邢丽平，陈 侃，汪 璠

（1.湖北省气象信息与技术保障中心，武汉 430074；2.湖北省税务局，武汉 430071）

信息资源已经成为国家经济建设和社会发展的重要战略资源之一，依法开展信息安全等级保护［1］工作，是国家保护关键信息基础设施、保障信息安全的通行做法。根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级共分为五级，从一级至五级逐级增高。根据信息安全等级保护管理办法中要求：第一级系统首次做定级备案；第二级系统首次定级备案后需要做等保测评工作；第三级信息系统做完定级测评后，应每年至少1 次等级测评；第四级信息系统应当每半年至少1 次等级测评；第五级信息系统应当依据特殊安全需求进行等级测评［2］。

湖北省2011年开始信息系统等级保护测评工作，到目前为止所有二级以上信息系统均在省公安厅定级备案，第三级信息系统委托具备资质的第三方机构进行年度等级保护测评，并形成测评报告上报公安厅备案，无四级和五级等级保护信息系统。所有在线重要信息系统均实现了安全可控、能控、在控。湖北省气象局多年来结合信息化建设项目课题，不断加强信息网络安全技术研究，从测评整改入手，建立了相对完善的技术防护措施，具备了一定的安全防护能力。本研究在梳理湖北省关键信息基础设施安全问题的基础上，结合等级测评报告反映主要问题和整改建议，按照构建安全体系结构的研究思路，采用包括加固线上安全产品防护策略、新增冗余网络关键节点及安全产品无缝接入现网等技术策略，逐步开展分期整改，以期为相关研究提供参考。

1 等级保护测评

1.1 定义

信息系统安全等级保护测评是国家信息安全的基本制度，是测评机构依据国家信息安全等级保护制度规定，受有关受测单位委托，按照有关管理规范和技术标准，运用科学的手段和方法，对特定应用的信息系统，采用安全技术测评和安全管理测评方式，对保护状况进行检测评估，判定受测系统的技术和管理级别与所定安全等级要求符合程度，基于符合程度给出是否满足所定安全等级的结论，针对安全不符合项提出安全整改建议，确保信息系统的安全保护措施符合相应等级的安全要求［3］。信息安全等级保护工作的意义：降低信息安全风险，提高信息系统的安全防护能力；满足国家相关法律法规和制度的要求；满足相关主管单位和行业要求；合理地规避或降低风险。等级保护工作合适的时间点应该是在信息系统设计之时，或者信息系统建设、改造基本完成即将验收之前［4］。

1.2 过程

等级保护测评是标准符合性评判活动，即依据信息安全等级保护的国家标准或行业标准，如《信息安全等级保护管理办法》《定级指南》《基本要求》《测评要求》和《安全设计技术要求》，按照特定方法对信息系统的安全防护能力进行科学公正的综合评判，验证信息系统是否满足相应安全保护等级的评估过程，包括定级、备案、安全、信息安全等级测评（图1）、信息安全检查5 个阶段。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力。

1.3 目的

1.3.1 测评整改情况 上一年度测评发现的安全问题。

1.3.2 系统的变更情况 系统由于网络结构调整、业务规模变化可能导致测评范围和测评指标发生变化。

图1 等级测评工作流程

1.3.3 外部环境的变化 对目前国际、国内安全形势的新动向和新变化及产品的自主、可控情况；对抗有组织的外部攻击的能力和应急响应能力情况；新的安全威胁或漏洞隐患情况等。

1.3.4 安全隐患情况 系统日常运行带来新的安全隐患，日常运行维护过程安全管理执行落实情况、安全策略配置的有效性等。

2 关键信息基础设施

2.1 定义

关键信息基础设施是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施［5］。等级保护制度是关键信息基础设施保护的基础，关键信息基础设施是等级制度保护的重点，二者相辅相成，不能分割。关键信息基础设施首要任务就是落实等级保护制度，也就是要保护网络基础设施安全，随着国家关键基础设施的普遍网络化和信息化，关键基础设施保护逐渐聚焦于网络安全保障上。关键信息基础设施和关键基础设施的边界逐渐模糊趋同，两者的概念互相交错使用、概念逐渐统一。关键信息基础设施的等保等级至少是三级，应当每年至少一次等级测评。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，应当制定方案进行整改。

2.2 省局关键信息基础设施判定

根据《国家网络安全检查操作指南》中《关键信息基础设施业务判定表》的分类要求及关键信息基础设施评判标准，认定等级保护第三级信息系统构成关键信息基础设施［6］。湖北省4 个关键信息基础设施均为中国气象局统一设计，各省分步部署实施的运行方式。

2.3 案例

“新一代国内气象通信系统湖北分系统”是湖北省等级保护三级信息系统，2013年开始每年一次等级测评，2016年纳入省局关键信息基础设施［7］，其网络拓扑如图2 所示，覆盖省级节点国、省、市（州）、县四级广域网，承担着全省核心业务、24 h×7 d 实时运行。

图2 新一代国内气象通信系统湖北省分系统系统网络拓扑

2.4 湖北省局关键信息基础设施主要安全问题

2.4.1 网络安全 ①网络设备审计记录信息不完善，无法检测和记录网络设备的运行状态、网络流量、管理等记录。②对非授权设备私自联到内部网络的行为不能进行检查和定位，也不能有效地阻断。③对内部网络用户私自联到外部网络的行为不能进行检查和定位，也不能对其进行有效阻断。

2.4.2 主机安全 ①未定义账户锁定策略。②未依据安全策略严格控制用户对有敏感标记重要信息资源的操作，无法避免受到未预期的删除、修改或覆盖。③不能对重要程序的完整性进行检测，也不具有受到破坏后的恢复措施。④审计系统处于暂挂状态，数据收集暂停。

2.4.3 应用安全 ①没有设置密码复杂度的功能。②未提供登录失败处理功能。③没有在请求的情况下为数据原发者或接收者提供数据原发证据的功能。

2.4.4 数据安全 ①不能检测到数据在传输过程中的完整性受到破坏，未采用加密或其他有效措施实现数据传输保密性。②不能检测到数据在存储过程中的完整性受到破坏，并在错误时未采取必要的恢复措施。

2.4.5 管理安全 ①暂未提供软件代码编写安全规范。②未定期对网络系统进行漏洞扫描并提供报告记录。③缺乏全面的中止变更并从失败变更中恢复的文件化程序。④未定期进行备份恢复测试。

3 安全策略研究

在等级保护测评流程中，最核心的就是信息系统的建设和整改，以建立起完善的安全管理和技术体系。前者包括策略、制度、机构、人员、建设、运维等，后者则从底向上，包括物理环境安全、网络通信安全、设备与计算安全以及应用与数据安全。安全技术体系［9］建立的主要手段包括使用安全产品、加固系统配置和开发安全控制。加强安全策略的研究，提高系统的安全性能，可以快速满足等级保护合规要求。

3.1 防火墙与IPS 入侵防御模块融合

随着网络的扩容和网络应用的增加，充分考虑防火墙可扩充性及足够的弹性空间，降低扩充成本，满足能进一步增加选件的余地。逐步优化升级配置，全面实现HA 技术双机热备。网络拓扑如图3所示。

图3 局域网核心模块部署网络拓扑结构

3.1.1 互联网与局域网边界处 设置防火墙作为第一道安全屏障以阻挡来自外部网络的入侵，通过DMZ 区完成防火墙的过滤任务、数据安全与用户认证、防止病毒与黑客侵入安全防护策略。

3.1.2 办公与业务边界处 随着省局局域网规模不断扩大，拓扑结构也更加复杂，网络实施中根据业务需求按单位部门、楼层等需求，设置有虚拟局域网VLAN。在办公与核心业务VLAN 之间部署防火墙，完成防火墙的过滤任务为各种网络应用提供相应的安全服务。

3.1.3 互联网边界防火墙 内嵌IPS 模块从业务安全、连接安全、终端安全、行为安全考虑，在互联网边界防火墙部署内嵌入侵防御系统（IPS）模块，提供网络威胁防御能力。开启标准入侵防护、入侵防护阻断、入侵防护监控、网站、LINUX 环境入侵防护、WINDOWS 环境入侵防护策略特征库，共计6 类15个特征组达3 600 多个策略条目，预先对入侵活动和攻击性网络流量的发现病毒或恶意代码进行拦截［10］，防止或缓解对关键信息基础设施的攻击。策略配置如图4 所示。

图4 IPS 入侵防护策略设计

3.2 虚拟化技术融合

3.2.1 基于Catalyst6500 的VSS 技术 核心层是所有流量的最终承受和汇聚处，2009年核心层部署2台Catalyst 系列交换机CISCO WS-C6509，采用VSS（Virtual Switch System）虚拟化技术，在基于VSS 的网络中，为在物理连接上提供冗余，但是由于VSS支持跨机箱的链路捆绑（MEC），因此，对接入层仍然为1 个物理设备。任何1 个接入层设备仍然需要连接到VSS 系统的2 个CISCO WS-C6509 交换机上。虚拟的交换系统采用万兆以太网连接使用Ether⁃Channel 通过1 条虚拟交换机链路VSL（VirtualS⁃witchLink）来绑定2 个机箱，在控制层面上VSS 中2个交换机有主从之分，但在数据面上处理是双活的。一个机箱指定为活跃交换机，另一台被指定为备份虚拟交换机。所有控制层面的功能都由是活跃交换机的引擎进行管理。策略如图5 所示。

图5 CISCO WS-C6509 交 换机VSS 策略

3.2.2 基于Nexus9K 架构HSRP 技术 汇聚层新部署2 台CISCO Nexus9K 激活HSRP（Hot Standby Routing Protocol）功能的高端交换机，上联到使用VSS 技术的2 台CISCOWS-C6509 核心交换机。HSRP 简单点说是网关冗余，将多台路由器组成一个“热备份组”，形成虚拟路由器。组内只选择1 个主的单一活动网关来处理所有通信流量。同时被选出备用网关会向主网关发送多播进行通信，检测主网关是否失效。一旦失效备用网关就会夺取主网关的职责，并在很小的延迟内转发所有数据流量［11］。从网络内的主机来看，网关并没有改变。HSRP 虚拟组都要求在1 个网段上预留3 个IP 地址，每个虚拟局域网上都有局域网接口，并且都配置1 个虚拟地址，即该虚拟局域网内所有主机的网关，每个都可以作为1 个子网网关设备使用。策略如图6 所示。

图6 CISCO WS-C6509 交换机HSRP 策略

3.2.3 基于Nexus9K 架构VPC 技术 传统的双链路上连方式实现网络冗余，明显有环路存在，通常开启STP（Spanning Tree Protocol）生成树协议来解决这一环路问题，存在一条链路阻塞（block）的状态。针对这种背景引入了VPC（Virtual Port Channel）技术［12］，即跨不同设备的Port-channel 技术，来解决传统聚合端口不能跨接设备的问题。允许下行设备通过Port-channel 连接2 台CISCONexus9K 交换机，用VPC 技术端口聚合方式做双链路下联相同VLAN 端口聚合双链路接入，接入层采用堆叠技术，设备背板共享，增加了上行带宽，满足了双活工作机制。策略如图7 所示，融合后网络拓扑如图8 所示。

图7 CISCO WS-C6509 交换机VPC 策略

图8 湖北省局核心局域网拓扑

3.3 BFD 技术与IRF2 虚拟化技术融合

湖北省三级广域网接入点单点故障安全隐患，从2015年开始至今逐步改造升级，整体实现线路和路由器双冗余全覆盖。设备全部统一采用H3C 交换路由器，省级2 台H3C-SR8808、市（州）级2 台H3C-ICG6000、县级2 台H3C-ICG300S。主要技术包括：IRF2 虚拟化技术［13］、OSPF 技术。网络拓扑如图9 所示。

图9 湖北省气象广域网络拓扑

3.3.1 IRF 技术 广域网接入设备采用IRF2（Intel⁃ligent Resilient Framework II，智能弹性架构II）虚拟化技术，IRF2 源于早期的堆叠技术IRF1，既支持对盒式设备的堆叠虚拟化，同时支持H3C 同系列框式设备的虚拟化。允许将多台设备连接在一起，形成1 个IRF2 堆叠。IRF2 堆叠中的主设备和从设备保持配置和运行状态同步，实现1∶N 备份，保证高可靠性，所有接入节点使用2 台设备2 个万兆口互联配置IRF2 形成双机热备。策略如图10 所示。

图10 湖北省气象广域网H3C 路由器IRF 策略

3.3.2 OSPF 技术 采用OSPF（Open Shortest Path First 开放式最短路径优先），每台路由器使用这些最短路径构造路由表。全网多链路上下行结构中能够自动进行链路选择和切换。其路由交互与链路状态（Link-State）相关，路由选择通过比较链路cost 值来选取，cost 值小链路优先。启用多进程策略实现双线路备份。策略如图11 所示。

图11 湖北省气象广域网H3C 路由器OSPF 策略

3.4 基于堡垒主机远程操作审计融合

虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足，无法防范通过防火墙以外或内部途径的攻击，需要建立保护内部网络操作日志的记录运维堡垒机。防止来自内部用户带来的威胁，实现对关键信息基础设施安全的全面防护。集中配置账号密码策略、访问控制策略、服务角色，防止鉴别信息在网络传输过程中被窃听［14］；基于跳板机理念［15］，作为内外网络的安全审计监测点，把远程登录操作统一到1 台服务器上，进行集中管理的功能；配置运维人员身份信息，实现鉴别不易被冒用，及口令复杂度自动定期更换功能［16］。

4 应用效率

由于信息系统安全威胁正向多样化方向发展，变得更难以防御。相较于技术层面，也正在从单一技术防范向多种安全技术优化组合的纵深防御的方向发展，逐步有序地开展了安全策略的融合应用［17］。测评机构依据信息安全标准规范，采用风险分析的方法进行危害分析和风险等级判定，安全策略融合应用效果明显。图12 反映了关键信息基础设施关联资产的安全危害风险逐步降低，满足了关键信息基础设施等保测评要求。

图12 新一代国内通信系统湖北省分系统2015—2017年安全问题风险评估统计

4.1 抵御和降低了来自互联网的安全威胁

采用特征匹配技术，使用“允许除非明确否认”模式，其防护对象有一段网络、一类应用、公开发布网站以及网络中通用的设备或系统。可以精确地阻断DOS∕DDOS、SQL 注入攻击、溢出攻击、网络嗅觉扫描、蠕虫病毒等关键网络攻击。IPS 是通过直接嵌入到网络流量中实现这一功能的，不仅能够发现并阻止低层不允许的数据包，还能在IPS 设备中被清除掉［18］。数据包过滤配置如图13 所示。

图13 IPS 策略4-Linux 木马后门监测策略设计配置

4.2 融合应用

多种虚拟化技术VSS、VPC、HSRP 融合并存［19］，消除单点故障隐患，当链路或是设备出现故障通过冗余系统实现快速的故障恢复。网络汇聚层的虚拟化整合，模糊汇聚层概念，构成完全适应云计算、虚拟化、整合化的未来数据中心架构。

1）VPC 和VSS 从技术体系构成上没有大的区别。VSS 是整机级别的虚拟化，提高核心层运行效率、增强不间断通信，并将系统带宽容量扩展到1.4 Tbps；VPC 是接口级别的虚拟化，支持链路聚合的虚拟化技术。简化网络拓扑，降低网络复杂性，双活工作机制确保高可靠性，允许下行设备通过Port channel 跨2 个不同的上行设备，增加了上链带宽。

2）HSRP 将一组交换机（网关）配置在一起，LAN 网段上的2 台交换机可以作为1 台虚拟交换机对外提供服务，为IP 网络提供冗余性。确保当网络边缘设备或接入链路出现故障时，通信能迅速恢复，为IP 网络提供冗余性3 层交换。

3）全省三级广域网核心、市州及县级节点实现设备和链路双冗余，部署H3C 多级IRF 技术交换架构路由器，通过万兆接口将2 台设备虚拟化形成1个逻辑上的独立实体，统一管理，统一转发，简化了网络拓扑结构，提高了核心的转发性能。全网双链路双设备接入网络结构能满足高密度实时，资料传输与分发、全省气象信息共享交互、高清视频会商、远程培训等相关业务需求。MPLSVPN 线路省气象局接入速率总带宽为300 M，省内各市州局接入速率总带宽为50 M；各区县局接入速率带宽为10 M。县局通过电信MSTP 10 M 线路汇聚至市局，市局通过电信MSTP 50 M 线路汇聚至省局。据国家气象业务内网发布的全国上行数据传输考核情况如图14 所示，2015—2017 连续3年全省国家级自动站和雷达基数据传输及时率稳定在99%以上。

图14 2015—2017年湖北省国家级自动站和雷达基数据传输时效统计结果

4）运维堡垒主机对提供整体安全链条有明显作用，采用堡垒主机集中管理所有用户操作记录，切断了终端计算机对网络和服务器资源的直接访问。采用协议代理的方式，支持多种远程维护方式如字符终端方式（SSH、Telnet）、文件传输方式（Ftp、Sftp），登录到所有目标设备，包括Unix、Linux、Windows 服务器及各类网络设备。登录界面如图15 所示。

图15 优炫运维管理系统用户登录管理界面

5 小结

本研究从信息安全防护体系的角度出发，通过安全技术应用研究，采用基于时间维度的保护、检测、反应的动态信息安全保障持续推进，安全测评符合度逐年提高。网络安全没有万全之策，未来随着技术的不断进步，网络攻击行为逐渐呈现分布化、远程化与虚拟化等趋势。传统基于对攻击行为进行特征识别与比对的威胁感知和甄别机制，受到了来自新型攻击手法的巨大挑战。需要采用持续监控、大数据分析等新技术，全量采集网络相关数据，感知网络当前态势，并预测网络安全趋势［20］，认证准入从源头杜绝终端非法登录等，深入研究各维度中子系统之间的关联、互补关系，建立信息安全系统安全评估的方法，提升信息系统整个生命周期的安全防护能力。