[省级气象网络安全分析及防范探析] 网络安全知识教育

　　【摘 要】随着网络规模逐步扩大，网络信息在逐步开放和共享的同时也来越不安全，各种各样的混合型入侵越来越多，单一的预防模式很难抵御外来的威胁。一旦出现问题将会严重威胁业务的传输和数据的安全，影响气象为防灾减灾服务，如何保护重要气象资料，保障气象网络与互联网、外部网络进行正常通信成为部署气象信息网络安全设备的首要任务。
　　【关键词】气象网络；安全防范；等级保护；入侵防御；审计
　　1.引言
　　目前，全省气象宽带网络系统采用SDH点到点专线和VPN组网技术，连接省级中心和17个市级系统、2个管理处及63个县级系统，通过主、备方式来保证线路的可靠稳定性。省局机关地理位置与气象科技园相距约6公里，两端网络系统采用千兆光纤直接相连。通过MPLS VPN和MSTP线路与国家气象信息中心通信，将省级气象数据实时传送到国家气象信息中心。整个宽带网内利用了多种网络技术，如OSPF、BGP、IPSEC VPN、VLAN、STP、策略路由等[1]。
　　电视会商系统、相关预报系统及其产品、雷达资料、观测资料及办公自动化系统已经在全省气象宽带主干网络系统中传输，随着气象部门各项气象业务的发展，宽带网络系统越来越多的承担着数据收集与交换、资料共享、电视会商等重要业务系统的信息传输任务。随着网络规模逐步扩大，网络信息在逐步开放和共享的同时也来越不安全，各种各样的混合型入侵越来越多，单一的预防模式很难抵御外来的威胁。一旦出现问题将会严重威胁业务的传输和数据的安全，影响气象为防灾减灾服务。
　　因此如何保护重要气象资料，保障气象网络与互联网、外部网络进行正常通信成为部署气象信息网络安全设备的首要任务。
　　2.网络安全隐患综合分析及安全现状
　　2.1 网络安全隐患
　　国内外的相关资料显示，目前影响网络系统安全的原因主要有四种：非授权访问、信息泄露、拒绝服务、病毒的危害。
　　现在气象网络规模较大，大量网络设备如交换机、路由器等分布在不同的地方，全面安全管理较困难。网络中的计算机使用大量的操作系统和应用软件，系统或软件的漏洞会导致计算机成为气象网络的被攻击的后门和隐患。计算机病毒是网络安全最大的威胁，网络环境下传播速度快，有着巨大的破坏性，防范查杀较为困难。内部用户对网络资源的滥用，特别是BT等P2P的下载占用了大量的网络带宽，对正常业务的网络需求受到影响。
　　ARP欺骗攻击、移动存储设备传播的病毒与木马、新型恶意代码的威胁等，都曾严重影响气象网络和信息系统的安全运行。
　　2.2 网络安全现状
　　2008年，按照国家信息安全等级保护的相关要求，省气象局启动了信息安全等级保护定级工作，但目前仅完成信息系统定级阶段，安全建设现状与已确定的等级要求间也存在一定差距，这表现在物理安全情况多样；网络安全设施薄弱，网络安全防护不全面；部分人员安全意识淡薄，系统安全防护不到位；安全组织机构尚不健全，安全管理能力有限。
　　目前宽带网络仅通过部署防火墙实现了最基本的访问控制，对于内部网络攻击、网络异常流量、资源非法访问和网络病毒传播等都缺乏有效的应对手段，难以发现和追踪各类安全入侵事件，给整个网络的安全稳定运行带来极大的隐患。
　　因此需要进行网络安全检测、评估、整改和加固，同时，还必须从安全管理要求出发，建立健全管理制度、系统建设管理和系统运维管理等基本安全管理措施。
　　3.网络系统安全的防护策略
　　3.1 网络安全的需求分析
　　依照等级保护中要求信息系统与信息安全“同步规划、同步建设、同步投入运行”的三同步原则和安全技术要求，通过对省级网络实际情况进行分析和信息安全建设情况调研，根据省级网络结构，从网络的各层次所带来的风险进行分析，同时结合信息系统安全建设现状，有针对性地为省级信息网络系统提供安全保障，须加强环境、传输、网络、主机、应用、运行管理等方面的安全措施[2]。
　　3.1.1 物理环境安全需求
　　主要包括：机房选址、机房建设、区域控制、门禁措施、重点部位监控、电磁泄露发射保护等方面。
　　3.1.2 网络安全需求
　　信息系统的很多风险都来自网络，网络防护要求建设全面的网络安全基础设施，能够对进出本安全域的信息和数据进行严格的控制，并能够及时发现和响应各种网络攻击与破坏行为等。
　　3.1.3 主机安全需求
　　操作系统安全和数据库系统安全是深层的安全问题，需要建立病毒及恶意代码的预警和响应机制，能及时发现和响应各种病毒及恶意代码的攻击、破坏和信息泄露行为；需要提供技术手段实现操作系统漏洞的及时升级和补丁的安装；需要对用户终端采用技术手段，防治终端的病毒和恶意代码，防止违规外联；需要对安全事件的进行记录，实现对服务器和重要客户端上的每个操作系统用户和数据库用户的安全审计，并进行有效的责任认定等。
　　3.1.4 应用及数据安全需求
　　需要建立身份认证机制，保证系统敏感或重要数据的完整性、保密性和抗抵赖性等，需要实现对系统的粗粒度的访问控制和应用的细粒度访问授权。
　　3.1.5 安全管理需求
　　信息系统的安全“三分技术、七分管理”，解决信息系统的安全问题不应只从技术方面着手，更应加强安全管理工作。需要建立安全管理组织，制定相关安全管理制度、应急响应计划和应急状态下的安全保障措施等。
　　3.2 安全防护体系的建构
　　《等级保护基本要求》中第三级及第二级网络安全要求包括：网络的结构安全、网络边界访问控制、网络安全审计、网络边界完整性检查、网络入侵防范、网络边界恶意代码防范、网络设备安全防护等内容。
　　根据省级系统的安全现状，按照集约化建设原则，在充分利用已有的安全基础设施基础上进行补充建设，其中，网络结构安全已在网络系统设计中进行了相应设计，主要通过线路、设备的冗余设计进行实现。在省级的宽带网接入系统、Internet接入系统、行业用户专网各网络系统中通过安全基础设施的部署达到防护目的。在宽带网中完善访问控制、入侵防御、网络审计、终端安全管理能力，在Internet接入及局域网边界完善访问控制、入侵检测、终端安全管理能力，对本级的信息系统进行整体的安全监控、审计管理等，提供基础的身份认证平台[3]。