摘要：漳州市氣象網絡安全的建設以國家等級保護相關政策和技術標準要求為依據， 結合信息網絡安全現狀， 從外網系統和內網系統構建相應的安全保障系統， 以主機安全、網絡安全、數據安全、應用安全、安全管理為目標， 建成“分區分域、多層防護”的市級氣象信息網絡安全防御體系。

關鍵詞：氣象； 網絡安全； 安全防護；

在氣象局機房內部署網絡安全系統， 按照網絡安全管理二級標準， 完善全市信息安全體系， 加強市、縣信息網絡安全， 在互聯網連接部分部署防火墻、入侵檢測等設備， 局域網內部計算機上安裝集中式防病毒軟件， 及時進行病毒定義更新。同時增加數據庫審計系統， 實現對數據庫非法調用進行監控管理與及時預警。網絡安全系統按照等級保護要求， 結合實際業務系統， 對網絡核心業務系統進行充分調研及詳細分析， 將網絡核心業務系統系統建設成為一個及滿足業務需要， 又符合等級保護系統要求的業務平臺。

建設一套符合國家政策要求、覆蓋全面、重點突出、持續運行的信息安全保障體系， 達到國內一流的信息安全保障水平， 支撐和保障信息系統和業務的安全穩定運行。該體系覆蓋信息系統安全所要求的各項內容， 符合信息系統的業務特性和發展戰略， 滿足網絡信息安全要求。

1 氣象網絡安全建設的技術性能要求

漳州市氣象局安全策略與管理體系依據國際國內規范及標準， 參考信息網絡安全管理標準的最佳實踐ISO 27001, 結合漳州市氣象局的實際情況， 標準進行建設。

所有設備設施在部署過程中要求不影響日常工作或將影響降低到最低為前提的情況下制定的， 在目標時間內完成對下一代防火墻系統、網絡準入控制系統、網絡/數據庫審計系統、網閘系統、入侵防御系統、漏洞掃描系統、服務器、上網行為管理系統、殺毒軟件系統的安裝及測試。應保證在規定時間范圍內， 盡量縮小網絡的斷網時間， 減少因此帶來的不便和損失。

2 氣象信息網絡安全設備的部署

網絡安全系統的安全措施框架依據“積極防御、綜合防范”的方針， 以及“管理與技術并重”的原則， 并結合了等級保護的基本要求；部署以下子系統：

2.1 下一代防火墻系統

為保證業務在后續發展， 在內網核心邊界與外網區域之間部署一臺下一代防火墻設備， 對氣象內部聯絡中重要的安全域進行邊界權限控制， 嚴格控制出入網絡及各個重要安全區域的權限， 明確訪問的用戶、訪問的對象及訪問的種類， 保障正常訪問的進行， 拒絕非法及越權訪問；同時有效預防、處理不正常的網絡訪問， 確保內網網絡正常訪問活動。重點是實現內網與外部網絡的隔離。

2.2 網絡準入控制系統

在內網安全運維管理區域旁路部署網絡準入控制系統， 能夠畫出辦公終端接入的安全線， 去除一些不安全的設備和人員接入網絡， 規范用戶接入網絡的行為。網絡準入控制策略可從網絡準入身份認證、完整性健康檢查、接入管理、隔離修復四方面實現。滿足相關法律法規、內控要求。并提供日志查詢功能， 做到責任認定， 有據可查。

2.3 網絡/數據庫審計系統

在核心內網交換機上部署網絡行為/數據庫審計設備， 通過旁路偵聽的方式進行數據采集， 實現對用戶網絡訪問行為 （HTTP、TELNET、FTP、Mail等） 和相關內容的記錄、分析和還原， 對信息系統用戶擅自訪問非授權的敏感信息或蓄意篡改和破壞重要信息數據等行為進行監視和警示。

通過數據庫審計系統， 實時地、智能地解析網絡上和被審計數據庫相關的登錄、注銷， 對數據庫表和字段的插入、刪除、修改、查詢、執行存儲過程等操作， 能夠精確到SQL操作語句， 并能及時判斷出違規操作行為并進行記錄、報警， 實現數據庫的實時監控， 從而在網絡上建立起一套數據安全告警和審計機制， 為數據庫系統的安全運行及事后審計提供有力保障。

2.4 網閘系統

通過在政務外網邊界接入區部署安全網閘采系統， 符合等保要求。將整個網絡有效地進行安全域隔離， 可以實現所需要的安全控制、防病毒、抗拒絕服務攻擊。

2.5 入侵防御系統

在氣象內網區核心交換機上旁路部署入侵防御系統， 網絡入侵防御系統能夠實時檢測來自外部網絡人員利用網絡和系統自身薄弱點進行的非法入侵和攻擊、產生大量異常訪問導致服務器資源耗盡Do S/DDo S攻擊， 以及非法操作的木馬、蠕蟲等惡意程序， 并對檢測到的非法流量進行積極阻斷， 同時向管理員通報攻擊信息， 避免稅務信息系統因遭受外界網絡的惡意攻擊而導致正常的網絡通訊和業務服務中斷、計算機系統崩潰、數據泄密或丟失等等， 影響業務服務和信息交互的正常進行。

2.6 病毒過濾網關

當前， 網絡病毒、蠕蟲、木馬、流氓軟件等各類惡意代碼已經成為聯網的信息系統所面臨的重要威脅之一， 在氣象部門的網絡平臺的邊界防護區部署具備惡意代碼檢測和過濾功能的病毒過濾網關， 對進出的網絡數據流進行病毒、惡意代碼掃描和和過濾處理， 并提供病毒代碼庫的自動或手動升級， 徹底阻斷病毒、蠕蟲及各種惡意代碼向網絡內部傳播。

2.7 漏洞掃描系統

在內網安全運維管理區域中旁路部署一套網絡漏洞掃描系統， 由專門的管理員負責， 連接在核心交換機上， 以本地掃描或遠程掃描的方式， 對各臺重要的網絡設備、主機系統及相應的操作系統、應用系統等進行全面的漏洞掃描和安全評估。通過從不同角度對網絡進行掃描， 可以發現網絡結構和配置方面的漏洞， 以及各個設備和系統的各種端口分配、提供的服務、服務軟件版本等存在的安全弱點。系統提供詳盡的掃描分析報告和漏洞修補建議， 幫助管理員實現對政務內網， 尤其是其中的重要服務器主機系統的安全加固， 提升安全等級。網絡漏洞掃描設備支持進行遠程的管理和掃描， 能夠進行自動和手動的漏洞庫升級， 保證隨時擁有檢測最新漏洞的能力。

2.8 上網行為管理系統

在互聯網區域部署網絡上網行為管理系統， 需要及時更新應用規則庫， 并按照規定制定審計規則。通過在線監測的方式進行數據采集， 能夠分析網絡中的數據包、流量信息， 通過對相關協議進行分析， 對網絡通信行為和內容進行記錄和統計， 幫助發現網絡中的異常流量和違規行為。上網行為審計的重點對象是內網用戶終端的網絡訪問行為， 支持多種網絡應用協議的監控、還原和審計， 例如對通過HTTP、FTP、SMTP等方式訪問業務系統的用戶登錄、用戶登錄IP地址、訪問時間、訪問內容等進行監控和審計。上網行為管理系統能夠對網絡中的流量控制以及上網行為審計做全面的監控與審計策略， 以有效保護重要數據的安全性， 并為事后取證提供支持。

3 漳州市氣象信息網絡結構形式

經過近網絡安全環境的改造和不斷完善， 漳州市氣象網絡按照網絡不同的用途進行不同的安全要求：一是安全等級要求最高的氣象內部局域網， 主要用于氣象專用數據的傳輸和內部信息的流轉；二是以執法專線與相關政府機構連接的政務專網；三是通過網閘進行數據轉換接入的氣象網站， 供用戶、大眾瀏覽使用的互聯網。

4 氣象信息網絡安全的完善思路

通過氣象網絡安全方面的建設， 首先要加強本部門業務科技人員的安全意識， 制定規范、嚴格的流程管理制度和業務流程。做到責任明確， 通過網絡硬件設備記錄詳細的網絡訪問行為， 通過安全審計功能， 能及時發現不文明的網絡行為。通過定期的組織信息安全方面的培訓， 對氣象部門網絡和個人電腦、服務器的關鍵點進行長期信息收集、分析得出薄弱點和加強防護之處提高網絡安全的效率， 規避風險。

圖1 漳州市氣象局網絡結構圖

參考文獻

[1]林志雄等。地理知識云服務系統的安全等級保方案設計與安全功能邏輯評估?；ヂ摼W論文庫。2016
[2]陳進等。淺析信息安全風險與防護策略[J].福建電腦。2011, 27 （8）
[3]蔣志田等。電子政務系統安全問題的研究與實踐[J].北京郵電大學。2009, 15 （13）