曾慶峰 ，2

（1.廣東省航空護(hù)林站，廣東 廣州 510173；2.廣東省林火衛(wèi)星監(jiān)測中心，廣東 廣州 510173）

信息技術(shù)的飛速發(fā)展為森林防火應(yīng)急指揮系統(tǒng)的網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)，指揮系統(tǒng)的規(guī)模越來越大，復(fù)雜程度越來越高，攻擊技術(shù)和方法越來越簡單，來自內(nèi)部的攻擊數(shù)量也與日俱增，面對層出不窮的信息安全問題，越來越多的網(wǎng)絡(luò)安全系統(tǒng)和設(shè)備如防火墻、入侵檢測、安全審計、安全認(rèn)證、防病毒、漏洞掃描系統(tǒng)等架設(shè)在應(yīng)急指揮系統(tǒng)的網(wǎng)絡(luò)中，各種安全設(shè)備通常面對不同防護(hù)層次和對象，部署形式各異，物理位置分散，各自在某一方面達(dá)到了安全防護(hù)作用。然而信息的安全隱患是一個綜合的問題，不可能依靠某種單一的安全技術(shù)就能得到解決，也同樣不能依靠眾多安全產(chǎn)品的簡單堆砌來實現(xiàn)。必須在綜合分析應(yīng)急指揮信息系統(tǒng)整體安全需求的基礎(chǔ)上構(gòu)筑一個完整的安全服務(wù)體系，從而達(dá)到最有效的安全整體防控效果。

森林防火應(yīng)急指揮系統(tǒng)的安全體系模型，如圖1所示。

該模型有4個部分組成：基礎(chǔ)安全服務(wù)，安全管理保障體系，安全技術(shù)支持，安全響應(yīng)與恢復(fù)機(jī)制。

圖1 安全體系模型示意

1 基礎(chǔ)安全服務(wù)

需要解決的信任問題包括如下幾個方面。

（1）可信的身份；

（2）網(wǎng)絡(luò)信任域；

（3）可信的數(shù)據(jù)；

（4）可信的時間服務(wù)。

2 安全管理保障體系

安全保障體系主要包括以下幾個方面。

（1）安全管理策略。管理的安全性是系統(tǒng)安全的核心，任何先進(jìn)的安全設(shè)備都需要一個與之相適應(yīng)的管理手段，否則形同虛設(shè)。安全管理策略將明確體系實施安全管理的主體和責(zé)任人，制定安全管理制度，并保證制度的執(zhí)行，貫徹并實施國家相關(guān)法令和法規(guī)等。

（2）系統(tǒng)安全策略。系統(tǒng)安全策略的目的是保證系統(tǒng)的安全運行，保證設(shè)備的安全、網(wǎng)絡(luò)安全、操縱系統(tǒng)安全及數(shù)據(jù)庫的安全。

（3）計算機(jī)的使用策略。定義系統(tǒng)所有計算機(jī)資源的合理使用，不論他們是否連接到公網(wǎng)。

（4）人員安全策略。人員安全管理的目的是防止系統(tǒng)內(nèi)部管理人員濫用權(quán)力，它是通過系統(tǒng)軟件的運行模式來實現(xiàn)的。系統(tǒng)軟件的運行是基于身份驗證和訪問控制的，并且提供信息的操作日志，從而對管理人員的操作進(jìn)行審核和監(jiān)督。

（5）系統(tǒng)資源保護(hù)。無論系統(tǒng)是否連接到公網(wǎng)或建立對防火墻進(jìn)行訪問控制，對系統(tǒng)資源的保護(hù)都必須是通用的內(nèi)部安全策略。

（6）內(nèi)部通信策略。電子通信和存儲設(shè)施這些資源值能為系統(tǒng)服務(wù)，不合法和不恰當(dāng)?shù)男畔⒉坏迷谶@些系統(tǒng)上發(fā)送和存儲，所有通信的內(nèi)容必須準(zhǔn)確。

（7）數(shù)據(jù)及資料安全策略。保證數(shù)據(jù)的完整性和保密性，防止非法侵入;禁止傳輸或發(fā)送系統(tǒng)的秘密信息和其他機(jī)密；機(jī)密信息要保存在專用的文件服務(wù)器上，保存在個人計算機(jī)上要進(jìn)行加密；機(jī)密信息在公網(wǎng)上傳輸時要進(jìn)行加密和數(shù)字簽名。

3 安全技術(shù)支持

在應(yīng)急指揮系統(tǒng)的網(wǎng)絡(luò)中建立一整套安全機(jī)制，實現(xiàn)從外到內(nèi)的安全防護(hù)。對外采用加密技術(shù)、先進(jìn)防火墻技術(shù)，防止外部的竊密、攻擊；對內(nèi)改造操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)；在應(yīng)用軟件中嵌入安全模塊，采用加密和數(shù)字簽名、實體鑒別技術(shù)，實現(xiàn)內(nèi)部的安全防護(hù)?？刹捎玫陌踩夹g(shù)和設(shè)備如下。

（1）安全服務(wù)環(huán)境：系統(tǒng)必須建立在安全操作系統(tǒng)基礎(chǔ)之上，并改造系統(tǒng)接口，增加一定的安全功能，實現(xiàn)一定的安全服務(wù)環(huán)境。

（2）CA中信認(rèn)證系統(tǒng)接口：CA中信認(rèn)證系統(tǒng)由高可靠性服務(wù)器組成，系統(tǒng)平臺具有極高的安全性和可靠性，能夠拒絕各類非法訪問。

（3）網(wǎng)間互聯(lián)加密：網(wǎng)間互聯(lián)加密設(shè)備支持標(biāo)準(zhǔn)IP網(wǎng)絡(luò)協(xié)議，支持用戶透明連接，具有安全操作系統(tǒng)內(nèi)核，有高強(qiáng)度密碼算法和認(rèn)證協(xié)議。

（4）防火墻：先進(jìn)的防火墻產(chǎn)品的安全內(nèi)核、代理系統(tǒng)、多級過濾、安全服務(wù)器和鑒別與加密是系統(tǒng)安全運行的關(guān)鍵所在。

（5）網(wǎng)絡(luò)信息安全監(jiān)測預(yù)警系統(tǒng)：網(wǎng)絡(luò)信息安全監(jiān)測預(yù)警系統(tǒng)有安全控制中心和多個探測器組成。安全控制中心完成整個分布式安全監(jiān)測預(yù)警系統(tǒng)的管理配置。

（6）終端加密認(rèn)證設(shè)備：用于聯(lián)機(jī)終端的保密設(shè)備將串接在終端的串行通信線路上，自動識別串行通信線路上傳輸?shù)男畔⒘?，并根?jù)主機(jī)系統(tǒng)發(fā)送來的命令執(zhí)行讀卡操作和向主機(jī)發(fā)送加密的信息及數(shù)字簽名結(jié)果。

采用的安全技術(shù)和設(shè)備主要是保證系統(tǒng)層、數(shù)據(jù)層和應(yīng)用層的安全。

3.1 系統(tǒng)層安全

系統(tǒng)層安全是主機(jī)系統(tǒng)的安全性。操作系統(tǒng)是系統(tǒng)運行的平臺，其安全性對系統(tǒng)的運行影響很大，對所使用的操作系統(tǒng)要進(jìn)行合理配置和管理，盡量減少由于操作系統(tǒng)的問題帶來的安全風(fēng)險。注意及時對操作系統(tǒng)進(jìn)行升級和更新補(bǔ)丁程序等。合理設(shè)置組、用戶、目錄、文件等資源的訪問控制權(quán)限。

3.2 數(shù)據(jù)層安全

一是合理劃分和定義數(shù)據(jù)庫角色及訪問權(quán)限，森林防火應(yīng)急指揮數(shù)據(jù)庫的訪問者來自不同部門、不同行業(yè)，既有各級領(lǐng)導(dǎo)，又有基層責(zé)任人及操作人員，因此需要合理地劃分和定義數(shù)據(jù)庫角色及訪問權(quán)限，既要保證各種防火相關(guān)信息及時、快速的傳送到相關(guān)領(lǐng)導(dǎo)、責(zé)任人手中，又要確保整個系統(tǒng)的信息安全，杜絕非法訪問和非授權(quán)訪問現(xiàn)象；二是數(shù)據(jù)更新，由于應(yīng)急指揮網(wǎng)絡(luò)是專網(wǎng)架構(gòu)，指揮中心與分中心保持網(wǎng)絡(luò)的全天候暢通，因此，專家?guī)旌唾Y源庫更新均采用B/S模式，由各責(zé)任部門進(jìn)行維護(hù)；三是數(shù)據(jù)備份，提供本地和遠(yuǎn)程備份數(shù)據(jù)的功能，支持對正在運行系統(tǒng)的在線備份，發(fā)生災(zāi)難后，能夠在最短的時間內(nèi)，提供從備份系統(tǒng)恢復(fù)本地或遠(yuǎn)程數(shù)據(jù)的功能。

3.3 應(yīng)用層安全

軟件的安全可靠性是衡量軟件好壞的一個重要標(biāo)準(zhǔn)。安全性指防止對程序及數(shù)據(jù)的非授權(quán)的故意或意外訪問的處理能力有關(guān)的軟件屬性；可靠性指在規(guī)定一段時間和條件下，軟件能維持其性能水平能力的一組屬性。具體要求如下。

（1）用戶權(quán)限限制。軟件應(yīng)按功能模塊劃分用戶權(quán)限，權(quán)限劃分合理，超級用戶對各個用戶的權(quán)限管理合理，包括修改用戶的登錄資料等。

（2）用戶名和密碼封閉性。軟件對用戶名和密碼進(jìn)行校驗，有保護(hù)措施，尤其對密碼應(yīng)有屏蔽功能。

（3）系統(tǒng)對用戶錯誤登錄的次數(shù)限制。軟件對用戶錯誤登錄有次數(shù)限制（一般做法是連續(xù)三次登錄失敗就退出系統(tǒng)）。

（4）留痕功能。軟件能提供操作日志，比如某用戶登錄的時間、查詢、修改或刪除的動作及離開的時間等。

（5）屏蔽用戶操作錯誤。對用戶常見的誤操作有提示和屏蔽功能，如能有效避免日期的錄入錯誤或?qū)懭霟o效的日期。

（6）錯誤提示的準(zhǔn)確性。當(dāng)用戶操作錯誤或軟件發(fā)生錯誤時，能有準(zhǔn)確清晰的提示，使用戶知道造成錯誤的原因。

（7）錯誤不能導(dǎo)致系統(tǒng)異常退出。當(dāng)軟件發(fā)生一般錯誤時，或嚴(yán)重錯誤時，軟件能自動退出。

（8）輸入數(shù)據(jù)有效性檢查。當(dāng)用戶輸入的數(shù)據(jù)有錯時，軟件應(yīng)能判斷數(shù)據(jù)的有效性，避免無效數(shù)據(jù)的生成。

（9）異常情況的影響。在程序運行過程中出現(xiàn)掉電的情況時，數(shù)據(jù)和系統(tǒng)的受影響程度如何；若受損，能提供補(bǔ)救工具。

（10）網(wǎng)絡(luò)故障對系統(tǒng)的影響。當(dāng)網(wǎng)絡(luò)中斷連接時，不會造成數(shù)據(jù)的丟失。

4 響應(yīng)與恢復(fù)機(jī)制

建立一套響應(yīng)與恢復(fù)機(jī)制確保出現(xiàn)自然災(zāi)害、系統(tǒng)崩潰、網(wǎng)絡(luò)攻擊或硬件故障情況時能得以恢復(fù)?；謴?fù)系統(tǒng)應(yīng)該具備以下條件：支持大量存儲、支持異地備份與恢復(fù)、跨平臺的備份能力、支持多種存儲介質(zhì)和備份模式、支持自動恢復(fù)機(jī)制。

制定緊急事件的響應(yīng)預(yù)案，包括以下幾個方面：制定一個緊急響應(yīng)和報告流程、7×24小時緊急事件響應(yīng)服務(wù)措施、入侵分析；恢復(fù)破壞文件并消除非法文件的措施、恢復(fù)正常操作辦法、消除今后的入侵隱患的措施、對系統(tǒng)的安全進(jìn)行重新評估與系統(tǒng)加固方法等。

系統(tǒng)備份將對業(yè)務(wù)處理系統(tǒng)進(jìn)行異地備份，主要包括系統(tǒng)、數(shù)據(jù)、通信線路等。主機(jī)的操作系統(tǒng)、應(yīng)用系統(tǒng)及重要數(shù)據(jù)每周備份一次，保證可以隨時調(diào)用備份恢復(fù)系統(tǒng)；每條有線或者無線通信線路都必須有備份線路，保證物料出現(xiàn)任何情況，至少保證有一條通信通道暢通。