鐘 磊，張斌武，何恒宏

(國(guó)家氣象信息中心，北京 100081)

0 引 言

隨著終端用戶安全事件和網(wǎng)絡(luò)攻擊行為的不斷增加，氣象網(wǎng)絡(luò)面臨的安全挑戰(zhàn)也越來(lái)越大。對(duì)近三年氣象系統(tǒng)安全事件進(jìn)行統(tǒng)計(jì)分析，終端安全事件每年增長(zhǎng)幅度均在30%以上。對(duì)提取的有關(guān)風(fēng)險(xiǎn)事件和惡意文件進(jìn)行反編譯解析，具有針對(duì)性的網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊取的木馬植入增幅明顯。近年來(lái)氣象現(xiàn)代化建設(shè)不斷推進(jìn)，終端設(shè)備的種類(lèi)越來(lái)越多、各終端使用的操作系統(tǒng)不盡相同，對(duì)于終端安全防護(hù)范圍，針對(duì)不同業(yè)務(wù)區(qū)域進(jìn)行針對(duì)性部署和防護(hù)，實(shí)現(xiàn)整體部署，分級(jí)管理，綜合監(jiān)控，緊急情況下能夠做到整網(wǎng)聯(lián)動(dòng)，對(duì)終端安全管理系統(tǒng)提出了更高的要求。

國(guó)內(nèi)某些企業(yè)和部委，根據(jù)自身需要，進(jìn)行過(guò)一些有益的嘗試：某國(guó)家大型企業(yè)，建立以私有云為基礎(chǔ)的終端安全管理系統(tǒng)，采用分級(jí)管控方式，在終端用戶人數(shù)過(guò)萬(wàn)的情況下，應(yīng)急響應(yīng)依然迅速[1-2]；國(guó)家某部委針對(duì)自身特點(diǎn)，建立了一套國(guó)家級(jí)、省級(jí)、市級(jí)的全網(wǎng)聯(lián)動(dòng)性終端安全防護(hù)系統(tǒng)，確保該系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)穩(wěn)定和辦公終端的安全。

原國(guó)家級(jí)系統(tǒng)部署結(jié)構(gòu)示意如圖1所示。局域網(wǎng)主要業(yè)務(wù)單位辦公區(qū)分別部署一套終端安全管理系統(tǒng)，管理服務(wù)器采用HA(high available，高可用性群集)方式增強(qiáng)系統(tǒng)穩(wěn)定性。部分單位同時(shí)配置一套NAC(network admission control，網(wǎng)絡(luò)準(zhǔn)入控制)系統(tǒng)對(duì)接入網(wǎng)絡(luò)的終端設(shè)備進(jìn)行管控，通過(guò)C/S(client/server,客戶端/服務(wù)器端)模式，結(jié)合802.1X協(xié)議對(duì)用戶身份進(jìn)行鑒別。業(yè)務(wù)區(qū)和集約化平臺(tái)沒(méi)有部署必要的終端安全防護(hù)，僅依靠必要的ACL(access control list，訪問(wèn)控制列表)進(jìn)行邏輯上的隔離防護(hù)。

原有終端安全管理系統(tǒng)的部署方式存在一些弊端：不同單位之間的管理系統(tǒng)相互獨(dú)立[3]，無(wú)法進(jìn)行數(shù)據(jù)交互，在業(yè)務(wù)和辦公區(qū)發(fā)生安全事件時(shí)，對(duì)風(fēng)險(xiǎn)源定位存在很大的困難，影響故障處理速度。原終端安全軟件人機(jī)交互過(guò)程并不友好，對(duì)于被系統(tǒng)誤認(rèn)為風(fēng)險(xiǎn)的氣象系統(tǒng)軟件無(wú)法批量進(jìn)行處理。原有安全終端功能較為單一，造成部分用戶需安裝同類(lèi)軟件進(jìn)行互補(bǔ)，相互重疊的功能對(duì)系統(tǒng)穩(wěn)定性和資源占用產(chǎn)生不利影響。原有終端安全管理系統(tǒng)需要開(kāi)啟802.1X網(wǎng)絡(luò)協(xié)議與接入層交換機(jī)進(jìn)行聯(lián)動(dòng)工作，此種方式對(duì)終端的管控較為嚴(yán)格，同時(shí)也存在明顯的弊端，對(duì)無(wú)法安裝安全終端的設(shè)備只能采取MAC(media access control，介質(zhì)訪問(wèn)控制)綁定交換機(jī)端口的方式進(jìn)行管控，這會(huì)給系統(tǒng)管理員帶來(lái)大量的繁瑣重復(fù)性工作[4]。系統(tǒng)沒(méi)有對(duì)業(yè)務(wù)區(qū)終端進(jìn)行防護(hù)，大量業(yè)務(wù)系統(tǒng)終端面臨被攻擊和入侵的風(fēng)險(xiǎn)。氣象系統(tǒng)由于其數(shù)據(jù)流程等方面的特殊性，在統(tǒng)一運(yùn)維、多級(jí)管理功能的終端安全管理系統(tǒng)方面還未有相關(guān)的研究成果，如何建立信息安全事件快速響應(yīng)機(jī)制也存在空白。

文中以中國(guó)氣象局局域網(wǎng)未來(lái)規(guī)劃和終端安全需求為基礎(chǔ)，對(duì)業(yè)務(wù)區(qū)和辦公區(qū)終端設(shè)備統(tǒng)一防護(hù)、多級(jí)管理進(jìn)行探究，針對(duì)氣象行業(yè)軟件、業(yè)務(wù)系統(tǒng)數(shù)據(jù)傳輸過(guò)程、數(shù)據(jù)遷移防護(hù)等原有研究空白進(jìn)行補(bǔ)充，同時(shí)依托機(jī)器學(xué)習(xí)有關(guān)算法，以有關(guān)歷史數(shù)據(jù)為依據(jù)進(jìn)行針對(duì)性優(yōu)化，從而建立一套安全可靠，適應(yīng)不同終端系統(tǒng)，符合氣象行業(yè)未來(lái)終端安全發(fā)展的管理系統(tǒng)，為全國(guó)各級(jí)氣象部門(mén)進(jìn)行網(wǎng)絡(luò)建設(shè)提供借鑒。

1 技術(shù)與設(shè)計(jì)

1.1 統(tǒng)一運(yùn)維與多級(jí)管理設(shè)計(jì)

原有終端安全管理系統(tǒng)部分網(wǎng)絡(luò)架構(gòu)具有一定的借鑒意義。HA方式能夠增強(qiáng)系統(tǒng)的穩(wěn)定性，NAC能夠形成較為有效的隔離防護(hù)，新的系統(tǒng)將予以保留。新系統(tǒng)建立多級(jí)管理系統(tǒng)結(jié)構(gòu)，一級(jí)系統(tǒng)負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的基本管理和策略設(shè)置，二級(jí)管理負(fù)責(zé)各單位自身網(wǎng)絡(luò)的運(yùn)維，可以根據(jù)自身需要進(jìn)行針對(duì)性優(yōu)化。在出現(xiàn)重大信息安全事件時(shí)，可以通過(guò)一級(jí)服務(wù)器直接下發(fā)策略，減少審核和響應(yīng)的事件[5]，由于集約化平臺(tái)的特殊性，采用有別于一般物理設(shè)備的輕量級(jí)的終端管理方式進(jìn)行安全防護(hù)[6]。

1.2 氣象業(yè)務(wù)支持設(shè)計(jì)

氣象類(lèi)軟件在設(shè)計(jì)方面與其他軟件有一些不同，終端安全管理系統(tǒng)對(duì)此類(lèi)軟件做到全局性、整體性可信運(yùn)行，避免數(shù)據(jù)攔截造成文件完整性異常。對(duì)于業(yè)務(wù)系統(tǒng)，能夠適應(yīng)各類(lèi)不同的終端操作系統(tǒng)[7-8]。對(duì)MICAPS等氣象行業(yè)進(jìn)行針對(duì)性的優(yōu)化，對(duì)氣象業(yè)務(wù)中存在的短時(shí)間大流量傳輸、多線程讀取、多系統(tǒng)轉(zhuǎn)存以及長(zhǎng)連接等情況，做出針對(duì)性終端策略調(diào)整；對(duì)業(yè)務(wù)服務(wù)器上部署的安全終端，設(shè)計(jì)專(zhuān)門(mén)的升級(jí)服務(wù)器，通過(guò)緩存加速等方式保證系統(tǒng)升級(jí)速度，降低互聯(lián)網(wǎng)出口帶寬壓力[9]。

1.3 氣象系統(tǒng)集約化平臺(tái)防護(hù)設(shè)計(jì)

氣象系統(tǒng)集約化平臺(tái)是氣象現(xiàn)代化建設(shè)的組成部分，是充分利用服務(wù)器物理資源的一次有效嘗試。未來(lái)，氣象系統(tǒng)主要業(yè)務(wù)會(huì)逐步遷移到此平臺(tái)上，通過(guò)在此平臺(tái)部署針對(duì)性二級(jí)服務(wù)器，對(duì)于底層支持直接安裝終端安全的集約化設(shè)備，采取底層部署，對(duì)以此為基礎(chǔ)的服務(wù)器進(jìn)行全面防護(hù)。除此之外，通過(guò)采取功能模塊和輪巡方式，對(duì)于無(wú)法在底層進(jìn)行防護(hù)的終端設(shè)備采取對(duì)虛擬機(jī)上的系統(tǒng)逐臺(tái)部署、錯(cuò)峰檢測(cè)的方式進(jìn)行安全保護(hù)[10-12]。

1.4 用戶組遷移設(shè)計(jì)

在原終端安全防護(hù)系統(tǒng)中，用戶組作為最重要的基礎(chǔ)數(shù)據(jù)，無(wú)法進(jìn)行整體性遷移和調(diào)整，在管理服務(wù)器出現(xiàn)異常時(shí)，其所管轄的用戶將失去集中控制和風(fēng)險(xiǎn)文件上報(bào)分析的能力。本次新系統(tǒng)將引入快速遷移技術(shù)，實(shí)現(xiàn)各級(jí)管理服務(wù)器和備份服務(wù)器之間的快速遷移和備份，實(shí)現(xiàn)用戶無(wú)感知的平滑遷移[13]。

1.5 安全域設(shè)計(jì)

原終端安全防護(hù)系統(tǒng)利用802.1X網(wǎng)絡(luò)協(xié)議，采取交換機(jī)端口聯(lián)動(dòng)的方式，對(duì)終端進(jìn)行安全管理。對(duì)于部分無(wú)法安裝安全終端的設(shè)備只能采取MAC綁定的方式進(jìn)行控制，在此類(lèi)終端部署位置出現(xiàn)調(diào)整或設(shè)備更換時(shí)將會(huì)衍生較為繁復(fù)的配置修改。該研究采取基于終端應(yīng)用的安全域終端安全管控機(jī)制，將根據(jù)各二級(jí)管理服務(wù)器的負(fù)責(zé)范圍，分別設(shè)置不同的安全域，未經(jīng)過(guò)終端安全管理系統(tǒng)認(rèn)證的設(shè)備，無(wú)法訪問(wèn)安全域內(nèi)的任何信息[14]。

1.6 數(shù)據(jù)分析設(shè)計(jì)

系統(tǒng)后臺(tái)安全日志信息記錄了大量安全事件信息和攻擊類(lèi)型，通過(guò)對(duì)數(shù)據(jù)的基本分類(lèi)導(dǎo)出和有關(guān)數(shù)據(jù)進(jìn)行人工建議清洗，形成初始數(shù)據(jù)，再通過(guò)機(jī)器學(xué)習(xí)的有關(guān)算法進(jìn)行聚類(lèi)，從而分析有關(guān)事件類(lèi)型的共同點(diǎn)，在確定主要信息后采用降維算法進(jìn)一步對(duì)核心信息進(jìn)行提煉。

2 應(yīng)用與實(shí)現(xiàn)

2.1 統(tǒng)一運(yùn)維與多級(jí)管理的實(shí)現(xiàn)

在現(xiàn)有網(wǎng)絡(luò)中，設(shè)置終端管理一級(jí)服務(wù)器，采取HA的方式，負(fù)責(zé)對(duì)二級(jí)服務(wù)器的管理和巡檢，在二級(jí)服務(wù)器異常且無(wú)法遷移到備用服務(wù)器時(shí)，具備接管響應(yīng)服務(wù)的能力；設(shè)置業(yè)務(wù)區(qū)域二級(jí)管理服務(wù)器，針對(duì)服務(wù)器操作系統(tǒng)的特點(diǎn)，設(shè)置對(duì)應(yīng)的終端安全策略；在集約化平臺(tái)設(shè)置備份服務(wù)器，用于各級(jí)服務(wù)器異常時(shí)的遷移使用，同時(shí)設(shè)置二級(jí)管理服務(wù)器，對(duì)集約化平臺(tái)的各服務(wù)器提供終端安全支持[15]。一級(jí)管理服務(wù)器可以直接對(duì)全網(wǎng)終端用戶或二級(jí)管理服務(wù)器下達(dá)執(zhí)行指令；二級(jí)服務(wù)器可以根據(jù)自身需要進(jìn)行獨(dú)立管理和策略下發(fā)，升級(jí)后的網(wǎng)絡(luò)結(jié)構(gòu)示意如圖2所示。身份認(rèn)證系統(tǒng)與各級(jí)管理服務(wù)器進(jìn)行聯(lián)動(dòng)，為有特別需要的終端提供身份認(rèn)證服務(wù)。

圖2 新終端安全管理系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意

2.2 氣象業(yè)務(wù)支持的實(shí)現(xiàn)

針對(duì)氣象行業(yè)軟件，在一級(jí)服務(wù)器和二級(jí)服務(wù)器均采用可信白名單策略，根據(jù)文件的MD5值等信息進(jìn)行判斷并設(shè)置針對(duì)性優(yōu)化，從而保證行業(yè)軟件運(yùn)行的兼容性和穩(wěn)定性。對(duì)于氣象系統(tǒng)數(shù)據(jù)傳輸中長(zhǎng)連接，開(kāi)啟專(zhuān)門(mén)的支持策略，通過(guò)增加窗口等待時(shí)間等方式保證此類(lèi)數(shù)據(jù)在傳輸和分發(fā)過(guò)程中不會(huì)因?yàn)檫B接建立時(shí)間過(guò)長(zhǎng)而失效。通過(guò)對(duì)緩存加速服務(wù)器對(duì)各級(jí)服務(wù)器更新的文件進(jìn)行實(shí)時(shí)緩存，提高各級(jí)服務(wù)器有關(guān)文件的更新速度，降低互聯(lián)網(wǎng)出口帶寬壓力[16]。緩存加速調(diào)整配置和緩存網(wǎng)絡(luò)結(jié)構(gòu)實(shí)現(xiàn)流程如圖3所示。

2.3 集約化平臺(tái)防護(hù)和用戶遷移的實(shí)現(xiàn)

在集約化平臺(tái)上，部署針對(duì)服務(wù)器系統(tǒng)的二級(jí)管理服務(wù)器，通過(guò)終端安全管理系統(tǒng)的終端模塊選擇，選取業(yè)務(wù)系統(tǒng)適用的功能模塊，針對(duì)業(yè)務(wù)流量特點(diǎn)做針對(duì)性策略，從而在保證業(yè)務(wù)運(yùn)行穩(wěn)定的前提下，提高業(yè)務(wù)系統(tǒng)終端設(shè)備的安全性。同時(shí)在集約化平臺(tái)設(shè)置終端安全管理系統(tǒng)的備份服務(wù)器，通過(guò)定期備份各級(jí)管理服務(wù)器的數(shù)據(jù)信息進(jìn)行同步傳輸，實(shí)現(xiàn)在各級(jí)管理服務(wù)器異常時(shí)，可以通過(guò)用戶遷移功能和組播技術(shù)，完成故障點(diǎn)的處理和用戶接入服務(wù)器的改變，實(shí)現(xiàn)短時(shí)間內(nèi)的各級(jí)管理服務(wù)的快速恢復(fù)[17]。

圖3 緩存網(wǎng)絡(luò)結(jié)構(gòu)實(shí)現(xiàn)流程

2.4 安全域的實(shí)現(xiàn)

在新終端安全管理系統(tǒng)中，不同的二級(jí)服務(wù)器管理不同的辦公區(qū)或業(yè)務(wù)區(qū)，對(duì)于安全域的設(shè)計(jì)，采取二級(jí)管理服務(wù)器管理范圍以外的部分為非安全域[18]；各級(jí)管理服務(wù)器采取設(shè)定可信區(qū)域方式進(jìn)行安全域劃分，可信區(qū)域外的網(wǎng)絡(luò)均為非安全域，從而保證未經(jīng)過(guò)認(rèn)證的設(shè)備無(wú)法訪問(wèn)非安全域的設(shè)備，訪問(wèn)行為會(huì)被及時(shí)隔離，從而保證各級(jí)管理服務(wù)器的信息安全。

2.5 數(shù)據(jù)分析算法設(shè)計(jì)

系統(tǒng)目前已經(jīng)積累超過(guò)90萬(wàn)條日志信息，通過(guò)人工進(jìn)行數(shù)據(jù)清洗。對(duì)主要數(shù)據(jù)采用GMM(Gaussian mixed model，高斯混合模型)算法，以統(tǒng)計(jì)方式為核心進(jìn)行聚類(lèi)分析[19]，同時(shí)采用PCA(principal component analysis，主成分分析)算法對(duì)所得數(shù)據(jù)進(jìn)行降維，以減少后續(xù)人工分析的工作量。對(duì)于數(shù)據(jù)量大需要頻繁讀取數(shù)據(jù)庫(kù)信息的問(wèn)題，可以采用空間換時(shí)間的辦法減少對(duì)運(yùn)算時(shí)間的影響[20]。

GMM算法核心代碼如下：

pGamma=Px .* repmat(pPi,N,1);

pGamma=pGamma ./ repmat(sum(pGamma,2),1,K);

Xshift=X-repmat(pMiu(kk, :),N,1);

pSigma(:,:,kk)=(Xshift'*(diag(pGamma(:, kk))*Xshift))/Nk(kk);

pMiu=centroids; %均值，也就是K類(lèi)的中心

pPi=zeros(1,K); % 概率

pSigma=zeros(D, D, K); %協(xié)方差矩陣

Xshift=X-repmat(pMiu(k, :),N,1);

inv_pSigma=inv(pSigma(:,:,k)+diag(repmat(threshold,1,size(pSigma(:, :, k),1)))); %方差矩陣求逆

tmp=sum((Xshift*inv_pSigma) .* Xshift, 2);

coef=(2*pi)^(-D/2) * sqrt(det(inv_pSigma)); % det求矩陣的行列式

Px(:,k)=coef * exp(-0.5*tmp);

PCA算法核心代碼如下：

function [newX,T,meanValue]=pca_row(X,CRate)

%每行是一個(gè)樣本

%newX 降維后的新矩陣

%T變換矩陣

%meanValue X每列均值構(gòu)成的矩陣，用于將降維后的矩陣newX恢復(fù)成X

%CRate 貢獻(xiàn)率

%計(jì)算中心化樣本矩陣

meanValue=ones(size(X,1),1)*mean(X);

X=X-meanValue;%每個(gè)維度減去該維度的均值

C=X'*X/(size(X,1)-1);%計(jì)算協(xié)方差矩陣

%計(jì)算特征向量，特征值

[V,D]=eig(C);

%將特征向量按降序排序

[dummy,order]=sort(diag(-D));

V=V(:,order);%將特征向量按照特征值大小進(jìn)行降序排列

d=diag(D);%將特征值取出，構(gòu)成一個(gè)列向量

newd=d(order);%將特征值構(gòu)成的列向量按降序排列

%取前n個(gè)特征向量，構(gòu)成變換矩陣

sumd=sum(newd);%特征值之和

for j=1:length(newd)

i=sum(newd(1:j,1))/sumd;%計(jì)算貢獻(xiàn)率，貢獻(xiàn)率=前n個(gè)特征值之和/總特征值之和

if i>CRate%

cols=j;

break;

end

end

T=V(:,1:cols);%取前cols個(gè)特征向量，構(gòu)成變換矩陣T

newX=X*T;%用變換矩陣T對(duì)X進(jìn)行降維

end

3 應(yīng)用結(jié)果

通過(guò)系統(tǒng)架構(gòu)的調(diào)整和機(jī)器學(xué)習(xí)算法進(jìn)行優(yōu)化后，將近6個(gè)月的安全事件數(shù)量與去年同期進(jìn)行對(duì)比，安全事件數(shù)量出現(xiàn)較為明顯的下降，業(yè)務(wù)終端的安全性得到大幅提高。應(yīng)用前后安全事件數(shù)據(jù)對(duì)比如圖4所示。

圖4 研究前后同期安全事件次數(shù)對(duì)比

4 結(jié)束語(yǔ)

通過(guò)保留原有終端安全管理系統(tǒng)部署結(jié)構(gòu)方面的優(yōu)勢(shì)，結(jié)合氣象現(xiàn)代化建設(shè)的趨勢(shì)和用戶需求，實(shí)現(xiàn)了氣象局域網(wǎng)網(wǎng)絡(luò)終端安全管理系統(tǒng)的統(tǒng)一監(jiān)管和分級(jí)管理，為局域網(wǎng)綜合一體化建設(shè)奠定了基礎(chǔ)。彌補(bǔ)了原終端安全管理系統(tǒng)在終端功能上的一些不足，提高了業(yè)務(wù)區(qū)和集約化平臺(tái)的終端的安全防護(hù)，實(shí)現(xiàn)了在終端安全管理服務(wù)器異常情況下的高效解決方案。采取應(yīng)用準(zhǔn)入方式的終端管控技術(shù)，解決了原終端安全管理系統(tǒng)使用802.1X協(xié)議進(jìn)行管控中存在的不足，提高了全網(wǎng)的安全性和管理效率。該研究對(duì)國(guó)內(nèi)氣象系統(tǒng)終端安全建設(shè)具有一定的參考價(jià)值和借鑒意義。

本次建設(shè)和研究還存在一些不足：部分系統(tǒng)對(duì)數(shù)據(jù)的安全性和私密性有著特殊的要求，新建設(shè)的終端安全系統(tǒng)還暫時(shí)無(wú)法滿足全部的要求；基于應(yīng)用的準(zhǔn)入控制，需要對(duì)安全域進(jìn)行嚴(yán)格的劃分，現(xiàn)有網(wǎng)絡(luò)對(duì)于業(yè)務(wù)和辦公的界限還存在模糊，使安全域的范圍控制無(wú)法做到最優(yōu)，同時(shí)在安全域的終端被黑客利用產(chǎn)生攻擊時(shí)，攻擊阻斷還無(wú)法做到最快。未來(lái)的課題將針對(duì)以上的不足繼續(xù)進(jìn)行探究與完善。