◆陈建云 林立铮

安全防毒墙控制管理中心和TDA联动技术在气象网络安全中的应用研究

◆陈建云1林立铮2

（1.福建省福州市气象局 福建 350008；2.福建省大气探测中心 福建 350008）

信息技术的发展使得在气象数据信息发布、共享方面极大程度上得到了提升，为人民获得气象数据信息提高了方便性、可靠性，同时，网络病毒、网络诈骗等不安全因素也给信息技术的发展和人民的工作生活带来危害。随之而来的是气象信息网络安全也在一定程度上得到重视，我们必须重视网络安全的维护，只有保证网络环境的安全性，才能保证气象数据的安全性。随着网络安全威胁的不断演化，气象局亟须解决的威胁已由传统安全威胁转为针对性攻击和APT等未知威胁。未知威胁针对性强、潜伏时间长，面对这类威胁，依靠单一的技术和产品演进，很难做出有效的威胁发现和阻断措施。因此，建立一套实用的网络安全防范措施，安全产品的联动机制是当前气象信息网络发展要解决的问题。

网络病毒；网络安全；威胁发现；联动机制

1 技术路线

1.1 APT攻击原理

APT攻击，即高级可持续威胁攻击，也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。不同于传统网络攻击，APT攻击针对性强、组织严密、持续时间长、高隐蔽性和间接攻击，对于安全设备的单兵作战的防护，效果甚微；需要通过关联分析的技术手段，以及信息汇聚的平台，把各边界的安全设备的日志信息、终端设备的信息进行汇总分析，关联定位，发现存在的安全风险。

1. 2 TDA技术

TDA技术是一种能够360 度的高级威胁检测技术，可掌握全网络的流量来侦测并响应高级威胁与未知威胁；能侦测所有端口及 100 多种通讯协议的应用，为用户提供最全面的网络威胁侦测。它是安全联动威胁防御的重要部分：①防护：评估潜在威胁，为终端、服务器及应用提供主动防护；②侦测：检测传统防御无法识别的高级恶意软件、通讯及行为；③响应：通过实时共享威胁情报和产品联动，快速响应新型威胁；④可视及可控：通过全网络和全系统的可视化能力，定性定量分析并评估威胁的影响和范围。

1.3 安全防毒墙控制管理中心技术

安全防毒墙控制管理中心是一个中心管理控制平台，可以管理包括网关、服务器防病毒、威胁发现设备、深度防御软件等在内的亚信安全全线安全产品。控制管理中心基于Web的管理控制台为整个网络中的防毒和内容安全产品以及服务提供统一的监控点。

通过安全防毒墙控制管理中心和TDA的联动，可以达到同时防范内外部安全问题的效果，TDA弥补了防火墙的不足，防火墙又给 TDA加上了一层安全保障，可见，二者联动相当于为网络安全铸就了两道结实的屏障。

2 联动方案的部署

2.1 技术原理

安全防毒墙控制管理中心TMCM （Trend Micro Control Manager），是一个中心管理控制平台，可以管理包括网关、服务器防病毒、威胁发现设备、深度防御软件等在内的亚信安全全线安全产品。控制管理中心基于Web的管理控制台为整个网络中的防毒和内容安全产品以及服务提供统一的监控点。

安全的TMCM产品实现跨子网、跨平台的集中管理系统，保证了整个防毒产品可以从统一的管理系统平台上进行及时更新，同时又使得管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理，使整个系统中任何一个节点都可以被管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。

通过将多个安全产品组件注册到防病毒控制管理中心TMCM，可实现可疑威胁对象从侦测—分析—阻断—侦测的回路处理，这一过程是自动完成的，大大缩短了由人工处理上述流程的时间。威胁联动治理图如图1所示。

2.2 部署和管理

TMCM控制管理中心可以管理亚信安全所有产品，而不考虑其实际位置。通过集中管理其他防病毒产品，使得全部防病毒产品形成一个整体病毒防护体系，也实现了大型企业防病毒产品的分级管理。控制管理中心还可以通过层叠管理实现TMCM之间的分级结构和集中管理。

由于TMCM采用TCP/IP协议通信，完全实现了跨地域，跨广域网和跨平台的控制管理。基于WEB方式的管理机制，无须远程安装任何组件，更方便，更有效的实现大型企业网络安全系统的集中管理。中心层叠管理广域网拓扑图如图2所示。

图1 威胁联动治理图

图2 中心层叠管理广域网拓扑图

3 联动方案的实现

3.1 方法

根据安全防毒墙控制管理中心技术和TDA技术各自的特点进行联动系统设计，实现两组安全技术的优势互补。在结合运行过程中，TDA第一层可发挥访问控制职能，安全防毒墙控制管理中心技术可以发挥第二层保护功能，TDA通过沙箱分析到未知的威胁（非已知库）形成MD5/HASH值，通过同意安全防毒墙控制管理中心技术将MD5/HASH值发送至防病毒服务器，最终由防病毒客户端对终端上的文件进行MD5/HASH值比对查杀。

3.2 实现

在气象局的气象专网及互联网核心交换机端口上配置好镜像口，可以将气象专网的流量数据从镜像端口获取。

在气象专网及互联网分别部署了深度威胁发现设备TDA，来对专网及互联网的数据存在的威胁进行监控防御。如图3所示。

图3 深度威胁发现系统TDA

在服务器上部署安全防毒墙控制管理中心，通过管理中心平台进行威胁汇总。如图4所示。

图4 安全防毒墙控制管理中心

登录防毒网络版XG的管理界面，转到“管理->设置->控制管理中心”，输入控制管理中心的显示名称、地址和端口信息，并单击注册按钮。如图5所示，注册成功。

图5 防毒网络版配置管理中心

4 联动成果

4.1 TDA分析到未知威胁——可疑对象

登录 TDA 的管理界面，进入“检测结果->可疑对象”，查看当前分析到可疑对象列表。如图6所示。

图6 可疑对象列表

4.2 未知威胁——可疑对象信息上报到CM

登录安全防毒墙控制管理中心的管理界面，转到“管理->可疑对象->沙盒平台可疑对象”，获取沙盒平台可疑对象。如图7所示。

4.3 防毒墙网络版同步CM的沙盒平台可疑列表，进行阻断或拦截，实现威胁联动

转到防毒墙网络版的管理界面，转到“管理->设置->可疑对象列表”，单击立即同步或者等大约 10 分钟的预设同步。

图7 CM的沙盒平台可疑对象列表

4.4 服务器深度安全同步CM的沙盒平台可疑列表，进行阻断或拦截，实现威胁联动

登录DSM的管理界面，转到“管理->预设任务”，单击新建按钮（图8）。

图8 单击新建按钮

在类型下拉列表中选择检查可疑对象列表更新，单击下一步按钮，并根据向导完成操作。

5 结语

利用末端收集到威胁信息发送到控制管理平台，结合管理平台的数据分析技术，判断存在的风险以及未来的安全态势，从而对网络中的安全风险进行预判，提前感知存在的风险，通过联动的方案，通知网关设备进行风险拦截和IP阻断，达到外防内控，全面检测的目的，降低专网的安全风险，提升信息化安全的部署和建设。

[1][美]布鲁斯.施奈尔著；李先奇，黎秋玲译.数据与监控信息安全的隐形之战[M].金城出版社，2018.

[2]陈亮. 省市级气象信息安全系统建设探析[J]. 数字技术与应用，2014（06）：193-194.

[3][美]杰.雅克布，鲍布.鲁迪斯著；薛杰，王占一，张卓译.数据驱动安全数据安全分析、可视化和仪表盘[M].机械工业出版社，2017.

[3]张秀英，王祺，姚建丽. 乌海市气象信息网络安全防护的设计与应用[J]. 内蒙古气象，2016（2）：46-48.

[4][英]维克托.迈尔-舍恩伯格,肯尼思.库克耶著;盛杨燕, 周涛译.大数据时代[M].浙江人民出版社，2013.

[5]孙晓南. 防火墙技术与网络安全[J]. 科技信息（学术研究），2008（03）.

[6][美]亚历山大·科特著，黄晟,安天研究院译.网络空间安全防御与态势感知[M].机械工业出版社，2019.

[7]曹威，金琪，王宏记. 湖北省气象装备保障及信息网络业务发展的分析与思考[J]. 信息通信，2016（10）：100-101.

[8]王英泽. 一种数据挖掘技术在入侵检测系统中的应用 [D]. 哈尔滨理工大学，2007.

[9]陈澍，孟金，冯勇，李丹.态势感知技术在省级气象网络安全防护中的应用[J].山东省气象信息中心, 2020（10）.

[10]何伟. 基于网络安全等级保护2.0的医院综合网络防护探究[J].江苏君立华域安全测评有限公司, 2020（09）.

[11]张伟.网络安全中攻防策略与主动防御思路探索[J].网络安全技术与应用，2020（09）.

[12]陈杨，全秋浩，赵男，陈晖.吉林省气象网络安全防护功能研究[J]. 吉林省气象信息网络中心，2016（11）.

[13]蒋大明. 漏洞监测及其在气象网络安全保障中的应用 [D]. 南京信息工程大学，2013.

[14]史飞悦. 漏洞挖掘及其在气象网络安全保障中的应用 [D]. 南京信息工程大学，2013.

福建省福州市气象局研究型业务科技专项（202014）