行業信息安全體系建設實踐

貴州省黔南布依族苗族自治州氣象局 黃笞 李波 汪華 曹華

隨著信息技術的持續快速發展，網絡安全形勢愈發嚴峻，大規模網絡攻擊和惡意風險持續爆發。2017 年6 月1 日《中華人民共和國網絡安全法》（以下簡稱“網絡安全法”）正式實施，將網絡安全問題提到了前所未有的高度。

筆者單位作為氣象行業單位，在信息系統安全工作方面，在較長的時期內，基本滿足了氣象信息業務的發展需要，保障了氣象業務的穩定運行。

但嚴峻的內外部網絡安全形勢和新技術的不斷發展，使得現有的安全管理模式和技術防護能力已經無法滿足不斷增長的業務需求，信息安全工作暴露出諸多問題。

安全現狀

2015 年，貴州省氣象部門確定了以氣象信息化為抓手、后發趕超、加快實現氣象現代化的目標。結合貴州氣象事業發展實際，加強頂層設計和統籌協調，以需求為導向，以創新為動力，以數據為核心，以安全為保障，在基礎設施云平臺、氣象大數據云平臺建設及大數據創新應用等方面取得了長足進步。

省級行業區、服務器區、專網區均部署了防火墻進行防護和過濾；互聯網DMZ 區部署了入侵防御、上網行為管理、SSLVPN、安全準入、防火墻等安全設備。

但安全設備和防護軟件大部分是2010 年以前建設的，設備故障頻發，部分設備已經停產，獲得技術支持困難。2018 年更新省級安全運維防護設備，通過超融合架構構建互聯網區安全資源池防護區，互聯網區安全資源池采取三物理節點集群內部署冗余虛擬化安全組件的高可用架構（包含VAC*2、VAF*2、VSSL*2），避免了原有AC、AF、SSLVPN 單物理設備面對不斷提升的網絡帶寬所導致的硬件性能瓶頸及可能會帶來的斷路風險。同時在核心交換區鏡像旁掛了數據庫防火墻安全審計設備，對整網數據庫的訪問進行實時監控、審計及告警。

市州級作為重要的廣域網接入二級匯聚節點，在信息安全體系建設中非常重要，但安全設備和防護能力一直不足?；ヂ摼W訪問區部署了傳統防火墻一類的安全防護設備，防護規則和策略不統一，廣域網邊界基本沒有有效的安全防護設備，部分市州采用了業務網和互聯網隔離的方式避免了業務網受到來自互聯網的安全威脅，但業務網內部的失陷主機和受帶惡意病毒存儲設備感染終端的各類安全攻擊事件屢禁不止，均不同程度存在通過互聯網提供氣象服務而暴露信息安全薄弱點的情況，安全隱患大，信息安全防范意識不足，網絡安全防護手段缺失。

區縣安全體系建設主要關注點在廣域網的縣級接入點，部分區縣在建設過程中基本依賴于運營商提供的初級防護能力。在近兩年區縣調研中發現部分臺站業務平臺上分別接入了兩個運營商的互聯網線路、政務外網，線路走向混亂、區域劃分不清晰的問題普遍存在。部分區縣還存在通過互聯網提供氣象服務的需求，是安全防護的薄弱環節。區縣級的安全防護主要在氣象廣域網的接入端，通過省局部署的終端認證系統確認用戶身份，通過廣域網邊界的防火墻提供接入內網的安全防護。

問題分析

全省各級氣象部門一直以來按照網絡安全等級保護要求各自開展網絡安全建設，但缺乏統籌考慮，各自為戰，在信息系統孤島基礎上形成安全孤島，難以共享和協同。同時市州縣分別都存在互聯網訪問出口，致使信息安全的防御戰線長，市州縣級安全措施部署和運維困難，安全防護不均衡，防護短板大量存在，整體防御能力處于較低水平。全省的信息安全基本依賴省級信息部門的規劃和部署，星型的網絡結構導致延展性的技術支撐很困難，防護的智能化程度不夠，技術監管能力不足，使得信息安全工作難以落到實處。部分單位在系統設計、建設與運行管理方面不重視網絡安全，系統安全功能缺失、漏洞大量存在。

由于建設的不統一性，導致在基礎設施建設時信息安全設備類型多樣，品牌各異，基本上均為獨立運行設備，單一設備受限于設備類型、部署位置等，監測分析能力有限，對氣象信息網絡整體網絡安全缺乏有效的監測手段，面對潛在的安全風險處于被動局面。

各單位都設置了安全管理崗位，但一般職責均不限于信息安全方面，專業背景知識匱乏，系統培訓不足，導致出現信息網絡安全事件時應對處置能力不足。

安全體系構建思路

對市州縣級人員運維能力的調研發現，縣級基本不具備專業的IT 運維能力，但作為氣象廣域網的終端節點，要求業務人員具備基本的網絡運維能力，因此首先要組織并加強對網絡運維能力的培訓，提升基層人員對網絡故障初步判斷的能力。

省以下氣象信息化建設的重點應該要改變傳統“國家-省-市-縣”四級布局，業務系統建設要大幅度收縮節點，業務和數據存儲務必向省級匯聚，提倡集約建設，停建零散孤立的市州、縣級數據存儲系統，基層業務應用統一使用省級提供的數據環境，逐步實現“兩級布局、多級應用”，避免存儲系統和業務系統的復雜運維給市縣級業務人員造成壓力。

大幅度提升省-市-縣三級的網絡帶寬，去除數據訪問和資源使用的帶寬瓶頸，不同時空和地域均可實現可靠、穩定、高速的訪問，同時省級要規?；瘧梅掌魈摂M化、分布式存儲、分布式計算、分布式安全資源池等技術，構建基于云服務的基礎設施資源池和安全資源池，實現統一規劃管理、降低多級運維費用，強化多維度信息綜合分析。

市縣級作為一個獨立的網絡節點，往往具備多個網絡出口，并且具有獨立的互聯網接口，因此需要在氣象廣域網的入口端設置更為嚴格的準入策略，有條件的單位部署相應的安全防護設備，保障全網的安全，同時需要精簡縣級業務，采取關鍵業務與互聯網物理隔離、備份關鍵節點的方式確保節點的信息安全，要加強對縣級業務人員的信息安全意識的培訓，防微杜漸，另外還應該制定細致并可落地的信息安全的管理制度，樹立信息安全從點滴做起，信息安全從自身做起的意識，保障市縣兩級的業務安全。

結論

針對當前信息網絡存在的安全隱患，急需根據分區分域防護的原則，按照一個中心三重防護的思想，規劃建設完善的信息系統安全縱深防御保障體系。安全保障主體是業務系統，安全縱深保障框架中所有安全控制都應以安全方針、策略做為安全工作的指導與依據，落實安全管理和安全技術兩大維度的具體實施與維護，以業務系統的安全運營為信息安全保障建設的核心，并輔以安全評估與安全培訓貫穿信息安全保障體系的全過程，形成風險可控的安全縱深保障框架體系。構建覆蓋省-市-縣三級的信息安全體系，建設基于全局視角的安全感知平臺，結合威脅情報、行為分析建模、UEBA、失陷主機檢測、圖關聯分析、機器學習、大數據關聯分析、可視化平臺等技術，實現全網應用可視化，業務可視化，攻擊與可疑流量可視化，解決安全黑洞與安全洼地的問題。

在完善全省互聯網統一出口管控“一張網”的同時，應避免市、縣自有信息系統基礎硬件設施的重復投入，提升省級及市、縣級現有計算及存儲資源利用率，減少信息系統分布式存儲架構投入?？紤]通過統一管理統一發布的方式實現動態防護，解決市州級和區縣級沒有專業運維人員的問題。現階段安全領域采用的基于同一硬件架構提供的融合防護方案是較好的解決方式，可減少傳統安全防護設備的重復投入、運維困難的問題，使得全網具有在統一安全策略管控下，最終達到整體信息安全保護與安全運行的目的。