氣象部門計算機網(wǎng)絡安全問題及日常維護技術

霍繼超 孫欣

(1.開封市氣象局,河南開封 475004;2.河南省氣象災害防御技術中心,河南鄭州 450000)

0 引言

開封市計算機網(wǎng)絡系統(tǒng)是由多臺服務器、工作站、三層交換機及骨干路由器組成了星型拓撲結構的以太網(wǎng),承接著省、市和縣級氣象部門專用網(wǎng)絡,實現(xiàn)了各級氣象部門的氣象信息采集、處理和傳輸。因為Internet是一個開放的、無控制機構的網(wǎng)絡。黑客可利用技術手段侵入聯(lián)網(wǎng)的計算機,竊取機密數(shù)據(jù)、盜取特權、破壞重要數(shù)據(jù)、限制系統(tǒng)功能甚至導致系統(tǒng)癱瘓。計算機病毒也會在網(wǎng)上傳播,病毒攻擊會使計算機丟失數(shù)據(jù)和文件,病毒一般通過公共匿名FTP文件或郵件傳播。通過中斷攻擊形式針對系統(tǒng)可用性展開毀壞系統(tǒng)資源,造成網(wǎng)絡癱瘓;通過截獲攻擊形式針對保密性展開獲取系統(tǒng)資源訪問權的非授權用戶操作;通過修改攻擊方式針對完整性展開數(shù)據(jù)修改操作;通過偽造的攻擊形式針對完整性展開將虛假數(shù)據(jù)插入正常傳輸?shù)牟僮?。這些安全隱患給氣象數(shù)據(jù)的安全管理造成極大威脅,因此氣象保障部門需要高度關注網(wǎng)絡安全。

1 氣象部門網(wǎng)絡安全防控技術

防火墻將氣象內部網(wǎng)和對外開放網(wǎng)分開,本質上為一種隔離技術。通過軟件和硬件的相互作用在內網(wǎng)和外網(wǎng)之間建立起一道屏障,阻斷危險因素侵入計算機系統(tǒng)。當防火墻許可時,用戶才能訪問計算機系統(tǒng)。其具有強力警報功能,當非授權用戶試圖操作系統(tǒng)時,防火墻便會發(fā)出警報并且提醒非授權用戶行為,同時展開邏輯判定。它可以在相異的網(wǎng)絡即時通訊時執(zhí)行相關訪問控制尺度,最大限度阻止黑客入侵。借助于漏洞數(shù)據(jù)庫,憑借掃描手段對計算機安全性檢測,發(fā)現(xiàn)可利用漏洞的一種滲透攻擊行為。漏洞掃描和防火墻相配合,定期自我評估,最大限度消除氣象網(wǎng)絡存在安全隱患,盡早進行漏洞修補,優(yōu)化系統(tǒng)資源配置,提高運行效率。每當運行新服務或安裝新軟件后,原有漏洞可能暴露出來,所以需要掃描。主動性防范措施和被動性修補相結合,形成對計算機系統(tǒng)全方位保護,把安全事故出現(xiàn)概率降到最低[1]。氣象部門可根據(jù)實際情況和數(shù)據(jù)專家建議對內部網(wǎng)絡補正,擴容漏洞數(shù)據(jù)庫,確保庫的有效性和全面性,網(wǎng)絡安全管理員應及時更新漏洞庫。

計算機病毒是數(shù)據(jù)安全頭號大敵,其演變速度十分快,目前新型病毒更具破壞性、隱秘性,感染概率更高。病毒依附于程序中,一旦侵入計算機系統(tǒng),輕則影響運行速度,重則導致死機。常見病毒攻擊方式有刪除、改名、替換文件內容;消耗占用系統(tǒng)內存導致程序運行受阻;搶占中斷,干擾系統(tǒng)運行,虛假警報、內部棧溢出、占用特殊數(shù)據(jù)區(qū);延遲程序啟動時間;攻擊磁盤數(shù)據(jù)、寫盤時丟失字節(jié)等。氣象業(yè)務人員應提高安全意識,慎重打開不明郵件提高防范意識,不執(zhí)行從網(wǎng)絡下載后未經(jīng)檢測的軟件,不輕易共享移動存儲設備。保障人員需要及時更新殺毒軟件,一旦發(fā)現(xiàn)病毒侵害計算機系統(tǒng),應及時中斷網(wǎng)絡實施隔離。

2 安全管理系統(tǒng)構建

以計算機網(wǎng)絡系統(tǒng)防病毒系統(tǒng)應用設計為例,筆者以Trend防病毒整體解決方案為基礎設計一符合本市氣象局的計算機網(wǎng)絡建設方案[2]。如圖1所示為典型網(wǎng)絡環(huán)境,在此基礎上計算機網(wǎng)絡防病毒體系可分為網(wǎng)關級防病毒系統(tǒng)、服務器防病毒系統(tǒng)和客戶端防病毒系統(tǒng),以上三者關系如圖2所示。

圖1 典型網(wǎng)絡環(huán)境Fig.1 Typical network environment

圖2 多級防病毒體系結構示意Fig.2 Schematic diagram of multi-level anti-virus architecture

2.1 網(wǎng)關服務器防病毒方案

網(wǎng)關級防病毒系統(tǒng)借鑒Trend防病毒系統(tǒng)的InterScan VirusWall產品,該產品透過SMTP、HTTP、FTP進入網(wǎng)絡,在檢測到病毒痕跡時,可警示提醒、隔離相關文件或直接刪除處理,仍給予管理人員一定自主權:即在嚴格管控條件下,允許下載該文件。該產品包含Windows接口及ISAPL/CGI網(wǎng)頁瀏覽器預設接口,可提供最佳管理彈性?？蛇x擇搭配電子郵件安全管理模塊過濾卡基軟件,設定郵件有效收發(fā)時段。本方案和FireWall-1開放系統(tǒng)以及其他產品無應用沖突,兼容性強。病毒碼更新可利用遠程管控系統(tǒng)實現(xiàn),支持Check Point Software Technologies的CVP標準,可將檢測為惡意的JAVA和ActiveX程序在網(wǎng)關口攔截下來。

2.2 服務器防病毒方案

文件服務器感染途徑包括從其他文件服務器感染、經(jīng)由移動存儲設備感染和從電腦客戶端感染,文件服務器類型有WindowsNT、Netware、Linux和W2K Server。Server Protect可通過多層管理架構強化整個網(wǎng)絡安全環(huán)境,主控中心采取只有通過密鑰核對才可登陸的TCP/IP協(xié)議。利用病毒行為分析模式和病毒碼比對技術,偵測潛在病毒,也可結合趨勢宏病毒掃描引擎?zhèn)蓽y清除未知宏病毒。ScanMail是email病毒克星可在病毒擴散前對其進行攔截消滅,計算機系統(tǒng)安裝有ScanMail后,產品即可對存于信箱內所有附件掃描,同時新入郵件將被攔截偵測,經(jīng)偵測鑒定為安全后會加上safe stamp標志,經(jīng)感染的郵件附件會經(jīng)處理后再寄送收件人[3]。

2.3 客戶端防毒方案

Office Scan以中央控制方式管理所有客戶端防毒工作,自動部署更新病毒代碼和程序更新。系統(tǒng)管理員全權掌管防毒軟件卸載的權限,集中式的Log日志,網(wǎng)域式群組整合更加方便系統(tǒng)管理和設定,并且支持移動性用戶。

3 氣象部門計算機網(wǎng)絡安全管理存在的問題

3.1 用戶安全意識不足

氣象業(yè)務人員計算機應用技術水平參差不齊,某些縣局沒有專門網(wǎng)絡安全管理員,這樣導致非授權用戶擅自使用私人移動硬盤和U盤對接業(yè)務電腦USB插口,存在工作人員利用業(yè)務電腦瀏覽與工作無關網(wǎng)頁。這些自我約束意識不強,安全管理制度落實不到位現(xiàn)象會給黑客和病毒侵入計算機系統(tǒng)可乘之機,增大竊取和破壞氣象數(shù)據(jù)可能性。

3.2 防護措施不完善

基于氣象信息處理和傳輸工作特殊性,氣象網(wǎng)絡內網(wǎng)使用頻率遠高于外網(wǎng),一旦出現(xiàn)防護疏漏則病毒會肆意傳播,任一個網(wǎng)絡都有可能被黑客攻擊,出現(xiàn)過因工作人員攜帶U盤有病毒,導致局域網(wǎng)中其他業(yè)務計算機和服務器受感染案例。此外因氣象綜合觀測業(yè)務的發(fā)展,數(shù)據(jù)量持續(xù)增加導致部分業(yè)務人員出于方便目的隨意更改刪除原有數(shù)據(jù),一些新觀測數(shù)據(jù)也無法正確錄入。有些業(yè)務網(wǎng)和互聯(lián)網(wǎng)沒有設置物理隔離,人員在登錄系統(tǒng)時出于便利性考慮會選擇記住密碼方式或設置簡單密碼,會使網(wǎng)絡安全受到嚴重威脅。

4 氣象網(wǎng)絡安全管理策略

4.1 落實安全責任和培訓

制定并完善網(wǎng)絡安全管理制度,明確網(wǎng)絡安全專人負責制,定期進行網(wǎng)絡和設備檢查,加強對網(wǎng)絡安全設備的管理和維護。定期組織業(yè)務人員進行計算機安全知識培訓,提高網(wǎng)絡安全意識,規(guī)范其操作使用行為,注重安全技能精進,利用遠程教育和科普宣傳等方式,對業(yè)務人員安全教育,做到人防和技防相結合,層層壓實督促責任,做好組織協(xié)調工作。

4.2 全面掌握氣象網(wǎng)絡運行情況

做到所有聯(lián)網(wǎng)業(yè)務電腦配有殺毒軟件,采用復雜程度高的強口令密碼、數(shù)據(jù)庫存儲備份、公私移動設備分開使用、數(shù)據(jù)加密傳輸?shù)榷喾N措施。采取定期和不定期檢查相結合方式,做好勤開機、勤殺毒,及時對操作系統(tǒng)進行升級、應用程序補丁安裝及新病毒檢測等。加強IP管理和互聯(lián)網(wǎng)行為管理,全程監(jiān)管端口、系統(tǒng)管理權限、訪問權限等開放情況及網(wǎng)頁篡改情況,定期進行辦公及業(yè)務用網(wǎng)絡通信設備、計算機和移動存儲設備安全大檢查,在日常維護中抓好內網(wǎng)、外網(wǎng)、信息系統(tǒng)管理,嚴格控制管理提供互聯(lián)網(wǎng)服務的服務器和工作站,合理配置通信網(wǎng)絡,同時按照氣象數(shù)據(jù)管理要求處理好硬盤和移動硬盤廢舊數(shù)據(jù)[4]。

4.3 注重氣象涉密信息管理

加強計算機對外設備檢查和管理,涉密文件單獨存放,禁止使用帶涉密性質的介質對接到聯(lián)網(wǎng)計算機上加工、儲存和文件傳輸。為主要計算機配備UPS,網(wǎng)絡信息安全管理員負責網(wǎng)絡安全工作,管理員本人賬戶需要定期更換密碼,注銷無效賬戶。采用新技術如數(shù)字簽名技術、文字加密技術等,在信息存儲、傳輸時就對這些信息數(shù)據(jù)進行加密,提高信息數(shù)據(jù)保密程度。當用戶需要調用數(shù)據(jù)時,輸入事先設置的口令即可順利進入獲取到所需信息,這樣就能避免業(yè)務以外人員竊取信息造成外泄。同時加強關鍵程序及相關軟件、重要文件備份,對政務內網(wǎng)、黨務內網(wǎng)中的涉密文件和內部氣象資料數(shù)據(jù)作隔離處理和備份存儲。

4.4 完善信息系統(tǒng)安全維護技術

計算機安裝的防火墻及正版殺毒軟件,可加強網(wǎng)絡系統(tǒng)監(jiān)控,有效攔截惡意入侵,阻斷病毒傳播,日常要及時升級軟件,發(fā)現(xiàn)并修復軟件自身漏洞,并隨時下載官方系統(tǒng)補丁進行補漏,完善軟件系統(tǒng)功能。基于信息技術的快速發(fā)展,可單獨建立數(shù)據(jù)服務器(IBM)來實現(xiàn)數(shù)據(jù)存儲、共享,對數(shù)據(jù)服務器進行有效用戶、登錄口令、身份驗證等安全設置,非法入侵用戶就難以登錄使用該數(shù)據(jù)服務器。業(yè)務運行中,及時關閉不用的端口、服務及共享空間連接,降低系統(tǒng)運行負擔,盡可能避免數(shù)據(jù)傳輸風險,保證信息數(shù)據(jù)安全不泄露。

5 結語

高效率的氣象信息處理和高質量的氣象服務離不開計算機網(wǎng)絡安全管理。做好氣象網(wǎng)絡安全保障工作能夠自如應對所面臨的復雜網(wǎng)絡環(huán)境,避免網(wǎng)絡運行故障和病毒黑客入侵,系統(tǒng)性筑牢氣象網(wǎng)絡安全堤壩。氣象部門需要結合本地實際,對網(wǎng)絡安全統(tǒng)一管理,各科室嚴格落實網(wǎng)絡安全規(guī)章制度,采取多種措施確保氣象網(wǎng)絡安全零事故。