胡秀慧 姜晨
1镇坪县气象局 陕西 725000 2西安通信学院 陕西 710106
伴随着网络信息化建设在气象行业中的飞速发展,计算机已普及到行业的方方面面,它把所有的人们带入了一个全新的信息化时代,尤其是企业内网的信息共享,为我们所有的企业人带来了海量的工作资料,使得它成为人们日常工作中不可或缺的一部分,但是,由于计算机网络具有联接形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的恶意的原因而遭受到破坏、更改、泄露,系统能连续可靠正常的运行,网络不中断。本质上说就是网络信息的安全和稳定。它具有保密性、完整性、可用性、可控性和可审查性。
近几年来,网络安全已经成为全球各界共同关注的重点问题之一。据美国FBI统计,美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起 Internet计算机侵入事件。在中国,网络安全市场虽然整体规模还不能与PC、服务器等传统市场相比,但其已经显现出了强劲的增长势头。在气象行业中,大到全球气象数据交换,小到基础台站向上级台站气象资料的实时传输,网络能连续可靠正常的不中断运行,已经是所有气象人每日每时必须注意的问题。
(1)Internet所用TCP/IP网络协议本身易受到攻击,该协议本身的安全性极大的影响到上层应用的安全。
(2)Internet上广为传播的易用黑客和解密工具使很多网络用户轻易地获得了攻击网络的方法和手段。
(3)快速的软件升级周期,造成问题软件的出现,经常会出现操作系统和应用程序存在新的攻击漏洞。
(4)现行法规政策和管理方面存在不足。目前我国针对计算机及网络信息保护的条款不细致,网上保密的法规制度可操作性不强。同时,单位没有从管理制度、人员和技术上建立相应的安全防范机制。缺乏行之有效的安全检查保护措施,甚至有一些网络管理员利用职务之便从事网上违法行为。
(1)物理威胁,包括物理损坏、设备故障、电磁干扰、操作失误等威胁。
(2)控制威胁,包括微机操作系统、网络接口模块、网络互连设备的安全控制等威胁。
(3)服务威胁,包括对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务等威胁。
(4)机制威胁,包括加密机制、数据签名机制、访问控制机制、数据完整性机制、认证机制、信息流填充机制、路由控制机制、公认机制等威胁。
(5)网络协议缺陷:包括IP欺骗、路由选择信息、协议攻击等威胁。
(1)信息泄露:指信息被透露给非授权的实体。有网络监听、业务流分析、电磁、射频截获、媒体清理、漏洞利用、授权侵犯、物理侵入、病毒、木马、后门、流氓软件、网络钓鱼。
(2)完整性破坏:通过漏洞利用物理侵犯、授权侵犯、病毒、木马、漏洞等方式实现。
(3)拒绝服务攻击:对信息或资源可以合法的访问却被非法的拒绝或者推迟等与时间密切相关的操作。
(4)网络滥用:合法的用户滥用网络,引入不必要的安全威胁,包括非法外联、非法内联、移动风险、设备滥用、业务滥用。
(5)恶意代码:攻击者通过编制一段可执行的代码,实现目标计算机被动的拷贝文件,访问网站和接受E-mail等,它不但能破坏计算机系统,给黑客留出后门,还能主动去攻击和感染别的计算机。
用户缺乏必要的安全知识,在其使用的过程中容易给攻击者提供入侵的机会。如下:
(1)密码设置过于简单,很容易被攻击者破解。
(2)软件使用错误,安装过程中留下大量漏洞,给攻击者提供可乘之机。
(3)系统备份不完整或制定指定正确的备份方式和策略。
(1)窃听:通过监视网络数据的手段获得重要的信息,从而导致网络信息的泄密。
(2)重传:攻击者事先获得部分或全部信息,再将此信息发送给接收者。
(3)篡改:攻击者对合法用户间的通讯信息进行修改、删除、插入,将伪造的信息发送给接收者。这种实施信息破坏的网络侵犯者为积极侵犯者。
(4)拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。
(5)行为否认:通讯实体否认已经发生的行为。
(6)电子欺骗:通过假冒合法用户的身份来进行网络攻击,达到掩盖攻击者真实身份,嫁祸他人的目的。
(7)非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。
(8)传播病毒:通过网络传播计算机病毒,其破坏性非常高,用户很难防范。
(1)机房的场地环境,做到地质可靠,抗电磁干扰,耐自然灾害。
(2)机房的安全防护,做到区域安全防止被授权的个人或团体破坏。
(3)系统稳定运行条件的环境合适,包括温度、湿度、干扰等等。
管理层面安全的防范就是减少人为安全隐患,包括对计算机用户的安全教育、建立相应的安全管理机构、完善和加强计算机的管理功能、增加计算机网络的立法和执法力度等。
物理安全防范保证网络物理上畅通,管理层面上的防范避免一些人为安全隐患,通过技术层面防范则可以进一步增强网络安全。主要有实时扫描技术、实时监控技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,可以采取以下对策:
(1)配置防火墙。防火墙将内网和外网分开,是一种隔离技术。它是网络安全的屏障。防火墙在网络通讯时执行一种访问控制尺度,让同意访问的人与数据进入自己的内网,将不允许的用户与数据拒之门外,最大限度地阻止黑客访问自己的网络。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部。
(2)安装防病毒网关软件。防病毒网关放置在内网和互联网连接处。当在内网发现病毒时,防病毒网关将大部分病毒隔离起来,减少其传播。同时它具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御部分新病毒的攻击。
(3)应用入侵检测系统。入侵检测技术是一种主动保护自己免受黑客攻击的新型网络安全技术。能够检测出来自网络的攻击,检测到超过授权的非法访问。网络入侵检测系统不需要改变服务器等主机的配置。且不会在业务系统主机安装额外的软件,从而不影响这些机器的CPU、I/O与磁盘等资源的使用,不影响主机性能。它从系统运行过程中产生的或系统所处理的各种数据中查找出威胁系统安全的因素,并对威胁做出相应的处理。在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(4)利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,对于网络内部的侵袭则可以采用对各个子网有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,其功能是长期监听子网内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
(5)应用数据加密技术。数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息真实内容的一种技术手段。此技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。
(6)常做数据备份。不仅要用操作系统和数据库管理系统附带的备份程序,还要选择专门的备份软硬件工具,建立专用的数据备份系统,以弥补自带程序备份中的缺陷和不足。
互联网已经成为我们工作中不可或缺的工具,其发展速度也快得惊人,由此而来的攻击破坏也层出不穷,为了有效的防止入侵,把损失降到最低,我们必须时刻注意安全问题,使用尽量多而可靠的安全工具进行维护,让我们的网络体系安全可靠,正常有序的运行。这也是行业未来电子化、信息化发展的要求。
[1]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社.2001.
[2]胡铮.网络与信息安全.清华大学出版社.2006.
[3]Andrew S.Tanenbaum.计算机网络.北京清华大学出版社.2006.