氣象業務信息化發展下的網絡安全治理初探

■ 周琰 蔣敏慧 曹磊 馬強

隨著信息化進程的不斷發展，網絡安全問題愈加突出。氣象業務信息系統作為國家級的關鍵信息基礎設施，在網絡安全方面也面臨著日益嚴峻的挑戰。

1　現狀與挑戰

1.1　氣象業務信息系統建設及安全現狀

2016年隨著全國綜合氣象信息共享平臺（CIMISS系統）實現全國業務化，國家級業務單位內部數據資源與業務應用系統集約整合等工作的有序展開，為氣象云建設夯實了基礎。按照《氣象信息化行動方案》部署，2017年將全面開展氣象云建設，提升氣象業務和政務信息化水平，氣象業務、服務、科研和管理等信息化將邁上新臺階，實現“智慧氣象”。此外，在初步建立的氣象信息化標準框架下，已完成信息化基礎設施資源池建設指南和公共云應用設計；完成氣象信息化工程項目建議書，組織工程技術預研和試點建設；數值預報云初步建成，可實現數值預報產品全國范圍內云上服務；眾創平臺試驗啟動，開展MICAPS和數值模式開源及眾智開發；初步完成氣象政務管理系統總體設計，業務管理信息系統初見成效。隨著氣象云和氣象大數據建設的不斷推進，氣象部門已經進入了云和大數據時代。

為落實國家網絡安全戰略，保障氣象業務空地一體的網絡業務傳輸格局，主要完成了如下三方面的安全建設。一是建立了相對完善的邊界安全防護體系和內部安全審計管理平臺。在全國氣象寬帶網、互聯網、外聯網（國際通信、同城部委、電子政務）等主要的通信網絡接入邊界都部署了邊界邏輯隔離設備和安全防護設施。在重要業務系統邊緣和辦公系統入出口都部署了入侵防御、安全審計和主機防護系統。初步構建了傳統安全的縱深防御體系，實現了對氣象業務系統的安全防護。二是基本完成了氣象信息系統的等級保護合規建設。全國氣象通信系統、全國氣象資料檢索服務系統、高性能計算系統、氣象官方網站、突發預警平臺等氣象核心應用系統都完成了等級保護要求的備案、整改和測評工作。三是初步建立安全事件預警通報機制。根據公安部、國家互聯網應急中心（CNCERT）和安全廠商等多種渠道發布的系統漏洞和安全威脅，再輔之以專業的攻擊溯源安全設備的檢測預警能力，能夠及時通報相關漏洞和網絡攻擊事件。綜上所述，在網絡安全方面已經具備了應對常見網絡攻擊和預警處置的安全防御能力，并取得了一定的防護效果。

1.2　氣象業務信息系統安全面臨的挑戰

雖然氣象信息系統安全建設已經取得了一定的成績，但是隨著氣象云和氣象大數據建設的不斷推進,網絡攻擊技術不斷持續高速發展，氣象業務信息系統安全仍然面臨嚴峻的挑戰。

1）攻擊技術發展帶來的挑戰

攻擊技術主要沿著兩個方向不斷發展，一個是攻擊的隱蔽性，另一個是攻擊速度。在隱蔽性方面，通過應用零日漏洞和高級逃逸技術，不斷穿透現有的防御體系。在攻擊速度方面，利用各大社區和社交平臺共享漏洞信息和利用代碼，在很短時間內發動攻擊，形成以快打慢的攻擊局面。

在前期進行的氣象網絡全面檢測中，曾先后發現多個業務服務器被植入木馬，并以該服務器為跳板對內網多臺服務實施網絡攻擊，給業務系統的正常運行帶來極大的安全風險，經過及時處理未造成影響。

2）新技術不斷應用帶來的挑戰

隨著業務的發展，特別是氣象云和氣象大數據建設的不斷推進，新技術在氣象業務信息系統中的應用越來越廣泛。氣象云基于虛擬化技術構建，從攻擊者的角度，就在網絡、主機、應用的基礎上，又增加了虛擬化平臺這個新的攻擊平面，帶來了虛擬機、hypervisor、快照、鏡像等多個攻擊點。氣象大數據作為未來業務的核心支撐，其特點在于對數據一方面提出了共享的需求，另一方面又非常敏感，一旦被非法破壞將會造成嚴重的后果。云計算和大數據等新技術正處于高速發展中，對這些新技術的安全保護研究還處于一個相對滯后的狀態。這就導致采用新技術的業務系統的安全風險比較高，易于被攻擊者利用。

3）國家新法規要求帶來的挑戰

隨著網絡安全上升為國家戰略，國家近期發布的多個法律法規文件都對網絡安全提出了要求，如《中華人民共和國保守國家秘密法實施條例》《中華人民共和國反間諜法》《國家信息化發展戰略綱要》《國家網絡空間安全戰略》《中華人民共和國網絡安全法》等。在這些法規標準文件中，《中華人民共和國網絡安全法》是專門用于規定網絡安全工作的國家法律，也是氣象行業信息安全建設必須遵循的工作規范。此外，信息安全等級保護相關標準規范修訂版（以下簡稱等級保護2.0）也已經在全國信息安全標準化技術委員會網站上公開征求意見，這也標志著等級保護2.0的正式頒布實施已經提上日程。

4） 網絡架構演進帶來的挑戰

SDN（軟件定義網絡）是公認的網絡架構的演進方向。在SDN架構下，網絡的控制層和數據層解耦合，流量調度也更加靈活。因此，必須采取全新的安全機制與之相匹配。安全界提出了SDS軟件定義安全的全新安全模式，通過安全控制器與網絡控制器聯動的設計，實現網絡和安全在軟件定義模式下的統一。但如何將SDS從理論研究應用到生產實際，依然有許多具體工作需要進一步落實。

2　氣象信息網絡安全治理需求分析

2.1　業務系統運行保障需求

保障氣象業務信息系統的安全運行，是氣象信息網絡安全治理的根本目的。經過多年的安全建設，氣象信息網絡安全治理工作已經形成了應對常見網絡攻擊的能力。因此，當前需要重點考慮的是業務系統運行過程中面臨的新問題和新風險。主要包括檢測和防御新型攻擊、控制采用新技術業務系統的安全風險、快速處置網絡安全事件等三方面的需求。

1）檢測和防御新型攻擊的需求

以高級持續性威脅（APT）為代表的新型攻擊，利用零日漏洞和多階段攻擊技術繞過現有的以特征庫匹配為主的檢測體系，達到了較高的攻擊成功率，對氣象業務信息系統的安全運行形成了較大的威脅。

2）控制采用新技術業務系統的安全風險的需求

云計算、大數據等新技術能夠提高信息資產的使用效率，提高氣象數據分析的廣度和深度，是增強氣象業務信息系統運行能力的基礎技術，已經在現有系統中開始應用。然而，從安全的角度，新技術的應用也帶來了新的風險，如基于虛擬化的云計算平臺也給攻擊者增加了新的攻擊平面，一旦hypervisor層被黑客利用，運行于其上的VM都可能被完全控制。如果氣象大數據在共享過程中被非法篡改，就可能導致基于此產生的天氣預報、氣候預測和領導決策出現偏差，導致不可估量的后果，造成嚴重的社會影響。

3）快速處置網絡安全事件的需求

隨著新技術的應用和攻防技術的發展，氣象業務信息系統面臨的安全風險不斷加大，出現安全事件的概率不斷增高。因此，必須建立一套較為完善的網絡安全事件處置機制，在安全事件發生之初就加以控制，將危害控制在最小的范圍內。

2.2　合規性需求

在合規性需求中，主要考慮網絡安全法和等級保護2.0兩方面的合規需求。

1）網絡安全法

網絡安全法于2016年11月7日發布，2017年6月1日起正式實施。它是我國第一部專用于網絡安全方向的國家法律，在氣象信息網絡安全治理方面具備非常重要的指導意義。網絡安全法的第三章專門對網絡運行安全提出了具體規定。其中對關鍵信息基礎設施的安全運營專門列出了一節的內容，規定了關鍵信息基礎設施運營者應當履行的安全保護義務以及國家對關鍵信息基礎設施安全保護采取的措施等相關內容。氣象業務信息系統總體上屬于國家關鍵信息基礎設施的范疇，必須依法進行安全保護。這也就要求氣象信息網絡安全治理必須滿足網絡安全法的相關要求。

2）等級保護2.0

信息安全等級保護的主要工作自2007年開展以來，已歷經了十年且一直在持續推進。從在國家安全標準委員會網站上公開征求意見的等級保護2.0標準規范分析，等級保護從1.0升級到2.0，整體架構和要求內容上都發生了較大的變化。在架構方面，從單一的基本要求，轉變為1+N的模式，即一個安全通用要求加不同應用方向的安全擴展要求的模式。在要求內容方面，也對新型攻擊的檢測和防范提出了具體要求。氣象業務信息系統的安全保護一直以等級保護為基本依據，今后也需要繼續依托新修訂后的2.0標準加強建設，形成氣象業務信息的基線安全能力。

3　當前網絡安全體系發展情況

1）威脅情報

威脅情報就是收集、評估和應用關于安全威脅、攻擊利用、惡意軟件、漏洞和漏洞指標的數據集合。從安全體系看，威脅情報彌補了當前靜態安全防護體系中被動反應、延后反應的不足，形成了在安全事件發生前就可進行預判的能力。

2）安全大數據分析

基于大數據對安全事件進行分析，是安全界公認的發展方向。大數據能夠通過對海量歷史數據進行安全分析建模，分析其中可能存在的多階段攻擊、未知攻擊，加強對有組織攻擊的檢測和防御能力。

3）云地結合防護

安全即服務（SECaaS）是利用云端的安全服務能力解決基于設備進行防護存在的不足。威脅情報即可看成一種云服務，此外常見的云服務還包括：DDoS云清洗、云掃描服務、網站云監控服務等，這些云安全服務和本地安全防護體系相結合，可以極大增強安全防御效果，提升安全防護水平。

4　氣象信息網絡安全治理架構設計

氣象信息網絡安全治理的基本思路是在已有安全防護體系的基礎上，以網絡安全法和信息安全等級保護2.0為指導，以保障氣象業務信息系統的安全運行為目標，綜合內外部安全資源，打造預警、防護、檢測、響應閉環的氣象信息網絡安全治理體系。總體架構如圖1所示。

4.1　安全預警能力

安全預警能力主要針對氣象業務信息系統自身脆弱性的監測和防護，主要考慮全面性和時效性兩個方面。全面性方面，既要考慮氣象業務信息系統組件自身固有的脆弱性，如操作系統、數據庫、中間件的漏洞等；也要考慮自研系統由于設計不當導致的特有缺陷，如流程設計導致的數據泄露等；還要考慮系統組件自身安全功能配置不當導致的人為問題，如弱口令、策略配置不當等。針對全面性方面的安全預警能力，主要體現在長期監控內網資產存在的安全漏洞，并根據安全行業的最佳實踐不斷調整氣象業務信息系統的安全基線，同時引入外部安全專家對系統開發過程中產生的安全問題進行檢測、發現和評估，對于重大漏洞及時修復。在時效性方面主要針對當前網絡攻擊速度不斷加快的現實狀況，結合威脅情報對發現的安全漏洞進行評估，對于在黑客社區活躍度高、出現漏洞利用代碼或出現相關安全事件的漏洞，要提升其優先級并快速修補。

4.2　安全防護能力

安全防護能力主要在已有等級保護1.0縱深防護體系的基礎上，參照網絡安全法和等級保護2.0的相關要求進行建設，重點做好云計算和大數據等新技術方面的安全防護。一是按照相關合規要求，建設和提升無線安全防護、垃圾郵件防護、個人信息防護、邊界信息內容過濾等方面的防護能力，二是建設氣象云安全防護資源池，形成泛在接入、彈性可伸縮、安全配置的安全防護能力，三是建設氣象大數據防護機制，形成覆蓋數據采集、傳輸、存儲、使用和開放等大數據全生命周期的防護能力。

圖1　氣象信息網絡安全治理架構

4.3　安全檢測能力

安全檢測能力主要以現有重要資產監控體系和網絡入侵檢測能力為基礎，重點做好兩個方面的能力提升。一是進一步豐富網絡攻擊檢測方法，增加基于流量模型的深度流檢測技術和基于行為模型的未知攻擊檢測技術，形成多維度的檢測方法體系；二是增強對檢測結果的分析，實現深度流檢測和深度包檢測結合分析，已知攻擊和未知攻擊結合分析，大數據安全分析和安全可視化相結合的多種復合分析和展示能力。

4.4　安全響應能力

安全響應能力主要以現有的應急預案體系和應急響應機制為基礎，進一步增加基于互聯網外部的安全專家團隊的協同響應模式，實現安全事件和安全風險的快速識別和確認，安全應急措施的快速擬制和應用，安全修復結果的快速確認和驗證，以及網絡攻擊事件過程的全面取證和溯源，總體上達到小時級的安全響應能力。

深入閱讀

吳世忠, 李斌, 張曉菲, 等, 2014. 信息安全技術. 北京: 機械工業出版社.

張格苗. 全國氣象信息化工作穩步推進 78個業務應用系統對接CIMISS. 中國氣象報, 2016年8月12日.