0引言
随着信息化进程不断推进,网络和信息系统的安全问题愈加重要,党中央、国务院高度重视信息安全保障工作,要求建立国家信息安全保障体系,成立了网络安全领导小组,并出台了一系列网络安全管理相关法则,民航局也持续加强信息安全防控工作力度。气象中心根据业务信息系统等级保护要求、各类网络安全保障活动要求、网络安全交叉检查、开展自查工作和应急演练手段,持续完善本单位的网络安全建设工作,并针对暴露出来的问题制定相应的整改计划和解决措施,从而提高气象中心整体的网络安全保障能力,确保达到上级单位对网络安全工作的相关要求。
1网络安全等保2.0简介
2007年,《信息安全等级保护管理办法》(公通字[2007]43号)文件正式的发布,标志着等保1.0时代的开始。经过十余年的时间,由于大量新技术、新系统、新设施的出现,传统的等保1.0标准已不能完全适用于当下的环境。
2017年6月,《中国人民共和国网络安全法》的正式实施,标志着等保2.0时代正式开启。《网络安全法》第二十一条,明确指出国家实行网络安全等级保护制度,不做等保工作相当于违法行为。
2019年12月1日,《信息安全技术-网络安全等级保护要求》(GB/T 22239-2019)正式实施,标志着等保2.0标准正式开启。等保2.0根据“一个中心”管理下的“三重保护”体系框架,构建安全机制和策略,分别对定级系统的计算环境、区域边界、通信网络体系等方面形成保护环境,实施多层隔离和防护,以防止某薄弱环节影响整体安全,最终做到整体防御、分区隔离,积极防护、内外兼防,纵深防御、技管并重的目的。
2气象中心网络安全建设情况
气象中心的生产运行信息系统共两个,分别为气象数据库系统和东北地区航空气象服务平台。其中,气象数据库系统为等保三级系统;东北地区航空气象服务平台为等保二级系统。
2.1气象数据库系统网络安全建设
气象数据库系统始建于2007年,系统建设之初,对于网络安全规划与配置较为简单,系统中只配备了防火墙作为网络边界安全设备用于隔离各个区域。由于现有网络结构拓扑无法轻易改变,网络安全设备无法增加,气象中心根据等保2.0标准要求,主要着手于修改和完善设备配置的软防护手段,主要包括以下方面:
2.1.1网络架构
将整个气象数据库系统分为内部区域、数据交换区域、属地化机场区域和用户区域,按照方便管理和控制的原则,对不同的网络区域分配相应的地址段。
2.1.2访问控制
在防火墙上根据实际数据传输和应用情况,设置访问控制规则,对数据包的源地址、目的地址、源端口、目的端口和协议进行检查,对不符合要求的流量一律阻断。同时,筛查多余或无效的访问控制规则,优化访问控制列表,保证访问控制规则精细化和数量最小化;对登陆的用户分配账户和权限,及时删除或停用多余的、过期的账户,避免共享账户的存在。
2.1.3身份鉴别
对登陆用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有一定的复杂度并定期更换;具有登陆失败处理功能,配置了结束会话、限制非法登陆次数和当登陆连接超时时自动退出等相关措施;取消telnet登陆方式,采用ssh方式加密远程会话,防止身份鉴别信息在网络传输过程中被窃听。
2.1.4入侵防范
遵循最小安全的原则,仅安装需要的组件和应用程序,筛查并关闭不需要的系统服务、默认功效和高危端口;设定终端的接入方式,对登陆用户的网络地址范围进行限制。
2.2东北地区航空气象服务平台安全建设
东北地区航空气象服务平台建于2016年,对整体的网络安全规划较为全面,配备了网闸、入侵防御设备、抗DDoS攻击设备、漏洞扫描设备等安全设备,对网络安全防护层面覆盖较为广阔,较为明显的提高了平台的网络安全防护能力。
2.2.1网闸
气象服务平台分为内部区域、外部区域和出口区域,在内部区域和外部区域间以双机热备的形式部署了两台网闸设备。网闸可以实现物理隔离的效果,由于其单向传输的特性,从而能够保障数据只能由内部区域发往外部区域,外部区域无法访问内部区域,从而有效的保障内部区域的安全。
2.2.2入侵防御设备
入侵防御设备以串联的方式部署在出口区域, 它可以动态实时的采集、分析气象信息系统中的流量信息,发现系统中是否存在不正常的数据,从数据中发现病毒、木马和黑客攻击的特征,进而可以及时的启动防御系统。
2.2.3抗DDoS设备
抗DDoS设备能够针对于采用带宽占用、服务处理能力消耗等多种方式的DDoS攻击进行探测分析,在发现有异常流量存在时,实现异常流量过滤并将正常的用户数据回注到主干网中,从而保证网络畅通和业务的连续性。
2.2.4漏洞扫描设备
安全漏洞扫描是网络安全防护技术的一种,其可以对计算机网络内的网络设备或终端系统和应用等进行检测与分析,查找出其中存在的缺陷或漏洞。利用漏洞扫描设备,可以配置定时任务,定期的对外部区域和出口区域的设备下发针对性的扫描任务。
3.气象中心网络安全存在的风险
气象中心网络已采取诸多措施进行安全防护,但针对实际情况,还有部分网络安全风险隐患,需要进行持续解决,主要包括以下几个方面:
3.1设备国产化
气象中心目前大部分设备均为国产设备,但仍有一部分设备为非国产设备,主要集中在气象数据库系统当中。对于非国产设备,气象中心目前存在设备版本过低、不支持新技术、与国产设备兼容性较差、无法做到热备等问题。
3.2服务端口
默认情况下,服务器的服务端口均是开启的,这些端口既是数据通信的需求,同时也为恶意用户入侵提供了途经。为了保护系统的安全,常见的135、138、139、445等较为会被利用的高危端口均应关闭。
3.3系统更新补丁
气象中心目前虽然具备较多的安全设备,但安全设备只是针对某些程序或网络攻击的维护,它并不能解决系统自身的不足,因此需要对系统进行补丁升级工作,完善其自身缺陷。
4.风险问题处理措施
针对气象中心存在的网络风险隐患,结合实际情况,可以筛查出所有非国产化设备,进行逐步更换。同时,对于服务端口和系统更新补丁情况,前期进行全面系统的梳理工作,利用现有的备用设备和环境,模拟搭建业务传输流程,进行封闭端口和更新补丁的测试工作,待进行一段时间的测试,确定对业务运行不会造成影响后,可逐步同步到现有在线运行业务环境中。
5.总结
气象中心通过对网络安全区域的定义规划,控制区域间的数据访问等措施,保护系统核心资源的安全。另外,通过配备了相应的安全管理设备,将有效提升服务器安全防护能力、计算机终端安全防护能力及网络后台监控管理能力等能力,并对存在的网络安全隐患制定相应的处理措施进行解决,进而形成较为全面的网络安全防护体系,初步具备同行业先进企业的信息安全防护硬件条件,基本达到民航局网络信息安全防护的要求。
参考文献
[1]刘晓倩.新时期气象信息系统安全技术防御研究.网络安全技术与应用,2017,8.
[2]罗宗泰.网络边界日志审计系统分析与设计.北京:2009电力行业信息化年会论文集,2009.
[3]韩辉 .计算机网络安全与漏洞扫描技术分析.硅谷,2013,15.
