霍继超 孙欣
(1.开封市气象局,河南开封 475004;2.河南省气象灾害防御技术中心,河南郑州 450000)
开封市计算机网络系统是由多台服务器、工作站、三层交换机及骨干路由器组成了星型拓扑结构的以太网,承接着省、市和县级气象部门专用网络,实现了各级气象部门的气象信息采集、处理和传输。因为Internet是一个开放的、无控制机构的网络。黑客可利用技术手段侵入联网的计算机,窃取机密数据、盗取特权、破坏重要数据、限制系统功能甚至导致系统瘫痪。计算机病毒也会在网上传播,病毒攻击会使计算机丢失数据和文件,病毒一般通过公共匿名FTP文件或邮件传播。通过中断攻击形式针对系统可用性展开毁坏系统资源,造成网络瘫痪;通过截获攻击形式针对保密性展开获取系统资源访问权的非授权用户操作;通过修改攻击方式针对完整性展开数据修改操作;通过伪造的攻击形式针对完整性展开将虚假数据插入正常传输的操作。这些安全隐患给气象数据的安全管理造成极大威胁,因此气象保障部门需要高度关注网络安全。
防火墙将气象内部网和对外开放网分开,本质上为一种隔离技术。通过软件和硬件的相互作用在内网和外网之间建立起一道屏障,阻断危险因素侵入计算机系统。当防火墙许可时,用户才能访问计算机系统。其具有强力警报功能,当非授权用户试图操作系统时,防火墙便会发出警报并且提醒非授权用户行为,同时展开逻辑判定。它可以在相异的网络即时通讯时执行相关访问控制尺度,最大限度阻止黑客入侵。借助于漏洞数据库,凭借扫描手段对计算机安全性检测,发现可利用漏洞的一种渗透攻击行为。漏洞扫描和防火墙相配合,定期自我评估,最大限度消除气象网络存在安全隐患,尽早进行漏洞修补,优化系统资源配置,提高运行效率。每当运行新服务或安装新软件后,原有漏洞可能暴露出来,所以需要扫描。主动性防范措施和被动性修补相结合,形成对计算机系统全方位保护,把安全事故出现概率降到最低[1]。气象部门可根据实际情况和数据专家建议对内部网络补正,扩容漏洞数据库,确保库的有效性和全面性,网络安全管理员应及时更新漏洞库。
计算机病毒是数据安全头号大敌,其演变速度十分快,目前新型病毒更具破坏性、隐秘性,感染概率更高。病毒依附于程序中,一旦侵入计算机系统,轻则影响运行速度,重则导致死机。常见病毒攻击方式有删除、改名、替换文件内容;消耗占用系统内存导致程序运行受阻;抢占中断,干扰系统运行,虚假警报、内部栈溢出、占用特殊数据区;延迟程序启动时间;攻击磁盘数据、写盘时丢失字节等。气象业务人员应提高安全意识,慎重打开不明邮件提高防范意识,不执行从网络下载后未经检测的软件,不轻易共享移动存储设备。保障人员需要及时更新杀毒软件,一旦发现病毒侵害计算机系统,应及时中断网络实施隔离。
以计算机网络系统防病毒系统应用设计为例,笔者以Trend防病毒整体解决方案为基础设计一符合本市气象局的计算机网络建设方案[2]。如图1所示为典型网络环境,在此基础上计算机网络防病毒体系可分为网关级防病毒系统、服务器防病毒系统和客户端防病毒系统,以上三者关系如图2所示。
图1 典型网络环境Fig.1 Typical network environment
图2 多级防病毒体系结构示意Fig.2 Schematic diagram of multi-level anti-virus architecture
网关级防病毒系统借鉴Trend防病毒系统的InterScan VirusWall产品,该产品透过SMTP、HTTP、FTP进入网络,在检测到病毒痕迹时,可警示提醒、隔离相关文件或直接删除处理,仍给予管理人员一定自主权:即在严格管控条件下,允许下载该文件。该产品包含Windows接口及ISAPL/CGI网页浏览器预设接口,可提供最佳管理弹性。可选择搭配电子邮件安全管理模块过滤卡基软件,设定邮件有效收发时段。本方案和FireWall-1开放系统以及其他产品无应用冲突,兼容性强。病毒码更新可利用远程管控系统实现,支持Check Point Software Technologies的CVP标准,可将检测为恶意的JAVA和ActiveX程序在网关口拦截下来。
文件服务器感染途径包括从其他文件服务器感染、经由移动存储设备感染和从电脑客户端感染,文件服务器类型有WindowsNT、Netware、Linux和W2K Server。Server Protect可通过多层管理架构强化整个网络安全环境,主控中心采取只有通过密钥核对才可登陆的TCP/IP协议。利用病毒行为分析模式和病毒码比对技术,侦测潜在病毒,也可结合趋势宏病毒扫描引擎侦测清除未知宏病毒。ScanMail是email病毒克星可在病毒扩散前对其进行拦截消灭,计算机系统安装有ScanMail后,产品即可对存于信箱内所有附件扫描,同时新入邮件将被拦截侦测,经侦测鉴定为安全后会加上safe stamp标志,经感染的邮件附件会经处理后再寄送收件人[3]。
Office Scan以中央控制方式管理所有客户端防毒工作,自动部署更新病毒代码和程序更新。系统管理员全权掌管防毒软件卸载的权限,集中式的Log日志,网域式群组整合更加方便系统管理和设定,并且支持移动性用户。
气象业务人员计算机应用技术水平参差不齐,某些县局没有专门网络安全管理员,这样导致非授权用户擅自使用私人移动硬盘和U盘对接业务电脑USB插口,存在工作人员利用业务电脑浏览与工作无关网页。这些自我约束意识不强,安全管理制度落实不到位现象会给黑客和病毒侵入计算机系统可乘之机,增大窃取和破坏气象数据可能性。
基于气象信息处理和传输工作特殊性,气象网络内网使用频率远高于外网,一旦出现防护疏漏则病毒会肆意传播,任一个网络都有可能被黑客攻击,出现过因工作人员携带U盘有病毒,导致局域网中其他业务计算机和服务器受感染案例。此外因气象综合观测业务的发展,数据量持续增加导致部分业务人员出于方便目的随意更改删除原有数据,一些新观测数据也无法正确录入。有些业务网和互联网没有设置物理隔离,人员在登录系统时出于便利性考虑会选择记住密码方式或设置简单密码,会使网络安全受到严重威胁。
制定并完善网络安全管理制度,明确网络安全专人负责制,定期进行网络和设备检查,加强对网络安全设备的管理和维护。定期组织业务人员进行计算机安全知识培训,提高网络安全意识,规范其操作使用行为,注重安全技能精进,利用远程教育和科普宣传等方式,对业务人员安全教育,做到人防和技防相结合,层层压实督促责任,做好组织协调工作。
做到所有联网业务电脑配有杀毒软件,采用复杂程度高的强口令密码、数据库存储备份、公私移动设备分开使用、数据加密传输等多种措施。采取定期和不定期检查相结合方式,做好勤开机、勤杀毒,及时对操作系统进行升级、应用程序补丁安装及新病毒检测等。加强IP管理和互联网行为管理,全程监管端口、系统管理权限、访问权限等开放情况及网页篡改情况,定期进行办公及业务用网络通信设备、计算机和移动存储设备安全大检查,在日常维护中抓好内网、外网、信息系统管理,严格控制管理提供互联网服务的服务器和工作站,合理配置通信网络,同时按照气象数据管理要求处理好硬盘和移动硬盘废旧数据[4]。
加强计算机对外设备检查和管理,涉密文件单独存放,禁止使用带涉密性质的介质对接到联网计算机上加工、储存和文件传输。为主要计算机配备UPS,网络信息安全管理员负责网络安全工作,管理员本人账户需要定期更换密码,注销无效账户。采用新技术如数字签名技术、文字加密技术等,在信息存储、传输时就对这些信息数据进行加密,提高信息数据保密程度。当用户需要调用数据时,输入事先设置的口令即可顺利进入获取到所需信息,这样就能避免业务以外人员窃取信息造成外泄。同时加强关键程序及相关软件、重要文件备份,对政务内网、党务内网中的涉密文件和内部气象资料数据作隔离处理和备份存储。
计算机安装的防火墙及正版杀毒软件,可加强网络系统监控,有效拦截恶意入侵,阻断病毒传播,日常要及时升级软件,发现并修复软件自身漏洞,并随时下载官方系统补丁进行补漏,完善软件系统功能。基于信息技术的快速发展,可单独建立数据服务器(IBM)来实现数据存储、共享,对数据服务器进行有效用户、登录口令、身份验证等安全设置,非法入侵用户就难以登录使用该数据服务器。业务运行中,及时关闭不用的端口、服务及共享空间连接,降低系统运行负担,尽可能避免数据传输风险,保证信息数据安全不泄露。
高效率的气象信息处理和高质量的气象服务离不开计算机网络安全管理。做好气象网络安全保障工作能够自如应对所面临的复杂网络环境,避免网络运行故障和病毒黑客入侵,系统性筑牢气象网络安全堤坝。气象部门需要结合本地实际,对网络安全统一管理,各科室严格落实网络安全规章制度,采取多种措施确保气象网络安全零事故。