等保2.0在山東省級氣象網(wǎng)絡(luò)安全中的應(yīng)用

◆陳澍 李懷剛 孟金

等保2.0在山東省級氣象網(wǎng)絡(luò)安全中的應(yīng)用

◆陳澍1，2李懷剛1，2孟金1，2

（1.山東省氣象防災(zāi)減災(zāi)重點(diǎn)實(shí)驗(yàn)室 山東 250031；2.山東省氣象信息中心 山東 250001）

隨著網(wǎng)絡(luò)安全形勢的日趨嚴(yán)峻，網(wǎng)絡(luò)安全防護(hù)要求不斷提高，有關(guān)部門相繼發(fā)布網(wǎng)絡(luò)安全相關(guān)法律法規(guī)及國家標(biāo)準(zhǔn)。省級氣象部門作為國內(nèi)氣象信息網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)，自等保2.0標(biāo)準(zhǔn)發(fā)布以來，山東省氣象信息化建設(shè)及網(wǎng)絡(luò)安全工作以此為指導(dǎo)，開展氣象信息安全系統(tǒng)優(yōu)化完善工作。經(jīng)過2年時(shí)間積極開展網(wǎng)絡(luò)安全相關(guān)工作，落實(shí)標(biāo)準(zhǔn)要求，進(jìn)一步完善信息化標(biāo)準(zhǔn)體系，指導(dǎo)全省氣象信息化工作發(fā)展，為氣象業(yè)務(wù)發(fā)展提供有力的科技支撐和安全保障。

等保2.0；網(wǎng)絡(luò)安全；氣象信息化

近年來，信息安全的快速發(fā)展使得氣象行業(yè)對網(wǎng)絡(luò)和信息系統(tǒng)的依賴程度也隨之不斷增加，同時(shí)，信息安全形勢的日趨嚴(yán)峻也讓氣象部門在氣象數(shù)據(jù)安全網(wǎng)絡(luò)系統(tǒng)安全等方面的需求日漸凸現(xiàn)。隨著信息安全形勢不斷發(fā)展，中國氣象局在《網(wǎng)絡(luò)與信息安全總體技術(shù)設(shè)計(jì)》報(bào)告中，明確了氣象信息網(wǎng)絡(luò)安全的更高要求，應(yīng)當(dāng)逐步高效地實(shí)現(xiàn)氣象信息網(wǎng)絡(luò)安全的總體目標(biāo)，提升氣象行業(yè)整體網(wǎng)絡(luò)安全防護(hù)能力[1]。同時(shí)，“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度”也是《網(wǎng)絡(luò)安全法》中的規(guī)定[2]。在2019年發(fā)布的網(wǎng)絡(luò)安全等級保護(hù)2.0核心技術(shù)標(biāo)準(zhǔn)中指出，當(dāng)下除了物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)新技術(shù)，還有許多新興技術(shù)日益成熟，比如人工智能、區(qū)塊鏈、邊緣計(jì)算等，這對等級保護(hù)提出了更高的要求[3]。隨著網(wǎng)絡(luò)安全等級保護(hù)2.0技術(shù)標(biāo)準(zhǔn)正式施行一年多來，研究網(wǎng)絡(luò)安全等級保護(hù)2.0核心技術(shù)標(biāo)準(zhǔn)在山東省級氣象信息網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用，是提高省級氣象信息系統(tǒng)安全運(yùn)維保障能力的需求，能夠有效提升山東省級氣象信息網(wǎng)絡(luò)安全防護(hù)能力，為省級氣象系統(tǒng)建設(shè)具備等級保護(hù)2.0防護(hù)能力做出參考作用。因此，研究網(wǎng)絡(luò)安全等級保護(hù)2.0核心技術(shù)標(biāo)準(zhǔn)之下省級氣象網(wǎng)絡(luò)安全防護(hù)體系的架構(gòu)在省級氣象信息網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用，具有十分重要的意義。

1 等保2.0標(biāo)準(zhǔn)新變化

首先，從信息安全等級保護(hù)制度到網(wǎng)絡(luò)安全等級保護(hù)制度的變化，更加順應(yīng)了當(dāng)前網(wǎng)絡(luò)安全形勢的需要。在經(jīng)過對比網(wǎng)絡(luò)安全等級保護(hù)2.0技術(shù)標(biāo)準(zhǔn)與原信息安全等級保護(hù)1.0的區(qū)別，發(fā)現(xiàn)，等保2.0相比之前的標(biāo)準(zhǔn)，更新的核心內(nèi)容就是圍繞“一個中心，三重防護(hù)”的建設(shè)思路，即一個管理中心，通過對區(qū)域邊界防護(hù)、通信網(wǎng)絡(luò)防護(hù)、計(jì)算環(huán)境防護(hù)的統(tǒng)一管理，不斷加強(qiáng)網(wǎng)絡(luò)安全防護(hù)。新的標(biāo)準(zhǔn)提出了更加明確和更加全面的建設(shè)和防護(hù)要求。隨著新技術(shù)的層出不窮，能夠具備等保2.0防護(hù)能力的建設(shè)內(nèi)容也將更加細(xì)化，同時(shí)，在等保2.0的要求中還著重提出了需要實(shí)現(xiàn)主動防御、風(fēng)險(xiǎn)監(jiān)測和預(yù)警能力等內(nèi)容。

《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》2.0版本較1.0版本在諸多方面進(jìn)行了調(diào)整。主要包括以下幾方面：

（1）在基本要求中，名稱由原有的“信息系統(tǒng)安全”變更為了“網(wǎng)絡(luò)安全”，突出強(qiáng)調(diào)了網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全不僅僅包含信息系統(tǒng)安全，還包含著其他如物聯(lián)網(wǎng)系統(tǒng)、大數(shù)據(jù)平臺系統(tǒng)等，著重強(qiáng)調(diào)網(wǎng)絡(luò)安全與《網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致[4]。

（2）等級保護(hù)的定級對象發(fā)生改變，安全等級保護(hù)的對象包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算平臺或系統(tǒng)、大數(shù)據(jù)平臺或系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)等[5]。

（3）在新標(biāo)準(zhǔn)中，改變原有安全要求內(nèi)容的結(jié)構(gòu)，對安全要求進(jìn)行了細(xì)分，劃分了“安全通用要求”和“安全擴(kuò)展要求”。安全通用要求指所有適應(yīng)等級保護(hù)的系統(tǒng)必須滿足的要求，是基本安全要求，而針對云計(jì)算、移動互聯(lián)、物聯(lián)網(wǎng)及工業(yè)控制系統(tǒng)等新納入等級保護(hù)定級的對象，進(jìn)一步提出了安全擴(kuò)展要求。通過對安全要求的劃分，讓技術(shù)標(biāo)準(zhǔn)的實(shí)施更加精確，使得在網(wǎng)絡(luò)安全建設(shè)工作有了更加明確的目的。

（4）對安全通用要求中的控制項(xiàng)和控制節(jié)點(diǎn)有所改變。技術(shù)標(biāo)準(zhǔn)的結(jié)構(gòu)和分類發(fā)生變化，從技術(shù)部分來看，包含了從物理環(huán)境安全要求到通信網(wǎng)絡(luò)環(huán)境的安全要求。同時(shí)對計(jì)算環(huán)境的安全，網(wǎng)絡(luò)區(qū)域邊界的安全及安全管理中心等做了相應(yīng)的技術(shù)要求。在管理方面，提出了安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等多方面的管理內(nèi)容。

（5）新增四個安全擴(kuò)展要求

新增的四個安全擴(kuò)展要求為：云計(jì)算安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求[6]。其中，云計(jì)算和物聯(lián)網(wǎng)兩部分?jǐn)U展要求，與氣象信息系統(tǒng)安全建設(shè)工作息息相關(guān)，具有十分重要的指導(dǎo)意義。

省級氣象信息系統(tǒng)建有獨(dú)立的云計(jì)算環(huán)境，按照云計(jì)算安全擴(kuò)展要求對云計(jì)算平臺的計(jì)算環(huán)境提出了從基礎(chǔ)設(shè)施的物理環(huán)境安全要求到容災(zāi)備份能力以及云計(jì)算管理、云服務(wù)提供商的選擇等方面逐一提出細(xì)化要求，同時(shí)，虛擬化的橫向安全保護(hù)，也被列入擴(kuò)展要求中。

在氣象觀測設(shè)施建設(shè)中涉及物聯(lián)網(wǎng)系統(tǒng)的建設(shè)，因此物聯(lián)網(wǎng)安全擴(kuò)展要求在氣象網(wǎng)絡(luò)安全整體建設(shè)中同樣具有一定的指導(dǎo)意義，對物聯(lián)網(wǎng)環(huán)境的安全擴(kuò)展要求主要增加的內(nèi)容包括“感知節(jié)點(diǎn)的物理防護(hù)”、“感知節(jié)點(diǎn)設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全”、“感知節(jié)點(diǎn)的管理”和“數(shù)據(jù)融合處理”等方面[7]。

2 網(wǎng)絡(luò)安全架構(gòu)合規(guī)設(shè)計(jì)

省級氣象信息中心作為全省氣象行業(yè)網(wǎng)絡(luò)安全核心部門，承擔(dān)對全省網(wǎng)絡(luò)架構(gòu)的規(guī)劃設(shè)計(jì)、指導(dǎo)市縣級網(wǎng)絡(luò)安全建設(shè)的職責(zé)。目前，山東氣象部門網(wǎng)絡(luò)安全建設(shè)工作，已針對全省氣象行業(yè)網(wǎng)絡(luò)系統(tǒng)建成信息系統(tǒng)、大數(shù)據(jù)云平臺、云計(jì)算資源平臺、移動互聯(lián)系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)等多個系統(tǒng)，圍繞“一個中心三重防護(hù)”的網(wǎng)絡(luò)安全等級保護(hù)2.0建設(shè)思路，并結(jié)合“功能劃分”、“流量編排”等創(chuàng)新歸類劃分方式和新要求下的安全產(chǎn)品及服務(wù)，對新納入等保2.0的新技術(shù)的新系統(tǒng)平臺，合理劃分并確定等級保護(hù)的對象，對等級保護(hù)對象進(jìn)行安全防護(hù)工作建設(shè)規(guī)劃。針對所確定的等級保護(hù)對象及所定級別，初步設(shè)計(jì)出能夠?yàn)槲沂庀笙到y(tǒng)等級保護(hù)2.0防護(hù)能力建設(shè)提供參考作用，符合等保2.0測評要求的解決方案，應(yīng)用于等保2.0安全防護(hù)建設(shè)工作中。

結(jié)合山東氣象信息網(wǎng)絡(luò)現(xiàn)狀，初步設(shè)計(jì)符合網(wǎng)絡(luò)安全等級保護(hù)2.0核心技術(shù)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全架構(gòu)合規(guī)設(shè)計(jì)，圖1為我省規(guī)劃設(shè)計(jì)出滿足新技術(shù)標(biāo)準(zhǔn)要求的網(wǎng)絡(luò)設(shè)計(jì)拓?fù)鋱D。

圖1 新技術(shù)標(biāo)準(zhǔn)下的網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)圖

首先，按照需求嚴(yán)格劃分內(nèi)網(wǎng)與外網(wǎng)區(qū)域邊界，同時(shí)內(nèi)網(wǎng)業(yè)務(wù)與外網(wǎng)區(qū)域需通過網(wǎng)閘做好有效的強(qiáng)邏輯隔離防護(hù)措施，必要時(shí)需斷開網(wǎng)閘設(shè)備，以確保內(nèi)網(wǎng)環(huán)境的絕對安全。其次，根據(jù)網(wǎng)絡(luò)區(qū)域功能的屬性，對網(wǎng)絡(luò)區(qū)域邊界進(jìn)行劃分，這符合新標(biāo)準(zhǔn)中對安全通用要求的控制項(xiàng)相關(guān)內(nèi)容要求。同時(shí)，針對業(yè)務(wù)服務(wù)器及云計(jì)算平臺，按照擴(kuò)展要求的內(nèi)容，加強(qiáng)縱向及橫向的安全防護(hù)，并注重物理環(huán)境的安全及容災(zāi)備份的能力提升。從區(qū)域劃分、邊界防護(hù)、縱向橫向防護(hù)提升及容災(zāi)備份等方面，全面提升省級氣象網(wǎng)絡(luò)安全的防護(hù)能力及業(yè)務(wù)安全運(yùn)行的能力。

3 等保2.0標(biāo)準(zhǔn)技術(shù)要求在信息化建設(shè)工作中的落實(shí)情況

3.1 建立安全運(yùn)營中心

遵循等保2.0標(biāo)準(zhǔn)中提出的“一個中心，三重防御”的思想，重點(diǎn)建設(shè)以安全態(tài)勢感知平臺為核心的安全運(yùn)營中心，實(shí)現(xiàn)基于大數(shù)據(jù)分析建模、網(wǎng)絡(luò)威脅深度挖掘、在大數(shù)據(jù)驅(qū)動的智能化追蹤溯源，使省級氣象信息中心能夠具備更強(qiáng)的威脅監(jiān)測和預(yù)警能力。在省級氣象網(wǎng)絡(luò)系統(tǒng)應(yīng)用態(tài)勢感知技術(shù)，首先要部署態(tài)勢感知技術(shù)所需要的基礎(chǔ)功能模塊，包括：流量采集、日志采集探針、關(guān)聯(lián)規(guī)則引擎及安全大數(shù)據(jù)分析平臺[1]。

建立安全運(yùn)營中心，也稱作安全運(yùn)維中心，將市級、縣級統(tǒng)一收集到的安全監(jiān)測信息如流量及日志等內(nèi)容進(jìn)行存儲，并通過大數(shù)據(jù)分析技術(shù)進(jìn)行統(tǒng)一的分析排查，形成各類安全相關(guān)的監(jiān)測告警信息。各級氣象部門負(fù)責(zé)安全運(yùn)維的一線、二線、三線安全技術(shù)人員，按照管理流程對安全事件進(jìn)行流轉(zhuǎn)處置，對不同級別的安全告警進(jìn)行分工處理，并進(jìn)行定期安全事件回顧，持續(xù)改進(jìn)提升安全有效性。

為應(yīng)對各類安全風(fēng)險(xiǎn)，按照縱深防御理念，經(jīng)過多年的不斷建設(shè)及網(wǎng)絡(luò)安全系統(tǒng)的不斷完善，山東省氣象信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)按照原網(wǎng)絡(luò)安全建設(shè)標(biāo)準(zhǔn)，已部署一系列安全防護(hù)設(shè)備和檢測措施，如防火墻、入侵檢測和防護(hù)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、終端管理系統(tǒng)等[1]，構(gòu)建完成了點(diǎn)狀防御體系。但點(diǎn)狀防御存在眾多局限，并不能形成有機(jī)整體，比如對大量的安全日志和事件無法系統(tǒng)地進(jìn)行處理，嚴(yán)重影響安全運(yùn)營的工作效率。按照新標(biāo)準(zhǔn)的思路，尋求優(yōu)化方案，山東省級氣象信息網(wǎng)絡(luò)系統(tǒng)上線了SOC態(tài)勢感知平臺，實(shí)現(xiàn)對安全態(tài)勢的集中感知管控，形成有力保障。SOC感知平臺有機(jī)地將技術(shù)、設(shè)備及人員進(jìn)行結(jié)合。

3.2 開展主動防御

山東省級氣象信息網(wǎng)絡(luò)系統(tǒng)中除了部署防火墻、IPS等傳統(tǒng)防護(hù)設(shè)備外，還使用APT預(yù)警平臺實(shí)現(xiàn)等保2.0標(biāo)準(zhǔn)中對入侵防范的要求，與新標(biāo)準(zhǔn)中所要求的“采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析”并“實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析”。APT攻擊是指不斷利用新型的攻擊手段，持續(xù)性對特定目標(biāo)進(jìn)行網(wǎng)絡(luò)攻擊的一種形式，利用零日漏洞等手段可繞過傳統(tǒng)安全設(shè)備的防線，對當(dāng)前網(wǎng)絡(luò)安全產(chǎn)生巨大威脅，系統(tǒng)入侵防御措施在合規(guī)及自身安全需求層面都難以滿足要求，而ATP預(yù)警平臺持續(xù)檢測攻擊行為并與運(yùn)營中心對接，從而實(shí)現(xiàn)對攻擊手段的主動防御，提供更高級的安全保障。

3.3 加強(qiáng)縱深防御

山東省級氣象信息網(wǎng)絡(luò)系統(tǒng)在安全管理中心、安全管理制度等層面不斷完善，在物理環(huán)境、區(qū)域邊界、計(jì)算環(huán)境等業(yè)務(wù)層面開展縱深防御建設(shè)工作，形成管理與技術(shù)統(tǒng)一的縱深防護(hù)體系?？v深防御體系的建立，首先要以零信任的原則劃分網(wǎng)絡(luò)區(qū)域，對上級氣象部門信息系統(tǒng)及下級氣象部門信息系統(tǒng)進(jìn)行防御，實(shí)現(xiàn)安全事件發(fā)生后，控制事件的影響范圍。在典型的網(wǎng)絡(luò)安全入侵事件中，攻擊者利用暴露的互聯(lián)網(wǎng)入口進(jìn)行漏洞掃描，利用如遠(yuǎn)程命令執(zhí)行等漏洞，可以輕松獲得控制權(quán)限，甚至可以提權(quán)至更高的系統(tǒng)權(quán)限，而后利用跳板，進(jìn)行縱向滲透橫向蔓延，獲得更多內(nèi)網(wǎng)權(quán)限。應(yīng)對此類安全事件，必須按照等保新標(biāo)準(zhǔn)的要求，加強(qiáng)縱深防御，切斷滲透環(huán)節(jié)，有效阻止攻擊的不斷蔓延。因此，在安全防護(hù)技術(shù)不斷發(fā)展的當(dāng)下，山東氣象部門安全防護(hù)體系的建設(shè)堅(jiān)持完善縱深防御的原則，在網(wǎng)絡(luò)層、應(yīng)用層、系統(tǒng)層，再到用戶層、業(yè)務(wù)層等層面進(jìn)行層層加固的縱深防御，結(jié)合完善的安全管理制度，共同構(gòu)建深厚的縱深防御體系。

4 結(jié)束語

等保2.0新規(guī)契合當(dāng)前信息化建設(shè)工作中技術(shù)手段不斷創(chuàng)新、業(yè)務(wù)處理能力不斷提高的特點(diǎn)，順應(yīng)新形勢，要求系統(tǒng)責(zé)任單位在網(wǎng)絡(luò)安全保障方面使用更先進(jìn)的技術(shù)手段和防護(hù)措施，切實(shí)提高安全運(yùn)營能力。山東省級氣象信息部門按照等保2.0要求已完成相關(guān)信息化建設(shè)工作，以態(tài)勢感知平臺為核心的安全運(yùn)營中心基于大數(shù)據(jù)分析技術(shù)，使本省的氣象網(wǎng)絡(luò)系統(tǒng)具備更強(qiáng)的威脅監(jiān)測和預(yù)警能力，安全事件響應(yīng)速度得到極大提高；攻擊預(yù)警平臺的應(yīng)用使整體網(wǎng)絡(luò)安全防護(hù)中大幅提高發(fā)現(xiàn)零日漏洞利用、未知惡意代碼等高級攻擊行為的能力；縱深防御體系為業(yè)務(wù)系統(tǒng)高效平穩(wěn)運(yùn)行提供多方面保障，在病毒傳播、木馬攻擊、APT攻擊事件日益增多的網(wǎng)絡(luò)環(huán)境下，通過嚴(yán)格落實(shí)網(wǎng)絡(luò)安全建設(shè)工作，切實(shí)保障網(wǎng)絡(luò)環(huán)境的安全、健康。

[1]陳澍，孟金，馮勇，等. 態(tài)勢感知技術(shù)在省級氣象網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用[J]. 信息技術(shù)與信息化，2020（10）：127-129.

[2]劉黎明，辛力.《網(wǎng)絡(luò)安全法（草案）》評析[J].上海政法學(xué)院學(xué)報(bào)（法治論叢），2016，31（05）：63-70.

[3]任婷，于城. 從新技術(shù)角度談等級保護(hù)2.0[J]. 信息通信技術(shù)，2018，12（06）：12-17.

[4]李丹，楊向東，馬卓元，等. 等保2.0視域下的網(wǎng)絡(luò)安全工作思考[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（10）：11-12.

[5]馬力，祝國邦，陸磊. 《網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239-2019）標(biāo)準(zhǔn)解讀[J]. 信息網(wǎng)絡(luò)安全，2019（02）：77-84.

[6]何占博，王穎，劉軍. 我國網(wǎng)絡(luò)安全等級保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J]. 信息技術(shù)與網(wǎng)絡(luò)安全，2019，38（03）：9-14+19.

[7]馬力，陳廣勇，祝國邦. 網(wǎng)絡(luò)安全等級保護(hù)2.0國家標(biāo)準(zhǔn)解讀[J]. 保密科學(xué)技術(shù)，2019（07）：14-19.

山東省氣象局青年科研基金項(xiàng)目“網(wǎng)絡(luò)安全等級保護(hù)2.0技術(shù)在氣象信息網(wǎng)絡(luò)中的應(yīng)用”（2019SDQN04）