◆江彩英 郭曉佳 謝 丹 林凱特

深化市、縣級(jí)氣象信息網(wǎng)絡(luò)安全治理研究

◆江彩英 郭曉佳 謝 丹 林凱特

（福建省南平市氣象局 福建 353000）

通過深化對(duì)市、縣級(jí)氣象網(wǎng)絡(luò)與信息安全治理，提升我省市、縣級(jí)氣象接入節(jié)點(diǎn)整體信息網(wǎng)絡(luò)安全防護(hù)能力。從強(qiáng)化信息網(wǎng)絡(luò)安全管理制度、安全責(zé)任劃分、應(yīng)急響應(yīng)、技術(shù)防護(hù)和等級(jí)保護(hù)測(cè)評(píng)等方面，建設(shè)適應(yīng)氣象業(yè)務(wù)發(fā)展需求的網(wǎng)絡(luò)與信息安全保障系統(tǒng)，為實(shí)現(xiàn)體系化、規(guī)范化、科學(xué)化、集約化的安全防護(hù)、監(jiān)測(cè)、處置提供治理依據(jù)，確保市、縣級(jí)氣象信息網(wǎng)絡(luò)安全管理有據(jù)可依，安全部署統(tǒng)一，防護(hù)技術(shù)措施支撐有力，為補(bǔ)齊市、縣級(jí)氣象“安全木桶”的短板提供制度、應(yīng)急處置和技術(shù)措施的支撐。

市級(jí)和縣級(jí)；信息網(wǎng)絡(luò)；安全治理；管理要求；技術(shù)防護(hù)

由于“黑客”、計(jì)算機(jī)病毒、信息間諜等對(duì)網(wǎng)絡(luò)安全構(gòu)成越來越嚴(yán)重的威脅，嚴(yán)峻的內(nèi)外部網(wǎng)絡(luò)安全形勢(shì)和新技術(shù)的不斷發(fā)展，在日益增長(zhǎng)的網(wǎng)絡(luò)安全防護(hù)需求推動(dòng)下[1]，網(wǎng)絡(luò)安全也成為網(wǎng)絡(luò)應(yīng)用的必需手段[2]，以保護(hù)網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全性和完整性。為嚴(yán)格落實(shí)《網(wǎng)絡(luò)安全法》[3]、《反恐怖主義法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律法規(guī)的規(guī)定要求，為全面貫徹落實(shí)習(xí)近平總書記和黨中央關(guān)于網(wǎng)絡(luò)安全的重要指示和決策部署，深入貫徹實(shí)施國(guó)家信息安全等級(jí)保護(hù)制度，堅(jiān)決遏制網(wǎng)絡(luò)入侵攻擊、控制破壞、篡改竊密等行為，全面提升市、縣級(jí)氣象網(wǎng)絡(luò)安全保障能力和防護(hù)水平。

各級(jí)氣象部門除有氣象業(yè)務(wù)專網(wǎng)，局域外網(wǎng)，氣象業(yè)務(wù)專網(wǎng)還通過專線實(shí)現(xiàn)國(guó)、省、市、縣四級(jí)節(jié)點(diǎn)的互連互通；同時(shí)，還有依托政務(wù)外網(wǎng)的突發(fā)事件預(yù)警信息發(fā)布系統(tǒng)[4]。網(wǎng)絡(luò)安全遵循“木桶原理”，市、縣級(jí)作為“安全木桶”的重要環(huán)節(jié)，同時(shí)也成為信息安全木桶的短板[5]，深化市、縣級(jí)氣象網(wǎng)絡(luò)安全治理研究就勢(shì)在必行，尤為重要。

1 強(qiáng)化信息網(wǎng)絡(luò)安全管理責(zé)任劃分和安全制度建設(shè)

1.1 信息網(wǎng)絡(luò)安全管理責(zé)任劃分

各單位要從維護(hù)國(guó)家安全和社會(huì)穩(wěn)定的大局出發(fā)，首先得從思想上高度重視信息安全保障工作，嚴(yán)格按照國(guó)家法律法規(guī)以及地方、各系統(tǒng)、部門的要求充分認(rèn)識(shí)加強(qiáng)網(wǎng)絡(luò)安全的重要性和緊迫性。明確網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則，認(rèn)真落實(shí)安全責(zé)任制，確保各項(xiàng)安全防范措施責(zé)任到人、落實(shí)到位，建立并全面落實(shí)信息安全責(zé)任制、檢查考核和責(zé)任追究制度。

1.2 強(qiáng)化信息網(wǎng)絡(luò)安全管理制度建設(shè)

建立安全管理機(jī)制，制定各種規(guī)章、制度和準(zhǔn)則，包括信息安全組織機(jī)構(gòu)管理制度、信息安全事件管理辦法、國(guó)際互聯(lián)網(wǎng)使用管理辦法、氣象業(yè)務(wù)專網(wǎng)安全管理制度、機(jī)房安全管理制度、網(wǎng)絡(luò)安全管理制度、安全設(shè)備巡檢管理指南、無(wú)線網(wǎng)絡(luò)安全管理實(shí)施方案、信息系統(tǒng)信息發(fā)布制度、信息系統(tǒng)運(yùn)行維護(hù)管理制度、信息系統(tǒng)用戶管理制度、信息資產(chǎn)和設(shè)備管理制度、信息系統(tǒng)安全審計(jì)管理制度、數(shù)據(jù)存儲(chǔ)介質(zhì)管理制度、信息系統(tǒng)建設(shè)管理制度、終端與介質(zhì)安全管理、計(jì)算機(jī)及網(wǎng)絡(luò)安全保密工作實(shí)施方案、人員安全管理制度、安全教育和培訓(xùn)等。

2 強(qiáng)化信息網(wǎng)絡(luò)安全應(yīng)急演練和應(yīng)急處置

為有效應(yīng)對(duì)各類可能發(fā)生的信息網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)安全事件，確保發(fā)生網(wǎng)絡(luò)、信息安全問題時(shí)各項(xiàng)應(yīng)急工作高效、有序地進(jìn)行，最大限度降低影響，建立健全有針對(duì)性的網(wǎng)絡(luò)與信息安全事件應(yīng)急工作機(jī)制，提高應(yīng)對(duì)突發(fā)網(wǎng)絡(luò)與信息安全事件能力，保障網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行，制定縣、市級(jí)氣象網(wǎng)絡(luò)和數(shù)據(jù)安全應(yīng)急演練工作指南、重大社會(huì)活動(dòng)期間網(wǎng)絡(luò)安全保障應(yīng)急處置預(yù)案、信息系統(tǒng)應(yīng)急處置預(yù)案等成為必不可少。

2.1 信息網(wǎng)絡(luò)安全應(yīng)急演練

信息網(wǎng)絡(luò)安全應(yīng)急演練是為建立健全信息網(wǎng)絡(luò)安全運(yùn)行應(yīng)急工作機(jī)制，檢驗(yàn)信息網(wǎng)絡(luò)安全綜合應(yīng)急預(yù)案和業(yè)務(wù)技術(shù)專項(xiàng)應(yīng)急預(yù)案的有效性，驗(yàn)證相關(guān)組織和人員應(yīng)對(duì)安全突發(fā)事件的組織指揮能力和應(yīng)急處置能力，保證各項(xiàng)應(yīng)急指揮調(diào)度工作迅速、高效、有序地進(jìn)行。同時(shí)通過演練，不斷提升應(yīng)急工作水平和效率，發(fā)現(xiàn)預(yù)案的不足，進(jìn)一步完善應(yīng)急預(yù)案。

信息網(wǎng)絡(luò)安全應(yīng)急演練的滯后將直接制約應(yīng)急管理水平和應(yīng)急處置能力的提升，這就要求我們要高度重視應(yīng)急演練。應(yīng)急演練方案主要包括：總體目標(biāo)、演練內(nèi)容、演練前期準(zhǔn)備、演練風(fēng)險(xiǎn)、演練實(shí)施步驟、演練情況總結(jié)和應(yīng)急預(yù)案的修訂等。

（1）應(yīng)急演練方案要明確總體目標(biāo)和演練內(nèi)容，其中演練內(nèi)容可分多項(xiàng)，如縣、市級(jí)氣象部門的演練內(nèi)容有：模擬省市縣業(yè)務(wù)網(wǎng)絡(luò)運(yùn)營(yíng)商主線路中斷、業(yè)務(wù)核心網(wǎng)絡(luò)設(shè)備故障切換、WEB服務(wù)器被攻擊、供電線路故障中斷、移動(dòng)自動(dòng)氣象站的應(yīng)急觀測(cè)演練，等等。

（2）在應(yīng)急演練方案中針對(duì)不同演練內(nèi)容，做好演練的前期準(zhǔn)備和演練風(fēng)險(xiǎn)是保證演練成功和效益的前提。演練前確認(rèn)各項(xiàng)工作已準(zhǔn)備就緒，如在演練前做好：網(wǎng)絡(luò)設(shè)備配置的備份和保存工作；通知參演單位，要求各相關(guān)單位密切跟蹤實(shí)際業(yè)務(wù)運(yùn)行和數(shù)據(jù)傳輸情況，并做好應(yīng)急準(zhǔn)備；確定演練開始前各設(shè)備、系統(tǒng)是否正常運(yùn)行，以便判斷演練完成后業(yè)務(wù)不正常是否由演練引起。演練因通過“宕機(jī)”或切斷線路方式模擬緊急故障事件，可能存在：發(fā)生熱備份設(shè)備不能正常接管、設(shè)備切換中發(fā)生真實(shí)故障的極端情況；可能導(dǎo)致網(wǎng)絡(luò)通信異常、業(yè)務(wù)系統(tǒng)的通訊中斷的風(fēng)險(xiǎn)；因UPS或發(fā)電機(jī)的臨時(shí)故障發(fā)生真實(shí)斷電故障等實(shí)際故障或意外的風(fēng)險(xiǎn)。必須充分預(yù)估各種演練風(fēng)險(xiǎn)，提前做好應(yīng)對(duì)準(zhǔn)備。

（3）演練實(shí)施步驟是應(yīng)急演練的核心部分，一定要針對(duì)各類演練內(nèi)容進(jìn)行全過程的細(xì)化，并確保各步驟的可操作性、有效性和針對(duì)性。

（4）演練情況總結(jié)和應(yīng)急預(yù)案的修訂。根據(jù)應(yīng)急演練的情況和總結(jié)，進(jìn)一步改進(jìn)、完善各信息網(wǎng)絡(luò)應(yīng)急預(yù)案，提高其可操作性、有效性和針對(duì)性。

2.2 重大社會(huì)活動(dòng)期間信息網(wǎng)絡(luò)安全事件應(yīng)急處置預(yù)案

重大社會(huì)活動(dòng)期間信息網(wǎng)絡(luò)安全事件應(yīng)急處置預(yù)案可由目的、預(yù)案范圍、組織領(lǐng)導(dǎo)、責(zé)任分工、重大網(wǎng)絡(luò)安全突發(fā)事件處置、本單位信息系統(tǒng)應(yīng)急處置等部分組成。

（1）組織領(lǐng)導(dǎo)和責(zé)任分工

組織領(lǐng)導(dǎo)和責(zé)任分工通過成立信息安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組下設(shè)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組辦公室，領(lǐng)導(dǎo)小組辦公室再下設(shè)應(yīng)急響應(yīng)綜合組、應(yīng)急響應(yīng)技術(shù)組等，當(dāng)然也可只成立應(yīng)急小組，并明確成員和職責(zé)分工。

（2）重大網(wǎng)絡(luò)安全突發(fā)事件處置

重大網(wǎng)絡(luò)安全突發(fā)事件處置建議含突發(fā)故障的事前預(yù)防和應(yīng)急預(yù)案的啟動(dòng)與措施二大部分。突發(fā)故障的事前預(yù)防包括預(yù)警制度的建立、預(yù)警的必要措施、預(yù)警協(xié)作部門的通報(bào)與協(xié)調(diào)、預(yù)警的技術(shù)保障等。做好事前預(yù)防工作，盡可能地減少突發(fā)故障的發(fā)生，做到防患于未然。網(wǎng)絡(luò)安全應(yīng)急預(yù)案的啟動(dòng)與措施包含突發(fā)故障的報(bào)告和啟動(dòng)、事件處理流程、事件結(jié)束條件、事件恢復(fù)和事件總結(jié)。其中，事件處理流程包括：對(duì)事件性質(zhì)的技術(shù)研判、提出應(yīng)急處理方案或事件處置流程，處理協(xié)調(diào)措施和人員安排，事后恢復(fù)等，針對(duì)不同事件它的處理流程也有所不同。

（3）信息系統(tǒng)應(yīng)急處置

信息系統(tǒng)應(yīng)急處理工作應(yīng)以確保各系統(tǒng)網(wǎng)絡(luò)安全和應(yīng)用系統(tǒng)穩(wěn)定安全運(yùn)行為目的。堅(jiān)持統(tǒng)一領(lǐng)導(dǎo)，協(xié)同配合；分工負(fù)責(zé)、分頭管理；明確職責(zé)、監(jiān)控預(yù)警；事前防范、妥善處理的原則?？焖?、穩(wěn)妥的處理網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)突發(fā)事故。

信息系統(tǒng)應(yīng)急處置需明確列出單位所有2級(jí)等保等級(jí)以上系統(tǒng)的分工負(fù)責(zé)和管理，明確各系統(tǒng)的責(zé)任人和應(yīng)急處置人等。

3 強(qiáng)化信息網(wǎng)絡(luò)安全技術(shù)防護(hù)

信息網(wǎng)絡(luò)安全基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出。物理安全主要是指通過物理隔離實(shí)現(xiàn)網(wǎng)絡(luò)安全[6]；網(wǎng)絡(luò)安全指致力于解決諸多如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段；主機(jī)安全含漏洞掃描系統(tǒng)、補(bǔ)丁安全策略、網(wǎng)絡(luò)防病毒系統(tǒng)、桌面終端管理系統(tǒng)等；應(yīng)用層安全含統(tǒng)一身份認(rèn)證、統(tǒng)一權(quán)限管理、數(shù)據(jù)安全性、日志審計(jì)等；數(shù)據(jù)層安全含數(shù)據(jù)庫(kù)安全策略、數(shù)據(jù)安全審計(jì)、數(shù)據(jù)和系統(tǒng)備份策略等。

3.1 局域網(wǎng)安全設(shè)備規(guī)劃部署

氣象業(yè)務(wù)專網(wǎng)和局域外網(wǎng)的各邊界均應(yīng)部署邊界防護(hù)措施和安全審計(jì)系統(tǒng)。在氣象業(yè)務(wù)專網(wǎng)邊界部署隔離網(wǎng)閘、防火墻和入侵防御系統(tǒng)，實(shí)現(xiàn)業(yè)務(wù)專網(wǎng)數(shù)據(jù)與外網(wǎng)數(shù)據(jù)通過網(wǎng)閘交互，并通過防火墻、入侵防御系統(tǒng)的檢測(cè)和防御。局域外網(wǎng)邊界層同樣要求部署防火墻或入侵防御系統(tǒng)，預(yù)算充足的可二者均部署，且還得部署上網(wǎng)行為管理系統(tǒng)達(dá)到接入準(zhǔn)入控制、用戶實(shí)名認(rèn)證、IP地址與MAC地址綁定、上網(wǎng)行為管理。

氣象業(yè)務(wù)專網(wǎng)基本的網(wǎng)絡(luò)安全設(shè)備部署要求：網(wǎng)絡(luò)防病毒系統(tǒng)、智能運(yùn)維管理系統(tǒng)（堡壘機(jī)或安全管理系統(tǒng)）、web防護(hù)系統(tǒng)（如WEB應(yīng)用防火墻系統(tǒng)）、漏洞掃描、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)和用戶實(shí)名認(rèn)證、違規(guī)外連、U盤管控等。對(duì)業(yè)務(wù)集約到省信息中心后還有重要數(shù)據(jù)庫(kù)的市局，還須部署網(wǎng)絡(luò)數(shù)據(jù)庫(kù)審計(jì)，對(duì)還有重要服務(wù)器的可部署操作系統(tǒng)安全增強(qiáng)系統(tǒng)。

網(wǎng)絡(luò)安全設(shè)備規(guī)劃部署注意事項(xiàng)：

（1）無(wú)線網(wǎng)絡(luò)僅限于連接互聯(lián)網(wǎng)。氣象業(yè)務(wù)專網(wǎng)不允許接入無(wú)線網(wǎng)絡(luò)，并對(duì)局域外網(wǎng)的無(wú)線網(wǎng)絡(luò)實(shí)行統(tǒng)一管理，對(duì)無(wú)線接入終端嚴(yán)格進(jìn)行準(zhǔn)入控制、實(shí)名認(rèn)證和上網(wǎng)行為管控，且在重大社會(huì)活動(dòng)期間盡量停用無(wú)線網(wǎng)絡(luò)。

（2）合理有效選配各網(wǎng)絡(luò)安全設(shè)備模塊、特征庫(kù)等。部署安全設(shè)備不是只求有就行，多數(shù)的網(wǎng)絡(luò)安全設(shè)備模塊、特征庫(kù)均為可選購(gòu)入，不同的模塊選配，設(shè)備功能、價(jià)格也將不同，這就要求我們對(duì)將購(gòu)入設(shè)備的模塊配備進(jìn)行周密規(guī)劃，并正確配置，充分利用各模塊功能。做到即不為了省錢而省去應(yīng)有的模塊，也不盲目追求配備越多就認(rèn)為越好而造成設(shè)備或模塊的冗余，財(cái)政的浪費(fèi)。如：WEB應(yīng)用防護(hù)系統(tǒng)一般得含防攻擊、網(wǎng)頁(yè)防篡改和訪問審計(jì)等模塊。再如：防火墻依據(jù)用途和在局域網(wǎng)中的部署位子不同，給它選配的功能模塊也應(yīng)有所不同。對(duì)部署在互聯(lián)網(wǎng)邊界的防火墻則需選配應(yīng)用識(shí)別模塊，而對(duì)部署在政務(wù)外網(wǎng)邊界的該模塊的需求相對(duì)會(huì)弱些，等等。

（3）做到統(tǒng)籌考慮、統(tǒng)一部署。有的安全防控需求只需在謀個(gè)安全設(shè)備上增加功能模塊就可得以實(shí)現(xiàn)，如：瑞星ESM下一代網(wǎng)絡(luò)版殺毒軟件含漏洞掃描、補(bǔ)丁管理、USB管控、違規(guī)外連管控功能模塊等； 360天擎安全管理系統(tǒng)可防病毒、補(bǔ)丁管理、運(yùn)維管控統(tǒng)一部署；氣象業(yè)務(wù)專網(wǎng)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入、非法外連、用戶實(shí)名認(rèn)證等功能；綜合運(yùn)維管理系統(tǒng)和安全管理系統(tǒng)含服務(wù)器監(jiān)控告警、日志管理等，還可能含漏洞掃描、USB管控、違規(guī)外連管控、終端資產(chǎn)管理等功能模塊。在原有設(shè)備上增加功能模塊來達(dá)到更多防護(hù)功能的部署性價(jià)比是最高的，且因?qū)偌s化建設(shè)，所以在一定程度上對(duì)網(wǎng)絡(luò)帶寬和終端資源的占用率也是最小、最優(yōu)化的。

3.2 終端計(jì)算機(jī)安全防護(hù)

局域網(wǎng)終端計(jì)算機(jī)要做到如下安全防護(hù)：

（1）終端在接入網(wǎng)絡(luò)時(shí)，首先對(duì)終端的身份進(jìn)行驗(yàn)證[7]，采取實(shí)名接入認(rèn)證或IP地址與MAC地址綁定等措施對(duì)接入本單位網(wǎng)絡(luò)的終端計(jì)算機(jī)進(jìn)行控制。

（2）所有終端計(jì)算機(jī)要安裝殺毒軟件，并及時(shí)更新病毒庫(kù)；定期進(jìn)行全盤查殺，殺毒軟件開啟移動(dòng)存儲(chǔ)介質(zhì)接入自動(dòng)查殺功能。

（3）所有終端計(jì)算機(jī)和服務(wù)器根據(jù)要求關(guān)閉與業(yè)務(wù)無(wú)關(guān)的隱患端口或服務(wù)（比如端口445、135、137、138、139和網(wǎng)絡(luò)共享）和打開防火墻。

（4）定期進(jìn)行漏洞掃描和修復(fù)漏洞，特別是高危漏洞更要及時(shí)修復(fù)。

（5）進(jìn)行USB管控，嚴(yán)禁個(gè)人USB設(shè)備在單位使用，嚴(yán)禁手機(jī)等可上網(wǎng)設(shè)備接入業(yè)務(wù)內(nèi)部局域網(wǎng)（氣象業(yè)務(wù)專網(wǎng)），同一個(gè)U盤不可同時(shí)在氣象業(yè)務(wù)專網(wǎng)和外網(wǎng)中使用。

（6）違規(guī)外連管控。氣象業(yè)務(wù)專網(wǎng)服務(wù)器業(yè)務(wù)數(shù)據(jù)和互聯(lián)網(wǎng)的數(shù)據(jù)交換均通過網(wǎng)閘進(jìn)行，個(gè)人終端嚴(yán)禁違規(guī)外連。

（7）對(duì)外網(wǎng)終端進(jìn)行上網(wǎng)行為和終端流量管理，并對(duì)各終端用戶的上網(wǎng)行為等進(jìn)行日志記錄，日志達(dá)到保存公安部最低要求的90天以上，最好為180天以上。

3.3 網(wǎng)絡(luò)設(shè)備安全管理和防護(hù)

網(wǎng)絡(luò)設(shè)備安全管理基本要求：網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一，對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別，設(shè)備特權(quán)用戶的權(quán)限分離，對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制，口令應(yīng)有復(fù)雜度要求并定期更換，具有登錄失敗處理功能，設(shè)備應(yīng)合理配置策略，設(shè)備的規(guī)則策略庫(kù)、代碼庫(kù)和檢測(cè)系統(tǒng)進(jìn)行定期的更新升級(jí)，等等。通過部署智能運(yùn)維管理系統(tǒng)（或稱安全管理系統(tǒng)）對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行統(tǒng)一管理，實(shí)現(xiàn)單點(diǎn)登錄，及實(shí)現(xiàn)對(duì)資源口令設(shè)置管理，建立安全的遠(yuǎn)程連接，保障信息的傳輸安全等。

3.4 市、縣級(jí)氣象數(shù)據(jù)共享和交換的集約化安全防護(hù)

福建省氣象局在2016年就明確地做出了“市級(jí)統(tǒng)一進(jìn)行本地區(qū)數(shù)據(jù)交互”的規(guī)定。對(duì)市、縣級(jí)氣象數(shù)據(jù)集約防護(hù)，可利用市局技術(shù)力量，提升系統(tǒng)平臺(tái)和裝備的集約保障能力，最終達(dá)到提升縣級(jí)安全防護(hù)這塊木桶的短板之目的，同時(shí)又極大的降低安全經(jīng)費(fèi)的投入。

市、縣級(jí)氣象數(shù)據(jù)共享和交換安全集約防護(hù)，主要經(jīng)驗(yàn)、建議如下：

（1）實(shí)現(xiàn)市級(jí)統(tǒng)一進(jìn)行本地區(qū)數(shù)據(jù)交互，縣級(jí)不可有對(duì)外出口，首先需達(dá)到對(duì)市、縣級(jí)氣象業(yè)務(wù)系統(tǒng)平臺(tái)的集約部署。如市級(jí)實(shí)現(xiàn)集約部署福建省“市縣預(yù)報(bào)預(yù)警服務(wù)平臺(tái)”、“短臨預(yù)報(bào)制作平臺(tái)”、“突發(fā)預(yù)報(bào)信息發(fā)布平臺(tái)”等等各系統(tǒng)平臺(tái)。

（2）市級(jí)統(tǒng)一集約部署終端防護(hù)和管理。全市統(tǒng)一部署網(wǎng)絡(luò)準(zhǔn)入、終端安全管理系統(tǒng)軟件、漏洞掃描、USB管控、業(yè)務(wù)專網(wǎng)違規(guī)外連管控等，對(duì)部署的漏洞掃描系統(tǒng)務(wù)必同時(shí)通過氣象業(yè)務(wù)專網(wǎng)面向所屬縣級(jí)單位提供統(tǒng)一的補(bǔ)丁升級(jí)支持。

（3）加固市級(jí)網(wǎng)絡(luò)邊界處數(shù)據(jù)交互安全防護(hù)。網(wǎng)絡(luò)邊界部署較大的最大并發(fā)連接數(shù)的隔離網(wǎng)閘和網(wǎng)絡(luò)安全設(shè)備；在網(wǎng)絡(luò)邊界處部署下一代防火墻，通過下一代防火墻的防病毒網(wǎng)關(guān)模塊，實(shí)現(xiàn)對(duì)惡意代碼的檢測(cè)和清除；對(duì)下一代防火墻制定相應(yīng)的配置策略，實(shí)現(xiàn)：端口級(jí)訪問控制和對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制，限制網(wǎng)絡(luò)最大流量數(shù)及連接數(shù)，會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接，防地址欺騙等。通過部署入侵防御系統(tǒng)，加強(qiáng)網(wǎng)絡(luò)進(jìn)出口的入侵檢測(cè)和防御。

（4）注意局域網(wǎng)結(jié)構(gòu)安全。應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理的硬件冗余，保證系統(tǒng)的高可用性；主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)；避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)。

（5）加強(qiáng)邊界完整性檢查。對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確進(jìn)行定位，并對(duì)其進(jìn)行有效阻斷。

（6）加強(qiáng)對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的管理。對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一監(jiān)控，對(duì)并發(fā)連接、資源配額、系統(tǒng)服務(wù)相關(guān)閥值、系統(tǒng)服務(wù)優(yōu)先級(jí)等進(jìn)行限制和管理；對(duì)重要信息系統(tǒng)進(jìn)行定期備份，出現(xiàn)問題可以保證能夠得到及時(shí)的恢復(fù)。

（7）加強(qiáng)安全審計(jì)。對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能；對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。部署的安全設(shè)備的日志保存量必須達(dá)到180天，若設(shè)備無(wú)法滿足，須配備日志服務(wù)器，將日志進(jìn)行統(tǒng)一存放。還可通過部署日志審計(jì)系統(tǒng)對(duì)整個(gè)信息系統(tǒng)中的各類日志進(jìn)行集中采集、集中管理和集中審計(jì)。

（8）加強(qiáng)安全監(jiān)控和告警。監(jiān)控設(shè)備應(yīng)合理配置策略對(duì)各種攻擊行為進(jìn)行監(jiān)視，應(yīng)用系統(tǒng)應(yīng)當(dāng)進(jìn)行統(tǒng)一監(jiān)控；監(jiān)控設(shè)備的規(guī)則策略庫(kù)進(jìn)行定期升級(jí)；維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新；檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。建立網(wǎng)絡(luò)安全運(yùn)維監(jiān)控、安全監(jiān)控告警流程、網(wǎng)絡(luò)安全報(bào)告制度。

4 信息安全等級(jí)保護(hù)測(cè)評(píng)

基于網(wǎng)絡(luò)安全服務(wù)在安全發(fā)展過程中的支撐作用以及等級(jí)保護(hù)2.0時(shí)代的發(fā)展特點(diǎn)[8]，根據(jù)信息安全技術(shù)國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[9-10]，運(yùn)營(yíng)使用單位選擇符合要求的測(cè)評(píng)機(jī)構(gòu)開展等級(jí)測(cè)評(píng)。測(cè)評(píng)機(jī)構(gòu)依據(jù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)安全保護(hù)狀況開展等級(jí)測(cè)評(píng)，按照模板編寫等級(jí)測(cè)評(píng)報(bào)告。市、縣級(jí)氣象信息系統(tǒng)一般均評(píng)定為二級(jí)，個(gè)別市級(jí)有三級(jí)系統(tǒng)。評(píng)定為二級(jí)的信息系統(tǒng)，地方安全部門原則上要求每年進(jìn)行一次安全風(fēng)險(xiǎn)評(píng)估；評(píng)定為三級(jí)的信息系統(tǒng)，國(guó)家要求每年至少要進(jìn)行一次信息安全等級(jí)測(cè)評(píng)。

5 結(jié)語(yǔ)

網(wǎng)絡(luò)安全已成為事關(guān)經(jīng)濟(jì)社會(huì)發(fā)展、國(guó)家長(zhǎng)治久安和人民群眾福祉的重大戰(zhàn)略問題[11]。安全治理重點(diǎn)是確保信息的安全，安全治理的任務(wù)需從技術(shù)和管理兩個(gè)方面入手，基本技術(shù)要求和基本管理要求是確保信息網(wǎng)絡(luò)安全不可分割的兩個(gè)部分。合理地協(xié)調(diào)法律、技術(shù)和管理三種因素，實(shí)現(xiàn)對(duì)市、縣氣象信息網(wǎng)絡(luò)安全管理科學(xué)化、系統(tǒng)化、法制化和規(guī)范化，為市、縣網(wǎng)絡(luò)安全建設(shè)、運(yùn)營(yíng)和管理提供遵循依據(jù)，為我省氣象信息網(wǎng)絡(luò)安全補(bǔ)齊短板。

[1]金玲.用好下一代防火墻輕松防范網(wǎng)絡(luò)風(fēng)險(xiǎn)[J].網(wǎng)絡(luò)安全和信息化，2018（11）：115-117.

[2]謝啟杰，饒?jiān)铞危瑴乩^昌.泉州市突發(fā)事件預(yù)警信息發(fā)布系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)[J].數(shù)字技術(shù)與應(yīng)用，2017（12）.

[3]韓旭至.個(gè)人信息概念的法教義學(xué)分析——以《網(wǎng)絡(luò)安全法》第76條第5款為中心[J].重慶大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2018，24（2）：154-165.

[4]謝國(guó)權(quán)，鄭偉才，張鋒，等.基于國(guó)家突發(fā)事件預(yù)警信息發(fā)布系統(tǒng)的數(shù)據(jù)對(duì)接與應(yīng)用開發(fā)[J].氣象科技，2018，46（6）：1130-1135.

[5]王奇，張文濤，馬銳.內(nèi)部人員保密風(fēng)險(xiǎn)評(píng)估研究[J].信息安全與通信保密，2016（4）：102-108.

[6]徐云峰，郭正彪. 物理安全[M].武漢：武漢大學(xué)出版社，2010：200.

[7]張?chǎng)?，楊曉元，朱率?移動(dòng)網(wǎng)絡(luò)可信匿名認(rèn)證協(xié)議[J].計(jì)算機(jī)應(yīng)用，2016，36（8）：2231-2235.

[8] 曲潔，范春玲，陳廣勇，等.新時(shí)代下網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)思路[J].信息網(wǎng)絡(luò)安全，2019，19（1）：83-87.

[9]黎水林，陳廣勇，陶源.網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中網(wǎng)絡(luò)和通信安全測(cè)評(píng)研究[J].信息網(wǎng)絡(luò)安全，2018，18（9）：80-85.

[10]馬力，祝國(guó)邦，陸磊.《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全，2019，19（2）： 77-84.

[11]馬卓元，楊向東，閆育蕓，等.基于信息系統(tǒng)安全測(cè)試人員能力認(rèn)證的設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（8）：7-8.