气象部门网络安全等保2.0建设浅析

admin 2022年9月15日23:54:25评论26 views字数 3587阅读11分57秒阅读模式

我国历来重视信息安全保护工作,早在2007年发布了《信息安全等级保护管理办法》,一直用于指导我国信息安全等级保护工作。2017年,《中华人民共和国网络安全法》正式颁布,网络安全等级保护制度正式上升到立法层面。2019 年,网络安全等级保护相关标准全面升级,标志着网络安全等级保护正式进入2.0时代。


为进一步落实《中华人民共和国网络安全法》 《中华人民共和国密码法》 《中华人民共和国数据安全法》和等保2.0系列标准等法律制度文件要求,2020年,中国气象局出台了《中国气象局网络安全管理办法(试行)》和《气象数据管理办法(试行)》,加强气象部门网络安全管理,规范全国各级气象部门网络安全工作。


本文分析气象部门网络安全等级保护制度落实情况,确定气象网络安全等级保护对象,初步提出了气象网络安全建设方案。


气象部门网络安全等级保护制度落实情况

全国气象部门实行统一领导、分级管理,气象部门与地方人民政府双重领导,以气象部门领导为主的管理体制。在垂直管理体制下,气象部门信息化建设以国省市县四级统筹考虑,由国家级管理单位制定相关政策规范,直属事业单位负责信息化具体工作的顶层设计和建设,对省市县各级进行业务技术指导。为更好地掌握气象部门网络安全等级保护建设现状及存在问题,本文依据等保2.0基本要求,调研了19个省级气象部门,从等保2.0技术和管理层面进行了分析,具体如图1所示。


气象部门网络安全等保2.0建设浅析

图1  气象部门网络安全等级建设情况


从图1可以看出,总体上,超半数省(区、市)气象网络安全建设情况较好,青海、甘肃、上海等个别省市相对较弱。


从物理环境安全建设情况来看,各省(区、市)均有机房建设,并基本能够满足机房物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、电力供应、温湿度控制等,但对于等保二级、三级所要求的防静电、电磁防护、防水检测和报警、电子门禁等,各省份还存在一定差距。


从通信网络和安全区域边界划分情况来看,基本上所有省(区、市)或多或少部署了防火墙、上网行为管理、防病毒网关及日志审计等相关设备,但对比等保二级、三级要求,超过半数省(区、市)尚未进行网络区域划分,大多数省(区、市)未采用密码技术来保证通信安全传输,入侵防范、恶意代码防范、访问控制等对标等保二级、三级要求存在一定差距。


从安全计算环境建设情况看,基本上所有省(区、市)或多或少部署了防火墙、上网行为管理、抗DDoS、入侵防护、漏洞扫描、防病毒软件及日志审计等相关设备,但对比等保二级、三级要求,在身份鉴别、访问控制、恶意代码防范、资源控制、数据完整性、保密性和软件容错等方面存在不足。


从安全管理情况来看,各省级单位基本都建立了针对网络安全工作的管理规章制度,但在制度落实、安全技术人员、安全技术培训等方面还比较薄弱,部分业务人员安全意识薄弱。


综上,气象部门网络安全等级保护建设取得了一定的成果,但按照等保2.0标准要求还有一定差距,亟需在下一步工作中全面加强气象网络安全等级保护建设。


等级保护对象的确定

等级保护对象是网络安全等级保护工作直接作用的对象,因此谈到网络安全等级保护必然要首先明确等级保护对象。依据《信息安全技术 网络安全等级保护定级指南》(GB/T 22240—2020)(以下简称《定级指南》),等级保护对象主要包括信息系统、通信网络设施和数据资源等。落实到气象部门,气象部门等级保护对象应具体对应气象主要业务系统,包括综合气象观测、气象预报预测、公共气象服务及气象信息等,各业务系统之间相互联系,互相支撑,构成一个有机整体。


参考定级指南对定级对象基本特征定义,并依据具体网络安全等级的划分方法,结合具体气象业务特点,可以将气象网络安全等级保护对象确定为:使用物联网技术的气象观测系统,包含感知设备、网络传输和处理应用等整体系统;使用移动互联技术的气象观测系统,包含基于各类平台(手机、公共设施及可穿戴设备等)的气象要素传感器、无线网络和数据应用等;基于B/S和C/S架构的气象预报预测服务等业务应用软件系统;使用移动互联技术的气象网站、App及客户端等;国省市县四级一体的地面气象宽带网,CMA-cast卫星广播网;气象大数据,包括原始数据和数据产品;为气象主要业务提供软硬件基础支撑服务的气象大数据云平台。


气象网络安全等级保护建设总体规划

围绕网络安全等级保护对象,首先应做好气象网络等级保护总体规划,包括气象网络安全总体技术防护体系、气象网络总体布局和网络区域划分。


1.气象网络安全总体技术防护体系

依据等保2.0标准,气象网络安全总体技术防护体系由从外到内的“纵深防御”体系构成。“物理环境安全防护”保护服务器、网络设备以及其他设备设施免遭地震、水灾、火灾、盗窃等事故导致的破坏,“通信网络安全防护”保护暴露于外部的通信线路和通信设备,“网络边界安全防护”对等级保护对象实施边界安全防护,内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域,低级别定级对象部署在高等级安全区域时应遵循“就高保护”原则,内部安全区域即“计算环境安全防护”将实施“主机设备安全防护”和“应用和数据安全防护”,“安全管理中心”对整个等级保护对象实施统一的安全技术管理。


气象网络安全总体技术防护体系示意图如图2所示。


气象部门网络安全等保2.0建设浅析

图2  气象网络安全总体技术防护体系示意图


2.气象网络总体布局和网络区域划分

网络安全等级保护建设方案的实现和网络安全设备产品的部署离不开气象网络。气象部门属于垂直管理体制,网络布局和结构按照国省市县四级进行设计。四级节点通过地面气象宽带网实现互联互通,国省市县各级根据安全需求和对内对外气象业务属性进行网络和功能区划分。网络区域总体上划分为气象内网和气象外网,各类等级保护对象按照业务属性对应部署在相应网络区域,并部署相关网络安全设备产品。


气象网络安全等级保护建设重点分析

气象网络安全等级保护建设在总体网络安全技术防护体系和网络布局区划下,以等级保护对象防护需求为重点,落实等保2.0相关要求。具体内容如下。


1.物理环境安全建设

按照等保2.0要求,确定适合的机房场地,远离人造和自然灾害多发的地方,如加油站、储气站、机场等。进行机房出入控制,包括设置电子门禁系统,配置视频监控设备等。采取防盗窃、破坏、防火、防水防潮、防静电、温湿度控制及电磁防护等措施,配置相关防护设备。


2.通信网络安全建设

通信网络安全建设包括网络结构安全、网络安全审计及络设备防护等。合理划分网络区域,确保核心业务系统和数据的重要网段不能直接与外部连接,需要和其他网段隔离。网络设备的选取考虑冗余和满足气象业务科研高峰需求。


网络带宽保证满足各类气象观测数据传输和实时气象业务运行;部署网络行为监控与审计系统,形成对全网网络数据的流量监测并进行相应安全审计,同时和其他网络安全设备共同为集中安全管理提供监控数据用于分析及检测;对登录网络设备的用户进行身份鉴别,用户名必须唯一;对网络设备的管理员登录地址进行限制;身份鉴别信息具有不易被冒用的特点,口令设置复杂并定期更换;重点设备用户采取双因素认证身份鉴别。


3.区域边界安全建设

区域边界安全建设包括边界访问控制、边界完整性检查、边界入侵防范、边界安全审计和边界恶意代码防范等。配置防火墙、防病毒网关、防病毒软件及入侵防护系统等,进行防护隔离,对网络行为进行监控审计,及时发现网络安全风险并及时采取措施进行防护拦截。


4.计算环境安全建设

计算环境安全建设包括身份鉴别、访问控制、系统安全审计、入侵防范及资源控制等。配置终端安全管理系统、入侵检测系统及安全操作系统等,设计科学的安全策略,保证计算环境安全。


5.安全管理中心建设

安全管理中心建设包括系统管理、审计管理和安全管理。建设统一安全管理平台,对气象业务系统安全进行统一集中管理。


结语

气象部门垂直管理体制下,国省市县四级纵向一体开展气象业务系统建设,横向各类气象业务密切关联,针对气象部门这样的管理和业务技术特点,做好气象网络安全工作非常重要。尤其在气象信息化快速发展的今天,云计算、大数据、人工智能和移动互联技术等深度融入气象工作方方面面,在支撑气象事业高质量发展的同时,带来的网络安全风险也日趋严峻。


本文在充分分析气象部门现有网络安全等级保护建设现状及存在问题的基础上,分析了气象网络安全等级保护对象,并进一步围绕保护对象,初步探讨了气象网络安全等级保护建设总体规划和建设重点,提出了总体技术防护体系,指出了气象网络安全等级保护建设重点,为后期气象部门更好地落实网络安全等级保护2.0系列标准要求,做好网络安全等级保护工作,助力气象事业高质量发展奠定了良好基础。


来源:《网络安全和信息化》杂志

作者:中国气象局气象发展与规划院  曹玉静  谢博思  付硕  郭转转

(本文不涉密)

原文始发于微信公众号(网络安全和信息化):气象部门网络安全等保2.0建设浅析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月15日23:54:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   气象部门网络安全等保2.0建设浅析http://cn-sec.com/archives/1297961.html

发表评论

匿名网友 填写信息