【正文】 安全區(qū)域是指在全國氣象寬帶網(wǎng)絡(luò)系統(tǒng)內(nèi)僅能由本地局域網(wǎng)絡(luò)內(nèi)部系統(tǒng)主動發(fā)起向安全域的通信而不能主動與本地局域網(wǎng)絡(luò)內(nèi)部系統(tǒng)通信的安全域系統(tǒng)。? 雙向和單向安全區(qū)域的本質(zhì)是與本地局域網(wǎng)絡(luò)系統(tǒng)內(nèi)部的訪問關(guān)系：? 單向安全區(qū)域無法主動與內(nèi)部局域網(wǎng)絡(luò)通信，外部系統(tǒng)對單向安全區(qū)域內(nèi)系統(tǒng)的訪問控制可以較為簡單? 雙向安全區(qū)域內(nèi)的系統(tǒng)能夠獲得較大的范圍權(quán)限，與此相應(yīng)，對雙向安全區(qū)域的訪問控制則更為嚴(yán)格氣象寬帶網(wǎng)絡(luò)安全區(qū)域部署? 安全區(qū)域范圍? 全國氣象寬帶網(wǎng)絡(luò)各級系統(tǒng)均需構(gòu)建安全區(qū)域以保障氣象業(yè)務(wù)系統(tǒng)的正常運行。在具體實施上可根據(jù)實際情況分期分批實現(xiàn)。全國氣象寬帶網(wǎng)絡(luò)主干系統(tǒng)所覆蓋的國家級和省級系統(tǒng)需盡快完成安全區(qū)域的構(gòu)建；地市級系統(tǒng)根據(jù)數(shù)據(jù)通信和網(wǎng)絡(luò)安全管理需求逐步完成安全區(qū)域的構(gòu)建；縣級氣象系統(tǒng)按照局域網(wǎng)絡(luò)系統(tǒng)安全管理方式通過專用計算機訪問氣象內(nèi)部網(wǎng)絡(luò)系統(tǒng)，暫時不劃分專用安全區(qū)域? 安全區(qū)域內(nèi)容? 在構(gòu)建安全區(qū)域的國家級和省級（包括今后的地市級）氣象系統(tǒng)內(nèi)，所有通過全國氣象寬帶網(wǎng)絡(luò)系統(tǒng)提供服務(wù)的業(yè)務(wù)系統(tǒng)均應(yīng)連接到相應(yīng)的單向或雙向安全區(qū)域內(nèi)，且僅能連接到安全區(qū)域內(nèi)。禁止安全區(qū)域內(nèi)的計算機與內(nèi)部局域網(wǎng)絡(luò)存在不經(jīng)過安全設(shè)備的連接? 安全區(qū)域位置? 包括全國氣象寬帶網(wǎng)絡(luò)系統(tǒng)在內(nèi)的通信系統(tǒng)應(yīng)位于局域網(wǎng)絡(luò)系統(tǒng)外部，并通過簡潔且明確的設(shè)備或網(wǎng)絡(luò)線路連接。通信系統(tǒng)的邊緣化有利于整體安全策略的制定和實施。安全區(qū)域應(yīng)位于本地局域網(wǎng)絡(luò)系統(tǒng)和全國氣象寬帶網(wǎng)絡(luò)系統(tǒng)接入設(shè)備之間。安全區(qū)域與本地局域網(wǎng)絡(luò)系統(tǒng)和寬帶網(wǎng)絡(luò)內(nèi)的其它安全區(qū)域?qū)崿F(xiàn)邏輯隔離，需要通過專用網(wǎng)絡(luò)安全設(shè)備實現(xiàn)安全區(qū)域的隔離和訪問控制? 安全區(qū)域 IP地址? 安全區(qū)域與本地局域網(wǎng)絡(luò)系統(tǒng)實施統(tǒng)一編址，安全區(qū)域 IP地址空間位于規(guī)定的本地局域網(wǎng)絡(luò)系統(tǒng)地址空間內(nèi)。為了便于全國氣象寬帶網(wǎng)絡(luò)系統(tǒng)統(tǒng)一安全管理，安全區(qū)域 IP地址空間由國家級網(wǎng)絡(luò)管理部門按上述原則統(tǒng)一分配雙向安全區(qū)域訪問規(guī)則? 雙向安全區(qū)域維持現(xiàn)有業(yè)務(wù)系統(tǒng)訪問的層次關(guān)系，目前針對國家級和省級系統(tǒng)制定訪問規(guī)則? 雙向安全區(qū)域原則上只連接必須使用雙向業(yè)務(wù)流程的現(xiàn)有氣象業(yè)務(wù)系統(tǒng)，對于新建氣象業(yè)務(wù)系統(tǒng)建議放置到單向安全區(qū)域內(nèi)? 雙向安全區(qū)域?qū)嵤╇p向訪問控制，即需在訪問控制規(guī)則內(nèi)明確定義允許通信的雙方地址和應(yīng)用端口，國家級和各省級系統(tǒng)對同一允許的通信內(nèi)容同時實施訪問控制? 雙向安全區(qū)域與本地局域網(wǎng)絡(luò)的通信同樣實施雙向訪問控制? 同一級系統(tǒng)內(nèi)的多個雙向安全區(qū)域原則上禁止互相訪問? 國家級雙向安全區(qū)域內(nèi)的系統(tǒng)允許下列訪問：? 來自省級雙向安全區(qū)域內(nèi)系統(tǒng)的訪問? 來自國家級局域網(wǎng)絡(luò)內(nèi)部系統(tǒng)的訪問? 訪問省級雙向安全區(qū)域內(nèi)的系統(tǒng)? 訪問國家級局域網(wǎng)絡(luò)內(nèi)部的系統(tǒng)? 訪問國家級單向安全區(qū)域內(nèi)的系統(tǒng)雙向安全區(qū)域訪問規(guī)則（ 2）? 省級雙向安全區(qū)域內(nèi)的系統(tǒng)允許下列訪問：? 來自國家級雙向安全區(qū)域內(nèi)系統(tǒng)的訪問? 來自其它省級雙向安全區(qū)域內(nèi)系統(tǒng)的訪問? 來自本省地市級系統(tǒng)的訪問，有條件的地市級系統(tǒng)構(gòu)建雙向安全區(qū)域訪問本省省級雙向安全區(qū)域系統(tǒng)? 來自本省縣級系統(tǒng)的訪問? 來自本省級局域網(wǎng)絡(luò)內(nèi)部系統(tǒng)的訪問? 訪問國家級雙向安全區(qū)域內(nèi)的系統(tǒng)? 訪問其它省級雙向安全區(qū)域內(nèi)的系統(tǒng)? 訪問本省地市級系統(tǒng)，對建立雙向安全區(qū)域的地市級系統(tǒng)訪問其雙向安全區(qū)域內(nèi)的系統(tǒng)? 訪問本省縣級系統(tǒng)? 訪問本省級局域網(wǎng)絡(luò)內(nèi)部的系統(tǒng)? 訪問本省級單向安全區(qū)域內(nèi)的系統(tǒng)單向安全區(qū)域訪問規(guī)則? 單向安全區(qū)域的訪問規(guī)則在服務(wù)提供方僅定義允許提供服務(wù)系統(tǒng)的地址和服務(wù)端口，缺省允許所有全國氣象寬帶網(wǎng)絡(luò)內(nèi)部系統(tǒng)訪問? 使用單向安全區(qū)域內(nèi)系統(tǒng)服務(wù)的客戶端則需在本地的全國氣象寬帶網(wǎng)絡(luò)系統(tǒng)接口安全設(shè)備上定義允許通信的客戶端地址和服務(wù)器地址及服務(wù)端口? 本地局域網(wǎng)絡(luò)內(nèi)部系統(tǒng)與單向安全區(qū)域內(nèi)系統(tǒng)的通信需定義允許通信的雙方地址和應(yīng)用端口? 同一系統(tǒng)內(nèi)的多個單向安全區(qū)域原則上禁止互相訪問單向安全區(qū)域訪問規(guī)則（ 2）? 國家級單向安全區(qū)域內(nèi)的系統(tǒng)允許下列訪問：? 來自省級、地市級和縣級系統(tǒng)的訪問? 來自國家級局域網(wǎng)絡(luò)內(nèi)部系統(tǒng)的訪問? 省級單向安全區(qū)域內(nèi)的系統(tǒng)允許下列訪問：? 來自國家級系統(tǒng)的訪問? 來自其它省級系統(tǒng)的訪問? 來自本省地市級和縣級系統(tǒng)的訪問? 來自其它省地市級和縣級系統(tǒng)的訪問? 來自本省級局域網(wǎng)絡(luò)內(nèi)部系統(tǒng)的訪問? 來自本省級雙向安全區(qū)域內(nèi)系統(tǒng)的訪問全國氣象寬帶網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)流程互聯(lián)網(wǎng)絡(luò)系統(tǒng)互聯(lián)網(wǎng)絡(luò)系統(tǒng)? 國家、省、地市和縣級氣象網(wǎng)絡(luò)系統(tǒng)基本上建立了與互聯(lián)網(wǎng)的連接? 互聯(lián)網(wǎng)對氣象業(yè)務(wù)系統(tǒng)既有益又存在安全威脅? 在國家級、省級和地市級局域網(wǎng)絡(luò)系統(tǒng)內(nèi)應(yīng)建立專用的安全接入?yún)^(qū)用于與互聯(lián)網(wǎng)連接，對互聯(lián)網(wǎng)訪問實施嚴(yán)格的安全控制? 安全接入?yún)^(qū)應(yīng)建立完善的網(wǎng)絡(luò)安全設(shè)施，對互聯(lián)網(wǎng)訪問進行訪問控制、入侵檢測、漏洞掃描、病毒過濾和訪問記錄? 禁止任何形式的由外部互聯(lián)網(wǎng)到內(nèi)部網(wǎng)絡(luò)系統(tǒng)的訪問，即使對于一般性網(wǎng)絡(luò)系統(tǒng)也需同樣要求? 對內(nèi)部網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)應(yīng)達到主機級控制粒度? 縣級系統(tǒng)使用專用計算機訪問互聯(lián)網(wǎng)，該計算機與其它業(yè)務(wù)用計算機完全物理隔離互聯(lián)網(wǎng)絡(luò)系統(tǒng)（ 2）? 辦公網(wǎng)、業(yè)務(wù)網(wǎng)和一般性網(wǎng)絡(luò)由于其應(yīng)用性質(zhì)不同，需要采取不同的安全策略? 辦公網(wǎng)內(nèi)部計算機禁止訪問互聯(lián)網(wǎng)，由于業(yè)務(wù)需要可訪問氣象電子郵件系統(tǒng)? 電子郵件服務(wù)器應(yīng)位于局域網(wǎng)絡(luò)建立的特殊安全控制區(qū)域內(nèi)，且 禁止任何形式的由外向內(nèi)的 數(shù)據(jù)流程? 業(yè)務(wù)網(wǎng)內(nèi)部服務(wù)器和用戶計算機嚴(yán)格禁止訪問互聯(lián)網(wǎng)? 需要通過互聯(lián)網(wǎng)獲取氣象資料的計算機應(yīng)在業(yè)務(wù)網(wǎng)特定區(qū)域內(nèi)設(shè)立專用的下載計算機，該計算機下載數(shù)據(jù)后由后端服務(wù)器主動取得數(shù)據(jù)，下載計算機需安裝防病毒、入侵檢測和統(tǒng)一安全控制軟件保障基本安全? 一般性網(wǎng)絡(luò)系統(tǒng)可直接訪問互聯(lián)網(wǎng)，每臺計算機應(yīng)安裝統(tǒng)一安全控制軟件互聯(lián)網(wǎng)絡(luò)系統(tǒng)（ 3）? 全國氣象廣域網(wǎng)絡(luò)系統(tǒng)（國家級主干系統(tǒng)和省內(nèi)系統(tǒng)）為了增加傳輸線路可靠性，可使用互聯(lián)網(wǎng)系統(tǒng)作為專線傳輸備份系統(tǒng)? 備份系統(tǒng)必須使用基于互聯(lián)網(wǎng)的加密隧道，推薦使用 IPSec VPN? 作為線路備份的互聯(lián)網(wǎng)系統(tǒng)應(yīng)接入專用的連接區(qū)域，且需在該連接區(qū)域執(zhí)行嚴(yán)格的網(wǎng)絡(luò)安全控制? 禁止互聯(lián)網(wǎng)外部對氣象廣域網(wǎng)絡(luò)和內(nèi)部局域網(wǎng)絡(luò)系統(tǒng)任何形式的訪問? 氣象廣域網(wǎng)絡(luò)系統(tǒng)與互聯(lián)網(wǎng)的關(guān)系僅僅是在兩個廣域網(wǎng)絡(luò)接入點之間通過加密隧道建立透明備份通路，不應(yīng)與互聯(lián)網(wǎng)內(nèi)其它任何節(jié)點產(chǎn)生訪問關(guān)系外聯(lián)系統(tǒng)外聯(lián)系統(tǒng)? 各級外聯(lián)系統(tǒng)指各級氣象局域網(wǎng)絡(luò)系統(tǒng)為政府或其它行業(yè)用戶提供服務(wù)或進行數(shù)據(jù)共享的專用網(wǎng)絡(luò)和應(yīng)用系統(tǒng)? 在局域網(wǎng)絡(luò)系統(tǒng)內(nèi)建立外聯(lián)系統(tǒng)安全域，該安全域?qū)儆跇I(yè)務(wù)網(wǎng)安全域，但是其特殊之處在于與業(yè)務(wù)網(wǎng)安全域內(nèi)其它安全子域間僅能建立由其它子域到外聯(lián)系統(tǒng)安全子域的單向數(shù)據(jù)訪問關(guān)系? 外聯(lián)系統(tǒng)與高安全級別外部網(wǎng)絡(luò)連接時，外聯(lián)系統(tǒng)安全域安全管理原則需服從高安全級別網(wǎng)絡(luò)安全規(guī)范氣象網(wǎng)絡(luò)安全問題氣象網(wǎng)絡(luò)安全問題管理與技術(shù)策略管理與技術(shù)策略管理策略? 網(wǎng)絡(luò)管理與使用分層、分級控制? 構(gòu)建相對獨立的網(wǎng)絡(luò)安全實體? 理清網(wǎng)絡(luò)訪問關(guān)系，構(gòu)建網(wǎng)絡(luò)安全控制域管理思路? 基本? 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)? 網(wǎng)絡(luò)物理連接? 網(wǎng)絡(luò)系統(tǒng)配置? 高級? 網(wǎng)絡(luò)訪問關(guān)系? 具體應(yīng)用、協(xié)議及帶寬整理網(wǎng)絡(luò)文檔? 管理規(guī)定：核心是理清各種關(guān)系，明確責(zé)任和義務(wù)? 定義網(wǎng)絡(luò)層次、劃分網(wǎng)絡(luò)安全域? 確定網(wǎng)絡(luò)使用主體? 明確網(wǎng)絡(luò)使用規(guī)則? 加強安全域邊界防護? 嚴(yán)格控制網(wǎng)絡(luò)接入與使用? 設(shè)置安全管理人員? 著手進行安全系統(tǒng)規(guī)劃、設(shè)計建立網(wǎng)絡(luò)安全管理制度與規(guī)范技術(shù)策略? 做好網(wǎng)絡(luò)系統(tǒng)配置備份? 核心網(wǎng)絡(luò)設(shè)備備份? 網(wǎng)絡(luò)鏈路備份? 網(wǎng)絡(luò)日常 “ 健康 ” 檢查? 建立應(yīng)急備份機制日常工作? 辦公網(wǎng)安全域? 業(yè)務(wù)網(wǎng)安全域? 建立核心業(yè)務(wù)區(qū)? 建立重要服務(wù)器區(qū)? 嚴(yán)格控制對重點區(qū)域的訪問? 系統(tǒng)管理計算機和相關(guān)計算機區(qū)? 一般性網(wǎng)絡(luò)安全域? 寬帶網(wǎng)絡(luò)安全域? 互聯(lián)網(wǎng)安全域? 外聯(lián)系統(tǒng)安全域網(wǎng)絡(luò)區(qū)域劃分與控制? 防火墻? 入侵檢測? 漏洞掃描? 訪問日志系統(tǒng)? 安全綜合 審計平臺部署基本的網(wǎng)絡(luò)安全設(shè)施? 嚴(yán)格控制互聯(lián)網(wǎng)與其它安全域之間的訪問，必須符合整體網(wǎng)絡(luò)安全策略? 必須通過防火墻進行邏輯隔離? 控制粒度達到 IP級? 嚴(yán)格禁止任何形式不通過防火墻的內(nèi)、外連接? 加強 VPN系統(tǒng)安全管理? 需要有嚴(yán)格的認(rèn)證機制? 保護好口令? 機關(guān)辦公禁止使用嚴(yán)格控制互聯(lián)網(wǎng)訪問? 構(gòu)建 DMZ區(qū)，屬于互聯(lián)網(wǎng)安全域，進行嚴(yán)格訪問控制? 只允許由內(nèi)到外的數(shù)據(jù)流? 對外服務(wù)網(wǎng)站需要設(shè)置主機入侵檢測和網(wǎng)頁防篡改系統(tǒng)加強對外服務(wù)控制? 通過防火墻等網(wǎng)絡(luò)安全設(shè)備控制其它安全域與寬帶網(wǎng)絡(luò)安全域的訪問，粒度應(yīng)達到端口級? 盡量避免兩個安全域內(nèi)任何計算機之間的網(wǎng)絡(luò)通信? 通過氣象寬帶網(wǎng)通信的計算機必須做好安全管理與防護，禁止訪問互聯(lián)網(wǎng)嚴(yán)格控制氣象寬帶網(wǎng)絡(luò)系統(tǒng)訪問? 防病毒? 操作系統(tǒng)補丁? 安全管理? 部署用戶計算機管理軟件? 禁止運行遠程桌面或類似能被遠程控制的應(yīng)用? 禁止運行為外網(wǎng)提供直接內(nèi)網(wǎng)訪問的應(yīng)用? 網(wǎng)絡(luò)準(zhǔn)入用戶計算機管理? 必須有認(rèn)證機制? 一般應(yīng)部署在互聯(lián)網(wǎng)安全域的 DMZ訪問域內(nèi)? 業(yè)務(wù)網(wǎng)安全域內(nèi)禁止部署和使用無線網(wǎng)絡(luò)系統(tǒng)? 對直接接入內(nèi)部局域網(wǎng)的無線訪問點實行嚴(yán)格認(rèn)證和加密嚴(yán)格限制無線網(wǎng)絡(luò)系統(tǒng)使用Q amp。 A