张新禹 韩仲强

（内蒙古自治区气象信息中心 内蒙古自治区呼和浩特市 010051）

网络信息化的不断发展给社会的发展带来巨大的便利，同时不断发展的技术给气象信息化网络运维中带来了很多挑战，随着网络安全等级保护制度2.0于2019年12月初颁布实施，并且网络安全法如今已纳入《中华人民共和国宪法》中，网络安全被提高到一个全新的高度，每当举办大型体育活动图或者政治活动需要对网络安全增强防护，本文以气象信息化建设中遇到的问题来讲述遇到不同的网络问题时的安全防护策略。

1 气象信息化建设中的遇到的网络安全问题

1.1 网络边界安全

在气象信息化建设中，气象内部专网供内部办公接入了外部运营商的互联网，按照行业要求接入的电子政务网及行业专网，为了气象数据由省级中心到区域中心、各市、县的气象业务宽带网，各自市、县级部门接入的办公互联网，不同的网络区域都要经过气象内网传输数据，使得气象内网容易受到外部网络渗透，容易受到黑客的访问，针对不同网络区域之间的网络安全建设需要统一集中防护部署相关网络安全设备。

1.2 服务器及终端网络安全

服务器及终端网络防护中，Windows系统是重灾区，易受病毒感染及挖矿病毒运行，感染病毒的主机会出现网络中断的现象或者操作系统内部出现内存利用率达到峰值的情况，目前互联网上杀毒软件杀毒效果参差不齐，办公内部安装的瑞星杀毒软件病毒库比较旧，查杀效果不明显，漏洞补丁陈旧不能完成终端病毒查杀。部分服务器感染挖矿病毒导致服务器的CPU达到峰值，业务无法正常运行。气象业务依赖的数据目前由服务器以文件共享的方式提供，该服务利用445端口访问共享资源，目前该端口易受勒索病毒“永痕之蓝”攻击，受攻击的服务器呈现反复关机的特征，并且部分变种病毒会导致主机文件被加密的情况，严重影响了业务的正常运行[1]。

1.3 互联网远程访问安全

气象业务运行过程中，部分业务服务器及终端在外部公司运维的情况下，需要由公司网络接入到气象内网里面，实现数据通信的方法为利用Teamviwer远程客户端或者QQ远程的方式，上述通信方式的服务器都为外网服务器，一旦服务器被黑客攻破，黑客将得到相关秘钥进而渗透到内网环境，对气象加密数据造成严重泄露。对远程访问无法实施监视远程访问行为，信息中心对可以的远程访问无法做限制，且找不到具体远程的目的主机，发生网络安全事件时处于被动防御的形势。

2 气象信息化建设中的网络安全防护体系

2.1 网络安全区域划分

气象网络安全区域建立在气象信息中心机房局域网内，主要由业务内网区、隔离交换区、安全设管理区、自治区气象宽带网区组成。

业务内网区位于自治区网络安全区的公共连接处，进行互联网、气象业务数据之间的交换，连接有互联网隔离交换区、自治区气象宽带网区和安全管理区，网络内部建设的气象数据环境可以完成气象信息的收集、处理、存储、分发。气象数据中心通过互联网DMZ区及气象宽带网区收集综合观测系统中地面区域自动站的气象数据，通过内网业务区内部局域网络提供给气象台和气象服务中心，保障预报预测系统、气象服务系统的数据来源，同时经过自治区级气象宽带网提供给盟市级气象信息系统完成当地气象预报产品制作。

隔离交换区建立在内网业务区与外部网络之间，进行内外部数据中转交换。外部网络接入主要包括各运营商的互联网专线，根据外网业务接入的性质和风险，互联网交换区提供基于TCP/UDP类型的端口流量接入，同时提供SSL-VPN通道加密通讯协议的流量接入，气象数据环境经隔离区与互联网进行单向数据交换，为行业专项服务提供数据支撑。

安全管理区通过网络线路旁路接入到核心网络区域，实现办公区到业务区的访问控制、管理，对核心网络区内部的日志信息和数据库进行审计，并且对网络环境内部的服务器及终端设备进行病毒防护与漏洞修复。

自治区气象宽带网区建立在内网业务区与盟市网络区域之间，进行气象业务数据之间的交换，到盟市网络安全区之间建设有网络安全防护设备，实现盟市到自治区气象数据的访问控制，流量监视。

2.1 网络边界防御

针对目前气象内网的边界的复杂形势，省级气象内网在气象内网与外部运营商互联网、电子政务网、行业专网、气象业务宽带网之间根据业务特性部署防火墙，对其中路由及访问策略进行严格管理控制，具体网络拓扑见图1。在互联网链路上部署入侵监测与入侵防御设备。部分气象业务需要开放到互联网的端口在防火墙上进行端口转换，使用特殊端口保障气象服务不受外部网络扫描并关闭关于业务服务器的ICMP协议访问。在外网主机访问内网主机过程中利用堡垒机实现用户的访问审计，在网络流量监测过程中，内网与互联网之间引入网络安全态势感知设备，将全部访问流量镜像到态势感知设备中，利用病毒规则库对流量进行分析，分析结果中包含有风险的主机，需要对主机所在单位进行通报、整改。在办公区与业务区之间部署网络设备进行对内外网络之间的逻辑隔离，从根本上防止外部网络进入到内网[2]。

2.2 服务器及终端防护措施

对于安装有windows服务器或者终端，按照服务器检测技术规范，对其中的登录日志、登录账号密码安全等级、可疑日志、可疑进程、系统服务、共享目录等项目进行检查。引入市场上主流的杀毒软件，内网中部署杀毒软件控制中心对安装有杀软的系统定期进行自动杀毒，登记部门内使用杀毒软件的人数信息，推进终端杀毒软件的安装部署。对网信办发布的网络漏洞，及时安装相应的补丁软件，关闭风险端口，开启防火墙。定期采集终端的杀毒日志进行分析，对杀毒软件无法查杀的挖矿病毒及CC通信风险，参考态势感知系统的流量分析报告进行病毒查找，检查服务器系统计划任务中可疑的任务，保证服务器远离挖矿病毒的影响。

2.3 部署远程访问设备

在互联网DMZ区域部署SSL-VPN设备，SSL-VPN设备使用专用加密通讯协议，部署于DMZ区域对内网络访问相对较安全，气象部门外部访问气象内网时需要首先登陆SSL-VPN设备，通过VPN打通外部到内网的网络通道，期间网络行为通过与上网行为管理设备和态势感知设备联动实现远程访问的实时监控，VPN用户访问内网拓扑如图2所示。

图1：边界防护拓扑

图2：VPN用户访问内网拓扑

使用VPN设备时，需要向领导部门进行申请，待批复后获得离线安装包及登录用户名密码，整个过程需在互联网外完成，避免信息泄露。在互联网出口部署的远程VPN服务需提供内部人员远程访问，采用USB-key认证，限制访问指定应用，对访问全程进行审计记录，对VPN客户端设备进行安全检测，对登录、访问行为进行异常分析与检测。

2.4 网络安全管理制度

人员管理方面：与重要岗位人员全部签订安全保密协议、《信息中心计算机系统信息网络安全责任书》、《安全生产和社会治安综合治理工作责任书》，完善了《人员离职离岗安全规定》、《外部人员访问机房等重要区域审批表》。

资产管理方面：严格落实资产管理相关制度，定期开展固定资产盘点工作。单位已配备了与行政事业单位资产管理信息系统相匹配的条码打印机和条码数据采集器，现正在开展资产盘点工作，从系统中打印出条码粘贴到实物资产上。资产盘点人员由专门、资产使用科室派员组成，接受中心纪检人员对资产盘点全过程的监督，待盘点结束后形成固定资产盘点报告，并按要求归档。

数据、介质管理方面：建立了气象数据共享接口应急切换备份省气象共享数据环境机制，为汛期实时业务运行保障、重大气象活动保障提供稳定的数据服务；单位在电子政务云上备份气象数据库部分数据。

网络安全值班防护：完善部门内部的网络安全值班制度的制定与更新，定期对网络安全环境进行自查，找出不满足网络安全等级保护测评报告中的技术漏洞、口令强度等问题，集中整改出现的问题并定期到公安机关对二级以上等级保护系统进行备案。应对重大活动的网络安全保障时，制定部门内部的网络安全应急预案，出现网络安全事件时，按照应急预案中提到的等级分类，对网络安全事件进行处理并向上级机关进行报备。定期组织网络安全讲堂，填补部门人员对于网络安全的空缺，提高网络安全知识的普及，对经期出现的网络安全事件进行讲解，提高公众对于网络安全的认知与信息安全的防护意识[3]。

3 结语

覆盖全球的Internet，以其自身协议的开放性方便了各种计算机网络的入网互连，极大地拓宽了共享资源。但是，由于早期网络协议对安全问题的忽视，以及在使用和管理上的无序状态，网络安全受到严重威胁，安全事故屡有发生。从目前来看，网络安全的状况仍令人担忧，从技术到管理都处于落后、被动局面。近年来，我国互联网蓬勃发展，网络规模不断扩大，网络应用水平不断提高，成为推动经济发展和社会进步的巨大力量。与此同时，气象网络和业务发展过程中也出现了许多新情况、新问题、新挑战，尤其是当前网络立法系统性不强、及时性不够和立法规格不高，物联网、云计算、大数据等新技术新应用、数据和用户信息泄露等的网络安全问题日益突出。每一位公民都需要有网络安全防御意识，从个人角度到部门角度，网络范围在不断扩大，网络安全风险也在不断增加，隐藏的网络安全边界防护不到位将会使整个网络的防御一招不胜，满盘皆输，当网络安全事件发生时再进行防护措施，为时已晚，因此做好网络安全防护工作至关重要。