【摘 要】本文從消防計(jì)算機(jī)通信指揮網(wǎng)部署的現(xiàn)狀入手，針對(duì)性地提出了保障網(wǎng)絡(luò)安全的技術(shù)措施，對(duì)消防指揮調(diào)度網(wǎng)信息安全問(wèn)題提出了建設(shè)性的解決途徑。

【關(guān)鍵詞】消防 通信 信息安全

全國(guó)消防計(jì)算機(jī)通信網(wǎng)絡(luò)以公安信息網(wǎng)為依托，由消防信息網(wǎng)和指揮調(diào)度網(wǎng)構(gòu)成，分別形成三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)。消防信息網(wǎng)是各級(jí)消防部門(mén)的日常辦公網(wǎng)絡(luò)，作為消防業(yè)務(wù)傳輸網(wǎng)；指揮調(diào)度網(wǎng)主要用于部局、總隊(duì)、支隊(duì)、大隊(duì)（中隊(duì)）等單位的視頻會(huì)議、遠(yuǎn)程視頻監(jiān)控、滅火救援指揮調(diào)度系統(tǒng)應(yīng)用等業(yè)務(wù)，作為消防指揮調(diào)度專(zhuān)用傳輸網(wǎng)。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的威脅也日漸增多，必須利用信息安全基礎(chǔ)設(shè)施和信息系統(tǒng)防護(hù)手段，構(gòu)建與基礎(chǔ)網(wǎng)絡(luò)相適應(yīng)的信息安全保障體系。

一、計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)措施

計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)措施主要有防火墻、入侵防護(hù)、病毒防護(hù)、攻擊防護(hù)、入侵檢測(cè)、網(wǎng)絡(luò)審計(jì)和統(tǒng)一威脅管理系統(tǒng)等幾項(xiàng)

（一）防火墻：防火墻主要部署在網(wǎng)絡(luò)邊界，可以實(shí)現(xiàn)安全的訪(fǎng)問(wèn)控制與邊界隔離，防范攻擊行為。防火墻的規(guī)則庫(kù)定義了源IP地址、目的IP地址、源端口和目的端口，一般攻擊通常會(huì)有很多征兆，可以及時(shí)將這些征兆加入規(guī)則庫(kù)中。目前網(wǎng)上部署的防火墻主要是網(wǎng)絡(luò)層防火墻，可實(shí)時(shí)在各受信級(jí)網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略，且具備包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)性協(xié)議檢測(cè)、VPN等技術(shù)。

（二）入侵防御系統(tǒng)（Intrusion Prevention System，IPS）：IPS串接在防火墻后面，在防火墻進(jìn)行訪(fǎng)問(wèn)控制，保證了訪(fǎng)問(wèn)的合法性之后，IPS動(dòng)態(tài)的進(jìn)行入侵行為的保護(hù)，對(duì)訪(fǎng)問(wèn)狀態(tài)進(jìn)行檢測(cè)、對(duì)通信協(xié)議和應(yīng)用協(xié)議進(jìn)行檢測(cè)、對(duì)內(nèi)容進(jìn)行深度的檢測(cè)。阻斷來(lái)自?xún)?nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。防火墻降低了惡意流量進(jìn)出網(wǎng)絡(luò)的可能性，并能確保只有與協(xié)議一致的流量才能通過(guò)防火墻。如果惡意流量偽裝成正常的流量，并且與協(xié)議的行為一致，這樣的情況， IPS設(shè)備能夠在關(guān)鍵點(diǎn)上對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行監(jiān)視并防御，以防止惡意行為。

（三）防病毒網(wǎng)關(guān)：防病毒網(wǎng)關(guān)部署在病毒風(fēng)險(xiǎn)最高、最接近病毒發(fā)生源的安全邊界處，如內(nèi)網(wǎng)終端區(qū)和防火墻與路由器之間，可以對(duì)進(jìn)站或進(jìn)入安全區(qū)的數(shù)據(jù)進(jìn)行病毒掃描，把病毒完全攔截在網(wǎng)絡(luò)的外部，以減少病毒滲入內(nèi)網(wǎng)后造成的危害。網(wǎng)絡(luò)版殺毒軟件的病毒掃描和處理方式主要是通過(guò)客戶(hù)端殺毒，通過(guò)企業(yè)版防毒軟件統(tǒng)一對(duì)已經(jīng)進(jìn)入內(nèi)部網(wǎng)絡(luò)的病毒進(jìn)行處理。

（四）網(wǎng)絡(luò)安全審計(jì)系統(tǒng)：網(wǎng)絡(luò)安全審計(jì)系統(tǒng)作為一個(gè)完整安全框架中的一個(gè)必要環(huán)節(jié)，作為對(duì)防火墻系統(tǒng)和入侵防御系統(tǒng)的一個(gè)補(bǔ)充，其功能：首先它能夠檢測(cè)出某些特殊的IPS無(wú)法檢測(cè)的入侵行為（比如時(shí)間跨度很大的長(zhǎng)期攻擊特征）；其次它可以對(duì)入侵行為進(jìn)行記錄、報(bào)警和阻斷等，并可以在任何時(shí)間對(duì)其進(jìn)行再現(xiàn)以達(dá)到取證的目的；最后它可以用來(lái)提取一些未知的或者未被發(fā)現(xiàn)的入侵行為模式等。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)與防火墻、入侵檢測(cè)的區(qū)別主要是對(duì)網(wǎng)絡(luò)的應(yīng)用層內(nèi)容進(jìn)行審計(jì)與分析。

（五）統(tǒng)一威脅管理系統(tǒng)（UTM）：UTM常定義為由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專(zhuān)門(mén)用途的設(shè)備，它主要提供一項(xiàng)或多項(xiàng)安全功能，同時(shí)將多種安全特性集成于一個(gè)硬件設(shè)備里，形成標(biāo)準(zhǔn)的統(tǒng)一威脅管理平臺(tái)。UTM設(shè)備具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)/防御和網(wǎng)關(guān)防病毒功能。雖然UTM集成了多種功能，但卻不一定會(huì)同時(shí)開(kāi)啟。根據(jù)不同用戶(hù)的不同需求以及不同的網(wǎng)絡(luò)規(guī)模，UTM產(chǎn)品分為不同的級(jí)別。UTM部署在安全域邊界上，可以根據(jù)保護(hù)對(duì)象所需的安全防護(hù)措施，靈活的開(kāi)啟防火墻、IPS、防病毒、內(nèi)容過(guò)濾等防護(hù)模塊，實(shí)現(xiàn)按需防護(hù)、深度防護(hù)的建設(shè)目標(biāo)。采用UTM設(shè)備來(lái)構(gòu)成本方案的核心產(chǎn)品，可有效節(jié)約建設(shè)資金，又能達(dá)到更好的防護(hù)效果。

二、消防指揮網(wǎng)絡(luò)安全設(shè)備部署

市級(jí)消防指揮網(wǎng)絡(luò)是市支隊(duì)與各區(qū)（縣）大隊(duì)或中隊(duì)之間部署的專(zhuān)網(wǎng)，規(guī)模相對(duì)較小，主要用途為視頻會(huì)議、遠(yuǎn)程視頻監(jiān)控、接處警終端和滅火救援指揮調(diào)度應(yīng)用系統(tǒng)等業(yè)務(wù)，可按需選擇部署防火墻、入侵防護(hù)系統(tǒng)、防病毒網(wǎng)關(guān)、統(tǒng)一威脅管理系統(tǒng)、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)七類(lèi)設(shè)備。

（一）計(jì)算機(jī)安全防護(hù)軟件：在網(wǎng)內(nèi)計(jì)算機(jī)終端統(tǒng)一安裝防病毒軟件、終端安全軟件、一機(jī)兩用監(jiān)控軟件。補(bǔ)丁分發(fā)管理系統(tǒng)和終端漏洞掃描系統(tǒng)統(tǒng)一由省級(jí)指揮中心部署，用來(lái)管理市級(jí)指揮調(diào)度網(wǎng)內(nèi)計(jì)算機(jī)。這樣，可以防止安全風(fēng)險(xiǎn)擴(kuò)散，保障由終端、服務(wù)器及應(yīng)用系統(tǒng)等構(gòu)成的計(jì)算環(huán)境的安全。

（二）指揮調(diào)度網(wǎng)安全邊界：在市級(jí)指揮調(diào)度網(wǎng)與省級(jí)指揮調(diào)度網(wǎng)聯(lián)網(wǎng)邊界部署統(tǒng)一威脅管理系統(tǒng)（UTM），開(kāi)啟防火墻、入侵防護(hù)、網(wǎng)關(guān)防病毒、VPN等功能模塊，在專(zhuān)網(wǎng)安全邊界對(duì)各種風(fēng)險(xiǎn)統(tǒng)一防護(hù)。在核心交換機(jī)上部署網(wǎng)絡(luò)審計(jì)系統(tǒng)對(duì)內(nèi)網(wǎng)中的網(wǎng)絡(luò)通信進(jìn)行記錄和分析，及時(shí)發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)事件。

（三）內(nèi)網(wǎng)終端區(qū)：內(nèi)網(wǎng)終端區(qū)主要有計(jì)算機(jī)接處警終端、視頻會(huì)議終端、視頻監(jiān)控終端等，操作應(yīng)用人員比較復(fù)雜，隨意使用移動(dòng)存儲(chǔ)設(shè)備的可能性大，在內(nèi)網(wǎng)終端區(qū)安全邊界區(qū)部署一臺(tái)防病毒網(wǎng)關(guān)進(jìn)行病毒過(guò)濾，防止病毒向其他區(qū)域擴(kuò)散。

（四）核心業(yè)務(wù)處理區(qū)：主要包括滅火救援指揮調(diào)度相關(guān)的業(yè)務(wù)系統(tǒng)、綜合統(tǒng)計(jì)分析、綜合報(bào)表管理等業(yè)務(wù)系統(tǒng)。

（五）指揮中心邊界：部署一臺(tái)防火墻對(duì)支隊(duì)指揮中心與上級(jí)指揮中心之間的業(yè)務(wù)訪(fǎng)問(wèn)進(jìn)行訪(fǎng)問(wèn)控制和攻擊防御。

（六）內(nèi)網(wǎng)管理區(qū)：區(qū)中主要有各類(lèi)管理服務(wù)器，用于集中進(jìn)行安全策略的定制、下發(fā)、集中監(jiān)控各類(lèi)系統(tǒng)的運(yùn)行狀態(tài)。主要包括設(shè)備管理、終端管理、防病毒管理等。

如果市級(jí)指揮中心規(guī)模較小，可以將核心業(yè)務(wù)處理區(qū)、內(nèi)網(wǎng)管理區(qū)和指揮中心區(qū)合并為同一個(gè)安全域，共同部署一臺(tái)IPS和防火墻。

三、總結(jié)

總之，網(wǎng)絡(luò)安全是一項(xiàng)綜合性的課題，它涉及技術(shù)、管理、應(yīng)用等許多方面，既包括信息系統(tǒng)本身的安全問(wèn)題，又有網(wǎng)絡(luò)防護(hù)的技術(shù)措施。我們必須綜合考慮安全因素，在采用各種安全技術(shù)控制措施的同時(shí)，制定層次化的安全策略，完善安全管理組織機(jī)構(gòu)和人員配備，才能有效地實(shí)現(xiàn)網(wǎng)絡(luò)信息的相對(duì)安全。

參考文獻(xiàn)：

[1]楊義先，任金強(qiáng).信息安全新技術(shù)[H].北京：北京郵電大學(xué)出版社，2002.

[2]公安部.信息安全等級(jí)保護(hù)培訓(xùn)教材[M].2007

作者簡(jiǎn)介：

段彬（1973——），男，山東省東營(yíng)市公安消防支隊(duì)，主要從事消防信息通信管理工作。