沧州市气象局信息网络系统等级保护的建设与思考

沧州市气象局信息网络系统等级保护的建设与思考

田梦周王晋生吕运洲

河北省沧州市气象局

引言

随着气象业务现代化进程不断加快，气象信息网络日益庞大，气象数据交换量和承载业务量不断扩大。在负责收集转发大量实时业务气象数据的同时，还要承担起气象办公过程中的数据传输和业务交换。气象业务种类和网络承载能力需求呈现出快速增加的趋势，此时信息网络安全问题开始凸显，气象信息网络系统内的业务数据面临着随时被修改、删除、篡改的风险，加强气象信息网络系统等级保护已逐渐成为气象业务建设和发展的重要环节。因此，沧州市气象部门应以合理规划和科学管理为前提，将提升信息安全性和可靠性水平作为重点，加强市级气象信息网络系统规划建设，为市级气象部门各业务的开展提供坚实的信息网络支撑。

1、建设信息网络系统等级保护的必要性

1.1数据日益增多，增强数据传输的稳定性

近些年来，随着气象信息网络技术的快速发展，市级气象部门的网络环境日益优化和改善，基本解决了气象部门中的通信链路带宽的问题。因不同种类的气象观测资料数量不断增多，通过新型自动站、区域自动站、新一代天气雷达、闪电定位仪等仪器观测到的气象要素数据信息均需要通过市级信息网络系统上传到省级信息中心，尤其是区域自动站数量和传输频次的增加，针对数据转发过程中转发能力较为薄弱，设备承担的业务量同现代化气象业务发展需求间还有一定的差距存在。

1.2是发展气象业务的内在需要

当前，气象信息网络系统等级保护建设已逐渐引起了各级气象部门的高度关注，并相继开展了一系列同信息系统安全相关的等级保护工作，严格按照信息安全等级保护的相关要求，实施信息系统与信息安全的过程中，始终遵循"同步规划、同步建设和同步投入运行"的三同步原则。因此，建设一套同国家政策要求相符，覆盖全面、重点突出且持续运行的信息网络系统，并达到国内一流的信息安全保障水平，是发展气象业务的内在需求。

2、信息网络系统等级保护建设策略部署

2.1下一代防护墙系统

为确保后续气象业务工作可以顺利开展，可将下一代防火墙设备设置在内网核心边界与外网区域间，并通过设置对应权限来控制气象内部联络中的安全域，对出入网络和各个重要安全区域的权限进行严格控制，并对访问用户、对象及访问种类进行明确，确保正常访问工作的开展，应避免出现非法访问和越权访问的情况；针对不正常的网络访问需及时进行处理，保证区域内网络防火的正常进行，应将重点放在隔离内网和外部网络上。

2.2网络/数据库审计系统

在核心内网交换机上设置网络/数据库审计系统，而数据采集的过程中则选择旁路侦听方式，可记录、分析和还原网络访问的相关内容等，同时还能实现对擅自访问非授权的敏感信息的访问人或对重要信息数据随意进行篡改和破坏的个人进行警告或监督。在数据审计系统的作用下，针对数据库表和字段内的增加、修改、删除、储存以及同被审计数据库相关的登录、注销等操作行为进行智能解析，解析中可精确到操作行为的SQL语言，可第一时间找出违规操作行为，在生成记录、报警提示后，实时监控数据库，并在网络上建立一套科学有效的数据安全告警和审计机制，以确保后续数据库系统可安全稳定运行和事后审计工作顺利开展。

2.3网络准入控制系统

通过在内网安全运维管理区域旁部署网络准入控制系统，可将从办公室端接入的安全线画出，并在该网络中接入安全性不高的设备和人员，进而达到规范用户接入网络的行为。工作人员应分别从网络准入身份认证、健康检查、接入管理、隔离修复四个方面来实现网络准入控制，同时还要确保其符合法律法规等相关要求。还要能实现日志查询，以落实责任，有数据供相关人员查询。

2.4存取管理技术

对数据信息进行存储和管理是计算机网络数据库的主要作用，对于取得对应权限的用户可以查看、访问数据，根据用户等级，数据库为其提供查看、访问的数据。在无外界因素干扰时，这种访问方式可确保数据库安全，但现实生活中受到计算机病毒、黑客攻击等的影响，数据库安全的稳定性不断下降。非法入侵者可对数据库中的信息直接接触，进而导致数据泄露、篡改等。此时，可选用存取管理技术，也就是检验计算机登入系统和用户账号权限，避免非法用户入侵。存取管理技术会检查账号外在情况，确认是默认的用户后，检测账号访问数据的有关权限。通过对比分析用户的外在情况和访问权限，判断用户访问的数据是否在访问权限内，若不是，系统会终止用户访问，以确保数据库信息安全。

2.5病毒过滤关

随着网络技术的快速发展，网络病毒、木马、流氓软件、蠕虫等各类恶意代码严重威胁着气象网络系统安全。因此，应将恶意代码检测和过滤功能的病毒过滤网关设置在气象网络系统边界防护区内，可实现扫描、过滤处理恶意代码检测和过滤功能的病毒过滤网关，对通过网络进出的数据实现病毒、恶意代码扫描等，并利用自动或手动方式实现病毒代码库的升级，避免其向网络内部进行传播。

2.6漏洞扫描系统

可将网络漏洞扫描系统设置在内网安全运维管理区域中旁，并交给专门的管理人员负责，同核心交换机进行连接，通过本地扫描或远程扫描的方式实现主机系统、重要网络设备、操作系统、应用系统等的漏洞扫描和安全评估工作。从不同角度实现网络的扫描，以及时找出网络结构及配置方面的漏洞，防止出现安全隐患。漏洞扫描系统会向管理人员提供详细的扫描分析报告及对应的漏洞修补建议，以更好的对气象信息网络系统进行管理，特别是要重点关注服务器主机系统的安全加固，增强其的安全等级。

结论：

综上所述，气象信息网络系统是气象部门开展气象预报、业务应用运行和内部办公的承载平台，气象信息安全也是安全生产管理中的重要组成部分。各种信息化安全防护技术在气象部门中得到了广泛应用，且取得的效果较为显著，增强了气象业务的安全性和可靠性水平。与此同时，气象部门应该认识到并不是将各种安全设备进行堆砌就能达到预期目标，应将本部门实际和气象网络系统特点进行结合，将中长期规划工作做好。在适度安全原则的基础上，对本部门的安全防护技术进行分阶段、有针对性的部署，并进一步强化管理措施，找出成本投入与安全目标间的平衡点，为建设具有本部特色的气象信息网络安全防护系统而努力。

参考文献：

[1]信息安全技术信息系统安全等级保护基本要求GB-T22239-2008,中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会，2008-11-01.

[2]周国勇,陈磊.信息系统安全检查工作体系设计研究[J].信息网络安全,2012(8)：167-169.

[3]韩阜业,陈震,梁勇等.基于覆盖网的协同式网络安全防护与分析系统[J].信息网络安全,2012(4):7-13.