遼寧氣象信息網絡安全建設

陳雨+任川+張元龍

摘要：隨著遼寧氣象信息網絡的不斷發展，網絡安全問題對氣象業務和科研的影響越來越大。論文介紹了遼寧氣象信息網絡安全建設的基本方法和應用技術，為信息網絡安全的建設與應用提供了一定的參考。

關鍵詞：氣象信息；網絡安全；防護

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）02-0036-02

遼寧氣象信息網絡采用業務網絡與互聯網物理隔離，業務網絡采用雙運營商MSTP專線傳輸線路。目前遼寧省已建成覆蓋省市縣三級氣象部門的氣象通信地面廣域網絡系統，省級至沈陽市氣象局接入帶寬達100Mbps（雙鏈路），至大連市氣象局接入帶寬達50Mbps（雙鏈路），其他市級接入帶寬26Mbps（雙鏈路），縣級接入帶寬10Mbps；建成了帶寬20Mbps的移動APN專線；新增視頻會商網絡作為備份網絡，市級接入帶寬8Mbps，縣級4Mbps。我省氣象通信地面廣域網絡系統部署有雙設備，省氣象局與各市局之間采用雙廣域網鏈路進行互聯。

1 影響信息網絡的安全因素

1.1 物理風險

服務器運行的物理安全環境是最容易被人所忽略的。物理風險主要是指服務器托管機房的設施狀況，包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到服務器的壽命和所有數據的安全，例如發生火災、水災、地震和雷擊等自然災害或斷電事故等。

1.2 防護風險

用戶的安全意識淡薄是防護不足的一個最主要的原因。很多用戶在計算機使用過程中確實防護措施，例如不安裝防火墻等防護軟件，不及時修復系統及軟件漏洞等，這些都會給病毒和木馬的網內爆發和蔓延帶來隱患。

1.3 攻擊風險

攻擊風險包含病毒傳播和黑客攻擊兩個層面。計算機病毒具有傳染性、隱蔽性、破壞性、寄生性等特點，經過網絡或優盤傳播。單機感染尚且會給用戶帶來損失，一旦形成網絡蔓延，嚴重時會威脅整個網絡的正常運行。黑客利用網絡和系統的漏洞，通過植入木馬、病毒和隱藏指令等手段，控制用戶計算機和服務器，竊取信息和資料，篡改網站數據等，給網絡系統帶來極大危害。

1.4 網絡管理體系風險

未形成全面的信息安全管理制度體系，缺失部分安全策略、管理制度、操作規程，可能導致網絡管理體系存在疏漏，部分管理內容無法有效實施，使相關工作過程缺乏規范依據和質量保障，進而影響到信息系統的安全建設和安全運維。

實現網絡安全的過程是復雜的。這個復雜的過程需要嚴格有效的管理才能保證整個過程的有效性，才能保證安全控制措施有效地發揮其效能，從而確保實現預期的安全目標。因此，建立網絡安全管理體系是網絡安全的核心。

2 遼寧氣象信息網絡安全建設

遼寧氣象信息網絡的安全建設是針對信息網絡安全風險建立起來的。

2.1 物理安全建設

遼寧氣象信息網絡外部線路采用雙鏈路、雙設備；雙運營商、雙方向接入建設方針，不同運營商互為備份，利用不同線路管道接入中心機房，外線影響大為降低，近幾年偶爾有單線斷路情況，都未影響到實際應用。中心機房采取樓層全封閉，有效隔離自然環境影響，機房內按業務分區劃分小機房，降低人員出入給機房環境帶來的影響。機房內完全隔離水，采用稀有氣體滅火器。柴油發電機和大功率UPS設備，可有效保證設備在斷電情況下平穩運行3至8小時。安排值班人員7*24小時監控，每日4次的巡視和開發的實時監控平臺，可以有效降低物理安全隱患。

2.2 遼寧氣象信息網絡防護系統

（1） 合理的網絡結構規劃

遼寧氣象信息網絡采用雙冗余設備架構，主備設備之間設置心跳線相連，經實際測試，主備設備的自動切換時間小于5秒。信息網絡為不同的業務部門劃分VLAN，有效防止廣播風暴。在樓層設備間設置樓層匯總交換機，有效利用局域網絡帶寬。

（2） 多層防護設備的部署

遼寧氣象信息網絡內部部署防火墻、DDOS攻擊防御設備、入侵防御系統（IPS）、入侵檢測系統（IDS）、防病毒網關、漏洞掃描及流量控制等設備，開發了基于Solarwinds的網絡監控系統，并在每個單獨子系統服務器上安裝了防火墻軟件，能夠經受網絡自身攻擊以及過濾通信。這些防范措施構建起一個安全屏障。

（3） 多種技術的應用

VPN。VPN技術即虛擬專用網絡技術，通過建立臨時的點對點虛擬通道構建網絡專用鏈接，可為網絡安全帶來一個很好的解決方案，通過這種技術可以實現對數據的多倍加密，進而實現安全通信的目的。氣象通信網絡系統采用內外網絡物理隔離，在防火墻上設置VPN權限，配合防火墻技術、數據加密技術以及身份驗證技術等，構建一個較為安全的數據環境。

身份驗證。這一技術有包括身份識別及身份認證兩個方面，這一技術又包括身份識別及身份認證這兩個方面，所謂身份是被主要是指用戶想系統表明身份的過程，而身份認證主要是系統對用戶的身份進行核對，以避免冒名使用的情況。遼寧氣象信息網絡系統除了VPN身份認證，主要采用了靜態IP綁定主機MAC地址的身份識別技術，確保用戶身份信息的準確。

數據加密及備份。這一技術是利用加密密鑰及加密函數來完成密文與明文的轉換，進而實現對信息的保護，這是網絡安全技術中最為基礎的一個技術。在具體的工作中，加密技術又可以分為不可逆加密、對成型加密以及不對稱型加密這幾種，通過這些技術我們可以實現信息傳輸的完整性和保密性。除了對數據進行加密存儲外，由于存在數據丟失、系統斷電、機房著火等意外，需對系統數據進行備份。按照備份環境，備份分為本地備份和異地備份；按照備份數據量的多少，備份分為全備、增備、差分備份和按需備份。

（4） 高效的管理措施

政策的制定與應用。《中華人民共和國網絡安全法》于2017年正式實施，遼寧氣象部門嚴格按照國家相關規定實施網絡管理，并制定了一系列的管理辦法和規章制度，設置了嚴格的處罰措施。

第三方評估。每年按照相關法律法規進行系統的等級保護測評，根據評估報告，嚴格進行安全整改。

安全管理團隊的建設。設立了能夠統一指揮、協調有序、組織有力的專業的安全管理團隊，信息網絡安全人員具備較強的業務處理能力和應變能力。設備維保采用半包制，吸納供應商加入安全管理團隊，充實團隊力量。

教育與培訓。未雨綢繆比亡羊補牢要強。除了定期進行的技能培訓外，還開展了安全意識教育和培訓。

3 結束語

網絡安全建設是一個循序漸進、逐漸加強的過程，需要多方支持和共建。隨著社會和經濟發展對信息網絡的依賴越來越重，網絡安全將會得到更多人的重視。endprint