行业信息安全体系建设实践

贵州省黔南布依族苗族自治州气象局 黄笞 李波 汪华 曹华

随着信息技术的持续快速发展，网络安全形势愈发严峻，大规模网络攻击和恶意风险持续爆发。2017 年6 月1 日《中华人民共和国网络安全法》（以下简称“网络安全法”）正式实施，将网络安全问题提到了前所未有的高度。

笔者单位作为气象行业单位，在信息系统安全工作方面，在较长的时期内，基本满足了气象信息业务的发展需要，保障了气象业务的稳定运行。

但严峻的内外部网络安全形势和新技术的不断发展，使得现有的安全管理模式和技术防护能力已经无法满足不断增长的业务需求，信息安全工作暴露出诸多问题。

安全现状

2015 年，贵州省气象部门确定了以气象信息化为抓手、后发赶超、加快实现气象现代化的目标。结合贵州气象事业发展实际，加强顶层设计和统筹协调，以需求为导向，以创新为动力，以数据为核心，以安全为保障，在基础设施云平台、气象大数据云平台建设及大数据创新应用等方面取得了长足进步。

省级行业区、服务器区、专网区均部署了防火墙进行防护和过滤；互联网DMZ 区部署了入侵防御、上网行为管理、SSLVPN、安全准入、防火墙等安全设备。

但安全设备和防护软件大部分是2010 年以前建设的，设备故障频发，部分设备已经停产，获得技术支持困难。2018 年更新省级安全运维防护设备，通过超融合架构构建互联网区安全资源池防护区，互联网区安全资源池采取三物理节点集群内部署冗余虚拟化安全组件的高可用架构（包含VAC*2、VAF*2、VSSL*2），避免了原有AC、AF、SSLVPN 单物理设备面对不断提升的网络带宽所导致的硬件性能瓶颈及可能会带来的断路风险。同时在核心交换区镜像旁挂了数据库防火墙安全审计设备，对整网数据库的访问进行实时监控、审计及告警。

市州级作为重要的广域网接入二级汇聚节点，在信息安全体系建设中非常重要，但安全设备和防护能力一直不足。互联网访问区部署了传统防火墙一类的安全防护设备，防护规则和策略不统一，广域网边界基本没有有效的安全防护设备，部分市州采用了业务网和互联网隔离的方式避免了业务网受到来自互联网的安全威胁，但业务网内部的失陷主机和受带恶意病毒存储设备感染终端的各类安全攻击事件屡禁不止，均不同程度存在通过互联网提供气象服务而暴露信息安全薄弱点的情况，安全隐患大，信息安全防范意识不足，网络安全防护手段缺失。

区县安全体系建设主要关注点在广域网的县级接入点，部分区县在建设过程中基本依赖于运营商提供的初级防护能力。在近两年区县调研中发现部分台站业务平台上分别接入了两个运营商的互联网线路、政务外网，线路走向混乱、区域划分不清晰的问题普遍存在。部分区县还存在通过互联网提供气象服务的需求，是安全防护的薄弱环节。区县级的安全防护主要在气象广域网的接入端，通过省局部署的终端认证系统确认用户身份，通过广域网边界的防火墙提供接入内网的安全防护。

问题分析

全省各级气象部门一直以来按照网络安全等级保护要求各自开展网络安全建设，但缺乏统筹考虑，各自为战，在信息系统孤岛基础上形成安全孤岛，难以共享和协同。同时市州县分别都存在互联网访问出口，致使信息安全的防御战线长，市州县级安全措施部署和运维困难，安全防护不均衡，防护短板大量存在，整体防御能力处于较低水平。全省的信息安全基本依赖省级信息部门的规划和部署，星型的网络结构导致延展性的技术支撑很困难，防护的智能化程度不够，技术监管能力不足，使得信息安全工作难以落到实处。部分单位在系统设计、建设与运行管理方面不重视网络安全，系统安全功能缺失、漏洞大量存在。

由于建设的不统一性，导致在基础设施建设时信息安全设备类型多样，品牌各异，基本上均为独立运行设备，单一设备受限于设备类型、部署位置等，监测分析能力有限，对气象信息网络整体网络安全缺乏有效的监测手段，面对潜在的安全风险处于被动局面。

各单位都设置了安全管理岗位，但一般职责均不限于信息安全方面，专业背景知识匮乏，系统培训不足，导致出现信息网络安全事件时应对处置能力不足。

安全体系构建思路

对市州县级人员运维能力的调研发现，县级基本不具备专业的IT 运维能力，但作为气象广域网的终端节点，要求业务人员具备基本的网络运维能力，因此首先要组织并加强对网络运维能力的培训，提升基层人员对网络故障初步判断的能力。

省以下气象信息化建设的重点应该要改变传统“国家-省-市-县”四级布局，业务系统建设要大幅度收缩节点，业务和数据存储务必向省级汇聚，提倡集约建设，停建零散孤立的市州、县级数据存储系统，基层业务应用统一使用省级提供的数据环境，逐步实现“两级布局、多级应用”，避免存储系统和业务系统的复杂运维给市县级业务人员造成压力。

大幅度提升省-市-县三级的网络带宽，去除数据访问和资源使用的带宽瓶颈，不同时空和地域均可实现可靠、稳定、高速的访问，同时省级要规模化应用服务器虚拟化、分布式存储、分布式计算、分布式安全资源池等技术，构建基于云服务的基础设施资源池和安全资源池，实现统一规划管理、降低多级运维费用，强化多维度信息综合分析。

市县级作为一个独立的网络节点，往往具备多个网络出口，并且具有独立的互联网接口，因此需要在气象广域网的入口端设置更为严格的准入策略，有条件的单位部署相应的安全防护设备，保障全网的安全，同时需要精简县级业务，采取关键业务与互联网物理隔离、备份关键节点的方式确保节点的信息安全，要加强对县级业务人员的信息安全意识的培训，防微杜渐，另外还应该制定细致并可落地的信息安全的管理制度，树立信息安全从点滴做起，信息安全从自身做起的意识，保障市县两级的业务安全。

结论

针对当前信息网络存在的安全隐患，急需根据分区分域防护的原则，按照一个中心三重防护的思想，规划建设完善的信息系统安全纵深防御保障体系。安全保障主体是业务系统，安全纵深保障框架中所有安全控制都应以安全方针、策略做为安全工作的指导与依据，落实安全管理和安全技术两大维度的具体实施与维护，以业务系统的安全运营为信息安全保障建设的核心，并辅以安全评估与安全培训贯穿信息安全保障体系的全过程，形成风险可控的安全纵深保障框架体系。构建覆盖省-市-县三级的信息安全体系，建设基于全局视角的安全感知平台，结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化平台等技术，实现全网应用可视化，业务可视化，攻击与可疑流量可视化，解决安全黑洞与安全洼地的问题。

在完善全省互联网统一出口管控“一张网”的同时，应避免市、县自有信息系统基础硬件设施的重复投入，提升省级及市、县级现有计算及存储资源利用率，减少信息系统分布式存储架构投入。考虑通过统一管理统一发布的方式实现动态防护，解决市州级和区县级没有专业运维人员的问题。现阶段安全领域采用的基于同一硬件架构提供的融合防护方案是较好的解决方式，可减少传统安全防护设备的重复投入、运维困难的问题，使得全网具有在统一安全策略管控下，最终达到整体信息安全保护与安全运行的目的。