网络安全助力现代化无线电管理

周洪

要想确保网络安全，就要保障网络系统的硬件、软件及其系统中的数据受到保护，不因偶然或者恶意的原因而遭受到破坏、更改、泄露，从而使系统连续、可靠、正常地运行，网络服务不中断。由于无线电管理工作的特殊性和重要性，更决定了其对网络安全的要求更加严格、更加缜密。

随着电子政务管理水平的提高，电子政务日益依赖信息化技术的成熟和发展，利用信息化手段可以更大程度地发挥技术水平，更好地提高电子政务工作者的效率。

由于日常管理和无线电监测的需要，在无线电管理领域建立了庞大的数据库，通过数据库对其海量数据进行检索、分析，甚至数据挖掘和知识发现。同时，通过网络形式提供相关服务，使得区域数据共享和各部门甚至相关单位协同工作成为可能。因此，如何有效利用信息化手段充分发挥现有技术设备的功能；如何利用一体化系统解决建立统一数据库，消除信息孤岛，提高管理和决策水平；如何防止数据泄露，从而在整体上提高无线电管理工作水平，成为当前关注的热点。而在解决上述问题的同时，信息安全也成为管理信息化过程中必须考虑和解决的重点所在。

内网三大构成

上海市无线电管理局（以下简称“无管局”）信息网络系统由内外网组成，内网与国家无线电管理局、全国各地市无线电办公网互联，进行内部业务的办理；外网接入Internet。由于Internet上存在的安全风险较高，内外网的物理隔离是必然的，这既是网络安全的要求，也是信息安全的要求。因此，根据国家无委有关信息安全的相关规定，无管局的网络采用内、外网完全的物理隔离方式。

从无管局内网的网络拓扑结构来看，无管局的内网大致可分为以下三块：首先是中心机房的服务器群以及各客户端，通过中心路由器与国家无委内网直接相连，主要支持日常办公需要，与国家无委进行数据交换、报送数据和报表。目前，无管局的内网系统包括：一体化信息系统（内部OA办公自动化、无线电频率管理、无线电台站管理、设备检测、地理信息系统等）、内部邮件系统、防病毒系统、监测系统、数据备份系统和应急指挥系统等。同时，通过国家无委与全国各地市无委内网实现互联互通，可以召开全国范围的视频会议。由于各地无委网络互连，一方面方便了全国各兄弟单位的相互联系，另一方面也给网络安全管理提出了更高的要求。目前各地无委信息系统的安全管理水平参差不齐，任何一个地方无委发生信息安全事故，都有可能影响到全国的内网，当然也包括上海无委的内部网络。

其次是监测网段，无管局内部管理系统网络除与国家无委内网互联外，在上海市还连接了全市11个固定监测站和若干移动监测站和监测车，以满足日常监测及应急保障监测任务的要求。监测网段主要包括监测服务器、各固定监测站、用于日常监测的特定客户端等。监测网数据量大，传输频繁，对数据的安全性和可靠性要求较高，但功能相对较为独立。

最后是无线网络部分，通过VPDN拨号进入内网系统，可以满足远程办公的需要，同时将各移动监测站、监测车接入内网。为了保障无管局内网的安全，同时也是为了保障全国内网的安全，保证各项工作的正常开展，在网络方面采取了多项措施。

严格的访问控制

ACL访问控制列表法：在与国家无委互联的路由器上，设置ACL（Acess Control List），即访问控制列表，通过表中包含的匹配关系、条件和查询条件来搭建一个框架结构，最终实现对某种访问进行控制。为了保证内网的安全性，需要通过安全策略来保障授权用户访问特定的网络资源，从而达到对访问进行控制的目的。在路由器上，通过ACL访问控制，各固定监测站和监测客户端除与监测服务器通讯外，不得与其他网段互访。

VLAN隔离法：通过VALN技术，可以把一个网络系统中的众多网络设备分成若干个虚拟的“工作组”，组和组之间的网络设备在二层上互相隔离，形成不同的广播域，进而将广播流量限制在不同的广播域中。

由于VALN技术是基于二层和三层之间的隔离技术，可以通过将不同的网络用户与网络资源进行分组，将服务器与客户端分别划分到不同的地址段中。通过支持VLAN的交换机阻隔不同组内网络设备间的数据交换，来达到网络安全的目的。如人事和财务等部门都是相对来说安全性要求更高一些的，通常不允许其他部门用户随意访问、查阅相关资料。通过VLAN方式划分后，两个部门的网络数据就不会被其他用户访问了，虽然他们与其他部门一样同处一个网络。

MAC地址绑定法：MAC地址是网络设备在全球的唯一编号，可用于直接标识某个网络设备，是目前网络数据交换的基础。用于限定只有与MAC地址表中规定的一些网络设备有关的数据包，才能够使用该端口进行传递。通过MAC地址过滤技术，可以保证只有授权的MAC地址才能对网络资源进行访问。

同时，在AD SERVER上进行MAC地址与IP地址的绑定，限制外来机器进入内网。并将内网接到网络交换机上，实现端口与客户端MAC地址的绑定，这样就限制了客户端随意更换网络访问端口，如有更换网络访问端口的，端口将自动被关闭，只有通知管理员才能开启。同时，通过与ACL访问控制结合使用，也能限制不同客户端的访问权限，保证关键服务器的安全。

密码策略：密码策略用于域账户或本地用户账户，确定密码设置，例如强制执行和有效期限。这部分包含强制密码历史、密码最长使用期限、密码最短使用期限、密码长度最小值、密码必须符合复杂性要求、用可还原的加密来存储密码等。各项的配置是根据当前用户账户类型来设定的。

此外，对各客户端进行域管理，用域安全策略代替客户端的安全策略，使得各客户端安全策略规范统一。并且对监测网段使用单独的网关，使得监测网既与内网连通，又相对独立。

高效率的带宽管理

无管局内网与国家无委内网通过2M光纤相连，除了日常的数据交换、邮件系统，还要进行视频会议，尤其是较大规模的视频会议，对带宽的要求很高，如果造成网络拥堵，将极大影响工作的开展。在与国家内网交互上，采用了流量控制设备（见图一）。能直观、方便地对网络流量进行监控、分析，分析带宽使用状况及带宽流量异常状况，不断改善网络流量分配情况。对每个用户或用户组进行带宽管理，限制其分配上行方向和下行方向的平均带宽，防止用户级别的带宽滥用和误用。在需要时（如召开视频会议），利用带宽管理善用带宽资源，保证视频会议、邮件系统等的网络运用、运行顺畅，而其他业务仅提供有限的带宽资源。通过这种灵活的带宽管理，提高了带宽资源的利用效率，有效避免了网络拥堵造成的损失，对提高整个无管局办公效率有着至关重要的作用。

图一流量分析图

安全的远程接入认证系统

如今，移动办公已经成为现代办公的一种必然趋势。移动办公可以让相关工作人员在任何地点、任何情况下高效迅捷地开展工作，对于突发性事件的处理、应急性事件的部署有极为重要的意义。对无管局而言，远程接入不仅是移动办公的需要，对于移动监测站、监测车来说更是必不可少，这使得无线电监测更加灵活和准确。为了满足这种需求，通过3G网络采用了VPDN远程接入方式。无管局内部的认证服务器进行用户名/密码验证，同时还会对该账户所绑定的UIM卡的IMSI号码是否匹配进行认证，即要求账号和UIM卡唯一匹配。用户账户认证成功后即建立VPDN隧道，否则拒绝建立连接。隧道建立过程中，还将分配无管局网管中心统一规划的内网IP地址信息给VPDN用户。

通过对接入内网VPDN域的网卡进行UIM卡的IMSI号、用户账号、口令、IP地址的绑定认证，拒绝非法的网卡接入，安全性得到保证。远程客户端通过VPN隧道访问内网中被许可的使用资源，此时无法访问Internet，无法对外收发任何数据，因此也完全避免了任何来自Internet的攻击企图，保证了内网数据的保密性。

强大的监控系统

在无管局内网中，配置了QUEST SPOTLIGHT和Solarwinds两大监控软件。QUEST SPOTLIGHT（见图二）可以监控服务器的相关服务，如WEB服务、ORACLE数据库服务等。可以针对Windows操作系统的内部结构提供独特的图形化视图，能够快速确定并消除Windows环境中的瓶颈。通过实时显示Windows操作系统内的数据流，可以快速确定和解决性能问题。用Solarwinds实现网络设备、主机、客户端PC等设备的监控，通过统一的视图，直观地显示网络中各设备以及线路的运行情况，并提供实时报警功能。先进的监控手段，使得网络管理从被动走向主动，对异常的定位也更准确、更迅速。

图二监控服务器实时状态

除以上提及的几个特点外，无管局内网还部署了入侵监测、漏洞扫描、防病毒网关等安全措施。内网安全措施的整体方案针对无线电管理信息系统在网络层、系统层存在的安全问题和面临的风险，从各方面做出了相应的安全策略和方法。可以预防风险事件的发生，阻止或减小高风险事件发生的可能性，最小化或转移高风险事件造成的影响。从而保证了内部重要数据的可用性和完整性，业务数据的机密性，以及关键应用的可用性。