1气象网络安全现状
1.1人员安全防范意识薄弱
随着网络攻击方式的多样化,一些用户不遵守规章制度,经常在计算机上随意插拔U盘,用U盘转移数据,无形中造成病毒的感染、散播;或者下载、安装未经安全检测的各种应用软件,造成病毒的感染等。还有些用户认为安装了杀毒软件就一劳永逸,却忽视杀毒软件病毒库的升级,造成病毒库版本老旧,不能及时、有效地杀除病毒。
1.2硬件防御系统不完善
互联网、办公网、业务网边界不清,只在网络之间以防火墙进行隔离,不能完全杜绝病毒及入侵行为的攻击。对于非法的访问行为和病毒没有及时有效地进行监控,会导致网络流量突增,占用大量气象信息网络带宽从而影响业务的正常传输。
1.3应用软件存在漏洞
操作系统有部分高危漏洞补丁未安装,系统可能存在URL框架、链接和跨站漏洞等,这些都存在安全风险。应用软件如ApacheTomcat、MySQL或SQLServer数据库版本存在漏洞且未安装补丁,这些都给黑客和病毒提供了一定的可趁之机。
2气象信息网络安全措施
2.1安全管理制度
气象信息中心在网络安全管理方面已经建立一整套相当完备的管理制度,包括:《网络管理员日常工作流程》、《信息中心机房管理制度》、《信息中心密码管理制度》、《技术保障科工作制度》、《技术保障科交接班制度》、《宁夏气象信息中心技术保障管理规定》、《气象信息传输业务运行管理规定》、《宁夏气象信息中心安全事件报告和处置管理制度》、《宁夏气象信息中心业务系统故障及信息安全事件分类分级制度》、《宁夏气象信息中心信息网络应急预案》等,为气象信息系统安全工作的开展提供了制度保证。气象信息中心规定非本单位人员进出机房必须按照《信息中心机房管理制度》的要求填写登记表并由本单位人员陪同,机房和办公楼内配有视频监控系统进行24小时监控。电子邮箱(LotusNotes)的使用需要由管理员分配用户ID方可使用,非本部门的人员不得使用。
2.2硬件防御系统
气象信息中心建设了整套的安全防御系统来保障气象信息网络的安全。
2.2.1安全管理中心
安全管理中心(SMC)包括配置、监控、分析、响应等多个相关联的部分,监控整个网络设备、主机设备、安全设备、用户终端等的安全状态和安全趋势;对全网安全事件进行采集、分析、关联、汇聚、报表报告,对危害严重的安全事件及时做出反应;对所有监控指标产生的告警进行集中的响应。
2.2.2广域网入侵防御系统
系统对过往包裹进行深层检查,深入数据内部,查找实时更新的攻击代码特征、病毒特征和异常协议,过滤掉有害数据流,丢弃有害数据包,并进行记载以便事后分析;监视网络资料传输行为,实现细粒度管理控制,能够即时地中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为,提供了动态、深度的安全检测及防御。
2.2.3安全隔离网闸
系统直接处理网络间的应用层数据,利用存储转发的方法进行数据的交换,在交换的同时,对应用数据进行细粒度安全过滤;实现两个不信任网络间的高安全的隔离和实时的信息交换,防止内部信息泄漏和外部病毒、黑客程序的渗入。
2.2.4网络防毒体系
杀毒系统可以预防、扫描和杀除计算机病毒,防止病毒的传播扩散。网络防毒体系主要分为服务器的防护和工作站的防护。防毒体系中的服务器端产品可为文件服务器的病毒防护和网络工作站的病毒防护。我中心使用卡巴斯基网络版杀毒软件(170客户端)和360企业版杀毒软件(400客户端)对全区业务提供计算机病毒防护,定期对信息系统进行漏洞扫描、病毒木马检测。
2.2.5城域网DMZ区
为保护气象局区局业务网的安全,解决城域网用户与业务网之间没有安全隔离的问题,在城域网与综合业务子网之间建设一个城域网用户信息收集共享DMZ区,利用防火墙提供必要的网络安全控制,从而保证业务网的安全,使得外网的访问者可以获得DMZ中的服务,但不能接触到存放在气象内网中的信息。
2.3安全技术防护
目前采用网络安全的主要技术有访问控制、入侵检测、安全审计、数据加密、身份认证等等。
2.3.1防火墙
利用防火墙可以将气象专网与互联网进行有效隔离。防火墙通过控制和监测网络之间进出的数据信息交换和封堵某些禁止行为来实现对网络安全的有效管理,并且实现对网络攻击行为的检测和告警等。
2.3.2访问控制
访问控制采用基于资源的集中式控制、基于源地址和目的地址的过滤管理、基于网络签证技术等多种手段来保证系统资源不被非法访问和使用。气象信息内网接入互联网的终端计算机采取IP-Mac地址绑定的方式,严格限制业务用终端计算机接入互联网。同时还利用静态路由表,划分不同的虚拟局域网等技术限制各网段之间互访。
2.3.3入侵检测
入侵检测系统是从气象信息网络中的关键节点收集网络中传输的数据报文及相关网络会话,还有系统内部的审计数据,通过分析这些信息,查看网络中是否存在违反相关安全策略的行为,是否存在异常的用户行为及入侵事件。入侵检测系统实时、动态地保护来自气象信息网络内部和外部的各种攻击,同时有效地弥补了防火墙的不足。
2.3.4安全审计
系统采用旁路侦听的方式对重要和敏感的业务系统数据流进行采集、分析和识别;通过监测网络异常流量,实时监视用户访问气象业务系统的状态,记录各种访问行为,发现并及时制止用户的误操作、违规访问或者可疑行为。
2.3.5身份认证
气象信息中心有基于数字证书的身份认证系统(CA系统),提供了证书认证、数字签名和数据加解密的安全服务,是信息网络安全体系中保护应用和数据安全的重要手段。
2.3.6网络流量控制
通常,在气象信息网络没有感染病毒时网络带宽能够满足业务数据的正常传输。假如网络中的终端计算机感染了“蠕虫”病毒或一些木马程序后,网络流量会出现异动,严重的甚至会将气象信息网络的带宽完全耗尽,并导致业务网络的阻塞或完全瘫痪。由于天气预报、气候预测等气象业务数据需要及时准确的传输,网络流量耗尽或阻塞将给气象业务的正常运行带来巨大的隐患。因此,为确保常规气象业务数据的准确、及时传输,必须要对一些非业务的数据流量加强管理和限制,防止因为少量终端计算机的不正常而殃及整个网络。
2.3.7终端计算机的网络安全管理
病毒、恶意软件、木马等电脑病毒以及终端本身的软硬件故障,常常给整个气象信息网络带来安全隐患,严重的甚至能导致系统崩溃。因此,要定期或不定期组织终端计算机系统的安全风险评估,检查安全运行情况,并根据评估报告对系统安全措施进行完善与升级,及时排除安全隐患。
3结语
制定安全管理制度、安装硬件防御系统只是保障网络安全的基础,只有进一步提高网络安全意识,完善规章制度,加强安全技术防御,加强对网络管理人员的安全教育,才能保证气象信息网络整体的安全。
作者:姜娜娜 卓凤艳 岳勇 周红 单位:宁夏气象信息中心
