陈雨+任川+张元龙

摘要：随着辽宁气象信息网络的不断发展，网络安全问题对气象业务和科研的影响越来越大。论文介绍了辽宁气象信息网络安全建设的基本方法和应用技术，为信息网络安全的建设与应用提供了一定的参考。

关键词：气象信息；网络安全；防护

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）02-0036-02

辽宁气象信息网络采用业务网络与互联网物理隔离，业务网络采用双运营商MSTP专线传输线路。目前辽宁省已建成覆盖省市县三级气象部门的气象通信地面广域网络系统，省级至沈阳市气象局接入带宽达100Mbps（双链路），至大连市气象局接入带宽达50Mbps（双链路），其他市级接入带宽26Mbps（双链路），县级接入带宽10Mbps；建成了带宽20Mbps的移动APN专线；新增视频会商网络作为备份网络，市级接入带宽8Mbps，县级4Mbps。我省气象通信地面广域网络系统部署有双设备，省气象局与各市局之间采用双广域网链路进行互联。

1 影响信息网络的安全因素

1.1 物理风险

服务器运行的物理安全环境是最容易被人所忽略的。物理风险主要是指服务器托管机房的设施状况，包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等。这些因素会影响到服务器的寿命和所有数据的安全，例如发生火灾、水灾、地震和雷击等自然灾害或断电事故等。

1.2 防护风险

用户的安全意识淡薄是防护不足的一个最主要的原因。很多用户在计算机使用过程中确实防护措施，例如不安装防火墙等防护软件，不及时修复系统及软件漏洞等，这些都会给病毒和木马的网内爆发和蔓延带来隐患。

1.3 攻击风险

攻击风险包含病毒传播和黑客攻击两个层面。计算机病毒具有传染性、隐蔽性、破坏性、寄生性等特点，经过网络或优盘传播。单机感染尚且会给用户带来损失，一旦形成网络蔓延，严重时会威胁整个网络的正常运行。黑客利用网络和系统的漏洞，通过植入木马、病毒和隐藏指令等手段，控制用户计算机和服务器，窃取信息和资料，篡改网站数据等，给网络系统带来极大危害。

1.4 网络管理体系风险

未形成全面的信息安全管理制度体系，缺失部分安全策略、管理制度、操作规程，可能导致网络管理体系存在疏漏，部分管理内容无法有效实施，使相关工作过程缺乏规范依据和质量保障，进而影响到信息系统的安全建设和安全运维。

实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性，才能保证安全控制措施有效地发挥其效能，从而确保实现预期的安全目标。因此，建立网络安全管理体系是网络安全的核心。

2 辽宁气象信息网络安全建设

辽宁气象信息网络的安全建设是针对信息网络安全风险建立起来的。

2.1 物理安全建设

辽宁气象信息网络外部线路采用双链路、双设备；双运营商、双方向接入建设方针，不同运营商互为备份，利用不同线路管道接入中心机房，外线影响大为降低，近几年偶尔有单线断路情况，都未影响到实际应用。中心机房采取楼层全封闭，有效隔离自然环境影响，机房内按业务分区划分小机房，降低人员出入给机房环境带来的影响。机房内完全隔离水，采用稀有气体灭火器。柴油发电机和大功率UPS设备，可有效保证设备在断电情况下平稳运行3至8小时。安排值班人员7*24小时监控，每日4次的巡视和开发的实时监控平台，可以有效降低物理安全隐患。

2.2 辽宁气象信息网络防护系统

（1） 合理的网络结构规划

辽宁气象信息网络采用双冗余设备架构，主备设备之间设置心跳线相连，经实际测试，主备设备的自动切换时间小于5秒。信息网络为不同的业务部门划分VLAN，有效防止广播风暴。在楼层设备间设置楼层汇总交換机，有效利用局域网络带宽。

（2） 多层防护设备的部署

辽宁气象信息网络内部部署防火墙、DDOS攻击防御设备、入侵防御系统（IPS）、入侵检测系统（IDS）、防病毒网关、漏洞扫描及流量控制等设备，开发了基于Solarwinds的网络监控系统，并在每个单独子系统服务器上安装了防火墙软件，能够经受网络自身攻击以及过滤通信。这些防范措施构建起一个安全屏障。

（3） 多种技术的应用

VPN。VPN技术即虚拟专用网络技术，通过建立临时的点对点虚拟通道构建网络专用链接，可为网络安全带来一个很好的解决方案，通过这种技术可以实现对数据的多倍加密，进而实现安全通信的目的。气象通信网络系统采用内外网络物理隔离，在防火墙上设置VPN权限，配合防火墙技术、数据加密技术以及身份验证技术等，构建一个较为安全的数据环境。

身份验证。这一技术有包括身份识别及身份认证两个方面，这一技术又包括身份识别及身份认证这两个方面，所谓身份是被主要是指用户想系统表明身份的过程，而身份认证主要是系统对用户的身份进行核对，以避免冒名使用的情况。辽宁气象信息网络系统除了VPN身份认证，主要采用了静态IP绑定主机MAC地址的身份识别技术，确保用户身份信息的准确。

数据加密及备份。这一技术是利用加密密钥及加密函数来完成密文与明文的转换，进而实现对信息的保护，这是网络安全技术中最为基础的一个技术。在具体的工作中，加密技术又可以分为不可逆加密、对成型加密以及不对称型加密这几种，通过这些技术我们可以实现信息传输的完整性和保密性。除了对数据进行加密存储外，由于存在数据丢失、系统断电、机房着火等意外，需对系统数据进行备份。按照备份环境，备份分为本地备份和异地备份；按照备份数据量的多少，备份分为全备、增备、差分备份和按需备份。

（4） 高效的管理措施

政策的制定与应用。《中华人民共和国网络安全法》于2017年正式实施，辽宁气象部门严格按照国家相关规定实施网络管理，并制定了一系列的管理办法和规章制度，设置了严格的处罚措施。

第三方评估。每年按照相关法律法规进行系统的等级保护测评，根据评估报告，严格进行安全整改。

安全管理团队的建设。设立了能够统一指挥、协调有序、组织有力的专业的安全管理团队，信息网络安全人员具备较强的业务处理能力和应变能力。设备维保采用半包制，吸纳供应商加入安全管理团队，充实团队力量。

教育与培训。未雨绸缪比亡羊补牢要强。除了定期进行的技能培训外，还开展了安全意识教育和培训。

3 结束语

网络安全建设是一个循序渐进、逐渐加强的过程，需要多方支持和共建。随着社会和经济发展对信息网络的依赖越来越重，网络安全将会得到更多人的重视。endprint