朱 君,王 浩,何 奇,蒲晓虎
(重庆市气象信息与技术保障中心,重庆 401147)
重庆市气象宽带网络上行连接中国气象局,下行连接34个区(县)气象局,是全国气象宽带网的重要组成部分[1-3]。随着气象信息化的发展,现代气象观测、预报和服务的大量数据完全依赖网络进行交换和传输[4],保障气象部门网络安全已经成为气象部门正常开展各项业务工作的一项重要基础条件[5]。随着终端用户安全事件和网络攻击行为的不断增加,气象网络面临的安全挑战也越来越大[6-8]。在大数据时代网络环境下,如何确保气象信息数据的安全性和可靠性,构建完善的网络安全体系已经成为亟需解决的重要问题[9-11]。
目前,重庆市气象宽带网络通信线路主要由4部分组成,如图1所示。重庆市气象局作为全国气象宽带网络国省主干网节点之一,通过中国电信MPLS VPN网状网络和MSTP星型网络双系统互为热备份的方式与中国气象局互联;重庆市各区(县)气象局以星型网络拓扑的形式连接重庆市气象宽带网络,构建起重庆市气象广域网通信系统,并实现不同运营商的双线接入;各外联单位采用数据通信专线的方式接入重庆市气象宽带网络进行数据交互;重庆市气象宽带网络通过互联网专线接入,实现全市气象部门互联网的实时访问[12,13]。
图1 通信线路连接
信息系统根据其在国家安全、经济建设和社会生活中的重要程度,以及遭到破坏后对国家安全、社会秩序、公共利益和其他组织的合法权益的危害程度等,安全等级由低到高划分为5个等级。根据重庆市气象宽带网络的业务现状和实际情况,严格按照信息系统安全等级保护第3级的要求进行网络安全体系的建设和应用,为各业务系统的安全、可靠、稳定运行提供了基础保障。网络安全体系由边界防护体系、上网行为管理系统、网络威胁发现系统、入侵防御系统、防病毒系统、应用防篡改系统、安全态势感知系统、网络安全审计系统和统一监控中心等组成。
根据多级、多域连接的现状,对网络进行了合理的区域划分,与中国气象局、各区(县)气象局、外联单位和互联网边界均部署了防火墙进行隔离,并实现了端口级别的访问控制;其中互联网边界防火墙采用了双机堆叠的方式,与中国气象局的边界防火墙采用了双机热备的方式,增强了设备的容错能力,提高了网络运行效率,防止了重要节点的单点故障;从逻辑上隔离和阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部网络通信的安全。
互联网给业务发展带来了极大的便利,同时,也带来了网络安全性、可靠性等诸多问题,如果缺乏有效的管理,将会给业务带来各种风险,因此需要建立有效的上网行为管理系统。通过系统全面且灵活的策略配置,实现对用户、终端、应用、内容、流量等上网行为的可视、可控管理,从而有效识别、管控网络中与业务无关的应用;合理分配带宽资源,提高带宽利用率;进行多维度的灵活识别与权限控制,及时发现与控制非法网络接入行为;同时记录内网人员的上网轨迹作为追查依据,最终实现全市气象部门上网行为的统一管控。
网络威胁发现系统提供基于网络安全威胁的检测和防御,网络安全威胁的检测基于网络层攻击、病毒攻击和Web威胁邮件内容的攻击,包括双向传送信息或从恶意的来源接收命令的隐藏型恶意软件,识别违反安全策略、中断网络以及消耗大量带宽或构成潜在安全威胁的未经授权应用程序和服务程序。
随着网络攻击技术的不断提高和网络安全漏洞的不断出现,入侵防御系统应运而生。入侵防御系统通过监控、分析网络事件,深度感知并检测网络环境中的数据流量,对恶意流量直接丢弃以阻断攻击,对滥用流量进行限流以保护网络带宽资源。根据系统策略,对网络中的流量进行深度检测,一旦发现隐藏其中的网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,如向管理中心告警、丢弃该报文、切断此次应用会话、切断此次连接等,及时中断、调整或隔离一些不正常或具有危害性的网络安全行为。系统具有强大的分析与处理能力,可以保证网络通信的质量;能够对各种攻击进行实时检测与防御,具有多样的访问控制策略,在未授权的活动开始之前就可以发现其行为,避免其给网络安全带来威胁;可以阻断所有的非法网络流量,协助管理网络资源,保障关键设施的稳定运行。
随着网络的不断发展,计算机病毒已经成为众多行业建设IT系统时面临的主要威胁之一,为了更好地保护网络环境免受计算机病毒的侵扰,应部署专业级别的防计算机病毒系统。系统基于多核硬件体系架构,采用专业的反病毒引擎,集成了先进的多重扫描、检测技术,可以从网络层到应用层开展全面的计算机病毒查杀,对病毒加壳、压缩、加密以及木马、蠕虫、恶意软件等网络威胁均可以快速、准确地发现与清除。
防病毒系统具有一对多的病毒规则库,其系统引擎可以在秒级水平上扫描千万病毒及其变种。当内网用户发起互联网链接时,系统可以通过策略对远程的服务进行信誉查询,对信誉级别不符合安全要求的立即阻断。
应用防篡改系统全面保护对外提供服务的应用系统,具有安全性、完备性、易用性、兼容性和可扩展性等特点,支持应用系统的篡改检测与恢复、自动备份与发布、实时报警和跟踪记录等。在保证网络通信传输、访问权限控制、应用自身安全、重要内容备份等要求的同时,完全杜绝篡改应用系统被访问的可能。通过进程级磁盘操作检测,判断企图进行磁盘操作的进程合法性,进而实时阻断非法进程对网站内容的篡改;通过事件触发机制实现基于操作系统内核消息的触发式文件变更检测,实时清除被篡改的应用并进行报警与恢复。通过Web服务器核心内嵌技术,实现了将篡改检测模块内嵌于Web服务器系统内部;同时结合密码技术,对访问请求所涉及的网站文件进行内容与对应数字水印的比较,以确保非法网页内容不被浏览。
安全态势感知系统基于动态的、整体的网络安全风险,以网络安全大数据为基础,全流量分析为核心,集检测、预警、响应处置于一体,结合分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析和可视化等技术,对全网流量实现业务可视化、威胁可视化、攻击与可疑流量可视化等,在高级威胁入侵之后,可以在损失发生之前及时发现威胁。
安全态势感知平台可以与多种安全设备、产品实现对接,结合网络安全攻击趋势、有效攻击和业务资产脆弱性对全网络的安全态势进行整体评估;通过对失陷主机、终端的实时检测和访问关系的可视化快速发现网络安全风险;对绕过边界防御进入内网的攻击行为实时进行检测;对内部用户、业务资产的异常行为进行持续检测,发现潜在风险以降低可能的损失;对业务系统核心资产进行识别,梳理人员、业务与资产的访问关系,一旦发现变更,及时部署安全策略,封堵安全隐患。
网络安全审计系统针对业务环境中各用户对网络内的核心资产、服务器、业务系统进行的各项操作行为进行细粒度的合规性审计与管理,通过对用户的网络行为进行实时采集、记录、解析和汇总,实现事前规划预防、事中实时监视、违规行为响应、事后合规报告和事故追踪溯源等功能,加强内外部网络的行为监管,以保障核心资产,如业务系统、数据库、服务器、网络设备等的正常运行。
安全审计系统通过大数据技术支持海量日志下的异常行为分析与取证溯源;通过精细化的条件进行查询,方便精确查询历史行为,并可对事件与会话进行关联,便于分析;提供包括时间、客户端IP和端口、服务端IP和端口、客户端程序、操作关键内容、事件级别、业务用户身份和资源账号等信息的全面审计日志,对审计到的操作及时进行响应,以控制各种网络访问行为。
目前针对业务系统运维操作与业务流程的合规性管理的技术措施大体可以分为两类:一类是与账户相关的技术,包括主从账户管理技术、强身份认证技术、集中授权技术和单点登录技术等;另一类是与日志相关的技术,包括本地日志与网络日志的采集、泛化、存储、展现、查询等相关技术。统一安全监控中心融合用户账号管理、认证管理、授权管理和安全审计4要素,在内网服务器上部署控制中心,各服务器及信息终端部署代理客户端并注册到控制中心进行统一监管;通过控制中心连接现有防篡改系统、WSUS系统和防病毒系统等安全系统,实现实时联动。
部署信息统一监控平台,对网络设备和应用系统实现账号、授权、认证和审计的集中统一管理。基于“自然人账户—角色―资源账户”的集中账户管理、授权模型建设账户管理目录与统一权限管理系统,在访问过程中根据权限进行访问控制;建设集多种强身份认证手段于一体的认证管理中心;实现对主从账户的同步管理以及密码策略管理。
重庆市气象宽带网络构建了由边界防护系统、核心节点冗余系统、上网行为管理系统、网络威胁发现系统、入侵防御系统、防病毒系统、应用防篡改系统、安全态势感知系统、网络安全审计系统和统一安全监控中心等组成的网络安全体系,具备了一定的自主信息安全检测能力。网络安全体系的建设应用,为重庆市气象局提供了安全可靠的网络环境,提升了网络传输的可靠性,提高了气象观测、预报和服务等气象业务的有效服务能力,为气象业务系统的稳定运行提供了强有力的支撑和保障。