地州市地震信息節(jié)點網(wǎng)絡(luò)安全加固方案設(shè)計及應(yīng)用

◆倪泰山 劉飛 代子帆 趙應(yīng)秋

地州市地震信息節(jié)點網(wǎng)絡(luò)安全加固方案設(shè)計及應(yīng)用

◆倪泰山 劉飛 代子帆 趙應(yīng)秋

（紅河州地震局 云南 661199）

地震行業(yè)內(nèi)網(wǎng)自2007年建成投入使用后，極大地提高了工作的便利性。但是，地州市地震信息節(jié)點一直沒有配備必要的網(wǎng)絡(luò)安全設(shè)備，給節(jié)點網(wǎng)絡(luò)安全帶來極大挑戰(zhàn)。本文結(jié)合紅河州地震局信息節(jié)點應(yīng)用實踐，探討以較少的經(jīng)費投入，解決地州市地震信息節(jié)點網(wǎng)絡(luò)安全的一種加固方案。

入侵檢測；模式匹配；WM算法

隨著信息技術(shù)的迅猛發(fā)展和網(wǎng)絡(luò)技術(shù)的普及應(yīng)用，人們的工作生活方式發(fā)生了巨大變革。經(jīng)過多年的建設(shè)，地震行業(yè)內(nèi)網(wǎng)已具有相當規(guī)模。云南省在2007年建設(shè)地震信息節(jié)點時，建成了16個地州市及部分縣市地震局信息節(jié)點。2016年，隨著震情會商與應(yīng)急響應(yīng)技術(shù)系統(tǒng)建設(shè)項目的鋪開，地震行業(yè)內(nèi)網(wǎng)已延伸到所有縣市地震局，雖然沒有稱之為信息節(jié)點，事實上已完全具備地震信息節(jié)點的功能。在兩次項目建設(shè)過程中，地州市及縣市地震局均只配備必要的路由器、交換機等網(wǎng)絡(luò)基礎(chǔ)設(shè)備，網(wǎng)絡(luò)安全設(shè)備一直處于空白，網(wǎng)絡(luò)邊界未部署任何防護設(shè)備。

地震行業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)雖然沒有互聯(lián)，即便內(nèi)網(wǎng)終端與互聯(lián)網(wǎng)終端共享數(shù)據(jù)時，使用最原始的U盤、光盤等介質(zhì)，仍然避免不了病毒、木馬等的侵襲，網(wǎng)絡(luò)安全依然面臨極大風(fēng)險。在國家高度重視網(wǎng)絡(luò)安全的當下，探索一種投入較少，又能基本保證地震信息節(jié)點網(wǎng)絡(luò)安全的方案尤為必要。

1 紅河州地震局信息節(jié)點概況

1.1 信息節(jié)點基本情況

紅河州地震局信息節(jié)點2007年5月建成投入使用，同步建成彌勒、開遠、建水、石屏等4個縣市地震局信息節(jié)點，接入紅河州地震局節(jié)點核心路由器，實現(xiàn)了與全國地震行業(yè)內(nèi)網(wǎng)的互聯(lián)互通，運維經(jīng)費由省地震局列支，參加全省和全國地震監(jiān)測質(zhì)量評比。2016年，為實現(xiàn)震后應(yīng)急信息互聯(lián)互通，在云南省防震減災(zāi)“十項重點工程”支持下，將河口、屏邊、金平、元陽、綠春、紅河、瀘西、個舊、蒙自等9個縣市地震局接入內(nèi)網(wǎng)，使用聯(lián)通線路與州地震局互聯(lián)，運維經(jīng)費由紅河州地震局列支，不參加地震監(jiān)測質(zhì)量評比。目前，全州13個縣市地震局均實現(xiàn)了與地震行業(yè)內(nèi)網(wǎng)的互聯(lián)互通，并建成視頻會議系統(tǒng)。紅河州地震局信息節(jié)點目前部署5臺服務(wù)器，用于地震短信自動發(fā)布、地震業(yè)務(wù)管理、地震目錄數(shù)據(jù)處理、內(nèi)部網(wǎng)站、虛擬測震臺網(wǎng)、數(shù)據(jù)備份等（圖1）。

1.2 存在的網(wǎng)絡(luò)安全風(fēng)險

紅河州地震局開發(fā)完成的地震業(yè)務(wù)管理系統(tǒng)和地震目錄數(shù)據(jù)處理系統(tǒng)部署在同一臺Web服務(wù)器上，租用聯(lián)通專線以固定IP地址方式供互聯(lián)網(wǎng)用戶訪問。“中國紅震網(wǎng)”自2017年4月政府要求關(guān)停后，遷移至地震內(nèi)網(wǎng)服務(wù)器。3個Web應(yīng)用系統(tǒng)的地震目錄數(shù)據(jù)更新，由系統(tǒng)自動以定時間隔輪詢的方式，最新的地震目錄通過互聯(lián)網(wǎng)訪問國家地震科學(xué)數(shù)據(jù)共享中心相關(guān)頁面抓取，云南地震目錄通過內(nèi)網(wǎng)訪問云南省地震局FTP服務(wù)器進行下載。因此，避免不了服務(wù)器同時連接互聯(lián)網(wǎng)和地震內(nèi)網(wǎng)的情況。服務(wù)器通過兩張物理網(wǎng)卡分別連接互聯(lián)網(wǎng)和內(nèi)網(wǎng)，在操作系統(tǒng)中通過配置路由信息實現(xiàn)同時訪問互聯(lián)網(wǎng)和內(nèi)網(wǎng)的功能，這種連接方式存在極大的網(wǎng)絡(luò)安全風(fēng)險。

圖1 紅河州地震局信息節(jié)點網(wǎng)絡(luò)安全加固前拓撲圖

2 網(wǎng)絡(luò)安全加固設(shè)計方案

2.1 總體設(shè)計思路

目前，網(wǎng)絡(luò)安全越來越受到國家的高度重視?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第21條明確規(guī)定了“國家實行網(wǎng)絡(luò)安全等級保護制度，要求網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度要求，履行安全保護義務(wù)”。第31條規(guī)定“對于國家關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護”。地州市地震信息節(jié)點雖然沒有明確定義為國家關(guān)鍵信息基礎(chǔ)設(shè)施，但網(wǎng)絡(luò)安全仍然不可忽視，我們在設(shè)計網(wǎng)絡(luò)安全加固方案時，以最終通過網(wǎng)絡(luò)安全等級保護2.0測評為目標，根據(jù)經(jīng)費情況分期實施，先期解決“防”的問題，遠期達到通過等保二級的測評。

2.2 框架設(shè)計

參考網(wǎng)絡(luò)安全等級保護2.0相關(guān)標準和要求以及最新的安全防護體系模型，從保障地震信息節(jié)點業(yè)務(wù)安全高效運行為根本出發(fā)點，提出以“持續(xù)保護，不卡合規(guī)”為價值主張的等級保護2.0解決方案框架。將地震行業(yè)內(nèi)網(wǎng)確定為內(nèi)網(wǎng)域，接入內(nèi)網(wǎng)域的設(shè)備IP地址進行人工分配，信息節(jié)點與上級或下級的出入口定為內(nèi)網(wǎng)域邊界；對辦公網(wǎng)絡(luò)等需要訪問互聯(lián)網(wǎng)的設(shè)備，確定為外網(wǎng)域，其IP地址進行DHCP自動分配，外網(wǎng)域的出入口定義為外網(wǎng)邊界。在內(nèi)網(wǎng)域和外網(wǎng)域部署必要的網(wǎng)絡(luò)安全設(shè)備和安全審計系統(tǒng)。

先期解決內(nèi)、外網(wǎng)邊界的主動防御和內(nèi)、外網(wǎng)域之間的數(shù)據(jù)安全交互問題。

2.3 總體網(wǎng)絡(luò)安全加固拓撲圖

紅河州地震局信息節(jié)點的遠期目標是通過網(wǎng)絡(luò)安全等級保護2.0的測評。因此，設(shè)計的時候完全按照等保2.0標準和要求，在原來的網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上，按照核心交換區(qū)、邊界防護區(qū)、安全監(jiān)控區(qū)、辦公區(qū)、服務(wù)器區(qū)進行設(shè)計（圖2），紅色標注部分為需要增加部署的設(shè)備和系統(tǒng)。

圖2 紅河州地震局信息節(jié)點網(wǎng)絡(luò)安全加固方案網(wǎng)絡(luò)拓撲圖

核心交換區(qū)：是整個信息節(jié)點網(wǎng)絡(luò)中核心數(shù)據(jù)交換區(qū)，提供整個系統(tǒng)所有的數(shù)據(jù)交互。

邊界防護區(qū)：提供邊界防護功能，主要隔離內(nèi)網(wǎng)域和外網(wǎng)域，并過濾進出網(wǎng)絡(luò)流量。主要部署防火墻、網(wǎng)閘設(shè)備。

安全監(jiān)控區(qū)：主要對網(wǎng)絡(luò)內(nèi)部流量進行監(jiān)控，以保障網(wǎng)絡(luò)內(nèi)部的安全性和穩(wěn)定性。主要部署綜合日志審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、堡壘機、主機安全響應(yīng)檢測平臺，實現(xiàn)對網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)的收集與分析。

服務(wù)器區(qū)：提供多種應(yīng)用服務(wù)器接入，將所有服務(wù)器徹底與互聯(lián)網(wǎng)物理隔離，保障整體業(yè)務(wù)的穩(wěn)定性和可持續(xù)性，通過外網(wǎng)防火墻端口映射功能提供對外Web服務(wù)。

辦公區(qū)：外網(wǎng)辦公區(qū)提供終端接入外網(wǎng)域（互聯(lián)網(wǎng)），內(nèi)網(wǎng)辦公區(qū)提供終端接入內(nèi)網(wǎng)域，保障日常辦公環(huán)境。

3 網(wǎng)絡(luò)安全建設(shè)方案

在網(wǎng)絡(luò)安全加固設(shè)計方案，按照等級保護2.0的標準進行設(shè)計，但考慮地州市地震局的每年經(jīng)費有限，通過分期實施，逐年建設(shè)，最終達到設(shè)計方案目標。

3.1 先期建設(shè)內(nèi)容

先期主要解決網(wǎng)絡(luò)邊界的主動防護、主機系統(tǒng)的加固和內(nèi)外網(wǎng)域之間的隔離及數(shù)據(jù)交換問題。在建設(shè)時，我們?nèi)サ袅嗽O(shè)計方案中的堡壘機、數(shù)據(jù)庫審計系統(tǒng)、綜合日志審計系統(tǒng)、主機安全響應(yīng)檢測平臺等部分。

3.1 網(wǎng)絡(luò)架構(gòu)的安全加固

網(wǎng)絡(luò)通信是網(wǎng)絡(luò)安全上層應(yīng)用中的支撐體系，所以保障網(wǎng)絡(luò)安全首先應(yīng)該關(guān)注網(wǎng)絡(luò)通信的架構(gòu)安全（2021，鐘錫寶）。在內(nèi)網(wǎng)域，我們在內(nèi)網(wǎng)邊界部署一臺深信服下一代NGAF-1000-B1300防火墻設(shè)備，采用默認的安全策略外加必要的出入站策略，對內(nèi)網(wǎng)10.*.*.*的IP地址段不作任何限制，對其他網(wǎng)段拒絕訪問，同時配置端口策略，僅開放使用的端口，其余端口全部關(guān)閉。在外網(wǎng)邊界部署一臺深信服下一代NGAF-1000-B1120防火墻設(shè)備，開啟網(wǎng)頁防篡改（WAF）等功能，配置必要的安全策略，對不用的端口關(guān)閉，僅開放使用到的端口。利用防火墻自身的端口映射功能，將我局申請的聯(lián)通外網(wǎng)IP地址映射到內(nèi)網(wǎng)服務(wù)器，將部署在內(nèi)網(wǎng)服務(wù)器上的地震業(yè)務(wù)管理系統(tǒng)和地震目錄數(shù)據(jù)處理系統(tǒng)兩個WEB應(yīng)用提供給互聯(lián)網(wǎng)用戶使用。

在內(nèi)網(wǎng)域和外網(wǎng)域之間部署一臺深信服GAP-1000-A600網(wǎng)閘設(shè)備，利用網(wǎng)閘的“擺渡”功能讓內(nèi)外網(wǎng)之間的數(shù)據(jù)得到有效交互，同時又保證內(nèi)外網(wǎng)域之間的物理隔離，有效解決黑客通過外網(wǎng)域進行TCP/IP網(wǎng)絡(luò)協(xié)議攻擊問題，保證了內(nèi)網(wǎng)域的安全。通過網(wǎng)閘，實現(xiàn)了部署在內(nèi)網(wǎng)服務(wù)器上的地震業(yè)務(wù)管理系統(tǒng)、地震目錄數(shù)據(jù)處理系統(tǒng)到國家科學(xué)地震數(shù)據(jù)共享中心抓取最新地震目錄的功能，而服務(wù)器又不直接與互聯(lián)網(wǎng)連接（圖3）。

同時，部署完設(shè)備后，需要對系統(tǒng)和規(guī)則庫進行及時更新，確保設(shè)備真正對網(wǎng)絡(luò)起到防護作用。內(nèi)網(wǎng)防火墻與互聯(lián)網(wǎng)物理隔離，URL分類庫、應(yīng)用識別庫、Web應(yīng)用防護庫、僵尸網(wǎng)絡(luò)與病毒防護庫、實時漏洞分析識別庫、全網(wǎng)實時熱點事件庫、漏洞攻擊特征識別庫、熱點事件預(yù)警與處置庫等安全方面的數(shù)據(jù)需要人工更新，一般一個季度至少更新一次。網(wǎng)閘模塊升級也需要人工進行，外網(wǎng)防火墻由于與互聯(lián)網(wǎng)相連，相關(guān)的系統(tǒng)升級和規(guī)則庫升級會自動進行。

圖3 紅河州地震局信息節(jié)點先期實施的網(wǎng)絡(luò)架構(gòu)加固拓撲圖

3.2 主機系統(tǒng)的安全加固

紅河州地震局信息節(jié)點5臺服務(wù)器中，3臺安裝CentOS7操作系統(tǒng)，用于Web服務(wù)器和數(shù)據(jù)備份服務(wù)器，1臺安裝SuSE Linux系統(tǒng)，用于虛擬測震臺網(wǎng)，兩臺安裝Windows Server系統(tǒng)，用于地震短信自動發(fā)布。

安裝Linux系統(tǒng)的主機，主要通過以下幾方面進行加固：

（1）用戶賬號和環(huán)境

清除operator、lp、shutdown、halt、games、gopher等不用的賬號，刪除用戶組lp、uucp、dip，驗證是否有賬號存在空口令情況，檢查除了root以外是否還有其他賬號的UID為0。

（2）防火墻策略

用firewall-cmd –list-ports命令查看開放的端口，對不需要的端口進行及時關(guān)閉。

在高中數(shù)學(xué)變式教學(xué)中，對課本習(xí)題的變式要有步驟的進行.比如，在講授完習(xí)題“一動圓與圓C1：(x+3)2+y2=1外切，與圓：C2：(x-4)2+ y2=8內(nèi)切，求動圓圓心M的軌跡方程”后，可以將該題目變換為：已知圓C1(x+3)2+y2=1與圓C2(x-4)2+ y2=8，若動圓M同時與圓C1圓C2相外切，那么動圓圓心M的運動軌跡應(yīng)該是什么？

（3）關(guān)閉不需要的服務(wù)

多數(shù)Linux系統(tǒng)運行Sendmail作為郵件服務(wù)器，而該軟件歷史上出現(xiàn)過較多的安全漏洞，如無需要，關(guān)閉Mail Server等服務(wù)。

（4）SSH安全配置

配置空閑登出的超時間隔，禁用.rhosts文件，禁用root賬號通過SSH登錄，修改SSH端口和限制IP綁定，禁用空密碼登錄等。

（5）文件夾權(quán)限加固

對部署應(yīng)用系統(tǒng)的文件夾，設(shè)置只讀和執(zhí)行權(quán)限。命令：chmod 555 . –Rf

（6）關(guān)鍵資料的互備

在Linux各主機系統(tǒng)上開通ftp服務(wù)，然后編寫自動打包腳本，將需要備份的文件夾壓縮打包，數(shù)據(jù)庫通過導(dǎo)出命令導(dǎo)出數(shù)據(jù)，然后通過ftp命令進行相互傳輸，實現(xiàn)數(shù)據(jù)的互備功能。以下為一個自動備份的腳本文件：

#! /bin/sh

basedir="/home/website/databackup/www.eq.hh.cn" #存放備份文件的目錄

today=`date +%Y%m%d` #今天的日期變量

deldate=`date -d 3-days-ago +%Y%m%d` #要刪除的日期變量，刪除3天前的文件

echo off

echo 'website data backup!!!'

tar -czPf $basedir/hheq-webdata-$today.tar.gz /home/website/

www.eq.hh.cn #打包備份文件夾

sleep 3

#備份數(shù)據(jù)庫

/usr/bin/mysqldump -uroot –pnts**5487 --opt eqhh > $basedir/eqhh-mysql-$today.sql

sleep 3

cd $basedir

rm -rf hheq-webdata-$deldate.tar.gz #刪除3前天的備份文件

rm -rf eqhh-mysql-$deldate.sql #刪除3天前的數(shù)據(jù)庫導(dǎo)出文件

tar -czPf eqhh-mysql-$today.tar.gz eqhh-mysql-$today.sql #壓縮今天剛備份的數(shù)據(jù)庫文件

通過以上腳本進行了數(shù)據(jù)庫和目錄的打包備份后，在另一臺服務(wù)器上可以定時執(zhí)行mget命令將備份文件傳輸過去，從而實現(xiàn)服務(wù)器間的互備。

對于安裝Windows Server的主機系統(tǒng)，通過修改Administrator的名稱、編輯組策略，制定必要的出入站規(guī)則，安裝必要的防病毒軟件等進行加固。

3.3 應(yīng)用系統(tǒng)加固

紅河州地震局部署在服務(wù)器上的WEB應(yīng)用均為自行開發(fā)，每個應(yīng)用都設(shè)置了過濾器，將可能通過請求參數(shù)注入的SQL及js腳本中的單詞作為關(guān)鍵詞（見表1），對含有這些關(guān)鍵詞的所有GET和POST請求進行攔截，并直接跳轉(zhuǎn)到錯誤頁面，有效防止通過參數(shù)注入SQL或js腳本的攻擊。關(guān)鍵詞通過xml配置文件進行配置，方便動態(tài)增減。

表1 Web請求過濾關(guān)鍵詞

名稱關(guān)鍵詞 SQLsql，or，and，create，delete，drop，insert，update，truncate，lock table，where，select，grant js腳本及其他Server.ScriptTimeOut，script，count，javascript：encodeUrl，Execute，ExcuteGlobal，execute，eval，webshell，base64_decode，expression，class.classLoader，mid，char，chr，%，*，declare，master，exec，@，'， @ognl.OgnlContext@DEFAULT_MEMBER_ACCESS

4 結(jié)束語

2020年8月，紅河州地震局僅花費18.5萬元采購2臺深信服下一代NGAF防火墻和1臺A600網(wǎng)閘，實現(xiàn)了信息節(jié)點內(nèi)外網(wǎng)加固和物理隔離，使內(nèi)、外網(wǎng)邊界防御得到進一步增強，極大減輕了網(wǎng)絡(luò)安全風(fēng)險。在2021年5月紅河州公安局組織開展的“2021年網(wǎng)絡(luò)安全實戰(zhàn)演習(xí)”中，上報的兩個WEB應(yīng)用系統(tǒng)在被“攻擊”時段內(nèi)，系統(tǒng)日志詳細記錄了“黑客”攻擊記錄，兩個應(yīng)用系統(tǒng)經(jīng)受住了“攻擊”考驗，運行一切正常。在隨后州公安局反饋的報告中，沒有系統(tǒng)漏洞，一項應(yīng)用漏洞是程序員在開發(fā)時的疏忽造成，收到報告后立即進行了修復(fù)。

通過網(wǎng)絡(luò)架構(gòu)加固、主機加固及應(yīng)用系統(tǒng)加固，加上管理人員日常認真負責(zé)的管理，紅河州地震局信息節(jié)點網(wǎng)絡(luò)安全環(huán)境得到明顯改善，網(wǎng)絡(luò)安全風(fēng)險進一步降低。

[1]鐘錫寶. 網(wǎng)絡(luò)安全等級保護技術(shù)實現(xiàn)與分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（02）.

[2]劉宏娟. 隔離網(wǎng)閘在地質(zhì)數(shù)據(jù)信息化方面的應(yīng)用探索[J]. 國土資源信息化，2018（05）.

[3]深信服科技股份有限公司，深信服安全隔離與信息交換系統(tǒng)網(wǎng)閘 GAP-1000 V3.0 白皮書[R/OL]. （2019-05-20）[2021-07-26] https://www.sangfor.com.cn/info-center/document-center/document-list/1623．

[4]郝麗，邊鵬飛，馮錄剛，等. 地震行業(yè)網(wǎng)防火墻訪問控制策略部署研究[J]. 高原地震，2020.

[5]戴麗金，張麗娜，巫立華，等. 福建地震信息系統(tǒng)等級保護應(yīng)用實踐[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（10）.