貴州省黔南布依族苗族自治州氣象局 黃笞 李波 汪華 曹華

隨著信息技術的持續(xù)快速發(fā)展，網(wǎng)絡安全形勢愈發(fā)嚴峻，大規(guī)模網(wǎng)絡攻擊和惡意風險持續(xù)爆發(fā)。2017 年6 月1 日《中華人民共和國網(wǎng)絡安全法》（以下簡稱“網(wǎng)絡安全法”）正式實施，將網(wǎng)絡安全問題提到了前所未有的高度。

筆者單位作為氣象行業(yè)單位，在信息系統(tǒng)安全工作方面，在較長的時期內(nèi)，基本滿足了氣象信息業(yè)務的發(fā)展需要，保障了氣象業(yè)務的穩(wěn)定運行。

但嚴峻的內(nèi)外部網(wǎng)絡安全形勢和新技術的不斷發(fā)展，使得現(xiàn)有的安全管理模式和技術防護能力已經(jīng)無法滿足不斷增長的業(yè)務需求，信息安全工作暴露出諸多問題。

安全現(xiàn)狀

2015 年，貴州省氣象部門確定了以氣象信息化為抓手、后發(fā)趕超、加快實現(xiàn)氣象現(xiàn)代化的目標。結(jié)合貴州氣象事業(yè)發(fā)展實際，加強頂層設計和統(tǒng)籌協(xié)調(diào)，以需求為導向，以創(chuàng)新為動力，以數(shù)據(jù)為核心，以安全為保障，在基礎設施云平臺、氣象大數(shù)據(jù)云平臺建設及大數(shù)據(jù)創(chuàng)新應用等方面取得了長足進步。

省級行業(yè)區(qū)、服務器區(qū)、專網(wǎng)區(qū)均部署了防火墻進行防護和過濾；互聯(lián)網(wǎng)DMZ 區(qū)部署了入侵防御、上網(wǎng)行為管理、SSLVPN、安全準入、防火墻等安全設備。

但安全設備和防護軟件大部分是2010 年以前建設的，設備故障頻發(fā)，部分設備已經(jīng)停產(chǎn)，獲得技術支持困難。2018 年更新省級安全運維防護設備，通過超融合架構構建互聯(lián)網(wǎng)區(qū)安全資源池防護區(qū)，互聯(lián)網(wǎng)區(qū)安全資源池采取三物理節(jié)點集群內(nèi)部署冗余虛擬化安全組件的高可用架構（包含VAC*2、VAF*2、VSSL*2），避免了原有AC、AF、SSLVPN 單物理設備面對不斷提升的網(wǎng)絡帶寬所導致的硬件性能瓶頸及可能會帶來的斷路風險。同時在核心交換區(qū)鏡像旁掛了數(shù)據(jù)庫防火墻安全審計設備，對整網(wǎng)數(shù)據(jù)庫的訪問進行實時監(jiān)控、審計及告警。

市州級作為重要的廣域網(wǎng)接入二級匯聚節(jié)點，在信息安全體系建設中非常重要，但安全設備和防護能力一直不足?；ヂ?lián)網(wǎng)訪問區(qū)部署了傳統(tǒng)防火墻一類的安全防護設備，防護規(guī)則和策略不統(tǒng)一，廣域網(wǎng)邊界基本沒有有效的安全防護設備，部分市州采用了業(yè)務網(wǎng)和互聯(lián)網(wǎng)隔離的方式避免了業(yè)務網(wǎng)受到來自互聯(lián)網(wǎng)的安全威脅，但業(yè)務網(wǎng)內(nèi)部的失陷主機和受帶惡意病毒存儲設備感染終端的各類安全攻擊事件屢禁不止，均不同程度存在通過互聯(lián)網(wǎng)提供氣象服務而暴露信息安全薄弱點的情況，安全隱患大，信息安全防范意識不足，網(wǎng)絡安全防護手段缺失。

區(qū)縣安全體系建設主要關注點在廣域網(wǎng)的縣級接入點，部分區(qū)縣在建設過程中基本依賴于運營商提供的初級防護能力。在近兩年區(qū)縣調(diào)研中發(fā)現(xiàn)部分臺站業(yè)務平臺上分別接入了兩個運營商的互聯(lián)網(wǎng)線路、政務外網(wǎng)，線路走向混亂、區(qū)域劃分不清晰的問題普遍存在。部分區(qū)縣還存在通過互聯(lián)網(wǎng)提供氣象服務的需求，是安全防護的薄弱環(huán)節(jié)。區(qū)縣級的安全防護主要在氣象廣域網(wǎng)的接入端，通過省局部署的終端認證系統(tǒng)確認用戶身份，通過廣域網(wǎng)邊界的防火墻提供接入內(nèi)網(wǎng)的安全防護。

問題分析

全省各級氣象部門一直以來按照網(wǎng)絡安全等級保護要求各自開展網(wǎng)絡安全建設，但缺乏統(tǒng)籌考慮，各自為戰(zhàn)，在信息系統(tǒng)孤島基礎上形成安全孤島，難以共享和協(xié)同。同時市州縣分別都存在互聯(lián)網(wǎng)訪問出口，致使信息安全的防御戰(zhàn)線長，市州縣級安全措施部署和運維困難，安全防護不均衡，防護短板大量存在，整體防御能力處于較低水平。全省的信息安全基本依賴省級信息部門的規(guī)劃和部署，星型的網(wǎng)絡結(jié)構導致延展性的技術支撐很困難，防護的智能化程度不夠，技術監(jiān)管能力不足，使得信息安全工作難以落到實處。部分單位在系統(tǒng)設計、建設與運行管理方面不重視網(wǎng)絡安全，系統(tǒng)安全功能缺失、漏洞大量存在。

由于建設的不統(tǒng)一性，導致在基礎設施建設時信息安全設備類型多樣，品牌各異，基本上均為獨立運行設備，單一設備受限于設備類型、部署位置等，監(jiān)測分析能力有限，對氣象信息網(wǎng)絡整體網(wǎng)絡安全缺乏有效的監(jiān)測手段，面對潛在的安全風險處于被動局面。

各單位都設置了安全管理崗位，但一般職責均不限于信息安全方面，專業(yè)背景知識匱乏，系統(tǒng)培訓不足，導致出現(xiàn)信息網(wǎng)絡安全事件時應對處置能力不足。

安全體系構建思路

對市州縣級人員運維能力的調(diào)研發(fā)現(xiàn)，縣級基本不具備專業(yè)的IT 運維能力，但作為氣象廣域網(wǎng)的終端節(jié)點，要求業(yè)務人員具備基本的網(wǎng)絡運維能力，因此首先要組織并加強對網(wǎng)絡運維能力的培訓，提升基層人員對網(wǎng)絡故障初步判斷的能力。

省以下氣象信息化建設的重點應該要改變傳統(tǒng)“國家-省-市-縣”四級布局，業(yè)務系統(tǒng)建設要大幅度收縮節(jié)點，業(yè)務和數(shù)據(jù)存儲務必向省級匯聚，提倡集約建設，停建零散孤立的市州、縣級數(shù)據(jù)存儲系統(tǒng)，基層業(yè)務應用統(tǒng)一使用省級提供的數(shù)據(jù)環(huán)境，逐步實現(xiàn)“兩級布局、多級應用”，避免存儲系統(tǒng)和業(yè)務系統(tǒng)的復雜運維給市縣級業(yè)務人員造成壓力。

大幅度提升省-市-縣三級的網(wǎng)絡帶寬，去除數(shù)據(jù)訪問和資源使用的帶寬瓶頸，不同時空和地域均可實現(xiàn)可靠、穩(wěn)定、高速的訪問，同時省級要規(guī)模化應用服務器虛擬化、分布式存儲、分布式計算、分布式安全資源池等技術，構建基于云服務的基礎設施資源池和安全資源池，實現(xiàn)統(tǒng)一規(guī)劃管理、降低多級運維費用，強化多維度信息綜合分析。

市縣級作為一個獨立的網(wǎng)絡節(jié)點，往往具備多個網(wǎng)絡出口，并且具有獨立的互聯(lián)網(wǎng)接口，因此需要在氣象廣域網(wǎng)的入口端設置更為嚴格的準入策略，有條件的單位部署相應的安全防護設備，保障全網(wǎng)的安全，同時需要精簡縣級業(yè)務，采取關鍵業(yè)務與互聯(lián)網(wǎng)物理隔離、備份關鍵節(jié)點的方式確保節(jié)點的信息安全，要加強對縣級業(yè)務人員的信息安全意識的培訓，防微杜漸，另外還應該制定細致并可落地的信息安全的管理制度，樹立信息安全從點滴做起，信息安全從自身做起的意識，保障市縣兩級的業(yè)務安全。

結(jié)論

針對當前信息網(wǎng)絡存在的安全隱患，急需根據(jù)分區(qū)分域防護的原則，按照一個中心三重防護的思想，規(guī)劃建設完善的信息系統(tǒng)安全縱深防御保障體系。安全保障主體是業(yè)務系統(tǒng)，安全縱深保障框架中所有安全控制都應以安全方針、策略做為安全工作的指導與依據(jù)，落實安全管理和安全技術兩大維度的具體實施與維護，以業(yè)務系統(tǒng)的安全運營為信息安全保障建設的核心，并輔以安全評估與安全培訓貫穿信息安全保障體系的全過程，形成風險可控的安全縱深保障框架體系。構建覆蓋省-市-縣三級的信息安全體系，建設基于全局視角的安全感知平臺，結(jié)合威脅情報、行為分析建模、UEBA、失陷主機檢測、圖關聯(lián)分析、機器學習、大數(shù)據(jù)關聯(lián)分析、可視化平臺等技術，實現(xiàn)全網(wǎng)應用可視化，業(yè)務可視化，攻擊與可疑流量可視化，解決安全黑洞與安全洼地的問題。

在完善全省互聯(lián)網(wǎng)統(tǒng)一出口管控“一張網(wǎng)”的同時，應避免市、縣自有信息系統(tǒng)基礎硬件設施的重復投入，提升省級及市、縣級現(xiàn)有計算及存儲資源利用率，減少信息系統(tǒng)分布式存儲架構投入?？紤]通過統(tǒng)一管理統(tǒng)一發(fā)布的方式實現(xiàn)動態(tài)防護，解決市州級和區(qū)縣級沒有專業(yè)運維人員的問題?，F(xiàn)階段安全領域采用的基于同一硬件架構提供的融合防護方案是較好的解決方式，可減少傳統(tǒng)安全防護設備的重復投入、運維困難的問題，使得全網(wǎng)具有在統(tǒng)一安全策略管控下，最終達到整體信息安全保護與安全運行的目的。