山西大同中心地震臺(tái)信息網(wǎng)絡(luò)安全工作探討

蘇文亮

【摘 要】隨著現(xiàn)代社會(huì)互聯(lián)網(wǎng)技術(shù)的日新月異及Internet技術(shù)廣泛應(yīng)用，計(jì)算機(jī)在各個(gè)社會(huì)的領(lǐng)域都發(fā)揮著積極的作用。對(duì)于山西大同中心地震臺(tái)來(lái)講，其自然而然無(wú)法逃避信息時(shí)代的巨大挑戰(zhàn)。本文就山西大同中心地震臺(tái)信息網(wǎng)絡(luò)的建設(shè)進(jìn)行詳細(xì)的探討。

【關(guān)鍵詞】地震，網(wǎng)絡(luò)安全，防火墻，數(shù)據(jù)庫(kù)

【中圖分類號(hào)】TP393.08 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）03-0146-02

1 引言

山西省大同中心地震臺(tái)地震信息網(wǎng)絡(luò)系統(tǒng)于2006年6月建成并開(kāi)通。主要設(shè)備有浪潮服務(wù)器，華為路由器、交換機(jī)，光纖傳輸設(shè)備，UPS電源等。采用山西移動(dòng)公司2MSDH專線，上聯(lián)山西省地震局區(qū)域網(wǎng)絡(luò)中心，下聯(lián)上皇莊前兆臺(tái)及轄區(qū)內(nèi)9個(gè)測(cè)震臺(tái)站及兩個(gè)中國(guó)大陸構(gòu)造環(huán)境監(jiān)測(cè)網(wǎng)絡(luò)GNSS基準(zhǔn)站的傳輸。該信息網(wǎng)絡(luò)系統(tǒng)自建成并開(kāi)通運(yùn)行以來(lái)總體情況良好，所屬的3個(gè)信息節(jié)點(diǎn)基礎(chǔ)設(shè)施運(yùn)行正常，網(wǎng)絡(luò)通信平臺(tái)（上聯(lián)省局信道、下聯(lián)臺(tái)站信道）運(yùn)行基本正常，網(wǎng)絡(luò)服務(wù)運(yùn)行正常，未發(fā)生重大故障。

對(duì)網(wǎng)絡(luò)病毒進(jìn)行了安全預(yù)警防范，時(shí)常檢查防病毒軟件的升級(jí)更新情況，確保網(wǎng)絡(luò)防病毒庫(kù)可以自動(dòng)升級(jí)。嚴(yán)格執(zhí)行臺(tái)站制定的有關(guān)地震信息網(wǎng)絡(luò)的規(guī)章制度，做好運(yùn)行監(jiān)控和網(wǎng)絡(luò)值班工作，定期巡檢機(jī)房安全情況、線路狀態(tài)、設(shè)備運(yùn)行指示。對(duì)網(wǎng)絡(luò)運(yùn)行設(shè)備進(jìn)行分類管理，做好設(shè)備保養(yǎng)與維護(hù)、故障處理等工作。

由于對(duì)本地局域網(wǎng)辦公網(wǎng)段、業(yè)務(wù)網(wǎng)段的合理規(guī)劃和科學(xué)管理，確保了地震信息網(wǎng)絡(luò)的安全、穩(wěn)定和健康地運(yùn)行。

2 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、信息安全技術(shù)、密碼技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、信息論等多種學(xué)科的綜合性學(xué)科[1]。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中的所有軟件和硬件以及系統(tǒng)中的所有數(shù)據(jù)都要受到嚴(yán)格的保護(hù)，不會(huì)被外界竊取、破壞和泄露，能夠保證系統(tǒng)持續(xù)可靠的運(yùn)行，并且網(wǎng)絡(luò)服務(wù)不會(huì)被中斷。

隨著網(wǎng)絡(luò)社會(huì)時(shí)代和網(wǎng)絡(luò)經(jīng)濟(jì)的到來(lái)，網(wǎng)絡(luò)將會(huì)無(wú)處不在。國(guó)家的經(jīng)濟(jì)、文化、軍事和各個(gè)方面的社會(huì)活動(dòng)將會(huì)強(qiáng)烈地依賴網(wǎng)絡(luò)，同時(shí)網(wǎng)絡(luò)作為重要基礎(chǔ)設(shè)施，其本身的可靠性和安全性也將成為社會(huì)各界共同關(guān)注的焦點(diǎn)問(wèn)題。

網(wǎng)絡(luò)安全的本質(zhì)定義就是網(wǎng)絡(luò)上的信息安全。從廣義的角度來(lái)講就是一切涉及到網(wǎng)絡(luò)上信息的保密性、真實(shí)性、可用性的相關(guān)技術(shù)理論知識(shí)都是網(wǎng)絡(luò)安全的研究范圍[2]。

山西大同中心地震臺(tái)信息網(wǎng)絡(luò)的管理和運(yùn)行維護(hù)人員都希望能夠控制和保護(hù)好對(duì)本地網(wǎng)絡(luò)信息的訪問(wèn)和相應(yīng)的讀寫操作，從而能夠在最大的限度上防止被病毒感染、非法竊取和網(wǎng)絡(luò)被非法控制等等事件的發(fā)生，能夠有效的防止被黑客攻擊。

網(wǎng)絡(luò)系統(tǒng)的安全涉及運(yùn)行平臺(tái)的各個(gè)方面。網(wǎng)絡(luò)安全模型有7層結(jié)構(gòu)，按7層模型貫穿著整個(gè)OSI安全體系模型。

圖1表示了對(duì)應(yīng)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)的安全體系層次模型：

鏈路層的安全主要是能夠保證對(duì)介質(zhì)的訪問(wèn)安全和鏈路上傳輸?shù)臄?shù)據(jù)能夠不被竊取和竊聽(tīng)。

（3）網(wǎng)絡(luò)層的安全

網(wǎng)絡(luò)層的安全是能夠確保網(wǎng)絡(luò)只授權(quán)給相應(yīng)的客戶進(jìn)行訪問(wèn)，將試圖繞過(guò)系統(tǒng)驗(yàn)證訪問(wèn)系統(tǒng)的客戶“拒之門外”。

（4）會(huì)話層的安全

會(huì)話層的安全主要是保證操作系統(tǒng)訪問(wèn)控制的安全、客戶資料。

（5）應(yīng)用平臺(tái)的安全

應(yīng)用平臺(tái)的安全通常采用多種技術(shù)來(lái)增強(qiáng)應(yīng)用平臺(tái)的安全性。主要的保護(hù)范圍包括系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器和系統(tǒng)中間層Web Service服務(wù)器。

（6）應(yīng)用系統(tǒng)的安全

應(yīng)用系統(tǒng)的安全是為了完成網(wǎng)絡(luò)系統(tǒng)的最終目的—為用戶服務(wù)。

3 目前所面臨的網(wǎng)絡(luò)安全威脅

山西大同中心地震臺(tái)信息網(wǎng)絡(luò)系統(tǒng)內(nèi)主要運(yùn)行的網(wǎng)絡(luò)協(xié)議為TCP/IP，而TCP/IP網(wǎng)絡(luò)協(xié)議并非專為安全通信而設(shè)計(jì)。保障計(jì)算機(jī)網(wǎng)絡(luò)安全，鑒于大同中心地震臺(tái)信息網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀，需要在計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題上再下功夫。包括：病毒、木馬及殺毒軟件的升級(jí)，可連接到互聯(lián)網(wǎng)的主機(jī)安全，涉黃、涉密的預(yù)防，避免網(wǎng)絡(luò)設(shè)備因受到攻擊或軟故障發(fā)生死機(jī)或其他重大故障，盡最大可能減少網(wǎng)絡(luò)中斷，杜絕網(wǎng)絡(luò)癱瘓現(xiàn)象的發(fā)生。

保護(hù)網(wǎng)絡(luò)設(shè)備的安全，要經(jīng)常對(duì)供電、消防、避雷等設(shè)施進(jìn)行檢查，排除存在的各種隱患。并協(xié)助移動(dòng)公司維護(hù)人員巡檢鏈路設(shè)備，尤其是儀器設(shè)備之間的連接指示，包括光端設(shè)備、協(xié)議轉(zhuǎn)換設(shè)備、光纜及網(wǎng)線等。控制好機(jī)房的溫度和濕度，保證網(wǎng)絡(luò)暢通，降低故障率。

山西大同中心地震臺(tái)信息網(wǎng)絡(luò)系統(tǒng)可能存在的安全威脅還有以下方面幾個(gè)方面：

（1）物理層的安全威脅

物理層的安全威脅，主要來(lái)自對(duì)物理通路的損壞、物理通路的竊聽(tīng)、對(duì)物理通路的攻擊（干擾等）、電磁輻射等，針對(duì)這類威脅主要依靠物理設(shè)備和線路的保護(hù)以及設(shè)備防電磁輻射技術(shù)來(lái)防范，建立完善的備份系統(tǒng)。

由于管理局主要的系統(tǒng)設(shè)備都不是低輻射設(shè)備同時(shí)也沒(méi)有建立屏蔽間來(lái)放置這些設(shè)備，局網(wǎng)內(nèi)大部分線路使用的是非屏蔽5類雙絞線，廣域網(wǎng)則是PVC線路，因此管理局的網(wǎng)絡(luò)系統(tǒng)缺乏有效的防電磁輻射措施。

（2）網(wǎng)絡(luò)層的安全威脅

網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或竊聽(tīng)，對(duì)于這類威脅，主要依靠采用訪問(wèn)控制、網(wǎng)絡(luò)信息檢測(cè)和監(jiān)控的手段來(lái)防范、劃分VLAN（局域網(wǎng)）、加密通訊（廣域網(wǎng)）等手段來(lái)進(jìn)行防范。

在廣域網(wǎng)與管理局內(nèi)部局網(wǎng)之間缺乏有效的網(wǎng)絡(luò)邊界保護(hù)措施和集中的訪問(wèn)控制措施。

缺乏完善的網(wǎng)絡(luò)事件日志審記措施。缺乏有效的網(wǎng)絡(luò)監(jiān)控與入侵防范措施。采用的TCP/IP協(xié)議族，本身缺乏安全性。在通訊中未采取加密措施和嚴(yán)格的認(rèn)證機(jī)制，信息容易被截取或竊聽(tīng)。

（3）操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的安全威脅

目前流行的許多操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)均存在安全漏洞，同時(shí)它們本身的安全強(qiáng)度也屬于非安全的C2級(jí)，如UNIX服務(wù)器、NT服務(wù)器及基于Windows 的桌面平臺(tái)、ORACLE、SQL SERVER等；對(duì)付這類的安全威脅最好采用安全的操作系統(tǒng)和安全數(shù)據(jù)庫(kù)管理系統(tǒng)，但是目前基本還沒(méi)有用于商業(yè)的安全操作系統(tǒng)和安全數(shù)據(jù)庫(kù)管理系統(tǒng)或這類產(chǎn)品本身的功能還不完善。因此就有必要采取其它手段加強(qiáng)這方面的安全性能，目前對(duì)付這類的安全威脅的較為有效的手段是：系統(tǒng)漏洞檢測(cè)、打補(bǔ)丁、升級(jí)等。