朱 君，王 浩，何 奇，蒲曉虎

(重慶市氣象信息與技術(shù)保障中心，重慶 401147)

0 引言

重慶市氣象寬帶網(wǎng)絡(luò)上行連接中國(guó)氣象局，下行連接34個(gè)區(qū)(縣)氣象局，是全國(guó)氣象寬帶網(wǎng)的重要組成部分[1-3]。隨著氣象信息化的發(fā)展，現(xiàn)代氣象觀測(cè)、預(yù)報(bào)和服務(wù)的大量數(shù)據(jù)完全依賴網(wǎng)絡(luò)進(jìn)行交換和傳輸[4]，保障氣象部門(mén)網(wǎng)絡(luò)安全已經(jīng)成為氣象部門(mén)正常開(kāi)展各項(xiàng)業(yè)務(wù)工作的一項(xiàng)重要基礎(chǔ)條件[5]。隨著終端用戶安全事件和網(wǎng)絡(luò)攻擊行為的不斷增加，氣象網(wǎng)絡(luò)面臨的安全挑戰(zhàn)也越來(lái)越大[6-8]。在大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)環(huán)境下，如何確保氣象信息數(shù)據(jù)的安全性和可靠性，構(gòu)建完善的網(wǎng)絡(luò)安全體系已經(jīng)成為亟需解決的重要問(wèn)題[9-11]。

1 網(wǎng)絡(luò)通信線路

目前，重慶市氣象寬帶網(wǎng)絡(luò)通信線路主要由4部分組成，如圖1所示。重慶市氣象局作為全國(guó)氣象寬帶網(wǎng)絡(luò)國(guó)省主干網(wǎng)節(jié)點(diǎn)之一，通過(guò)中國(guó)電信MPLS VPN網(wǎng)狀網(wǎng)絡(luò)和MSTP星型網(wǎng)絡(luò)雙系統(tǒng)互為熱備份的方式與中國(guó)氣象局互聯(lián)；重慶市各區(qū)(縣)氣象局以星型網(wǎng)絡(luò)拓?fù)涞男问竭B接重慶市氣象寬帶網(wǎng)絡(luò)，構(gòu)建起重慶市氣象廣域網(wǎng)通信系統(tǒng)，并實(shí)現(xiàn)不同運(yùn)營(yíng)商的雙線接入；各外聯(lián)單位采用數(shù)據(jù)通信專(zhuān)線的方式接入重慶市氣象寬帶網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互；重慶市氣象寬帶網(wǎng)絡(luò)通過(guò)互聯(lián)網(wǎng)專(zhuān)線接入，實(shí)現(xiàn)全市氣象部門(mén)互聯(lián)網(wǎng)的實(shí)時(shí)訪問(wèn)[12,13]。

圖1 通信線路連接

2 系統(tǒng)架構(gòu)

信息系統(tǒng)根據(jù)其在國(guó)家安全、經(jīng)濟(jì)建設(shè)和社會(huì)生活中的重要程度，以及遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益和其他組織的合法權(quán)益的危害程度等，安全等級(jí)由低到高劃分為5個(gè)等級(jí)。根據(jù)重慶市氣象寬帶網(wǎng)絡(luò)的業(yè)務(wù)現(xiàn)狀和實(shí)際情況，嚴(yán)格按照信息系統(tǒng)安全等級(jí)保護(hù)第3級(jí)的要求進(jìn)行網(wǎng)絡(luò)安全體系的建設(shè)和應(yīng)用，為各業(yè)務(wù)系統(tǒng)的安全、可靠、穩(wěn)定運(yùn)行提供了基礎(chǔ)保障。網(wǎng)絡(luò)安全體系由邊界防護(hù)體系、上網(wǎng)行為管理系統(tǒng)、網(wǎng)絡(luò)威脅發(fā)現(xiàn)系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、應(yīng)用防篡改系統(tǒng)、安全態(tài)勢(shì)感知系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和統(tǒng)一監(jiān)控中心等組成。

2.1 邊界防護(hù)系統(tǒng)

根據(jù)多級(jí)、多域連接的現(xiàn)狀，對(duì)網(wǎng)絡(luò)進(jìn)行了合理的區(qū)域劃分，與中國(guó)氣象局、各區(qū)(縣)氣象局、外聯(lián)單位和互聯(lián)網(wǎng)邊界均部署了防火墻進(jìn)行隔離，并實(shí)現(xiàn)了端口級(jí)別的訪問(wèn)控制；其中互聯(lián)網(wǎng)邊界防火墻采用了雙機(jī)堆疊的方式，與中國(guó)氣象局的邊界防火墻采用了雙機(jī)熱備的方式，增強(qiáng)了設(shè)備的容錯(cuò)能力，提高了網(wǎng)絡(luò)運(yùn)行效率，防止了重要節(jié)點(diǎn)的單點(diǎn)故障；從邏輯上隔離和阻斷了對(duì)內(nèi)網(wǎng)具有潛在攻擊可能的一切網(wǎng)絡(luò)連接，使外部攻擊者無(wú)法直接入侵、攻擊或破壞內(nèi)網(wǎng)，保障了內(nèi)部網(wǎng)絡(luò)通信的安全。

2.2 上網(wǎng)行為管理系統(tǒng)

互聯(lián)網(wǎng)給業(yè)務(wù)發(fā)展帶來(lái)了極大的便利，同時(shí)，也帶來(lái)了網(wǎng)絡(luò)安全性、可靠性等諸多問(wèn)題，如果缺乏有效的管理，將會(huì)給業(yè)務(wù)帶來(lái)各種風(fēng)險(xiǎn)，因此需要建立有效的上網(wǎng)行為管理系統(tǒng)。通過(guò)系統(tǒng)全面且靈活的策略配置，實(shí)現(xiàn)對(duì)用戶、終端、應(yīng)用、內(nèi)容、流量等上網(wǎng)行為的可視、可控管理，從而有效識(shí)別、管控網(wǎng)絡(luò)中與業(yè)務(wù)無(wú)關(guān)的應(yīng)用；合理分配帶寬資源，提高帶寬利用率；進(jìn)行多維度的靈活識(shí)別與權(quán)限控制，及時(shí)發(fā)現(xiàn)與控制非法網(wǎng)絡(luò)接入行為；同時(shí)記錄內(nèi)網(wǎng)人員的上網(wǎng)軌跡作為追查依據(jù)，最終實(shí)現(xiàn)全市氣象部門(mén)上網(wǎng)行為的統(tǒng)一管控。

2.3 網(wǎng)絡(luò)威脅發(fā)現(xiàn)系統(tǒng)

網(wǎng)絡(luò)威脅發(fā)現(xiàn)系統(tǒng)提供基于網(wǎng)絡(luò)安全威脅的檢測(cè)和防御，網(wǎng)絡(luò)安全威脅的檢測(cè)基于網(wǎng)絡(luò)層攻擊、病毒攻擊和Web威脅郵件內(nèi)容的攻擊，包括雙向傳送信息或從惡意的來(lái)源接收命令的隱藏型惡意軟件，識(shí)別違反安全策略、中斷網(wǎng)絡(luò)以及消耗大量帶寬或構(gòu)成潛在安全威脅的未經(jīng)授權(quán)應(yīng)用程序和服務(wù)程序。

2.4 入侵防御系統(tǒng)

隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高和網(wǎng)絡(luò)安全漏洞的不斷出現(xiàn)，入侵防御系統(tǒng)應(yīng)運(yùn)而生。入侵防御系統(tǒng)通過(guò)監(jiān)控、分析網(wǎng)絡(luò)事件，深度感知并檢測(cè)網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)流量，對(duì)惡意流量直接丟棄以阻斷攻擊，對(duì)濫用流量進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。根據(jù)系統(tǒng)策略，對(duì)網(wǎng)絡(luò)中的流量進(jìn)行深度檢測(cè)，一旦發(fā)現(xiàn)隱藏其中的網(wǎng)絡(luò)攻擊，可以根據(jù)該攻擊的威脅級(jí)別立即采取抵御措施，如向管理中心告警、丟棄該報(bào)文、切斷此次應(yīng)用會(huì)話、切斷此次連接等，及時(shí)中斷、調(diào)整或隔離一些不正?；蚓哂形：π缘木W(wǎng)絡(luò)安全行為。系統(tǒng)具有強(qiáng)大的分析與處理能力，可以保證網(wǎng)絡(luò)通信的質(zhì)量；能夠?qū)Ω鞣N攻擊進(jìn)行實(shí)時(shí)檢測(cè)與防御，具有多樣的訪問(wèn)控制策略，在未授權(quán)的活動(dòng)開(kāi)始之前就可以發(fā)現(xiàn)其行為，避免其給網(wǎng)絡(luò)安全帶來(lái)威脅；可以阻斷所有的非法網(wǎng)絡(luò)流量，協(xié)助管理網(wǎng)絡(luò)資源，保障關(guān)鍵設(shè)施的穩(wěn)定運(yùn)行。

2.5 防病毒系統(tǒng)

隨著網(wǎng)絡(luò)的不斷發(fā)展，計(jì)算機(jī)病毒已經(jīng)成為眾多行業(yè)建設(shè)IT系統(tǒng)時(shí)面臨的主要威脅之一，為了更好地保護(hù)網(wǎng)絡(luò)環(huán)境免受計(jì)算機(jī)病毒的侵?jǐn)_，應(yīng)部署專(zhuān)業(yè)級(jí)別的防計(jì)算機(jī)病毒系統(tǒng)。系統(tǒng)基于多核硬件體系架構(gòu)，采用專(zhuān)業(yè)的反病毒引擎，集成了先進(jìn)的多重掃描、檢測(cè)技術(shù)，可以從網(wǎng)絡(luò)層到應(yīng)用層開(kāi)展全面的計(jì)算機(jī)病毒查殺，對(duì)病毒加殼、壓縮、加密以及木馬、蠕蟲(chóng)、惡意軟件等網(wǎng)絡(luò)威脅均可以快速、準(zhǔn)確地發(fā)現(xiàn)與清除。

防病毒系統(tǒng)具有一對(duì)多的病毒規(guī)則庫(kù)，其系統(tǒng)引擎可以在秒級(jí)水平上掃描千萬(wàn)病毒及其變種。當(dāng)內(nèi)網(wǎng)用戶發(fā)起互聯(lián)網(wǎng)鏈接時(shí)，系統(tǒng)可以通過(guò)策略對(duì)遠(yuǎn)程的服務(wù)進(jìn)行信譽(yù)查詢，對(duì)信譽(yù)級(jí)別不符合安全要求的立即阻斷。

2.6 應(yīng)用防篡改系統(tǒng)

應(yīng)用防篡改系統(tǒng)全面保護(hù)對(duì)外提供服務(wù)的應(yīng)用系統(tǒng)，具有安全性、完備性、易用性、兼容性和可擴(kuò)展性等特點(diǎn)，支持應(yīng)用系統(tǒng)的篡改檢測(cè)與恢復(fù)、自動(dòng)備份與發(fā)布、實(shí)時(shí)報(bào)警和跟蹤記錄等。在保證網(wǎng)絡(luò)通信傳輸、訪問(wèn)權(quán)限控制、應(yīng)用自身安全、重要內(nèi)容備份等要求的同時(shí)，完全杜絕篡改應(yīng)用系統(tǒng)被訪問(wèn)的可能。通過(guò)進(jìn)程級(jí)磁盤(pán)操作檢測(cè)，判斷企圖進(jìn)行磁盤(pán)操作的進(jìn)程合法性，進(jìn)而實(shí)時(shí)阻斷非法進(jìn)程對(duì)網(wǎng)站內(nèi)容的篡改；通過(guò)事件觸發(fā)機(jī)制實(shí)現(xiàn)基于操作系統(tǒng)內(nèi)核消息的觸發(fā)式文件變更檢測(cè)，實(shí)時(shí)清除被篡改的應(yīng)用并進(jìn)行報(bào)警與恢復(fù)。通過(guò)Web服務(wù)器核心內(nèi)嵌技術(shù)，實(shí)現(xiàn)了將篡改檢測(cè)模塊內(nèi)嵌于Web服務(wù)器系統(tǒng)內(nèi)部；同時(shí)結(jié)合密碼技術(shù)，對(duì)訪問(wèn)請(qǐng)求所涉及的網(wǎng)站文件進(jìn)行內(nèi)容與對(duì)應(yīng)數(shù)字水印的比較，以確保非法網(wǎng)頁(yè)內(nèi)容不被瀏覽。

2.7 安全態(tài)勢(shì)感知系統(tǒng)

安全態(tài)勢(shì)感知系統(tǒng)基于動(dòng)態(tài)的、整體的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，以網(wǎng)絡(luò)安全大數(shù)據(jù)為基礎(chǔ)，全流量分析為核心，集檢測(cè)、預(yù)警、響應(yīng)處置于一體，結(jié)合分析建模、UEBA、失陷主機(jī)檢測(cè)、圖關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析和可視化等技術(shù)，對(duì)全網(wǎng)流量實(shí)現(xiàn)業(yè)務(wù)可視化、威脅可視化、攻擊與可疑流量可視化等，在高級(jí)威脅入侵之后，可以在損失發(fā)生之前及時(shí)發(fā)現(xiàn)威脅。

安全態(tài)勢(shì)感知平臺(tái)可以與多種安全設(shè)備、產(chǎn)品實(shí)現(xiàn)對(duì)接，結(jié)合網(wǎng)絡(luò)安全攻擊趨勢(shì)、有效攻擊和業(yè)務(wù)資產(chǎn)脆弱性對(duì)全網(wǎng)絡(luò)的安全態(tài)勢(shì)進(jìn)行整體評(píng)估；通過(guò)對(duì)失陷主機(jī)、終端的實(shí)時(shí)檢測(cè)和訪問(wèn)關(guān)系的可視化快速發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；對(duì)繞過(guò)邊界防御進(jìn)入內(nèi)網(wǎng)的攻擊行為實(shí)時(shí)進(jìn)行檢測(cè)；對(duì)內(nèi)部用戶、業(yè)務(wù)資產(chǎn)的異常行為進(jìn)行持續(xù)檢測(cè)，發(fā)現(xiàn)潛在風(fēng)險(xiǎn)以降低可能的損失；對(duì)業(yè)務(wù)系統(tǒng)核心資產(chǎn)進(jìn)行識(shí)別，梳理人員、業(yè)務(wù)與資產(chǎn)的訪問(wèn)關(guān)系，一旦發(fā)現(xiàn)變更，及時(shí)部署安全策略，封堵安全隱患。

2.8 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)針對(duì)業(yè)務(wù)環(huán)境中各用戶對(duì)網(wǎng)絡(luò)內(nèi)的核心資產(chǎn)、服務(wù)器、業(yè)務(wù)系統(tǒng)進(jìn)行的各項(xiàng)操作行為進(jìn)行細(xì)粒度的合規(guī)性審計(jì)與管理，通過(guò)對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)采集、記錄、解析和匯總，實(shí)現(xiàn)事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告和事故追蹤溯源等功能，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)的行為監(jiān)管，以保障核心資產(chǎn)，如業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等的正常運(yùn)行。

安全審計(jì)系統(tǒng)通過(guò)大數(shù)據(jù)技術(shù)支持海量日志下的異常行為分析與取證溯源；通過(guò)精細(xì)化的條件進(jìn)行查詢，方便精確查詢歷史行為，并可對(duì)事件與會(huì)話進(jìn)行關(guān)聯(lián)，便于分析；提供包括時(shí)間、客戶端IP和端口、服務(wù)端IP和端口、客戶端程序、操作關(guān)鍵內(nèi)容、事件級(jí)別、業(yè)務(wù)用戶身份和資源賬號(hào)等信息的全面審計(jì)日志，對(duì)審計(jì)到的操作及時(shí)進(jìn)行響應(yīng)，以控制各種網(wǎng)絡(luò)訪問(wèn)行為。

2.9 統(tǒng)一安全監(jiān)控中心

目前針對(duì)業(yè)務(wù)系統(tǒng)運(yùn)維操作與業(yè)務(wù)流程的合規(guī)性管理的技術(shù)措施大體可以分為兩類(lèi)：一類(lèi)是與賬戶相關(guān)的技術(shù)，包括主從賬戶管理技術(shù)、強(qiáng)身份認(rèn)證技術(shù)、集中授權(quán)技術(shù)和單點(diǎn)登錄技術(shù)等；另一類(lèi)是與日志相關(guān)的技術(shù)，包括本地日志與網(wǎng)絡(luò)日志的采集、泛化、存儲(chǔ)、展現(xiàn)、查詢等相關(guān)技術(shù)。統(tǒng)一安全監(jiān)控中心融合用戶賬號(hào)管理、認(rèn)證管理、授權(quán)管理和安全審計(jì)4要素，在內(nèi)網(wǎng)服務(wù)器上部署控制中心，各服務(wù)器及信息終端部署代理客戶端并注冊(cè)到控制中心進(jìn)行統(tǒng)一監(jiān)管；通過(guò)控制中心連接現(xiàn)有防篡改系統(tǒng)、WSUS系統(tǒng)和防病毒系統(tǒng)等安全系統(tǒng)，實(shí)現(xiàn)實(shí)時(shí)聯(lián)動(dòng)。

部署信息統(tǒng)一監(jiān)控平臺(tái)，對(duì)網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)實(shí)現(xiàn)賬號(hào)、授權(quán)、認(rèn)證和審計(jì)的集中統(tǒng)一管理。基于“自然人賬戶—角色―資源賬戶”的集中賬戶管理、授權(quán)模型建設(shè)賬戶管理目錄與統(tǒng)一權(quán)限管理系統(tǒng)，在訪問(wèn)過(guò)程中根據(jù)權(quán)限進(jìn)行訪問(wèn)控制；建設(shè)集多種強(qiáng)身份認(rèn)證手段于一體的認(rèn)證管理中心；實(shí)現(xiàn)對(duì)主從賬戶的同步管理以及密碼策略管理。

3 結(jié)束語(yǔ)

重慶市氣象寬帶網(wǎng)絡(luò)構(gòu)建了由邊界防護(hù)系統(tǒng)、核心節(jié)點(diǎn)冗余系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、網(wǎng)絡(luò)威脅發(fā)現(xiàn)系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、應(yīng)用防篡改系統(tǒng)、安全態(tài)勢(shì)感知系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和統(tǒng)一安全監(jiān)控中心等組成的網(wǎng)絡(luò)安全體系，具備了一定的自主信息安全檢測(cè)能力。網(wǎng)絡(luò)安全體系的建設(shè)應(yīng)用，為重慶市氣象局提供了安全可靠的網(wǎng)絡(luò)環(huán)境，提升了網(wǎng)絡(luò)傳輸?shù)目煽啃裕岣吡藲庀笥^測(cè)、預(yù)報(bào)和服務(wù)等氣象業(yè)務(wù)的有效服務(wù)能力，為氣象業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行提供了強(qiáng)有力的支撐和保障。