【摘 要】隨著網(wǎng)絡(luò)規(guī)模逐步擴(kuò)大，網(wǎng)絡(luò)信息在逐步開放和共享的同時(shí)也來越不安全，各種各樣的混合型入侵越來越多，單一的預(yù)防模式很難抵御外來的威脅。一旦出現(xiàn)問題將會(huì)嚴(yán)重威脅業(yè)務(wù)的傳輸和數(shù)據(jù)的安全，影響氣象為防災(zāi)減災(zāi)服務(wù)，如何保護(hù)重要?dú)庀筚Y料，保障氣象網(wǎng)絡(luò)與互聯(lián)網(wǎng)、外部網(wǎng)絡(luò)進(jìn)行正常通信成為部署氣象信息網(wǎng)絡(luò)安全設(shè)備的首要任務(wù)。

【關(guān)鍵詞】氣象網(wǎng)絡(luò)；安全防范；等級(jí)保護(hù)；入侵防御；審計(jì)

1.引言

目前，全省氣象寬帶網(wǎng)絡(luò)系統(tǒng)采用SDH點(diǎn)到點(diǎn)專線和VPN組網(wǎng)技術(shù)，連接省級(jí)中心和17個(gè)市級(jí)系統(tǒng)、2個(gè)管理處及63個(gè)縣級(jí)系統(tǒng)，通過主、備方式來保證線路的可靠穩(wěn)定性。省局機(jī)關(guān)地理位置與氣象科技園相距約6公里，兩端網(wǎng)絡(luò)系統(tǒng)采用千兆光纖直接相連。通過MPLS VPN和MSTP線路與國(guó)家氣象信息中心通信，將省級(jí)氣象數(shù)據(jù)實(shí)時(shí)傳送到國(guó)家氣象信息中心。整個(gè)寬帶網(wǎng)內(nèi)利用了多種網(wǎng)絡(luò)技術(shù)，如OSPF、BGP、IPSEC VPN、VLAN、STP、策略路由等[1]。

電視會(huì)商系統(tǒng)、相關(guān)預(yù)報(bào)系統(tǒng)及其產(chǎn)品、雷達(dá)資料、觀測(cè)資料及辦公自動(dòng)化系統(tǒng)已經(jīng)在全省氣象寬帶主干網(wǎng)絡(luò)系統(tǒng)中傳輸，隨著氣象部門各項(xiàng)氣象業(yè)務(wù)的發(fā)展，寬帶網(wǎng)絡(luò)系統(tǒng)越來越多的承擔(dān)著數(shù)據(jù)收集與交換、資料共享、電視會(huì)商等重要業(yè)務(wù)系統(tǒng)的信息傳輸任務(wù)。隨著網(wǎng)絡(luò)規(guī)模逐步擴(kuò)大，網(wǎng)絡(luò)信息在逐步開放和共享的同時(shí)也來越不安全，各種各樣的混合型入侵越來越多，單一的預(yù)防模式很難抵御外來的威脅。一旦出現(xiàn)問題將會(huì)嚴(yán)重威脅業(yè)務(wù)的傳輸和數(shù)據(jù)的安全，影響氣象為防災(zāi)減災(zāi)服務(wù)。

因此如何保護(hù)重要?dú)庀筚Y料，保障氣象網(wǎng)絡(luò)與互聯(lián)網(wǎng)、外部網(wǎng)絡(luò)進(jìn)行正常通信成為部署氣象信息網(wǎng)絡(luò)安全設(shè)備的首要任務(wù)。

2.網(wǎng)絡(luò)安全隱患綜合分析及安全現(xiàn)狀

2.1 網(wǎng)絡(luò)安全隱患

國(guó)內(nèi)外的相關(guān)資料顯示，目前影響網(wǎng)絡(luò)系統(tǒng)安全的原因主要有四種：非授權(quán)訪問、信息泄露、拒絕服務(wù)、病毒的危害。

現(xiàn)在氣象網(wǎng)絡(luò)規(guī)模較大，大量網(wǎng)絡(luò)設(shè)備如交換機(jī)、路由器等分布在不同的地方，全面安全管理較困難。網(wǎng)絡(luò)中的計(jì)算機(jī)使用大量的操作系統(tǒng)和應(yīng)用軟件，系統(tǒng)或軟件的漏洞會(huì)導(dǎo)致計(jì)算機(jī)成為氣象網(wǎng)絡(luò)的被攻擊的后門和隱患。計(jì)算機(jī)病毒是網(wǎng)絡(luò)安全最大的威脅，網(wǎng)絡(luò)環(huán)境下傳播速度快，有著巨大的破壞性，防范查殺較為困難。內(nèi)部用戶對(duì)網(wǎng)絡(luò)資源的濫用，特別是BT等P2P的下載占用了大量的網(wǎng)絡(luò)帶寬，對(duì)正常業(yè)務(wù)的網(wǎng)絡(luò)需求受到影響。

ARP欺騙攻擊、移動(dòng)存儲(chǔ)設(shè)備傳播的病毒與木馬、新型惡意代碼的威脅等，都曾嚴(yán)重影響氣象網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)行。

2.2 網(wǎng)絡(luò)安全現(xiàn)狀

2008年，按照國(guó)家信息安全等級(jí)保護(hù)的相關(guān)要求，省氣象局啟動(dòng)了信息安全等級(jí)保護(hù)定級(jí)工作，但目前僅完成信息系統(tǒng)定級(jí)階段，安全建設(shè)現(xiàn)狀與已確定的等級(jí)要求間也存在一定差距，這表現(xiàn)在物理安全情況多樣；網(wǎng)絡(luò)安全設(shè)施薄弱，網(wǎng)絡(luò)安全防護(hù)不全面；部分人員安全意識(shí)淡薄，系統(tǒng)安全防護(hù)不到位；安全組織機(jī)構(gòu)尚不健全，安全管理能力有限。

目前寬帶網(wǎng)絡(luò)僅通過部署防火墻實(shí)現(xiàn)了最基本的訪問控制，對(duì)于內(nèi)部網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)異常流量、資源非法訪問和網(wǎng)絡(luò)病毒傳播等都缺乏有效的應(yīng)對(duì)手段，難以發(fā)現(xiàn)和追蹤各類安全入侵事件，給整個(gè)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行帶來極大的隱患。

因此需要進(jìn)行網(wǎng)絡(luò)安全檢測(cè)、評(píng)估、整改和加固，同時(shí)，還必須從安全管理要求出發(fā)，建立健全管理制度、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等基本安全管理措施。

3.網(wǎng)絡(luò)系統(tǒng)安全的防護(hù)策略

3.1 網(wǎng)絡(luò)安全的需求分析

依照等級(jí)保護(hù)中要求信息系統(tǒng)與信息安全“同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行”的三同步原則和安全技術(shù)要求，通過對(duì)省級(jí)網(wǎng)絡(luò)實(shí)際情況進(jìn)行分析和信息安全建設(shè)情況調(diào)研，根據(jù)省級(jí)網(wǎng)絡(luò)結(jié)構(gòu)，從網(wǎng)絡(luò)的各層次所帶來的風(fēng)險(xiǎn)進(jìn)行分析，同時(shí)結(jié)合信息系統(tǒng)安全建設(shè)現(xiàn)狀，有針對(duì)性地為省級(jí)信息網(wǎng)絡(luò)系統(tǒng)提供安全保障，須加強(qiáng)環(huán)境、傳輸、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、運(yùn)行管理等方面的安全措施[2]。

3.1.1 物理環(huán)境安全需求

主要包括：機(jī)房選址、機(jī)房建設(shè)、區(qū)域控制、門禁措施、重點(diǎn)部位監(jiān)控、電磁泄露發(fā)射保護(hù)等方面。

3.1.2 網(wǎng)絡(luò)安全需求

信息系統(tǒng)的很多風(fēng)險(xiǎn)都來自網(wǎng)絡(luò)，網(wǎng)絡(luò)防護(hù)要求建設(shè)全面的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，能夠?qū)M(jìn)出本安全域的信息和數(shù)據(jù)進(jìn)行嚴(yán)格的控制，并能夠及時(shí)發(fā)現(xiàn)和響應(yīng)各種網(wǎng)絡(luò)攻擊與破壞行為等。

3.1.3 主機(jī)安全需求

操作系統(tǒng)安全和數(shù)據(jù)庫(kù)系統(tǒng)安全是深層的安全問題，需要建立病毒及惡意代碼的預(yù)警和響應(yīng)機(jī)制，能及時(shí)發(fā)現(xiàn)和響應(yīng)各種病毒及惡意代碼的攻擊、破壞和信息泄露行為；需要提供技術(shù)手段實(shí)現(xiàn)操作系統(tǒng)漏洞的及時(shí)升級(jí)和補(bǔ)丁的安裝；需要對(duì)用戶終端采用技術(shù)手段，防治終端的病毒和惡意代碼，防止違規(guī)外聯(lián)；需要對(duì)安全事件的進(jìn)行記錄，實(shí)現(xiàn)對(duì)服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶的安全審計(jì)，并進(jìn)行有效的責(zé)任認(rèn)定等。

3.1.4 應(yīng)用及數(shù)據(jù)安全需求

需要建立身份認(rèn)證機(jī)制，保證系統(tǒng)敏感或重要數(shù)據(jù)的完整性、保密性和抗抵賴性等，需要實(shí)現(xiàn)對(duì)系統(tǒng)的粗粒度的訪問控制和應(yīng)用的細(xì)粒度訪問授權(quán)。

3.1.5 安全管理需求

信息系統(tǒng)的安全“三分技術(shù)、七分管理”，解決信息系統(tǒng)的安全問題不應(yīng)只從技術(shù)方面著手，更應(yīng)加強(qiáng)安全管理工作。需要建立安全管理組織，制定相關(guān)安全管理制度、應(yīng)急響應(yīng)計(jì)劃和應(yīng)急狀態(tài)下的安全保障措施等。

3.2 安全防護(hù)體系的建構(gòu)

《等級(jí)保護(hù)基本要求》中第三級(jí)及第二級(jí)網(wǎng)絡(luò)安全要求包括：網(wǎng)絡(luò)的結(jié)構(gòu)安全、網(wǎng)絡(luò)邊界訪問控制、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)邊界完整性檢查、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)邊界惡意代碼防范、網(wǎng)絡(luò)設(shè)備安全防護(hù)等內(nèi)容。

根據(jù)省級(jí)系統(tǒng)的安全現(xiàn)狀，按照集約化建設(shè)原則，在充分利用已有的安全基礎(chǔ)設(shè)施基礎(chǔ)上進(jìn)行補(bǔ)充建設(shè)，其中，網(wǎng)絡(luò)結(jié)構(gòu)安全已在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中進(jìn)行了相應(yīng)設(shè)計(jì)，主要通過線路、設(shè)備的冗余設(shè)計(jì)進(jìn)行實(shí)現(xiàn)。在省級(jí)的寬帶網(wǎng)接入系統(tǒng)、Internet接入系統(tǒng)、行業(yè)用戶專網(wǎng)各網(wǎng)絡(luò)系統(tǒng)中通過安全基礎(chǔ)設(shè)施的部署達(dá)到防護(hù)目的。在寬帶網(wǎng)中完善訪問控制、入侵防御、網(wǎng)絡(luò)審計(jì)、終端安全管理能力，在Internet接入及局域網(wǎng)邊界完善訪問控制、入侵檢測(cè)、終端安全管理能力，對(duì)本級(jí)的信息系統(tǒng)進(jìn)行整體的安全監(jiān)控、審計(jì)管理等，提供基礎(chǔ)的身份認(rèn)證平臺(tái)[3]。

在加強(qiáng)安全基礎(chǔ)設(shè)施部署建設(shè)的同時(shí)，對(duì)業(yè)務(wù)系統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等多個(gè)方面進(jìn)行進(jìn)一步的安全加固和優(yōu)化，提高系統(tǒng)的整體安全防護(hù)能力。根據(jù)對(duì)系統(tǒng)安全風(fēng)險(xiǎn)分析及安全需求分析，提出針對(duì)性的整體網(wǎng)絡(luò)安全建設(shè)方案。省級(jí)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)體系建設(shè)主要包括以下方面：邊界防護(hù)系統(tǒng)、入侵防御系統(tǒng)、WEB防護(hù)系統(tǒng)、物理隔離系統(tǒng)、SSL安全接入系統(tǒng)、網(wǎng)絡(luò)行為審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng)等，總體方案如圖1所示。

3.2.1 邊界防護(hù)系統(tǒng)方案

根據(jù)網(wǎng)絡(luò)安全需求分析，要對(duì)全網(wǎng)各各安全域進(jìn)行訪問控制，目前訪問控制最成熟的技術(shù)是防火墻，通過防火墻的訪問控制技術(shù)對(duì)不同安全域之間的訪問進(jìn)行控制。防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與氣象內(nèi)網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入[4]。

外聯(lián)單位到內(nèi)網(wǎng)之間部署防火墻，主要是指上聯(lián)單位（國(guó)家氣象局、外?。┡c內(nèi)網(wǎng)之間、下聯(lián)單位（各地市、縣）與內(nèi)網(wǎng)之間、和同城行業(yè)用戶與內(nèi)網(wǎng)之間部署防火墻，進(jìn)行嚴(yán)格的訪問控制，來防御來至外聯(lián)單位的非正常訪問和攻擊行為；核心服務(wù)器區(qū)與內(nèi)網(wǎng)之間部署防火墻，主要是保護(hù)服務(wù)器，主要對(duì)內(nèi)網(wǎng)訪問服務(wù)器進(jìn)行嚴(yán)格的訪問控制；在Internet網(wǎng)與內(nèi)網(wǎng)之間部署防火墻，主要用于對(duì)來至外網(wǎng)的訪問進(jìn)行控制，對(duì)外網(wǎng)非授權(quán)用戶訪問內(nèi)網(wǎng)進(jìn)行限制。

3.2.2 入侵防御系統(tǒng)和WEB防護(hù)系統(tǒng)方案

省級(jí)Internet系統(tǒng)所承載的對(duì)外公共服務(wù)區(qū)是氣象局對(duì)外提供氣象服務(wù)和發(fā)布預(yù)警信息的統(tǒng)一出口，也是社會(huì)公眾用戶獲得各種氣象觀測(cè)數(shù)據(jù)、天氣預(yù)報(bào)產(chǎn)品和相關(guān)資料的重要基礎(chǔ)性設(shè)施，因此需要采用多種網(wǎng)絡(luò)安全功能模塊：入侵防御系統(tǒng)、WEB應(yīng)用防護(hù)系統(tǒng)等對(duì)Internet系統(tǒng)接入部分、數(shù)據(jù)傳輸流程、用戶訪問行為以及關(guān)鍵性的設(shè)備和資源進(jìn)行嚴(yán)格的網(wǎng)絡(luò)攻擊檢測(cè)和安全防護(hù)，防止惡意攻擊行為的發(fā)生以保證氣象監(jiān)測(cè)數(shù)據(jù)服務(wù)的安全穩(wěn)定。入侵防御、WEB防護(hù)系統(tǒng)部署拓?fù)淙鐖D2所示。

圖2 外網(wǎng)入侵防御和web防護(hù)系統(tǒng)部署拓?fù)?/p>

3.2.3 安全接入和審計(jì)監(jiān)管方案

通過網(wǎng)絡(luò)安全需求分析，對(duì)外網(wǎng)合法用戶訪問內(nèi)網(wǎng)業(yè)務(wù)時(shí)，要進(jìn)行安全接入，SSLVPN安全接入系統(tǒng)能保證在訪問時(shí)對(duì)數(shù)據(jù)鏈路進(jìn)行加密，保證網(wǎng)絡(luò)的安全接入。主要用于用戶遠(yuǎn)程接入時(shí)進(jìn)行強(qiáng)身份認(rèn)證，可實(shí)現(xiàn)基于PKI/CA的強(qiáng)身份認(rèn)證。

網(wǎng)絡(luò)審計(jì)系統(tǒng)在寬帶網(wǎng)接入系統(tǒng)通信主鏈路進(jìn)行旁路部署，通過監(jiān)聽鏡像網(wǎng)絡(luò)流量實(shí)現(xiàn)各自功能，主要用于實(shí)時(shí)分析和記錄網(wǎng)絡(luò)活動(dòng)，和對(duì)各種業(yè)務(wù)系統(tǒng)的操作，特別是數(shù)據(jù)操作。

漏洞掃描系統(tǒng)能夠檢測(cè)信息系統(tǒng)當(dāng)前的設(shè)置和防御，指出潛在的安全漏洞，以改進(jìn)系統(tǒng)對(duì)入侵的防御能力，掃描目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)應(yīng)用等各種對(duì)象。根據(jù)掃描結(jié)果向系統(tǒng)管理員提供安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。漏洞掃描技術(shù)與防火墻、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)互相配合能夠提高網(wǎng)絡(luò)的安全性。

4.結(jié)語與討論

隨著氣象網(wǎng)絡(luò)功能和規(guī)模的擴(kuò)展，它的安全問題越來越受到重視，網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性，以及計(jì)算機(jī)系統(tǒng)的脆弱性，決定了氣象寬帶網(wǎng)絡(luò)不能僅僅依靠防火墻，而應(yīng)加強(qiáng)入侵檢測(cè)、防御和審計(jì)分析等，并涉及到管理和技術(shù)等多方面的配合。信息系統(tǒng)安全建設(shè)是一項(xiàng)系統(tǒng)化、體系化的工作，僅僅進(jìn)行基本的安全基礎(chǔ)設(shè)施的部署是遠(yuǎn)遠(yuǎn)不夠的，需要仔細(xì)分析安全需求，建立完善的管理制度，并將各種安全技術(shù)與管理手段綜合在一起，才能建立一個(gè)高效、通用、安全的氣象網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn)：

[1]唐懷甌.基于SDH和VPN構(gòu)建熱備省級(jí)氣象寬帶網(wǎng)絡(luò)[J].電子世界，2012，02(總393期):135.

[2]計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB 17859-1999).

[3]彭文波，等.網(wǎng)絡(luò)安全進(jìn)階筆記[M].北京:清華大學(xué)出版社，2011:19-215.

[4]朱震.高校內(nèi)部網(wǎng)絡(luò)安全分析與解決策略[J].大眾科技，2012，14(6)(總第154期):21.

作者簡(jiǎn)介：唐懷甌（1980—），男，安徽宿州人，計(jì)算機(jī)技術(shù)在讀碩士研究生，工程師，現(xiàn)供職于安徽省氣象信息中心。