張孝峰，樊江偉

（煙臺(tái)市氣象局，山東煙臺(tái) 264000）

計(jì)算機(jī)網(wǎng)絡(luò)是氣象業(yè)務(wù)發(fā)展的重要支撐，它在現(xiàn)代化氣象業(yè)務(wù)中的運(yùn)用也日益增多，網(wǎng)絡(luò)安全系統(tǒng)的架構(gòu)也變得更加復(fù)雜。網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行是確保氣象業(yè)務(wù)高效開(kāi)展的先決條件，網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全設(shè)備確保網(wǎng)絡(luò)系統(tǒng)安全暢通則是網(wǎng)絡(luò)運(yùn)行過(guò)程中的重點(diǎn)。

在氣象業(yè)務(wù)日益擴(kuò)展的今天，在安全可靠運(yùn)行的同時(shí)，還需要較高的業(yè)務(wù)數(shù)據(jù)處理和傳輸能力，所以為了確保整個(gè)系統(tǒng)能夠長(zhǎng)期安全穩(wěn)定地運(yùn)行，必須在三大系統(tǒng)（網(wǎng)絡(luò)的脆弱性、網(wǎng)絡(luò)稽核、反侵入）方面進(jìn)行研究與開(kāi)發(fā)，構(gòu)建全方位、多層次的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，以提升氣象網(wǎng)絡(luò)安全服務(wù)的性能，確保通信安全與順暢，服務(wù)氣象業(yè)務(wù)。

1 氣象網(wǎng)絡(luò)安全概述

在目前的網(wǎng)絡(luò)化情況下，中央數(shù)據(jù)中心主要包括數(shù)據(jù)中心區(qū)、氣象信息處理區(qū)、云計(jì)算區(qū)和下屬辦公區(qū)域。廣域網(wǎng)包括了全國(guó)總訪問(wèn)區(qū)、省局局網(wǎng)、外地局訪問(wèn)區(qū)。在內(nèi)部網(wǎng)與廣域網(wǎng)間建立了一道防火墻，在因特網(wǎng)與城市廣域網(wǎng)間加入了防御系統(tǒng)（Intrusion Prevention Systems，IPS），在因特網(wǎng)上進(jìn)行了數(shù)據(jù)傳輸，形成了一個(gè)簡(jiǎn)易的信息網(wǎng)安全機(jī)制。

在全國(guó)范圍內(nèi)，以全國(guó)和省際的數(shù)據(jù)中心為主要的保護(hù)措施，以地方和省市的廣域網(wǎng)和各省的數(shù)據(jù)中心為輔助，在全國(guó)和各省之間設(shè)置2 層防火墻。通過(guò)HA（High Availability Cluster，高可用集群）的形式進(jìn)行熱備冗余處理，從配置來(lái)看，根據(jù)中國(guó)氣象局的統(tǒng)一管理要求，省局接入全國(guó)局的接入及其他省局和其他相關(guān)的系統(tǒng)的出口，根據(jù)各省市的實(shí)際情況，實(shí)現(xiàn)“地區(qū)—地區(qū)”或“點(diǎn)對(duì)點(diǎn)”的設(shè)置。在地市廣域網(wǎng)和省級(jí)數(shù)據(jù)中心間布設(shè)2 道防火墻，采用HA 的形式進(jìn)行熱備冗余。

2 網(wǎng)絡(luò)安全及相應(yīng)技術(shù)

2.1 身份識(shí)別

身份識(shí)別是一種對(duì)雙方進(jìn)行身份認(rèn)證的高效手段。在向系統(tǒng)提交業(yè)務(wù)的時(shí)候，必須輸入使用者ID、密碼等相關(guān)的資料，并且還要求提供驗(yàn)證用戶的證件。在系統(tǒng)安全中，身份識(shí)別是最為關(guān)鍵的一項(xiàng)功能。

2.2 存取權(quán)限的控制

阻止非法用戶訪問(wèn)系統(tǒng)，阻止合法用戶非法利用系統(tǒng)資源，是存取控制中最根本的工作。開(kāi)放系統(tǒng)下網(wǎng)絡(luò)資源的利用要制定相關(guān)的條款，也就是要確認(rèn)什么用戶能夠獲取什么資源，并界定可獲取用戶所擁有的各自權(quán)限等，這也是當(dāng)前存取權(quán)限控制工作的重點(diǎn)[1]。

2.3 數(shù)字簽名

使用諸如RSA（Rivest Shamir Adleman，非對(duì)稱加密）之類的公鑰來(lái)對(duì)該消息（也就是一個(gè)簽署）設(shè)置密碼，而該消息的接收者使用該信息傳送者的公共鑰匙來(lái)對(duì)該簽署的消息進(jìn)行解密，以確認(rèn)該傳輸者的身份。

2.4 密鑰管理

信息加密是確保信息安全的一種重要手段。用密文的形式在一個(gè)比較安全的通道中進(jìn)行信息傳遞能使用戶安心上網(wǎng)。若密鑰泄露或者黑客通過(guò)累積大量密文來(lái)提高密文被破解的概率，都可能給通信安全帶來(lái)威脅。所以，將密鑰管理機(jī)制引入到密鑰的生成、存儲(chǔ)、傳輸及定期更換等過(guò)程中加以有效控制，對(duì)于提高網(wǎng)絡(luò)安全性與抗攻擊性同樣具有十分重要的意義[2]。

3 安全設(shè)計(jì)與實(shí)現(xiàn)的具體措施

3.1 對(duì)操作系統(tǒng)進(jìn)行優(yōu)化配置

黑客侵入系統(tǒng)時(shí)通常都是針對(duì)操作系統(tǒng)自身的不足和漏洞，對(duì)操作系統(tǒng)采取的防護(hù)措施之一是對(duì)補(bǔ)丁程序進(jìn)行及時(shí)和持續(xù)的更新，只要有正版操作系統(tǒng)，通?？梢栽谄涔俜骄W(wǎng)站上進(jìn)行補(bǔ)丁升級(jí)。同時(shí)某些違規(guī)補(bǔ)丁下載鏈接也可能讓用戶不自覺(jué)地被各類惡意軟件侵入，因此下載補(bǔ)丁時(shí)一定要選擇正規(guī)的網(wǎng)站。

另外，還應(yīng)該加強(qiáng)對(duì)操作系統(tǒng)用戶權(quán)限的管理，嚴(yán)禁游客賬號(hào)登錄，在增加訪問(wèn)權(quán)限的前提下，對(duì)匿名用戶的訪問(wèn)進(jìn)行限制，嚴(yán)禁遠(yuǎn)程端口的用戶從服務(wù)器中非法獲取數(shù)據(jù)信息[3]。

3.2 將虛擬局域網(wǎng)技術(shù)運(yùn)用于網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化

從網(wǎng)絡(luò)安全角度考慮，煙臺(tái)市氣象局內(nèi)部各部門(mén)首先被規(guī)劃為不同虛擬局域網(wǎng)（Virtual Local Area Network，VLAN），利用路由器把每個(gè)縣站劃分為不同子網(wǎng)。利用中國(guó)氣象局新增IP 地址段對(duì)VLAN 進(jìn)行分區(qū)，并可在已有邊緣交換機(jī)中進(jìn)行VLAN 分割。根據(jù)VLAN 的特點(diǎn)，一個(gè)VLAN 廣播與單播流量都不會(huì)轉(zhuǎn)發(fā)給另一個(gè)VLAN，這樣有利于控制流量、降低設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性[4]。

在核心開(kāi)關(guān)和邊沿開(kāi)關(guān)中的每一個(gè)訪問(wèn)點(diǎn)執(zhí)行一個(gè)訪問(wèn)限制，并執(zhí)行一個(gè)靜態(tài)的列表。通過(guò)使用路由器的各種安全特性，建立更加安全可靠的網(wǎng)絡(luò)。

3.3 應(yīng)用網(wǎng)絡(luò)版殺毒軟件實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)終端系統(tǒng)狀態(tài)

殺毒軟件作為目前最流行的安全技術(shù)方案之一，主要作用就是殺毒。目前的局域網(wǎng)采用的是賽門(mén)鐵克的在線病毒系統(tǒng)，通過(guò)對(duì)所有的病毒進(jìn)行更新、對(duì)所有的病毒進(jìn)行全面的更新、對(duì)所有的病毒進(jìn)行實(shí)時(shí)的更新、對(duì)所有的用戶進(jìn)行實(shí)時(shí)的病毒監(jiān)測(cè)，尤其是對(duì)不同客戶的軟件進(jìn)行在線檢查，為網(wǎng)絡(luò)的管理者們監(jiān)控各終端的狀況提供了一個(gè)非常好的途徑。加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控，保證每個(gè)終端病毒庫(kù)的實(shí)時(shí)更新，提前排除網(wǎng)絡(luò)病毒大爆發(fā)的隱患[5]。

3.4 明確網(wǎng)絡(luò)邊界，部署防火墻加強(qiáng)邊界防護(hù)

網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)2 個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。在氣象部門(mén)的內(nèi)部一般存在著區(qū)縣級(jí)網(wǎng)絡(luò)、地市級(jí)網(wǎng)絡(luò)、省市級(jí)網(wǎng)絡(luò)等，如圖1 所示，各個(gè)網(wǎng)絡(luò)間需要互訪，在各網(wǎng)絡(luò)邊界部署邊界防火墻，使之成為一道防御屏障，通過(guò)合理正確的配置，可以阻止有安全風(fēng)險(xiǎn)通信數(shù)據(jù)的滲透。

圖1 氣象部門(mén)防火墻部署

部署防火墻必須配置有效的安全訪問(wèn)控制策略，否則防火墻形同虛設(shè)，訪問(wèn)控制技術(shù)用于防止非法用戶訪問(wèn)網(wǎng)絡(luò)，去獲取和使用網(wǎng)絡(luò)資源，訪問(wèn)控制主要有自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色訪問(wèn)控制3 種類型；在氣象部門(mén)內(nèi)部應(yīng)嚴(yán)格制定各級(jí)用戶訪問(wèn)權(quán)限，同時(shí)限定封堵高危端口，將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)限定在有限的網(wǎng)絡(luò)區(qū)內(nèi)，提高全網(wǎng)的安全性。

3.5 進(jìn)行脆弱性檢查，及時(shí)更新漏洞補(bǔ)丁

網(wǎng)絡(luò)安全脆弱性是指計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)在硬件、軟件、協(xié)議設(shè)計(jì)和實(shí)現(xiàn)、系統(tǒng)采取的安全策略存在的不足和缺陷，利用基于網(wǎng)絡(luò)的安全掃描，及時(shí)發(fā)現(xiàn)服務(wù)器、終端、交換機(jī)、防火墻等設(shè)備的安全漏洞。

日志審計(jì)對(duì)可能存在的潛在攻擊者起到威懾和警示作用，核心是風(fēng)險(xiǎn)評(píng)估。測(cè)試系統(tǒng)的控制情況，及時(shí)進(jìn)行調(diào)整，保證與安全策略和操作規(guī)程協(xié)調(diào)一致。對(duì)已出現(xiàn)的破壞事件，做出評(píng)估并提供有效的災(zāi)難恢復(fù)和追究責(zé)任的依據(jù)。對(duì)系統(tǒng)控制、安全策略與規(guī)程中的變更進(jìn)行評(píng)價(jià)和反饋，以便修訂決策和部署。協(xié)助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)入侵或潛在的系統(tǒng)漏洞及隱患。

結(jié)合氣象部門(mén)網(wǎng)絡(luò)實(shí)際情況，縣級(jí)氣象部門(mén)網(wǎng)絡(luò)規(guī)模相對(duì)較小，市、縣兩級(jí)網(wǎng)絡(luò)大多通過(guò)租用電線運(yùn)營(yíng)商的專線互聯(lián)，在每個(gè)縣級(jí)全部部署網(wǎng)絡(luò)安全設(shè)備，將造成極大浪費(fèi)，也不利于集約化管理。同時(shí)縣級(jí)氣象部門(mén)人員相對(duì)較少，針對(duì)這一現(xiàn)實(shí)情況，可在市級(jí)網(wǎng)絡(luò)中部署網(wǎng)絡(luò)安全態(tài)勢(shì)感知設(shè)備、脆弱掃描設(shè)備、日志審計(jì)設(shè)備及基于網(wǎng)絡(luò)的殺毒軟件并提供統(tǒng)一的漏洞補(bǔ)丁庫(kù)。網(wǎng)絡(luò)安全脆弱性檢查如圖2 所示。

圖2 網(wǎng)絡(luò)安全脆弱性檢查

4 煙臺(tái)市氣象局網(wǎng)絡(luò)安全技術(shù)體系

4.1 防火墻

防火墻裝設(shè)于受保護(hù)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接點(diǎn)，是為了保護(hù)網(wǎng)絡(luò)邊界安全，并依據(jù)設(shè)置合適的網(wǎng)絡(luò)訪問(wèn)策略及過(guò)濾規(guī)則列表而設(shè)計(jì)的一種主要方法，來(lái)確定哪些內(nèi)部服務(wù)允許（禁止）外部訪問(wèn)、哪些外部服務(wù)允許（禁止）內(nèi)部訪問(wèn)，或者其他特定的活動(dòng)，視為訪問(wèn)控制機(jī)制之一。防火墻技術(shù)作為一種遏制攻擊技術(shù)，它在阻止外界攻擊及非法接入的情況下，對(duì)脫離安全域信息進(jìn)行安全防護(hù)，以達(dá)到對(duì)內(nèi)部網(wǎng)絡(luò)防護(hù)的效果。局氣象專網(wǎng)布放2 臺(tái)防火墻以互為備份的態(tài)勢(shì)，網(wǎng)絡(luò)布放安全路由器和1 臺(tái)防火墻需另布放1 臺(tái)安全路由器以作備份的態(tài)勢(shì)。

4.2 漏洞掃描

氣象專網(wǎng)布設(shè)漏洞掃描設(shè)備1 臺(tái)，網(wǎng)絡(luò)管理員采用掃描等方式檢測(cè)指定遠(yuǎn)程目標(biāo)主機(jī)或者本地計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)安全，掌握目標(biāo)主機(jī)的網(wǎng)絡(luò)安全設(shè)置及運(yùn)行環(huán)境，發(fā)現(xiàn)可用漏洞并評(píng)估掃描結(jié)果及修補(bǔ)漏洞。發(fā)揮主動(dòng)防范功能，有效規(guī)避黑客攻擊，進(jìn)一步保證系統(tǒng)網(wǎng)絡(luò)環(huán)境的安全性。

4.3 上網(wǎng)行為管理

將上網(wǎng)行為管理設(shè)備部署到氣象局的互聯(lián)網(wǎng)中，以滿足對(duì)網(wǎng)絡(luò)行為的監(jiān)測(cè)、控制及管理的需求，并將該設(shè)備的子MAC（Media Access Control Address，媒體存取控制位址）地址捆綁到IP 地址中，每名用戶都對(duì)應(yīng)一個(gè)賬號(hào)。上網(wǎng)行為管理有效避免了有人非法接入和使用可上網(wǎng)網(wǎng)絡(luò)設(shè)備的情況，同時(shí)也解決了因私改IP 地址而引發(fā)IP 沖突的情況。上網(wǎng)行為管理設(shè)備為網(wǎng)民提供了檢測(cè)、篩選不良信息或者敏感文字，以及上網(wǎng)內(nèi)容記錄、內(nèi)容審查等服務(wù)，以期達(dá)到規(guī)范上網(wǎng)行為、杜絕網(wǎng)絡(luò)接入可能面臨法律風(fēng)險(xiǎn)的目的。

5 結(jié)束語(yǔ)

現(xiàn)有網(wǎng)絡(luò)安全措施受資金和其他條件限制，并不是完美無(wú)缺的。網(wǎng)絡(luò)攻擊技術(shù)手段正在發(fā)展變化，病毒變種也層出不窮，嚴(yán)格來(lái)說(shuō)，一切防范措施都是攻擊發(fā)生之后的補(bǔ)救。所以，在網(wǎng)絡(luò)安全維修中，對(duì)安全設(shè)施的及時(shí)更新是不可忽略的一項(xiàng)技術(shù)措施。而且，與已有網(wǎng)絡(luò)監(jiān)控系統(tǒng)和相應(yīng)控制措施的網(wǎng)管設(shè)備相比，其安全性保護(hù)的實(shí)時(shí)性和適用性差，以及對(duì)各終端的監(jiān)控性能仍然有一定的缺陷。所以，一切網(wǎng)絡(luò)安全之“安全”都只是相對(duì)而言。審查一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性，既要審查它的技術(shù)手段，又要評(píng)估針對(duì)它的網(wǎng)絡(luò)而采取措施的綜合性與可行性，其中包括人員素質(zhì)。所以，構(gòu)建安全的網(wǎng)絡(luò)環(huán)境需要在強(qiáng)化網(wǎng)絡(luò)安全設(shè)備配置的同時(shí)制定網(wǎng)絡(luò)安全管理?xiàng)l例來(lái)規(guī)范安全網(wǎng)絡(luò)的使用，不斷提升網(wǎng)管人員的素質(zhì)，只有這樣才能確保網(wǎng)絡(luò)安全。