氣象系統終端安全防護國產化趨勢與分析

摘 要：氣象系統業務終端作為預報和技術人員日常應用最多的工具，其運行的穩定和安全關系到氣象業務的正常開展和進行。現階段，各氣象業務單位終端安全防護系統均為國外產品，安全性存在一定的不確定性；棱鏡門事件后，有關單位紛紛加快終端安全產品更換為國產同類產品的進程，同時國外產品在氣象系統日常應用中也存在一些不足，在虛擬化平臺和氣象云建設不斷加快的背景下也需要新的安全系統進行支持； 因此，引入一款管理方便、用戶體驗好、能夠適應氣象系統未來發展的同類產品來替代現有國外產品成為亟待解決的問題。本文以氣象系統各業務單位安全終端防護產品性能和防護能力為基礎，通過梳理和分析不同用戶的實際需要、安全終端部署難度、虛擬化平臺和氣象云防護等方面的需求以及國產同類產品的功能和氣象系統未來發展以及統一運維的需要，為后續氣象系統終端安全防護國產化的試點和未來建設提供有力的理論和數據基礎。

關鍵詞：終端安全、安全準入、虛擬化行

引言

氣象系統終端防護軟件作為保護終端用戶的最后一道屏障，為終端用戶提供安全防護、接入用戶身份驗證、安全風險定位等服務，為氣象業務骨干網絡的正常運行和業務開展起到重要的保證作用。隨著氣象系統無線網絡覆蓋范圍的不斷擴大和移動辦公系統的部署，越來越多的移動終端設備通過無線網絡接入內部辦公網絡，同時氣象系統虛擬化平臺和氣象云的建設也需要配套的終端安全防護系統提供必要的支持和防護，同時科學化的管理和統一運維也對終端安全管理系統提出了新的要求。綜上，現有的終端安全防護產品在功能上已經無法滿足現階段和未來的發展要求；同時考慮到國外產品存在的風險性和不確定性，參考其他部委的建設經驗，應加快安全終端產品的國產化的建設進程。

本文以氣象系統各單位終端以及移動終端用戶需求為基礎，同時將部署難度、氣象云桌面和虛擬化平臺需求等納入考量范圍，在明確基本需求后將符合基本要求的國內同類產品進行比較和測試，為氣象系統終端安全產品國產化提供選擇依據。

一、終端安全防護技術概述

1. 安全準入控制

安全準入控制是通過對終端標示信息進行審核、IP地址分類、MAC地址黑白名單、秘鑰身份核實等方式，結合802.1X或WEB Portal協議進行身份識別，杜絕非法入侵和接入行為。通過運行安全準入控制系統，只要終端設備試圖連接網絡，網絡訪問設備（LAN、WAN、無線或遠程訪問設備）都將自動申請已安裝的客戶端或評估工具提供終端設備的安全資料。隨后將這些資料信息與網絡安全策略進行比較，并根據設備對這個策略的符合水平來決定如何處理網絡訪問請求。網絡可以簡單地準許或拒絕訪問，也可通過將設備重新定向到某個網段來限制網絡訪問，從而避免暴露給潛在的安全漏洞。此外，網絡還能隔離的設備，它將不符合策略的設備重新定向到修補服務器中，以便通過組件更新使設備達到策略符合水平。

2. 文件可信度評級

文件可行度評級是通過已收集的文件MD5值等信息，將其反饋給信息安全防護企業的私有云進行分析和檢測，并與已知安全風險文件進行比較，根據提前制定的安全標準，確定此文件的安全級別，從而在一定程度上減少對傳統病毒庫和沙箱等技術的依賴，提高終端安全防護系統的運行效率和防護能力。

3. 虛擬化技術下的安全防護

虛擬化技術是一種資源管理技術，是將計算機的各種實體資源，如服務器、網絡、內存及存儲等，予以抽象、轉換后呈現出來，打破實體結構間的不可切割的障礙，使用戶可以比原本的組態更好的方式來應用這些資源。

安全終端系統在虛擬化平臺常見的部署方式為無代理模式、輕代理模式和全代理模式，三種部署方式優缺點如下：

二、現有終端安全產品概況及不足

氣象系統終端安全防護產品主要采用國外知名廠商較為成熟的解決方案，具備對終端設備進行安全性審核的能力。通過802.1X協議與接入層交換機進行聯動的機制，將存在風險的設備隔離在局域網之外；終端安全產品具備防病毒能力，對于各種常見病毒、蠕蟲、木馬等有較強的查殺和隔離能力；通過終端安全管理服務器，能夠對各終端設備的基本信息進行風險實時監測、安全事件統計、木馬病毒發現和清除告警、終端信息和數據推送等功能。

隨著氣象現代化的不斷推進，對終端安全防護系統有著新的要求：氣象系統集約化平臺的不斷建設和氣象系統云桌面的不斷推廣，越來越多的業務和終端服務設備向虛擬化平臺遷移，氣象云的試驗和推廣也需要提供必需的準入和防護措施，氣象系統無線網絡部署范圍的擴大以及移動辦公的推廣使得越來越多的移動終端設備通過無線網絡接入局域網中，這些終端設備的安全與準入監控也需要納入監控范圍，氣象系統行業軟件有其特殊性，需要終端安全防護系統能夠具有較強的兼容性。以上不斷增加的新需求和新環境，現有安全終端產品很多方面已經無法滿足，對于氣象系統的未來發展和氣象系統統一運維，不能提供有力的支持作用。

三、氣象系統終端安全產品需求與分析

通過現有終端安全防護系統的收集日志進行分析，同時結合有關單位的系統和資產統計信息以及氣象系統未來規劃，氣象系統對終端安全防護系統需求如下：第一，終端用戶操作系統多樣。目前氣象系統終端操作系統涵蓋Windows XP、Windows 7、Windows 8、Windows 10、MAC OS等桌面級操作系統，Windows Server、Linux、UNIX等服務器操作系統。第二，移動終端用戶種類眾多，通過無線網絡流控設備統計信息可知，通過無線網絡進行移動辦公的設備涵蓋筆記本電腦，手機、平板等移動設備，需要終端安全防護系統對各移動設備具有良好的兼容性。第三，氣象系統虛擬化平臺的建設和推廣，大量終端服務器和業務測試設備需要納入保護范圍，要求安全終端防護系統能夠支持主流虛擬化技術，兼容主流虛擬化軟硬件設備。第四，氣象云的建設推進，對辦公主機的依賴大幅減少，國產安全終端防護系統需要氣象云進行良好的兼容，實現與一般有線網絡以及無線網絡的統一的監控和管理。第五，氣象系統終端用戶機器配置差距較大，相當部分的辦公終端設備還維持在2007年主流配置水平，因此國產終端安全系統在靜默狀態下和全盤掃描狀態下，需要對CPU、內存等系統資源的占用較小，減小對用戶系統日常操作的影響。第六，氣象系統終端用戶使用微軟已經停止進行技術支持的Windows XP系統還很多，需要國產終端系統對此類用戶提供特殊的安全防護。第七，為方便將防護情況對外通報，國產終端安全管理系統需要具有豐富的報表功能，并具備相應的數據接口已進行二次開發和展示。

四、國產同類產品測試與分析

通過氣象系統對終端產品的需求，結合國內產品的技術成熟情況可知，360天擎、瑞星企業版、江民企業版、北信源等終端安全產品能夠基本滿足需求。

國產安全終端產品功能基本滿足氣象系統的各項需求，在一臺CPU為Pentium G630 2.7GHz、4GB DDR3 1333MHZ、Windows 7 SP1操作系統、1TB 7200轉緩存16MB機械式硬盤的臺式機的硬件條件下進行測試，每次實驗完成后對系統進行還原，保證測試環境的統一。各項具體測試如下：

開機時間測試，在有無終端防護安全系統的條件下，使用微軟性能測試工具Windows Performance Toolkit組件，用命令提示符運行xbootmgr -trace boot -resultPath C：＼xPerfResult –noPopups命令。xbootmgr 會自動重啟系統，重啟完成以后會等待120秒以便Explorer.EXE加載完成，然后自動把啟動時候的性能數據文件放到 C：＼xPerfResult 目錄下，取上述目錄中的性能數據通過腳本進行分析，得到系統開機時間結果如圖2所示。

系統占用測試，準備一批普通文件集合，包含PE和非PE等各種不同類型的文件，利用Windows系統自帶性能監視器perfmon.exe收集各國產安全終端主要工作進程的Process Time （CPU占用）、Working Set（物理內存）、Private Bytes（虛擬內存）等指標，描結束后分析此區間收集到的日志獲取數據。測試結果如圖3所示。

文件拷貝檢測測試，準備一批普通文件集合，包含PE和非PE等各種不同類型的文件，將這批文件復制粘貼到另一個目錄，使用系統時鐘記錄拷貝完所需的時間。拷貝的同時使用性能監視器perfmon.exe收集終端安全軟件主要工作進程的Process Time （CPU占用）、Working Set（物理內存）、Private Bytes（虛擬內存）等指標，掃描結束后分析此區間收集到的日志獲取數據。具體測試結果如圖4和圖5所示。

終端掃描和查殺情況，在提前準備好的83000個文件，涉及可執行文件、文檔、壓縮文件、腳本程序、加密文件、視頻文件、html文件等各類格式，其中包含1000個已知的不安全類文件，通過安全終端在可接入互聯網的條件下，進行測試，解釋結果如圖6和圖7所示。

氣象系統行業軟件檢測，氣象系統有較多的行業專用軟件，本次測試對Micaps等行業軟件進行掃描未出現錯誤提示和刪除。

五、總結和展望

本次分析和測試，對國產安全終端進行了較為詳細的分析，并結合氣象系統的實際情況和行業要求進行較為詳細測試。國產安全終端總體上滿足氣象系統對于安全終端類產品的基本需求，但也存在一定的不足，國產安全終端會對系統hosts文件的合理變更提示風險，對于不了解詳情的用戶點擊確認后，可能造成部分內部通信系統無法訪問；部分國產終端安全軟件管理端策略設置較為復雜，防護統計和報表功能不夠完善，提供二次開發衍生出較大的開發量等弊端。本次分析和測試為氣象系統終端安全防護國產化提供可信的基礎分析，為氣象現代化提供必要的保證和推動。