省級氣象廣域網絡通信安全策略

施蔚然，王笑

(福建省氣象信息中心，福建 福州 350001)

0 引言

省級氣象信息中心是全省氣象信息網絡的通信樞紐，通信網絡系統承載了全省氣象數據的傳輸、共享、預報服務以及辦公郵件等各項業務，隨著氣象業務的不斷發展和用戶需求的不斷增長，網絡流量越來越大，各種應用正在大量消耗有限的帶寬資源，網絡面臨的潛在威脅也越來越大，對信息網絡系統運維和管理的安全提出了更高的要求[1]。

在氣象廣域網絡系統的建設和安全策略的部署初期，主要依靠用戶數量和共享數據量對網絡帶寬使用情況的預估，進行安全策略部署和網絡性能優化，通過路由跟蹤和測試來驗證，無法全面了解網絡運行狀況，安全運維管理不夠科學。通過對網絡中主要的業務流量進行實時監測、統計和應用識別分析，全面掌握網絡的運行狀況，為網絡性能的優化和規劃設計提供科學依據，把網絡流量分析結果應用到網絡安全和策略管理，對氣象部門關鍵信息資產進行保護[2]，及時發現網絡中的異常事件，使網絡運維風險可控可管，提升網絡安全運維和管理的效率。

1 省級氣象通信網絡架構

全省氣象廣域網絡采用星形架構，省/市/縣均采用雙路由雙線路互為熱備，并實現業務自動切換，分別是MPLS VPN 線路和MSTP 線路，MSTP 線路主要承載視頻會商系統、辦公郵件、省級氣象業務Web 應用和部分數據傳輸業務[3]；MPLS VPN 線路主要承載數據下載、實景觀測、各類氣象數據共享和應用。全省IP用戶數量約500個，日共享數據量約7TB。

在省中心核心路由器和交換機上配置端口鏡像，采用智能旁路監聽技術，無需在應用服務器和用戶端安裝插件，將流量監測分析設備通過Probe（探針）口分別接入路由器和交換機，采集到全省氣象廣域網絡的數據傳輸、共享、視頻會商、辦公郵件系統等的網絡流量信息。省級氣象通信網絡架構示意圖，如圖1所示。

圖1 省級氣象通信網絡架構示意圖

2 網絡安全運維策略

2.1 帶寬擴容和優化

對全省氣象廣域網絡系統的線路運行狀況進行實時的集中監測，通過查詢、統計，幫助管理員全面直觀了解網絡使用情況，從實時監測和定期報表分析，獲得包括專線鏈路帶寬利用率、鏈路質量、用戶流量等信息。全省氣象寬帶網絡線路時延基本小于50ms，省-市帶寬利用率在各市存在較大差異。

MPLSVPN 線路主要承載數據共享，由于各地市的業務需求和用戶數量不同，帶寬利用率19%～90%，平均帶寬利用率＜50%；MSTP 線路主要承載視頻會商和辦公郵件業務，線路流量在每天的會商期間較大，帶寬利用率高達50%，其余時間則較為空閑，帶寬利用率5%～15%，平均帶寬利用率＜10%。

針對長期帶寬占用較大的地市，分析其活躍用戶和主要訪問的應用系統，通過減少重復數據的調用和帶寬提速，帶寬占用率明顯下降，達到預期的目的。針對MSTP 線路較為空閑的情況，在保障視頻會商和辦公郵件的帶寬QoS 后，通過在路由器上進行路由策略配置，遷移部分全省的數據傳輸和共享應用到MSTP 線路，同時相應進行QoS 保障，實現帶寬的有效利用和優化。

2.2 應用加速

MSTP 線路主要承載視頻會議系統、氣象業務平臺、和辦公郵件系統等關鍵業務，在省中心到各市局的MSTP線路部署應用加速設備，通過對應用的識別，采用緩存、優化、壓縮等技術，達到消減流量和提高帶寬利用率。從實時監測和定期報表分析，通過部署應用加速設備，辦公郵件和Web 等共享應用流量削減70%-80%，保障了關鍵業務系統的應用及服務質量。應用加速對流量的消減日統計，如圖2所示。

圖2 應用加速對流量的消減日統計

同時在MSTP 路由器出口進行了QoS 保障，參考當前寬帶網出口路由器QoS 設置，保證網絡優化設備帶寬管理策略與其協調一致，與路由器QoS 來共同對流量進行管理和控制，尤其是對視頻會議系統的帶寬保障，保證網絡資源的有效利用路由選擇，實現數據傳輸的完整性和安全性。

2.3 邊界安全防護策略

流量分析設備從應用層對網絡進行深入分析是網絡安全運維管理的重要基礎，通過網絡應用識別規則和關聯數據分析，掌握當前應用數據流量趨勢、為系統管理員提供可量化的應用系統性能分析數據。自動發現網絡中的未知端口流量，并分析其訪問的業務系統、目標服務器、活躍用戶以、連接數和服務端口等信息，防范網絡運維風險。從實時監測和定期報表分析，數據共享應用系統和辦公郵件系統的應用端口固定，例如提供全省數據共享下載的FTP21端口、氣象業務平臺Web 服務器的8080 端口以及省局綜合管理系統的80端口等。

在省級核心交換機和寬帶網邊界部署防火墻和IPS 設備，對各種網絡行為進行實時監測，在防火墻上配置相關的訪問控制，開啟相應端口的允許或拒絕服務，IPS 可以彌補防火墻相對靜態防御的不足[4]。梳理各業務系統的傳輸和共享應用服務端口，利用防火墻或IPS 內置的病毒特征庫，對應用層進行深層的流量識別和分析，及時發現各種異常事件和可能的攻擊企圖，并采取相應的防范措施，避免各種網絡入侵和網絡攻擊問題出現，實現網絡信息的有效安全防護。省中心網絡流量應用構成實時監測統計，如圖3所示。

圖3 省中心網絡流量應用構成實時監測統計

對于近年出現的WannaCry 勒索病毒，針對共享的445 端口的網絡攻擊，在防火墻上開放用戶正常的SMB（共享）訪問，對非正常的共享應用進行有效攔截。通過流量的實時監測和配置前后應用構成的對比查詢，驗證防火墻策略部署的風險防護機制。

2.4 應用負載均衡

從流量實時監測和報表統計分析，數據共享應用系統和辦公郵件系統日平均傳輸流量基本穩定，提供全省數據共享的服務器傳輸流量較大，省到各市氣象寬帶網MPLSVPN 傳輸流量差異較大，大約20GB～400GB/日不等，各地市平均200GB/日，全省日共享數據量約7TB，通過寬帶網共享約1～2TB，省級局域網共享約5TB。通過對傳輸數據包的實時監測，了解應用緩慢時網絡或應用的響應時間，以便進行故障排查或優化應用。

在用戶訪問流量較大的共享服務器集群部署應用負載均衡設備，將大量的Web 共享應用或FTP 共享按規則在集群中自動進行應用分擔，提高系統服務響應時效和服務質量，保障關鍵業務的服務安全穩定。

2.5 異常事件告警

通過智能流量分析，顯示異常事件，如TCP 重傳、連接關閉、連接失敗、ICMP 不可達等，查看網絡異常事件詳情，及時發現線路異常、流量異常、應用緩慢、系統中斷等節點故障，鎖定目的/源地址以及目的/源端口，更新相關設備操作系統補丁，關閉非正常應用端口的訪問權限，加強對共享端口的訪問審計。網絡異常事件詳情，如圖4所示。

圖4 網絡異常事件詳情

如已關閉非正常應用端口訪問權限的用戶出現無響應、連接失敗等異常事件，說明該用戶的安全防御有效；如網絡設備頻繁發起大量非正常應用端口訪問，說明該設備可能存在非授權行為或潛在的攻擊行為，便于技術人員快速鎖定并排除故障，使網絡事件可發現可追溯。

3 結束語

計算機網絡安全管理以策略為核心[2]，通過對通信網絡系統流量的實時監測、應用識別、統計和分析，根據鏈路質量、網絡負載、用戶行為，以及應用流量趨勢的數據統計報表，全面直觀掌握網絡帶寬使用情況、流量應用分布和網絡用戶行為，將統計和分析結果應用到通信網絡帶寬優化、應用加速、邊界安全防護策略和負載均衡等安全策略的部署[5]，及時發現和有效攔截異常網絡流量和攻擊行為，提升氣象通信網絡系統的服務質量和安全運維管理水平，保障氣象信息網絡系統的運行安全可靠。