李 敏，李永強，曹彥波

0 前言

近年來，隨著地震應急指揮體系開放性、共享性、互聯程度的不斷擴大，地震應急信息安全保障問題逐漸成為各級地震應急技術平臺體系應用、運維的核心業(yè)務工作。

“十五”項目建設以來，我國在地震應急指揮決策領域開展了較多的研究工作，包括地震應急指揮模式、應急指揮技術體系、地震應急管理、地震快速評估等 (姜立新等，2003a，b)。在“中國數字地震觀測網絡工程”的推動下，建成了覆蓋國家、區(qū)域、重點城市、災害現場的4級應急指揮技術系統(tǒng)，促使應急指揮模式發(fā)生了較大變化，應急響應從傳統(tǒng)分散型的應急模式轉化為集現代計算機、網絡通訊、災害評估和指揮決策等技術為一體的綜合性應急體系工作，實現了地震震情、災情的應急指揮決策快速響應，災害損失的快速評估與動態(tài)跟蹤、輔助決策的信息服務和可視化指揮等系統(tǒng)工程。系統(tǒng)建成以來，為地震應急指揮提供豐富的理論基礎和實踐經驗，大大提高我國的地震應急響應能力。在提高破壞性地震的快速響應、應急產出服務能力方面發(fā)揮了積極的作用 (帥向華等，2009)。

隨著地震應急指揮體系開放性、共享性、互聯程度的不斷擴大 (林山，劉鳳仙，2011)，地震應急信息安全保障問題逐漸成為各級地震應急技術平臺體系應用、運維的核心業(yè)務工作。對于國內大多數同類地震應急信息系統(tǒng)來說，如何在充分利用信息化優(yōu)勢的同時，更好地保護自身信息資源，防御外來惡意攻擊和內部資源竊取，已經成為一個嚴峻的挑戰(zhàn)，甚至成為制約各級地震應急管理部門應急指揮信息化進程的一個難題。

2009年，根據中華人民共和國公安部《信息安全等級保護管理辦法》文件的評定，省級地震應急指揮中心信息系統(tǒng)為信息安全保護三級系統(tǒng)，發(fā)生安全責任事故將對國家安全、社會秩序和公共利益造成嚴重損害 (中華人民共和國公安部，2007)。

本文通過針對應急指揮信息系統(tǒng)規(guī)劃、建設、管理、運行中可能存在的信息安全隱患進行分析，結合目前主流信息安全技術，綜合性提出針對省級地震應急技術系統(tǒng)的信息安全體系建設的參考建議和新觀點。

1 應急指揮信息系統(tǒng)安全隱患分析

國際標準化組織 (ISO)定義信息安全為:“為數據處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和顯露”。主要表現在信息的保密性、完整性、可用性、可控性和不可否認性等方面 (周璐，2005)。地震應急指揮信息系統(tǒng)作為一個信息化體系，它在繼承了通用信息系統(tǒng)對入侵防護、數據加密和容災備份等信息安全要素的需求的同時，又對系統(tǒng)穩(wěn)定性和實時響應效率有著特殊的要求。筆者通過對標準化信息安全體系的研究，結合現有運行管理經驗，認為應急指揮信息安全的主要隱患包含以下主要因素:

(1)強制物理連接。指對隔離的地震應急基礎數據庫運轉平臺進行強制物理連接，連接對象可以是集群平臺網絡設備，服務器，終端等，連接方式可以是通過光纖收發(fā)器、STP/UTP雙絞線、移動存儲介質等。此類信息安全隱患主要是由于缺乏完善的應急指揮中心管理機制，特別是中心機房及信號控制室運維管理制度。

(2)非法授權訪問。指對地震應急指揮技術平臺網絡設備及信息資源進行非正常使用或越權使用等。導致此類安全隱患的原因主要是未對整個技術平臺采取強制物理隔離，而采用邏輯隔離或偽物理隔離 (物理隔離卡等)技術手段，另外內部操作員安全配置不當，或由于用戶安全意識不強而共享、轉借涉密賬號等也可能導致該隱患的發(fā)生。

(3)破壞性入侵和干擾性入侵。指使用非法手段對地震應急基礎數據系統(tǒng)進行刪除、修改操作，或采用編織邏輯炸彈等方式干擾系統(tǒng)正常運行，改變系統(tǒng)正確運行方法，惡意占用系統(tǒng)資源，使得諸如地震應急指揮命令調度、地震快速評估與輔助決策等有嚴格響應時間要求的合法業(yè)務不能及時得到響應，極大影響指揮技術系統(tǒng)正常運轉。

(4)計算機病毒入侵和軟件漏洞。指地震應急指揮技術平臺網絡系統(tǒng)感染病毒造成網絡擁塞，系統(tǒng)運行緩慢，核心業(yè)務無故宕機等，此類安全事故破壞性非常高，在日常運行維護中極易發(fā)生。

(5)外部環(huán)境破壞。指對應急指揮技術平臺運行外部環(huán)境的破壞，例如對機房電力系統(tǒng)、恒溫空調系統(tǒng)、通風系統(tǒng)、消防系統(tǒng)等的破壞，間接影響系統(tǒng)核心業(yè)務功能運行。

(6)新型入侵竊密手段。指使用電磁脈沖發(fā)生器、軟件驅動嗅探器、硬件磁感應嗅探器等新型技術手段對技術平臺進行入侵和干擾。

2 應急指揮信息安全體系設計分析及建設建議

為建立健全省級地震應急指揮中心信息安全體系，實現入侵防御和漏洞堵塞，就要對整個地震應急平臺的操作系統(tǒng)安全、網絡安全、數據庫安全實施整體規(guī)劃和設計。概況而言，就是要完善獨立的硬件平臺建設，建立全平臺通行的身份識別系統(tǒng)，實現針對地震應急指揮技術系統(tǒng)操作人員的授權統(tǒng)一管理，同時通過權限對應急操作人員和數據資源之間進行嚴格的訪問控制，各類應急數據庫信息傳輸必須采用SSL、SET、PGP等數據加密技術以保證傳輸數據的完整性和保密性，并且需要建立一整套網絡安全審計 (NSAS)、入侵檢測 (HIDS/NIDS)及漏洞掃描機制，對整個應急指揮技術平臺運轉進行實時監(jiān)控和防護，最終形成全局的安全管理體系。

2.1 管理機制建設

地震災害具有突發(fā)性、難以預見和破壞力強的特點，應急處置的時效性強，震后數小時的有效處置對于挽救生命和減輕災害損失尤為重要(苗崇剛，聶高眾，2004)。在應急期內，地震應急指揮技術系統(tǒng)將承擔應急指揮命令調度、震情快速評估與分析、災情信息的快速獲取與處理、緊急指揮決策評估和應急通訊保障等應急響應工作?；谝陨下毮?，應結合自身業(yè)務需求，建立震時應急響應技術流程、日常機房管理制度、運維值班制度、系統(tǒng)巡檢及災備管理機制等，把技術手段和行政手段融為一體，首先從管理機制上完善信息系統(tǒng)安全保障能力。

2.2 物理環(huán)境配置

指揮中心信息系統(tǒng)是省級應急指揮技術平臺進行災情、震情數據匯集、分析、整合、共享、發(fā)布的重要設施，是場地、工具、流程的有機組合。在應用層面上，包含有震情快速評估、震區(qū)基礎信息判斷與展示、災情分析與輔助決策等諸多應急響應相關應用技術平臺?；诘卣饝表憫ぷ鞯奶厥庑?，應用層業(yè)務對時效性、穩(wěn)定性的要求遠遠高于一般信息系統(tǒng)的業(yè)務需求。因此，在物理環(huán)境層面，應具備獨立的供電、空調、消防及綜合布線系統(tǒng)。根據服務器負載功率因素、負載率、逆變器效率等綜合計算，在保證至少雙市電接入的情況下，配備斷電系統(tǒng)全負載運行不小于4小時的 UPS供電系統(tǒng)。 (P=S/T，當UPS核定容量S為固定值時，供電時間T與系統(tǒng)負載功率P成反比)。在綜合布線方面，所有設備鏈接線纜應為六類STP(屏蔽雙絞線)，網絡設備機柜、應用服務器機柜、數據庫服務器機柜應采用電磁頻閉機柜。

2.3 系統(tǒng)布局和硬件選型

健全、完善的硬件平臺是實現整個應急指揮中心核心系統(tǒng)信息安全的基礎，合理的系統(tǒng)布局和硬件選型不僅從根本上鞏固系統(tǒng)信息安全，更能從整體上為系統(tǒng)運行維護帶來快速便捷的管理。圖1為某省級地震應急指揮中心信息系統(tǒng)原型示意圖。

圖1 某省級地震應急指揮中心信息安全系統(tǒng)示意圖Fig.1 Schematic diagram for information security system of a provincial earthquake emergency response commanding center

該原型系統(tǒng)的設計具備較高的信息安全等級，如圖1所示，原型系統(tǒng)整體處于物理隔離狀態(tài)，兩臺圖形工作站作為災情應用服務器和基礎地理數據庫服務器的訪問終端，在數據庫服務器等涉密核心網段前端裝配硬件防火墻，阻斷來自終端的非授權訪問和干擾性入侵。

系統(tǒng)配置基于應急信息來源、數據分析引擎和快速響應組件三部分組成的網絡入侵檢測系統(tǒng)(NIDS)，以系統(tǒng)總線日志、震情快速評估及輔助決策程序日志等作為數據源對象，通過收集和分析地震應急信息系統(tǒng)中若干關鍵節(jié)點的信息 (如ArcGIS Server組件、IMS端口、ArcSDE服務等)，檢查網絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。

全系統(tǒng)配備基于網絡的硬件安全審計系統(tǒng)(NSAS)，24小時不間斷運行，可根據與預設定條件庫對地震應急快速評估系統(tǒng)中操作性數據流、分析性數據流策略進行審計，通過知識庫對數據進行分析，識別出包括 TCP、UDP、ICMP、IPX、HTTP、FTP、 telnet、 SMTP、 NFS、 DNS、 POP2、POP3、IMAP、TFTP、finger、SSL、NETBIOS 等協議類型的入侵行為 (吳毅，2004)，如異常登陸、Web服務器DDos(Distributed Denial of Service)攻擊、緩沖區(qū)溢出攻擊等。可以有效的防止內部涉密信息的泄漏和非法信息的傳播，并可以及時發(fā)現和響應網絡攻擊行為。同時，SAS與NIDS的聯動功能也使得整個應急技術系統(tǒng)信息安全品質得到很大的提升，從而在技術上為應急管理人員建立了一套基于事件的發(fā)現、響應、制止、分析和責任追究的防范機制，有效的防止外部入侵及內部涉密信息泄漏。

2.4 抗侵害及災害備份能力

容災技術是系統(tǒng)高可用性技術的一個組成部分，容災系統(tǒng)更加強調處理外界環(huán)境對系統(tǒng)的影響，特別是災難性事件對整個應急指揮信息體系的影響。應急指揮中心作為破壞性地震的應急指揮產所，承擔地震應急指揮、通訊保障、快速評估、輔助決策等震時科技保障工作，基于以上工作職能，整體系統(tǒng)對數據災難備份服務的需求比較明確，對災難備份服務等級要求較高。在容災備份標準方面，除了國家標準、行業(yè)標準之外，筆者還主要衡量和參考了兩類國際通用標準，The Uptime Institute白皮書 (Tier 4):《Tier Classifications Define Site Infrastructure Performance Background》，美國通信工業(yè)協會 (TIA)發(fā)布的關于數據中心電信基礎設施標準《ANSI/TIA－942－2005 Telecommunications Infrastructure Standard for Data Centers》(張飄，侯福平，2007)，同時，筆者結合現有指揮中心技術系統(tǒng)運行管理經驗，認為可采用兩大類操作性和實踐性較高的信息災備模式。

2.4.1 基于整個應用的容災備份機制

這種機制是傳統(tǒng)的、投入最大的災備機制。方法是建立兩套或多套功能相同的應急指揮應用軟件、數據庫系統(tǒng)，互相之間可以進行健康狀態(tài)監(jiān)視和功能切換，當某一處系統(tǒng)因意外 (如火災、地震等)停止工作時，整個地震應急信息系統(tǒng)可以切換到備份單元，使得應急指揮信息系統(tǒng)功能可以繼續(xù)正常運轉。

基于整體地震應急指揮應用的容災備份機制，其原理是利用專用的存儲網絡將關鍵數據同步鏡像至備份中心，地震應急基礎數據庫數據不僅在原應急指揮信息系統(tǒng)進行確認，同時可以在備份中心進行確認。這一方案在本地和鏡像的所有數據被更新的同時，利用了雙重在線存儲和完全的網絡切換功能，不僅保證應急數據的完全一致性，數據存儲和網絡環(huán)境也具備了應用的自動切換能力。通常情況下，兩套系統(tǒng)中的光纖設備連接中還提供了冗余通道，以備常規(guī)應急數據通道出現故障時及時接替工作。

圖2為采用基于SAN網絡 (存儲區(qū)域網絡)的系統(tǒng)全災備方式。該技術可以通過一個高性能網絡 (光纖通道)，為地震應急模擬觸發(fā)、快速評估、輔助決策等諸多服務器和基礎數據庫系統(tǒng)提供一個應急區(qū)域存儲空間，通過容災備份線路連接備份系統(tǒng)，SAN網絡憑借中央陣列服務器來應對各種地震應急指揮過程中的諸多存儲需求，為應急鏡像系統(tǒng)提供實時數據備份和其他諸如數據快照等功能，使得當主系統(tǒng)出現應用程序宕機或數據丟失時，可快速啟用鏡像系統(tǒng)完全恢復地震應急指揮技術系統(tǒng)功能。上述此類容災備份機制屬于災難恢復最高級別的應用級容災備份，具有最高的系統(tǒng)安全性和恢復運行效率，但此類災備機制對硬件環(huán)境的投入具有較高需求。

圖2 基于SAN網絡的容災備份機制Fig.2 Disaster recovery backup mechanism based on SAN network

2.4.2 基于虛擬機技術的容災備份機制

該類災備機制采用基于虛擬技術系統(tǒng)災備方式實現。使用硬件的鏡像技術和軟件數據復制技術，實現應用站點與備份站點的數據同步更新。其原理如圖3所示，該技術通過虛擬硬件運行環(huán)境，將地震應急指揮技術系統(tǒng)核心業(yè)務功能并行運行在單個或多個物理服務器上，對地震快速評估及輔助決策系統(tǒng)等多個系統(tǒng)核心業(yè)務來說，該服務器能夠提供更加有效的底層硬件使用。同時，應急基礎數據庫數據在兩個站點之間相互鏡像，由遠程異步提交來實現同步更新，該機制的優(yōu)點在于使用了雙重在線存儲，因此在災難發(fā)生時，幾乎不會發(fā)生數據丟失問題，同時數據恢復響應時間可以被降低到分、秒級。

在虛擬系統(tǒng)中，中央處理器將分段劃分出用于地震快速評估、應急輔助決策、甚至應急基礎數據庫運行的存儲區(qū)域，整個應急關鍵業(yè)務平臺部分 (操作系統(tǒng)和各類應急評估程序)均運行在“保護模式”環(huán)境下，具有較高的安全性和穩(wěn)定性。本方案是在本地系統(tǒng)完備的情況下對數據安全做的考慮，它還具備以下特性和優(yōu)點:

圖3 基于虛擬機技術的容災備份機制Fig.3 Disaster recovery backup mechanism based on virtual machine technology

首先，從各級地震應急技術平臺現有的設備資源和計劃投入的設備成本上考慮，最大化利用物理硬件的性能，并為以后更加規(guī)范化、簡易化的設備管理，可對擁有多核高性能的物理服務器做虛擬化設置。虛擬化技術可以擴大硬件的容量，簡化軟件的重新配置過程，并且地震應急快速評估應用程序都可以在相互獨立的空間內運行而互不影響，從而顯著提高虛擬服務器的工作效率。

其次，在此基礎上，再與另外一臺相同配置和設置的服務器做雙機熱備操作，可以防止出現服務器的計劃性停機與非計劃性宕機造成的地震應急快速響應程序終止等問題，這樣就有效的避免了應急指揮工作出現不必要的隱患和損失。

綜上，這種方案在保證不影響當前應急業(yè)務運轉的情況下，又能實時復制應急評估系統(tǒng)產生的數據到異地鏡像，具有較好的系統(tǒng)安全性和一定的恢復運行效率，同時，這種數據災備機制對硬件環(huán)境資源的投入較少，適合國內多數地震應急技術平臺的推廣應用。

3 總結和思考

目前，云南地震應急指揮中心已經建立了一套針對涉密數據系統(tǒng)的信息安全保障體系，并在實踐中不斷的健全、完善，但仍舊存在許多亟待改進的問題。例如指揮中心行業(yè)信息網及衛(wèi)星通訊網的信息安全屏障，需要更多的依賴于行業(yè)衛(wèi)星中心、衛(wèi)星公司、地震行業(yè)網內連接的各省局信息中心的協同應對、共同努力，整個網絡系統(tǒng)中任何一個節(jié)點或者終端遭到入侵，則整個網絡的安全性都將不復存在;在體制規(guī)程方面，目前同時也缺乏信息安全防護指南等相關指導性文檔，日常事務工作和相關業(yè)務部門的信息安全工作的開展往往各自為陣，缺乏更加具體化、規(guī)范化的指導;并且，在目前我國的諸多信息類項目建設初期，大多缺乏針對信息安全體系建設的設計和投入，導致系統(tǒng)建成運行后，難以開展整體性的信息安全保障工作?？傊?，應急指揮中心信息安全體系建設是一項復雜的系統(tǒng)工程，很多問題，有技術層面上的，也有存在于體制建設方面的，各省級地震應急指揮中心要適應新時代應急工作發(fā)展要求，提升自身地震應急科技保障水平，必須做到管理和技術并重，加強對信息安全風險防范意識的認知，重視安全策略管理的施行及安全教育工作。各類安全技術必須結合自身管理措施，充分考慮災害備份和恢復機制，為應急技術系統(tǒng)指定適合自身實際情況的信息安全解決方案和管理機制，保障各省級應急指揮技術系統(tǒng)處于應有的健康狀態(tài)。

姜立新，聶高眾，帥向華.2003a.我國地震應急指揮技術體系初探［J］．自然災害學報，12(2):1 －6.

姜立新，帥向華，張建福，等.2003b.地震應急指揮管理信息系統(tǒng)的探討［J］．地震，(2):117－122.

林山，劉鳳仙.2011.企業(yè)網絡安全方案設計［J］．福建電腦，(4):117－119.

苗崇剛，聶高眾.2004.地震應急指揮模式探討［J］．自然災害學報，13(5):48－54.

帥向華，楊天青，馬朝暉.2009.國家地震應急指揮技術系統(tǒng)［M］．北京:地震出版社.

吳毅.2004.軍工企業(yè)信息安全建設方案［J］．信息安全與通訊保密，(8):71－72.

張飄，侯福平.2007.數據災難備份中心機房的規(guī)劃與建設［J］．電信技術，(9):59－62.

中華人民共和國公安部(國務院令147號).2007.中華人民共和國計算機信息系統(tǒng)安全保護條例［S］．

周璐.2005.我國電子政務信息安全建設探討［J］．理論與現代化，(7):107－108.