论文部分内容阅读
摘 要 气象信息网络系统是气象事业现代化发展的基础,在“硬件防火墙、网页防篡改系统、网络管理软件、防病毒软件”安全体系建设下,需进一步提高工作人员安全防范意识,完善服务器、网络入侵检测系统等综合部署,实现多层次、全面化的气象信息网络安全防护。
关键词 气象;网络系统;安全防护;病毒
中图分类号 P4 文献标识码 A 文章编号 1673-9671-(2012)031-0206-01
随着气象事业的发展,气象信息网络系统已成为气象业务的重要支撑基础,而省级气象信息系统更是在整个国家信息系统中担负着承上启下的中坚作用,因此,安全、快捷、高效和高度共享的省级信息网络系统是全面提高气象业务服务能力的关键。江西省气象局信息网络在逐步开放和实现共享的同时,因各种各样混合型入侵导致的病毒感染、网络故障等安全隐患日益突显,如何保障气象信息网络安全、可靠及持续运行,是当前气象信息网络安全保障体系建设的首要问题。江西省气象信息中心网络安全建设已建立了互联网出口硬件防御设装置、局域网内部多层次防护,针对工作人员信息网络安全意识淡薄、应用程序存在漏洞及内网病毒难以防范等安全问题,要进一步加强气象信息网络安全体系建设,完善服务器、网络入侵检测系统等综合部署,有效避免病毒等入侵,从而保障计算机系统和局域网络等安全、可靠运行。
1 江西省气象信息中心网络结构形式
经过近几年网络升级改造的不断完善,江西省气象信息中心网络按照不同的安全等级形成三种网络结构形式:一是安全等级要求最高的内部局域网,各部门计算机均在此网上;二是以数字专线与相关政府职能机构构成的政务专网和通过不同授权等级共享的各级数据资源;三是通过宽带接入气象网站、供广大用户浏览的公众互联网。
2 气象信息网络建设实践
2.1 对互联网出口设置硬件防御
1)硬件防火墙。防火墙作为不同网络安全域间通信唯一的通道,用于设置不同网络安全域之间的一系列部件组合,可防止从网络外部访问本地网络的所有设备。根据气象业务运行,由硬件防火墙进行相关的安全策略控制进出网络的访问行为,不但解决了普通客户机软件防火墙存在的一些弊端,又加强了局域网对外的防护性。通常,将硬件防火墙部署在互联网与DMZ之间,以此保护区域内重要业务服务器的安全运行,所配备的防火墙日志还可记录网络访问行踪,便于过后对历史访问进行查询。但防火墙仅作为安全体系结构的一部分,不能起到对信息网络安全的全面保护。
2)网页防篡改系统。在气象信息网络系统DMZ区内部署的网页防篡改系统,是使其处于WEB服务器与防火墙之间,发挥实时监控、报警和自动恢复等功能,并通过日志对网站文件的更新过程进行全程监控,达到对WEB网站的全面防护,以防止黑客、恐怖分子或网络病毒对网站网页、电子文档、图片等文件进行恶意破坏或非法篡改。
2.2 局域网内部多层次防护
1)网络管理软件。将安装有网络管理软件的服务器与核心交换机直接相连接,网络管理人员通过软件对网络设备进行监控管理,以查看交换机或路由器等设备流量,并自动生成网络拓扑图,有助于管理员随时判断出网络故障发生点等。
2)防病毒软件。用于消除电脑病毒、木马及恶意软件等的另一类软件为杀毒软件,气象部门除网络服务器通过安全配置进行管理外,其他工作站机器必须安装优秀的杀毒软件进行安全防护,江西省气象信息中心安装有金山毒霸、瑞星、卡巴斯基、官方360等,并及时做到病毒库和扫描引擎等的更新升级。在实际应用中,计算机被病毒感染机率很小,防病毒效果明显;但对于一些配置较低的老机器和专网微机来说,仅适用于安装占用系统资源较小的360杀毒软件。因此,采用多种防病毒软件的相互配合较利于全网的安全稳定运行。
3 对气象信息网络安全的思考
3.1 安全隐患问题分析
当前江西局对信息网络进行了多层安全防护建设,但还是不能完全杜绝局域网内网络遭受病毒侵袭、病毒软件破坏等现象发生,并且还会出现配置良好的机器却运行很慢或无法运行等故障,对这些安全问题进行分析,得知主要为。
1)工作人员网络安全意识淡薄。很多工作人员只是会使用互联网,却对互联网上病毒传播方式一无所知,不知道选择下载安全软件,无意识的就会下载一些有安全隐患的软件,或不清楚的访问了一些恶意网页,以至于感染上病毒,并导致局域网内其他机器一并传播感染;还有少数人员下载游戏、电影、软件等大型文件,不但严重占用大量内存空间,致使关键业务应用系统带宽无法承受,还有着新病毒通过这些软件传播病毒的风险,如若又不及时更新系统,被病毒感染机率将会加大。
2)应用程序存在漏洞。非正版的应用软件和网络直接下载软件均可能带有病毒,或由工作人员自行编写的软件,难免存在一些代码漏洞,这些都给黑客和病毒提供了一定的可趁之机。同时,气象网中供公众随意访问的服务器通常未设密码也是病毒攻击的薄弱环节,而且内网病毒难以防范。
3.2 气象信息安全体系完善措施
针对气象网络安全问题的分析,首先要加强工作人员的安全意识,制定规范、严格的安全管理制度和安全操作流程,做到责权明确,详细记录网络访问行为,加强安全审计,及时发现非法行为,并定期接受网络安全培训。还要进一步加强气象局域网整体安全型、完善服务器、网络入侵检索系统以及网络审计系统的综合部署是当前江西省气象局信息网络安全建设的重点。一是通过在内部网中配置WSUS服务器,把Windows更新集中下载到WSUS服务器中,同时内部网中客户机也作相应配置,然后与服务器关联,这样局域网中所有的计算机都可通过WSUS服务器进行更新,有效保障系统和局域网的安全;二是可利用在业务系统部署网络入侵检测系统,对业务网络和计算机系统关键点收集信息并加以分析,从而发现系统中是否存在威胁安全的行为和被攻击现象;三是针对核心业务系统交换机旁路配置安全审计引擎,由安全审计控制台作远程管理,审计引擎对各类行为进行抓包分析并规范审计,后再由控制台接受审计信息且保存。
参考文献
[1]熊雄,熊凌云,刘小刚,等.江西省气象局信息网络安全探讨[J].科技广场,2010,7.
[2]曹磊.浅谈网络安全在气象系统网络中的应用[J].科技论文集,2005.
[3]刘军.气象基层台站信息网络安全维护的探讨[J].科技信息,,2011.4:96.
[4]尹常红,王康,柳戊弼.气象业务系统建设中的信息网络安全问题[J].第三届湖北省科技论坛气象分论坛暨2005年湖北省气象学会学术年会学术论文详细文摘汇集,2005.
[5]林苗苗,胡晓光,马耀,等.浅谈气象信息网络安全防御[J].工程科学.
[6]杨明,周群,袁锋.云南省级气象信息系统建设初探[J].信息技术在气象领域的开发应用论文集(二),2006.
作者简介
陈小军(1984—),男,汉族,江西省人,本科学历,助理工程师,从事计算机研究。
关键词 气象;网络系统;安全防护;病毒
中图分类号 P4 文献标识码 A 文章编号 1673-9671-(2012)031-0206-01
随着气象事业的发展,气象信息网络系统已成为气象业务的重要支撑基础,而省级气象信息系统更是在整个国家信息系统中担负着承上启下的中坚作用,因此,安全、快捷、高效和高度共享的省级信息网络系统是全面提高气象业务服务能力的关键。江西省气象局信息网络在逐步开放和实现共享的同时,因各种各样混合型入侵导致的病毒感染、网络故障等安全隐患日益突显,如何保障气象信息网络安全、可靠及持续运行,是当前气象信息网络安全保障体系建设的首要问题。江西省气象信息中心网络安全建设已建立了互联网出口硬件防御设装置、局域网内部多层次防护,针对工作人员信息网络安全意识淡薄、应用程序存在漏洞及内网病毒难以防范等安全问题,要进一步加强气象信息网络安全体系建设,完善服务器、网络入侵检测系统等综合部署,有效避免病毒等入侵,从而保障计算机系统和局域网络等安全、可靠运行。
1 江西省气象信息中心网络结构形式
经过近几年网络升级改造的不断完善,江西省气象信息中心网络按照不同的安全等级形成三种网络结构形式:一是安全等级要求最高的内部局域网,各部门计算机均在此网上;二是以数字专线与相关政府职能机构构成的政务专网和通过不同授权等级共享的各级数据资源;三是通过宽带接入气象网站、供广大用户浏览的公众互联网。
2 气象信息网络建设实践
2.1 对互联网出口设置硬件防御
1)硬件防火墙。防火墙作为不同网络安全域间通信唯一的通道,用于设置不同网络安全域之间的一系列部件组合,可防止从网络外部访问本地网络的所有设备。根据气象业务运行,由硬件防火墙进行相关的安全策略控制进出网络的访问行为,不但解决了普通客户机软件防火墙存在的一些弊端,又加强了局域网对外的防护性。通常,将硬件防火墙部署在互联网与DMZ之间,以此保护区域内重要业务服务器的安全运行,所配备的防火墙日志还可记录网络访问行踪,便于过后对历史访问进行查询。但防火墙仅作为安全体系结构的一部分,不能起到对信息网络安全的全面保护。
2)网页防篡改系统。在气象信息网络系统DMZ区内部署的网页防篡改系统,是使其处于WEB服务器与防火墙之间,发挥实时监控、报警和自动恢复等功能,并通过日志对网站文件的更新过程进行全程监控,达到对WEB网站的全面防护,以防止黑客、恐怖分子或网络病毒对网站网页、电子文档、图片等文件进行恶意破坏或非法篡改。
2.2 局域网内部多层次防护
1)网络管理软件。将安装有网络管理软件的服务器与核心交换机直接相连接,网络管理人员通过软件对网络设备进行监控管理,以查看交换机或路由器等设备流量,并自动生成网络拓扑图,有助于管理员随时判断出网络故障发生点等。
2)防病毒软件。用于消除电脑病毒、木马及恶意软件等的另一类软件为杀毒软件,气象部门除网络服务器通过安全配置进行管理外,其他工作站机器必须安装优秀的杀毒软件进行安全防护,江西省气象信息中心安装有金山毒霸、瑞星、卡巴斯基、官方360等,并及时做到病毒库和扫描引擎等的更新升级。在实际应用中,计算机被病毒感染机率很小,防病毒效果明显;但对于一些配置较低的老机器和专网微机来说,仅适用于安装占用系统资源较小的360杀毒软件。因此,采用多种防病毒软件的相互配合较利于全网的安全稳定运行。
3 对气象信息网络安全的思考
3.1 安全隐患问题分析
当前江西局对信息网络进行了多层安全防护建设,但还是不能完全杜绝局域网内网络遭受病毒侵袭、病毒软件破坏等现象发生,并且还会出现配置良好的机器却运行很慢或无法运行等故障,对这些安全问题进行分析,得知主要为。
1)工作人员网络安全意识淡薄。很多工作人员只是会使用互联网,却对互联网上病毒传播方式一无所知,不知道选择下载安全软件,无意识的就会下载一些有安全隐患的软件,或不清楚的访问了一些恶意网页,以至于感染上病毒,并导致局域网内其他机器一并传播感染;还有少数人员下载游戏、电影、软件等大型文件,不但严重占用大量内存空间,致使关键业务应用系统带宽无法承受,还有着新病毒通过这些软件传播病毒的风险,如若又不及时更新系统,被病毒感染机率将会加大。
2)应用程序存在漏洞。非正版的应用软件和网络直接下载软件均可能带有病毒,或由工作人员自行编写的软件,难免存在一些代码漏洞,这些都给黑客和病毒提供了一定的可趁之机。同时,气象网中供公众随意访问的服务器通常未设密码也是病毒攻击的薄弱环节,而且内网病毒难以防范。
3.2 气象信息安全体系完善措施
针对气象网络安全问题的分析,首先要加强工作人员的安全意识,制定规范、严格的安全管理制度和安全操作流程,做到责权明确,详细记录网络访问行为,加强安全审计,及时发现非法行为,并定期接受网络安全培训。还要进一步加强气象局域网整体安全型、完善服务器、网络入侵检索系统以及网络审计系统的综合部署是当前江西省气象局信息网络安全建设的重点。一是通过在内部网中配置WSUS服务器,把Windows更新集中下载到WSUS服务器中,同时内部网中客户机也作相应配置,然后与服务器关联,这样局域网中所有的计算机都可通过WSUS服务器进行更新,有效保障系统和局域网的安全;二是可利用在业务系统部署网络入侵检测系统,对业务网络和计算机系统关键点收集信息并加以分析,从而发现系统中是否存在威胁安全的行为和被攻击现象;三是针对核心业务系统交换机旁路配置安全审计引擎,由安全审计控制台作远程管理,审计引擎对各类行为进行抓包分析并规范审计,后再由控制台接受审计信息且保存。
参考文献
[1]熊雄,熊凌云,刘小刚,等.江西省气象局信息网络安全探讨[J].科技广场,2010,7.
[2]曹磊.浅谈网络安全在气象系统网络中的应用[J].科技论文集,2005.
[3]刘军.气象基层台站信息网络安全维护的探讨[J].科技信息,,2011.4:96.
[4]尹常红,王康,柳戊弼.气象业务系统建设中的信息网络安全问题[J].第三届湖北省科技论坛气象分论坛暨2005年湖北省气象学会学术年会学术论文详细文摘汇集,2005.
[5]林苗苗,胡晓光,马耀,等.浅谈气象信息网络安全防御[J].工程科学.
[6]杨明,周群,袁锋.云南省级气象信息系统建设初探[J].信息技术在气象领域的开发应用论文集(二),2006.
作者简介
陈小军(1984—),男,汉族,江西省人,本科学历,助理工程师,从事计算机研究。