǎng)絡環(huán)境安全。

4.1.3 入侵檢測

在氣象專網(wǎng)中心交換機上部署網(wǎng)絡入侵檢測系統(tǒng)，基于核心交換機端口的鏡像流量進行網(wǎng)絡行為的分析，進行實時監(jiān)測網(wǎng)絡攻擊行為，若入侵檢測系統(tǒng)檢測到異常時，則產(chǎn)生報警信息，同時入侵檢測系統(tǒng)與防火墻實現(xiàn)聯(lián)動，入侵檢測系統(tǒng)將通知防火墻實施訪問阻斷，保證整個信息系統(tǒng)的數(shù)據(jù)信息安全。

4.1.4 網(wǎng)絡隔離

在福州市氣象專網(wǎng)與因特網(wǎng)的接口處部署一臺安全交互系統(tǒng)設備，用來內(nèi)外網(wǎng)交互。

4.1.5 防病毒

在氣象專網(wǎng)部署網(wǎng)絡威脅發(fā)現(xiàn)設備，在內(nèi)網(wǎng)客戶端全面部署防病毒客戶端，從而實現(xiàn)檢測發(fā)現(xiàn)網(wǎng)絡流量中病毒、木馬、間諜等入侵行為，定位存在威脅的計算機，追蹤入侵者，監(jiān)控網(wǎng)絡安全問題。通過病毒防護中心實現(xiàn)全局全網(wǎng)殺毒防護統(tǒng)一更新、病毒預警和集中管理，實現(xiàn)對重要信息系統(tǒng)掃描監(jiān)控，包括文件監(jiān)控、郵件監(jiān)控。為全網(wǎng)建立了穩(wěn)定、安全、全自動的防病毒體系。

4.1.6 準入管理系統(tǒng)

在氣象專網(wǎng)部署準入管理系統(tǒng)，根據(jù)管理系統(tǒng)的準入行為和準入策略，對用戶身份及接入終端信息進行認證，實時監(jiān)測接入設備的可靠性及安全性，禁止接入違規(guī)或未經(jīng)授權的終端設備，實現(xiàn)了對終端設備全面管理。

4.1.7 上網(wǎng)行為管理

在福州市氣象局互聯(lián)網(wǎng)上部署了一臺上網(wǎng)行為管理設備，滿足網(wǎng)絡行為監(jiān)控、控制和管理需要，每臺機子MAC地址與IP地址綁定，每個用戶對應于一個賬號。有效防止有人非法接入并使用可以上網(wǎng)的網(wǎng)絡設備，以及解決私自修改IP地址造成IP沖突的問題。上網(wǎng)行為管理設備提供對互聯(lián)網(wǎng)的用戶進行檢測、過濾不良信息或敏感文字的功能，并提供上網(wǎng)內(nèi)容記錄和內(nèi)容審查的功能，以規(guī)范上網(wǎng)行為，消除網(wǎng)絡接入所面臨的潛在法律風險。

4.1.8 堡壘機

針對業(yè)務環(huán)境下的運維操作進行控制和審計的合規(guī)性管控系統(tǒng)，在我局部署了一臺堡壘機，加強局里對業(yè)務操作行為監(jiān)管、避免核心資產(chǎn)（服務器、網(wǎng)絡設備、安全設備等）損失、保障業(yè)務系統(tǒng)的正常運營。

4.1.9 日志服務器

將氣象專網(wǎng)上的防火墻、網(wǎng)閘，互聯(lián)網(wǎng)防火墻、網(wǎng)閘，上網(wǎng)行為管理等日志發(fā)送到日志服務器，通過日志檢查及深入分析保存日志，可以識別出系統(tǒng)的運作問題，并提供有用信息，從而解決問題;還可檢驗信息系統(tǒng)安全機制的有效性。

4.2 安全技術聯(lián)動

在福州市氣象專網(wǎng)及氣象互聯(lián)網(wǎng)中采用入侵檢測系統(tǒng)，組建一套完整的主動防御體系，目前是采用混合入侵檢測，在氣象專網(wǎng)中同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)。

由漏洞掃描、入侵檢測、防火墻、殺毒軟件、堡壘機構成縱深安全防護體系。漏洞掃描、防火墻、和入侵檢測三者緊密結(jié)合，實現(xiàn)防御聯(lián)動，有效增強了系統(tǒng)的安全防御能力。

4.2.1 入侵檢測系統(tǒng)與漏洞掃描聯(lián)動

通過漏洞掃描與網(wǎng)絡入侵檢測系統(tǒng)的聯(lián)動，系統(tǒng)定期對氣象專網(wǎng)中的漏洞進行掃描，根據(jù)掃描出來的報告對氣象專網(wǎng)中存在的安全漏洞及時進行打補丁修復，再將結(jié)果發(fā)送到入侵檢測，入侵檢測系統(tǒng)將模式庫中與已得到修復的安全漏洞相對應的攻擊特征進行刪除。

4.2.2 防火墻與入侵檢測系統(tǒng)聯(lián)動技術

防火墻通過利用分布式入侵檢測系統(tǒng)及時的發(fā)出了做好的安全策略之外的入侵攻擊行為之外，入侵檢測系統(tǒng)通過防火墻阻斷來自外部網(wǎng)絡的攻擊行為，形成一個有效的安全保護機制，從而提高網(wǎng)絡的整體防御能力。

5 結(jié)語

氣象信息網(wǎng)絡是氣象業(yè)務工作的一個重要組成部分，它的任務是傳輸各類氣象信息和資料，滿足氣象預報、服務及科研工作的需要。是氣象工作的支撐與紐帶。氣象信息網(wǎng)絡安全防火體系的建設目的是提供一個安全性、穩(wěn)定性、保密性的工作網(wǎng)絡環(huán)境，更好地為氣象事業(yè)發(fā)展做出貢獻。

參考文獻：

[1]陳亮.省市級氣象信息安全系統(tǒng)建設探析.數(shù)字技術與應用，2016：193-194.

[2]吳燕.防火墻與入侵檢測系統(tǒng)聯(lián)動技術的分析與研究[J].數(shù)字技術與應用，2015（5）：182-183.

[3]張秀英，王祺，姚建麗.烏海市氣象信息網(wǎng)絡安全防護的設計與應用.內(nèi)蒙古氣象，2016（2）：46-48.

[4]官紅青，黃特理.玉溪市氣象局網(wǎng)絡安全系統(tǒng)的設計及實現(xiàn).信息技術與信息化，2015（01）.