氣象信息網絡安全與對策

前言：尋找寫作靈感？中文期刊網用心挑選的氣象信息網絡安全與對策，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

1氣象網絡安全現狀

1.1人員安全防范意識薄弱

隨著網絡攻擊方式的多樣化，一些用戶不遵守規章制度，經常在計算機上隨意插拔U盤，用U盤轉移數據，無形中造成病毒的感染、散播；或者下載、安裝未經安全檢測的各種應用軟件，造成病毒的感染等。還有些用戶認為安裝了殺毒軟件就一勞永逸，卻忽視殺毒軟件病毒庫的升級，造成病毒庫版本老舊，不能及時、有效地殺除病毒。

1.2硬件防御系統不完善

互聯網、辦公網、業務網邊界不清，只在網絡之間以防火墻進行隔離，不能完全杜絕病毒及入侵行為的攻擊。對于非法的訪問行為和病毒沒有及時有效地進行監控，會導致網絡流量突增，占用大量氣象信息網絡帶寬從而影響業務的正常傳輸。

1.3應用軟件存在漏洞

操作系統有部分高危漏洞補丁未安裝，系統可能存在URL框架、鏈接和跨站漏洞等，這些都存在安全風險。應用軟件如ApacheTomcat、MySQL或SQLServer數據庫版本存在漏洞且未安裝補丁，這些都給黑客和病毒提供了一定的可趁之機。

2氣象信息網絡安全措施

2.1安全管理制度

氣象信息中心在網絡安全管理方面已經建立一整套相當完備的管理制度，包括：《網絡管理員日常工作流程》、《信息中心機房管理制度》、《信息中心密碼管理制度》、《技術保障科工作制度》、《技術保障科交接班制度》、《寧夏氣象信息中心技術保障管理規定》、《氣象信息傳輸業務運行管理規定》、《寧夏氣象信息中心安全事件報告和處置管理制度》、《寧夏氣象信息中心業務系統故障及信息安全事件分類分級制度》、《寧夏氣象信息中心信息網絡應急預案》等，為氣象信息系統安全工作的開展提供了制度保證。氣象信息中心規定非本單位人員進出機房必須按照《信息中心機房管理制度》的要求填寫登記表并由本單位人員陪同，機房和辦公樓內配有視頻監控系統進行24小時監控。電子郵箱（LotusNotes）的使用需要由管理員分配用戶ID方可使用，非本部門的人員不得使用。

2.2硬件防御系統

氣象信息中心建設了整套的安全防御系統來保障氣象信息網絡的安全。

2.2.1安全管理中心

安全管理中心（SMC）包括配置、監控、分析、響應等多個相關聯的部分，監控整個網絡設備、主機設備、安全設備、用戶終端等的安全狀態和安全趨勢；對全網安全事件進行采集、分析、關聯、匯聚、報表報告，對危害嚴重的安全事件及時做出反應；對所有監控指標產生的告警進行集中的響應。

2．2．2廣域網入侵防御系統

系統對過往包裹進行深層檢查，深入數據內部，查找實時更新的攻擊代碼特征、病毒特征和異常協議，過濾掉有害數據流，丟棄有害數據包，并進行記載以便事后分析；監視網絡資料傳輸行為，實現細粒度管理控制，能夠即時地中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為，提供了動態、深度的安全檢測及防御。

2．2．3安全隔離網閘

系統直接處理網絡間的應用層數據，利用存儲轉發的方法進行數據的交換，在交換的同時，對應用數據進行細粒度安全過濾；實現兩個不信任網絡間的高安全的隔離和實時的信息交換，防止內部信息泄漏和外部病毒、黑客程序的滲入。

2．2．4網絡防毒體系

殺毒系統可以預防、掃描和殺除計算機病毒，防止病毒的傳播擴散。網絡防毒體系主要分為服務器的防護和工作站的防護。防毒體系中的服務器端產品可為文件服務器的病毒防護和網絡工作站的病毒防護。我中心使用卡巴斯基網絡版殺毒軟件（170客戶端）和360企業版殺毒軟件（400客戶端）對全區業務提供計算機病毒防護，定期對信息系統進行漏洞掃描、病毒木馬檢測。

2．2．5城域網DMZ區

為保護氣象局區局業務網的安全，解決城域網用戶與業務網之間沒有安全隔離的問題，在城域網與綜合業務子網之間建設一個城域網用戶信息收集共享DMZ區，利用防火墻提供必要的網絡安全控制，從而保證業務網的安全，使得外網的訪問者可以獲得DMZ中的服務，但不能接觸到存放在氣象內網中的信息。

2.3安全技術防護

目前采用網絡安全的主要技術有訪問控制、入侵檢測、安全審計、數據加密、身份認證等等。

2．3．1防火墻

利用防火墻可以將氣象專網與互聯網進行有效隔離。防火墻通過控制和監測網絡之間進出的數據信息交換和封堵某些禁止行為來實現對網絡安全的有效管理，并且實現對網絡攻擊行為的檢測和告警等。

2．3．2訪問控制

訪問控制采用基于資源的集中式控制、基于源地址和目的地址的過濾管理、基于網絡簽證技術等多種手段來保證系統資源不被非法訪問和使用。氣象信息內網接入互聯網的終端計算機采取IP-Mac地址綁定的方式，嚴格限制業務用終端計算機接入互聯網。同時還利用靜態路由表，劃分不同的虛擬局域網等技術限制各網段之間互訪。

2．3．3入侵檢測

入侵檢測系統是從氣象信息網絡中的關鍵節點收集網絡中傳輸的數據報文及相關網絡會話，還有系統內部的審計數據，通過分析這些信息，查看網絡中是否存在違反相關安全策略的行為，是否存在異常的用戶行為及入侵事件。入侵檢測系統實時、動態地保護來自氣象信息網絡內部和外部的各種攻擊，同時有效地彌補了防火墻的不足。

2．3．4安全審計

系統采用旁路偵聽的方式對重要和敏感的業務系統數據流進行采集、分析和識別；通過監測網絡異常流量，實時監視用戶訪問氣象業務系統的狀態，記錄各種訪問行為，發現并及時制止用戶的誤操作、違規訪問或者可疑行為。

2．3．5身份認證

氣象信息中心有基于數字證書的身份認證系統（CA系統），提供了證書認證、數字簽名和數據加解密的安全服務，是信息網絡安全體系中保護應用和數據安全的重要手段。

2．3．6網絡流量控制

通常，在氣象信息網絡沒有感染病毒時網絡帶寬能夠滿足業務數據的正常傳輸。假如網絡中的終端計算機感染了“蠕蟲”病毒或一些木馬程序后，網絡流量會出現異動，嚴重的甚至會將氣象信息網絡的帶寬完全耗盡，并導致業務網絡的阻塞或完全癱瘓。由于天氣預報、氣候預測等氣象業務數據需要及時準確的傳輸，網絡流量耗盡或阻塞將給氣象業務的正常運行帶來巨大的隱患。因此，為確保常規氣象業務數據的準確、及時傳輸，必須要對一些非業務的數據流量加強管理和限制，防止因為少量終端計算機的不正常而殃及整個網絡。

2．3．7終端計算機的網絡安全管理

病毒、惡意軟件、木馬等電腦病毒以及終端本身的軟硬件故障，常常給整個氣象信息網絡帶來安全隱患，嚴重的甚至能導致系統崩潰。因此，要定期或不定期組織終端計算機系統的安全風險評估，檢查安全運行情況，并根據評估報告對系統安全措施進行完善與升級，及時排除安全隱患。

3結語

制定安全管理制度、安裝硬件防御系統只是保障網絡安全的基礎，只有進一步提高網絡安全意識，完善規章制度，加強安全技術防御，加強對網絡管理人員的安全教育，才能保證氣象信息網絡整體的安全。

作者：姜娜娜 卓鳳艷 岳勇 周紅 單位：寧夏氣象信息中心