行業(yè)信息安全體系建設(shè)實踐

貴州省黔南布依族苗族自治州氣象局 黃笞 李波 汪華 曹華

隨著信息技術(shù)的持續(xù)快速發(fā)展，網(wǎng)絡(luò)安全形勢愈發(fā)嚴(yán)峻，大規(guī)模網(wǎng)絡(luò)攻擊和惡意風(fēng)險持續(xù)爆發(fā)。2017 年6 月1 日《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱“網(wǎng)絡(luò)安全法”）正式實施，將網(wǎng)絡(luò)安全問題提到了前所未有的高度。

筆者單位作為氣象行業(yè)單位，在信息系統(tǒng)安全工作方面，在較長的時期內(nèi)，基本滿足了氣象信息業(yè)務(wù)的發(fā)展需要，保障了氣象業(yè)務(wù)的穩(wěn)定運行。

但嚴(yán)峻的內(nèi)外部網(wǎng)絡(luò)安全形勢和新技術(shù)的不斷發(fā)展，使得現(xiàn)有的安全管理模式和技術(shù)防護能力已經(jīng)無法滿足不斷增長的業(yè)務(wù)需求，信息安全工作暴露出諸多問題。

安全現(xiàn)狀

2015 年，貴州省氣象部門確定了以氣象信息化為抓手、后發(fā)趕超、加快實現(xiàn)氣象現(xiàn)代化的目標(biāo)。結(jié)合貴州氣象事業(yè)發(fā)展實際，加強頂層設(shè)計和統(tǒng)籌協(xié)調(diào)，以需求為導(dǎo)向，以創(chuàng)新為動力，以數(shù)據(jù)為核心，以安全為保障，在基礎(chǔ)設(shè)施云平臺、氣象大數(shù)據(jù)云平臺建設(shè)及大數(shù)據(jù)創(chuàng)新應(yīng)用等方面取得了長足進步。

省級行業(yè)區(qū)、服務(wù)器區(qū)、專網(wǎng)區(qū)均部署了防火墻進行防護和過濾；互聯(lián)網(wǎng)DMZ 區(qū)部署了入侵防御、上網(wǎng)行為管理、SSLVPN、安全準(zhǔn)入、防火墻等安全設(shè)備。

但安全設(shè)備和防護軟件大部分是2010 年以前建設(shè)的，設(shè)備故障頻發(fā)，部分設(shè)備已經(jīng)停產(chǎn)，獲得技術(shù)支持困難。2018 年更新省級安全運維防護設(shè)備，通過超融合架構(gòu)構(gòu)建互聯(lián)網(wǎng)區(qū)安全資源池防護區(qū)，互聯(lián)網(wǎng)區(qū)安全資源池采取三物理節(jié)點集群內(nèi)部署冗余虛擬化安全組件的高可用架構(gòu)（包含VAC*2、VAF*2、VSSL*2），避免了原有AC、AF、SSLVPN 單物理設(shè)備面對不斷提升的網(wǎng)絡(luò)帶寬所導(dǎo)致的硬件性能瓶頸及可能會帶來的斷路風(fēng)險。同時在核心交換區(qū)鏡像旁掛了數(shù)據(jù)庫防火墻安全審計設(shè)備，對整網(wǎng)數(shù)據(jù)庫的訪問進行實時監(jiān)控、審計及告警。

市州級作為重要的廣域網(wǎng)接入二級匯聚節(jié)點，在信息安全體系建設(shè)中非常重要，但安全設(shè)備和防護能力一直不足?；ヂ?lián)網(wǎng)訪問區(qū)部署了傳統(tǒng)防火墻一類的安全防護設(shè)備，防護規(guī)則和策略不統(tǒng)一，廣域網(wǎng)邊界基本沒有有效的安全防護設(shè)備，部分市州采用了業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)隔離的方式避免了業(yè)務(wù)網(wǎng)受到來自互聯(lián)網(wǎng)的安全威脅，但業(yè)務(wù)網(wǎng)內(nèi)部的失陷主機和受帶惡意病毒存儲設(shè)備感染終端的各類安全攻擊事件屢禁不止，均不同程度存在通過互聯(lián)網(wǎng)提供氣象服務(wù)而暴露信息安全薄弱點的情況，安全隱患大，信息安全防范意識不足，網(wǎng)絡(luò)安全防護手段缺失。

區(qū)縣安全體系建設(shè)主要關(guān)注點在廣域網(wǎng)的縣級接入點，部分區(qū)縣在建設(shè)過程中基本依賴于運營商提供的初級防護能力。在近兩年區(qū)縣調(diào)研中發(fā)現(xiàn)部分臺站業(yè)務(wù)平臺上分別接入了兩個運營商的互聯(lián)網(wǎng)線路、政務(wù)外網(wǎng)，線路走向混亂、區(qū)域劃分不清晰的問題普遍存在。部分區(qū)縣還存在通過互聯(lián)網(wǎng)提供氣象服務(wù)的需求，是安全防護的薄弱環(huán)節(jié)。區(qū)縣級的安全防護主要在氣象廣域網(wǎng)的接入端，通過省局部署的終端認證系統(tǒng)確認用戶身份，通過廣域網(wǎng)邊界的防火墻提供接入內(nèi)網(wǎng)的安全防護。

問題分析

全省各級氣象部門一直以來按照網(wǎng)絡(luò)安全等級保護要求各自開展網(wǎng)絡(luò)安全建設(shè)，但缺乏統(tǒng)籌考慮，各自為戰(zhàn)，在信息系統(tǒng)孤島基礎(chǔ)上形成安全孤島，難以共享和協(xié)同。同時市州縣分別都存在互聯(lián)網(wǎng)訪問出口，致使信息安全的防御戰(zhàn)線長，市州縣級安全措施部署和運維困難，安全防護不均衡，防護短板大量存在，整體防御能力處于較低水平。全省的信息安全基本依賴省級信息部門的規(guī)劃和部署，星型的網(wǎng)絡(luò)結(jié)構(gòu)導(dǎo)致延展性的技術(shù)支撐很困難，防護的智能化程度不夠，技術(shù)監(jiān)管能力不足，使得信息安全工作難以落到實處。部分單位在系統(tǒng)設(shè)計、建設(shè)與運行管理方面不重視網(wǎng)絡(luò)安全，系統(tǒng)安全功能缺失、漏洞大量存在。

由于建設(shè)的不統(tǒng)一性，導(dǎo)致在基礎(chǔ)設(shè)施建設(shè)時信息安全設(shè)備類型多樣，品牌各異，基本上均為獨立運行設(shè)備，單一設(shè)備受限于設(shè)備類型、部署位置等，監(jiān)測分析能力有限，對氣象信息網(wǎng)絡(luò)整體網(wǎng)絡(luò)安全缺乏有效的監(jiān)測手段，面對潛在的安全風(fēng)險處于被動局面。

各單位都設(shè)置了安全管理崗位，但一般職責(zé)均不限于信息安全方面，專業(yè)背景知識匱乏，系統(tǒng)培訓(xùn)不足，導(dǎo)致出現(xiàn)信息網(wǎng)絡(luò)安全事件時應(yīng)對處置能力不足。

安全體系構(gòu)建思路

對市州縣級人員運維能力的調(diào)研發(fā)現(xiàn)，縣級基本不具備專業(yè)的IT 運維能力，但作為氣象廣域網(wǎng)的終端節(jié)點，要求業(yè)務(wù)人員具備基本的網(wǎng)絡(luò)運維能力，因此首先要組織并加強對網(wǎng)絡(luò)運維能力的培訓(xùn)，提升基層人員對網(wǎng)絡(luò)故障初步判斷的能力。

省以下氣象信息化建設(shè)的重點應(yīng)該要改變傳統(tǒng)“國家-省-市-縣”四級布局，業(yè)務(wù)系統(tǒng)建設(shè)要大幅度收縮節(jié)點，業(yè)務(wù)和數(shù)據(jù)存儲務(wù)必向省級匯聚，提倡集約建設(shè)，停建零散孤立的市州、縣級數(shù)據(jù)存儲系統(tǒng)，基層業(yè)務(wù)應(yīng)用統(tǒng)一使用省級提供的數(shù)據(jù)環(huán)境，逐步實現(xiàn)“兩級布局、多級應(yīng)用”，避免存儲系統(tǒng)和業(yè)務(wù)系統(tǒng)的復(fù)雜運維給市縣級業(yè)務(wù)人員造成壓力。

大幅度提升省-市-縣三級的網(wǎng)絡(luò)帶寬，去除數(shù)據(jù)訪問和資源使用的帶寬瓶頸，不同時空和地域均可實現(xiàn)可靠、穩(wěn)定、高速的訪問，同時省級要規(guī)模化應(yīng)用服務(wù)器虛擬化、分布式存儲、分布式計算、分布式安全資源池等技術(shù)，構(gòu)建基于云服務(wù)的基礎(chǔ)設(shè)施資源池和安全資源池，實現(xiàn)統(tǒng)一規(guī)劃管理、降低多級運維費用，強化多維度信息綜合分析。

市縣級作為一個獨立的網(wǎng)絡(luò)節(jié)點，往往具備多個網(wǎng)絡(luò)出口，并且具有獨立的互聯(lián)網(wǎng)接口，因此需要在氣象廣域網(wǎng)的入口端設(shè)置更為嚴(yán)格的準(zhǔn)入策略，有條件的單位部署相應(yīng)的安全防護設(shè)備，保障全網(wǎng)的安全，同時需要精簡縣級業(yè)務(wù)，采取關(guān)鍵業(yè)務(wù)與互聯(lián)網(wǎng)物理隔離、備份關(guān)鍵節(jié)點的方式確保節(jié)點的信息安全，要加強對縣級業(yè)務(wù)人員的信息安全意識的培訓(xùn)，防微杜漸，另外還應(yīng)該制定細致并可落地的信息安全的管理制度，樹立信息安全從點滴做起，信息安全從自身做起的意識，保障市縣兩級的業(yè)務(wù)安全。

結(jié)論

針對當(dāng)前信息網(wǎng)絡(luò)存在的安全隱患，急需根據(jù)分區(qū)分域防護的原則，按照一個中心三重防護的思想，規(guī)劃建設(shè)完善的信息系統(tǒng)安全縱深防御保障體系。安全保障主體是業(yè)務(wù)系統(tǒng)，安全縱深保障框架中所有安全控制都應(yīng)以安全方針、策略做為安全工作的指導(dǎo)與依據(jù)，落實安全管理和安全技術(shù)兩大維度的具體實施與維護，以業(yè)務(wù)系統(tǒng)的安全運營為信息安全保障建設(shè)的核心，并輔以安全評估與安全培訓(xùn)貫穿信息安全保障體系的全過程，形成風(fēng)險可控的安全縱深保障框架體系。構(gòu)建覆蓋省-市-縣三級的信息安全體系，建設(shè)基于全局視角的安全感知平臺，結(jié)合威脅情報、行為分析建模、UEBA、失陷主機檢測、圖關(guān)聯(lián)分析、機器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化平臺等技術(shù)，實現(xiàn)全網(wǎng)應(yīng)用可視化，業(yè)務(wù)可視化，攻擊與可疑流量可視化，解決安全黑洞與安全洼地的問題。

在完善全省互聯(lián)網(wǎng)統(tǒng)一出口管控“一張網(wǎng)”的同時，應(yīng)避免市、縣自有信息系統(tǒng)基礎(chǔ)硬件設(shè)施的重復(fù)投入，提升省級及市、縣級現(xiàn)有計算及存儲資源利用率，減少信息系統(tǒng)分布式存儲架構(gòu)投入?？紤]通過統(tǒng)一管理統(tǒng)一發(fā)布的方式實現(xiàn)動態(tài)防護，解決市州級和區(qū)縣級沒有專業(yè)運維人員的問題?，F(xiàn)階段安全領(lǐng)域采用的基于同一硬件架構(gòu)提供的融合防護方案是較好的解決方式，可減少傳統(tǒng)安全防護設(shè)備的重復(fù)投入、運維困難的問題，使得全網(wǎng)具有在統(tǒng)一安全策略管控下，最終達到整體信息安全保護與安全運行的目的。