曾庆峰 ，2

（1.广东省航空护林站，广东 广州 510173；2.广东省林火卫星监测中心，广东 广州 510173）

信息技术的飞速发展为森林防火应急指挥系统的网络安全提出了新的挑战，指挥系统的规模越来越大，复杂程度越来越高，攻击技术和方法越来越简单，来自内部的攻击数量也与日俱增，面对层出不穷的信息安全问题，越来越多的网络安全系统和设备如防火墙、入侵检测、安全审计、安全认证、防病毒、漏洞扫描系统等架设在应急指挥系统的网络中，各种安全设备通常面对不同防护层次和对象，部署形式各异，物理位置分散，各自在某一方面达到了安全防护作用。然而信息的安全隐患是一个综合的问题，不可能依靠某种单一的安全技术就能得到解决，也同样不能依靠众多安全产品的简单堆砌来实现。必须在综合分析应急指挥信息系统整体安全需求的基础上构筑一个完整的安全服务体系，从而达到最有效的安全整体防控效果。

森林防火应急指挥系统的安全体系模型，如图1所示。

该模型有4个部分组成：基础安全服务，安全管理保障体系，安全技术支持，安全响应与恢复机制。

图1 安全体系模型示意

1 基础安全服务

需要解决的信任问题包括如下几个方面。

（1）可信的身份；

（2）网络信任域；

（3）可信的数据；

（4）可信的时间服务。

2 安全管理保障体系

安全保障体系主要包括以下几个方面。

（1）安全管理策略。管理的安全性是系统安全的核心，任何先进的安全设备都需要一个与之相适应的管理手段，否则形同虚设。安全管理策略将明确体系实施安全管理的主体和责任人，制定安全管理制度，并保证制度的执行，贯彻并实施国家相关法令和法规等。

（2）系统安全策略。系统安全策略的目的是保证系统的安全运行，保证设备的安全、网络安全、操纵系统安全及数据库的安全。

（3）计算机的使用策略。定义系统所有计算机资源的合理使用，不论他们是否连接到公网。

（4）人员安全策略。人员安全管理的目的是防止系统内部管理人员滥用权力，它是通过系统软件的运行模式来实现的。系统软件的运行是基于身份验证和访问控制的，并且提供信息的操作日志，从而对管理人员的操作进行审核和监督。

（5）系统资源保护。无论系统是否连接到公网或建立对防火墙进行访问控制，对系统资源的保护都必须是通用的内部安全策略。

（6）内部通信策略。电子通信和存储设施这些资源值能为系统服务，不合法和不恰当的信息不得在这些系统上发送和存储，所有通信的内容必须准确。

（7）数据及资料安全策略。保证数据的完整性和保密性，防止非法侵入;禁止传输或发送系统的秘密信息和其他机密；机密信息要保存在专用的文件服务器上，保存在个人计算机上要进行加密；机密信息在公网上传输时要进行加密和数字签名。

3 安全技术支持

在应急指挥系统的网络中建立一整套安全机制，实现从外到内的安全防护。对外采用加密技术、先进防火墙技术，防止外部的窃密、攻击；对内改造操作系统、数据库系统；在应用软件中嵌入安全模块，采用加密和数字签名、实体鉴别技术，实现内部的安全防护。可采用的安全技术和设备如下。

（1）安全服务环境：系统必须建立在安全操作系统基础之上，并改造系统接口，增加一定的安全功能，实现一定的安全服务环境。

（2）CA中信认证系统接口：CA中信认证系统由高可靠性服务器组成，系统平台具有极高的安全性和可靠性，能够拒绝各类非法访问。

（3）网间互联加密：网间互联加密设备支持标准IP网络协议，支持用户透明连接，具有安全操作系统内核，有高强度密码算法和认证协议。

（4）防火墙：先进的防火墙产品的安全内核、代理系统、多级过滤、安全服务器和鉴别与加密是系统安全运行的关键所在。

（5）网络信息安全监测预警系统：网络信息安全监测预警系统有安全控制中心和多个探测器组成。安全控制中心完成整个分布式安全监测预警系统的管理配置。

（6）终端加密认证设备：用于联机终端的保密设备将串接在终端的串行通信线路上，自动识别串行通信线路上传输的信息流，并根据主机系统发送来的命令执行读卡操作和向主机发送加密的信息及数字签名结果。

采用的安全技术和设备主要是保证系统层、数据层和应用层的安全。

3.1 系统层安全

系统层安全是主机系统的安全性。操作系统是系统运行的平台，其安全性对系统的运行影响很大，对所使用的操作系统要进行合理配置和管理，尽量减少由于操作系统的问题带来的安全风险。注意及时对操作系统进行升级和更新补丁程序等。合理设置组、用户、目录、文件等资源的访问控制权限。

3.2 数据层安全

一是合理划分和定义数据库角色及访问权限，森林防火应急指挥数据库的访问者来自不同部门、不同行业，既有各级领导，又有基层责任人及操作人员，因此需要合理地划分和定义数据库角色及访问权限，既要保证各种防火相关信息及时、快速的传送到相关领导、责任人手中，又要确保整个系统的信息安全，杜绝非法访问和非授权访问现象；二是数据更新，由于应急指挥网络是专网架构，指挥中心与分中心保持网络的全天候畅通，因此，专家库和资源库更新均采用B/S模式，由各责任部门进行维护；三是数据备份，提供本地和远程备份数据的功能，支持对正在运行系统的在线备份，发生灾难后，能够在最短的时间内，提供从备份系统恢复本地或远程数据的功能。

3.3 应用层安全

软件的安全可靠性是衡量软件好坏的一个重要标准。安全性指防止对程序及数据的非授权的故意或意外访问的处理能力有关的软件属性；可靠性指在规定一段时间和条件下，软件能维持其性能水平能力的一组属性。具体要求如下。

（1）用户权限限制。软件应按功能模块划分用户权限，权限划分合理，超级用户对各个用户的权限管理合理，包括修改用户的登录资料等。

（2）用户名和密码封闭性。软件对用户名和密码进行校验，有保护措施，尤其对密码应有屏蔽功能。

（3）系统对用户错误登录的次数限制。软件对用户错误登录有次数限制（一般做法是连续三次登录失败就退出系统）。

（4）留痕功能。软件能提供操作日志，比如某用户登录的时间、查询、修改或删除的动作及离开的时间等。

（5）屏蔽用户操作错误。对用户常见的误操作有提示和屏蔽功能，如能有效避免日期的录入错误或写入无效的日期。

（6）错误提示的准确性。当用户操作错误或软件发生错误时，能有准确清晰的提示，使用户知道造成错误的原因。

（7）错误不能导致系统异常退出。当软件发生一般错误时，或严重错误时，软件能自动退出。

（8）输入数据有效性检查。当用户输入的数据有错时，软件应能判断数据的有效性，避免无效数据的生成。

（9）异常情况的影响。在程序运行过程中出现掉电的情况时，数据和系统的受影响程度如何；若受损，能提供补救工具。

（10）网络故障对系统的影响。当网络中断连接时，不会造成数据的丢失。

4 响应与恢复机制

建立一套响应与恢复机制确保出现自然灾害、系统崩溃、网络攻击或硬件故障情况时能得以恢复。恢复系统应该具备以下条件：支持大量存储、支持异地备份与恢复、跨平台的备份能力、支持多种存储介质和备份模式、支持自动恢复机制。

制定紧急事件的响应预案，包括以下几个方面：制定一个紧急响应和报告流程、7×24小时紧急事件响应服务措施、入侵分析；恢复破坏文件并消除非法文件的措施、恢复正常操作办法、消除今后的入侵隐患的措施、对系统的安全进行重新评估与系统加固方法等。

系统备份将对业务处理系统进行异地备份，主要包括系统、数据、通信线路等。主机的操作系统、应用系统及重要数据每周备份一次，保证可以随时调用备份恢复系统；每条有线或者无线通信线路都必须有备份线路，保证物料出现任何情况，至少保证有一条通信通道畅通。