重慶市氣象寬帶網絡安全體系研究

朱 君，王 浩，何 奇，蒲曉虎

(重慶市氣象信息與技術保障中心，重慶 401147)

0 引言

重慶市氣象寬帶網絡上行連接中國氣象局，下行連接34個區(縣)氣象局，是全國氣象寬帶網的重要組成部分[1-3]。隨著氣象信息化的發展，現代氣象觀測、預報和服務的大量數據完全依賴網絡進行交換和傳輸[4]，保障氣象部門網絡安全已經成為氣象部門正常開展各項業務工作的一項重要基礎條件[5]。隨著終端用戶安全事件和網絡攻擊行為的不斷增加，氣象網絡面臨的安全挑戰也越來越大[6-8]。在大數據時代網絡環境下，如何確保氣象信息數據的安全性和可靠性，構建完善的網絡安全體系已經成為亟需解決的重要問題[9-11]。

1 網絡通信線路

目前，重慶市氣象寬帶網絡通信線路主要由4部分組成，如圖1所示。重慶市氣象局作為全國氣象寬帶網絡國省主干網節點之一，通過中國電信MPLS VPN網狀網絡和MSTP星型網絡雙系統互為熱備份的方式與中國氣象局互聯；重慶市各區(縣)氣象局以星型網絡拓撲的形式連接重慶市氣象寬帶網絡，構建起重慶市氣象廣域網通信系統，并實現不同運營商的雙線接入；各外聯單位采用數據通信專線的方式接入重慶市氣象寬帶網絡進行數據交互；重慶市氣象寬帶網絡通過互聯網專線接入，實現全市氣象部門互聯網的實時訪問[12,13]。

圖1 通信線路連接

2 系統架構

信息系統根據其在國家安全、經濟建設和社會生活中的重要程度，以及遭到破壞后對國家安全、社會秩序、公共利益和其他組織的合法權益的危害程度等，安全等級由低到高劃分為5個等級。根據重慶市氣象寬帶網絡的業務現狀和實際情況，嚴格按照信息系統安全等級保護第3級的要求進行網絡安全體系的建設和應用，為各業務系統的安全、可靠、穩定運行提供了基礎保障。網絡安全體系由邊界防護體系、上網行為管理系統、網絡威脅發現系統、入侵防御系統、防病毒系統、應用防篡改系統、安全態勢感知系統、網絡安全審計系統和統一監控中心等組成。

2.1 邊界防護系統

根據多級、多域連接的現狀，對網絡進行了合理的區域劃分，與中國氣象局、各區(縣)氣象局、外聯單位和互聯網邊界均部署了防火墻進行隔離，并實現了端口級別的訪問控制；其中互聯網邊界防火墻采用了雙機堆疊的方式，與中國氣象局的邊界防火墻采用了雙機熱備的方式，增強了設備的容錯能力，提高了網絡運行效率，防止了重要節點的單點故障；從邏輯上隔離和阻斷了對內網具有潛在攻擊可能的一切網絡連接，使外部攻擊者無法直接入侵、攻擊或破壞內網，保障了內部網絡通信的安全。

2.2 上網行為管理系統

互聯網給業務發展帶來了極大的便利，同時，也帶來了網絡安全性、可靠性等諸多問題，如果缺乏有效的管理，將會給業務帶來各種風險，因此需要建立有效的上網行為管理系統。通過系統全面且靈活的策略配置，實現對用戶、終端、應用、內容、流量等上網行為的可視、可控管理，從而有效識別、管控網絡中與業務無關的應用；合理分配帶寬資源，提高帶寬利用率；進行多維度的靈活識別與權限控制，及時發現與控制非法網絡接入行為；同時記錄內網人員的上網軌跡作為追查依據，最終實現全市氣象部門上網行為的統一管控。

2.3 網絡威脅發現系統

網絡威脅發現系統提供基于網絡安全威脅的檢測和防御，網絡安全威脅的檢測基于網絡層攻擊、病毒攻擊和Web威脅郵件內容的攻擊，包括雙向傳送信息或從惡意的來源接收命令的隱藏型惡意軟件，識別違反安全策略、中斷網絡以及消耗大量帶寬或構成潛在安全威脅的未經授權應用程序和服務程序。

2.4 入侵防御系統

隨著網絡攻擊技術的不斷提高和網絡安全漏洞的不斷出現，入侵防御系統應運而生。入侵防御系統通過監控、分析網絡事件，深度感知并檢測網絡環境中的數據流量，對惡意流量直接丟棄以阻斷攻擊，對濫用流量進行限流以保護網絡帶寬資源。根據系統策略，對網絡中的流量進行深度檢測，一旦發現隱藏其中的網絡攻擊，可以根據該攻擊的威脅級別立即采取抵御措施，如向管理中心告警、丟棄該報文、切斷此次應用會話、切斷此次連接等，及時中斷、調整或隔離一些不正常或具有危害性的網絡安全行為。系統具有強大的分析與處理能力，可以保證網絡通信的質量；能夠對各種攻擊進行實時檢測與防御，具有多樣的訪問控制策略，在未授權的活動開始之前就可以發現其行為，避免其給網絡安全帶來威脅；可以阻斷所有的非法網絡流量，協助管理網絡資源，保障關鍵設施的穩定運行。

2.5 防病毒系統

隨著網絡的不斷發展，計算機病毒已經成為眾多行業建設IT系統時面臨的主要威脅之一，為了更好地保護網絡環境免受計算機病毒的侵擾，應部署專業級別的防計算機病毒系統。系統基于多核硬件體系架構，采用專業的反病毒引擎，集成了先進的多重掃描、檢測技術，可以從網絡層到應用層開展全面的計算機病毒查殺，對病毒加殼、壓縮、加密以及木馬、蠕蟲、惡意軟件等網絡威脅均可以快速、準確地發現與清除。

防病毒系統具有一對多的病毒規則庫，其系統引擎可以在秒級水平上掃描千萬病毒及其變種。當內網用戶發起互聯網鏈接時，系統可以通過策略對遠程的服務進行信譽查詢，對信譽級別不符合安全要求的立即阻斷。

2.6 應用防篡改系統

應用防篡改系統全面保護對外提供服務的應用系統，具有安全性、完備性、易用性、兼容性和可擴展性等特點，支持應用系統的篡改檢測與恢復、自動備份與發布、實時報警和跟蹤記錄等。在保證網絡通信傳輸、訪問權限控制、應用自身安全、重要內容備份等要求的同時，完全杜絕篡改應用系統被訪問的可能。通過進程級磁盤操作檢測，判斷企圖進行磁盤操作的進程合法性，進而實時阻斷非法進程對網站內容的篡改；通過事件觸發機制實現基于操作系統內核消息的觸發式文件變更檢測，實時清除被篡改的應用并進行報警與恢復。通過Web服務器核心內嵌技術，實現了將篡改檢測模塊內嵌于Web服務器系統內部；同時結合密碼技術，對訪問請求所涉及的網站文件進行內容與對應數字水印的比較，以確保非法網頁內容不被瀏覽。

2.7 安全態勢感知系統

安全態勢感知系統基于動態的、整體的網絡安全風險，以網絡安全大數據為基礎，全流量分析為核心，集檢測、預警、響應處置于一體，結合分析建模、UEBA、失陷主機檢測、圖關聯分析、機器學習、大數據關聯分析和可視化等技術，對全網流量實現業務可視化、威脅可視化、攻擊與可疑流量可視化等，在高級威脅入侵之后，可以在損失發生之前及時發現威脅。

安全態勢感知平臺可以與多種安全設備、產品實現對接，結合網絡安全攻擊趨勢、有效攻擊和業務資產脆弱性對全網絡的安全態勢進行整體評估；通過對失陷主機、終端的實時檢測和訪問關系的可視化快速發現網絡安全風險；對繞過邊界防御進入內網的攻擊行為實時進行檢測；對內部用戶、業務資產的異常行為進行持續檢測，發現潛在風險以降低可能的損失；對業務系統核心資產進行識別，梳理人員、業務與資產的訪問關系，一旦發現變更，及時部署安全策略，封堵安全隱患。

2.8 網絡安全審計系統

網絡安全審計系統針對業務環境中各用戶對網絡內的核心資產、服務器、業務系統進行的各項操作行為進行細粒度的合規性審計與管理，通過對用戶的網絡行為進行實時采集、記錄、解析和匯總，實現事前規劃預防、事中實時監視、違規行為響應、事后合規報告和事故追蹤溯源等功能，加強內外部網絡的行為監管，以保障核心資產，如業務系統、數據庫、服務器、網絡設備等的正常運行。

安全審計系統通過大數據技術支持海量日志下的異常行為分析與取證溯源；通過精細化的條件進行查詢，方便精確查詢歷史行為，并可對事件與會話進行關聯，便于分析；提供包括時間、客戶端IP和端口、服務端IP和端口、客戶端程序、操作關鍵內容、事件級別、業務用戶身份和資源賬號等信息的全面審計日志，對審計到的操作及時進行響應，以控制各種網絡訪問行為。

2.9 統一安全監控中心

目前針對業務系統運維操作與業務流程的合規性管理的技術措施大體可以分為兩類：一類是與賬戶相關的技術，包括主從賬戶管理技術、強身份認證技術、集中授權技術和單點登錄技術等；另一類是與日志相關的技術，包括本地日志與網絡日志的采集、泛化、存儲、展現、查詢等相關技術。統一安全監控中心融合用戶賬號管理、認證管理、授權管理和安全審計4要素，在內網服務器上部署控制中心，各服務器及信息終端部署代理客戶端并注冊到控制中心進行統一監管；通過控制中心連接現有防篡改系統、WSUS系統和防病毒系統等安全系統，實現實時聯動。

部署信息統一監控平臺，對網絡設備和應用系統實現賬號、授權、認證和審計的集中統一管理。基于“自然人賬戶—角色―資源賬戶”的集中賬戶管理、授權模型建設賬戶管理目錄與統一權限管理系統，在訪問過程中根據權限進行訪問控制；建設集多種強身份認證手段于一體的認證管理中心；實現對主從賬戶的同步管理以及密碼策略管理。

3 結束語

重慶市氣象寬帶網絡構建了由邊界防護系統、核心節點冗余系統、上網行為管理系統、網絡威脅發現系統、入侵防御系統、防病毒系統、應用防篡改系統、安全態勢感知系統、網絡安全審計系統和統一安全監控中心等組成的網絡安全體系，具備了一定的自主信息安全檢測能力。網絡安全體系的建設應用，為重慶市氣象局提供了安全可靠的網絡環境，提升了網絡傳輸的可靠性，提高了氣象觀測、預報和服務等氣象業務的有效服務能力，為氣象業務系統的穩定運行提供了強有力的支撐和保障。