为建立健全省级地震应急指挥中心信息安全体系,实现入侵防御和漏洞堵塞,就要对整个地震应急平台的操作系统安全、网络安全、数据库安全实施整体规划和设计。概况而言,就是要完善独立的硬件平台建设,建立全平台通行的身份识别系统,实现针对地震应急指挥技术系统操作人员的授权统一管理,同时通过权限对应急操作人员和数据资源之间进行严格的访问控制,各类应急数据库信息传输必须采用SSL、SET、PGP等数据加密技术以保证传输数据的完整性和保密性,并且需要建立一整套网络安全审计(NSAS)、入侵检测(HIDS/NIDS)及漏洞扫描机制,对整个应急指挥技术平台运转进行实时监控和防护,最终形成全局的安全管理体系。
2.1 管理机制建设
地震灾害具有突发性、难以预见和破坏力强的特点,应急处置的时效性强,震后数小时的有效处置对于挽救生命和减轻灾害损失尤为重要(苗崇刚,聂高众,2004)。在应急期内,地震应急指挥技术系统将承担应急指挥命令调度、震情快速评估与分析、灾情信息的快速获取与处理、紧急指挥决策评估和应急通讯保障等应急响应工作。基于以上职能,应结合自身业务需求,建立震时应急响应技术流程、日常机房管理制度、运维值班制度、系统巡检及灾备管理机制等,把技术手段和行政手段融为一体,首先从管理机制上完善信息系统安全保障能力。
2.2 物理环境配置
指挥中心信息系统是省级应急指挥技术平台进行灾情、震情数据汇集、分析、整合、共享、发布的重要设施,是场地、工具、流程的有机组合。在应用层面上,包含有震情快速评估、震区基础信息判断与展示、灾情分析与辅助决策等诸多应急响应相关应用技术平台。基于地震应急响应工作的特殊性,应用层业务对时效性、稳定性的要求远远高于一般信息系统的业务需求。因此,在物理环境层面,应具备独立的供电、空调、消防及综合布线系统。根据服务器负载功率因素、负载率、逆变器效率等综合计算,在保证至少双市电接入的情况下,配备断电系统全负载运行不小于4小时的 UPS供电系统。(P=S/T,当UPS核定容量S为固定值时,供电时间T与系统负载功率P成反比)。在综合布线方面,所有设备链接线缆应为六类STP(屏蔽双绞线),网络设备机柜、应用服务器机柜、数据库服务器机柜应采用电磁频闭机柜。
2.3 系统布局和硬件选型
健全、完善的硬件平台是实现整个应急指挥中心核心系统信息安全的基础,合理的系统布局和硬件选型不仅从根本上巩固系统信息安全,更能从整体上为系统运行维护带来快速便捷的管理。图1为某省级地震应急指挥中心信息系统原型示意图。
图1 某省级地震应急指挥中心信息安全系统示意图
Fig.1 Schematic diagram for information security system of a provincial earthquake emergency response commanding center
该原型系统的设计具备较高的信息安全等级,如
图1所示,原型系统整体处于物理隔离状态,两台图形工作站作为灾情应用服务器和基础地理数据库服务器的访问终端,在数据库服务器等涉密核心网段前端装配硬件防火墙,阻断来自终端的非授权访问和干扰性入侵。
系统配置基于应急信息来源、数据分析引擎和快速响应组件三部分组成的网络入侵检测系统(NIDS),以系统总线日志、震情快速评估及辅助决策程序日志等作为数据源对象,通过收集和分析地震应急信息系统中若干关键节点的信息(如ArcGIS Server组件、IMS端口、ArcSDE服务等),检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
全系统配备基于网络的硬件安全审计系统(NSAS),24小时不间断运行,可根据与预设定条件库对地震应急快速评估系统中操作性数据流、分析性数据流策略进行审计,通过知识库对数据进行分析,识别出包括TCP、UDP、ICMP、IPX、HTTP、FTP、telnet、SMTP、NFS、DNS、POP2、POP3、IMAP、TFTP、finger、SSL、NETBIOS 等协议类型的入侵行为(吴毅,2004),如异常登陆、Web服务器DDos(Distributed Denial of Service)攻击、缓冲区溢出攻击等。可以有效的防止内部涉密信息的泄漏和非法信息的传播,并可以及时发现和响应网络攻击行为。同时,SAS与NIDS的联动功能也使得整个应急技术系统信息安全品质得到很大的提升,从而在技术上为应急管理人员建立了一套基于事件的发现、响应、制止、分析和责任追究的防范机制,有效的防止外部入侵及内部涉密信息泄漏。
2.4 抗侵害及灾害备份能力
容灾技术是系统高可用性技术的一个组成部分,容灾系统更加强调处理外界环境对系统的影响,特别是灾难性事件对整个应急指挥信息体系的影响。应急指挥中心作为破坏性地震的应急指挥产所,承担地震应急指挥、通讯保障、快速评估、辅助决策等震时科技保障工作,基于以上工作职能,整体系统对数据灾难备份服务的需求比较明确,对灾难备份服务等级要求较高。在容灾备份标准方面,除了国家标准、行业标准之外,笔者还主要衡量和参考了两类国际通用标准,The Uptime Institute 白皮书(Tier 4):《Tier Classifications Define Site Infrastructure Performance Background》,美国通信工业协会(TIA)发布的关于数据中心电信基础设施标准《ANSI/TIA-942-2005 Telecommunications Infrastructure Standard for Data Centers》(张飘,侯福平,2007),同时,笔者结合现有指挥中心技术系统运行管理经验,认为可采用两大类操作性和实践性较高的信息灾备模式。
2.4.1 基于整个应用的容灾备份机制
这种机制是传统的、投入最大的灾备机制。方法是建立两套或多套功能相同的应急指挥应用软件、数据库系统,互相之间可以进行健康状态监视和功能切换,当某一处系统因意外(如火灾、地震等)停止工作时,整个地震应急信息系统可以切换到备份单元,使得应急指挥信息系统功能可以继续正常运转。
基于整体地震应急指挥应用的容灾备份机制,其原理是利用专用的存储网络将关键数据同步镜像至备份中心,地震应急基础数据库数据不仅在原应急指挥信息系统进行确认,同时可以在备份中心进行确认。这一方案在本地和镜像的所有数据被更新的同时,利用了双重在线存储和完全的网络切换功能,不仅保证应急数据的完全一致性,数据存储和网络环境也具备了应用的自动切换能力。通常情况下,两套系统中的光纤设备连接中还提供了冗余通道,以备常规应急数据通道出现故障时及时接替工作。
图2为采用基于SAN网络(存储区域网络)的系统全灾备方式。该技术可以通过一个高性能网络(光纤通道),为地震应急模拟触发、快速评估、辅助决策等诸多服务器和基础数据库系统提供一个应急区域存储空间,通过容灾备份线路连接备份系统,SAN网络凭借中央阵列服务器来应对各种地震应急指挥过程中的诸多存储需求,为应急镜像系统提供实时数据备份和其他诸如数据快照等功能,使得当主系统出现应用程序宕机或数据丢失时,可快速启用镜像系统完全恢复地震应急指挥技术系统功能。上述此类容灾备份机制
图2 基于SAN网络的容灾备份机制
Fig.2 Disaster recovery backup mechanism based on SAN network
属于灾难恢复最高级别的应用级容灾备份,具有最高的系统安全性和恢复运行效率,但此类灾备机制对硬件环境的投入具有较高需求。
2.4.2 基于虚拟机技术的容灾备份机制
该类灾备机制采用基于虚拟技术系统灾备方式实现。使用硬件的镜像技术和软件数据复制技术,实现应用站点与备份站点的数据同步更新。其原理如图3所示,该技术通过虚拟硬件运行环境,将地震应急指挥技术系统核心业务功能并行运行在单个或多个物理服务器上,对地震快速评估及辅助决策系统等多个系统核心业务来说,该服务器能够提供更加有效的底层硬件使用。同时,应急基础数据库数据在两个站点之间相互镜像,由远程异步提交来实现同步更新,该机制的优点在于使用了双重在线存储,因此在灾难发生时,几乎不会发生数据丢失问题,同时数据恢复响应时间可以被降低到分、秒级。
在虚拟系统中,中央处理器将分段划分出用于地震快速评估、应急辅助决策、甚至应急基础数据库运行的存储区域,整个应急关键业务平台部分(操作系统和各类应急评估程序)均运行在“保护模式”环境下,具有较高的安全性和稳定性。本方案是在本地系统完备的情况下对数据安全做的考虑,它还具备以下特性和优点:
首先,从各级地震应急技术平台现有的设备资源和计划投入的设备成本上考虑,最大化利用
图3 基于虚拟机技术的容灾备份机制
Fig.3 Disaster recovery backup mechanism based on virtual machine technology
物理硬件的性能,并为以后更加规范化、简易化的设备管理,可对拥有多核高性能的物理服务器做虚拟化设置。虚拟化技术可以扩大硬件的容量,简化软件的重新配置过程,并且地震应急快速评估应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高虚拟服务器的工作效率。
其次,在此基础上,再与另外一台相同配置和设置的服务器做双机热备操作,可以防止出现服务器的计划性停机与非计划性宕机造成的地震应急快速响应程序终止等问题,这样就有效的避免了应急指挥工作出现不必要的隐患和损失。
综上,这种方案在保证不影响当前应急业务运转的情况下,又能实时复制应急评估系统产生的数据到异地镜像,具有较好的系统安全性和一定的恢复运行效率,同时,这种数据灾备机制对硬件环境资源的投入较少,适合国内多数地震应急技术平台的推广应用。
