邢麗平，陳 侃，汪 璠

（1.湖北省氣象信息與技術(shù)保障中心，武漢 430074；2.湖北省稅務(wù)局，武漢 430071）

信息資源已經(jīng)成為國家經(jīng)濟建設(shè)和社會發(fā)展的重要戰(zhàn)略資源之一，依法開展信息安全等級保護［1］工作，是國家保護關(guān)鍵信息基礎(chǔ)設(shè)施、保障信息安全的通行做法。根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護等級共分為五級，從一級至五級逐級增高。根據(jù)信息安全等級保護管理辦法中要求：第一級系統(tǒng)首次做定級備案；第二級系統(tǒng)首次定級備案后需要做等保測評工作；第三級信息系統(tǒng)做完定級測評后，應(yīng)每年至少1 次等級測評；第四級信息系統(tǒng)應(yīng)當每半年至少1 次等級測評；第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評［2］。

湖北省2011年開始信息系統(tǒng)等級保護測評工作，到目前為止所有二級以上信息系統(tǒng)均在省公安廳定級備案，第三級信息系統(tǒng)委托具備資質(zhì)的第三方機構(gòu)進行年度等級保護測評，并形成測評報告上報公安廳備案，無四級和五級等級保護信息系統(tǒng)。所有在線重要信息系統(tǒng)均實現(xiàn)了安全可控、能控、在控。湖北省氣象局多年來結(jié)合信息化建設(shè)項目課題，不斷加強信息網(wǎng)絡(luò)安全技術(shù)研究，從測評整改入手，建立了相對完善的技術(shù)防護措施，具備了一定的安全防護能力。本研究在梳理湖北省關(guān)鍵信息基礎(chǔ)設(shè)施安全問題的基礎(chǔ)上，結(jié)合等級測評報告反映主要問題和整改建議，按照構(gòu)建安全體系結(jié)構(gòu)的研究思路，采用包括加固線上安全產(chǎn)品防護策略、新增冗余網(wǎng)絡(luò)關(guān)鍵節(jié)點及安全產(chǎn)品無縫接入現(xiàn)網(wǎng)等技術(shù)策略，逐步開展分期整改，以期為相關(guān)研究提供參考。

1 等級保護測評

1.1 定義

信息系統(tǒng)安全等級保護測評是國家信息安全的基本制度，是測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，受有關(guān)受測單位委托，按照有關(guān)管理規(guī)范和技術(shù)標準，運用科學(xué)的手段和方法，對特定應(yīng)用的信息系統(tǒng)，采用安全技術(shù)測評和安全管理測評方式，對保護狀況進行檢測評估，判定受測系統(tǒng)的技術(shù)和管理級別與所定安全等級要求符合程度，基于符合程度給出是否滿足所定安全等級的結(jié)論，針對安全不符合項提出安全整改建議，確保信息系統(tǒng)的安全保護措施符合相應(yīng)等級的安全要求［3］。信息安全等級保護工作的意義：降低信息安全風險，提高信息系統(tǒng)的安全防護能力；滿足國家相關(guān)法律法規(guī)和制度的要求；滿足相關(guān)主管單位和行業(yè)要求；合理地規(guī)避或降低風險。等級保護工作合適的時間點應(yīng)該是在信息系統(tǒng)設(shè)計之時，或者信息系統(tǒng)建設(shè)、改造基本完成即將驗收之前［4］。

1.2 過程

等級保護測評是標準符合性評判活動，即依據(jù)信息安全等級保護的國家標準或行業(yè)標準，如《信息安全等級保護管理辦法》《定級指南》《基本要求》《測評要求》和《安全設(shè)計技術(shù)要求》，按照特定方法對信息系統(tǒng)的安全防護能力進行科學(xué)公正的綜合評判，驗證信息系統(tǒng)是否滿足相應(yīng)安全保護等級的評估過程，包括定級、備案、安全、信息安全等級測評（圖1）、信息安全檢查5 個階段。信息安全等級保護要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護能力。

1.3 目的

1.3.1 測評整改情況 上一年度測評發(fā)現(xiàn)的安全問題。

1.3.2 系統(tǒng)的變更情況 系統(tǒng)由于網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、業(yè)務(wù)規(guī)模變化可能導(dǎo)致測評范圍和測評指標發(fā)生變化。

圖1 等級測評工作流程

1.3.3 外部環(huán)境的變化 對目前國際、國內(nèi)安全形勢的新動向和新變化及產(chǎn)品的自主、可控情況；對抗有組織的外部攻擊的能力和應(yīng)急響應(yīng)能力情況；新的安全威脅或漏洞隱患情況等。

1.3.4 安全隱患情況 系統(tǒng)日常運行帶來新的安全隱患，日常運行維護過程安全管理執(zhí)行落實情況、安全策略配置的有效性等。

2 關(guān)鍵信息基礎(chǔ)設(shè)施

2.1 定義

關(guān)鍵信息基礎(chǔ)設(shè)施是指一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的信息基礎(chǔ)設(shè)施［5］。等級保護制度是關(guān)鍵信息基礎(chǔ)設(shè)施保護的基礎(chǔ)，關(guān)鍵信息基礎(chǔ)設(shè)施是等級制度保護的重點，二者相輔相成，不能分割。關(guān)鍵信息基礎(chǔ)設(shè)施首要任務(wù)就是落實等級保護制度，也就是要保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，隨著國家關(guān)鍵基礎(chǔ)設(shè)施的普遍網(wǎng)絡(luò)化和信息化，關(guān)鍵基礎(chǔ)設(shè)施保護逐漸聚焦于網(wǎng)絡(luò)安全保障上。關(guān)鍵信息基礎(chǔ)設(shè)施和關(guān)鍵基礎(chǔ)設(shè)施的邊界逐漸模糊趨同，兩者的概念互相交錯使用、概念逐漸統(tǒng)一。關(guān)鍵信息基礎(chǔ)設(shè)施的等保等級至少是三級，應(yīng)當每年至少一次等級測評。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，應(yīng)當制定方案進行整改。

2.2 省局關(guān)鍵信息基礎(chǔ)設(shè)施判定

根據(jù)《國家網(wǎng)絡(luò)安全檢查操作指南》中《關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)判定表》的分類要求及關(guān)鍵信息基礎(chǔ)設(shè)施評判標準，認定等級保護第三級信息系統(tǒng)構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施［6］。湖北省4 個關(guān)鍵信息基礎(chǔ)設(shè)施均為中國氣象局統(tǒng)一設(shè)計，各省分步部署實施的運行方式。

2.3 案例

“新一代國內(nèi)氣象通信系統(tǒng)湖北分系統(tǒng)”是湖北省等級保護三級信息系統(tǒng)，2013年開始每年一次等級測評，2016年納入省局關(guān)鍵信息基礎(chǔ)設(shè)施［7］，其網(wǎng)絡(luò)拓撲如圖2 所示，覆蓋省級節(jié)點國、省、市（州）、縣四級廣域網(wǎng)，承擔著全省核心業(yè)務(wù)、24 h×7 d 實時運行。

圖2 新一代國內(nèi)氣象通信系統(tǒng)湖北省分系統(tǒng)系統(tǒng)網(wǎng)絡(luò)拓撲

2.4 湖北省局關(guān)鍵信息基礎(chǔ)設(shè)施主要安全問題

2.4.1 網(wǎng)絡(luò)安全 ①網(wǎng)絡(luò)設(shè)備審計記錄信息不完善，無法檢測和記錄網(wǎng)絡(luò)設(shè)備的運行狀態(tài)、網(wǎng)絡(luò)流量、管理等記錄。②對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為不能進行檢查和定位，也不能有效地阻斷。③對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為不能進行檢查和定位，也不能對其進行有效阻斷。

2.4.2 主機安全 ①未定義賬戶鎖定策略。②未依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作，無法避免受到未預(yù)期的刪除、修改或覆蓋。③不能對重要程序的完整性進行檢測，也不具有受到破壞后的恢復(fù)措施。④審計系統(tǒng)處于暫掛狀態(tài)，數(shù)據(jù)收集暫停。

2.4.3 應(yīng)用安全 ①沒有設(shè)置密碼復(fù)雜度的功能。②未提供登錄失敗處理功能。③沒有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能。

2.4.4 數(shù)據(jù)安全 ①不能檢測到數(shù)據(jù)在傳輸過程中的完整性受到破壞，未采用加密或其他有效措施實現(xiàn)數(shù)據(jù)傳輸保密性。②不能檢測到數(shù)據(jù)在存儲過程中的完整性受到破壞，并在錯誤時未采取必要的恢復(fù)措施。

2.4.5 管理安全 ①暫未提供軟件代碼編寫安全規(guī)范。②未定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描并提供報告記錄。③缺乏全面的中止變更并從失敗變更中恢復(fù)的文件化程序。④未定期進行備份恢復(fù)測試。

3 安全策略研究

在等級保護測評流程中，最核心的就是信息系統(tǒng)的建設(shè)和整改，以建立起完善的安全管理和技術(shù)體系。前者包括策略、制度、機構(gòu)、人員、建設(shè)、運維等，后者則從底向上，包括物理環(huán)境安全、網(wǎng)絡(luò)通信安全、設(shè)備與計算安全以及應(yīng)用與數(shù)據(jù)安全。安全技術(shù)體系［9］建立的主要手段包括使用安全產(chǎn)品、加固系統(tǒng)配置和開發(fā)安全控制。加強安全策略的研究，提高系統(tǒng)的安全性能，可以快速滿足等級保護合規(guī)要求。

3.1 防火墻與IPS 入侵防御模塊融合

隨著網(wǎng)絡(luò)的擴容和網(wǎng)絡(luò)應(yīng)用的增加，充分考慮防火墻可擴充性及足夠的彈性空間，降低擴充成本，滿足能進一步增加選件的余地。逐步優(yōu)化升級配置，全面實現(xiàn)HA 技術(shù)雙機熱備。網(wǎng)絡(luò)拓撲如圖3所示。

圖3 局域網(wǎng)核心模塊部署網(wǎng)絡(luò)拓撲結(jié)構(gòu)

3.1.1 互聯(lián)網(wǎng)與局域網(wǎng)邊界處 設(shè)置防火墻作為第一道安全屏障以阻擋來自外部網(wǎng)絡(luò)的入侵，通過DMZ 區(qū)完成防火墻的過濾任務(wù)、數(shù)據(jù)安全與用戶認證、防止病毒與黑客侵入安全防護策略。

3.1.2 辦公與業(yè)務(wù)邊界處 隨著省局局域網(wǎng)規(guī)模不斷擴大，拓撲結(jié)構(gòu)也更加復(fù)雜，網(wǎng)絡(luò)實施中根據(jù)業(yè)務(wù)需求按單位部門、樓層等需求，設(shè)置有虛擬局域網(wǎng)VLAN。在辦公與核心業(yè)務(wù)VLAN 之間部署防火墻，完成防火墻的過濾任務(wù)為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。

3.1.3 互聯(lián)網(wǎng)邊界防火墻 內(nèi)嵌IPS 模塊從業(yè)務(wù)安全、連接安全、終端安全、行為安全考慮，在互聯(lián)網(wǎng)邊界防火墻部署內(nèi)嵌入侵防御系統(tǒng)（IPS）模塊，提供網(wǎng)絡(luò)威脅防御能力。開啟標準入侵防護、入侵防護阻斷、入侵防護監(jiān)控、網(wǎng)站、LINUX 環(huán)境入侵防護、WINDOWS 環(huán)境入侵防護策略特征庫，共計6 類15個特征組達3 600 多個策略條目，預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量的發(fā)現(xiàn)病毒或惡意代碼進行攔截［10］，防止或緩解對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊。策略配置如圖4 所示。

圖4 IPS 入侵防護策略設(shè)計

3.2 虛擬化技術(shù)融合

3.2.1 基于Catalyst6500 的VSS 技術(shù) 核心層是所有流量的最終承受和匯聚處，2009年核心層部署2臺Catalyst 系列交換機CISCO WS-C6509，采用VSS（Virtual Switch System）虛擬化技術(shù)，在基于VSS 的網(wǎng)絡(luò)中，為在物理連接上提供冗余，但是由于VSS支持跨機箱的鏈路捆綁（MEC），因此，對接入層仍然為1 個物理設(shè)備。任何1 個接入層設(shè)備仍然需要連接到VSS 系統(tǒng)的2 個CISCO WS-C6509 交換機上。虛擬的交換系統(tǒng)采用萬兆以太網(wǎng)連接使用Ether?Channel 通過1 條虛擬交換機鏈路VSL（VirtualS?witchLink）來綁定2 個機箱，在控制層面上VSS 中2個交換機有主從之分，但在數(shù)據(jù)面上處理是雙活的。一個機箱指定為活躍交換機，另一臺被指定為備份虛擬交換機。所有控制層面的功能都由是活躍交換機的引擎進行管理。策略如圖5 所示。

圖5 CISCO WS-C6509 交 換機VSS 策略

3.2.2 基于Nexus9K 架構(gòu)HSRP 技術(shù) 匯聚層新部署2 臺CISCO Nexus9K 激活HSRP（Hot Standby Routing Protocol）功能的高端交換機，上聯(lián)到使用VSS 技術(shù)的2 臺CISCOWS-C6509 核心交換機。HSRP 簡單點說是網(wǎng)關(guān)冗余，將多臺路由器組成一個“熱備份組”，形成虛擬路由器。組內(nèi)只選擇1 個主的單一活動網(wǎng)關(guān)來處理所有通信流量。同時被選出備用網(wǎng)關(guān)會向主網(wǎng)關(guān)發(fā)送多播進行通信，檢測主網(wǎng)關(guān)是否失效。一旦失效備用網(wǎng)關(guān)就會奪取主網(wǎng)關(guān)的職責，并在很小的延遲內(nèi)轉(zhuǎn)發(fā)所有數(shù)據(jù)流量［11］。從網(wǎng)絡(luò)內(nèi)的主機來看，網(wǎng)關(guān)并沒有改變。HSRP 虛擬組都要求在1 個網(wǎng)段上預(yù)留3 個IP 地址，每個虛擬局域網(wǎng)上都有局域網(wǎng)接口，并且都配置1 個虛擬地址，即該虛擬局域網(wǎng)內(nèi)所有主機的網(wǎng)關(guān)，每個都可以作為1 個子網(wǎng)網(wǎng)關(guān)設(shè)備使用。策略如圖6 所示。

圖6 CISCO WS-C6509 交換機HSRP 策略

3.2.3 基于Nexus9K 架構(gòu)VPC 技術(shù) 傳統(tǒng)的雙鏈路上連方式實現(xiàn)網(wǎng)絡(luò)冗余，明顯有環(huán)路存在，通常開啟STP（Spanning Tree Protocol）生成樹協(xié)議來解決這一環(huán)路問題，存在一條鏈路阻塞（block）的狀態(tài)。針對這種背景引入了VPC（Virtual Port Channel）技術(shù)［12］，即跨不同設(shè)備的Port-channel 技術(shù)，來解決傳統(tǒng)聚合端口不能跨接設(shè)備的問題。允許下行設(shè)備通過Port-channel 連接2 臺CISCONexus9K 交換機，用VPC 技術(shù)端口聚合方式做雙鏈路下聯(lián)相同VLAN 端口聚合雙鏈路接入，接入層采用堆疊技術(shù)，設(shè)備背板共享，增加了上行帶寬，滿足了雙活工作機制。策略如圖7 所示，融合后網(wǎng)絡(luò)拓撲如圖8 所示。

圖7 CISCO WS-C6509 交換機VPC 策略

圖8 湖北省局核心局域網(wǎng)拓撲

3.3 BFD 技術(shù)與IRF2 虛擬化技術(shù)融合

湖北省三級廣域網(wǎng)接入點單點故障安全隱患，從2015年開始至今逐步改造升級，整體實現(xiàn)線路和路由器雙冗余全覆蓋。設(shè)備全部統(tǒng)一采用H3C 交換路由器，省級2 臺H3C-SR8808、市（州）級2 臺H3C-ICG6000、縣級2 臺H3C-ICG300S。主要技術(shù)包括：IRF2 虛擬化技術(shù)［13］、OSPF 技術(shù)。網(wǎng)絡(luò)拓撲如圖9 所示。

圖9 湖北省氣象廣域網(wǎng)絡(luò)拓撲

3.3.1 IRF 技術(shù) 廣域網(wǎng)接入設(shè)備采用IRF2（Intel?ligent Resilient Framework II，智能彈性架構(gòu)II）虛擬化技術(shù)，IRF2 源于早期的堆疊技術(shù)IRF1，既支持對盒式設(shè)備的堆疊虛擬化，同時支持H3C 同系列框式設(shè)備的虛擬化。允許將多臺設(shè)備連接在一起，形成1 個IRF2 堆疊。IRF2 堆疊中的主設(shè)備和從設(shè)備保持配置和運行狀態(tài)同步，實現(xiàn)1∶N 備份，保證高可靠性，所有接入節(jié)點使用2 臺設(shè)備2 個萬兆口互聯(lián)配置IRF2 形成雙機熱備。策略如圖10 所示。

圖10 湖北省氣象廣域網(wǎng)H3C 路由器IRF 策略

3.3.2 OSPF 技術(shù) 采用OSPF（Open Shortest Path First 開放式最短路徑優(yōu)先），每臺路由器使用這些最短路徑構(gòu)造路由表。全網(wǎng)多鏈路上下行結(jié)構(gòu)中能夠自動進行鏈路選擇和切換。其路由交互與鏈路狀態(tài)（Link-State）相關(guān)，路由選擇通過比較鏈路cost 值來選取，cost 值小鏈路優(yōu)先。啟用多進程策略實現(xiàn)雙線路備份。策略如圖11 所示。

圖11 湖北省氣象廣域網(wǎng)H3C 路由器OSPF 策略

3.4 基于堡壘主機遠程操作審計融合

雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足，無法防范通過防火墻以外或內(nèi)部途徑的攻擊，需要建立保護內(nèi)部網(wǎng)絡(luò)操作日志的記錄運維堡壘機。防止來自內(nèi)部用戶帶來的威脅，實現(xiàn)對關(guān)鍵信息基礎(chǔ)設(shè)施安全的全面防護。集中配置賬號密碼策略、訪問控制策略、服務(wù)角色，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽［14］；基于跳板機理念［15］，作為內(nèi)外網(wǎng)絡(luò)的安全審計監(jiān)測點，把遠程登錄操作統(tǒng)一到1 臺服務(wù)器上，進行集中管理的功能；配置運維人員身份信息，實現(xiàn)鑒別不易被冒用，及口令復(fù)雜度自動定期更換功能［16］。

4 應(yīng)用效率

由于信息系統(tǒng)安全威脅正向多樣化方向發(fā)展，變得更難以防御。相較于技術(shù)層面，也正在從單一技術(shù)防范向多種安全技術(shù)優(yōu)化組合的縱深防御的方向發(fā)展，逐步有序地開展了安全策略的融合應(yīng)用［17］。測評機構(gòu)依據(jù)信息安全標準規(guī)范，采用風險分析的方法進行危害分析和風險等級判定，安全策略融合應(yīng)用效果明顯。圖12 反映了關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)聯(lián)資產(chǎn)的安全危害風險逐步降低，滿足了關(guān)鍵信息基礎(chǔ)設(shè)施等保測評要求。

圖12 新一代國內(nèi)通信系統(tǒng)湖北省分系統(tǒng)2015—2017年安全問題風險評估統(tǒng)計

4.1 抵御和降低了來自互聯(lián)網(wǎng)的安全威脅

采用特征匹配技術(shù)，使用“允許除非明確否認”模式，其防護對象有一段網(wǎng)絡(luò)、一類應(yīng)用、公開發(fā)布網(wǎng)站以及網(wǎng)絡(luò)中通用的設(shè)備或系統(tǒng)?？梢跃_地阻斷DOS∕DDOS、SQL 注入攻擊、溢出攻擊、網(wǎng)絡(luò)嗅覺掃描、蠕蟲病毒等關(guān)鍵網(wǎng)絡(luò)攻擊。IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的，不僅能夠發(fā)現(xiàn)并阻止低層不允許的數(shù)據(jù)包，還能在IPS 設(shè)備中被清除掉［18］。數(shù)據(jù)包過濾配置如圖13 所示。

圖13 IPS 策略4-Linux 木馬后門監(jiān)測策略設(shè)計配置

4.2 融合應(yīng)用

多種虛擬化技術(shù)VSS、VPC、HSRP 融合并存［19］，消除單點故障隱患，當鏈路或是設(shè)備出現(xiàn)故障通過冗余系統(tǒng)實現(xiàn)快速的故障恢復(fù)。網(wǎng)絡(luò)匯聚層的虛擬化整合，模糊匯聚層概念，構(gòu)成完全適應(yīng)云計算、虛擬化、整合化的未來數(shù)據(jù)中心架構(gòu)。

1）VPC 和VSS 從技術(shù)體系構(gòu)成上沒有大的區(qū)別。VSS 是整機級別的虛擬化，提高核心層運行效率、增強不間斷通信，并將系統(tǒng)帶寬容量擴展到1.4 Tbps；VPC 是接口級別的虛擬化，支持鏈路聚合的虛擬化技術(shù)。簡化網(wǎng)絡(luò)拓撲，降低網(wǎng)絡(luò)復(fù)雜性，雙活工作機制確保高可靠性，允許下行設(shè)備通過Port channel 跨2 個不同的上行設(shè)備，增加了上鏈帶寬。

2）HSRP 將一組交換機（網(wǎng)關(guān)）配置在一起，LAN 網(wǎng)段上的2 臺交換機可以作為1 臺虛擬交換機對外提供服務(wù)，為IP 網(wǎng)絡(luò)提供冗余性。確保當網(wǎng)絡(luò)邊緣設(shè)備或接入鏈路出現(xiàn)故障時，通信能迅速恢復(fù)，為IP 網(wǎng)絡(luò)提供冗余性3 層交換。

3）全省三級廣域網(wǎng)核心、市州及縣級節(jié)點實現(xiàn)設(shè)備和鏈路雙冗余，部署H3C 多級IRF 技術(shù)交換架構(gòu)路由器，通過萬兆接口將2 臺設(shè)備虛擬化形成1個邏輯上的獨立實體，統(tǒng)一管理，統(tǒng)一轉(zhuǎn)發(fā)，簡化了網(wǎng)絡(luò)拓撲結(jié)構(gòu)，提高了核心的轉(zhuǎn)發(fā)性能。全網(wǎng)雙鏈路雙設(shè)備接入網(wǎng)絡(luò)結(jié)構(gòu)能滿足高密度實時，資料傳輸與分發(fā)、全省氣象信息共享交互、高清視頻會商、遠程培訓(xùn)等相關(guān)業(yè)務(wù)需求。MPLSVPN 線路省氣象局接入速率總帶寬為300 M，省內(nèi)各市州局接入速率總帶寬為50 M；各區(qū)縣局接入速率帶寬為10 M?？h局通過電信MSTP 10 M 線路匯聚至市局，市局通過電信MSTP 50 M 線路匯聚至省局。據(jù)國家氣象業(yè)務(wù)內(nèi)網(wǎng)發(fā)布的全國上行數(shù)據(jù)傳輸考核情況如圖14 所示，2015—2017 連續(xù)3年全省國家級自動站和雷達基數(shù)據(jù)傳輸及時率穩(wěn)定在99%以上。

圖14 2015—2017年湖北省國家級自動站和雷達基數(shù)據(jù)傳輸時效統(tǒng)計結(jié)果

4）運維堡壘主機對提供整體安全鏈條有明顯作用，采用堡壘主機集中管理所有用戶操作記錄，切斷了終端計算機對網(wǎng)絡(luò)和服務(wù)器資源的直接訪問。采用協(xié)議代理的方式，支持多種遠程維護方式如字符終端方式（SSH、Telnet）、文件傳輸方式（Ftp、Sftp），登錄到所有目標設(shè)備，包括Unix、Linux、Windows 服務(wù)器及各類網(wǎng)絡(luò)設(shè)備。登錄界面如圖15 所示。

圖15 優(yōu)炫運維管理系統(tǒng)用戶登錄管理界面

5 小結(jié)

本研究從信息安全防護體系的角度出發(fā)，通過安全技術(shù)應(yīng)用研究，采用基于時間維度的保護、檢測、反應(yīng)的動態(tài)信息安全保障持續(xù)推進，安全測評符合度逐年提高。網(wǎng)絡(luò)安全沒有萬全之策，未來隨著技術(shù)的不斷進步，網(wǎng)絡(luò)攻擊行為逐漸呈現(xiàn)分布化、遠程化與虛擬化等趨勢。傳統(tǒng)基于對攻擊行為進行特征識別與比對的威脅感知和甄別機制，受到了來自新型攻擊手法的巨大挑戰(zhàn)。需要采用持續(xù)監(jiān)控、大數(shù)據(jù)分析等新技術(shù)，全量采集網(wǎng)絡(luò)相關(guān)數(shù)據(jù)，感知網(wǎng)絡(luò)當前態(tài)勢，并預(yù)測網(wǎng)絡(luò)安全趨勢［20］，認證準入從源頭杜絕終端非法登錄等，深入研究各維度中子系統(tǒng)之間的關(guān)聯(lián)、互補關(guān)系，建立信息安全系統(tǒng)安全評估的方法，提升信息系統(tǒng)整個生命周期的安全防護能力。