天津地震信息網絡系統的安全建設1

周利霞 王曉磊 楊 奕 劉 磊 丁 晶

?

天津地震信息網絡系統的安全建設

周利霞 王曉磊 楊 奕 劉 磊 丁 晶

（天津市地震局，天津 300201）

本文從當前網絡所面臨的安全問題出發，闡述了天津地震信息網絡系統所面臨的安全威脅，以及針對這些情況所進行的信息網絡系統的安全建設工作。文中詳細列舉了系統中使用的安全設備與應用情況，以及日常運行和維護管理中的措施要點，可為行業中網絡安全系統建設提供一定參考。

地震 信息 網絡 安全

引言

隨著信息化進程的深入和互聯網的迅速發展，人們的工作、學習和生活方式正在發生巨大變化，效率大為提高，信息資源也得到最大程度的共享。但在網絡給人們帶來巨大便利的同時，緊隨信息化發展而來的網絡安全問題也日漸突出（劉云華等，2011）。

網絡安全是永恒的話題，安全問題可以緩解但是不可能徹底解決。雖然當前網絡存在或多或少的安全問題，影響了用戶使用網絡的信心，但是隨著技術的進步以及管理手段的進一步跟進，網絡安全完全可以控制在可以接受的安全范圍之內（尹德錄等，2012）。

1 天津地震信息網絡系統概述

經過“十五”中國數字地震觀測網絡項目及“十一五”天津地震安全基礎工程項目的建設，天津市地震局已經建成了一套服務于轄區內的高速地震行業信息網絡系統，覆蓋了測震、強震、前兆、GPS、地震應急、信息服務、政務辦公、專業地震臺站、區縣地震辦公室等區域，接入各類設備與儀器近500臺套，成為天津市地震監測的基礎網絡系統（李剛等，2011）。實現了網絡到臺站、IP到儀器，提供了天津市地震數據的匯集、交換與存儲功能，面向行業、政府、公眾提供了地震數據共享及地震信息服務。既是天津市防震減災技術系統的通信平臺，又實現了與全國地震行業網的互聯互通。

2 天津地震信息網絡系統面臨的安全威脅

目前天津地震信息網絡系統所面臨的安全威脅歸結起來主要有以下三個方面：一是人為的無意失誤，操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。二是人為的惡意攻擊，這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一種是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。三是網絡軟件的漏洞和后門，網絡軟件的漏洞和缺陷是黑客進行攻擊的首選目標，很多黑客攻入網絡內部的事件就是因為安全措施不完善引起的。軟件的后門是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦后門洞開，其造成的后果將不堪設想。

3 天津地震信息網絡系統的安全建設

在天津“十一五”地震安全基礎工程的建設中，網絡中心服務器、存儲都采取了集中統一管理，為業務、政務、門戶網站提供了支撐，因此天津地震信息網絡系統在安全建設中采用硬件防火墻、入侵防御、漏洞掃描、網絡防病毒、端點準入防御、網頁防篡改、SSL VPN等系統來增加網絡的安全性，劃分不同的安全域，分類保護不同的信息資源。網絡安全系統由網絡中心統一設計和實施，但每個業務中心都必須建設相應的網絡安全措施，互相協作。圖1為天津地震信息網絡安全系統結構示意圖。

3.1 防火墻系統

防火墻通過制定和實施嚴格的安全策略實現內部信息網絡或內部網絡不同安全域之間的隔離與訪問控制；實現單向或雙向控制，對一些高層協議實現較細粒度的訪問控制。防止非系統內的非法侵入、過濾不安全服務；隔離各個子網對上級網絡、各個同級子網之間的非法訪問和操作。

由于天津地震信息網絡系統已實現外網100M出口，內網1000M交換的能力，因此采用了1臺千兆防火墻實現安全控制與管理，除公網出口、業務DMZ區外，還在防火墻中實現了業務網與政務網的安全控制，分別設置政務網DMZ區、政務網內網區等，同時此防火墻具備VPN接入功能。

3.2 入侵防御系統

入侵防御系統幫助信息系統對付網絡攻擊，擴展系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高信息安全基礎結構的完整性。

在內部網絡核心交換機與外網防火墻間部署入侵防御系統（IPS），實時地識別和盡可能地阻止來自網絡內部或者外部攻擊者的未經授權使用、誤用以及對計算機系統的濫用等。

天津地震信息網絡系統部署了1臺綠盟網絡型入侵防御系統，實現對各種入侵行為的監控、監督與控制。在入侵防御系統日志中心，可以查看到系統的實時運行情況及各類事件日志。

3.3 漏洞掃描系統

網絡漏洞掃描是做好安全防護的第一步，其作用是在黑客攻擊之前，找出網絡中存在的漏洞，防患于未然。網絡漏洞掃描器側重發生安全事故前，通過模擬黑客的進攻方法，對被檢系統進行安全漏洞和隱患掃描并提交風險評估報告，最大限度地暴露了現存網絡系統中存在的安全隱患，配合行之有效的整改措施，可以將網絡系統的運行風險降至最低。

天津地震信息網絡系統部署了1臺綠盟專業的漏洞掃描器，定期對全網重點、高風險網段進行漏洞掃描，并根據結果進行相應的漏洞封堵，提高系統的整體安全性。

3.4 網絡防病毒系統

天津地震信息網絡系統中建立了趨勢網絡版防病毒系統和瑞星網絡版防病毒系統，分別用于對服務器和用戶計算機建立分離的病毒防護功能，使整網具備20臺Windows服務器、40臺Linux服務器和250臺天津地震局終端的整體病毒防護功能。

3.5 網頁防篡改系統

天津地震信息網絡系統部署了兩套防篡改系統，分別用于門戶網站（政務）和地震信息網的安全防護。防篡改要求為內嵌式系統，具備數據水印、應用防護等技術，系統要具備杜絕非法網頁被訪問，杜絕利用腳本進行注入式攻擊。

3.6 SSL VPN系統

天津地震信息網絡系統部署了1臺網御神州SSL VPN3600，安裝于網絡中心出口處。通過SSL VPN可以實現外網對內網的安全訪問，如內部FTP、虛擬門戶、政務OA等。

3.7 上網行為管理系統

天津市地震局在行業網出口、互聯網出口各部署了一套網康上網行為管理系統，可以實時掌握與分析出口流量信息。它通過完善的“網頁過濾”、“應用控制”、“帶寬管理”、“內容審計”等功能，提升工作效率、降低安全威脅、杜絕帶寬濫用、增強信息安全。

3.8 網絡綜合管理平臺

信息網絡安全管理系統的建設目標是：建設一個一體化和開放性平臺。一體化就是將多家不同類型的安全產品整合到一起，進行統一的管理配置和監控。開放性就是提供標準的接口，使第三方產品很容易地整合到系統中。

天津地震信息網絡系統部署了H3C的iMC管理中心，可對網絡系統、網絡安全設備以及主要應用系統實施統一的安全策略、集中管理、集中審計，并通過網絡安全設備間的互動，充分發揮網絡安全防護系統的整體效能（表1）。

表1 天津市地震局網絡環境中的設備分類情況

4 應用效果與運維說明

自從天津地震信息網絡的安全設備部署以來，系統未出現過重大網絡安全事故，較好地保證了全局網絡系統安全穩定運行。

瑞星網絡版防病毒系統是天津市地震局在2003年就進行安裝部署的統一安全防護系統，在近年來重大的計算機、網絡病毒防護中，發揮了重要作用。如2001年的尼木達、2007年的熊貓燒香等病毒，都沒有對計算機網絡系統造成破壞。

上網行為管理系統的部署應用，使天津市地震局的網絡管理員可以實時了解出口流量信息，對于某些計算機用戶的不規范操作與網絡應用，可以實時進行封堵或限制。特別是在地震應急期間，可以通過預設策略，對于特定應用進行關閉，保證地震應急期間的網絡應用帶寬。圖2為流量監控圖。

SSL VPN是“十一五”期間建設的安全系統，通過此系統將天津市地震局協同辦公系統實現了對外服務，使注冊用戶在有網絡的地方，就可以安全的訪問內部信息系統，提升了信息化系統的服務能力。圖3為通過SSL VPN訪問內網FTP。

有了好的安全系統只是網絡安全的硬件環境滿足了要求，在日常運行和維護管理中更要注重良好的安全管理制度與保障措施，在工作中主要有以下幾項要求：

（1）網絡值班員每天要檢查安全設備與系統的運行狀態，包括機房設備巡檢與系統登錄檢查，防止系統故障引起整體安全水平下降。

（2）對于防病毒系統、IPS系統、漏洞掃描系統、上網行為管理系統，定期檢查系統安全信息庫的更新，修補與發布各類安全信息，強制下線不安全的個人主機，安全問題修復后再申請接入。

（3）及時了解各類網絡安全信息，在重大安全漏洞出現時，提醒全網用戶進行及時修補，從網絡中心的重點位置防御擴展到全網用戶共同防御。

（4）做好可預見事件的應對措施，如在上網行為管理中，設置好地震應急期間的流量管控策略，在應急事件發生后，可快速凈化網絡流量，提高應急響應能力。

上述這些措施的實施，較好地保證了日常網絡安全管理中出現的問題。

5 結語

隨著互聯網的飛速發展，信息網絡的安全問題也越來越受到人們的關注，地震信息網絡由于其特殊性及重要性，更加備受關注。天津市地震信息網絡系統的安全建設，可基本保證系統的安全。但是許多網絡安全事件的發生都與缺乏安全防范意識有關，所以加強網絡安全管理、制定有效的規章制度，加強信息網絡工作人員安全防范意識，提高人員的安全素質，將能從管理方面進一步提高網絡安全。

致謝：本文得到了中心主任李剛的大力支持，在此表示感謝！

劉云華，劉治，單新建等，2011. 地震信息網自適應網絡安全技術模型研究. 地震研究，34（1）：96—101.

李剛，周利霞，王曉磊等，2011. 開源網管系統在地震監測網絡中的應用. 西北地震學報，33（4）：380—385.

尹德錄，單德華，王中，吳娟，2012. 地震信息網絡的安全運行與技術防范. 地震地磁觀測與研究，33（3/4）：308—312.

Safety Construction of Tianjin Seismic Information Network System

Zhou Lixia, Wang Xiaolei, Yang Yi, Liu Lei and Ding Jing

（Earthquake Administration of Tianjin Municipality, Tianjin 300201, China）

For the security problems of current Internet, we discuss the security threats that Tianjin Seismic Information Network System may be faced with, and also describe the information network security countermeasures based on this situation. In this paper we demonstrate the secure equipments and theirs application situations in system, and point out the main measures in daily operation management in detail. Our practice may provide certain reference for network security system construction in the industry.

Earthquake; Information; Network; Safety

天津“十一五”地震安全基礎工程——地震局網絡中心建設分項

2013-02-28

周利霞，女，生于1978年。工程師。主要從事地震信息網絡運行管理與維護工作。E-mail：zhoulixia@tjdzj.com

周利霞，王曉磊，楊奕，劉磊，丁晶，2013.，天津地震信息網絡系統的安全建設，8（3）：334—339.