邢麗平，陳 侃，汪 璠

（1.湖北省氣象信息與技術(shù)保障中心，武漢 430074；2.湖北省稅務(wù)局，武漢 430071）

信息資源已經(jīng)成為國家經(jīng)濟(jì)建設(shè)和社會發(fā)展的重要戰(zhàn)略資源之一，依法開展信息安全等級保護(hù)［1］工作，是國家保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施、保障信息安全的通行做法。根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護(hù)等級共分為五級，從一級至五級逐級增高。根據(jù)信息安全等級保護(hù)管理辦法中要求：第一級系統(tǒng)首次做定級備案；第二級系統(tǒng)首次定級備案后需要做等保測評工作；第三級信息系統(tǒng)做完定級測評后，應(yīng)每年至少1 次等級測評；第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少1 次等級測評；第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評［2］。

湖北省2011年開始信息系統(tǒng)等級保護(hù)測評工作，到目前為止所有二級以上信息系統(tǒng)均在省公安廳定級備案，第三級信息系統(tǒng)委托具備資質(zhì)的第三方機(jī)構(gòu)進(jìn)行年度等級保護(hù)測評，并形成測評報(bào)告上報(bào)公安廳備案，無四級和五級等級保護(hù)信息系統(tǒng)。所有在線重要信息系統(tǒng)均實(shí)現(xiàn)了安全可控、能控、在控。湖北省氣象局多年來結(jié)合信息化建設(shè)項(xiàng)目課題，不斷加強(qiáng)信息網(wǎng)絡(luò)安全技術(shù)研究，從測評整改入手，建立了相對完善的技術(shù)防護(hù)措施，具備了一定的安全防護(hù)能力。本研究在梳理湖北省關(guān)鍵信息基礎(chǔ)設(shè)施安全問題的基礎(chǔ)上，結(jié)合等級測評報(bào)告反映主要問題和整改建議，按照構(gòu)建安全體系結(jié)構(gòu)的研究思路，采用包括加固線上安全產(chǎn)品防護(hù)策略、新增冗余網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)及安全產(chǎn)品無縫接入現(xiàn)網(wǎng)等技術(shù)策略，逐步開展分期整改，以期為相關(guān)研究提供參考。

1 等級保護(hù)測評

1.1 定義

信息系統(tǒng)安全等級保護(hù)測評是國家信息安全的基本制度，是測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定，受有關(guān)受測單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，運(yùn)用科學(xué)的手段和方法，對特定應(yīng)用的信息系統(tǒng)，采用安全技術(shù)測評和安全管理測評方式，對保護(hù)狀況進(jìn)行檢測評估，判定受測系統(tǒng)的技術(shù)和管理級別與所定安全等級要求符合程度，基于符合程度給出是否滿足所定安全等級的結(jié)論，針對安全不符合項(xiàng)提出安全整改建議，確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)等級的安全要求［3］。信息安全等級保護(hù)工作的意義：降低信息安全風(fēng)險(xiǎn)，提高信息系統(tǒng)的安全防護(hù)能力；滿足國家相關(guān)法律法規(guī)和制度的要求；滿足相關(guān)主管單位和行業(yè)要求；合理地規(guī)避或降低風(fēng)險(xiǎn)。等級保護(hù)工作合適的時(shí)間點(diǎn)應(yīng)該是在信息系統(tǒng)設(shè)計(jì)之時(shí)，或者信息系統(tǒng)建設(shè)、改造基本完成即將驗(yàn)收之前［4］。

1.2 過程

等級保護(hù)測評是標(biāo)準(zhǔn)符合性評判活動，即依據(jù)信息安全等級保護(hù)的國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)，如《信息安全等級保護(hù)管理辦法》《定級指南》《基本要求》《測評要求》和《安全設(shè)計(jì)技術(shù)要求》，按照特定方法對信息系統(tǒng)的安全防護(hù)能力進(jìn)行科學(xué)公正的綜合評判，驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級的評估過程，包括定級、備案、安全、信息安全等級測評（圖1）、信息安全檢查5 個階段。信息安全等級保護(hù)要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力。

1.3 目的

1.3.1 測評整改情況 上一年度測評發(fā)現(xiàn)的安全問題。

1.3.2 系統(tǒng)的變更情況 系統(tǒng)由于網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、業(yè)務(wù)規(guī)模變化可能導(dǎo)致測評范圍和測評指標(biāo)發(fā)生變化。

圖1 等級測評工作流程

1.3.3 外部環(huán)境的變化 對目前國際、國內(nèi)安全形勢的新動向和新變化及產(chǎn)品的自主、可控情況；對抗有組織的外部攻擊的能力和應(yīng)急響應(yīng)能力情況；新的安全威脅或漏洞隱患情況等。

1.3.4 安全隱患情況 系統(tǒng)日常運(yùn)行帶來新的安全隱患，日常運(yùn)行維護(hù)過程安全管理執(zhí)行落實(shí)情況、安全策略配置的有效性等。

2 關(guān)鍵信息基礎(chǔ)設(shè)施

2.1 定義

關(guān)鍵信息基礎(chǔ)設(shè)施是指一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的信息基礎(chǔ)設(shè)施［5］。等級保護(hù)制度是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)，關(guān)鍵信息基礎(chǔ)設(shè)施是等級制度保護(hù)的重點(diǎn)，二者相輔相成，不能分割。關(guān)鍵信息基礎(chǔ)設(shè)施首要任務(wù)就是落實(shí)等級保護(hù)制度，也就是要保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，隨著國家關(guān)鍵基礎(chǔ)設(shè)施的普遍網(wǎng)絡(luò)化和信息化，關(guān)鍵基礎(chǔ)設(shè)施保護(hù)逐漸聚焦于網(wǎng)絡(luò)安全保障上。關(guān)鍵信息基礎(chǔ)設(shè)施和關(guān)鍵基礎(chǔ)設(shè)施的邊界逐漸模糊趨同，兩者的概念互相交錯使用、概念逐漸統(tǒng)一。關(guān)鍵信息基礎(chǔ)設(shè)施的等保等級至少是三級，應(yīng)當(dāng)每年至少一次等級測評。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，應(yīng)當(dāng)制定方案進(jìn)行整改。

2.2 省局關(guān)鍵信息基礎(chǔ)設(shè)施判定

根據(jù)《國家網(wǎng)絡(luò)安全檢查操作指南》中《關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)判定表》的分類要求及關(guān)鍵信息基礎(chǔ)設(shè)施評判標(biāo)準(zhǔn)，認(rèn)定等級保護(hù)第三級信息系統(tǒng)構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施［6］。湖北省4 個關(guān)鍵信息基礎(chǔ)設(shè)施均為中國氣象局統(tǒng)一設(shè)計(jì)，各省分步部署實(shí)施的運(yùn)行方式。

2.3 案例

“新一代國內(nèi)氣象通信系統(tǒng)湖北分系統(tǒng)”是湖北省等級保護(hù)三級信息系統(tǒng)，2013年開始每年一次等級測評，2016年納入省局關(guān)鍵信息基礎(chǔ)設(shè)施［7］，其網(wǎng)絡(luò)拓?fù)淙鐖D2 所示，覆蓋省級節(jié)點(diǎn)國、省、市（州）、縣四級廣域網(wǎng)，承擔(dān)著全省核心業(yè)務(wù)、24 h×7 d 實(shí)時(shí)運(yùn)行。

圖2 新一代國內(nèi)氣象通信系統(tǒng)湖北省分系統(tǒng)系統(tǒng)網(wǎng)絡(luò)拓?fù)?/p>

2.4 湖北省局關(guān)鍵信息基礎(chǔ)設(shè)施主要安全問題

2.4.1 網(wǎng)絡(luò)安全 ①網(wǎng)絡(luò)設(shè)備審計(jì)記錄信息不完善，無法檢測和記錄網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)、網(wǎng)絡(luò)流量、管理等記錄。②對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為不能進(jìn)行檢查和定位，也不能有效地阻斷。③對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為不能進(jìn)行檢查和定位，也不能對其進(jìn)行有效阻斷。

2.4.2 主機(jī)安全 ①未定義賬戶鎖定策略。②未依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作，無法避免受到未預(yù)期的刪除、修改或覆蓋。③不能對重要程序的完整性進(jìn)行檢測，也不具有受到破壞后的恢復(fù)措施。④審計(jì)系統(tǒng)處于暫掛狀態(tài)，數(shù)據(jù)收集暫停。

2.4.3 應(yīng)用安全 ①沒有設(shè)置密碼復(fù)雜度的功能。②未提供登錄失敗處理功能。③沒有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能。

2.4.4 數(shù)據(jù)安全 ①不能檢測到數(shù)據(jù)在傳輸過程中的完整性受到破壞，未采用加密或其他有效措施實(shí)現(xiàn)數(shù)據(jù)傳輸保密性。②不能檢測到數(shù)據(jù)在存儲過程中的完整性受到破壞，并在錯誤時(shí)未采取必要的恢復(fù)措施。

2.4.5 管理安全 ①暫未提供軟件代碼編寫安全規(guī)范。②未定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描并提供報(bào)告記錄。③缺乏全面的中止變更并從失敗變更中恢復(fù)的文件化程序。④未定期進(jìn)行備份恢復(fù)測試。

3 安全策略研究

在等級保護(hù)測評流程中，最核心的就是信息系統(tǒng)的建設(shè)和整改，以建立起完善的安全管理和技術(shù)體系。前者包括策略、制度、機(jī)構(gòu)、人員、建設(shè)、運(yùn)維等，后者則從底向上，包括物理環(huán)境安全、網(wǎng)絡(luò)通信安全、設(shè)備與計(jì)算安全以及應(yīng)用與數(shù)據(jù)安全。安全技術(shù)體系［9］建立的主要手段包括使用安全產(chǎn)品、加固系統(tǒng)配置和開發(fā)安全控制。加強(qiáng)安全策略的研究，提高系統(tǒng)的安全性能，可以快速滿足等級保護(hù)合規(guī)要求。

3.1 防火墻與IPS 入侵防御模塊融合

隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加，充分考慮防火墻可擴(kuò)充性及足夠的彈性空間，降低擴(kuò)充成本，滿足能進(jìn)一步增加選件的余地。逐步優(yōu)化升級配置，全面實(shí)現(xiàn)HA 技術(shù)雙機(jī)熱備。網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

圖3 局域網(wǎng)核心模塊部署網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

3.1.1 互聯(lián)網(wǎng)與局域網(wǎng)邊界處 設(shè)置防火墻作為第一道安全屏障以阻擋來自外部網(wǎng)絡(luò)的入侵，通過DMZ 區(qū)完成防火墻的過濾任務(wù)、數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入安全防護(hù)策略。

3.1.2 辦公與業(yè)務(wù)邊界處 隨著省局局域網(wǎng)規(guī)模不斷擴(kuò)大，拓?fù)浣Y(jié)構(gòu)也更加復(fù)雜，網(wǎng)絡(luò)實(shí)施中根據(jù)業(yè)務(wù)需求按單位部門、樓層等需求，設(shè)置有虛擬局域網(wǎng)VLAN。在辦公與核心業(yè)務(wù)VLAN 之間部署防火墻，完成防火墻的過濾任務(wù)為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。

3.1.3 互聯(lián)網(wǎng)邊界防火墻 內(nèi)嵌IPS 模塊從業(yè)務(wù)安全、連接安全、終端安全、行為安全考慮，在互聯(lián)網(wǎng)邊界防火墻部署內(nèi)嵌入侵防御系統(tǒng)（IPS）模塊，提供網(wǎng)絡(luò)威脅防御能力。開啟標(biāo)準(zhǔn)入侵防護(hù)、入侵防護(hù)阻斷、入侵防護(hù)監(jiān)控、網(wǎng)站、LINUX 環(huán)境入侵防護(hù)、WINDOWS 環(huán)境入侵防護(hù)策略特征庫，共計(jì)6 類15個特征組達(dá)3 600 多個策略條目，預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量的發(fā)現(xiàn)病毒或惡意代碼進(jìn)行攔截［10］，防止或緩解對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊。策略配置如圖4 所示。

圖4 IPS 入侵防護(hù)策略設(shè)計(jì)

3.2 虛擬化技術(shù)融合

3.2.1 基于Catalyst6500 的VSS 技術(shù) 核心層是所有流量的最終承受和匯聚處，2009年核心層部署2臺Catalyst 系列交換機(jī)CISCO WS-C6509，采用VSS（Virtual Switch System）虛擬化技術(shù)，在基于VSS 的網(wǎng)絡(luò)中，為在物理連接上提供冗余，但是由于VSS支持跨機(jī)箱的鏈路捆綁（MEC），因此，對接入層仍然為1 個物理設(shè)備。任何1 個接入層設(shè)備仍然需要連接到VSS 系統(tǒng)的2 個CISCO WS-C6509 交換機(jī)上。虛擬的交換系統(tǒng)采用萬兆以太網(wǎng)連接使用Ether?Channel 通過1 條虛擬交換機(jī)鏈路VSL（VirtualS?witchLink）來綁定2 個機(jī)箱，在控制層面上VSS 中2個交換機(jī)有主從之分，但在數(shù)據(jù)面上處理是雙活的。一個機(jī)箱指定為活躍交換機(jī)，另一臺被指定為備份虛擬交換機(jī)。所有控制層面的功能都由是活躍交換機(jī)的引擎進(jìn)行管理。策略如圖5 所示。

圖5 CISCO WS-C6509 交 換機(jī)VSS 策略

3.2.2 基于Nexus9K 架構(gòu)HSRP 技術(shù) 匯聚層新部署2 臺CISCO Nexus9K 激活HSRP（Hot Standby Routing Protocol）功能的高端交換機(jī)，上聯(lián)到使用VSS 技術(shù)的2 臺CISCOWS-C6509 核心交換機(jī)。HSRP 簡單點(diǎn)說是網(wǎng)關(guān)冗余，將多臺路由器組成一個“熱備份組”，形成虛擬路由器。組內(nèi)只選擇1 個主的單一活動網(wǎng)關(guān)來處理所有通信流量。同時(shí)被選出備用網(wǎng)關(guān)會向主網(wǎng)關(guān)發(fā)送多播進(jìn)行通信，檢測主網(wǎng)關(guān)是否失效。一旦失效備用網(wǎng)關(guān)就會奪取主網(wǎng)關(guān)的職責(zé)，并在很小的延遲內(nèi)轉(zhuǎn)發(fā)所有數(shù)據(jù)流量［11］。從網(wǎng)絡(luò)內(nèi)的主機(jī)來看，網(wǎng)關(guān)并沒有改變。HSRP 虛擬組都要求在1 個網(wǎng)段上預(yù)留3 個IP 地址，每個虛擬局域網(wǎng)上都有局域網(wǎng)接口，并且都配置1 個虛擬地址，即該虛擬局域網(wǎng)內(nèi)所有主機(jī)的網(wǎng)關(guān)，每個都可以作為1 個子網(wǎng)網(wǎng)關(guān)設(shè)備使用。策略如圖6 所示。

圖6 CISCO WS-C6509 交換機(jī)HSRP 策略

3.2.3 基于Nexus9K 架構(gòu)VPC 技術(shù) 傳統(tǒng)的雙鏈路上連方式實(shí)現(xiàn)網(wǎng)絡(luò)冗余，明顯有環(huán)路存在，通常開啟STP（Spanning Tree Protocol）生成樹協(xié)議來解決這一環(huán)路問題，存在一條鏈路阻塞（block）的狀態(tài)。針對這種背景引入了VPC（Virtual Port Channel）技術(shù)［12］，即跨不同設(shè)備的Port-channel 技術(shù)，來解決傳統(tǒng)聚合端口不能跨接設(shè)備的問題。允許下行設(shè)備通過Port-channel 連接2 臺CISCONexus9K 交換機(jī)，用VPC 技術(shù)端口聚合方式做雙鏈路下聯(lián)相同VLAN 端口聚合雙鏈路接入，接入層采用堆疊技術(shù)，設(shè)備背板共享，增加了上行帶寬，滿足了雙活工作機(jī)制。策略如圖7 所示，融合后網(wǎng)絡(luò)拓?fù)淙鐖D8 所示。

圖7 CISCO WS-C6509 交換機(jī)VPC 策略

圖8 湖北省局核心局域網(wǎng)拓?fù)?/p>

3.3 BFD 技術(shù)與IRF2 虛擬化技術(shù)融合

湖北省三級廣域網(wǎng)接入點(diǎn)單點(diǎn)故障安全隱患，從2015年開始至今逐步改造升級，整體實(shí)現(xiàn)線路和路由器雙冗余全覆蓋。設(shè)備全部統(tǒng)一采用H3C 交換路由器，省級2 臺H3C-SR8808、市（州）級2 臺H3C-ICG6000、縣級2 臺H3C-ICG300S。主要技術(shù)包括：IRF2 虛擬化技術(shù)［13］、OSPF 技術(shù)。網(wǎng)絡(luò)拓?fù)淙鐖D9 所示。

圖9 湖北省氣象廣域網(wǎng)絡(luò)拓?fù)?/p>

3.3.1 IRF 技術(shù) 廣域網(wǎng)接入設(shè)備采用IRF2（Intel?ligent Resilient Framework II，智能彈性架構(gòu)II）虛擬化技術(shù)，IRF2 源于早期的堆疊技術(shù)IRF1，既支持對盒式設(shè)備的堆疊虛擬化，同時(shí)支持H3C 同系列框式設(shè)備的虛擬化。允許將多臺設(shè)備連接在一起，形成1 個IRF2 堆疊。IRF2 堆疊中的主設(shè)備和從設(shè)備保持配置和運(yùn)行狀態(tài)同步，實(shí)現(xiàn)1∶N 備份，保證高可靠性，所有接入節(jié)點(diǎn)使用2 臺設(shè)備2 個萬兆口互聯(lián)配置IRF2 形成雙機(jī)熱備。策略如圖10 所示。

圖10 湖北省氣象廣域網(wǎng)H3C 路由器IRF 策略

3.3.2 OSPF 技術(shù) 采用OSPF（Open Shortest Path First 開放式最短路徑優(yōu)先），每臺路由器使用這些最短路徑構(gòu)造路由表。全網(wǎng)多鏈路上下行結(jié)構(gòu)中能夠自動進(jìn)行鏈路選擇和切換。其路由交互與鏈路狀態(tài)（Link-State）相關(guān)，路由選擇通過比較鏈路cost 值來選取，cost 值小鏈路優(yōu)先。啟用多進(jìn)程策略實(shí)現(xiàn)雙線路備份。策略如圖11 所示。

圖11 湖北省氣象廣域網(wǎng)H3C 路由器OSPF 策略

3.4 基于堡壘主機(jī)遠(yuǎn)程操作審計(jì)融合

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足，無法防范通過防火墻以外或內(nèi)部途徑的攻擊，需要建立保護(hù)內(nèi)部網(wǎng)絡(luò)操作日志的記錄運(yùn)維堡壘機(jī)。防止來自內(nèi)部用戶帶來的威脅，實(shí)現(xiàn)對關(guān)鍵信息基礎(chǔ)設(shè)施安全的全面防護(hù)。集中配置賬號密碼策略、訪問控制策略、服務(wù)角色，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽［14］；基于跳板機(jī)理念［15］，作為內(nèi)外網(wǎng)絡(luò)的安全審計(jì)監(jiān)測點(diǎn)，把遠(yuǎn)程登錄操作統(tǒng)一到1 臺服務(wù)器上，進(jìn)行集中管理的功能；配置運(yùn)維人員身份信息，實(shí)現(xiàn)鑒別不易被冒用，及口令復(fù)雜度自動定期更換功能［16］。

4 應(yīng)用效率

由于信息系統(tǒng)安全威脅正向多樣化方向發(fā)展，變得更難以防御。相較于技術(shù)層面，也正在從單一技術(shù)防范向多種安全技術(shù)優(yōu)化組合的縱深防御的方向發(fā)展，逐步有序地開展了安全策略的融合應(yīng)用［17］。測評機(jī)構(gòu)依據(jù)信息安全標(biāo)準(zhǔn)規(guī)范，采用風(fēng)險(xiǎn)分析的方法進(jìn)行危害分析和風(fēng)險(xiǎn)等級判定，安全策略融合應(yīng)用效果明顯。圖12 反映了關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)聯(lián)資產(chǎn)的安全危害風(fēng)險(xiǎn)逐步降低，滿足了關(guān)鍵信息基礎(chǔ)設(shè)施等保測評要求。

圖12 新一代國內(nèi)通信系統(tǒng)湖北省分系統(tǒng)2015—2017年安全問題風(fēng)險(xiǎn)評估統(tǒng)計(jì)

4.1 抵御和降低了來自互聯(lián)網(wǎng)的安全威脅

采用特征匹配技術(shù)，使用“允許除非明確否認(rèn)”模式，其防護(hù)對象有一段網(wǎng)絡(luò)、一類應(yīng)用、公開發(fā)布網(wǎng)站以及網(wǎng)絡(luò)中通用的設(shè)備或系統(tǒng)。可以精確地阻斷DOS∕DDOS、SQL 注入攻擊、溢出攻擊、網(wǎng)絡(luò)嗅覺掃描、蠕蟲病毒等關(guān)鍵網(wǎng)絡(luò)攻擊。IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，不僅能夠發(fā)現(xiàn)并阻止低層不允許的數(shù)據(jù)包，還能在IPS 設(shè)備中被清除掉［18］。數(shù)據(jù)包過濾配置如圖13 所示。

圖13 IPS 策略4-Linux 木馬后門監(jiān)測策略設(shè)計(jì)配置

4.2 融合應(yīng)用

多種虛擬化技術(shù)VSS、VPC、HSRP 融合并存［19］，消除單點(diǎn)故障隱患，當(dāng)鏈路或是設(shè)備出現(xiàn)故障通過冗余系統(tǒng)實(shí)現(xiàn)快速的故障恢復(fù)。網(wǎng)絡(luò)匯聚層的虛擬化整合，模糊匯聚層概念，構(gòu)成完全適應(yīng)云計(jì)算、虛擬化、整合化的未來數(shù)據(jù)中心架構(gòu)。

1）VPC 和VSS 從技術(shù)體系構(gòu)成上沒有大的區(qū)別。VSS 是整機(jī)級別的虛擬化，提高核心層運(yùn)行效率、增強(qiáng)不間斷通信，并將系統(tǒng)帶寬容量擴(kuò)展到1.4 Tbps；VPC 是接口級別的虛擬化，支持鏈路聚合的虛擬化技術(shù)。簡化網(wǎng)絡(luò)拓?fù)?，降低網(wǎng)絡(luò)復(fù)雜性，雙活工作機(jī)制確保高可靠性，允許下行設(shè)備通過Port channel 跨2 個不同的上行設(shè)備，增加了上鏈帶寬。

2）HSRP 將一組交換機(jī)（網(wǎng)關(guān)）配置在一起，LAN 網(wǎng)段上的2 臺交換機(jī)可以作為1 臺虛擬交換機(jī)對外提供服務(wù)，為IP 網(wǎng)絡(luò)提供冗余性。確保當(dāng)網(wǎng)絡(luò)邊緣設(shè)備或接入鏈路出現(xiàn)故障時(shí)，通信能迅速恢復(fù)，為IP 網(wǎng)絡(luò)提供冗余性3 層交換。

3）全省三級廣域網(wǎng)核心、市州及縣級節(jié)點(diǎn)實(shí)現(xiàn)設(shè)備和鏈路雙冗余，部署H3C 多級IRF 技術(shù)交換架構(gòu)路由器，通過萬兆接口將2 臺設(shè)備虛擬化形成1個邏輯上的獨(dú)立實(shí)體，統(tǒng)一管理，統(tǒng)一轉(zhuǎn)發(fā)，簡化了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，提高了核心的轉(zhuǎn)發(fā)性能。全網(wǎng)雙鏈路雙設(shè)備接入網(wǎng)絡(luò)結(jié)構(gòu)能滿足高密度實(shí)時(shí)，資料傳輸與分發(fā)、全省氣象信息共享交互、高清視頻會商、遠(yuǎn)程培訓(xùn)等相關(guān)業(yè)務(wù)需求。MPLSVPN 線路省氣象局接入速率總帶寬為300 M，省內(nèi)各市州局接入速率總帶寬為50 M；各區(qū)縣局接入速率帶寬為10 M?？h局通過電信MSTP 10 M 線路匯聚至市局，市局通過電信MSTP 50 M 線路匯聚至省局。據(jù)國家氣象業(yè)務(wù)內(nèi)網(wǎng)發(fā)布的全國上行數(shù)據(jù)傳輸考核情況如圖14 所示，2015—2017 連續(xù)3年全省國家級自動站和雷達(dá)基數(shù)據(jù)傳輸及時(shí)率穩(wěn)定在99%以上。

圖14 2015—2017年湖北省國家級自動站和雷達(dá)基數(shù)據(jù)傳輸時(shí)效統(tǒng)計(jì)結(jié)果

4）運(yùn)維堡壘主機(jī)對提供整體安全鏈條有明顯作用，采用堡壘主機(jī)集中管理所有用戶操作記錄，切斷了終端計(jì)算機(jī)對網(wǎng)絡(luò)和服務(wù)器資源的直接訪問。采用協(xié)議代理的方式，支持多種遠(yuǎn)程維護(hù)方式如字符終端方式（SSH、Telnet）、文件傳輸方式（Ftp、Sftp），登錄到所有目標(biāo)設(shè)備，包括Unix、Linux、Windows 服務(wù)器及各類網(wǎng)絡(luò)設(shè)備。登錄界面如圖15 所示。

圖15 優(yōu)炫運(yùn)維管理系統(tǒng)用戶登錄管理界面

5 小結(jié)

本研究從信息安全防護(hù)體系的角度出發(fā)，通過安全技術(shù)應(yīng)用研究，采用基于時(shí)間維度的保護(hù)、檢測、反應(yīng)的動態(tài)信息安全保障持續(xù)推進(jìn)，安全測評符合度逐年提高。網(wǎng)絡(luò)安全沒有萬全之策，未來隨著技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)攻擊行為逐漸呈現(xiàn)分布化、遠(yuǎn)程化與虛擬化等趨勢。傳統(tǒng)基于對攻擊行為進(jìn)行特征識別與比對的威脅感知和甄別機(jī)制，受到了來自新型攻擊手法的巨大挑戰(zhàn)。需要采用持續(xù)監(jiān)控、大數(shù)據(jù)分析等新技術(shù)，全量采集網(wǎng)絡(luò)相關(guān)數(shù)據(jù)，感知網(wǎng)絡(luò)當(dāng)前態(tài)勢，并預(yù)測網(wǎng)絡(luò)安全趨勢［20］，認(rèn)證準(zhǔn)入從源頭杜絕終端非法登錄等，深入研究各維度中子系統(tǒng)之間的關(guān)聯(lián)、互補(bǔ)關(guān)系，建立信息安全系統(tǒng)安全評估的方法，提升信息系統(tǒng)整個生命周期的安全防護(hù)能力。