陜西地震行業網優化的實踐

[摘要]" " 陜西地震行業網承擔地震數據匯集與轉發、地震速報與編目、公共信息服務、地震應急等功能，經過多年的建設運行，已具備一定的安全防御能力。但隨著公共網絡安全行業的發展變化，陜西地震行業網在網絡結構、安全防御、設備配置、機房環境、制度建設等方面存在的不同程度的缺陷與隱患逐一顯現。本文以安全等級保護測評、密碼應用測評為依據，對陜西地震行業網在重塑網絡結構、優化設備配置、健全制度機制、升級機房環境等方面進行了一系列的優化改造，為陜西省地震局網絡優化技術升級、運維保障、安全運行、有效管理提供了良好基礎。此次陜西地震行業網的優化升級改造經驗，可為其他單位及行業網的網絡優化升級改造建設提供一定經驗借鑒。

[關鍵詞] 地震行業網; 優化升級; 測評準則

中圖分類號：P315 文獻標識碼： A 文章編號： 2096-7780（2024）03-0197-06

[DOI] 10.19987/j.dzkxjz.2023-056

Optimization practice of Shaanxi earthquake network

Zhao Jiexu*， Chang Jun， Cheng Yan， Dou Jing

Shaanxi Earthquake Agency， Shaanxi Xi’an 710086， China

[Abstract]" " "Shannxi earthquake network undertakes functions such as earthquake data collection and forwarding， earthquake rapid reporting and cataloging， public information services， and earthquake emergency response. After years of construction and operation， it has developed to a certain level of security and defense capabilities. However， with the continuous development of the public network security industry， problems of different levels in the network structure， security defense， equipment configuration， computer room environment and institutional construction of the Shaanxi earthquake industry network have been discovered. Based on classified security protection evaluation and password application evaluation， we optimized and upgraded Shaanxi earthquake network through reshaping network structure， optimizing equipment configuration， improving institutional mechanisms， upgrading computer room environment etc. It provides a good foundation for the network optimization， technology upgrade， maintenance guarantee， safe operation， and effective management of Shaanxi earthquake network. At the same time， it can provide references for network optimization and upgrading in other industries or units.

[Keywords] earthquake network; optimization and upgrade; evaluation criteria

0" 引言

陜西地震行業網（下文簡稱“行業網”）經過多年建設運行，具備了一定的網絡安全防御能力。但隨著現代公共網絡技術的不斷發展變化，網絡安全等級保護測評2.0版出臺及密碼應用測評方法的應用，陜西地震行業網中一些不規范、不完備、不安全的缺陷與隱患逐一顯現。主要問題表現有：

（1）網絡結構不清晰：網絡結構缺乏層次，缺少清晰的網絡分區分域邊界；區域之間無安全隔離，缺少可靠的安全防御措施；重要的網絡設備無備份，一旦出現單點故障將導致設備宕機或整體網絡失效等狀況。

（2）網絡設備運行可靠性降低：大部分網絡交換設備使用年限已久，常出現死機、網速下降現象。有的核心網絡設備運行已超5年，部分重要的網絡設備也有3年以上，網絡環境運行可靠性大大降低。

（3）設備選型及配置考慮不周全：以往設備采購未考慮國產化因素，設備在安全防御參數的配置上考慮不夠周全，存在潛在網絡安全隱患。

（4）核心機房服役時間較長：目前，網絡機房無論是從容量、配套基礎設施，還是物理環境方面都已不能滿足現代陜西地震行業網網絡業務快速擴容的需求[1]。機房配套設施嚴重落后于行業應用發展的速度。

（5）管理制度體系不健全：陜西地震行業網網絡運維管理制度不完備、甚至還有缺失，網絡機房、設備入網、權限開通等運維操作流程缺少規范化依據。

上述問題若不及時整改、完善和優化升級，將對陜西地震行業網的安全可靠、健康穩定運行造成嚴重影響。

1" 網絡優化設計

良好的網絡拓撲結構設計能夠有效提升網絡性能，提高網絡安全防護能力[2]。陜西地震局行業網技術升級以結構化、模塊化、易管理、易拓展為設計原則，根據行業現在不同業務類型對網絡平臺的新需求，進行網絡拓撲新型結構的分區分域、分層次模塊化設計。具體設計分為外聯區、互聯網接入區、DMZ業務區、VPN業務區、安全運維管理區、安全可靠區、日常辦公區、數據中心區和內聯區9個分塊區域。圖1為陜西地震行業網絡平臺模塊化分區設計拓撲圖。本設計可以使行業網在安全運行環境下，實現行業網間數據的交互、互聯網出口、VPN業務、OA辦公、網絡安全監控運維等功能。平臺具有較高的安全性、可用性、萬兆網絡互聯、全冗余架構、層次分明等特點。

設計思路是：通過模塊化分區分域構架，實現平臺各區界限清晰、層次分明的網絡結構特點。并將核心交換、各區域匯聚交換機、邊界防火墻等軟硬件均設計為雙機模式，避免單機故障造成業務中斷。通過部署完備、穩定性能良好的安全設備實現重點保護，在互聯網接入行業網區域最外側部署抗DDOS防御，最內側部署上網行為管理，有效抵御來自互聯網外方向的攻擊，對由內到外的訪問行為進行控制和審計。各區域邊界部署防火墻，對南北向訪問的業務流量實施安全控制、斟酌辨識，保障數據完整性，提高業務訪問安全性。新增設計組建安全運維管理區，實現全行業網流量、網速、安全統一監控管理，提高整個網絡的安全性。通過部署終端準入、防病毒、全流量、態勢感知等一系列安全設備，達到有效提升行業網環境運行的監控預警、動態防御、主動防御、縱深防御、精準防護、等級防護、聯防聯控綜合能力的目標。

2" 設備優選配置

2.1" 設備可用性選擇

通過更新老舊網絡設備、配置設備冗余以提高網絡設備可用性、網絡平臺的可靠性。陜西地震行業網中的部分重要網絡設備運行已超5年，設備老化多次宕機，嚴重影響業務運行連續性。優化改造更換核心交換機、區域路由器、互聯網防火墻等重要網絡、安全設備，有效解決了設備老化問題。部分更新設備清單見表1。單臺設備冗余通過選用雙主控MPU、單板熱插拔、電源冗余、風扇冗余等高性能的設備實現。設備間冗余利用成熟技術如CSS技術實現雙機在線，鏈路捆綁實現鏈路冗余，STP技術有效解決了二層環路實現鏈路冗余等。網絡安全設備采用主備實現設備和線纜冗余；采用VRRP熱備冗余方式部署VPN防火墻，采用虛擬地址對外提供服務，一旦Master設備故障，Standby設備無縫接管Master設備所有業務，保障業務網絡運行連續可靠和冗余性。平臺網絡設備運行穩定可靠使系統關鍵部件具有備份策略，重要節點具備容錯能力，使行業網的整個網絡系統平臺具備一定自愈能力，從而有效保障支持了行業網業務的正常運行。

2.2" 完善參數配置

設備本身的安全配置主要有身份鑒別配置、安全通信配置、病毒庫更新等。嚴密的身份鑒別設置可在一定程度上避免影響安全的事件發生。所有設備已刪除/重命名默認賬戶，實行網絡用戶管理最小權限制，避免在常規運行環境中存在超級管理員權限的用戶。設置開啟密碼有效期、復雜度、定期更換以及超時自動退出等安全管控策略。為保障網絡通信過程中的數據完整性、機密性，實體身份的真實性，設置命令，關閉Telnet/HTTP等安全級別低的協議，關閉不需要的系統服務、高危端口，如23、445、139等。防火墻類設備做到基于IP、域名的端口級防護，及時對安全設備的病毒庫進行更新。通常，在交換機中可通過dis telnet server status命令查看Telnet協議的參數，以確認是否關閉Telnet協議。圖2為日常OA辦公區接入交換機的Telnet協議狀態查詢結果截圖。

參數解析如下：

dis telnet server status→查看Telnet服務狀態

TELNET IPV4 server： Disable→基于IPV4協議的Telnet服務器：不可用

TELNET IPV6 server： Disable→基于IPV6協議的Telnet服務器：不可用

TELNET server port： 23→Telnet服務使用的端口，默認是23

綜上可知，查詢到該網絡平臺的網絡設備已關閉Telnet協議。在通常情況下，網絡設備默認開啟Telnet協議，可以通過輸入telnet server disable指令關閉該協議。

2.3" 算法遵循合規

在網絡環境下通信設備所采用的通信協議、加密算法是一個容易被忽略的工作節點。網絡平臺系統采用密碼算法、密碼技術、密碼產品、密碼服務等必須滿足密碼相關技術標準和要求[3]。安全通信配置杜絕使用MD5、SHA1、RSA1024、DES等存在潛在風險的密碼算法，應選擇經過安全認證的SM2、SM3等密碼算法，選用高版本的安全協議，確保通信協議符合密碼應用測評要求。例如SSL VPN服務器支持SSL3.0、TSL1.0、TSL1.1、TSL1.2共4版通信協議。SSL3.0協議不安全且已過時，可能會導致用戶在傳輸數據時出現數據泄露。TSL1.0協議也有較大的安全風險，易受外界攻擊。因此，陜西省地震局在實施中均未采用這些協議，而是選擇了符合測評要求的TSL1.1和TSL1.2協議。圖3為SSL VPN通信協議/算法配置方法。

3" 機房優化改造

目前，陜西地震行業網現有機房存在容量有限，配套設施落后等問題。通過實地調研，參照GB 50174—2017《數據中心設計規范》進行網絡機房的優化升級。將原舊機房外側閑置區域充分利用擴建機房空間，對機房進行功能分區域的整體設計、統籌規劃、精心裝修，采取兩次往返搬遷改造方案，將機房建設升級成為符合GB 50174—2017《數據中心設計規范》B級標準的現代化網絡機房。達到滿足陜西地震行業網數據交互處理業務需要，同時具備可擴展性，成為整體美觀、安全安防、節能環保的優質網絡運行環境工程。

密碼應用測評組專家在對我們機房進行物理和環境安全檢查中發現，最初安裝的門禁系統尚未取得商用密碼產品許可認證證書，無法滿足上述測評要求。為此，專門申請經費對機房電子門禁系統進行了更換更新。升級后的電子門禁系統取得商用密碼產品許可認證證書，符合密碼算法規則，符合GM/T 0036—2014《采用非接觸卡的電子門禁密碼應用指南》標準，通過密碼應用安全測評，使陜西地震行業網網絡機房運行信息安全、可靠。

4" 管理制度完善

在過去一些工程項目實施中，往往存在有重視系統建設、忽視制度建設，弱化執行和監管的現象。我們知道，管理制度是保障業務安全的一項重要環節。系統運維、安全管理制度體系的不完善，往往會導致相關工作過程缺乏規范性和質量保障，進而影響到信息系統的安全建設和安全運維[4]。陜西省地震局雖早期曾發布了一些相關規章與管理制度，規范了相應的治理理念，但還不夠。此次，參照國家相關法律法規、遵循行業最新發布的相關技術要求，采取對比等級保護測評及密碼應用測評方法，對陜西地震行業網建設、運維、安全管理制度進行了全面梳理，查缺補漏，進一步完善充實網絡安全管理制度體系。先后出臺了《陜西省地震局網絡安全管理辦法》及其配套的一系列制度，修訂完善了《陜西省地震局網絡安全事件應急預案（試行）》等制度，有效規范了網絡安全維護業務工作流程，提高了工作效率和運維安全性。值得注意的是，管理制度應以正式發文、有效方式發布，避免采取內部規章制度方式，升級版本要做好制度的連續性、一致性，做好版本升級過程的記錄。另外，規章制度應涵蓋網絡安全運行的管理機構、安全運行管理人員與運維技術人員、網絡安全建設、秘鑰管理及不同等級安全事件的應急預案等內容。圖4 為陜西省地震局正式出臺或發布的陜西地震行業網運行維護、安全管理部分規章制度文檔。

5" 后續思考

實際上，網絡優化建設需從網絡系統的硬件、應用軟件、安全軟件、網絡管理等多個方面與技術環節進行整體考慮設計與完善，綜合考慮信息安全保障問題[5]。通過對陜西地震局網絡環境優化與機房升級改造經驗總結，得到以下幾點工作體會：

（1）網絡結構設計遵循分區分域原則。清晰的區域劃分是等級保護測評的基本要求，分區分域能夠簡化網絡結構、梳理邏輯關系，便于建立完備的網絡安全防護體系、部署周密的網絡安全防護策略，也便于將有限的防護措施用于重點業務及數據的安全保障上。這對于風險來臨時的系統安全有著重要意義。

（2）網絡優化過程實質是各類行業網優化建設與技術改造，是推進網絡安全升級的一個重要環節。運維人員應持續開展網絡結構優化、配置細化，不斷收窄優化設備配置，減少設備配置不當帶來的安全隱患[6]。采購國產化設備，配置使用合規設備、算法，重視對應用系統的安全檢測、漏洞修補，增強系統抵御風險的能力是必須的，也是保障網絡信息系統安全穩定運行的重要舉措。

（3）加強網絡安全運行制度建設與完善，強化管理制度執行與監管也是必要的。要做到定期檢查管理制度的落實情況，發現存在問題與不妥之處，盡快修改充實完善，規范運維工作規程，細化具體操作流程、認真記錄工作細節，做好網絡安全運行各類文檔的歸檔存檔。

（4）網絡機房建設是一項具有高度責任性的工作，設計及建設人員要有充分的安全性考慮和前瞻性設計。例如，機房電力負載設計應與機房擴容需求相結合，避免特殊情況下的開關機操作。機房機柜位置規劃要與網絡環境區劃分、運營商接入光線纜位置相結合，便于設備管理。動環系統、安防系統設備選型要在符合國家技術標準及業務需求基礎上開展等。周密考慮、科學規劃、合理設計可以有效避免在后期可能發生的重復建設、資金浪費等情況。

參考文獻

[1]郝麗，邊鵬飛，馮錄剛，等. 河北省地震局核心機房搬遷的總結與思考[J]. 地震科學進展，2021，51（11）：517-521" " Hao L，Bian P F，Feng L G，et al. Summary and reflection on the relocation of the core computer room of Hebei Earthquake Agency[J]. Progress in Earthquake Sciences，2021，51（11）：517-521

[2]蔣煒，錢聲攀，邱奔. 數據中心網絡拓撲結構設計策略研究[J]. 中國電信業，2021（增刊1）：73-78" " Jiang W，Qian S P，Qiu B. Research on the design strategy of data center network topology structure[J]. China Telecommunications Trade，2021（S1）：73-78

[3]鄧福彪. 信息系統密碼應用安全性評估與測評實踐[J]. 福建電腦，2020，36（1）：27-29" " Deng F B. Security assessment and evaluation practice of information system password application[J]. Fujian Computer，2020，36（1）：27-29

[4]張飛亞. 論網絡安全等級保護測安全評中管理制度的缺位[J]. 互聯網周刊， 2022（7）： 69-71" " Zhang F Y. Discussion on the lack of implementation of security management system in the evaluation of network security level protection[J]. China Internet Weekly， 2022（7）： 69-71

[5]周婉琦. 等保2.0框架下高校網絡安全體系建設研究[J]. 網絡安全技術與應用，2021（11）：84-85" " Zhou W Q. Research on the construction of university network security system under the framework of classified security protection 2.0[J]. Network Security Technology amp; Application，2021（11）：84-85

[6]郭偉. 等保2.0框架下的融媒體中心網絡安全建設[J]. 廣播電視網絡，2022，29（6）：45-47" " Guo W. Network security construction of integrated media center under the framework of classified security protection 2.0[J]. Radio amp; Television Network，2022，29（6）：45-47