遼寧氣象信息網(wǎng)絡(luò)安全建設(shè)

陳雨+任川+張?jiān)?/p>

摘要：隨著遼寧氣象信息網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)安全問(wèn)題對(duì)氣象業(yè)務(wù)和科研的影響越來(lái)越大。論文介紹了遼寧氣象信息網(wǎng)絡(luò)安全建設(shè)的基本方法和應(yīng)用技術(shù)，為信息網(wǎng)絡(luò)安全的建設(shè)與應(yīng)用提供了一定的參考。

關(guān)鍵詞：氣象信息；網(wǎng)絡(luò)安全；防護(hù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）02-0036-02

遼寧氣象信息網(wǎng)絡(luò)采用業(yè)務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離，業(yè)務(wù)網(wǎng)絡(luò)采用雙運(yùn)營(yíng)商MSTP專線傳輸線路。目前遼寧省已建成覆蓋省市縣三級(jí)氣象部門(mén)的氣象通信地面廣域網(wǎng)絡(luò)系統(tǒng)，省級(jí)至沈陽(yáng)市氣象局接入帶寬達(dá)100Mbps（雙鏈路），至大連市氣象局接入帶寬達(dá)50Mbps（雙鏈路），其他市級(jí)接入帶寬26Mbps（雙鏈路），縣級(jí)接入帶寬10Mbps；建成了帶寬20Mbps的移動(dòng)APN專線；新增視頻會(huì)商網(wǎng)絡(luò)作為備份網(wǎng)絡(luò)，市級(jí)接入帶寬8Mbps，縣級(jí)4Mbps。我省氣象通信地面廣域網(wǎng)絡(luò)系統(tǒng)部署有雙設(shè)備，省氣象局與各市局之間采用雙廣域網(wǎng)鏈路進(jìn)行互聯(lián)。

1 影響信息網(wǎng)絡(luò)的安全因素

1.1 物理風(fēng)險(xiǎn)

服務(wù)器運(yùn)行的物理安全環(huán)境是最容易被人所忽略的。物理風(fēng)險(xiǎn)主要是指服務(wù)器托管機(jī)房的設(shè)施狀況，包括通風(fēng)系統(tǒng)、電源系統(tǒng)、防雷防火系統(tǒng)以及機(jī)房的溫度、濕度條件等。這些因素會(huì)影響到服務(wù)器的壽命和所有數(shù)據(jù)的安全，例如發(fā)生火災(zāi)、水災(zāi)、地震和雷擊等自然災(zāi)害或斷電事故等。

1.2 防護(hù)風(fēng)險(xiǎn)

用戶的安全意識(shí)淡薄是防護(hù)不足的一個(gè)最主要的原因。很多用戶在計(jì)算機(jī)使用過(guò)程中確實(shí)防護(hù)措施，例如不安裝防火墻等防護(hù)軟件，不及時(shí)修復(fù)系統(tǒng)及軟件漏洞等，這些都會(huì)給病毒和木馬的網(wǎng)內(nèi)爆發(fā)和蔓延帶來(lái)隱患。

1.3 攻擊風(fēng)險(xiǎn)

攻擊風(fēng)險(xiǎn)包含病毒傳播和黑客攻擊兩個(gè)層面。計(jì)算機(jī)病毒具有傳染性、隱蔽性、破壞性、寄生性等特點(diǎn)，經(jīng)過(guò)網(wǎng)絡(luò)或優(yōu)盤(pán)傳播。單機(jī)感染尚且會(huì)給用戶帶來(lái)?yè)p失，一旦形成網(wǎng)絡(luò)蔓延，嚴(yán)重時(shí)會(huì)威脅整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。黑客利用網(wǎng)絡(luò)和系統(tǒng)的漏洞，通過(guò)植入木馬、病毒和隱藏指令等手段，控制用戶計(jì)算機(jī)和服務(wù)器，竊取信息和資料，篡改網(wǎng)站數(shù)據(jù)等，給網(wǎng)絡(luò)系統(tǒng)帶來(lái)極大危害。

1.4 網(wǎng)絡(luò)管理體系風(fēng)險(xiǎn)

未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規(guī)程，可能導(dǎo)致網(wǎng)絡(luò)管理體系存在疏漏，部分管理內(nèi)容無(wú)法有效實(shí)施，使相關(guān)工作過(guò)程缺乏規(guī)范依據(jù)和質(zhì)量保障，進(jìn)而影響到信息系統(tǒng)的安全建設(shè)和安全運(yùn)維。

實(shí)現(xiàn)網(wǎng)絡(luò)安全的過(guò)程是復(fù)雜的。這個(gè)復(fù)雜的過(guò)程需要嚴(yán)格有效的管理才能保證整個(gè)過(guò)程的有效性，才能保證安全控制措施有效地發(fā)揮其效能，從而確保實(shí)現(xiàn)預(yù)期的安全目標(biāo)。因此，建立網(wǎng)絡(luò)安全管理體系是網(wǎng)絡(luò)安全的核心。

2 遼寧氣象信息網(wǎng)絡(luò)安全建設(shè)

遼寧氣象信息網(wǎng)絡(luò)的安全建設(shè)是針對(duì)信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)建立起來(lái)的。

2.1 物理安全建設(shè)

遼寧氣象信息網(wǎng)絡(luò)外部線路采用雙鏈路、雙設(shè)備；雙運(yùn)營(yíng)商、雙方向接入建設(shè)方針，不同運(yùn)營(yíng)商互為備份，利用不同線路管道接入中心機(jī)房，外線影響大為降低，近幾年偶爾有單線斷路情況，都未影響到實(shí)際應(yīng)用。中心機(jī)房采取樓層全封閉，有效隔離自然環(huán)境影響，機(jī)房?jī)?nèi)按業(yè)務(wù)分區(qū)劃分小機(jī)房，降低人員出入給機(jī)房環(huán)境帶來(lái)的影響。機(jī)房?jī)?nèi)完全隔離水，采用稀有氣體滅火器。柴油發(fā)電機(jī)和大功率UPS設(shè)備，可有效保證設(shè)備在斷電情況下平穩(wěn)運(yùn)行3至8小時(shí)。安排值班人員7*24小時(shí)監(jiān)控，每日4次的巡視和開(kāi)發(fā)的實(shí)時(shí)監(jiān)控平臺(tái)，可以有效降低物理安全隱患。

2.2 遼寧氣象信息網(wǎng)絡(luò)防護(hù)系統(tǒng)

（1） 合理的網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃

遼寧氣象信息網(wǎng)絡(luò)采用雙冗余設(shè)備架構(gòu)，主備設(shè)備之間設(shè)置心跳線相連，經(jīng)實(shí)際測(cè)試，主備設(shè)備的自動(dòng)切換時(shí)間小于5秒。信息網(wǎng)絡(luò)為不同的業(yè)務(wù)部門(mén)劃分VLAN，有效防止廣播風(fēng)暴。在樓層設(shè)備間設(shè)置樓層匯總交換機(jī)，有效利用局域網(wǎng)絡(luò)帶寬。

（2） 多層防護(hù)設(shè)備的部署

遼寧氣象信息網(wǎng)絡(luò)內(nèi)部部署防火墻、DDOS攻擊防御設(shè)備、入侵防御系統(tǒng)（IPS）、入侵檢測(cè)系統(tǒng)（IDS）、防病毒網(wǎng)關(guān)、漏洞掃描及流量控制等設(shè)備，開(kāi)發(fā)了基于Solarwinds的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，并在每個(gè)單獨(dú)子系統(tǒng)服務(wù)器上安裝了防火墻軟件，能夠經(jīng)受網(wǎng)絡(luò)自身攻擊以及過(guò)濾通信。這些防范措施構(gòu)建起一個(gè)安全屏障。

（3） 多種技術(shù)的應(yīng)用

VPN。VPN技術(shù)即虛擬專用網(wǎng)絡(luò)技術(shù)，通過(guò)建立臨時(shí)的點(diǎn)對(duì)點(diǎn)虛擬通道構(gòu)建網(wǎng)絡(luò)專用鏈接，可為網(wǎng)絡(luò)安全帶來(lái)一個(gè)很好的解決方案，通過(guò)這種技術(shù)可以實(shí)現(xiàn)對(duì)數(shù)據(jù)的多倍加密，進(jìn)而實(shí)現(xiàn)安全通信的目的。氣象通信網(wǎng)絡(luò)系統(tǒng)采用內(nèi)外網(wǎng)絡(luò)物理隔離，在防火墻上設(shè)置VPN權(quán)限，配合防火墻技術(shù)、數(shù)據(jù)加密技術(shù)以及身份驗(yàn)證技術(shù)等，構(gòu)建一個(gè)較為安全的數(shù)據(jù)環(huán)境。

身份驗(yàn)證。這一技術(shù)有包括身份識(shí)別及身份認(rèn)證兩個(gè)方面，這一技術(shù)又包括身份識(shí)別及身份認(rèn)證這兩個(gè)方面，所謂身份是被主要是指用戶想系統(tǒng)表明身份的過(guò)程，而身份認(rèn)證主要是系統(tǒng)對(duì)用戶的身份進(jìn)行核對(duì)，以避免冒名使用的情況。遼寧氣象信息網(wǎng)絡(luò)系統(tǒng)除了VPN身份認(rèn)證，主要采用了靜態(tài)IP綁定主機(jī)MAC地址的身份識(shí)別技術(shù)，確保用戶身份信息的準(zhǔn)確。

數(shù)據(jù)加密及備份。這一技術(shù)是利用加密密鑰及加密函數(shù)來(lái)完成密文與明文的轉(zhuǎn)換，進(jìn)而實(shí)現(xiàn)對(duì)信息的保護(hù)，這是網(wǎng)絡(luò)安全技術(shù)中最為基礎(chǔ)的一個(gè)技術(shù)。在具體的工作中，加密技術(shù)又可以分為不可逆加密、對(duì)成型加密以及不對(duì)稱型加密這幾種，通過(guò)這些技術(shù)我們可以實(shí)現(xiàn)信息傳輸?shù)耐暾院捅Ｃ苄?。除了?duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ)外，由于存在數(shù)據(jù)丟失、系統(tǒng)斷電、機(jī)房著火等意外，需對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份。按照備份環(huán)境，備份分為本地備份和異地備份；按照備份數(shù)據(jù)量的多少，備份分為全備、增備、差分備份和按需備份。

（4） 高效的管理措施

政策的制定與應(yīng)用?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》于2017年正式實(shí)施，遼寧氣象部門(mén)嚴(yán)格按照國(guó)家相關(guān)規(guī)定實(shí)施網(wǎng)絡(luò)管理，并制定了一系列的管理辦法和規(guī)章制度，設(shè)置了嚴(yán)格的處罰措施。

第三方評(píng)估。每年按照相關(guān)法律法規(guī)進(jìn)行系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)，根據(jù)評(píng)估報(bào)告，嚴(yán)格進(jìn)行安全整改。

安全管理團(tuán)隊(duì)的建設(shè)。設(shè)立了能夠統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的專業(yè)的安全管理團(tuán)隊(duì)，信息網(wǎng)絡(luò)安全人員具備較強(qiáng)的業(yè)務(wù)處理能力和應(yīng)變能力。設(shè)備維保采用半包制，吸納供應(yīng)商加入安全管理團(tuán)隊(duì)，充實(shí)團(tuán)隊(duì)力量。

教育與培訓(xùn)。未雨綢繆比亡羊補(bǔ)牢要強(qiáng)。除了定期進(jìn)行的技能培訓(xùn)外，還開(kāi)展了安全意識(shí)教育和培訓(xùn)。

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全建設(shè)是一個(gè)循序漸進(jìn)、逐漸加強(qiáng)的過(guò)程，需要多方支持和共建。隨著社會(huì)和經(jīng)濟(jì)發(fā)展對(duì)信息網(wǎng)絡(luò)的依賴越來(lái)越重，網(wǎng)絡(luò)安全將會(huì)得到更多人的重視。endprint