終端安全管理系統(tǒng)在氣象網絡中的研究與應用

鐘 磊，張斌武，何恒宏

(國家氣象信息中心，北京 100081)

0 引 言

隨著終端用戶安全事件和網絡攻擊行為的不斷增加，氣象網絡面臨的安全挑戰(zhàn)也越來越大。對近三年氣象系統(tǒng)安全事件進行統(tǒng)計分析，終端安全事件每年增長幅度均在30%以上。對提取的有關風險事件和惡意文件進行反編譯解析，具有針對性的網絡攻擊和數據竊取的木馬植入增幅明顯。近年來氣象現(xiàn)代化建設不斷推進，終端設備的種類越來越多、各終端使用的操作系統(tǒng)不盡相同，對于終端安全防護范圍，針對不同業(yè)務區(qū)域進行針對性部署和防護，實現(xiàn)整體部署，分級管理，綜合監(jiān)控，緊急情況下能夠做到整網聯(lián)動，對終端安全管理系統(tǒng)提出了更高的要求。

國內某些企業(yè)和部委，根據自身需要，進行過一些有益的嘗試：某國家大型企業(yè)，建立以私有云為基礎的終端安全管理系統(tǒng)，采用分級管控方式，在終端用戶人數過萬的情況下，應急響應依然迅速[1-2]；國家某部委針對自身特點，建立了一套國家級、省級、市級的全網聯(lián)動性終端安全防護系統(tǒng)，確保該系統(tǒng)業(yè)務網絡穩(wěn)定和辦公終端的安全。

原國家級系統(tǒng)部署結構示意如圖1所示。局域網主要業(yè)務單位辦公區(qū)分別部署一套終端安全管理系統(tǒng)，管理服務器采用HA(high available，高可用性群集)方式增強系統(tǒng)穩(wěn)定性。部分單位同時配置一套NAC(network admission control，網絡準入控制)系統(tǒng)對接入網絡的終端設備進行管控，通過C/S(client/server,客戶端/服務器端)模式，結合802.1X協(xié)議對用戶身份進行鑒別。業(yè)務區(qū)和集約化平臺沒有部署必要的終端安全防護，僅依靠必要的ACL(access control list，訪問控制列表)進行邏輯上的隔離防護。

原有終端安全管理系統(tǒng)的部署方式存在一些弊端：不同單位之間的管理系統(tǒng)相互獨立[3]，無法進行數據交互，在業(yè)務和辦公區(qū)發(fā)生安全事件時，對風險源定位存在很大的困難，影響故障處理速度。原終端安全軟件人機交互過程并不友好，對于被系統(tǒng)誤認為風險的氣象系統(tǒng)軟件無法批量進行處理。原有安全終端功能較為單一，造成部分用戶需安裝同類軟件進行互補，相互重疊的功能對系統(tǒng)穩(wěn)定性和資源占用產生不利影響。原有終端安全管理系統(tǒng)需要開啟802.1X網絡協(xié)議與接入層交換機進行聯(lián)動工作，此種方式對終端的管控較為嚴格，同時也存在明顯的弊端，對無法安裝安全終端的設備只能采取MAC(media access control，介質訪問控制)綁定交換機端口的方式進行管控，這會給系統(tǒng)管理員帶來大量的繁瑣重復性工作[4]。系統(tǒng)沒有對業(yè)務區(qū)終端進行防護，大量業(yè)務系統(tǒng)終端面臨被攻擊和入侵的風險。氣象系統(tǒng)由于其數據流程等方面的特殊性，在統(tǒng)一運維、多級管理功能的終端安全管理系統(tǒng)方面還未有相關的研究成果，如何建立信息安全事件快速響應機制也存在空白。

文中以中國氣象局局域網未來規(guī)劃和終端安全需求為基礎，對業(yè)務區(qū)和辦公區(qū)終端設備統(tǒng)一防護、多級管理進行探究，針對氣象行業(yè)軟件、業(yè)務系統(tǒng)數據傳輸過程、數據遷移防護等原有研究空白進行補充，同時依托機器學習有關算法，以有關歷史數據為依據進行針對性優(yōu)化，從而建立一套安全可靠，適應不同終端系統(tǒng)，符合氣象行業(yè)未來終端安全發(fā)展的管理系統(tǒng)，為全國各級氣象部門進行網絡建設提供借鑒。

1 技術與設計

1.1 統(tǒng)一運維與多級管理設計

原有終端安全管理系統(tǒng)部分網絡架構具有一定的借鑒意義。HA方式能夠增強系統(tǒng)的穩(wěn)定性，NAC能夠形成較為有效的隔離防護，新的系統(tǒng)將予以保留。新系統(tǒng)建立多級管理系統(tǒng)結構，一級系統(tǒng)負責整個網絡的基本管理和策略設置，二級管理負責各單位自身網絡的運維，可以根據自身需要進行針對性優(yōu)化。在出現(xiàn)重大信息安全事件時，可以通過一級服務器直接下發(fā)策略，減少審核和響應的事件[5]，由于集約化平臺的特殊性，采用有別于一般物理設備的輕量級的終端管理方式進行安全防護[6]。

1.2 氣象業(yè)務支持設計

氣象類軟件在設計方面與其他軟件有一些不同，終端安全管理系統(tǒng)對此類軟件做到全局性、整體性可信運行，避免數據攔截造成文件完整性異常。對于業(yè)務系統(tǒng)，能夠適應各類不同的終端操作系統(tǒng)[7-8]。對MICAPS等氣象行業(yè)進行針對性的優(yōu)化，對氣象業(yè)務中存在的短時間大流量傳輸、多線程讀取、多系統(tǒng)轉存以及長連接等情況，做出針對性終端策略調整；對業(yè)務服務器上部署的安全終端，設計專門的升級服務器，通過緩存加速等方式保證系統(tǒng)升級速度，降低互聯(lián)網出口帶寬壓力[9]。

1.3 氣象系統(tǒng)集約化平臺防護設計

氣象系統(tǒng)集約化平臺是氣象現(xiàn)代化建設的組成部分，是充分利用服務器物理資源的一次有效嘗試。未來，氣象系統(tǒng)主要業(yè)務會逐步遷移到此平臺上，通過在此平臺部署針對性二級服務器，對于底層支持直接安裝終端安全的集約化設備，采取底層部署，對以此為基礎的服務器進行全面防護。除此之外，通過采取功能模塊和輪巡方式，對于無法在底層進行防護的終端設備采取對虛擬機上的系統(tǒng)逐臺部署、錯峰檢測的方式進行安全保護[10-12]。

1.4 用戶組遷移設計

在原終端安全防護系統(tǒng)中，用戶組作為最重要的基礎數據，無法進行整體性遷移和調整，在管理服務器出現(xiàn)異常時，其所管轄的用戶將失去集中控制和風險文件上報分析的能力。本次新系統(tǒng)將引入快速遷移技術，實現(xiàn)各級管理服務器和備份服務器之間的快速遷移和備份，實現(xiàn)用戶無感知的平滑遷移[13]。

1.5 安全域設計

原終端安全防護系統(tǒng)利用802.1X網絡協(xié)議，采取交換機端口聯(lián)動的方式，對終端進行安全管理。對于部分無法安裝安全終端的設備只能采取MAC綁定的方式進行控制，在此類終端部署位置出現(xiàn)調整或設備更換時將會衍生較為繁復的配置修改。該研究采取基于終端應用的安全域終端安全管控機制，將根據各二級管理服務器的負責范圍，分別設置不同的安全域，未經過終端安全管理系統(tǒng)認證的設備，無法訪問安全域內的任何信息[14]。

1.6 數據分析設計

系統(tǒng)后臺安全日志信息記錄了大量安全事件信息和攻擊類型，通過對數據的基本分類導出和有關數據進行人工建議清洗，形成初始數據，再通過機器學習的有關算法進行聚類，從而分析有關事件類型的共同點，在確定主要信息后采用降維算法進一步對核心信息進行提煉。

2 應用與實現(xiàn)

2.1 統(tǒng)一運維與多級管理的實現(xiàn)

在現(xiàn)有網絡中，設置終端管理一級服務器，采取HA的方式，負責對二級服務器的管理和巡檢，在二級服務器異常且無法遷移到備用服務器時，具備接管響應服務的能力；設置業(yè)務區(qū)域二級管理服務器，針對服務器操作系統(tǒng)的特點，設置對應的終端安全策略；在集約化平臺設置備份服務器，用于各級服務器異常時的遷移使用，同時設置二級管理服務器，對集約化平臺的各服務器提供終端安全支持[15]。一級管理服務器可以直接對全網終端用戶或二級管理服務器下達執(zhí)行指令；二級服務器可以根據自身需要進行獨立管理和策略下發(fā)，升級后的網絡結構示意如圖2所示。身份認證系統(tǒng)與各級管理服務器進行聯(lián)動，為有特別需要的終端提供身份認證服務。

圖2 新終端安全管理系統(tǒng)網絡結構示意

2.2 氣象業(yè)務支持的實現(xiàn)

針對氣象行業(yè)軟件，在一級服務器和二級服務器均采用可信白名單策略，根據文件的MD5值等信息進行判斷并設置針對性優(yōu)化，從而保證行業(yè)軟件運行的兼容性和穩(wěn)定性。對于氣象系統(tǒng)數據傳輸中長連接，開啟專門的支持策略，通過增加窗口等待時間等方式保證此類數據在傳輸和分發(fā)過程中不會因為連接建立時間過長而失效。通過對緩存加速服務器對各級服務器更新的文件進行實時緩存，提高各級服務器有關文件的更新速度，降低互聯(lián)網出口帶寬壓力[16]。緩存加速調整配置和緩存網絡結構實現(xiàn)流程如圖3所示。

2.3 集約化平臺防護和用戶遷移的實現(xiàn)

在集約化平臺上，部署針對服務器系統(tǒng)的二級管理服務器，通過終端安全管理系統(tǒng)的終端模塊選擇，選取業(yè)務系統(tǒng)適用的功能模塊，針對業(yè)務流量特點做針對性策略，從而在保證業(yè)務運行穩(wěn)定的前提下，提高業(yè)務系統(tǒng)終端設備的安全性。同時在集約化平臺設置終端安全管理系統(tǒng)的備份服務器，通過定期備份各級管理服務器的數據信息進行同步傳輸，實現(xiàn)在各級管理服務器異常時，可以通過用戶遷移功能和組播技術，完成故障點的處理和用戶接入服務器的改變，實現(xiàn)短時間內的各級管理服務的快速恢復[17]。

圖3 緩存網絡結構實現(xiàn)流程

2.4 安全域的實現(xiàn)

在新終端安全管理系統(tǒng)中，不同的二級服務器管理不同的辦公區(qū)或業(yè)務區(qū)，對于安全域的設計，采取二級管理服務器管理范圍以外的部分為非安全域[18]；各級管理服務器采取設定可信區(qū)域方式進行安全域劃分，可信區(qū)域外的網絡均為非安全域，從而保證未經過認證的設備無法訪問非安全域的設備，訪問行為會被及時隔離，從而保證各級管理服務器的信息安全。

2.5 數據分析算法設計

系統(tǒng)目前已經積累超過90萬條日志信息，通過人工進行數據清洗。對主要數據采用GMM(Gaussian mixed model，高斯混合模型)算法，以統(tǒng)計方式為核心進行聚類分析[19]，同時采用PCA(principal component analysis，主成分分析)算法對所得數據進行降維，以減少后續(xù)人工分析的工作量。對于數據量大需要頻繁讀取數據庫信息的問題，可以采用空間換時間的辦法減少對運算時間的影響[20]。

GMM算法核心代碼如下：

pGamma=Px .* repmat(pPi,N,1);

pGamma=pGamma ./ repmat(sum(pGamma,2),1,K);

Xshift=X-repmat(pMiu(kk, :),N,1);

pSigma(:,:,kk)=(Xshift'*(diag(pGamma(:, kk))*Xshift))/Nk(kk);

pMiu=centroids; %均值，也就是K類的中心

pPi=zeros(1,K); % 概率

pSigma=zeros(D, D, K); %協(xié)方差矩陣

Xshift=X-repmat(pMiu(k, :),N,1);

inv_pSigma=inv(pSigma(:,:,k)+diag(repmat(threshold,1,size(pSigma(:, :, k),1)))); %方差矩陣求逆

tmp=sum((Xshift*inv_pSigma) .* Xshift, 2);

coef=(2*pi)^(-D/2) * sqrt(det(inv_pSigma)); % det求矩陣的行列式

Px(:,k)=coef * exp(-0.5*tmp);

PCA算法核心代碼如下：

function [newX,T,meanValue]=pca_row(X,CRate)

%每行是一個樣本

%newX 降維后的新矩陣

%T變換矩陣

%meanValue X每列均值構成的矩陣，用于將降維后的矩陣newX恢復成X

%CRate 貢獻率

%計算中心化樣本矩陣

meanValue=ones(size(X,1),1)*mean(X);

X=X-meanValue;%每個維度減去該維度的均值

C=X'*X/(size(X,1)-1);%計算協(xié)方差矩陣

%計算特征向量，特征值

[V,D]=eig(C);

%將特征向量按降序排序

[dummy,order]=sort(diag(-D));

V=V(:,order);%將特征向量按照特征值大小進行降序排列

d=diag(D);%將特征值取出，構成一個列向量

newd=d(order);%將特征值構成的列向量按降序排列

%取前n個特征向量，構成變換矩陣

sumd=sum(newd);%特征值之和

for j=1:length(newd)

i=sum(newd(1:j,1))/sumd;%計算貢獻率，貢獻率=前n個特征值之和/總特征值之和

if i>CRate%

cols=j;

break;

end

end

T=V(:,1:cols);%取前cols個特征向量，構成變換矩陣T

newX=X*T;%用變換矩陣T對X進行降維

end

3 應用結果

通過系統(tǒng)架構的調整和機器學習算法進行優(yōu)化后，將近6個月的安全事件數量與去年同期進行對比，安全事件數量出現(xiàn)較為明顯的下降，業(yè)務終端的安全性得到大幅提高。應用前后安全事件數據對比如圖4所示。

圖4 研究前后同期安全事件次數對比

4 結束語

通過保留原有終端安全管理系統(tǒng)部署結構方面的優(yōu)勢，結合氣象現(xiàn)代化建設的趨勢和用戶需求，實現(xiàn)了氣象局域網網絡終端安全管理系統(tǒng)的統(tǒng)一監(jiān)管和分級管理，為局域網綜合一體化建設奠定了基礎。彌補了原終端安全管理系統(tǒng)在終端功能上的一些不足，提高了業(yè)務區(qū)和集約化平臺的終端的安全防護，實現(xiàn)了在終端安全管理服務器異常情況下的高效解決方案。采取應用準入方式的終端管控技術，解決了原終端安全管理系統(tǒng)使用802.1X協(xié)議進行管控中存在的不足，提高了全網的安全性和管理效率。該研究對國內氣象系統(tǒng)終端安全建設具有一定的參考價值和借鑒意義。

本次建設和研究還存在一些不足：部分系統(tǒng)對數據的安全性和私密性有著特殊的要求，新建設的終端安全系統(tǒng)還暫時無法滿足全部的要求；基于應用的準入控制，需要對安全域進行嚴格的劃分，現(xiàn)有網絡對于業(yè)務和辦公的界限還存在模糊，使安全域的范圍控制無法做到最優(yōu)，同時在安全域的終端被黑客利用產生攻擊時，攻擊阻斷還無法做到最快。未來的課題將針對以上的不足繼續(xù)進行探究與完善。