福建地震網(wǎng)絡(luò)信息安全策略研究

◆戴麗金 陳家樑 林加寶 張麗娜 巫立華

福建地震網(wǎng)絡(luò)信息安全策略研究

◆戴麗金 陳家樑 林加寶 張麗娜 巫立華

（福建省地震局 福建 350000）

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在地震行業(yè)的應(yīng)用越來(lái)越廣泛，依賴程度越來(lái)越高，也不斷促進(jìn)著地震行業(yè)信息化的發(fā)展。地震數(shù)據(jù)共享、信息服務(wù)以及網(wǎng)絡(luò)式分布增加了網(wǎng)絡(luò)受攻擊和威脅的可能性。本文分析了福建地震部門的網(wǎng)絡(luò)現(xiàn)狀和存在的安全隱患，利用現(xiàn)行的網(wǎng)絡(luò)安全技術(shù)，提出了科學(xué)、合理的解決方案，以保障地震網(wǎng)絡(luò)的安全可靠運(yùn)行。

網(wǎng)絡(luò)技術(shù)；信息化；網(wǎng)絡(luò)安全；地震網(wǎng)絡(luò)

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)技術(shù)在地震信息系統(tǒng)的應(yīng)用越來(lái)越廣泛，大量的地震數(shù)據(jù)及信息需要通過(guò)網(wǎng)絡(luò)進(jìn)行共享與傳輸，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)也極大地提高了地震系統(tǒng)的工作效果、數(shù)據(jù)傳輸?shù)木珳?zhǔn)性及時(shí)效性。然而，計(jì)算機(jī)網(wǎng)絡(luò)的多樣性、開放性及共享性特征，也增加了計(jì)算機(jī)網(wǎng)絡(luò)的不安全性，一旦遭受到網(wǎng)絡(luò)攻擊，勢(shì)必會(huì)對(duì)地震工作造成嚴(yán)重的影響。因此，地震部門的網(wǎng)絡(luò)安全問(wèn)題是當(dāng)前亟須解決的關(guān)鍵問(wèn)題，努力做好網(wǎng)絡(luò)安全防范，是保障地震系統(tǒng)穩(wěn)定、安全、正常運(yùn)行的關(guān)鍵所在。

2 福建地震網(wǎng)絡(luò)發(fā)展現(xiàn)狀

目前，福建省地震局已建成國(guó)省MPLS-VPN及SRv6 TE雙平面、省市MSTP、市縣MSTP、省縣VPN等混合方式的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)。福建省地震局所屬地震監(jiān)測(cè)站點(diǎn)通過(guò)運(yùn)營(yíng)商MSTP專線、VPN鏈路和省局?jǐn)?shù)據(jù)處理中心連接，省局通過(guò)預(yù)警骨干網(wǎng)和國(guó)家中心、技術(shù)保障中心等實(shí)現(xiàn)數(shù)據(jù)的互聯(lián)互通。具體來(lái)說(shuō)，福建省地震監(jiān)測(cè)站分為一般站、基準(zhǔn)站和基本站三種。一般站通過(guò)運(yùn)營(yíng)商互聯(lián)網(wǎng)VPN鏈路和省地震局實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的連接，基本站/基準(zhǔn)站通過(guò)MSTP專線方式和省地震局實(shí)現(xiàn)業(yè)務(wù)的連接。省地震局預(yù)警業(yè)務(wù)數(shù)據(jù)處理平臺(tái)是省局生產(chǎn)系統(tǒng)的一部分，部署在省地震局預(yù)警網(wǎng)數(shù)據(jù)中心。

視頻會(huì)商系統(tǒng)、預(yù)警系統(tǒng)及其產(chǎn)品、地震信息服務(wù)、觀測(cè)數(shù)據(jù)及辦公自動(dòng)化系統(tǒng)等已經(jīng)在全省地震主干網(wǎng)絡(luò)上運(yùn)行傳輸，隨著監(jiān)測(cè)站點(diǎn)的增多及地震業(yè)務(wù)的不斷發(fā)展，網(wǎng)絡(luò)系統(tǒng)承擔(dān)著越來(lái)越多的數(shù)據(jù)獲取、傳輸、利用及共享的任務(wù)。隨著地震網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，地震信息在逐步開放和共享的同時(shí)也增加了網(wǎng)絡(luò)的不安全性，各種各樣的網(wǎng)絡(luò)入侵也越來(lái)越多，給地震業(yè)務(wù)系統(tǒng)造成了嚴(yán)重的威脅。

3 福建地震網(wǎng)絡(luò)安全隱患

3.1 用戶網(wǎng)絡(luò)安全意識(shí)薄弱

目前，計(jì)算機(jī)已經(jīng)在各行各業(yè)領(lǐng)域應(yīng)用廣泛，但在福建省地震局一些業(yè)務(wù)部門中，還有部分用戶網(wǎng)絡(luò)安全意識(shí)較低或者未熟練掌握安全防范知識(shí)，用戶的一些行為很容易增加地震信息網(wǎng)絡(luò)的安全隱患。例如，隨意使用外來(lái)移動(dòng)設(shè)備進(jìn)行計(jì)算機(jī)之間拷貝資料，使用業(yè)務(wù)計(jì)算機(jī)任意瀏覽、下載文件、收發(fā)電子郵件等，很容易導(dǎo)致業(yè)務(wù)計(jì)算機(jī)遭受病毒攻擊，使系統(tǒng)癱瘓，嚴(yán)重影響業(yè)務(wù)系統(tǒng)的運(yùn)行。我局雖然成立了相應(yīng)的管理機(jī)構(gòu)和技術(shù)團(tuán)隊(duì)，但在網(wǎng)絡(luò)安全實(shí)際工作中，仍存在部分相關(guān)負(fù)責(zé)同志網(wǎng)絡(luò)安全意識(shí)淡薄，對(duì)網(wǎng)絡(luò)安全工作重視不夠的情況。比如弱口令問(wèn)題，中國(guó)地震局多次下發(fā)相關(guān)要求開展弱口令排查及整改工作，但在2019年6月份HW演習(xí)期間還是存在因服務(wù)器的弱口令問(wèn)題被攻破。

3.2 網(wǎng)絡(luò)安全管理規(guī)制和運(yùn)行機(jī)制不健全

中國(guó)地震局高度重視網(wǎng)絡(luò)安全工作，成立了局網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組，局屬單位也均已成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)機(jī)構(gòu)，但是普遍存在網(wǎng)絡(luò)安全管理制度不完善、管理制度不全面、責(zé)任落實(shí)不到位、響應(yīng)機(jī)制不健全以及部分管理制度過(guò)時(shí)不能滿足相關(guān)要求等問(wèn)題。我局目前同樣也存在著這些問(wèn)題。各業(yè)務(wù)部門每年的工作任務(wù)中信息化建設(shè)都占有很大比重，各自建設(shè)，造成信息網(wǎng)絡(luò)運(yùn)維部門很難掌握相應(yīng)的基礎(chǔ)信息，信息化建設(shè)缺乏統(tǒng)籌管理；信息部門對(duì)自己管理的資源，如IP地址，網(wǎng)絡(luò)拓?fù)洹⑦\(yùn)維信息，也是家底不清，幾次梳理工作都沒有實(shí)效。網(wǎng)絡(luò)安全管理機(jī)構(gòu)，執(zhí)行機(jī)構(gòu)，運(yùn)行制度還不十分明確；網(wǎng)絡(luò)安全制度不完善，人員分工不合理。網(wǎng)絡(luò)運(yùn)維和網(wǎng)絡(luò)安全制度嚴(yán)重缺失，運(yùn)維、監(jiān)控工作隨意性強(qiáng)；管理人員職責(zé)不清，已有工作分工不合理，核心崗位沒有設(shè)置AB角色，A不在了工作就無(wú)法開展，業(yè)務(wù)系統(tǒng)容易癱瘓。

3.3 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施防護(hù)能力薄弱

福建省地震局網(wǎng)絡(luò)安全體系是以中國(guó)地震局網(wǎng)絡(luò)安防一期項(xiàng)目為基礎(chǔ)，結(jié)合本局自有配套部分安全設(shè)備而建設(shè)。網(wǎng)絡(luò)安防一期工程投入運(yùn)行后，監(jiān)控運(yùn)維類系統(tǒng)已經(jīng)開始發(fā)揮作用，但行業(yè)網(wǎng)防火墻久久沒啟用控制策略，未能啟到保護(hù)區(qū)域網(wǎng)絡(luò)的作用，安全軟硬件設(shè)備不能起到應(yīng)有的防范作用，整體網(wǎng)絡(luò)安全形勢(shì)極為嚴(yán)峻。還有多年以來(lái)在信息化的相關(guān)建設(shè)中一直存在“重系統(tǒng)輕安全”的慣性思想，導(dǎo)致網(wǎng)絡(luò)安全軟硬件投入有限，由此直接導(dǎo)致全網(wǎng)的安全防護(hù)能力降低。

3.4 網(wǎng)絡(luò)安全防護(hù)與國(guó)家等級(jí)保護(hù)要求仍有差距

地震網(wǎng)絡(luò)是一張全國(guó)大網(wǎng)，各單位普遍存在地震網(wǎng)絡(luò)邊界不清、內(nèi)部區(qū)域劃分混亂、行業(yè)網(wǎng)和互聯(lián)網(wǎng)出口多、對(duì)外服務(wù)混亂等現(xiàn)象，我局也未實(shí)現(xiàn)行業(yè)網(wǎng)、互聯(lián)網(wǎng)兩網(wǎng)隔離，導(dǎo)致各類互聯(lián)網(wǎng)攻擊直接滲透到行業(yè)網(wǎng)內(nèi)，對(duì)行業(yè)網(wǎng)的安全造成重大沖擊，嚴(yán)重影響行業(yè)網(wǎng)穩(wěn)定運(yùn)行。同時(shí)，重要信息系統(tǒng)老舊、主機(jī)漏洞多和安全基線較低；核心業(yè)務(wù)系統(tǒng)安全漏洞修復(fù)面臨很大風(fēng)險(xiǎn)，地震局“3+1”業(yè)務(wù)系統(tǒng)中，例如前兆業(yè)務(wù)系統(tǒng)因?yàn)橄到y(tǒng)建設(shè)時(shí)間早，操作系統(tǒng)和數(shù)據(jù)庫(kù)發(fā)現(xiàn)漏洞后，受應(yīng)用層技術(shù)架構(gòu)和開發(fā)語(yǔ)言的限制，不能升級(jí)，存在很大的漏洞。其他部門的業(yè)務(wù)系統(tǒng)也存在類似問(wèn)題；業(yè)務(wù)系統(tǒng)及儀器設(shè)備較脆弱，容易因某些因素影響穩(wěn)定運(yùn)行。另外，地震系統(tǒng)自身研制的各種應(yīng)用軟件和一些網(wǎng)絡(luò)應(yīng)用協(xié)議，在開發(fā)過(guò)程中，也存在一定缺陷，有時(shí)還有一些未被解決的系統(tǒng)漏洞，也容易遭到攻擊者的攻擊。

3.5 網(wǎng)絡(luò)安全人才隊(duì)伍比較薄弱

目前，我局地震臺(tái)站在人員管理、業(yè)務(wù)培訓(xùn)等方面缺乏制度和經(jīng)費(fèi)保障，導(dǎo)致地震臺(tái)站缺乏相關(guān)的網(wǎng)絡(luò)安全專業(yè)技術(shù)人員，使得從業(yè)人員在網(wǎng)絡(luò)安全技術(shù)能力方面提升緩慢，當(dāng)網(wǎng)絡(luò)發(fā)生故障時(shí)，基本是由在職的非專業(yè)人員進(jìn)行維護(hù)，對(duì)于專業(yè)病毒防御、網(wǎng)絡(luò)區(qū)域設(shè)置等關(guān)鍵技術(shù)掌握甚少，無(wú)法解決復(fù)雜的網(wǎng)絡(luò)安全故障，進(jìn)而影響臺(tái)站的正常穩(wěn)定運(yùn)行。

4 福建地震信息系統(tǒng)網(wǎng)絡(luò)安全策略

地震信息系統(tǒng)具有全程全網(wǎng)，內(nèi)外互聯(lián)、信息傳輸量大、時(shí)效性高等特點(diǎn)，必須加強(qiáng)對(duì)系統(tǒng)的運(yùn)行管理。我們需要網(wǎng)絡(luò)安全技術(shù)來(lái)保障網(wǎng)絡(luò)的安全，而一個(gè)完整的技術(shù)安全體系應(yīng)該是由分布式的多種等級(jí)安全技術(shù)和安全產(chǎn)品組成的復(fù)雜系統(tǒng)，不僅有技術(shù)的因素，也有人為的因素。各級(jí)信息系統(tǒng)以及系統(tǒng)內(nèi)部業(yè)務(wù)之間、各個(gè)部門之間必須緊密協(xié)作配合，制定出適合本系統(tǒng)本單位的網(wǎng)絡(luò)安全策略，確保全系統(tǒng)的穩(wěn)定運(yùn)行。

4.1 強(qiáng)化全系統(tǒng)網(wǎng)絡(luò)安全意識(shí)

定期開展針對(duì)地震網(wǎng)絡(luò)安全的宣傳教育活動(dòng)，加強(qiáng)全系統(tǒng)工作人員的網(wǎng)絡(luò)安全意識(shí)，制定相關(guān)的計(jì)算機(jī)操作和網(wǎng)絡(luò)應(yīng)用規(guī)范，定期開展與計(jì)算機(jī)相關(guān)的技能培訓(xùn)及知識(shí)講座，使全體人員能養(yǎng)成良好的上網(wǎng)習(xí)慣，最大程度降低因疏忽和不當(dāng)操作造成對(duì)地震網(wǎng)絡(luò)的影響。

4.2 計(jì)算機(jī)網(wǎng)絡(luò)安全管理策略

在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略中，不僅需要采取網(wǎng)絡(luò)技術(shù)措施來(lái)保障網(wǎng)絡(luò)安全，還必須有相關(guān)的網(wǎng)絡(luò)安全管理制度來(lái)保障，并且需要相關(guān)行政部門來(lái)約束監(jiān)督嚴(yán)格執(zhí)行，這樣才能起到有效的作用。

地震系統(tǒng)網(wǎng)絡(luò)安全管理策略主要包括：網(wǎng)絡(luò)安全管理制度；機(jī)房管理制度；網(wǎng)絡(luò)操作使用規(guī)程；網(wǎng)絡(luò)安全應(yīng)急預(yù)案等。

4.3 地震網(wǎng)絡(luò)安全技術(shù)防護(hù)

4.3.1實(shí)施網(wǎng)絡(luò)安全防護(hù)項(xiàng)目

2018年7月，實(shí)施了地震信息第一期的網(wǎng)絡(luò)安全防護(hù)項(xiàng)目，我局配備一套相關(guān)的安全設(shè)備與軟件，初步建成具有一定防護(hù)能力的地震網(wǎng)絡(luò)安全體系。但因各種因素，項(xiàng)目落地情況不理想，行業(yè)網(wǎng)網(wǎng)絡(luò)安全邊界防護(hù)中，防火墻訪問(wèn)控制策略設(shè)置缺失未發(fā)揮項(xiàng)目預(yù)期效果。

網(wǎng)絡(luò)控制策略是地震信息系統(tǒng)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保護(hù)網(wǎng)絡(luò)資源不被非法訪問(wèn)和使用，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

我局將對(duì)局域網(wǎng)內(nèi)各業(yè)務(wù)系統(tǒng)進(jìn)行應(yīng)用層面的梳理，在行業(yè)網(wǎng)防火墻上實(shí)施策略部署。具體來(lái)說(shuō)，按照各自應(yīng)用系統(tǒng)業(yè)務(wù)流進(jìn)行源地址和目標(biāo)地址的梳理，采用白名單方案，制定策略規(guī)劃，缺省“阻斷”，按策略“開放”，建立明確的互訪需求。同類的業(yè)務(wù)可以互訪，不同業(yè)務(wù)之間禁止訪問(wèn)，發(fā)揮行業(yè)網(wǎng)防火墻的作用，確保區(qū)域網(wǎng)絡(luò)的安全穩(wěn)定。

4.3.2實(shí)施信息系統(tǒng)等級(jí)保護(hù)

信息安全等級(jí)保護(hù)制度，是維護(hù)國(guó)家信息安全的根本保障。為了保障地震行業(yè)信息系統(tǒng)安全，地震行業(yè)在落實(shí)國(guó)家網(wǎng)絡(luò)安全要求的同時(shí)，積極開展地震系統(tǒng)信息安全等級(jí)保護(hù)工作。我局從自身信息化業(yè)務(wù)需求和安全需求角度出發(fā)，為了滿足我局門戶網(wǎng)站和業(yè)務(wù)信息系統(tǒng)的安全穩(wěn)定運(yùn)行，提高對(duì)重要信息安全的基本防護(hù)水平，2019年按照國(guó)家信息安全等級(jí)保護(hù)三級(jí)水平開展安全整改建設(shè)工作，2020年門戶網(wǎng)站按照三級(jí)水平進(jìn)行了復(fù)測(cè)，存在的安全風(fēng)險(xiǎn)及時(shí)進(jìn)行了整改，確保信息系統(tǒng)安全、可靠、穩(wěn)定運(yùn)行。為了信息系統(tǒng)的穩(wěn)定長(zhǎng)遠(yuǎn)發(fā)展，我局將繼續(xù)按照規(guī)范和要求實(shí)施信息系統(tǒng)等級(jí)保護(hù)工作，提高福建地震網(wǎng)絡(luò)的安全系數(shù)，有效地規(guī)避和降低風(fēng)險(xiǎn)，保障系統(tǒng)內(nèi)各系統(tǒng)的穩(wěn)定、高效運(yùn)行。

4.3.3其他技術(shù)措施

（1）流量監(jiān)控系統(tǒng)：我局通過(guò)一期安全防護(hù)項(xiàng)目安裝的科來(lái)網(wǎng)絡(luò)全流量安全分析系統(tǒng)，是基于網(wǎng)絡(luò)全流量分析技術(shù)，通過(guò)回溯分析數(shù)據(jù)包特征、異常網(wǎng)絡(luò)行為，發(fā)現(xiàn)潛伏已久的高級(jí)未知攻擊。網(wǎng)絡(luò)全流量分析技術(shù)是發(fā)現(xiàn)APT網(wǎng)絡(luò)攻擊的重要技術(shù)手段，幫助用戶建立自適應(yīng)網(wǎng)絡(luò)安全架構(gòu)。

（2）殺毒軟件。當(dāng)前我局地震部門主要使用360殺毒軟件進(jìn)行防護(hù)，病毒層出不窮，變異快，因此殺毒軟件也要進(jìn)行病毒庫(kù)更新方可防御最新病毒，采用現(xiàn)有先進(jìn)的云查殺技術(shù)，實(shí)時(shí)訪問(wèn)云數(shù)據(jù)中心進(jìn)行判斷，用戶無(wú)需頻繁升級(jí)病毒庫(kù)即可防御最新病毒。

（3）上網(wǎng)行為管理：我局通過(guò)上網(wǎng)行為管理設(shè)備實(shí)現(xiàn)用戶對(duì)互聯(lián)網(wǎng)的訪問(wèn)控制，其包括對(duì)網(wǎng)頁(yè)訪問(wèn)過(guò)濾、上網(wǎng)隱私保護(hù)、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶行為分析等。它也是保證網(wǎng)絡(luò)安全的重要措施之一。

4.4 加強(qiáng)網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)

強(qiáng)化我局地震系統(tǒng)網(wǎng)絡(luò)安全專業(yè)技術(shù)人員的培養(yǎng)與團(tuán)隊(duì)建設(shè)，組織技術(shù)人員積極參加國(guó)家局組織的網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，可定期對(duì)我局安全專業(yè)技術(shù)人員開展有針對(duì)性的網(wǎng)絡(luò)安全專項(xiàng)能力培訓(xùn)與檢測(cè)，每年組織開展全行業(yè)網(wǎng)絡(luò)安全應(yīng)急演練，提高網(wǎng)絡(luò)應(yīng)急處置能力，增強(qiáng)網(wǎng)絡(luò)維護(hù)水平。

5 結(jié)束語(yǔ)

本文結(jié)合地震部門網(wǎng)絡(luò)現(xiàn)狀，著重針對(duì)我局地震部門網(wǎng)絡(luò)安全存在的問(wèn)題提出了科學(xué)、合理的應(yīng)對(duì)措施，涵蓋了從規(guī)章制度到技術(shù)手段等各方面。希望通過(guò)本方案的實(shí)施，可以建立更完善的網(wǎng)絡(luò)安全體系，有效的防范信息系統(tǒng)各方面的攻擊和威脅，最大的保障網(wǎng)絡(luò)系統(tǒng)的安全和穩(wěn)定。

[1]何鵬翔.淺析我國(guó)網(wǎng)絡(luò)信息安全存在的問(wèn)題及對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（05）：06-07.

[2]黃兆麒. 關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全問(wèn)題的分析與對(duì)策研究[J]. 信息系統(tǒng)工程，2017（11）：15-16.

[3]衛(wèi)晉芳.氣象信息網(wǎng)絡(luò)安全技術(shù)探析[J].現(xiàn)代農(nóng)業(yè)科技，2017（16）：25-26.

[4]叢曉穎. 計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全問(wèn)題的分析與對(duì)策[J]. 信息安全與技術(shù)，2016（01）：45-47.

[5]李淑渝. 計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題及防范對(duì)策分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（09）：88-89.

福建省地震局“福建省地震網(wǎng)絡(luò)信息安全技術(shù)策略應(yīng)用研究”課題資助