池繼忠

摘要 本文介紹了目前內(nèi)蒙古氣象信息網(wǎng)絡(luò)完全現(xiàn)狀，并結(jié)合堡壘機(jī)的安全運(yùn)維功能和信息網(wǎng)絡(luò)安全運(yùn)維要求，對內(nèi)蒙古氣象信息網(wǎng)絡(luò)進(jìn)行了安全域劃分和堡壘機(jī)的部署。實(shí)現(xiàn)了對運(yùn)維人員的管理，統(tǒng)一的身份認(rèn)證、訪問控制與運(yùn)維資源管理和事后審計(jì)等功能，大大規(guī)避了越權(quán)訪問或者誤操作等帶來的數(shù)據(jù)泄密及系統(tǒng)破壞風(fēng)險(xiǎn)，極大的提高了系統(tǒng)運(yùn)維的安全性和運(yùn)維效率。

【關(guān)鍵詞】堡壘機(jī) 氣象信息 網(wǎng)絡(luò)安全運(yùn)維

1 引言

隨著信息化的不斷發(fā)展，氣象信息業(yè)務(wù)系統(tǒng)有了很大的發(fā)展，計(jì)算機(jī)信息處理系統(tǒng)在氣象部門中得到迅速的普及。大數(shù)據(jù)綜合應(yīng)用平臺(tái)由于設(shè)備和服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生，這嚴(yán)重影響信息系統(tǒng)的運(yùn)行效能，此外黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限，闖入部門內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。如何提高系統(tǒng)運(yùn)維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計(jì)依據(jù)，降低運(yùn)維成本，滿足相關(guān)標(biāo)準(zhǔn)要求，越來越成為信息系統(tǒng)關(guān)心的問題。運(yùn)維堡壘機(jī)著手于事前規(guī)范、事中管控和事后審計(jì)三方面，能夠非常有效地達(dá)到梳理、規(guī)范、防范、監(jiān)控、管理和審計(jì)等目的。

2 內(nèi)蒙古氣象信息網(wǎng)絡(luò)現(xiàn)狀

內(nèi)蒙古氣象局信息網(wǎng)絡(luò)即有內(nèi)部局域網(wǎng)又有廣域網(wǎng)，內(nèi)部局域網(wǎng)與國家氣象專網(wǎng)、盟市氣象局、政府外聯(lián)單位通過專線接入，實(shí)現(xiàn)氣象數(shù)據(jù)的傳輸和資源共享，廣域網(wǎng)即互聯(lián)網(wǎng)接入，為辦公用戶提供互聯(lián)接入服務(wù)及移動(dòng)辦公服務(wù)的需求。內(nèi)蒙古氣象網(wǎng)絡(luò)建設(shè)比較早，整體網(wǎng)絡(luò)安全邊界劃分不夠清晰，安全技術(shù)控制方面存在不足，在運(yùn)維方面未部署認(rèn)證服務(wù)器和堡壘機(jī)實(shí)現(xiàn)運(yùn)維的集中管理和安全審計(jì)，在運(yùn)維安全控制方面存在極大的風(fēng)險(xiǎn)。

對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序管理時(shí)，只有用戶名密碼一種身份鑒別方式，未實(shí)現(xiàn)雙因子身份認(rèn)證。

系統(tǒng)未限制終端登錄地址范圍，可能導(dǎo)致非授權(quán)用戶登錄服務(wù)器，導(dǎo)致系統(tǒng)服務(wù)不能正常運(yùn)行，沒有限制登錄安全設(shè)備的地址。

目前內(nèi)蒙古氣象局網(wǎng)絡(luò)規(guī)模龐大，用戶數(shù)量較多，情況復(fù)雜，需要通過安全區(qū)域的劃分，從而進(jìn)行不同安全域之間訪問控制。應(yīng)將不同的業(yè)務(wù)類型劃分若干個(gè)邏輯隔離區(qū)域，再根據(jù)區(qū)域和應(yīng)用不同劃分多個(gè)VLAN，不同VLAN之間通過嚴(yán)格的安全策略控制業(yè)務(wù)流向，限制不是必需的和非法的訪問。

3 安全域劃分

根據(jù)內(nèi)蒙古氣象局的安全需求及業(yè)務(wù)需求分析，將劃分成六個(gè)安全域，即國家氣象專網(wǎng)區(qū)、核心交換區(qū)、系統(tǒng)外聯(lián)區(qū)、應(yīng)用區(qū)、數(shù)據(jù)區(qū)、運(yùn)維管理區(qū)，如圖1所示。

（1）國家氣象專網(wǎng)區(qū)：主要用于上聯(lián)國家氣象專網(wǎng)，回傳氣象采集數(shù)據(jù)。

（2）核心交換區(qū)區(qū)：連接網(wǎng)絡(luò)內(nèi)部的各個(gè)物理區(qū)域，為區(qū)域間提供高帶寬冗余的網(wǎng)絡(luò)傳輸。

（3）系統(tǒng)外聯(lián)區(qū)：實(shí)現(xiàn)與政府協(xié)同單位網(wǎng)絡(luò)接入和數(shù)據(jù)共享。

（4）應(yīng)用區(qū)：氣象信息系統(tǒng)業(yè)務(wù)接入。

（5）數(shù)據(jù)區(qū)：氣象信息系統(tǒng)數(shù)據(jù)庫接入。

（6）運(yùn)維管理區(qū)：實(shí)現(xiàn)氣象信息系統(tǒng)安全運(yùn)維管理和監(jiān)控審計(jì)。

4 基于堡壘機(jī)的安全運(yùn)維

堡壘機(jī)是一種防范運(yùn)維操作風(fēng)險(xiǎn)的重要技術(shù)手段，它著手于事前規(guī)范、事中管控和事后審計(jì)三方面，能夠非常有效地達(dá)到梳理、規(guī)范、防范、監(jiān)控、管理和審計(jì)等目的。

通過在系統(tǒng)運(yùn)維區(qū)與核心區(qū)之間部署堡壘機(jī)，可實(shí)現(xiàn)對所有運(yùn)維人員的管理，實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證、訪問控制與運(yùn)維資源管理，并可以錄像的方式將所有人員的所有操作記錄下來，增強(qiáng)對運(yùn)維人員及運(yùn)維操作的安全管理，規(guī)避越權(quán)訪問或者誤操作等帶來的數(shù)據(jù)泄密及系統(tǒng)破壞風(fēng)險(xiǎn)。主要收益如下：

（1）單點(diǎn)登錄、統(tǒng)一賬號(hào)、統(tǒng)一授權(quán)，運(yùn)維效率得到提高。

（2）密碼能夠定期自動(dòng)的修改，安全性和密碼復(fù)雜性得到了保障。

（3）結(jié)合原有雙因子認(rèn)證，加強(qiáng)了資產(chǎn)訪問安全。

（4）固化了運(yùn)維流程，管理制度能夠得到有效的落實(shí)。

（5）實(shí)時(shí)監(jiān)控結(jié)合歷史回放起到非常好的威懾作用，安全事件明顯減少。

5 展望

考慮到成本和效果等各方面的因素，信息安全體系建設(shè)不能夠一蹴而就，我們采用分批次整改等保測評的安全問題，先解決最緊急、最關(guān)鍵的基礎(chǔ)安全需求，以后根據(jù)遺留的安全問題再追加投資進(jìn)行整改。這樣，一方面不會(huì)一次性帶來過大的資金壓力，而且，本身通過每期的建設(shè)，及時(shí)檢查、發(fā)現(xiàn)問題，以便下一期進(jìn)行相應(yīng)改進(jìn)，形成PDCA的良性循環(huán)，在實(shí)踐中逐步提高信息安全管理和技術(shù)水平，形成真正有效、適度的全面信息安全體系。

參考文獻(xiàn)

[1]李杰.網(wǎng)絡(luò)安全中計(jì)算機(jī)信息管理技術(shù)的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018 （05）：7.

[2]宣慧，陳行，堡壘機(jī)在校園信息系統(tǒng)中的應(yīng)用[J]，中國新通信，2018，20 （06）：81.