煙臺市氣象局網絡安全系統的設計與實現

張孝峰，樊江偉

（煙臺市氣象局，山東煙臺 264000）

計算機網絡是氣象業務發展的重要支撐，它在現代化氣象業務中的運用也日益增多，網絡安全系統的架構也變得更加復雜。網絡系統的安全穩定運行是確保氣象業務高效開展的先決條件，網絡安全技術和網絡安全設備確保網絡系統安全暢通則是網絡運行過程中的重點。

在氣象業務日益擴展的今天，在安全可靠運行的同時，還需要較高的業務數據處理和傳輸能力，所以為了確保整個系統能夠長期安全穩定地運行，必須在三大系統（網絡的脆弱性、網絡稽核、反侵入）方面進行研究與開發，構建全方位、多層次的網絡安全防護系統，以提升氣象網絡安全服務的性能，確保通信安全與順暢，服務氣象業務。

1 氣象網絡安全概述

在目前的網絡化情況下，中央數據中心主要包括數據中心區、氣象信息處理區、云計算區和下屬辦公區域。廣域網包括了全國總訪問區、省局局網、外地局訪問區。在內部網與廣域網間建立了一道防火墻，在因特網與城市廣域網間加入了防御系統（Intrusion Prevention Systems，IPS），在因特網上進行了數據傳輸，形成了一個簡易的信息網安全機制。

在全國范圍內，以全國和省際的數據中心為主要的保護措施，以地方和省市的廣域網和各省的數據中心為輔助，在全國和各省之間設置2 層防火墻。通過HA（High Availability Cluster，高可用集群）的形式進行熱備冗余處理，從配置來看，根據中國氣象局的統一管理要求，省局接入全國局的接入及其他省局和其他相關的系統的出口，根據各省市的實際情況，實現“地區—地區”或“點對點”的設置。在地市廣域網和省級數據中心間布設2 道防火墻，采用HA 的形式進行熱備冗余。

2 網絡安全及相應技術

2.1 身份識別

身份識別是一種對雙方進行身份認證的高效手段。在向系統提交業務的時候，必須輸入使用者ID、密碼等相關的資料，并且還要求提供驗證用戶的證件。在系統安全中，身份識別是最為關鍵的一項功能。

2.2 存取權限的控制

阻止非法用戶訪問系統，阻止合法用戶非法利用系統資源，是存取控制中最根本的工作。開放系統下網絡資源的利用要制定相關的條款，也就是要確認什么用戶能夠獲取什么資源，并界定可獲取用戶所擁有的各自權限等，這也是當前存取權限控制工作的重點[1]。

2.3 數字簽名

使用諸如RSA（Rivest Shamir Adleman，非對稱加密）之類的公鑰來對該消息（也就是一個簽署）設置密碼，而該消息的接收者使用該信息傳送者的公共鑰匙來對該簽署的消息進行解密，以確認該傳輸者的身份。

2.4 密鑰管理

信息加密是確保信息安全的一種重要手段。用密文的形式在一個比較安全的通道中進行信息傳遞能使用戶安心上網。若密鑰泄露或者黑客通過累積大量密文來提高密文被破解的概率，都可能給通信安全帶來威脅。所以，將密鑰管理機制引入到密鑰的生成、存儲、傳輸及定期更換等過程中加以有效控制，對于提高網絡安全性與抗攻擊性同樣具有十分重要的意義[2]。

3 安全設計與實現的具體措施

3.1 對操作系統進行優化配置

黑客侵入系統時通常都是針對操作系統自身的不足和漏洞，對操作系統采取的防護措施之一是對補丁程序進行及時和持續的更新，只要有正版操作系統，通常可以在其官方網站上進行補丁升級。同時某些違規補丁下載鏈接也可能讓用戶不自覺地被各類惡意軟件侵入，因此下載補丁時一定要選擇正規的網站。

另外，還應該加強對操作系統用戶權限的管理，嚴禁游客賬號登錄，在增加訪問權限的前提下，對匿名用戶的訪問進行限制，嚴禁遠程端口的用戶從服務器中非法獲取數據信息[3]。

3.2 將虛擬局域網技術運用于網絡結構的優化

從網絡安全角度考慮，煙臺市氣象局內部各部門首先被規劃為不同虛擬局域網（Virtual Local Area Network，VLAN），利用路由器把每個縣站劃分為不同子網。利用中國氣象局新增IP 地址段對VLAN 進行分區，并可在已有邊緣交換機中進行VLAN 分割。根據VLAN 的特點，一個VLAN 廣播與單播流量都不會轉發給另一個VLAN，這樣有利于控制流量、降低設備投資、簡化網絡管理、提高網絡的安全性[4]。

在核心開關和邊沿開關中的每一個訪問點執行一個訪問限制，并執行一個靜態的列表。通過使用路由器的各種安全特性，建立更加安全可靠的網絡。

3.3 應用網絡版殺毒軟件實時監控網絡終端系統狀態

殺毒軟件作為目前最流行的安全技術方案之一，主要作用就是殺毒。目前的局域網采用的是賽門鐵克的在線病毒系統，通過對所有的病毒進行更新、對所有的病毒進行全面的更新、對所有的病毒進行實時的更新、對所有的用戶進行實時的病毒監測，尤其是對不同客戶的軟件進行在線檢查，為網絡的管理者們監控各終端的狀況提供了一個非常好的途徑。加強對網絡的監控，保證每個終端病毒庫的實時更新，提前排除網絡病毒大爆發的隱患[5]。

3.4 明確網絡邊界，部署防火墻加強邊界防護

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對2 個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。在氣象部門的內部一般存在著區縣級網絡、地市級網絡、省市級網絡等，如圖1 所示，各個網絡間需要互訪，在各網絡邊界部署邊界防火墻，使之成為一道防御屏障，通過合理正確的配置，可以阻止有安全風險通信數據的滲透。

圖1 氣象部門防火墻部署

部署防火墻必須配置有效的安全訪問控制策略，否則防火墻形同虛設，訪問控制技術用于防止非法用戶訪問網絡，去獲取和使用網絡資源，訪問控制主要有自主訪問控制、強制訪問控制和基于角色訪問控制3 種類型；在氣象部門內部應嚴格制定各級用戶訪問權限，同時限定封堵高危端口，將網絡安全風險限定在有限的網絡區內，提高全網的安全性。

3.5 進行脆弱性檢查，及時更新漏洞補丁

網絡安全脆弱性是指計算機或網絡系統在硬件、軟件、協議設計和實現、系統采取的安全策略存在的不足和缺陷，利用基于網絡的安全掃描，及時發現服務器、終端、交換機、防火墻等設備的安全漏洞。

日志審計對可能存在的潛在攻擊者起到威懾和警示作用，核心是風險評估。測試系統的控制情況，及時進行調整，保證與安全策略和操作規程協調一致。對已出現的破壞事件，做出評估并提供有效的災難恢復和追究責任的依據。對系統控制、安全策略與規程中的變更進行評價和反饋，以便修訂決策和部署。協助系統管理員及時發現網絡系統入侵或潛在的系統漏洞及隱患。

結合氣象部門網絡實際情況，縣級氣象部門網絡規模相對較小，市、縣兩級網絡大多通過租用電線運營商的專線互聯，在每個縣級全部部署網絡安全設備，將造成極大浪費，也不利于集約化管理。同時縣級氣象部門人員相對較少，針對這一現實情況，可在市級網絡中部署網絡安全態勢感知設備、脆弱掃描設備、日志審計設備及基于網絡的殺毒軟件并提供統一的漏洞補丁庫。網絡安全脆弱性檢查如圖2 所示。

圖2 網絡安全脆弱性檢查

4 煙臺市氣象局網絡安全技術體系

4.1 防火墻

防火墻裝設于受保護內部網絡和外部網絡之間的連接點，是為了保護網絡邊界安全，并依據設置合適的網絡訪問策略及過濾規則列表而設計的一種主要方法，來確定哪些內部服務允許（禁止）外部訪問、哪些外部服務允許（禁止）內部訪問，或者其他特定的活動，視為訪問控制機制之一。防火墻技術作為一種遏制攻擊技術，它在阻止外界攻擊及非法接入的情況下，對脫離安全域信息進行安全防護，以達到對內部網絡防護的效果。局氣象專網布放2 臺防火墻以互為備份的態勢，網絡布放安全路由器和1 臺防火墻需另布放1 臺安全路由器以作備份的態勢。

4.2 漏洞掃描

氣象專網布設漏洞掃描設備1 臺，網絡管理員采用掃描等方式檢測指定遠程目標主機或者本地計算機系統網絡安全，掌握目標主機的網絡安全設置及運行環境，發現可用漏洞并評估掃描結果及修補漏洞。發揮主動防范功能，有效規避黑客攻擊，進一步保證系統網絡環境的安全性。

4.3 上網行為管理

將上網行為管理設備部署到氣象局的互聯網中，以滿足對網絡行為的監測、控制及管理的需求，并將該設備的子MAC（Media Access Control Address，媒體存取控制位址）地址捆綁到IP 地址中，每名用戶都對應一個賬號。上網行為管理有效避免了有人非法接入和使用可上網網絡設備的情況，同時也解決了因私改IP 地址而引發IP 沖突的情況。上網行為管理設備為網民提供了檢測、篩選不良信息或者敏感文字，以及上網內容記錄、內容審查等服務，以期達到規范上網行為、杜絕網絡接入可能面臨法律風險的目的。

5 結束語

現有網絡安全措施受資金和其他條件限制，并不是完美無缺的。網絡攻擊技術手段正在發展變化，病毒變種也層出不窮，嚴格來說，一切防范措施都是攻擊發生之后的補救。所以，在網絡安全維修中，對安全設施的及時更新是不可忽略的一項技術措施。而且，與已有網絡監控系統和相應控制措施的網管設備相比，其安全性保護的實時性和適用性差，以及對各終端的監控性能仍然有一定的缺陷。所以，一切網絡安全之“安全”都只是相對而言。審查一個網絡系統的安全性，既要審查它的技術手段，又要評估針對它的網絡而采取措施的綜合性與可行性，其中包括人員素質。所以，構建安全的網絡環境需要在強化網絡安全設備配置的同時制定網絡安全管理條例來規范安全網絡的使用，不斷提升網管人員的素質，只有這樣才能確保網絡安全。