聊城市气象局网络安全架构设计

2021-10-29李雪源李楠王坦帅宋波李慧

网络安全技术与应用 2021年8期

◆李雪源李楠王坦帅宋波李慧

聊城市气象局网络安全架构设计

◆李雪源李楠王坦帅宋波李慧

（聊城市气象局山东 252000）

随着计算机与网络技术的发展，网络安全呈现出入侵手段多样化、渗透全方位的特点。气象信息化的高速推进，对气象信息网络安全也提出更高的要求。通过深入梳理市-县气象网络现状，剖析当前聊城气象网络安全面临的主要问题，结合信息网络安全防护系统的建设要求，以提升市县级气象网络安全的防护能力为目标，进一步科学设计、构建高效全面的信息安全体系，为更好服务气象业务夯实网络安全。

气象；网络安全；架构；设计

随着气象信息业务和气象服务领域的不断扩展，网络安全问题日益凸显。市县气象数据共享和交换安全，是由市级集约部署终端防护，并通过市级统一进行本地数据交换。市级气象网络作为网络枢纽，做好网络边界加固对数据交换的安全防护尤为重要。因此，市级气象网络安全不是单一的技术和防御策略，是综合了各类网络设备、系统、技术、安全管理等要素构建的网络安全，其具有层次分明、逻辑清晰、体系化程度高等特点。

1 聊城市气象部门网络安全现状分析

目前山东省已建设完成覆盖省-市-县的气象通信系统。聊城市气象局网络系统由气象内网专线、互联网专线、电子政务外网构成。其中内网及互联网专线是与县级互联互通的，电子政务外网市局与市级政府及各部门互联互通，县局与县级的政府及各部门互联互通。

市级气象部门网络承载的核心业务是气象专网、用于公众气象服务的互联网和政府部门间的政务网。随气象信息发布渠道日益丰富，安全风险也随之增加，国家层面对网络安全重视程度在不断提高，这对气象部门网络安全的综合防御能力提出了新的更高要求。

当前，聊城市气象部门网络安全防护和基础保障体系不完善，面临新的威胁防不胜防。通过对网络现状的分析，网络安全隐患主要表现在（如图1）：一是在网络安全防护上对区域边界的防护相对薄弱，无法及时地对来自其他互联区域的网络攻击进行有效、及时的阻拦；二是部分外联区域缺乏区域边界的设计。总之，上行至省局、下行至县局及外部门均与市局的本地核心交换机直接对接，无任何安全防护措施。此种情形会导致当网络攻击对下联单位或外联单位的主机、网络展开恶意、非法攻击时，其在内网漫游的同时，也会轻而易举对市级气象部门本地局域网发起攻击，这将直接影响到市局内部信息化安全。

图1 聊城市气象部门网络改造前的拓扑结构

2 聊城市气象部门网络改造设计

为了增强全市气象部门网络安全防护水平，针对聊城市气象局网络架构的薄弱环节，在下联区、外联区进行网络安全加固，同时，严格参照《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》等国家标准以及行业规范进行设计。设计完善后的网络拓扑结构如图2。

图2 聊城市气象部门网络改造后的拓扑结构

3 网络安全准入控制设置

为了更好推进业务网与办公网逻辑隔离，减少病毒木马传播途径，在防火墙上调整市气象网络互访规则，终端使用静态IP地址，交换机上配置IP+MAC+端口绑定，交换机上部署访问控制列表ACL，对各vlan间或各终端主机间的访问进行安全控制，对一些病毒木马的攻击行为，ACL也有一定的防范作用，在出现终端安全时可以迅速定位，巡检过程中便于排查，可对端口流量异常的终端进行隔离或手动关闭端口。