張敏 韓波 許翔 郭黎明

關(guān)鍵詞：網(wǎng)絡(luò)安全；優(yōu)化方案；應(yīng)對(duì)策略；物理隔離

衡陽市氣象局信息網(wǎng)絡(luò)機(jī)房于2000年建成并投入使用，是衡陽市、縣氣象部門氣象數(shù)據(jù)信息計(jì)算、交互和儲(chǔ)存的重要樞紐，是我市氣象部門開展所有業(yè)務(wù)的重要基石。市縣兩級(jí)氣象網(wǎng)絡(luò)雖然已運(yùn)行多年，但網(wǎng)絡(luò)安全方面一直存在很多問題，原有網(wǎng)絡(luò)結(jié)構(gòu)已不能滿足現(xiàn)今信息網(wǎng)絡(luò)安全需求，因此順應(yīng)時(shí)代發(fā)展要求開展網(wǎng)絡(luò)安全現(xiàn)狀分析及改造升級(jí)顯得十分必要。以分析衡陽市氣象局信息網(wǎng)絡(luò)優(yōu)化升級(jí)為例，作出一個(gè)網(wǎng)絡(luò)優(yōu)化方案的設(shè)計(jì)，為市縣級(jí)氣象部門提供一些借鑒經(jīng)驗(yàn)，以便更好地服務(wù)氣象業(yè)務(wù)的發(fā)展。

1 市級(jí)氣象網(wǎng)絡(luò)業(yè)務(wù)分析

市級(jí)氣象業(yè)務(wù)網(wǎng)承擔(dān)著市縣級(jí)地面氣象觀測(cè)站及氣象雷達(dá)數(shù)據(jù)的接收和傳輸、氣象預(yù)報(bào)預(yù)警信息的發(fā)布，支持氣象業(yè)務(wù)系統(tǒng)正常運(yùn)行，接收并存儲(chǔ)市縣兩級(jí)上百個(gè)自動(dòng)氣象觀測(cè)站的觀測(cè)數(shù)據(jù)，并完成向省級(jí)上級(jí)氣象部門轉(zhuǎn)發(fā)的工作。隨著氣象事業(yè)高質(zhì)量發(fā)展，對(duì)精細(xì)化天氣預(yù)報(bào)要求日益增強(qiáng)，全國(guó)自動(dòng)氣象觀測(cè)站的觀測(cè)頻次也隨之提高，過去是每一個(gè)小時(shí)傳送一次數(shù)據(jù)，現(xiàn)已提升為國(guó)家站傳送頻次為每一分鐘次，其他站傳送頻次為每五分鐘次，國(guó)家氣象雷達(dá)每六分鐘一次掃描頻次，實(shí)時(shí)向省市氣象部門提供掃描圖像[1]。氣象基礎(chǔ)數(shù)據(jù)量大幅增加，對(duì)市級(jí)氣象網(wǎng)絡(luò)的承載能力、防護(hù)能力也是前所未有的考驗(yàn)，氣象采集的各種數(shù)據(jù)為氣象業(yè)務(wù)開展提供數(shù)據(jù)支撐，數(shù)據(jù)的傳輸離不開信息網(wǎng)絡(luò)，所以保證氣象信息網(wǎng)絡(luò)的穩(wěn)定安全是必不可少的。

2 網(wǎng)絡(luò)現(xiàn)狀及改造升級(jí)需求

市縣級(jí)信息網(wǎng)絡(luò)由兩部分組成，分別是氣象廣域網(wǎng)（簡(jiǎn)稱“內(nèi)網(wǎng)”） 和互聯(lián)網(wǎng)（簡(jiǎn)稱“外網(wǎng)”） 。內(nèi)網(wǎng)是由省級(jí)氣象局統(tǒng)一規(guī)劃建設(shè)，作用已在前面進(jìn)行描述。外網(wǎng)主要用來跟其他單位進(jìn)行資源共享及信息交換，輔助預(yù)警服務(wù)發(fā)布，提供精準(zhǔn)專業(yè)預(yù)報(bào)服務(wù)等。在最開始網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)上，為了方便，外網(wǎng)光纖直接入機(jī)房，通過網(wǎng)線接入防火墻，再連接至核心交換機(jī)，最后借助路由功能將內(nèi)外網(wǎng)融合在一起，這種方式存在巨大隱患，是氣象數(shù)據(jù)泄密的最主要原因之一，加之市縣級(jí)氣象部門網(wǎng)絡(luò)安全防護(hù)設(shè)備匱乏，無法抵擋來自互聯(lián)網(wǎng)的惡意攻擊，網(wǎng)絡(luò)安全問題岌岌可危。

近年來國(guó)家還相繼出臺(tái)許多法律法規(guī)，要求加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，各級(jí)部門必須緊跟時(shí)代的發(fā)展，對(duì)網(wǎng)絡(luò)安全防護(hù)能力予以重視[2]。特別是內(nèi)外網(wǎng)數(shù)據(jù)安全隔離問題，要竭力保障氣象內(nèi)網(wǎng)免受黑客的攻擊，原先的內(nèi)外網(wǎng)融合方案已不能滿足網(wǎng)絡(luò)安全的需求，且存在嚴(yán)重的安全隱患，網(wǎng)絡(luò)優(yōu)化已迫在眉睫。

3 網(wǎng)絡(luò)優(yōu)化升級(jí)方案設(shè)計(jì)分析

下面以衡陽市氣象局為例，對(duì)網(wǎng)絡(luò)優(yōu)化升級(jí)方案的設(shè)計(jì)進(jìn)行簡(jiǎn)單闡述。網(wǎng)絡(luò)優(yōu)化目標(biāo)分為兩個(gè)區(qū)域（新、老辦公樓），根據(jù)兩者各自的特點(diǎn)，分別規(guī)劃不同的方案，詳細(xì)設(shè)計(jì)見以下描述。

3.1 內(nèi)外網(wǎng)物理隔離的方案設(shè)計(jì)

網(wǎng)絡(luò)升級(jí)最重要的部分應(yīng)該要考慮如何提升網(wǎng)絡(luò)安全性，針對(duì)原有的網(wǎng)絡(luò)架構(gòu)改變內(nèi)外網(wǎng)融合在一起的設(shè)計(jì)，實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離架構(gòu)應(yīng)該首先需要改造。從物理隔離技術(shù)的發(fā)展過程來看，大致可以分為三種方案：第一個(gè)方案是采用雙機(jī)技術(shù)，其原理主要是使用同一個(gè)機(jī)箱和顯示器，在機(jī)箱里安裝2套計(jì)算機(jī)硬件，包括硬盤、內(nèi)存、主板、CPU等。用戶在客戶端上自主選擇使用哪套系統(tǒng)。該方案不足在于客戶端成本非常高，網(wǎng)絡(luò)布線必須是雙網(wǎng)線結(jié)構(gòu)，優(yōu)點(diǎn)在于操作簡(jiǎn)便，技術(shù)水平也比較簡(jiǎn)單。第二個(gè)方案是通過雙網(wǎng)線PCI卡來進(jìn)行隔離，讓外設(shè)硬件先跟PCI卡進(jìn)行連接，通過PCI卡將數(shù)據(jù)傳輸?shù)街靼濉Ｓ脩敉ㄟ^PCI卡來選擇對(duì)應(yīng)的硬盤和網(wǎng)絡(luò)接口，從而達(dá)到對(duì)外設(shè)硬件的控制。第三個(gè)方案是采用單網(wǎng)線布線，加入硬件網(wǎng)絡(luò)選擇器，與第二個(gè)方案相比，不同之處在于不是雙網(wǎng)線布線而是采用單網(wǎng)線布線，借助網(wǎng)線將客戶端的選擇信號(hào)轉(zhuǎn)換成高低電平信號(hào)傳輸給網(wǎng)絡(luò)選擇端，再根據(jù)電平信號(hào)來讓用戶選擇相應(yīng)網(wǎng)絡(luò)，執(zhí)行成本可控，且提高系統(tǒng)的安全性。

通過對(duì)上述幾種內(nèi)外網(wǎng)隔離方案的分析可見，內(nèi)外網(wǎng)隔離最根本方法，是通過物理手段對(duì)涉密和非涉密信息進(jìn)行隔離處理。針對(duì)新老辦公樓不同的環(huán)境場(chǎng)景，設(shè)計(jì)不同的物理隔離方案來保證信息的安全，如下所述：方案一：在老辦公區(qū)，原有網(wǎng)絡(luò)線路改造困難，可采用單網(wǎng)線方法來實(shí)現(xiàn)內(nèi)外網(wǎng)隔離改造。新增一臺(tái)內(nèi)外網(wǎng)遠(yuǎn)程端切換Hub，每臺(tái)PC加裝安全隔離卡，安全隔離卡可通過網(wǎng)線控制遠(yuǎn)端內(nèi)外網(wǎng)遠(yuǎn)程切換Hub 實(shí)現(xiàn)通信，Hub上接口分別連接內(nèi)網(wǎng)Hub和外網(wǎng)Hub。

在使用內(nèi)外網(wǎng)的PC上加裝一塊硬盤，實(shí)現(xiàn)物理數(shù)據(jù)存儲(chǔ)隔離，PC在內(nèi)網(wǎng)工作的時(shí)候，內(nèi)網(wǎng)硬盤加電工作，外網(wǎng)硬盤不加電，PC在外網(wǎng)工作的時(shí)候是反過來的。通過內(nèi)外網(wǎng)遠(yuǎn)程端切換Hub可以靈活配置網(wǎng)絡(luò)設(shè)備和接口，這樣既可以節(jié)省成本，又可以構(gòu)建安全適用的網(wǎng)絡(luò)，達(dá)到安全隔離的效果。物理隔離網(wǎng)絡(luò)拓?fù)鋱D（老區(qū)）見圖1所示。

方案二：在新辦公樓的網(wǎng)絡(luò)規(guī)劃建設(shè)中，不存在線路復(fù)雜、改造困難等歷史遺留問題，考慮網(wǎng)絡(luò)安全的可擴(kuò)展性，采取兩套網(wǎng)線布點(diǎn)的辦法實(shí)現(xiàn)內(nèi)外網(wǎng)隔離改造。通過配置雙硬盤和安全隔離卡，將內(nèi)外網(wǎng)網(wǎng)線分別接到隔離卡的不同網(wǎng)卡口，用戶使用客戶端軟件控制隔離卡上的開關(guān)，選擇需要使用的網(wǎng)絡(luò)，也實(shí)現(xiàn)對(duì)應(yīng)網(wǎng)絡(luò)硬盤的選擇，從而體現(xiàn)內(nèi)外網(wǎng)的隔離效果。物理隔離網(wǎng)絡(luò)拓?fù)鋱D（新區(qū)）見圖2所示。

此方案設(shè)計(jì)非常適用于費(fèi)用預(yù)算充足，新建辦公樓網(wǎng)絡(luò)建設(shè)，當(dāng)然在涉密崗位也可以不使用安全隔離卡，配置兩臺(tái)獨(dú)立的計(jì)算機(jī)，專機(jī)專用，防止涉密資料外泄。其他非涉密崗可通過雙硬盤和加裝安全隔離卡來實(shí)現(xiàn)內(nèi)外網(wǎng)隔離。

3.2 網(wǎng)絡(luò)安全設(shè)備保駕護(hù)航

在上述網(wǎng)絡(luò)安全優(yōu)化方案中采取的辦法主要是通過物理隔離內(nèi)外網(wǎng)來保障氣象數(shù)據(jù)的安全，但只靠?jī)?nèi)外網(wǎng)物理隔離來保障網(wǎng)絡(luò)安全是遠(yuǎn)遠(yuǎn)不夠的。因?yàn)槲锢砀綦x是一種被動(dòng)式的隔離方法，沒有辦法實(shí)現(xiàn)安全狀態(tài)的檢測(cè)，很容易被黑客利用，所以增加一些必要的網(wǎng)絡(luò)安全及行為管理設(shè)備能夠大大提高網(wǎng)絡(luò)的安全性。目前市場(chǎng)上主流網(wǎng)絡(luò)安全設(shè)備有硬件防火墻、入侵檢測(cè)、審計(jì)系統(tǒng)、上網(wǎng)行為管理等設(shè)備。

在互聯(lián)網(wǎng)出口端可以配置防火墻，作為網(wǎng)絡(luò)安全的主要防線抵擋黑客的入侵[3]。但由于黑客攻擊技術(shù)在不停更新，攻擊手段也時(shí)刻在變化，單純地靠配置防火墻策略來防范黑客入侵，很明顯已經(jīng)力不從心，還需要其他一些防御技術(shù)加入進(jìn)來。入侵檢測(cè)技術(shù)與防火墻技術(shù)的結(jié)合，兩者形成互補(bǔ)，能夠更好地保障網(wǎng)絡(luò)正常運(yùn)行，它可以通過對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)中的某些關(guān)鍵點(diǎn)進(jìn)行數(shù)據(jù)采樣，并且對(duì)采集到的信息進(jìn)行數(shù)據(jù)建模，最后經(jīng)過大數(shù)據(jù)分析，辨別是否存在違反安全策略以及現(xiàn)有系統(tǒng)網(wǎng)絡(luò)中是否存在遭到攻擊的征兆[4]，這種結(jié)合方式更加科學(xué)和智能。

3.3 網(wǎng)絡(luò)管理系統(tǒng)實(shí)時(shí)監(jiān)管

安裝上網(wǎng)行為管控系統(tǒng)等類似的網(wǎng)絡(luò)管理系統(tǒng)，便于網(wǎng)絡(luò)管理員管控和規(guī)范對(duì)互聯(lián)網(wǎng)的訪問使用，所有上網(wǎng)記錄都會(huì)保存，用于事后審計(jì)、另外設(shè)置過濾規(guī)則對(duì)一些網(wǎng)站或App進(jìn)行屏蔽，可以通過實(shí)時(shí)監(jiān)控來管理單位網(wǎng)絡(luò)資源使用，外發(fā)文件和上網(wǎng)內(nèi)容，有問題時(shí)可以及時(shí)預(yù)警，也便于管理員根據(jù)預(yù)案對(duì)發(fā)現(xiàn)問題及時(shí)處理。

4 網(wǎng)絡(luò)優(yōu)化后可能存在問題及應(yīng)對(duì)措施

4.1 外網(wǎng)對(duì)外服務(wù)問題

內(nèi)外網(wǎng)實(shí)現(xiàn)物理隔離之后，對(duì)外服務(wù)業(yè)務(wù)將因?yàn)閮?nèi)外網(wǎng)分離帶來數(shù)據(jù)不能互通的問題，原本某些氣象資料可通過外網(wǎng)接口提供給用戶使用，也被封堵。針對(duì)此問題，可以在內(nèi)外網(wǎng)之間設(shè)置DMZ區(qū)，配備公共服務(wù)器設(shè)備，用來存放對(duì)公服務(wù)的非機(jī)密數(shù)據(jù)或是WEB、FTP服務(wù)器。設(shè)置訪問控制策略，內(nèi)網(wǎng)允許訪問外網(wǎng)、DMZ區(qū)，外網(wǎng)不允許訪問內(nèi)網(wǎng)，只允許訪問DMZ區(qū)，而DMZ區(qū)只在符合某種條件下才能訪問內(nèi)網(wǎng)。由此可見DMZ區(qū)是內(nèi)外網(wǎng)通信的緩沖區(qū)，它是通過地址轉(zhuǎn)換（NAT） 來實(shí)現(xiàn)通信，對(duì)內(nèi)映射成內(nèi)網(wǎng)地址，對(duì)外映射成外網(wǎng)地址，該方式可以很好地保護(hù)內(nèi)網(wǎng)的數(shù)據(jù)，外網(wǎng)使用者可以訪問DMZ區(qū)中的服務(wù)，卻不能接觸到存放在內(nèi)網(wǎng)中的信息，大大降低網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)，同時(shí)也達(dá)到了對(duì)外服務(wù)的目的。

4.2 內(nèi)外網(wǎng)數(shù)據(jù)交互問題

內(nèi)外網(wǎng)隔離之后給數(shù)據(jù)交互帶來不便，解決跨網(wǎng)數(shù)據(jù)文件傳輸?shù)膯栴}，使數(shù)據(jù)安全可靠地實(shí)現(xiàn)跨網(wǎng)數(shù)據(jù)傳輸，傳統(tǒng)的方式有：一是移動(dòng)介質(zhì)拷貝，指定專人負(fù)責(zé)使用專用移動(dòng)硬盤或優(yōu)盤在內(nèi)外網(wǎng)間，按照操作規(guī)范流程，開展拷貝數(shù)據(jù)。這種方式全過程需要人工操作，效率低下，且整個(gè)過程無法管控，移動(dòng)介質(zhì)容易中毒，會(huì)成為病毒傳播的紐帶；二是FTP傳輸文件，設(shè)置FTP服務(wù)器用來實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)轉(zhuǎn)移，這種方式可解決數(shù)據(jù)傳輸問題，但FTP不穩(wěn)定，在傳輸時(shí)容易中斷且傳輸大文件時(shí)比較慢，而且沒有審批流程，不可溯源，安全性很低。隨后又出現(xiàn)了一些安全性能高的跨網(wǎng)數(shù)據(jù)交互的產(chǎn)物，有通過網(wǎng)閘進(jìn)行網(wǎng)間文件傳輸、企業(yè)網(wǎng)盤進(jìn)行網(wǎng)間文件傳輸、中轉(zhuǎn)站跨網(wǎng)文件交換等實(shí)現(xiàn)跨網(wǎng)數(shù)據(jù)擺渡[5]，它們都有各自的優(yōu)缺點(diǎn)。

要解決這個(gè)問題，我們可引進(jìn)新興技術(shù)產(chǎn)品，搭建適合氣象行業(yè)數(shù)據(jù)交換的中轉(zhuǎn)站跨網(wǎng)文件交換系統(tǒng)，數(shù)據(jù)交換過程有審批流程環(huán)節(jié)，能完整地記錄數(shù)據(jù)交互過程，可隨時(shí)中斷數(shù)據(jù)傳輸，出現(xiàn)問題時(shí)可以追溯審計(jì)，并且對(duì)交換的內(nèi)容進(jìn)行病毒檢測(cè)、敏感內(nèi)容檢測(cè)以及傳輸加密等，確保整個(gè)交換過程的數(shù)據(jù)安全性，以此來解決跨網(wǎng)數(shù)據(jù)傳輸問題。

5 結(jié)束語

衡陽市氣象局網(wǎng)絡(luò)升級(jí)優(yōu)化后，很好地滿足氣象信息現(xiàn)代化的發(fā)展需求，符合預(yù)期要求，實(shí)現(xiàn)了內(nèi)外網(wǎng)物理隔離，且部署必要的網(wǎng)絡(luò)安全設(shè)備，如硬件防火墻、入侵檢測(cè)系統(tǒng)、上網(wǎng)行為管理系統(tǒng)等[6]，為氣象業(yè)務(wù)的高速發(fā)展保駕護(hù)航，提供更加安全可靠的網(wǎng)絡(luò)環(huán)境。