張孝峰，樊江偉

（煙臺市氣象局，山東煙臺 264000）

計算機網(wǎng)絡(luò)是氣象業(yè)務(wù)發(fā)展的重要支撐，它在現(xiàn)代化氣象業(yè)務(wù)中的運用也日益增多，網(wǎng)絡(luò)安全系統(tǒng)的架構(gòu)也變得更加復(fù)雜。網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運行是確保氣象業(yè)務(wù)高效開展的先決條件，網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全設(shè)備確保網(wǎng)絡(luò)系統(tǒng)安全暢通則是網(wǎng)絡(luò)運行過程中的重點。

在氣象業(yè)務(wù)日益擴展的今天，在安全可靠運行的同時，還需要較高的業(yè)務(wù)數(shù)據(jù)處理和傳輸能力，所以為了確保整個系統(tǒng)能夠長期安全穩(wěn)定地運行，必須在三大系統(tǒng)（網(wǎng)絡(luò)的脆弱性、網(wǎng)絡(luò)稽核、反侵入）方面進行研究與開發(fā)，構(gòu)建全方位、多層次的網(wǎng)絡(luò)安全防護系統(tǒng)，以提升氣象網(wǎng)絡(luò)安全服務(wù)的性能，確保通信安全與順暢，服務(wù)氣象業(yè)務(wù)。

1 氣象網(wǎng)絡(luò)安全概述

在目前的網(wǎng)絡(luò)化情況下，中央數(shù)據(jù)中心主要包括數(shù)據(jù)中心區(qū)、氣象信息處理區(qū)、云計算區(qū)和下屬辦公區(qū)域。廣域網(wǎng)包括了全國總訪問區(qū)、省局局網(wǎng)、外地局訪問區(qū)。在內(nèi)部網(wǎng)與廣域網(wǎng)間建立了一道防火墻，在因特網(wǎng)與城市廣域網(wǎng)間加入了防御系統(tǒng)（Intrusion Prevention Systems，IPS），在因特網(wǎng)上進行了數(shù)據(jù)傳輸，形成了一個簡易的信息網(wǎng)安全機制。

在全國范圍內(nèi)，以全國和省際的數(shù)據(jù)中心為主要的保護措施，以地方和省市的廣域網(wǎng)和各省的數(shù)據(jù)中心為輔助，在全國和各省之間設(shè)置2 層防火墻。通過HA（High Availability Cluster，高可用集群）的形式進行熱備冗余處理，從配置來看，根據(jù)中國氣象局的統(tǒng)一管理要求，省局接入全國局的接入及其他省局和其他相關(guān)的系統(tǒng)的出口，根據(jù)各省市的實際情況，實現(xiàn)“地區(qū)—地區(qū)”或“點對點”的設(shè)置。在地市廣域網(wǎng)和省級數(shù)據(jù)中心間布設(shè)2 道防火墻，采用HA 的形式進行熱備冗余。

2 網(wǎng)絡(luò)安全及相應(yīng)技術(shù)

2.1 身份識別

身份識別是一種對雙方進行身份認證的高效手段。在向系統(tǒng)提交業(yè)務(wù)的時候，必須輸入使用者ID、密碼等相關(guān)的資料，并且還要求提供驗證用戶的證件。在系統(tǒng)安全中，身份識別是最為關(guān)鍵的一項功能。

2.2 存取權(quán)限的控制

阻止非法用戶訪問系統(tǒng)，阻止合法用戶非法利用系統(tǒng)資源，是存取控制中最根本的工作。開放系統(tǒng)下網(wǎng)絡(luò)資源的利用要制定相關(guān)的條款，也就是要確認什么用戶能夠獲取什么資源，并界定可獲取用戶所擁有的各自權(quán)限等，這也是當(dāng)前存取權(quán)限控制工作的重點[1]。

2.3 數(shù)字簽名

使用諸如RSA（Rivest Shamir Adleman，非對稱加密）之類的公鑰來對該消息（也就是一個簽署）設(shè)置密碼，而該消息的接收者使用該信息傳送者的公共鑰匙來對該簽署的消息進行解密，以確認該傳輸者的身份。

2.4 密鑰管理

信息加密是確保信息安全的一種重要手段。用密文的形式在一個比較安全的通道中進行信息傳遞能使用戶安心上網(wǎng)。若密鑰泄露或者黑客通過累積大量密文來提高密文被破解的概率，都可能給通信安全帶來威脅。所以，將密鑰管理機制引入到密鑰的生成、存儲、傳輸及定期更換等過程中加以有效控制，對于提高網(wǎng)絡(luò)安全性與抗攻擊性同樣具有十分重要的意義[2]。

3 安全設(shè)計與實現(xiàn)的具體措施

3.1 對操作系統(tǒng)進行優(yōu)化配置

黑客侵入系統(tǒng)時通常都是針對操作系統(tǒng)自身的不足和漏洞，對操作系統(tǒng)采取的防護措施之一是對補丁程序進行及時和持續(xù)的更新，只要有正版操作系統(tǒng)，通?？梢栽谄涔俜骄W(wǎng)站上進行補丁升級。同時某些違規(guī)補丁下載鏈接也可能讓用戶不自覺地被各類惡意軟件侵入，因此下載補丁時一定要選擇正規(guī)的網(wǎng)站。

另外，還應(yīng)該加強對操作系統(tǒng)用戶權(quán)限的管理，嚴禁游客賬號登錄，在增加訪問權(quán)限的前提下，對匿名用戶的訪問進行限制，嚴禁遠程端口的用戶從服務(wù)器中非法獲取數(shù)據(jù)信息[3]。

3.2 將虛擬局域網(wǎng)技術(shù)運用于網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化

從網(wǎng)絡(luò)安全角度考慮，煙臺市氣象局內(nèi)部各部門首先被規(guī)劃為不同虛擬局域網(wǎng)（Virtual Local Area Network，VLAN），利用路由器把每個縣站劃分為不同子網(wǎng)。利用中國氣象局新增IP 地址段對VLAN 進行分區(qū)，并可在已有邊緣交換機中進行VLAN 分割。根據(jù)VLAN 的特點，一個VLAN 廣播與單播流量都不會轉(zhuǎn)發(fā)給另一個VLAN，這樣有利于控制流量、降低設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性[4]。

在核心開關(guān)和邊沿開關(guān)中的每一個訪問點執(zhí)行一個訪問限制，并執(zhí)行一個靜態(tài)的列表。通過使用路由器的各種安全特性，建立更加安全可靠的網(wǎng)絡(luò)。

3.3 應(yīng)用網(wǎng)絡(luò)版殺毒軟件實時監(jiān)控網(wǎng)絡(luò)終端系統(tǒng)狀態(tài)

殺毒軟件作為目前最流行的安全技術(shù)方案之一，主要作用就是殺毒。目前的局域網(wǎng)采用的是賽門鐵克的在線病毒系統(tǒng)，通過對所有的病毒進行更新、對所有的病毒進行全面的更新、對所有的病毒進行實時的更新、對所有的用戶進行實時的病毒監(jiān)測，尤其是對不同客戶的軟件進行在線檢查，為網(wǎng)絡(luò)的管理者們監(jiān)控各終端的狀況提供了一個非常好的途徑。加強對網(wǎng)絡(luò)的監(jiān)控，保證每個終端病毒庫的實時更新，提前排除網(wǎng)絡(luò)病毒大爆發(fā)的隱患[5]。

3.4 明確網(wǎng)絡(luò)邊界，部署防火墻加強邊界防護

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對2 個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。在氣象部門的內(nèi)部一般存在著區(qū)縣級網(wǎng)絡(luò)、地市級網(wǎng)絡(luò)、省市級網(wǎng)絡(luò)等，如圖1 所示，各個網(wǎng)絡(luò)間需要互訪，在各網(wǎng)絡(luò)邊界部署邊界防火墻，使之成為一道防御屏障，通過合理正確的配置，可以阻止有安全風(fēng)險通信數(shù)據(jù)的滲透。

圖1 氣象部門防火墻部署

部署防火墻必須配置有效的安全訪問控制策略，否則防火墻形同虛設(shè)，訪問控制技術(shù)用于防止非法用戶訪問網(wǎng)絡(luò)，去獲取和使用網(wǎng)絡(luò)資源，訪問控制主要有自主訪問控制、強制訪問控制和基于角色訪問控制3 種類型；在氣象部門內(nèi)部應(yīng)嚴格制定各級用戶訪問權(quán)限，同時限定封堵高危端口，將網(wǎng)絡(luò)安全風(fēng)險限定在有限的網(wǎng)絡(luò)區(qū)內(nèi)，提高全網(wǎng)的安全性。

3.5 進行脆弱性檢查，及時更新漏洞補丁

網(wǎng)絡(luò)安全脆弱性是指計算機或網(wǎng)絡(luò)系統(tǒng)在硬件、軟件、協(xié)議設(shè)計和實現(xiàn)、系統(tǒng)采取的安全策略存在的不足和缺陷，利用基于網(wǎng)絡(luò)的安全掃描，及時發(fā)現(xiàn)服務(wù)器、終端、交換機、防火墻等設(shè)備的安全漏洞。

日志審計對可能存在的潛在攻擊者起到威懾和警示作用，核心是風(fēng)險評估。測試系統(tǒng)的控制情況，及時進行調(diào)整，保證與安全策略和操作規(guī)程協(xié)調(diào)一致。對已出現(xiàn)的破壞事件，做出評估并提供有效的災(zāi)難恢復(fù)和追究責(zé)任的依據(jù)。對系統(tǒng)控制、安全策略與規(guī)程中的變更進行評價和反饋，以便修訂決策和部署。協(xié)助系統(tǒng)管理員及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)入侵或潛在的系統(tǒng)漏洞及隱患。

結(jié)合氣象部門網(wǎng)絡(luò)實際情況，縣級氣象部門網(wǎng)絡(luò)規(guī)模相對較小，市、縣兩級網(wǎng)絡(luò)大多通過租用電線運營商的專線互聯(lián)，在每個縣級全部部署網(wǎng)絡(luò)安全設(shè)備，將造成極大浪費，也不利于集約化管理。同時縣級氣象部門人員相對較少，針對這一現(xiàn)實情況，可在市級網(wǎng)絡(luò)中部署網(wǎng)絡(luò)安全態(tài)勢感知設(shè)備、脆弱掃描設(shè)備、日志審計設(shè)備及基于網(wǎng)絡(luò)的殺毒軟件并提供統(tǒng)一的漏洞補丁庫。網(wǎng)絡(luò)安全脆弱性檢查如圖2 所示。

圖2 網(wǎng)絡(luò)安全脆弱性檢查

4 煙臺市氣象局網(wǎng)絡(luò)安全技術(shù)體系

4.1 防火墻

防火墻裝設(shè)于受保護內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接點，是為了保護網(wǎng)絡(luò)邊界安全，并依據(jù)設(shè)置合適的網(wǎng)絡(luò)訪問策略及過濾規(guī)則列表而設(shè)計的一種主要方法，來確定哪些內(nèi)部服務(wù)允許（禁止）外部訪問、哪些外部服務(wù)允許（禁止）內(nèi)部訪問，或者其他特定的活動，視為訪問控制機制之一。防火墻技術(shù)作為一種遏制攻擊技術(shù)，它在阻止外界攻擊及非法接入的情況下，對脫離安全域信息進行安全防護，以達到對內(nèi)部網(wǎng)絡(luò)防護的效果。局氣象專網(wǎng)布放2 臺防火墻以互為備份的態(tài)勢，網(wǎng)絡(luò)布放安全路由器和1 臺防火墻需另布放1 臺安全路由器以作備份的態(tài)勢。

4.2 漏洞掃描

氣象專網(wǎng)布設(shè)漏洞掃描設(shè)備1 臺，網(wǎng)絡(luò)管理員采用掃描等方式檢測指定遠程目標主機或者本地計算機系統(tǒng)網(wǎng)絡(luò)安全，掌握目標主機的網(wǎng)絡(luò)安全設(shè)置及運行環(huán)境，發(fā)現(xiàn)可用漏洞并評估掃描結(jié)果及修補漏洞。發(fā)揮主動防范功能，有效規(guī)避黑客攻擊，進一步保證系統(tǒng)網(wǎng)絡(luò)環(huán)境的安全性。

4.3 上網(wǎng)行為管理

將上網(wǎng)行為管理設(shè)備部署到氣象局的互聯(lián)網(wǎng)中，以滿足對網(wǎng)絡(luò)行為的監(jiān)測、控制及管理的需求，并將該設(shè)備的子MAC（Media Access Control Address，媒體存取控制位址）地址捆綁到IP 地址中，每名用戶都對應(yīng)一個賬號。上網(wǎng)行為管理有效避免了有人非法接入和使用可上網(wǎng)網(wǎng)絡(luò)設(shè)備的情況，同時也解決了因私改IP 地址而引發(fā)IP 沖突的情況。上網(wǎng)行為管理設(shè)備為網(wǎng)民提供了檢測、篩選不良信息或者敏感文字，以及上網(wǎng)內(nèi)容記錄、內(nèi)容審查等服務(wù)，以期達到規(guī)范上網(wǎng)行為、杜絕網(wǎng)絡(luò)接入可能面臨法律風(fēng)險的目的。

5 結(jié)束語

現(xiàn)有網(wǎng)絡(luò)安全措施受資金和其他條件限制，并不是完美無缺的。網(wǎng)絡(luò)攻擊技術(shù)手段正在發(fā)展變化，病毒變種也層出不窮，嚴格來說，一切防范措施都是攻擊發(fā)生之后的補救。所以，在網(wǎng)絡(luò)安全維修中，對安全設(shè)施的及時更新是不可忽略的一項技術(shù)措施。而且，與已有網(wǎng)絡(luò)監(jiān)控系統(tǒng)和相應(yīng)控制措施的網(wǎng)管設(shè)備相比，其安全性保護的實時性和適用性差，以及對各終端的監(jiān)控性能仍然有一定的缺陷。所以，一切網(wǎng)絡(luò)安全之“安全”都只是相對而言。審查一個網(wǎng)絡(luò)系統(tǒng)的安全性，既要審查它的技術(shù)手段，又要評估針對它的網(wǎng)絡(luò)而采取措施的綜合性與可行性，其中包括人員素質(zhì)。所以，構(gòu)建安全的網(wǎng)絡(luò)環(huán)境需要在強化網(wǎng)絡(luò)安全設(shè)備配置的同時制定網(wǎng)絡(luò)安全管理條例來規(guī)范安全網(wǎng)絡(luò)的使用，不斷提升網(wǎng)管人員的素質(zhì)，只有這樣才能確保網(wǎng)絡(luò)安全。