氣象部門計(jì)算機(jī)網(wǎng)絡(luò)安全問題及日常維護(hù)技術(shù)

霍繼超 孫欣

(1.開封市氣象局,河南開封 475004;2.河南省氣象災(zāi)害防御技術(shù)中心,河南鄭州 450000)

0 引言

開封市計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是由多臺服務(wù)器、工作站、三層交換機(jī)及骨干路由器組成了星型拓?fù)浣Y(jié)構(gòu)的以太網(wǎng),承接著省、市和縣級氣象部門專用網(wǎng)絡(luò),實(shí)現(xiàn)了各級氣象部門的氣象信息采集、處理和傳輸。因?yàn)镮nternet是一個開放的、無控制機(jī)構(gòu)的網(wǎng)絡(luò)。黑客可利用技術(shù)手段侵入聯(lián)網(wǎng)的計(jì)算機(jī),竊取機(jī)密數(shù)據(jù)、盜取特權(quán)、破壞重要數(shù)據(jù)、限制系統(tǒng)功能甚至導(dǎo)致系統(tǒng)癱瘓。計(jì)算機(jī)病毒也會在網(wǎng)上傳播,病毒攻擊會使計(jì)算機(jī)丟失數(shù)據(jù)和文件,病毒一般通過公共匿名FTP文件或郵件傳播。通過中斷攻擊形式針對系統(tǒng)可用性展開毀壞系統(tǒng)資源,造成網(wǎng)絡(luò)癱瘓;通過截獲攻擊形式針對保密性展開獲取系統(tǒng)資源訪問權(quán)的非授權(quán)用戶操作;通過修改攻擊方式針對完整性展開數(shù)據(jù)修改操作;通過偽造的攻擊形式針對完整性展開將虛假數(shù)據(jù)插入正常傳輸?shù)牟僮鳌＿@些安全隱患給氣象數(shù)據(jù)的安全管理造成極大威脅,因此氣象保障部門需要高度關(guān)注網(wǎng)絡(luò)安全。

1 氣象部門網(wǎng)絡(luò)安全防控技術(shù)

防火墻將氣象內(nèi)部網(wǎng)和對外開放網(wǎng)分開,本質(zhì)上為一種隔離技術(shù)。通過軟件和硬件的相互作用在內(nèi)網(wǎng)和外網(wǎng)之間建立起一道屏障,阻斷危險因素侵入計(jì)算機(jī)系統(tǒng)。當(dāng)防火墻許可時,用戶才能訪問計(jì)算機(jī)系統(tǒng)。其具有強(qiáng)力警報功能,當(dāng)非授權(quán)用戶試圖操作系統(tǒng)時,防火墻便會發(fā)出警報并且提醒非授權(quán)用戶行為,同時展開邏輯判定。它可以在相異的網(wǎng)絡(luò)即時通訊時執(zhí)行相關(guān)訪問控制尺度,最大限度阻止黑客入侵。借助于漏洞數(shù)據(jù)庫,憑借掃描手段對計(jì)算機(jī)安全性檢測,發(fā)現(xiàn)可利用漏洞的一種滲透攻擊行為。漏洞掃描和防火墻相配合,定期自我評估,最大限度消除氣象網(wǎng)絡(luò)存在安全隱患,盡早進(jìn)行漏洞修補(bǔ),優(yōu)化系統(tǒng)資源配置,提高運(yùn)行效率。每當(dāng)運(yùn)行新服務(wù)或安裝新軟件后,原有漏洞可能暴露出來,所以需要掃描。主動性防范措施和被動性修補(bǔ)相結(jié)合,形成對計(jì)算機(jī)系統(tǒng)全方位保護(hù),把安全事故出現(xiàn)概率降到最低[1]。氣象部門可根據(jù)實(shí)際情況和數(shù)據(jù)專家建議對內(nèi)部網(wǎng)絡(luò)補(bǔ)正,擴(kuò)容漏洞數(shù)據(jù)庫,確保庫的有效性和全面性,網(wǎng)絡(luò)安全管理員應(yīng)及時更新漏洞庫。

計(jì)算機(jī)病毒是數(shù)據(jù)安全頭號大敵,其演變速度十分快,目前新型病毒更具破壞性、隱秘性,感染概率更高。病毒依附于程序中,一旦侵入計(jì)算機(jī)系統(tǒng),輕則影響運(yùn)行速度,重則導(dǎo)致死機(jī)。常見病毒攻擊方式有刪除、改名、替換文件內(nèi)容;消耗占用系統(tǒng)內(nèi)存導(dǎo)致程序運(yùn)行受阻;搶占中斷,干擾系統(tǒng)運(yùn)行,虛假警報、內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū);延遲程序啟動時間;攻擊磁盤數(shù)據(jù)、寫盤時丟失字節(jié)等。氣象業(yè)務(wù)人員應(yīng)提高安全意識,慎重打開不明郵件提高防范意識,不執(zhí)行從網(wǎng)絡(luò)下載后未經(jīng)檢測的軟件,不輕易共享移動存儲設(shè)備。保障人員需要及時更新殺毒軟件,一旦發(fā)現(xiàn)病毒侵害計(jì)算機(jī)系統(tǒng),應(yīng)及時中斷網(wǎng)絡(luò)實(shí)施隔離。

2 安全管理系統(tǒng)構(gòu)建

以計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)防病毒系統(tǒng)應(yīng)用設(shè)計(jì)為例,筆者以Trend防病毒整體解決方案為基礎(chǔ)設(shè)計(jì)一符合本市氣象局的計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)方案[2]。如圖1所示為典型網(wǎng)絡(luò)環(huán)境,在此基礎(chǔ)上計(jì)算機(jī)網(wǎng)絡(luò)防病毒體系可分為網(wǎng)關(guān)級防病毒系統(tǒng)、服務(wù)器防病毒系統(tǒng)和客戶端防病毒系統(tǒng),以上三者關(guān)系如圖2所示。

圖1 典型網(wǎng)絡(luò)環(huán)境Fig.1 Typical network environment

圖2 多級防病毒體系結(jié)構(gòu)示意Fig.2 Schematic diagram of multi-level anti-virus architecture

2.1 網(wǎng)關(guān)服務(wù)器防病毒方案

網(wǎng)關(guān)級防病毒系統(tǒng)借鑒Trend防病毒系統(tǒng)的InterScan VirusWall產(chǎn)品,該產(chǎn)品透過SMTP、HTTP、FTP進(jìn)入網(wǎng)絡(luò),在檢測到病毒痕跡時,可警示提醒、隔離相關(guān)文件或直接刪除處理,仍給予管理人員一定自主權(quán):即在嚴(yán)格管控條件下,允許下載該文件。該產(chǎn)品包含Windows接口及ISAPL/CGI網(wǎng)頁瀏覽器預(yù)設(shè)接口,可提供最佳管理彈性。可選擇搭配電子郵件安全管理模塊過濾卡基軟件,設(shè)定郵件有效收發(fā)時段。本方案和FireWall-1開放系統(tǒng)以及其他產(chǎn)品無應(yīng)用沖突,兼容性強(qiáng)。病毒碼更新可利用遠(yuǎn)程管控系統(tǒng)實(shí)現(xiàn),支持Check Point Software Technologies的CVP標(biāo)準(zhǔn),可將檢測為惡意的JAVA和ActiveX程序在網(wǎng)關(guān)口攔截下來。

2.2 服務(wù)器防病毒方案

文件服務(wù)器感染途徑包括從其他文件服務(wù)器感染、經(jīng)由移動存儲設(shè)備感染和從電腦客戶端感染,文件服務(wù)器類型有WindowsNT、Netware、Linux和W2K Server。Server Protect可通過多層管理架構(gòu)強(qiáng)化整個網(wǎng)絡(luò)安全環(huán)境,主控中心采取只有通過密鑰核對才可登陸的TCP/IP協(xié)議。利用病毒行為分析模式和病毒碼比對技術(shù),偵測潛在病毒,也可結(jié)合趨勢宏病毒掃描引擎?zhèn)蓽y清除未知宏病毒。ScanMail是email病毒克星可在病毒擴(kuò)散前對其進(jìn)行攔截消滅,計(jì)算機(jī)系統(tǒng)安裝有ScanMail后,產(chǎn)品即可對存于信箱內(nèi)所有附件掃描,同時新入郵件將被攔截偵測,經(jīng)偵測鑒定為安全后會加上safe stamp標(biāo)志,經(jīng)感染的郵件附件會經(jīng)處理后再寄送收件人[3]。

2.3 客戶端防毒方案

Office Scan以中央控制方式管理所有客戶端防毒工作,自動部署更新病毒代碼和程序更新。系統(tǒng)管理員全權(quán)掌管防毒軟件卸載的權(quán)限,集中式的Log日志,網(wǎng)域式群組整合更加方便系統(tǒng)管理和設(shè)定,并且支持移動性用戶。

3 氣象部門計(jì)算機(jī)網(wǎng)絡(luò)安全管理存在的問題

3.1 用戶安全意識不足

氣象業(yè)務(wù)人員計(jì)算機(jī)應(yīng)用技術(shù)水平參差不齊,某些縣局沒有專門網(wǎng)絡(luò)安全管理員,這樣導(dǎo)致非授權(quán)用戶擅自使用私人移動硬盤和U盤對接業(yè)務(wù)電腦USB插口,存在工作人員利用業(yè)務(wù)電腦瀏覽與工作無關(guān)網(wǎng)頁。這些自我約束意識不強(qiáng),安全管理制度落實(shí)不到位現(xiàn)象會給黑客和病毒侵入計(jì)算機(jī)系統(tǒng)可乘之機(jī),增大竊取和破壞氣象數(shù)據(jù)可能性。

3.2 防護(hù)措施不完善

基于氣象信息處理和傳輸工作特殊性,氣象網(wǎng)絡(luò)內(nèi)網(wǎng)使用頻率遠(yuǎn)高于外網(wǎng),一旦出現(xiàn)防護(hù)疏漏則病毒會肆意傳播,任一個網(wǎng)絡(luò)都有可能被黑客攻擊,出現(xiàn)過因工作人員攜帶U盤有病毒,導(dǎo)致局域網(wǎng)中其他業(yè)務(wù)計(jì)算機(jī)和服務(wù)器受感染案例。此外因氣象綜合觀測業(yè)務(wù)的發(fā)展,數(shù)據(jù)量持續(xù)增加導(dǎo)致部分業(yè)務(wù)人員出于方便目的隨意更改刪除原有數(shù)據(jù),一些新觀測數(shù)據(jù)也無法正確錄入。有些業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)沒有設(shè)置物理隔離,人員在登錄系統(tǒng)時出于便利性考慮會選擇記住密碼方式或設(shè)置簡單密碼,會使網(wǎng)絡(luò)安全受到嚴(yán)重威脅。

4 氣象網(wǎng)絡(luò)安全管理策略

4.1 落實(shí)安全責(zé)任和培訓(xùn)

制定并完善網(wǎng)絡(luò)安全管理制度,明確網(wǎng)絡(luò)安全專人負(fù)責(zé)制,定期進(jìn)行網(wǎng)絡(luò)和設(shè)備檢查,加強(qiáng)對網(wǎng)絡(luò)安全設(shè)備的管理和維護(hù)。定期組織業(yè)務(wù)人員進(jìn)行計(jì)算機(jī)安全知識培訓(xùn),提高網(wǎng)絡(luò)安全意識,規(guī)范其操作使用行為,注重安全技能精進(jìn),利用遠(yuǎn)程教育和科普宣傳等方式,對業(yè)務(wù)人員安全教育,做到人防和技防相結(jié)合,層層壓實(shí)督促責(zé)任,做好組織協(xié)調(diào)工作。

4.2 全面掌握氣象網(wǎng)絡(luò)運(yùn)行情況

做到所有聯(lián)網(wǎng)業(yè)務(wù)電腦配有殺毒軟件,采用復(fù)雜程度高的強(qiáng)口令密碼、數(shù)據(jù)庫存儲備份、公私移動設(shè)備分開使用、數(shù)據(jù)加密傳輸?shù)榷喾N措施。采取定期和不定期檢查相結(jié)合方式,做好勤開機(jī)、勤殺毒,及時對操作系統(tǒng)進(jìn)行升級、應(yīng)用程序補(bǔ)丁安裝及新病毒檢測等。加強(qiáng)IP管理和互聯(lián)網(wǎng)行為管理,全程監(jiān)管端口、系統(tǒng)管理權(quán)限、訪問權(quán)限等開放情況及網(wǎng)頁篡改情況,定期進(jìn)行辦公及業(yè)務(wù)用網(wǎng)絡(luò)通信設(shè)備、計(jì)算機(jī)和移動存儲設(shè)備安全大檢查,在日常維護(hù)中抓好內(nèi)網(wǎng)、外網(wǎng)、信息系統(tǒng)管理,嚴(yán)格控制管理提供互聯(lián)網(wǎng)服務(wù)的服務(wù)器和工作站,合理配置通信網(wǎng)絡(luò),同時按照氣象數(shù)據(jù)管理要求處理好硬盤和移動硬盤廢舊數(shù)據(jù)[4]。

4.3 注重氣象涉密信息管理

加強(qiáng)計(jì)算機(jī)對外設(shè)備檢查和管理,涉密文件單獨(dú)存放,禁止使用帶涉密性質(zhì)的介質(zhì)對接到聯(lián)網(wǎng)計(jì)算機(jī)上加工、儲存和文件傳輸。為主要計(jì)算機(jī)配備UPS,網(wǎng)絡(luò)信息安全管理員負(fù)責(zé)網(wǎng)絡(luò)安全工作,管理員本人賬戶需要定期更換密碼,注銷無效賬戶。采用新技術(shù)如數(shù)字簽名技術(shù)、文字加密技術(shù)等,在信息存儲、傳輸時就對這些信息數(shù)據(jù)進(jìn)行加密,提高信息數(shù)據(jù)保密程度。當(dāng)用戶需要調(diào)用數(shù)據(jù)時,輸入事先設(shè)置的口令即可順利進(jìn)入獲取到所需信息,這樣就能避免業(yè)務(wù)以外人員竊取信息造成外泄。同時加強(qiáng)關(guān)鍵程序及相關(guān)軟件、重要文件備份,對政務(wù)內(nèi)網(wǎng)、黨務(wù)內(nèi)網(wǎng)中的涉密文件和內(nèi)部氣象資料數(shù)據(jù)作隔離處理和備份存儲。

4.4 完善信息系統(tǒng)安全維護(hù)技術(shù)

計(jì)算機(jī)安裝的防火墻及正版殺毒軟件,可加強(qiáng)網(wǎng)絡(luò)系統(tǒng)監(jiān)控,有效攔截惡意入侵,阻斷病毒傳播,日常要及時升級軟件,發(fā)現(xiàn)并修復(fù)軟件自身漏洞,并隨時下載官方系統(tǒng)補(bǔ)丁進(jìn)行補(bǔ)漏,完善軟件系統(tǒng)功能。基于信息技術(shù)的快速發(fā)展,可單獨(dú)建立數(shù)據(jù)服務(wù)器(IBM)來實(shí)現(xiàn)數(shù)據(jù)存儲、共享,對數(shù)據(jù)服務(wù)器進(jìn)行有效用戶、登錄口令、身份驗(yàn)證等安全設(shè)置,非法入侵用戶就難以登錄使用該數(shù)據(jù)服務(wù)器。業(yè)務(wù)運(yùn)行中,及時關(guān)閉不用的端口、服務(wù)及共享空間連接,降低系統(tǒng)運(yùn)行負(fù)擔(dān),盡可能避免數(shù)據(jù)傳輸風(fēng)險,保證信息數(shù)據(jù)安全不泄露。

5 結(jié)語

高效率的氣象信息處理和高質(zhì)量的氣象服務(wù)離不開計(jì)算機(jī)網(wǎng)絡(luò)安全管理。做好氣象網(wǎng)絡(luò)安全保障工作能夠自如應(yīng)對所面臨的復(fù)雜網(wǎng)絡(luò)環(huán)境,避免網(wǎng)絡(luò)運(yùn)行故障和病毒黑客入侵,系統(tǒng)性筑牢氣象網(wǎng)絡(luò)安全堤壩。氣象部門需要結(jié)合本地實(shí)際,對網(wǎng)絡(luò)安全統(tǒng)一管理,各科室嚴(yán)格落實(shí)網(wǎng)絡(luò)安全規(guī)章制度,采取多種措施確保氣象網(wǎng)絡(luò)安全零事故。