上饶气象信息系统网络安全防护技术论文

SCI论文（www.lunwensci.com）:
 
　　摘要：在中国气象局全面推进气象现代化暨网络安全与信息化的背景下,依据《中华人民共和国网络安全法》、《网络安全等级保护条例》、《中国气象局网络安全管理办法》等相关文件要求,该研究将实现上饶气象内外网安全稳定运行,保护气象数据和应用安全,实现安全网络环境下完成气象应用数据传输,建立健全市县信息网络管理机制,完成上饶市气象局信息网络安全等级评定等工作。力求最大限度做好上饶气象信息网络安全防护工作。

　　关键词：气象；网络；内外网物理隔离；网络安全

 

　　Network Security Protection Technology of Shangrao Meteorological Information System

　　ZHANG Jun

　　(Shangrao Meteorological Bureau,Shangrao Jiangxi 334700)

　　【Abstract】：Under the background of China Meteorological Administration comprehensively promoting meteorological modernization and network security and informatization,according to the requirements of relevant documents such as the network security law of the people's Republic of China,the regulations on network security level protection and the network security management measures of China Meteorological Administration,this research will realize the safe and stable operation of Shangrao meteorological internal and external network,and protect the safety of meteorological data and application,realize the transmission of meteorological application data under the safe network environment,establish and improve the information network management mechanism of cities and counties,and complete the information network security rating of Shangrao Meteorological Bureau.Strive to do a good job in the safety protection of Shangrao meteorological information network to the greatest extent.

　　【Key words】：meteorology;network;physical isolation of internal and external networks;network security

　　1项目研究的意义

　　该项目是现代气象大数据业务建设的需求。它将规范上饶气象部门网络安全建设,构建适合气象业务发展需要的网络安全技术体系,探索气象部门信息网络安全管理体系的建设标准,全面提升上饶气象部门在信息网络方面的安全防护能力和安全威胁处置能力,适应气象业务安全需求,保护气象数据和应用安全,保障和促进气象预警、气象防灾减灾等气象业务的持续、稳定、安全发展。

　　2网闸及其技术原理

　　内外网进行物理隔离后,要如何进行内外-外网之间的数据交换呢？在不破坏物理隔离的前提下,需要用到安全网闸设备。网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离(图1),使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从物理上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部环境的安全。网闸技术原理如图1所示。

　　2.1物理层断开

　　网闸采用的网络隔离技术,就是要保证网闸的内部主机和外部主机在任何时候是完全断开的。但内部主机与固态存储介质,外部主机与固态存储介质,在进行数据传递的时候,有条件地进行单个连通,但不能同时相连。在实现上,内部主机与固态存储介质之间、外部主机与固态存储介质之间均存在一个开关电路。网络隔离必须保证这两个开关不会同时闭合,从而保证OSI模型上的物理层的断开机制。

　　2.2 TCP/IP协议隔离

　　为了消除TCP/IP协议(OSI的3~4层)的漏洞,必须剥离TCP/IP协议。在经过网闸进行数据摆渡时,必须再重建TCP/IP协议[1]。

　　2.3应用协议隔离

　　为了消除应用协议(OSI的5~7层)的漏洞,必须剥离应用协议。剥离应用协议后的原始数据,在经过网闸进行数据摆渡时,必须重建应用协议。

　　3技术路线

　　3.1研究市县级内外网物理隔离技术方案

　　初步拟定物理隔离方案,明确服务器和办公终端的内外网需求,建立独立的气象内网和外网,将内网、外网分别架设在内、外网核心交换机上,内外网分别运行,互不交叉。每一个办公终端采取只能访问内网或者外网的模式,访问外网的办公终端和访问内网的办公终端互不相连,完全实现内外网物理隔离。从而提升气象信息系统安全防护水平以及网络安全保护能力,确保气象部门信息网络安全。

　　3.2研究部署新型网络架构

　　完成对上饶市县级气象部门整个网络架构进行重新梳理,不同区域进行安全规划。

　　市级气象网络可划分为内网区、隔离单向传输区、外网区。内网区根据使用范围不同分为气象广域网区、政务外网区、办公终端区、各类气象服务器区。气象广域网区建立在省市县三级气象广域网之间,提供基于气象内网的网站类业务和通信类业务接入。政务外网区部署基于专线、电子政务外网的网站类业务和通信类业务。办公终端区建立在本地局域网内,部署各类办公终端,通过终端杀毒服务器集中安全防护。各类气象服务器区建立在本地局域网内,部署雷达、区域站中心软件、微信气象服务平台等本地业务、数据环境及核心业务工作站。

　　隔离单向传输区建立在内网区与外网之间,通过安全网闸将内网气象应用数据单向传输到外网中。

　　外网区建立在互联网中,包括有线、无线网络,提供基于互联网的网站类业务、App服务及通信类业务接入。

　　县级同上简化分为内网区和外网区,因为不对外提供气象应用数据,所以不设置隔离单向传输区。

　　市县两级把访问互联网的主机网线汇集到外网汇聚交换机,把访问气象内网的主机网线汇集到内网汇聚交换机,做到完全的物理隔离。有外网或内网访问需求的办公终端,分类整合并做好物理接口梳理。气象外网出口部署防火墙和上网行为管理设备,气象内网部署防火墙和终端杀毒服务器,保障外网区域互联网访问正常,内网区域信息系统平稳安全运行。气象内网部署网络准入,禁止非气象部门的单位、组织或个人连接到气象内网中访问气象应用及数据资源[2]。

　　3.3建立健全市县信息网络管理机制

　　市本级利用防火墙与外网核心交换机重新架构外网的骨干网。外网汇聚交换机与搭建的外网骨干网相连。对气象外网数通与安全设备与气象内网数通与安全设备之间部署安全网闸,后期进行配置与调优,实现安全网络环境下完成气象应用数据传输。

　　气象内网实行分区分域管理,加强内网、气象广域网、专线、电子政务外网和互联网的网络边界安全管控。内网部署网络准入,禁止非气象部门的单位、组织或个人私自连接到气象内网中访问气象应用及数据资源,保障气象数据资源安全；对气象内网与气象外网实施物理网络隔离,保障内部信息网络不受来自互联网的黑客攻击；禁止在气象内网内设立访问气象内网或互联网的无线网络访问设备。访问互联网的无线访问设备应接入气象外网对外服务区,通过部署防火墙、网络准入设备、上网行为管理设备进行安全防护。

　　3.4建立气象应用服务数据安全可靠传输机制

　　为保障全市气象应用数据传输需求,同时考虑到各种气象应用系统的安全性,市本级从内网汇聚全市气象应用数据(例如微信气象服务平台数据、区域中心站数据等),再由市本级统一提供对外气象应用数据,县级则不提供对外气象应用数据。为达成这一目标,市本级将在内外网中分别部署一台一模一样的气象应用汇聚服务器,并在它们之间部署安全网闸,内网中的气象应用汇聚服务器汇聚全市的各种气象应用数据,通过安全网闸将气象应用数据单向传输到外网气象应用汇聚服务器,建立气象应用服务数据安全可靠传输机制。

　　3.5搭建气象内网“绿色”办公终端环境

　　鉴于可移动磁盘介质中有存在木马病毒的可能,在气象内网部署终端杀毒服务器,实时更新木马病毒库,自动查杀气象内网办公终端的木马病毒,为气象业务提供绿色安全的办公环境。

　　3.6市级机房增设大数据管理平台

　　实时监控全局网络和重要设备的运行情况以及流量使用情况,该平台能够直观、全面的显示市局网络状态(如图2所示),也便于维保人员及时、高效地解决突发网络状况。

　　4运行情况

　　内外网物理隔离前,气象内网与互联网互通,虽然配备了防火墙,但系统防护能力仍然较弱,随时面临着计算机病毒、蠕虫、木马、间谍软件、垃圾邮件等互联网威胁；内外网物理隔离后,气象内网与外网是两个互相独立的系统,由于两个独立的系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从物理上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内网及相关设备的安全。

　　5项目创新点

　　建立健全市县信息网络管理机制与气象应用服务数据安全可靠传输机制。按照新型网络拓扑图重新搭建整个网络系统,依据安全区域规划划分了各个网络区域,各个网络设备、安全设备进行重新连接,实现了全市县气象局内外网物理隔离,大大提高了内网安全性,经过有关专家推断,内网系统已经达到了信息安全等级保护三级要求。

　　内网系统搭载的大数据管理平台,实时监控网络和重要设备的运行情况、流量使用情况、内存占用等情况,解决了网络系统监控难、问题原因排查效率低、问题解决不到位等困难。能够集中管理并登陆到任意与管理平台互联的服务器中,大大提高了服务器设备的管理效率,网管人员坐在电脑前就能发现和解决大多数的网络和软件故障。

　　6项目应用前景分析和社会、经济效益

　　中国在现代化发展的过程中,一直非常重视网络安全的建设。在网络安全极受重视的时代背景下,以及在内外网物理隔离尚未普遍实施的情况下,项目的应用前景十分的广阔。目前,上饶市县两级气象部门均已完成或正在实施内外网物理隔离项目进行网络改造,实现内外网物理隔离是抵御网络攻击的必要条件,也是业务数据安全、稳定传输的必要条件,该项目消除了保密业务数据被窃取利用带来的后顾之忧,持续保护着气象网络不受侵害,给气象数据传输提供坚实的后盾,保障气象业务正常运转,对气象防灾减灾业务不断发展起到支撑作用,实现监测精密、预报精准、服务精细,从而给政府等相关部门提供准确可靠的决策依据。

　　参考文献

　　[1]庞淑英.网络信息安全技术基础与应用[M].北京:冶金工业出版社,2009.

　　[2]张剑.信息安全技术(第2版)下册[M].成都:电子科技大学出版社,2015.
 
关注SCI论文创作发表，寻求SCI论文修改润色、SCI论文代发表等服务支撑，请锁定SCI论文网！

文章出自SCI论文网转载请注明出处：https://www.lunwensci.com/jisuanjilunwen/51132.html