◆陈澍 李怀刚 孟金
等保2.0在山东省级气象网络安全中的应用
◆陈澍1,2李怀刚1,2孟金1,2
(1.山东省气象防灾减灾重点实验室 山东 250031;2.山东省气象信息中心 山东 250001)
随着网络安全形势的日趋严峻,网络安全防护要求不断提高,有关部门相继发布网络安全相关法律法规及国家标准。省级气象部门作为国内气象信息网络中的关键节点,自等保2.0标准发布以来,山东省气象信息化建设及网络安全工作以此为指导,开展气象信息安全系统优化完善工作。经过2年时间积极开展网络安全相关工作,落实标准要求,进一步完善信息化标准体系,指导全省气象信息化工作发展,为气象业务发展提供有力的科技支撑和安全保障。
等保2.0;网络安全;气象信息化
近年来,信息安全的快速发展使得气象行业对网络和信息系统的依赖程度也随之不断增加,同时,信息安全形势的日趋严峻也让气象部门在气象数据安全网络系统安全等方面的需求日渐凸现。随着信息安全形势不断发展,中国气象局在《网络与信息安全总体技术设计》报告中,明确了气象信息网络安全的更高要求,应当逐步高效地实现气象信息网络安全的总体目标,提升气象行业整体网络安全防护能力[1]。同时,“国家实行网络安全等级保护制度”也是《网络安全法》中的规定[2]。在2019年发布的网络安全等级保护2.0核心技术标准中指出,当下除了物联网、云计算、大数据、移动互联网新技术,还有许多新兴技术日益成熟,比如人工智能、区块链、边缘计算等,这对等级保护提出了更高的要求[3]。随着网络安全等级保护2.0技术标准正式施行一年多来,研究网络安全等级保护2.0核心技术标准在山东省级气象信息网络系统中的应用,是提高省级气象信息系统安全运维保障能力的需求,能够有效提升山东省级气象信息网络安全防护能力,为省级气象系统建设具备等级保护2.0防护能力做出参考作用。因此,研究网络安全等级保护2.0核心技术标准之下省级气象网络安全防护体系的架构在省级气象信息网络系统中的应用,具有十分重要的意义。
首先,从信息安全等级保护制度到网络安全等级保护制度的变化,更加顺应了当前网络安全形势的需要。在经过对比网络安全等级保护2.0技术标准与原信息安全等级保护1.0的区别,发现,等保2.0相比之前的标准,更新的核心内容就是围绕“一个中心,三重防护”的建设思路,即一个管理中心,通过对区域边界防护、通信网络防护、计算环境防护的统一管理,不断加强网络安全防护。新的标准提出了更加明确和更加全面的建设和防护要求。随着新技术的层出不穷,能够具备等保2.0防护能力的建设内容也将更加细化,同时,在等保2.0的要求中还着重提出了需要实现主动防御、风险监测和预警能力等内容。
《信息安全技术网络安全等级保护基本要求》2.0版本较1.0版本在诸多方面进行了调整。主要包括以下几方面:
(1)在基本要求中,名称由原有的“信息系统安全”变更为了“网络安全”,突出强调了网络安全,网络安全不仅仅包含信息系统安全,还包含着其他如物联网系统、大数据平台系统等,着重强调网络安全与《网络安全法》中的相关法律条文保持一致[4]。
(2)等级保护的定级对象发生改变,安全等级保护的对象包括网络基础设施、云计算平台或系统、大数据平台或系统、物联网、工业控制系统、采用移动互联技术的系统等[5]。
(3)在新标准中,改变原有安全要求内容的结构,对安全要求进行了细分,划分了“安全通用要求”和“安全扩展要求”。安全通用要求指所有适应等级保护的系统必须满足的要求,是基本安全要求,而针对云计算、移动互联、物联网及工业控制系统等新纳入等级保护定级的对象,进一步提出了安全扩展要求。通过对安全要求的划分,让技术标准的实施更加精确,使得在网络安全建设工作有了更加明确的目的。
(4)对安全通用要求中的控制项和控制节点有所改变。技术标准的结构和分类发生变化,从技术部分来看,包含了从物理环境安全要求到通信网络环境的安全要求。同时对计算环境的安全,网络区域边界的安全及安全管理中心等做了相应的技术要求。在管理方面,提出了安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等多方面的管理内容。
(5)新增四个安全扩展要求
新增的四个安全扩展要求为:云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求[6]。其中,云计算和物联网两部分扩展要求,与气象信息系统安全建设工作息息相关,具有十分重要的指导意义。
省级气象信息系统建有独立的云计算环境,按照云计算安全扩展要求对云计算平台的计算环境提出了从基础设施的物理环境安全要求到容灾备份能力以及云计算管理、云服务提供商的选择等方面逐一提出细化要求,同时,虚拟化的横向安全保护,也被列入扩展要求中。
在气象观测设施建设中涉及物联网系统的建设,因此物联网安全扩展要求在气象网络安全整体建设中同样具有一定的指导意义,对物联网环境的安全扩展要求主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面[7]。
省级气象信息中心作为全省气象行业网络安全核心部门,承担对全省网络架构的规划设计、指导市县级网络安全建设的职责。目前,山东气象部门网络安全建设工作,已针对全省气象行业网络系统建成信息系统、大数据云平台、云计算资源平台、移动互联系统、物联网系统等多个系统,围绕“一个中心三重防护”的网络安全等级保护2.0建设思路,并结合“功能划分”、“流量编排”等创新归类划分方式和新要求下的安全产品及服务,对新纳入等保2.0的新技术的新系统平台,合理划分并确定等级保护的对象,对等级保护对象进行安全防护工作建设规划。针对所确定的等级保护对象及所定级别,初步设计出能够为我省气象系统等级保护2.0防护能力建设提供参考作用,符合等保2.0测评要求的解决方案,应用于等保2.0安全防护建设工作中。
结合山东气象信息网络现状,初步设计符合网络安全等级保护2.0核心技术标准的网络安全架构合规设计,图1为我省规划设计出满足新技术标准要求的网络设计拓扑图。
图1 新技术标准下的网络拓扑设计图
首先,按照需求严格划分内网与外网区域边界,同时内网业务与外网区域需通过网闸做好有效的强逻辑隔离防护措施,必要时需断开网闸设备,以确保内网环境的绝对安全。其次,根据网络区域功能的属性,对网络区域边界进行划分,这符合新标准中对安全通用要求的控制项相关内容要求。同时,针对业务服务器及云计算平台,按照扩展要求的内容,加强纵向及横向的安全防护,并注重物理环境的安全及容灾备份的能力提升。从区域划分、边界防护、纵向横向防护提升及容灾备份等方面,全面提升省级气象网络安全的防护能力及业务安全运行的能力。
遵循等保2.0标准中提出的“一个中心,三重防御”的思想,重点建设以安全态势感知平台为核心的安全运营中心,实现基于大数据分析建模、网络威胁深度挖掘、在大数据驱动的智能化追踪溯源,使省级气象信息中心能够具备更强的威胁监测和预警能力。在省级气象网络系统应用态势感知技术,首先要部署态势感知技术所需要的基础功能模块,包括:流量采集、日志采集探针、关联规则引擎及安全大数据分析平台[1]。
建立安全运营中心,也称作安全运维中心,将市级、县级统一收集到的安全监测信息如流量及日志等内容进行存储,并通过大数据分析技术进行统一的分析排查,形成各类安全相关的监测告警信息。各级气象部门负责安全运维的一线、二线、三线安全技术人员,按照管理流程对安全事件进行流转处置,对不同级别的安全告警进行分工处理,并进行定期安全事件回顾,持续改进提升安全有效性。
为应对各类安全风险,按照纵深防御理念,经过多年的不断建设及网络安全系统的不断完善,山东省气象信息网络安全防护系统按照原网络安全建设标准,已部署一系列安全防护设备和检测措施,如防火墙、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统等[1],构建完成了点状防御体系。但点状防御存在众多局限,并不能形成有机整体,比如对大量的安全日志和事件无法系统地进行处理,严重影响安全运营的工作效率。按照新标准的思路,寻求优化方案,山东省级气象信息网络系统上线了SOC态势感知平台,实现对安全态势的集中感知管控,形成有力保障。SOC感知平台有机地将技术、设备及人员进行结合。
山东省级气象信息网络系统中除了部署防火墙、IPS等传统防护设备外,还使用APT预警平台实现等保2.0标准中对入侵防范的要求,与新标准中所要求的“采取技术措施对网络行为进行分析”并“实现对网络攻击特别是未知的新型网络攻击的检测和分析”。APT攻击是指不断利用新型的攻击手段,持续性对特定目标进行网络攻击的一种形式,利用零日漏洞等手段可绕过传统安全设备的防线,对当前网络安全产生巨大威胁,系统入侵防御措施在合规及自身安全需求层面都难以满足要求,而ATP预警平台持续检测攻击行为并与运营中心对接,从而实现对攻击手段的主动防御,提供更高级的安全保障。
山东省级气象信息网络系统在安全管理中心、安全管理制度等层面不断完善,在物理环境、区域边界、计算环境等业务层面开展纵深防御建设工作,形成管理与技术统一的纵深防护体系。纵深防御体系的建立,首先要以零信任的原则划分网络区域,对上级气象部门信息系统及下级气象部门信息系统进行防御,实现安全事件发生后,控制事件的影响范围。在典型的网络安全入侵事件中,攻击者利用暴露的互联网入口进行漏洞扫描,利用如远程命令执行等漏洞,可以轻松获得控制权限,甚至可以提权至更高的系统权限,而后利用跳板,进行纵向渗透横向蔓延,获得更多内网权限。应对此类安全事件,必须按照等保新标准的要求,加强纵深防御,切断渗透环节,有效阻止攻击的不断蔓延。因此,在安全防护技术不断发展的当下,山东气象部门安全防护体系的建设坚持完善纵深防御的原则,在网络层、应用层、系统层,再到用户层、业务层等层面进行层层加固的纵深防御,结合完善的安全管理制度,共同构建深厚的纵深防御体系。
等保2.0新规契合当前信息化建设工作中技术手段不断创新、业务处理能力不断提高的特点,顺应新形势,要求系统责任单位在网络安全保障方面使用更先进的技术手段和防护措施,切实提高安全运营能力。山东省级气象信息部门按照等保2.0要求已完成相关信息化建设工作,以态势感知平台为核心的安全运营中心基于大数据分析技术,使本省的气象网络系统具备更强的威胁监测和预警能力,安全事件响应速度得到极大提高;攻击预警平台的应用使整体网络安全防护中大幅提高发现零日漏洞利用、未知恶意代码等高级攻击行为的能力;纵深防御体系为业务系统高效平稳运行提供多方面保障,在病毒传播、木马攻击、APT攻击事件日益增多的网络环境下,通过严格落实网络安全建设工作,切实保障网络环境的安全、健康。
[1]陈澍,孟金,冯勇,等. 态势感知技术在省级气象网络安全防护中的应用[J]. 信息技术与信息化,2020(10):127-129.
[2]刘黎明,辛力.《网络安全法(草案)》评析[J].上海政法学院学报(法治论丛),2016,31(05):63-70.
[3]任婷,于城. 从新技术角度谈等级保护2.0[J]. 信息通信技术,2018,12(06):12-17.
[4]李丹,杨向东,马卓元,等. 等保2.0视域下的网络安全工作思考[J]. 网络安全技术与应用,2019(10):11-12.
[5]马力,祝国邦,陆磊. 《网络安全等级保护基本要求》(GB/T 22239-2019)标准解读[J]. 信息网络安全,2019(02):77-84.
[6]何占博,王颖,刘军. 我国网络安全等级保护现状与2.0标准体系研究[J]. 信息技术与网络安全,2019,38(03):9-14+19.
[7]马力,陈广勇,祝国邦. 网络安全等级保护2.0国家标准解读[J]. 保密科学技术,2019(07):14-19.
山东省气象局青年科研基金项目“网络安全等级保护2.0技术在气象信息网络中的应用”(2019SDQN04)