某氣象部門網(wǎng)絡(luò)安全管理實(shí)例分析

隨著計(jì)算機(jī)網(wǎng)絡(luò)在氣象事業(yè)發(fā)展中的應(yīng)用，氣象系統(tǒng)內(nèi)部與外界的信息交流量不斷擴(kuò)大，網(wǎng)絡(luò)安全問題也日益突出。本文結(jié)合筆者所在單位實(shí)際情況，就威脅到氣象信息網(wǎng)絡(luò)安全的因素進(jìn)行了簡單的分析與介紹，并提出了相應(yīng)的防范措施，從而有效地保障氣象信息網(wǎng)絡(luò)的穩(wěn)定與安全。

網(wǎng)絡(luò)安全現(xiàn)狀

某市氣象局內(nèi)部局域網(wǎng)通過電信6M SDH 專線接入BD4860 路由器與省局通信，該市下屬各縣局及市局觀測站通過移動(dòng)2M SDH 專線接入BD4860 與市局局域網(wǎng)連通，市局租用中國電信10M 專線連接Internet。“省- 地- 縣”氣象寬帶的建設(shè)，實(shí)現(xiàn)了氣象資料的共享，使用Lotus 及氣象辦公系統(tǒng)進(jìn)行公文處理和收發(fā)文件，接收micaps 氣象預(yù)報(bào)資料，上傳常規(guī)資料報(bào)文、自動(dòng)氣象站實(shí)時(shí)資料等，使氣象信息可以及時(shí)、準(zhǔn)確地傳輸，適應(yīng)業(yè)務(wù)對氣象數(shù)據(jù)資料的需求。

目前，該單位局域網(wǎng)采用的總線型結(jié)構(gòu)比較簡單，由于局域網(wǎng)各工作站與服務(wù)器均掛在同一總線上，各工作站無中心節(jié)點(diǎn)控制，因此存在以下問題：

1. 該網(wǎng)絡(luò)結(jié)構(gòu)由于各節(jié)點(diǎn)占用總線帶寬，傳輸速度會因接入網(wǎng)絡(luò)的用戶的增多而下降，特別是在線視頻、海量下載等會導(dǎo)致網(wǎng)絡(luò)流量負(fù)載過大，并增大引入局域網(wǎng)病毒木馬程序的概率。另外，由于采用資源共享的訪問控制，也容易造成網(wǎng)絡(luò)擁塞。

2. 辦公網(wǎng)絡(luò)幾乎成為“病毒多發(fā)區(qū)”，嚴(yán)重時(shí)可能導(dǎo)致網(wǎng)絡(luò)癱瘓，影響業(yè)務(wù)工作。

此外，氣象信息網(wǎng)絡(luò)還有如下特點(diǎn)：隨意更改IP 地址的現(xiàn)象較為普遍；在線升級病毒庫、安裝系統(tǒng)補(bǔ)丁等方面重復(fù)工作多，效率低下；用戶對計(jì)算機(jī)終端的安全意識和認(rèn)知水平不足。

影響網(wǎng)絡(luò)安全的主要因素

1. 漏洞

漏洞是造成安全問題的重要隱患，絕大多數(shù)非法入侵、木馬、病毒都是通過漏洞來突破網(wǎng)絡(luò)安全防線的。因此，防堵漏洞是提高系統(tǒng)及網(wǎng)絡(luò)安全的關(guān)鍵之一。

當(dāng)前的漏洞問題主要包括兩個(gè)方面：一是軟件系統(tǒng)的漏洞，如操作系統(tǒng)漏洞、IE 漏洞、Office 漏洞等，以及一些應(yīng)用軟件、數(shù)據(jù)庫系統(tǒng)（如SQL Server）漏洞；二是硬件方面的漏洞，如防火墻、路由器等網(wǎng)絡(luò)產(chǎn)品的漏洞。

2. 內(nèi)部人員操作不規(guī)范

在日常故障統(tǒng)計(jì)中，工作人員使用不當(dāng)而造成的問題占絕大多數(shù)，例如，有的工作人員在多臺機(jī)器上使用U 盤、移動(dòng)硬盤拷貝文件時(shí)，不注意殺毒；有的工作人員在計(jì)算機(jī)上隨意安裝軟件；還有人安全意識不強(qiáng)，用戶口令選擇不慎，將自己的賬號隨意轉(zhuǎn)借他人，甚至與別人共享賬號，這些也會給網(wǎng)絡(luò)安全帶來威脅。

3. 病毒與非法入侵

單位用于正常辦公的計(jì)算機(jī)里通常保存了大量的文檔、業(yè)務(wù)資料、公文、檔案等重要數(shù)據(jù)和信息資料，如果被病毒破壞，被非法入侵者盜取或篡改，就可能造成數(shù)據(jù)信息丟失，甚至泄密，嚴(yán)重影響到正常辦公的順利進(jìn)行。

計(jì)算機(jī)感染病毒以后，輕則系統(tǒng)運(yùn)行速度明顯變慢，頻繁宕機(jī)，重則文件被刪除，硬盤分區(qū)表被破壞，甚至硬盤被非法格式化，還可能引發(fā)硬件的損壞。還有些病毒一旦感染主機(jī)，就會將系統(tǒng)中的防病毒程序關(guān)掉，讓防病毒防線整個(gè)崩潰。

網(wǎng)絡(luò)安全防范措施

1. 完善網(wǎng)絡(luò)安全管理制度

加強(qiáng)安全管理，網(wǎng)絡(luò)內(nèi)的任何部門除了要嚴(yán)格遵守現(xiàn)有規(guī)章制度外，還要逐步完善網(wǎng)絡(luò)系統(tǒng)的安全管理制度，加強(qiáng)內(nèi)部管理。

完善的安全管理制度能約束用戶的操作規(guī)范，形成高度可操作的規(guī)范使用網(wǎng)絡(luò)的管理體系。這是氣象信息網(wǎng)絡(luò)安全問題得以解決的重要保證，也是防止內(nèi)、外部攻擊的有效方法。

2. 病毒防范

根據(jù)日常業(yè)務(wù)辦公需求，經(jīng)常需要進(jìn)行文件傳送、資料共享等，這就給計(jì)算機(jī)病毒的傳播提供了途徑和可能性，必須有適合于局域網(wǎng)的全方位的防病毒產(chǎn)品。

同時(shí)，用戶在日常使用計(jì)算機(jī)時(shí)應(yīng)養(yǎng)成良好的習(xí)慣，并掌握一些常用的殺毒技巧。一旦發(fā)現(xiàn)感染病毒，首先進(jìn)行隔離，將其從聯(lián)網(wǎng)狀態(tài)中分離出來，然后殺毒。

3. 對網(wǎng)絡(luò)系統(tǒng)進(jìn)行合理配置

本級氣象部門內(nèi)部網(wǎng)絡(luò)不僅連接上下級單位的網(wǎng)絡(luò)，而且和其他專網(wǎng)、互聯(lián)網(wǎng)都有連接，這些網(wǎng)絡(luò)間都存在著不同程度的信息交換。由于不同網(wǎng)絡(luò)的互信程度不同，安全級別不同，所以必須根據(jù)一定的安全策略來控制、允許或拒絕出入內(nèi)部網(wǎng)絡(luò)的信息流，剔除惡意的、帶有攻擊性質(zhì)的信息流，保障內(nèi)部網(wǎng)絡(luò)的暢通與安全。

路由器通常部署在網(wǎng)絡(luò)邊界處，是外部信息流進(jìn)入內(nèi)部網(wǎng)絡(luò)的第一道關(guān)口?？梢韵拗埔恍┨厥釻DP、TCP 端口，阻止入侵者攻擊，并避免某些端口由于流量過大而影響整個(gè)網(wǎng)絡(luò)，從而確保氣象業(yè)務(wù)的順利進(jìn)行。

4. 部署防火墻

通過路由器、防火墻等對有關(guān)網(wǎng)段的訪問進(jìn)行控制：對不需要對外進(jìn)行訪問的主機(jī)，將其封閉在固定的網(wǎng)段中；對需要對外進(jìn)行有限訪問的主機(jī)，則設(shè)定單點(diǎn)路由，最大限度地阻止網(wǎng)絡(luò)中的非法入侵者訪問內(nèi)部的網(wǎng)絡(luò)，防止其隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息，確保重要的業(yè)務(wù)主機(jī)網(wǎng)段的安全。

5. 其他安全措施

（1）漏洞掃描

確定一種能查找漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式，最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。

有很多病毒就是通過系統(tǒng)漏洞對計(jì)算機(jī)進(jìn)行破壞的，很多非法入侵者也能夠通過系統(tǒng)漏洞入侵到目標(biāo)計(jì)算機(jī)中，并對其進(jìn)行破壞。因此，應(yīng)及時(shí)安裝最新的系統(tǒng)補(bǔ)丁、數(shù)據(jù)庫補(bǔ)丁。

很多安全工具都有檢查系統(tǒng)漏洞的功能，可以借助它們，對系統(tǒng)進(jìn)行定期檢查，以便將漏洞所產(chǎn)生的危害降到最低。

（2）數(shù)據(jù)備份

為了防止無法預(yù)料的系統(tǒng)故障，或用戶不小心進(jìn)行的非法操作，必須對系統(tǒng)進(jìn)行安全備份。

除了對系統(tǒng)進(jìn)行定時(shí)備份外，還應(yīng)該對修改過的數(shù)據(jù)進(jìn)行備份，應(yīng)將修改過的重要系統(tǒng)文件存放在不同的服務(wù)器上，以便系統(tǒng)崩潰時(shí)，可以及時(shí)地將系統(tǒng)恢復(fù)到正常狀態(tài)。

以自動(dòng)站原始數(shù)據(jù)的備份為例，各地氣象臺站對于自動(dòng)站原始數(shù)據(jù)的備份，除了采用本地硬盤備份外，也采用專用的移動(dòng)存儲設(shè)備定期轉(zhuǎn)移備份，或者利用網(wǎng)絡(luò)進(jìn)行雙機(jī)備份。最好用光盤刻錄機(jī)將數(shù)據(jù)刻錄在光盤中，確保信息的安全完整性。

（3）訪問控制

訪問權(quán)限控制是實(shí)現(xiàn)安全防范和保護(hù)的重要措施之一，其主要任務(wù)是對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制，防止非法用戶進(jìn)入系統(tǒng)及防止合法用戶對系統(tǒng)資源的非法使用。

例如，進(jìn)行用戶身份認(rèn)證，對口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限等。通過訪問控制，可以有效保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

（4）加強(qiáng)維護(hù)力量

系統(tǒng)管理員應(yīng)及時(shí)更新知識，了解最前沿的安全防范措施，及時(shí)更改網(wǎng)絡(luò)系統(tǒng)的安全布防，確保網(wǎng)絡(luò)的正常運(yùn)行。

【推薦閱讀】

◆IT運(yùn)維管理專區(qū)

◆網(wǎng)絡(luò)安全管理要警惕九種“人”

◆網(wǎng)絡(luò)安全管理十大注意事項(xiàng)

◆服務(wù)器安全維護(hù)的七大方案

◆網(wǎng)管軟件專區(qū)

本文來自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:39 編輯：泛普軟件 · xiaona [打印此頁] [關(guān)閉]

相關(guān)欄目：