池继忠

摘要 本文介绍了目前内蒙古气象信息网络完全现状，并结合堡垒机的安全运维功能和信息网络安全运维要求，对内蒙古气象信息网络进行了安全域划分和堡垒机的部署。实现了对运维人员的管理，统一的身份认证、访问控制与运维资源管理和事后审计等功能，大大规避了越权访问或者误操作等带来的数据泄密及系统破坏风险，极大的提高了系统运维的安全性和运维效率。

【关键词】堡垒机 气象信息 网络安全运维

1 引言

随着信息化的不断发展，气象信息业务系统有了很大的发展，计算机信息处理系统在气象部门中得到迅速的普及。大数据综合应用平台由于设备和服务器众多，系统管理员压力太大等因素，越权访问、误操作、滥用、恶意破坏等情况时有发生，这严重影响信息系统的运行效能，此外黑客的恶意访问也有可能获取系统权限，闯入部门内部网络，造成不可估量的损失。如何提高系统运维管理水平，跟踪服务器上用户的操作行为，防止黑客的入侵和破坏，提供控制和审计依据，降低运维成本，满足相关标准要求，越来越成为信息系统关心的问题。运维堡垒机着手于事前规范、事中管控和事后审计三方面，能够非常有效地达到梳理、规范、防范、监控、管理和审计等目的。

2 内蒙古气象信息网络现状

内蒙古气象局信息网络即有内部局域网又有广域网，内部局域网与国家气象专网、盟市气象局、政府外联单位通过专线接入，实现气象数据的传输和资源共享，广域网即互联网接入，为办公用户提供互联接入服务及移动办公服务的需求。内蒙古气象网络建设比较早，整体网络安全边界划分不够清晰，安全技术控制方面存在不足，在运维方面未部署认证服务器和堡垒机实现运维的集中管理和安全审计，在运维安全控制方面存在极大的风险。

对网络设备、安全设备、操作系统、数据库、应用程序管理时，只有用户名密码一种身份鉴别方式，未实现双因子身份认证。

系统未限制终端登录地址范围，可能导致非授权用户登录服务器，导致系统服务不能正常运行，没有限制登录安全设备的地址。

目前内蒙古气象局网络规模庞大，用户数量较多，情况复杂，需要通过安全区域的划分，从而进行不同安全域之间访问控制。应将不同的业务类型划分若干个逻辑隔离区域，再根据区域和应用不同划分多个VLAN，不同VLAN之间通过严格的安全策略控制业务流向，限制不是必需的和非法的访问。

3 安全域划分

根据内蒙古气象局的安全需求及业务需求分析，将划分成六个安全域，即国家气象专网区、核心交换区、系统外联区、应用区、数据区、运维管理区，如图1所示。

（1）国家气象专网区：主要用于上联国家气象专网，回传气象采集数据。

（2）核心交换区区：连接网络内部的各个物理区域，为区域间提供高带宽冗余的网络传输。

（3）系统外联区：实现与政府协同单位网络接入和数据共享。

（4）应用区：气象信息系统业务接入。

（5）数据区：气象信息系统数据库接入。

（6）运维管理区：实现气象信息系统安全运维管理和监控审计。

4 基于堡垒机的安全运维

堡垒机是一种防范运维操作风险的重要技术手段，它着手于事前规范、事中管控和事后审计三方面，能够非常有效地达到梳理、规范、防范、监控、管理和审计等目的。

通過在系统运维区与核心区之间部署堡垒机，可实现对所有运维人员的管理，实现统一的身份认证、访问控制与运维资源管理，并可以录像的方式将所有人员的所有操作记录下来，增强对运维人员及运维操作的安全管理，规避越权访问或者误操作等带来的数据泄密及系统破坏风险。主要收益如下：

（1）单点登录、统一账号、统一授权，运维效率得到提高。

（2）密码能够定期自动的修改，安全性和密码复杂性得到了保障。

（3）结合原有双因子认证，加强了资产访问安全。

（4）固化了运维流程，管理制度能够得到有效的落实。

（5）实时监控结合历史回放起到非常好的威慑作用，安全事件明显减少。

5 展望

考虑到成本和效果等各方面的因素，信息安全体系建设不能够一蹴而就，我们采用分批次整改等保测评的安全问题，先解决最紧急、最关键的基础安全需求，以后根据遗留的安全问题再追加投资进行整改。这样，一方面不会一次性带来过大的资金压力，而且，本身通过每期的建设，及时检查、发现问题，以便下一期进行相应改进，形成PDCA的良性循环，在实践中逐步提高信息安全管理和技术水平，形成真正有效、适度的全面信息安全体系。

参考文献

[1]李杰.网络安全中计算机信息管理技术的应用[J].网络安全技术与应用，2018 （05）：7.

[2]宣慧，陈行，堡垒机在校园信息系统中的应用[J]，中国新通信，2018，20 （06）：81.