淺析地縣級氣象信息網絡安全及防范

吳勁松,武孔亮,祝 亞,龔雪鵬

(貴州省畢節地區氣象局,貴州 畢節 551700)

淺析地縣級氣象信息網絡安全及防范

吳勁松,武孔亮,祝 亞,龔雪鵬

(貴州省畢節地區氣象局,貴州 畢節 551700)

結合實際對地縣級氣象信息網絡的特點和現狀進行分析,找出可能存在的主要風險因素。針對氣象信息網絡的實際應用情況,從物理環境、網絡和網絡基礎設施、網絡邊界、應用、安全管理等多方面進行了分析,并采用綜合的策略解決在網絡上的各種交流和日常工作安全問題。

網絡安全;威脅;對策

1 引言

隨著氣象業務不斷發展,計算機網絡規模日益擴大。在所有信息資源得到高度共享的同時,系統隨時可能遭受網絡病毒、黑客攻擊等對氣象信息網絡正常應用形成了潛在威脅。不適當的網絡安全防護,不僅可能不能減少網絡的安全風險,浪費大量的資金,而且可能招致更大的安全威脅。確保核心資源的安全管理和訪問,確保這些重要數據資料的訪問安全性,在最大限度內保證了網絡的訪問控制安全。

2 網絡安全現狀分析

2.1 自然因素

從物理上講,氣象信息傳輸網絡的安全是脆弱的,就如其它領域網絡所面臨的問題一樣,氣象信息網絡涉及設備分布極為廣泛,各地都有可能遭地震、水災、火災、雷擊等環境事故以及人為操作失誤或錯誤以及各種計算機犯罪行為導致的破壞。任何個人或部門都不可能時刻對這些設備進行全面監控。

由于網絡系統中涉及很多的網絡設備、終端、線路等,而這些都是通過通信電纜進行傳輸,因此極易受到雷擊,造成連鎖反應,使整個網絡癱瘓,設備損壞,造成嚴重后果。

2.2 人為因素

其實更為重要的安全威脅來自網絡內部氣象職工,由于誤操作、好奇或泄憤,加上有些職工安全防范意識不強,特別是氣象部門職工,具有較高的網絡水平和學習能力,為了炫耀或者實踐自己的學習成果,這些行為對氣象信息網絡信息安全和氣象信息完整性有較大威脅。后果可能是造成氣象資料、數據、產品的不完整、不準確,以及重要資料的泄密和缺失。人為的因素主要表現在:

2.2.1 人為的物理破壞 如操作員錯誤設置等失誤,非故意造成硬件的損壞。也有因個人恩怨或者為達到自己某些不可告人的目的而故意更改硬件設置和破壞硬件的情況。這樣的破壞有時是毀滅性的。

2.2.2 人為的無意失誤 如操作員安全配置不當造成的安全漏洞,用戶口令選擇不慎等,都會對網絡安全帶來威脅。人為失誤是非故意的,但它仍會給計算機網絡安全帶來巨大的威脅。網絡越大,安全保障的困難也就越大。隨著網絡管理制度的建立和對使用人員的培訓,職工網絡安全意識的提高,這種情況正逐漸減少,對網絡安全己不構成主要威脅。

2.2.3 人為的惡意攻擊 一是主動攻擊,以各方式有選擇地破壞信息的有效性和完整性;二是被動攻擊,這兩種攻擊均可使網絡造成極大的危害,導致數據的泄露和缺失。這是氣象信息網絡所面臨的最大威脅,因此防范人為的惡意攻擊將是氣象信息網絡安全工作的重點。

2.2.4 軟件的漏洞和“后門” 軟件不可能是百分之百的無缺陷和無漏洞,這些漏洞的存在,使那些并不高深的黑客利用簡單的工具就可以對用戶進行攻擊。網絡犯罪分子可以利用這些缺陷來獲得用戶計算機的控制權限,還可以安裝間諜程序,刪除文件和盜取密碼及敏感數據,而且做到這些并不需要欺騙用戶進行特定操作,入侵過程非常隱蔽。

2.3 管理因素

氣象信息網絡系統是一個復雜的計算機網絡,往往在使用即時通訊和下載軟件時,一些間諜軟件、廣告軟件等病毒程序就會不知不覺地被下載到電腦中,并在內部網絡中進行傳播。嚴重者可能導致信息系統被入侵、機密資料被竊取以及網絡堵塞等不安全因素。一旦內網出現問題后果將不堪設想;其次,由內網用戶引起的危險更難防范;再則,內網直接關系到氣象業務網絡的正常運作,內網氣象資料是氣象業務的核心,內網出現問題容易導致整個系統癱瘓。

2.4 技術因素

由于氣象信息網絡系統上采取的安全策略和安全機制不夠完善和健全,目前的氣象內部網絡大都同時又與 Internet相連。很容易因為設置不當,而使整個網絡出現重大的安全隱患。

此外,隨著軟件交流規模的不斷增大,系統中的安全漏洞或“后門”也不可避免地存在,比如我們常用的操作系統,無論是W indows還是 Unix幾乎都存在或多或少的安全漏洞,眾多的服務器、瀏覽器、一些實用軟件等等都被發現過存在安全隱患。

2.5 通信因素

目前的氣象信息網絡系統大都采用口令驗證機制來防止非法訪問,一旦口令被竊,就無安全可言?，F在的通訊方式非法分子可以通過技術滲透或非法侵入網絡,非法使用,破壞或獲取數據和系統資源。并且可以通過有預謀地注入非法信息,截獲所傳信息,再刪除原有信息或注入非法信息后再發出,使接收者收到錯誤信息。加上有些公共轉接載波設備陳舊和通信線路質量低劣,也會產生線路干擾增加錯誤。

3 網絡安全防范技術

3.1 硬件安全

氣象業務的增加,通過氣象信息網絡系統傳輸信息越來越多,一旦系統無法運行,將會有大量的信息隨著系統的癱瘓而無法讀取和傳輸,造成氣象業務工作無法正常開展。

要保護這些硬設施不受損害,能夠正常工作。在氣象信息網絡規劃設計階段就應該充分考慮到網絡設備的安全問題。將一些重要的設備,如各種服務器、主干交換機、路電器等盡量實行集中管理。各種通信線路盡量實行深埋,穿線或架空,并有明顯標記,防止意外損壞。對于終端設備如工作站、小型交換機、集線器和其他轉接設備要落實到人,進行嚴格管理。

一般來說,硬件設備最好的安全保障,就是增設相同的設備及線路。對于內網中存在的設備,不要給攻擊者創造能接觸主機的機會,不要以為機器沒有加電就是安全的,攻擊者可以把硬盤拿走復制數據后再拿回來。保證系統內計算機設備的安全,最好對機箱采取一定的防護措施,把不用的設備在系統中禁止掉,防止從軟驅或 USB等接口竊取數據。

除此之外,為了保證整個系統的安全運行,其他方案如下:供電線路多路備份;應用服務器采用負載均衡;采用雙網卡相互監測;交換機新的雙機網絡級容錯方法;增設輔服務器;增加異地備份等。保證網絡系統的物理安全,防范因為物理介質、信號輻射等造成的安全風險,保證信號傳輸的完整性、保密性和可靠性。網絡的安全隱患風險主要指網絡周邊環境和物理特性引起的網絡設備和線路的不可用,而造成網絡系統的不可用。如設備被盜、被毀壞或設備老化、意外故障等。除此之外,還應對有些硬件進行必要的備份。

3.2 軟件安全

任何網絡數據都是通過應用軟件發送出去的,如果軟件做的無懈可擊,也就不存在網絡數據安全的顧慮。因為任何被截獲的數據對于別人來說都是一些不可逆的亂碼。

對下載安裝的軟件要有基本的了解,對不明軟件應做到不下載不安裝。有必要仔細地考慮一下軟件的功能特點是否安全;軟件的后期維護和支持是否到位。很多時候我們并沒有意識到這個問題,或者說對這個問題認識不夠深刻。產生這種現象的原因很多,一方面是安全意識淡薄,忽視了軟件安全方面的問題;另一方面把安全全部交給殺毒軟件和防火墻,這并沒有從根本上解決安全問題,要知道所謂的病毒和木馬,之所以存在或者說危害著軟件使用者,本身就是所使用的軟件自身存在安全漏洞。

對于在工作中開發應用的軟件,最大程度上保證軟件的安全性應有一些認識:設計要盡可能完善;測試要盡量全面;維護和跟蹤及時持續;問題解決要快速;信息發布要及時透明。這對軟件的維護跟蹤、問題解決和信息發布都是十分有利的,這將使得開發的軟件愈發安全。

3.3 數據安全

網絡中存儲及流通數據的安全。要保護網絡中的數據不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網絡安全最根本的目的。

應在氣象信息網絡系統每一個安裝或運行點都應安裝反病毒軟件,及時進行防病毒軟件或系統的升級、換代工作。及時安裝微軟的安全更新,不要隨意訪問來源不明的網站。局域網盡量避免創建可寫的共享目錄。使用 U盤等移動設備交換文件時,要開啟殺毒軟件的實時監控,或先用殺毒軟件掃描,并關閉自動播放功能。建立和實施完善的綜合安全性操作程序,該操作程序應包括各種安全措施,如定期數據備份、在內部的文件系統和數據庫系統配置數據備份系統,提供系統使用中的實時 /定時、在線、自動、增量、遠程備份,靈活的配置方案以滿足內部網絡系統不同的安全需求。一旦災難發生,能實現對整個服務器的自動恢復,關鍵信息加密保護等。

3.4 數據傳輸安全

對于氣象信息系統相關的傳輸網絡,主要是保證參與氣象業務系統各方主體之間的數據傳輸網絡以及公共網絡服務的安全可靠運行,從目前氣象信息網絡建設情況來看,傳輸網絡安全目前需要由網絡基礎設施提供商或服務商為其安全性提供充分保證。傳輸安全要求保護網絡上被傳輸的信息,以防止被動地和主動地侵犯。對需要傳送的數據進行加密,以保證在被非法截取的情況下,未授權的用戶無法得到可解讀的資料信息。對傳送的數據制作信息日志,以確認數據在傳輸過程中是否被篡改。

氣象信息網絡具有全程全網、內外互聯傳輸信息量大時效要求高的特點。在滿足一般網絡安全要求情況下,還需要實現內外網之間的安全隔離這種架構可以實現連接到外網和內網的兩主機之間是完全網絡斷開的,從物理上進行了網絡隔離,消除了數據鏈路的通信協議,剝離了 TCP/IP協議和應用協議,在安全交換后進行了協議的恢復和重建。通過 TCP/IP協議剝離和重建技術消除了 TCP/IP協議的漏洞。在應用層對應用協議進行剝離和重建,消除了應用協議漏洞,并可針對應用協議實現一些細粒度的訪問控制。從 TCP/IP的 OSI數據模型的所有七層斷開后,就可以消除目前 TCP/IP存在的所有攻擊。

圖 1 網絡安全隔離架構示意圖

3.5 訪問控制安全

訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網絡安全最重要的核心策略之一。訪問控制策略一般有如下幾種:

3.5.1 口令 網絡安全系統的最外層防線就是網絡用戶的登錄,在注冊過程中,系統會檢查用戶的登錄名和口令的合法性,只有合法的用戶才可以進入系統。

3.5.2 網絡資源屬主、屬性和訪問權限 網絡資源主要包括共享文件、共享打印機、網絡通信設備等網絡用戶都有可以使用的資源。資源屬主體現了不同用戶對資源的從屬關系,如建立者、修改者和同組成員等。利用指定網絡資源的屬主、屬性和訪問權限可以有效地在應用及控制網絡系統的安全性。

3.5.3 網絡安全監視 網絡監視通稱為“網管”,它的作用主要是對整個網絡的運行進行動態地監視并及時處理各種事件。通過網絡監視可以簡單明了地找出并解決網絡上的安全問題,如定位網絡故障點、捉住 IP盜用者、控制網絡訪問范圍等。

3.5.4 審計和跟蹤 網絡的審計和跟蹤包括對網絡資源的使用、網絡故障、系統記帳等方面的記錄和分析。一般由兩部分組成:一是記錄事件,即將各類事件統統記錄到文件中;二是對記錄進行分析和統計,從而找出問題所在。

4 網絡安全管理

只有對互聯網進行控制管理才是最好的解決方案。如果能從管理的角度,通過內部的用戶管理、行為管理、內容控制和應用管理來規范上網行為和控制上網內容。制定具體到使用人員的細粒度策略,防患于未然,通過事前精細規范、事中提醒、事后報表呈現等手段實現有效管理;強制要求遵從制度里的各項細則規定 (如必須安裝指定的殺毒軟件或桌面管理軟件等),讓網絡安全管理制度融入每位職工的日常工作中。將極大地降低因互聯網帶來的安全風險。很多安全事件都是因為內部管理不善造成的。用戶的安全意識是信息系統是否安全的決定因素,除了在部署先進的網絡結構和功能強大的安全工具外,從制度上、應用上和技術上加強網絡安全管理。

4.1 建立嚴格制度

管理必須有章可尋,責任明確,對有意進行惡意操作的人和事要嚴肅處理,有效防止人為破壞。一系列的制度保證網絡高安全、高可靠地運作。從內到外,層層落實,動態管理,適應新的網絡需求,及時調整網絡的安全管理策略。

4.2 加強網絡技術的培訓

網絡安全是一門綜合性的技術,網絡管理人員必須不斷地學習新的網絡知識,掌握新的網絡產品的功能,了解網絡病毒、密碼攻擊、分組竊聽、IP欺騙、拒絕服務、端口攻擊等多樣化的攻擊手段,才能更好地管理好網絡。加強計算機知識培訓,提高計算機網絡的安全意識,減少無意損壞,杜絕有意破壞。

4.3 加強職工的安全意識

網絡安全最大的威脅是網絡用戶對網絡安全知識的缺乏,必須加強職工的安全意識,引導職工自覺安裝防病毒軟件,打補丁,自動更新操作系統,對不熟悉的軟件不要輕易安裝。

4.4 對網絡安全適度投資

根據信息系統的價值選用適當的防火墻產品、防毒軟件、備份設備等。投入人力定時對氣象信息傳輸網絡系統的安全狀況做出評估和審核,關注網絡安全動態,調整相關安全設置,進行入侵防范,發出安全公告,在發生意外事件后能緊急修復系統。

5 結論

網絡的安全與地縣級氣象信息網絡正常運行息息相關,本文從多方面描述了氣象信息網絡安全的解決方案,目的在于為氣象信息網絡的用戶提供信息的保密,使網絡中的服務,數據以及系統免受侵擾和破壞。一個安全的網絡系統的保護不僅和系統安全設備和采用的網絡安全措施、技術有關,而且和領導的決策、以及工作環境中每個職工的安全操作等都密不可分。

[1] 袁德明,喬月圓 .計算機網絡安全[M].北京:電子工業出版社,2007.

[2] 萬國平 .網絡隔離與網閘 [M].北京:機械工業出版社,2004.

[3] 王代潮,曾德超,劉巖 .信息安全管理平臺理論與實踐[M].北京:電子工業出版社,2007.

[4] Jeff Doyle,Jennifer Carroll.TCP/IP路由技術 (第一卷)[M].葛建立,吳劍章,譯 .2版 .北京:人民郵電出版社,2008.

[5] 吳海燕,蔣東興,程志銳,等 .入侵防御系統研究[J].計算機工程與設計,2007.

TP393.08

B

1003-6598(2011)01-0048-04

2011-01-10

吳勁松 (1974-),男,助工,主要從事雷達運行保障工作。