福建地震网络信息安全策略研究

2021-03-07戴丽金陈家樑林加宝张丽娜巫立华

网络安全技术与应用 2021年11期

◆戴丽金陈家樑林加宝张丽娜巫立华

福建地震网络信息安全策略研究

◆戴丽金陈家樑林加宝张丽娜巫立华

（福建省地震局福建 350000）

随着计算机技术的飞速发展，计算机网络技术在地震行业的应用越来越广泛，依赖程度越来越高，也不断促进着地震行业信息化的发展。地震数据共享、信息服务以及网络式分布增加了网络受攻击和威胁的可能性。本文分析了福建地震部门的网络现状和存在的安全隐患，利用现行的网络安全技术，提出了科学、合理的解决方案，以保障地震网络的安全可靠运行。

网络技术；信息化；网络安全；地震网络

1 引言

随着计算机网络技术的迅速发展，网络技术在地震信息系统的应用越来越广泛，大量的地震数据及信息需要通过网络进行共享与传输，计算机网络技术也极大地提高了地震系统的工作效果、数据传输的精准性及时效性。然而，计算机网络的多样性、开放性及共享性特征，也增加了计算机网络的不安全性，一旦遭受到网络攻击，势必会对地震工作造成严重的影响。因此，地震部门的网络安全问题是当前亟须解决的关键问题，努力做好网络安全防范，是保障地震系统稳定、安全、正常运行的关键所在。

2 福建地震网络发展现状

目前，福建省地震局已建成国省MPLS-VPN及SRv6 TE双平面、省市MSTP、市县MSTP、省县VPN等混合方式的业务网络系统。福建省地震局所属地震监测站点通过运营商MSTP专线、VPN链路和省局数据处理中心连接，省局通过预警骨干网和国家中心、技术保障中心等实现数据的互联互通。具体来说，福建省地震监测站分为一般站、基准站和基本站三种。一般站通过运营商互联网VPN链路和省地震局实现业务数据的连接，基本站/基准站通过MSTP专线方式和省地震局实现业务的连接。省地震局预警业务数据处理平台是省局生产系统的一部分，部署在省地震局预警网数据中心。

视频会商系统、预警系统及其产品、地震信息服务、观测数据及办公自动化系统等已经在全省地震主干网络上运行传输，随着监测站点的增多及地震业务的不断发展，网络系统承担着越来越多的数据获取、传输、利用及共享的任务。随着地震网络规模的不断扩大，地震信息在逐步开放和共享的同时也增加了网络的不安全性，各种各样的网络入侵也越来越多，给地震业务系统造成了严重的威胁。

3 福建地震网络安全隐患

3.1 用户网络安全意识薄弱

目前，计算机已经在各行各业领域应用广泛，但在福建省地震局一些业务部门中，还有部分用户网络安全意识较低或者未熟练掌握安全防范知识，用户的一些行为很容易增加地震信息网络的安全隐患。例如，随意使用外来移动设备进行计算机之间拷贝资料，使用业务计算机任意浏览、下载文件、收发电子邮件等，很容易导致业务计算机遭受病毒攻击，使系统瘫痪，严重影响业务系统的运行。我局虽然成立了相应的管理机构和技术团队，但在网络安全实际工作中，仍存在部分相关负责同志网络安全意识淡薄，对网络安全工作重视不够的情况。比如弱口令问题，中国地震局多次下发相关要求开展弱口令排查及整改工作，但在2019年6月份HW演习期间还是存在因服务器的弱口令问题被攻破。

3.2 网络安全管理规制和运行机制不健全

中国地震局高度重视网络安全工作，成立了局网络安全和信息化工作领导小组，局属单位也均已成立网络安全和信息化领导机构，但是普遍存在网络安全管理制度不完善、管理制度不全面、责任落实不到位、响应机制不健全以及部分管理制度过时不能满足相关要求等问题。我局目前同样也存在着这些问题。各业务部门每年的工作任务中信息化建设都占有很大比重，各自建设，造成信息网络运维部门很难掌握相应的基础信息，信息化建设缺乏统筹管理；信息部门对自己管理的资源，如IP地址，网络拓扑、运维信息，也是家底不清，几次梳理工作都没有实效。网络安全管理机构，执行机构，运行制度还不十分明确；网络安全制度不完善，人员分工不合理。网络运维和网络安全制度严重缺失，运维、监控工作随意性强；管理人员职责不清，已有工作分工不合理，核心岗位没有设置AB角色，A不在了工作就无法开展，业务系统容易瘫痪。

3.3 网络安全基础设施防护能力薄弱

福建省地震局网络安全体系是以中国地震局网络安防一期项目为基础，结合本局自有配套部分安全设备而建设。网络安防一期工程投入运行后，监控运维类系统已经开始发挥作用，但行业网防火墙久久没启用控制策略，未能启到保护区域网络的作用，安全软硬件设备不能起到应有的防范作用，整体网络安全形势极为严峻。还有多年以来在信息化的相关建设中一直存在“重系统轻安全”的惯性思想，导致网络安全软硬件投入有限，由此直接导致全网的安全防护能力降低。

3.4 网络安全防护与国家等级保护要求仍有差距

地震网络是一张全国大网，各单位普遍存在地震网络边界不清、内部区域划分混乱、行业网和互联网出口多、对外服务混乱等现象，我局也未实现行业网、互联网两网隔离，导致各类互联网攻击直接渗透到行业网内，对行业网的安全造成重大冲击，严重影响行业网稳定运行。同时，重要信息系统老旧、主机漏洞多和安全基线较低；核心业务系统安全漏洞修复面临很大风险，地震局“3+1”业务系统中，例如前兆业务系统因为系统建设时间早，操作系统和数据库发现漏洞后，受应用层技术架构和开发语言的限制，不能升级，存在很大的漏洞。其他部门的业务系统也存在类似问题；业务系统及仪器设备较脆弱，容易因某些因素影响稳定运行。另外，地震系统自身研制的各种应用软件和一些网络应用协议，在开发过程中，也存在一定缺陷，有时还有一些未被解决的系统漏洞，也容易遭到攻击者的攻击。

3.5 网络安全人才队伍比较薄弱

目前，我局地震台站在人员管理、业务培训等方面缺乏制度和经费保障，导致地震台站缺乏相关的网络安全专业技术人员，使得从业人员在网络安全技术能力方面提升缓慢，当网络发生故障时，基本是由在职的非专业人员进行维护，对于专业病毒防御、网络区域设置等关键技术掌握甚少，无法解决复杂的网络安全故障，进而影响台站的正常稳定运行。

4 福建地震信息系统网络安全策略

地震信息系统具有全程全网，内外互联、信息传输量大、时效性高等特点，必须加强对系统的运行管理。我们需要网络安全技术来保障网络的安全，而一个完整的技术安全体系应该是由分布式的多种等级安全技术和安全产品组成的复杂系统，不仅有技术的因素，也有人为的因素。各级信息系统以及系统内部业务之间、各个部门之间必须紧密协作配合，制定出适合本系统本单位的网络安全策略，确保全系统的稳定运行。

4.1 强化全系统网络安全意识

定期开展针对地震网络安全的宣传教育活动，加强全系统工作人员的网络安全意识，制定相关的计算机操作和网络应用规范，定期开展与计算机相关的技能培训及知识讲座，使全体人员能养成良好的上网习惯，最大程度降低因疏忽和不当操作造成对地震网络的影响。

4.2 计算机网络安全管理策略

在计算机网络系统安全策略中，不仅需要采取网络技术措施来保障网络安全，还必须有相关的网络安全管理制度来保障，并且需要相关行政部门来约束监督严格执行，这样才能起到有效的作用。

地震系统网络安全管理策略主要包括：网络安全管理制度；机房管理制度；网络操作使用规程；网络安全应急预案等。

4.3 地震网络安全技术防护

4.3.1实施网络安全防护项目

2018年7月，实施了地震信息第一期的网络安全防护项目，我局配备一套相关的安全设备与软件，初步建成具有一定防护能力的地震网络安全体系。但因各种因素，项目落地情况不理想，行业网网络安全边界防护中，防火墙访问控制策略设置缺失未发挥项目预期效果。

网络控制策略是地震信息系统安全防范和保护的主要策略，它的主要任务是保护网络资源不被非法访问和使用，是保证网络安全最重要的核心策略之一。

我局将对局域网内各业务系统进行应用层面的梳理，在行业网防火墙上实施策略部署。具体来说，按照各自应用系统业务流进行源地址和目标地址的梳理，采用白名单方案，制定策略规划，缺省“阻断”，按策略“开放”，建立明确的互访需求。同类的业务可以互访，不同业务之间禁止访问，发挥行业网防火墙的作用，确保区域网络的安全稳定。

4.3.2实施信息系统等级保护

信息安全等级保护制度，是维护国家信息安全的根本保障。为了保障地震行业信息系统安全，地震行业在落实国家网络安全要求的同时，积极开展地震系统信息安全等级保护工作。我局从自身信息化业务需求和安全需求角度出发，为了满足我局门户网站和业务信息系统的安全稳定运行，提高对重要信息安全的基本防护水平，2019年按照国家信息安全等级保护三级水平开展安全整改建设工作，2020年门户网站按照三级水平进行了复测，存在的安全风险及时进行了整改，确保信息系统安全、可靠、稳定运行。为了信息系统的稳定长远发展，我局将继续按照规范和要求实施信息系统等级保护工作，提高福建地震网络的安全系数，有效地规避和降低风险，保障系统内各系统的稳定、高效运行。

4.3.3其他技术措施

（1）流量监控系统：我局通过一期安全防护项目安装的科来网络全流量安全分析系统，是基于网络全流量分析技术，通过回溯分析数据包特征、异常网络行为，发现潜伏已久的高级未知攻击。网络全流量分析技术是发现APT网络攻击的重要技术手段，帮助用户建立自适应网络安全架构。

（2）杀毒软件。当前我局地震部门主要使用360杀毒软件进行防护，病毒层出不穷，变异快，因此杀毒软件也要进行病毒库更新方可防御最新病毒，采用现有先进的云查杀技术，实时访问云数据中心进行判断，用户无需频繁升级病毒库即可防御最新病毒。

（3）上网行为管理：我局通过上网行为管理设备实现用户对互联网的访问控制，其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。它也是保证网络安全的重要措施之一。