西藏自治區氣象局縣局網絡安全建設

翁加多吉

摘要：互聯網絡技術在氣象業務系統中的大規模使用，提升了氣象業務信息化程度，信息資源共享和利用也達到了空前高度。但同時也帶來一些負面效應，其中氣象業務網絡安全問題日益突出，在黑客肆虐的網絡世界，氣象信息安全保障成為網絡安全防護重中之重，特別是地縣級氣象系統中，加強氣象業務網絡安全技術研發更為重要。

關鍵詞：防火墻；網絡版殺毒軟件；MSTP

中圖分類號：TP393.07 文獻標識碼：A 文章編號：1007-9416（2017）02-0219-01

西藏氣象廣域網主要承擔著區-地-縣三級氣象部門數據傳輸、政務辦公的網絡通訊、視頻會商的通訊保障、各類氣象資料收集和上傳等業務，是西藏氣象部門最主要的通訊保障線路。隨著氣象現代化開展，該線路承擔的業務量大幅提升，其中氣象觀測數據最基礎來源大部分集中在各縣氣象局，安全性問題尤為重要。為此前期通過在IPSEC-VPN設備上劃分DMZ區域實現了內外網的邏輯隔離，但就目前使用效果來看做到真正意義上的氣象內網和互聯網完全隔離并不現實，內網氣象預報產品將不能及時有效通過外網提供給公眾服務，目前DMZ互聯網區域內也無有效網絡安全設備。因此建立滿足氣象現代化需要的縣局網絡安全設備是促進我區氣象事業整體發展的迫切要求。

1 西藏自治區氣象局縣級網絡現狀

氣象信息傳輸系統包括信息傳遞的硬件、軟件等，傳輸系統較脆弱，一個環節出錯，信息中途堵塞和傳輸不暢都有可能出現。現代氣象業務網絡技術帶來了無限便利，但人們同時又憂慮其存在著的缺陷和漏洞，一些隱蔽性很強的漏洞，成為網外黑客們入侵氣象業務網絡的渠道和途徑，盜取氣象用戶相關業務信息和網絡用戶控制權限，對氣象信息數據和用戶密碼等進行篡改操作等，氣象業務網絡安全工作面臨著巨大的挑戰。

2008年我區建成氣象廣域網，建設初期省到7地區局，地到33個縣局均為2M SDH線路；2012年對省-地的帶寬進行了升級，改為6M MSTP線路，但線路鏈接設備仍為2008年建設的思科路由器（地市為Cisco2821，縣局為cisco2801）；后期將省-地帶寬升為16M，地-縣為6M，所有地區局、縣局配置三層交換機（switch ws-c3560x-24），替換原有的cisco2821和cisco2801路由器，為33個縣局購置IPSEC-VPN設備架設在內網與外網連接區域的三層交換機設備上，該設備不僅起到氣象數據傳輸線路備份作用，通過在IPAEC-VPN上劃分DMZ區域，用戶只有在DMZ區域內才能訪問互聯網，實現縣局內外網邏輯隔離。

2 提升西藏自治區縣局網絡安全的發展建議

2.1 網絡優化

梳理整改所有縣局網絡，清理廢舊網線，優化網絡線路，實現強電和弱電分類布線。將原有IPSEC-VPN由路由模式改為單臂模式，實現內外網區域融合，并購置一臺防火墻設備接入互聯網邊界，將Internet接入outside口，inside口接入局內網，劃分DMZ口為后期的公眾預報服務提供接口，對防火墻做相應的訪問控制列表及防病毒和入侵檢測功能配置。

2.2 購置防火墻和網絡版殺毒軟件

防火墻設備可掃描流經它的網絡通信，過濾掉一些惡意攻擊，避免破壞目標計算機；還可關閉掉一些不使用端口，禁止特定端口流出通信，封鎖特洛伊木馬，入侵者必須穿越防火墻安全防線才能接觸目標計算機。因此可將防火墻配置成許多不同保護級別，防止來自不明入侵者所有通信。在新購置的防火墻上通過購買入侵防御和防病毒軟件，集成入防火墻，實現防火墻具備入侵防御和防病毒的功能。

入侵防御（IPS）是對入侵行為的發覺。通過對計算機網絡或計算機系統中若干關鍵點收集信息并分析，發現是否有違反安全策略的行為和被攻擊跡象。通過收集和分析網絡行為、安全日志、審計數據、其它網絡上可獲得的信息及計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略行為和被攻擊跡象。隨著筆記本電腦、U盤、移動硬盤等移動辦公設備流行和迅速普及，單純依靠硬件防火墻不能有效阻隔病毒傳播，而普通殺毒軟件需要客戶端用戶自行下載和在線更新病毒庫，造成業務機和辦公機運行速度下降。為此本項目通過購置網絡版防病毒軟件實現病毒庫通過統一的服務器端升級，其余客戶端機子不用升級，減少了縣局業務辦公PC機升級病毒軟件浪費時間和資源。網絡版殺毒軟件能夠快速連接到專用的云服務器，加快云查殺病毒速度，支持快速更新，需要更新的文件更少。而且網絡版殺毒軟件能更好兼容服務器，服務器性能被充分利用。

如果在局域網內，網絡版殺毒軟件還能夠便捷地管理FTP站點和共享文件夾，防止病毒通過此類途徑傳播。在氣象廣域網一臺主機上安裝網絡版軟件的Server端，在縣局其它機器上安裝軟件客戶端。Server端升級后可控制客戶端升級，同時也可以控制客戶端使用。所以網絡版殺毒軟件可以通過控制中心管理全網的客戶端，遠程實現統一殺毒，升級，設置，察看全網病毒情況，管理更加方便，通過一臺主控電腦升級后，客戶端可自動升級病毒庫，節省時間，提高工作效率。

參考文獻

[1]周學廣，等.信息安全學[M].北京：機械工業出版社，2003.3.

[2]周海剛，肖軍模.一種基于移動代理的入侵檢測系統框架[J].電子科技大學學報，2003，32（6）.