山西大同中心地震臺信息網絡安全工作探討

蘇文亮

【摘 要】隨著現代社會互聯網技術的日新月異及Internet技術廣泛應用，計算機在各個社會的領域都發揮著積極的作用。對于山西大同中心地震臺來講，其自然而然無法逃避信息時代的巨大挑戰。本文就山西大同中心地震臺信息網絡的建設進行詳細的探討。

【關鍵詞】地震，網絡安全，防火墻，數據庫

【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158（2013）03-0146-02

1 引言

山西省大同中心地震臺地震信息網絡系統于2006年6月建成并開通。主要設備有浪潮服務器，華為路由器、交換機，光纖傳輸設備，UPS電源等。采用山西移動公司2MSDH專線，上聯山西省地震局區域網絡中心，下聯上皇莊前兆臺及轄區內9個測震臺站及兩個中國大陸構造環境監測網絡GNSS基準站的傳輸。該信息網絡系統自建成并開通運行以來總體情況良好，所屬的3個信息節點基礎設施運行正常，網絡通信平臺（上聯省局信道、下聯臺站信道）運行基本正常，網絡服務運行正常，未發生重大故障。

對網絡病毒進行了安全預警防范，時常檢查防病毒軟件的升級更新情況，確保網絡防病毒庫可以自動升級。嚴格執行臺站制定的有關地震信息網絡的規章制度，做好運行監控和網絡值班工作，定期巡檢機房安全情況、線路狀態、設備運行指示。對網絡運行設備進行分類管理，做好設備保養與維護、故障處理等工作。

由于對本地局域網辦公網段、業務網段的合理規劃和科學管理，確保了地震信息網絡的安全、穩定和健康地運行。

2 網絡安全概述

網絡安全是一門涉及計算機科學、信息安全技術、密碼技術、應用數學、數論、網絡技術、通信技術、信息論等多種學科的綜合性學科[1]。網絡安全是指網絡系統中的所有軟件和硬件以及系統中的所有數據都要受到嚴格的保護，不會被外界竊取、破壞和泄露，能夠保證系統持續可靠的運行，并且網絡服務不會被中斷。

隨著網絡社會時代和網絡經濟的到來，網絡將會無處不在。國家的經濟、文化、軍事和各個方面的社會活動將會強烈地依賴網絡，同時網絡作為重要基礎設施，其本身的可靠性和安全性也將成為社會各界共同關注的焦點問題。

網絡安全的本質定義就是網絡上的信息安全。從廣義的角度來講就是一切涉及到網絡上信息的保密性、真實性、可用性的相關技術理論知識都是網絡安全的研究范圍[2]。

山西大同中心地震臺信息網絡的管理和運行維護人員都希望能夠控制和保護好對本地網絡信息的訪問和相應的讀寫操作，從而能夠在最大的限度上防止被病毒感染、非法竊取和網絡被非法控制等等事件的發生，能夠有效的防止被黑客攻擊。

網絡系統的安全涉及運行平臺的各個方面。網絡安全模型有7層結構，按7層模型貫穿著整個OSI安全體系模型。

圖1表示了對應網絡系統網絡的安全體系層次模型：

鏈路層的安全主要是能夠保證對介質的訪問安全和鏈路上傳輸的數據能夠不被竊取和竊聽。

（3）網絡層的安全

網絡層的安全是能夠確保網絡只授權給相應的客戶進行訪問，將試圖繞過系統驗證訪問系統的客戶“拒之門外”。

（4）會話層的安全

會話層的安全主要是保證操作系統訪問控制的安全、客戶資料。

（5）應用平臺的安全

應用平臺的安全通常采用多種技術來增強應用平臺的安全性。主要的保護范圍包括系統數據庫服務器和系統中間層Web Service服務器。

（6）應用系統的安全

應用系統的安全是為了完成網絡系統的最終目的—為用戶服務。

3 目前所面臨的網絡安全威脅

山西大同中心地震臺信息網絡系統內主要運行的網絡協議為TCP/IP，而TCP/IP網絡協議并非專為安全通信而設計。保障計算機網絡安全，鑒于大同中心地震臺信息網絡系統現狀，需要在計算機網絡安全問題上再下功夫。包括：病毒、木馬及殺毒軟件的升級，可連接到互聯網的主機安全，涉黃、涉密的預防，避免網絡設備因受到攻擊或軟故障發生死機或其他重大故障，盡最大可能減少網絡中斷，杜絕網絡癱瘓現象的發生。

保護網絡設備的安全，要經常對供電、消防、避雷等設施進行檢查，排除存在的各種隱患。并協助移動公司維護人員巡檢鏈路設備，尤其是儀器設備之間的連接指示，包括光端設備、協議轉換設備、光纜及網線等。控制好機房的溫度和濕度，保證網絡暢通，降低故障率。

山西大同中心地震臺信息網絡系統可能存在的安全威脅還有以下方面幾個方面：

（1）物理層的安全威脅

物理層的安全威脅，主要來自對物理通路的損壞、物理通路的竊聽、對物理通路的攻擊（干擾等）、電磁輻射等，針對這類威脅主要依靠物理設備和線路的保護以及設備防電磁輻射技術來防范，建立完善的備份系統。

由于管理局主要的系統設備都不是低輻射設備同時也沒有建立屏蔽間來放置這些設備，局網內大部分線路使用的是非屏蔽5類雙絞線，廣域網則是PVC線路，因此管理局的網絡系統缺乏有效的防電磁輻射措施。

（2）網絡層的安全威脅

網絡層的安全需要保證網絡只給授權的客戶使用授權的服務，保證網絡路由正確，避免被攔截或竊聽，對于這類威脅，主要依靠采用訪問控制、網絡信息檢測和監控的手段來防范、劃分VLAN（局域網）、加密通訊（廣域網）等手段來進行防范。

在廣域網與管理局內部局網之間缺乏有效的網絡邊界保護措施和集中的訪問控制措施。

缺乏完善的網絡事件日志審記措施。缺乏有效的網絡監控與入侵防范措施。采用的TCP/IP協議族，本身缺乏安全性。在通訊中未采取加密措施和嚴格的認證機制，信息容易被截取或竊聽。

（3）操作系統和數據庫管理系統的安全威脅

目前流行的許多操作系統和數據庫管理系統均存在安全漏洞，同時它們本身的安全強度也屬于非安全的C2級，如UNIX服務器、NT服務器及基于Windows 的桌面平臺、ORACLE、SQL SERVER等；對付這類的安全威脅最好采用安全的操作系統和安全數據庫管理系統，但是目前基本還沒有用于商業的安全操作系統和安全數據庫管理系統或這類產品本身的功能還不完善。因此就有必要采取其它手段加強這方面的安全性能，目前對付這類的安全威脅的較為有效的手段是：系統漏洞檢測、打補丁、升級等。