地震臺(tái)站信息網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)安全管理與維護(hù)探析

◆賴見深 全建軍 林木金 林苗祿 陳華源

（1.福建省地震局東山地震臺(tái)福建 350000；2.福建省地震局永安地震臺(tái)福建 350000；3.福建省地震局邵武地震臺(tái)福建 350000）

地震臺(tái)站信息網(wǎng)絡(luò)節(jié)點(diǎn)是地震行業(yè)網(wǎng)的重要組成部分，是地震監(jiān)測數(shù)據(jù)重要的傳輸路線，同時(shí)也是臺(tái)站政務(wù)辦公、視頻會(huì)議、地震會(huì)商、日常地震科研，傳達(dá)省局信息文件的重要途徑，保障信息節(jié)點(diǎn)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行是一切工作的基礎(chǔ)。本文通過介紹東山地震臺(tái)信息網(wǎng)絡(luò)節(jié)點(diǎn)的軟硬件構(gòu)成和安全管理維護(hù)經(jīng)驗(yàn)，探索網(wǎng)絡(luò)安全管理方面存在的問題，并提出相關(guān)建議，為其他臺(tái)站在信息網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)安全管理方面提供一些參考。

1 信息網(wǎng)絡(luò)節(jié)點(diǎn)基本構(gòu)造

東山地震臺(tái)信息網(wǎng)絡(luò)節(jié)點(diǎn)上行鏈路包括電信2M SDH及移動(dòng)2M MSTP兩條專線，電信SDH專線連接省地震局?jǐn)?shù)據(jù)處理中心，移動(dòng)MSTP專線做為備用信道連接廈門數(shù)據(jù)處理中心。通過OSPF動(dòng)態(tài)路由協(xié)議保證路由自動(dòng)尋址和主備線路的自動(dòng)切換，當(dāng)通信線路正常時(shí)，地震監(jiān)測數(shù)據(jù)及其他數(shù)據(jù)流由電信 SDH專線進(jìn)行傳輸，一旦電信SDH線路出現(xiàn)故障，無法正常傳輸數(shù)據(jù)時(shí)，數(shù)據(jù)傳輸路線便自動(dòng)改為移動(dòng)MSTP專線。當(dāng)電信 SDH線路故障恢復(fù)后，數(shù)據(jù)自動(dòng)切換回電信SDH線路進(jìn)行傳輸。雙專線網(wǎng)絡(luò)線路能最大限度地保障地震監(jiān)測數(shù)據(jù)連續(xù)不間斷的傳輸及存儲(chǔ)。信息網(wǎng)絡(luò)節(jié)點(diǎn)下行鏈路主要包括服務(wù)器、地震監(jiān)測儀器、GPS設(shè)備、辦公設(shè)備等。整個(gè)信息網(wǎng)絡(luò)節(jié)點(diǎn)構(gòu)造便于建立、維護(hù)和擴(kuò)展，具有維護(hù)管理簡單，安全可靠等特點(diǎn)。

圖1 東山地震臺(tái)信息網(wǎng)絡(luò)節(jié)點(diǎn)基本構(gòu)造

2 軟件構(gòu)成

信息網(wǎng)絡(luò)節(jié)點(diǎn)安裝的軟件主要包括：在千兆數(shù)據(jù)處理計(jì)算機(jī)上安裝了 Windows 操作系統(tǒng)、WPS辦公軟件、Mapsis分析軟件、VNC Viewer、FTP客戶端、中國地震前兆臺(tái)網(wǎng)處理軟件、EDAS-CM-SMS測震數(shù)據(jù)采集器設(shè)置軟件、地震與烈度速報(bào)信息服務(wù)系統(tǒng)、信息網(wǎng)絡(luò)評(píng)比系統(tǒng)、儀器維修中心信息管理系統(tǒng)及殺毒軟件等；其他辦公電腦則安裝了Windows 操作系統(tǒng)、WPS辦公軟件、FTP客戶端、財(cái)務(wù)管理軟件等辦公軟件以及殺毒軟件等；在地震預(yù)警服務(wù)器上安裝了Windows操作系統(tǒng)、地震預(yù)警系統(tǒng)及殺毒軟件等。

3 硬件構(gòu)成

硬件設(shè)備是網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)，它的安全可靠是網(wǎng)絡(luò)安全的重要部分，東山地震臺(tái)信息網(wǎng)絡(luò)節(jié)點(diǎn)的硬件設(shè)備主要有：防火墻、服務(wù)器、交換機(jī)、路由器。

防火墻：防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的隔離手段，是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問控制尺度，其主要目標(biāo)就是通過控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限，并迫使所有的連接都經(jīng)過這樣的檢查，防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭受外界因素的干擾和破壞。防火墻包括軟件防火墻和硬件防火墻，硬件防火墻將防火墻程序做到芯片里面，由硬件執(zhí)行防火墻功能，能減少 CPU的負(fù)擔(dān)，使路由更穩(wěn)定。硬件防火墻是保障內(nèi)部網(wǎng)絡(luò)安全的一道重要屏障，它的安全和穩(wěn)定直接關(guān)系到整個(gè)內(nèi)部網(wǎng)絡(luò)的安全。

服務(wù)器：服務(wù)器是一種高性能計(jì)算機(jī)，內(nèi)部結(jié)構(gòu)與普通的計(jì)算機(jī)內(nèi)部結(jié)構(gòu)相差不大，在網(wǎng)絡(luò)中為其他客戶機(jī)提供計(jì)算或者應(yīng)用服務(wù)。地震信息網(wǎng)絡(luò)節(jié)點(diǎn)前兆服務(wù)器用于匯集存儲(chǔ)前兆、測震等監(jiān)測數(shù)據(jù)，并通過地震前兆臺(tái)網(wǎng)數(shù)據(jù)管理系統(tǒng)進(jìn)行數(shù)據(jù)分析處理，同時(shí)實(shí)現(xiàn)與省局的互聯(lián)互通。

路由器：路由器工作于網(wǎng)絡(luò)層，是互聯(lián)網(wǎng)的主要結(jié)點(diǎn)設(shè)備，用于實(shí)現(xiàn)信息的轉(zhuǎn)送，它的可靠性則直接影響著網(wǎng)絡(luò)互連的質(zhì)量。路由器的漏洞主要包括Web漏洞、密碼破解漏洞、溢出漏洞和后門漏洞。作為信息網(wǎng)絡(luò)節(jié)點(diǎn)管理人員，要學(xué)習(xí)和了解路由器設(shè)備的安全性能，熟悉路由器的基本配置，重視路由器密碼設(shè)置，在路由器設(shè)備出現(xiàn)故障，能及時(shí)進(jìn)行排除，最大限度減少傷害和損失。東山地震臺(tái)信息網(wǎng)絡(luò)節(jié)點(diǎn)安裝兩個(gè)不同品牌的路由器，一個(gè)做為主用信道路由，一個(gè)作為備用信道路由，對(duì)網(wǎng)絡(luò)數(shù)據(jù)的傳輸起到雙重保障作用，確保網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)倪B續(xù)性和穩(wěn)定性。

交換機(jī)：交換機(jī)工作于數(shù)據(jù)鏈路層，它的主要功能包括錯(cuò)誤校驗(yàn)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、物理編址、幀序列以及流控，同時(shí)具有對(duì)VLAN（虛擬局域網(wǎng)）的支持、對(duì)鏈路匯聚的支持，有的甚至還具有防火墻的功能。局域網(wǎng)交換機(jī)用于連接終端設(shè)備，如PC機(jī)、服務(wù)器、網(wǎng)絡(luò)打印機(jī)等網(wǎng)絡(luò)設(shè)備以及數(shù)據(jù)采集器、專業(yè)儀器設(shè)備等。東山地震臺(tái)信息網(wǎng)絡(luò)節(jié)點(diǎn)安裝兩臺(tái)不同品牌的交換機(jī)，分別用于主用信道和備用信道。

4 安全維護(hù)經(jīng)驗(yàn)

福建省地震局對(duì)全省地震行業(yè)網(wǎng)的建設(shè)進(jìn)行整體規(guī)劃和實(shí)施，并在網(wǎng)絡(luò)安全管理方面設(shè)計(jì)多層防護(hù)策略，主要包括在防火墻設(shè)置、防網(wǎng)絡(luò)入侵檢測、訪問控制、病毒防護(hù)等安全策略上，同時(shí)對(duì)數(shù)據(jù)庫、防火墻、防病毒軟件等重要設(shè)備進(jìn)行網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控和短信報(bào)警。東山地震臺(tái)信息網(wǎng)絡(luò)節(jié)點(diǎn)作為福建省地震局地震行業(yè)網(wǎng)的有機(jī)組成部分，其網(wǎng)絡(luò)安全管理在整個(gè)地震信息網(wǎng)絡(luò)中也是一個(gè)不可忽視的環(huán)節(jié)。

4.1 日常安全管理

（1）信息網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)網(wǎng)的IP地址采用靜態(tài)固定方式分配，并將IP地址與計(jì)算機(jī)網(wǎng)卡MAC地址綁定。科學(xué)合理的規(guī)劃IP地址，能夠避免IP地址分配沖突，實(shí)現(xiàn)一機(jī)一IP地址，方便網(wǎng)絡(luò)管理和安全維護(hù)。

（2）安裝殺毒軟件。所有用網(wǎng)計(jì)算機(jī)都必須安裝專業(yè)殺毒軟件，經(jīng)常查殺病毒并及時(shí)進(jìn)行病毒庫升級(jí)。計(jì)算機(jī)郵件收發(fā)之前應(yīng)進(jìn)行病毒查殺，不得隨意打開不明郵件，以防木馬和病毒通過郵件形式進(jìn)行傳播。使用移動(dòng)存儲(chǔ)介質(zhì)時(shí)應(yīng)先用殺毒軟件進(jìn)行病毒掃描，經(jīng)掃描未發(fā)現(xiàn)病毒后才能使用。

（3）嚴(yán)禁在內(nèi)外網(wǎng)計(jì)算機(jī)之間交叉使用移動(dòng)硬盤、U盤等存儲(chǔ)介質(zhì)。

（4）嚴(yán)格規(guī)范職工用網(wǎng)行為，嚴(yán)禁使用個(gè)人辦公計(jì)算機(jī)登入非法、色情或可疑網(wǎng)站，嚴(yán)禁在業(yè)務(wù)專用計(jì)算機(jī)上登錄外網(wǎng)、網(wǎng)絡(luò)聊天、打游戲等。

（5）網(wǎng)絡(luò)管理人員按照日常安全管理制度，每天對(duì)網(wǎng)絡(luò)設(shè)備狀態(tài)及數(shù)據(jù)傳輸情況等進(jìn)行檢查，發(fā)現(xiàn)問題立即處理并及時(shí)上報(bào)上級(jí)部門。

圖2 東山地震臺(tái)網(wǎng)絡(luò)安全日常管理流程

4.2 建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案

建立網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案，根據(jù)主動(dòng)防范、先期處置、及時(shí)上報(bào)的處置原則，一旦發(fā)現(xiàn)病毒入侵時(shí)應(yīng)立即啟動(dòng)殺毒軟件進(jìn)行查殺，查找病毒根源。遇到殺毒軟件無法清除的計(jì)算機(jī)病毒或病毒引起的計(jì)算機(jī)系統(tǒng)癱瘓、程序和數(shù)據(jù)嚴(yán)重破壞等情況時(shí)，應(yīng)立即隔離染毒計(jì)算機(jī)（斷開網(wǎng)絡(luò)或關(guān)閉計(jì)算機(jī)），防止病毒擴(kuò)散、數(shù)據(jù)丟失；遇到重大黑客攻擊或竊取，應(yīng)及時(shí)屏蔽重要數(shù)據(jù)和信息與外網(wǎng)的鏈接。

4.3 掌握最新網(wǎng)絡(luò)病毒與攻擊方式并及時(shí)做好防范

及時(shí)了解掌握最新網(wǎng)絡(luò)病毒與攻擊方式，提早做好有效防范措施，能夠有效防范計(jì)算機(jī)病毒傳播，更好做到預(yù)先防治、應(yīng)急處理及事后復(fù)原。例如2019年3月針對(duì)勒索病毒GANDCRAB，國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)出預(yù)警通報(bào)，作為網(wǎng)絡(luò)管理人員應(yīng)及時(shí)按照防范要求，升級(jí)殺毒軟件病毒庫，對(duì)相關(guān)系統(tǒng)進(jìn)行全面掃描查殺，升級(jí)操作系統(tǒng)安全補(bǔ)丁，升級(jí)Web、數(shù)據(jù)庫等服務(wù)程序，防止病毒利用漏洞傳播，并提醒單位用網(wǎng)人員做好防病毒準(zhǔn)備。

4.4 數(shù)據(jù)的備份和恢復(fù)

地震原始觀測數(shù)據(jù)是地震科學(xué)研究的基礎(chǔ)，保障地震觀測數(shù)據(jù)的安全和完整是地震工作的首要職責(zé)。為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，以及保證數(shù)據(jù)和信息不被外來因素篡改，使用數(shù)據(jù)備份和恢復(fù)技術(shù)十分重要。地震臺(tái)站采集的觀測數(shù)據(jù)存儲(chǔ)在臺(tái)站信息節(jié)點(diǎn)數(shù)據(jù)庫服務(wù)器中，該數(shù)據(jù)庫服務(wù)器與省局臺(tái)網(wǎng)中心數(shù)據(jù)庫服務(wù)器及時(shí)同步，進(jìn)行相關(guān)數(shù)據(jù)備份。

5 存在問題及建議

5.1 網(wǎng)絡(luò)安全意識(shí)薄弱

提升職工的網(wǎng)絡(luò)安全意識(shí)能夠有效解決網(wǎng)絡(luò)安全問題。目前很多職工網(wǎng)絡(luò)安全意識(shí)薄弱，使用的計(jì)算機(jī)不安裝殺毒軟件，瀏覽網(wǎng)頁、下載軟件較為隨意，致使病毒防護(hù)的第一重防護(hù)門被輕易打開，造成木馬、電腦病毒的快速傳播。因此，要嚴(yán)格要求臺(tái)站用網(wǎng)人員遵守網(wǎng)絡(luò)安全管理制度，強(qiáng)化用網(wǎng)責(zé)任。同時(shí)，定期開展網(wǎng)絡(luò)安全培訓(xùn)，加強(qiáng)職工計(jì)算機(jī)操作、信息技能、網(wǎng)絡(luò)和信息安全等相關(guān)知識(shí)的宣傳普及，增強(qiáng)預(yù)防意識(shí)和簡單應(yīng)急處置能力。

5.2 網(wǎng)絡(luò)維護(hù)人員專業(yè)水平不足

臺(tái)站網(wǎng)絡(luò)維護(hù)人員大部分是兼職的，網(wǎng)絡(luò)安全知識(shí)及運(yùn)維專業(yè)水平有限，不能有效應(yīng)對(duì)重大網(wǎng)絡(luò)安全突發(fā)事件，平時(shí)應(yīng)加強(qiáng)網(wǎng)絡(luò)維護(hù)人員在防火墻、路由器、網(wǎng)絡(luò)安全管理及處置等專業(yè)培訓(xùn)，提升網(wǎng)絡(luò)維護(hù)人員的日常運(yùn)維和應(yīng)急處置能力。

5.3 定期查補(bǔ)系統(tǒng)和軟件漏洞

網(wǎng)絡(luò)設(shè)備中的操作系統(tǒng)與應(yīng)用軟件參差不齊，不可能是百分之百?zèng)]有缺陷和漏洞的，面對(duì)越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境，僅僅依靠臺(tái)站網(wǎng)絡(luò)維護(hù)人員現(xiàn)有專業(yè)水平查補(bǔ)漏洞明顯是不夠的。具體可以聘請(qǐng)專業(yè)網(wǎng)絡(luò)安全公司或?qū)ふ乙环N能夠查找漏洞、風(fēng)險(xiǎn)評(píng)估以及提出解決對(duì)策的掃描工具，定期查找系統(tǒng)和軟件漏洞，通過補(bǔ)丁、優(yōu)化系統(tǒng)配置等方式最大程度上彌補(bǔ)漏洞和隱患。

6 結(jié)語

隨著信息技術(shù)的不斷發(fā)展，地震行業(yè)網(wǎng)已然成為地震系統(tǒng)日常科研及政務(wù)工作開展必不可少的基礎(chǔ)設(shè)施，臺(tái)站信息節(jié)點(diǎn)作為地震行業(yè)網(wǎng)的重要組成部分，它的安全穩(wěn)定運(yùn)行不僅關(guān)系著地震觀測數(shù)據(jù)完整連續(xù)的傳輸，也影響著整個(gè)行業(yè)網(wǎng)的信息安全。另外臺(tái)站網(wǎng)絡(luò)安全維護(hù)的底子較為薄弱，我們更應(yīng)該將臺(tái)站信息節(jié)點(diǎn)的安全管理和維護(hù)作為一項(xiàng)重要的任務(wù)，制定完善的規(guī)章制度，全體職工嚴(yán)格遵守，同時(shí)臺(tái)站網(wǎng)絡(luò)維護(hù)人員要通過自我學(xué)習(xí)和培訓(xùn)，并在工作中總結(jié)經(jīng)驗(yàn)，不斷提高網(wǎng)絡(luò)安全管理和維護(hù)水平，以面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境。