地震臺站信息網(wǎng)絡(luò)節(jié)點的網(wǎng)絡(luò)安全管理與維護(hù)探析

◆賴見深 全建軍 林木金 林苗祿 陳華源

（1.福建省地震局東山地震臺福建 350000；2.福建省地震局永安地震臺福建 350000；3.福建省地震局邵武地震臺福建 350000）

地震臺站信息網(wǎng)絡(luò)節(jié)點是地震行業(yè)網(wǎng)的重要組成部分，是地震監(jiān)測數(shù)據(jù)重要的傳輸路線，同時也是臺站政務(wù)辦公、視頻會議、地震會商、日常地震科研，傳達(dá)省局信息文件的重要途徑，保障信息節(jié)點網(wǎng)絡(luò)的安全穩(wěn)定運行是一切工作的基礎(chǔ)。本文通過介紹東山地震臺信息網(wǎng)絡(luò)節(jié)點的軟硬件構(gòu)成和安全管理維護(hù)經(jīng)驗，探索網(wǎng)絡(luò)安全管理方面存在的問題，并提出相關(guān)建議，為其他臺站在信息網(wǎng)絡(luò)節(jié)點的網(wǎng)絡(luò)安全管理方面提供一些參考。

1 信息網(wǎng)絡(luò)節(jié)點基本構(gòu)造

東山地震臺信息網(wǎng)絡(luò)節(jié)點上行鏈路包括電信2M SDH及移動2M MSTP兩條專線，電信SDH專線連接省地震局?jǐn)?shù)據(jù)處理中心，移動MSTP專線做為備用信道連接廈門數(shù)據(jù)處理中心。通過OSPF動態(tài)路由協(xié)議保證路由自動尋址和主備線路的自動切換，當(dāng)通信線路正常時，地震監(jiān)測數(shù)據(jù)及其他數(shù)據(jù)流由電信 SDH專線進(jìn)行傳輸，一旦電信SDH線路出現(xiàn)故障，無法正常傳輸數(shù)據(jù)時，數(shù)據(jù)傳輸路線便自動改為移動MSTP專線。當(dāng)電信 SDH線路故障恢復(fù)后，數(shù)據(jù)自動切換回電信SDH線路進(jìn)行傳輸。雙專線網(wǎng)絡(luò)線路能最大限度地保障地震監(jiān)測數(shù)據(jù)連續(xù)不間斷的傳輸及存儲。信息網(wǎng)絡(luò)節(jié)點下行鏈路主要包括服務(wù)器、地震監(jiān)測儀器、GPS設(shè)備、辦公設(shè)備等。整個信息網(wǎng)絡(luò)節(jié)點構(gòu)造便于建立、維護(hù)和擴(kuò)展，具有維護(hù)管理簡單，安全可靠等特點。

圖1 東山地震臺信息網(wǎng)絡(luò)節(jié)點基本構(gòu)造

2 軟件構(gòu)成

信息網(wǎng)絡(luò)節(jié)點安裝的軟件主要包括：在千兆數(shù)據(jù)處理計算機(jī)上安裝了 Windows 操作系統(tǒng)、WPS辦公軟件、Mapsis分析軟件、VNC Viewer、FTP客戶端、中國地震前兆臺網(wǎng)處理軟件、EDAS-CM-SMS測震數(shù)據(jù)采集器設(shè)置軟件、地震與烈度速報信息服務(wù)系統(tǒng)、信息網(wǎng)絡(luò)評比系統(tǒng)、儀器維修中心信息管理系統(tǒng)及殺毒軟件等；其他辦公電腦則安裝了Windows 操作系統(tǒng)、WPS辦公軟件、FTP客戶端、財務(wù)管理軟件等辦公軟件以及殺毒軟件等；在地震預(yù)警服務(wù)器上安裝了Windows操作系統(tǒng)、地震預(yù)警系統(tǒng)及殺毒軟件等。

3 硬件構(gòu)成

硬件設(shè)備是網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)，它的安全可靠是網(wǎng)絡(luò)安全的重要部分，東山地震臺信息網(wǎng)絡(luò)節(jié)點的硬件設(shè)備主要有：防火墻、服務(wù)器、交換機(jī)、路由器。

防火墻：防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的隔離手段，是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度，其主要目標(biāo)就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限，并迫使所有的連接都經(jīng)過這樣的檢查，防止一個需要保護(hù)的網(wǎng)絡(luò)遭受外界因素的干擾和破壞。防火墻包括軟件防火墻和硬件防火墻，硬件防火墻將防火墻程序做到芯片里面，由硬件執(zhí)行防火墻功能，能減少 CPU的負(fù)擔(dān)，使路由更穩(wěn)定。硬件防火墻是保障內(nèi)部網(wǎng)絡(luò)安全的一道重要屏障，它的安全和穩(wěn)定直接關(guān)系到整個內(nèi)部網(wǎng)絡(luò)的安全。

服務(wù)器：服務(wù)器是一種高性能計算機(jī)，內(nèi)部結(jié)構(gòu)與普通的計算機(jī)內(nèi)部結(jié)構(gòu)相差不大，在網(wǎng)絡(luò)中為其他客戶機(jī)提供計算或者應(yīng)用服務(wù)。地震信息網(wǎng)絡(luò)節(jié)點前兆服務(wù)器用于匯集存儲前兆、測震等監(jiān)測數(shù)據(jù)，并通過地震前兆臺網(wǎng)數(shù)據(jù)管理系統(tǒng)進(jìn)行數(shù)據(jù)分析處理，同時實現(xiàn)與省局的互聯(lián)互通。

路由器：路由器工作于網(wǎng)絡(luò)層，是互聯(lián)網(wǎng)的主要結(jié)點設(shè)備，用于實現(xiàn)信息的轉(zhuǎn)送，它的可靠性則直接影響著網(wǎng)絡(luò)互連的質(zhì)量。路由器的漏洞主要包括Web漏洞、密碼破解漏洞、溢出漏洞和后門漏洞。作為信息網(wǎng)絡(luò)節(jié)點管理人員，要學(xué)習(xí)和了解路由器設(shè)備的安全性能，熟悉路由器的基本配置，重視路由器密碼設(shè)置，在路由器設(shè)備出現(xiàn)故障，能及時進(jìn)行排除，最大限度減少傷害和損失。東山地震臺信息網(wǎng)絡(luò)節(jié)點安裝兩個不同品牌的路由器，一個做為主用信道路由，一個作為備用信道路由，對網(wǎng)絡(luò)數(shù)據(jù)的傳輸起到雙重保障作用，確保網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)倪B續(xù)性和穩(wěn)定性。

交換機(jī)：交換機(jī)工作于數(shù)據(jù)鏈路層，它的主要功能包括錯誤校驗、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、物理編址、幀序列以及流控，同時具有對VLAN（虛擬局域網(wǎng)）的支持、對鏈路匯聚的支持，有的甚至還具有防火墻的功能。局域網(wǎng)交換機(jī)用于連接終端設(shè)備，如PC機(jī)、服務(wù)器、網(wǎng)絡(luò)打印機(jī)等網(wǎng)絡(luò)設(shè)備以及數(shù)據(jù)采集器、專業(yè)儀器設(shè)備等。東山地震臺信息網(wǎng)絡(luò)節(jié)點安裝兩臺不同品牌的交換機(jī)，分別用于主用信道和備用信道。

4 安全維護(hù)經(jīng)驗

福建省地震局對全省地震行業(yè)網(wǎng)的建設(shè)進(jìn)行整體規(guī)劃和實施，并在網(wǎng)絡(luò)安全管理方面設(shè)計多層防護(hù)策略，主要包括在防火墻設(shè)置、防網(wǎng)絡(luò)入侵檢測、訪問控制、病毒防護(hù)等安全策略上，同時對數(shù)據(jù)庫、防火墻、防病毒軟件等重要設(shè)備進(jìn)行網(wǎng)絡(luò)實時監(jiān)控和短信報警。東山地震臺信息網(wǎng)絡(luò)節(jié)點作為福建省地震局地震行業(yè)網(wǎng)的有機(jī)組成部分，其網(wǎng)絡(luò)安全管理在整個地震信息網(wǎng)絡(luò)中也是一個不可忽視的環(huán)節(jié)。

4.1 日常安全管理

（1）信息網(wǎng)絡(luò)節(jié)點內(nèi)網(wǎng)的IP地址采用靜態(tài)固定方式分配，并將IP地址與計算機(jī)網(wǎng)卡MAC地址綁定?？茖W(xué)合理的規(guī)劃IP地址，能夠避免IP地址分配沖突，實現(xiàn)一機(jī)一IP地址，方便網(wǎng)絡(luò)管理和安全維護(hù)。

（2）安裝殺毒軟件。所有用網(wǎng)計算機(jī)都必須安裝專業(yè)殺毒軟件，經(jīng)常查殺病毒并及時進(jìn)行病毒庫升級。計算機(jī)郵件收發(fā)之前應(yīng)進(jìn)行病毒查殺，不得隨意打開不明郵件，以防木馬和病毒通過郵件形式進(jìn)行傳播。使用移動存儲介質(zhì)時應(yīng)先用殺毒軟件進(jìn)行病毒掃描，經(jīng)掃描未發(fā)現(xiàn)病毒后才能使用。

（3）嚴(yán)禁在內(nèi)外網(wǎng)計算機(jī)之間交叉使用移動硬盤、U盤等存儲介質(zhì)。

（4）嚴(yán)格規(guī)范職工用網(wǎng)行為，嚴(yán)禁使用個人辦公計算機(jī)登入非法、色情或可疑網(wǎng)站，嚴(yán)禁在業(yè)務(wù)專用計算機(jī)上登錄外網(wǎng)、網(wǎng)絡(luò)聊天、打游戲等。

（5）網(wǎng)絡(luò)管理人員按照日常安全管理制度，每天對網(wǎng)絡(luò)設(shè)備狀態(tài)及數(shù)據(jù)傳輸情況等進(jìn)行檢查，發(fā)現(xiàn)問題立即處理并及時上報上級部門。

圖2 東山地震臺網(wǎng)絡(luò)安全日常管理流程

4.2 建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案

建立網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案，根據(jù)主動防范、先期處置、及時上報的處置原則，一旦發(fā)現(xiàn)病毒入侵時應(yīng)立即啟動殺毒軟件進(jìn)行查殺，查找病毒根源。遇到殺毒軟件無法清除的計算機(jī)病毒或病毒引起的計算機(jī)系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等情況時，應(yīng)立即隔離染毒計算機(jī)（斷開網(wǎng)絡(luò)或關(guān)閉計算機(jī)），防止病毒擴(kuò)散、數(shù)據(jù)丟失；遇到重大黑客攻擊或竊取，應(yīng)及時屏蔽重要數(shù)據(jù)和信息與外網(wǎng)的鏈接。

4.3 掌握最新網(wǎng)絡(luò)病毒與攻擊方式并及時做好防范

及時了解掌握最新網(wǎng)絡(luò)病毒與攻擊方式，提早做好有效防范措施，能夠有效防范計算機(jī)病毒傳播，更好做到預(yù)先防治、應(yīng)急處理及事后復(fù)原。例如2019年3月針對勒索病毒GANDCRAB，國家網(wǎng)絡(luò)與信息安全信息通報中心發(fā)出預(yù)警通報，作為網(wǎng)絡(luò)管理人員應(yīng)及時按照防范要求，升級殺毒軟件病毒庫，對相關(guān)系統(tǒng)進(jìn)行全面掃描查殺，升級操作系統(tǒng)安全補丁，升級Web、數(shù)據(jù)庫等服務(wù)程序，防止病毒利用漏洞傳播，并提醒單位用網(wǎng)人員做好防病毒準(zhǔn)備。

4.4 數(shù)據(jù)的備份和恢復(fù)

地震原始觀測數(shù)據(jù)是地震科學(xué)研究的基礎(chǔ)，保障地震觀測數(shù)據(jù)的安全和完整是地震工作的首要職責(zé)。為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，以及保證數(shù)據(jù)和信息不被外來因素篡改，使用數(shù)據(jù)備份和恢復(fù)技術(shù)十分重要。地震臺站采集的觀測數(shù)據(jù)存儲在臺站信息節(jié)點數(shù)據(jù)庫服務(wù)器中，該數(shù)據(jù)庫服務(wù)器與省局臺網(wǎng)中心數(shù)據(jù)庫服務(wù)器及時同步，進(jìn)行相關(guān)數(shù)據(jù)備份。

5 存在問題及建議

5.1 網(wǎng)絡(luò)安全意識薄弱

提升職工的網(wǎng)絡(luò)安全意識能夠有效解決網(wǎng)絡(luò)安全問題。目前很多職工網(wǎng)絡(luò)安全意識薄弱，使用的計算機(jī)不安裝殺毒軟件，瀏覽網(wǎng)頁、下載軟件較為隨意，致使病毒防護(hù)的第一重防護(hù)門被輕易打開，造成木馬、電腦病毒的快速傳播。因此，要嚴(yán)格要求臺站用網(wǎng)人員遵守網(wǎng)絡(luò)安全管理制度，強化用網(wǎng)責(zé)任。同時，定期開展網(wǎng)絡(luò)安全培訓(xùn)，加強職工計算機(jī)操作、信息技能、網(wǎng)絡(luò)和信息安全等相關(guān)知識的宣傳普及，增強預(yù)防意識和簡單應(yīng)急處置能力。

5.2 網(wǎng)絡(luò)維護(hù)人員專業(yè)水平不足

臺站網(wǎng)絡(luò)維護(hù)人員大部分是兼職的，網(wǎng)絡(luò)安全知識及運維專業(yè)水平有限，不能有效應(yīng)對重大網(wǎng)絡(luò)安全突發(fā)事件，平時應(yīng)加強網(wǎng)絡(luò)維護(hù)人員在防火墻、路由器、網(wǎng)絡(luò)安全管理及處置等專業(yè)培訓(xùn)，提升網(wǎng)絡(luò)維護(hù)人員的日常運維和應(yīng)急處置能力。

5.3 定期查補系統(tǒng)和軟件漏洞

網(wǎng)絡(luò)設(shè)備中的操作系統(tǒng)與應(yīng)用軟件參差不齊，不可能是百分之百沒有缺陷和漏洞的，面對越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境，僅僅依靠臺站網(wǎng)絡(luò)維護(hù)人員現(xiàn)有專業(yè)水平查補漏洞明顯是不夠的。具體可以聘請專業(yè)網(wǎng)絡(luò)安全公司或?qū)ふ乙环N能夠查找漏洞、風(fēng)險評估以及提出解決對策的掃描工具，定期查找系統(tǒng)和軟件漏洞，通過補丁、優(yōu)化系統(tǒng)配置等方式最大程度上彌補漏洞和隱患。

6 結(jié)語

隨著信息技術(shù)的不斷發(fā)展，地震行業(yè)網(wǎng)已然成為地震系統(tǒng)日?？蒲屑罢?wù)工作開展必不可少的基礎(chǔ)設(shè)施，臺站信息節(jié)點作為地震行業(yè)網(wǎng)的重要組成部分，它的安全穩(wěn)定運行不僅關(guān)系著地震觀測數(shù)據(jù)完整連續(xù)的傳輸，也影響著整個行業(yè)網(wǎng)的信息安全。另外臺站網(wǎng)絡(luò)安全維護(hù)的底子較為薄弱，我們更應(yīng)該將臺站信息節(jié)點的安全管理和維護(hù)作為一項重要的任務(wù)，制定完善的規(guī)章制度，全體職工嚴(yán)格遵守，同時臺站網(wǎng)絡(luò)維護(hù)人員要通過自我學(xué)習(xí)和培訓(xùn)，并在工作中總結(jié)經(jīng)驗，不斷提高網(wǎng)絡(luò)安全管理和維護(hù)水平，以面對日益嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境。