氣象資源共享網絡信息安全防護思路

前言：尋找寫作靈感？中文期刊網用心挑選的氣象資源共享網絡信息安全防護思路，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

【摘要】

為實現長沙市氣象資源共享，長沙市氣象局組織研發、建設了氣象資源共享公共平臺，本文主要介紹該平臺在網絡信息安全防護方面規劃、建設思路，供類似網絡平臺建設參考。

【關鍵詞】

資源共享；網絡安全；防護思路

引言

為加快推進長沙氣象現代化建設，充分利用現代信息技術，逐步建成資源高效利用、數據充分共享、流程高度集約的長沙氣象信息化體系，提升氣象公共服務能力、擴大氣象信息覆蓋面，長沙市氣象局研發、建設了市級氣象資源共享公共平臺，以實現政府、相關部門、公眾、專業用戶以及部門業務對氣象資源信息共享。落實國家凈化網絡環境專項行動，確保氣象資源共享公共平臺網絡信息的安全，無疑是平臺研發、建設的重要內容。

1共享平臺架構簡介

為簡化系統的開發、維護和方便使用，長沙市氣象資源共享公共平臺采用B/S模式，氣象資源共享涵蓋氣象監測資料、天氣預測預報信息、氣象災害預警信息、氣象情報檔案資料、氣象業務管理、專業圖形圖像等內容。服務器端操作系統使用微軟公司WINDOWS2012R2，網絡信息服務環境為IIS7，主程序采用ASP編程，需要關聯的數據庫有Access、MYSQL、SQL、ORACLE等多種類型。

2網絡安全威脅分析

2.1服務器安全威脅

（1）共享平臺服務器操作系統采用WINDOWS2012R2，操作系統本身存在安全漏洞。（2）共享平臺服務器服務環境采用IIS7，數據存儲結構與存儲方式存在不安全因素，容易獲取數據庫路徑和數據庫名。（3）共享平臺服務器運行程序采用ASP編程，ASP編寫的程序屬非編譯程序，ASP編寫的應用程序源代碼容易泄露。（4）共享平臺數據庫使用了Access數據庫，Access數據庫屬于弱口令類型數據庫，容易破解。

2.2客戶端安全威脅

隨著客戶端功能的不斷擴展，客戶端所使用到的JavaAp-plet、ActiveX、Cookie等技術都存在不同的安全隱患，容易被黑客利用。而且可以利用漏洞下載數據庫原始文件或對數據庫注入，破解數據庫密碼，對數據庫篡改。

2.3數據庫安全威脅

2.3.1Access數據庫的安全問題

（1）Access數據庫的存儲隱患。使用ASP編寫的Access數據庫應用程序，容易獲得數據庫的存儲路徑和數據庫名，通過客戶端可以非常容易下載數據庫原始文件。（2）Access數據庫的解密隱患。Access數據庫加密機制相對簡單，兩次異或就恢復密碼原值，很容易編制出解密程序，破解數據庫。

2.3.2ASP編程語言的安全問題

（1）ASP應用程序源代碼安全隱患。ASP應用程序屬非編譯性語言，源代碼安全性不高，一旦黑客進入服務器，就會造成應用程序源代碼泄露。（2）程序設計中的安全隱患。ASP應用程序都是利用表單實現與用戶進行交互完成相應功能，應用程序路徑和參數都會在客戶端瀏覽器的地址欄顯示，如果未采用安全措施，黑客就容易利用應用程序路徑和參數、以及數據庫產生的錯誤信息，繞過必要的驗證，進入應用程序。

2.4數據傳輸安全威脅

B/S網絡信息服務必須使用公網實現客戶端和服務器之間通信。當B/S模式提供信息服務帶來便利的同時，未經授權的用戶在信息信傳輸時，可以攔截信息流，獲取信息內容，進行修改，破壞信息內容的完整性。網絡黑客利用B/S模式信息交互的特點，向服務器端發送大量請求、數據包，使服務器無法及時響應、阻塞通信信道，造成B/S服務系統網絡響應速度緩慢、甚至癱瘓、中斷服務。

3安全防護原則

3.1實用為主原則

針對長沙市氣象資源共享公共平臺架構思路，安全問題主要來源于服務器安全、邊界安全、數據庫安全、網絡傳輸安全等方面，設計時予以充分考慮，針對安全隱患采用必要的安全措施，防患于未然。

3.2積極預防原則

對平臺服務系統進行安全評估，權衡考慮各類安全措施的價值、以及實施保護所需成本，確定不安全事件發生幾率，采用必要的軟、硬產品，制定嚴格操作規范與制度，加強平臺服務器日常監控與維護、以及系統安全漏洞的升級。

3.3及時補救原則

對平臺服務器采取雙機熱備的運行模式，當安全攻擊事件發生時，能夠及時恢復系統的正常運行。安全攻擊事件發生后，組織技術人員查找攻擊事件原因，采取相應應對措施。

4防護措施

4.1合理配置平臺服務器操作系統

4.1.1關停不必要的服務

在安裝操作系統時，只選擇安裝必要的協議和服務，刪除沒有用到的網絡協議，關停不必要的服務，如RPC、IP轉發、FTP、SMTP等，對外只提供Web服務，保證系統更好地為WEB服務提供支持，簡化管理，減輕操作系統負擔。

4.1.2使用必要的輔助工具

啟用系統賬戶日志和Web服務器日志記錄功能，監視并記錄訪問企圖，提高問題分析、以及原因查找的能力。

4.2合理配置平臺服務器功能

4.2.1設置服務器訪問權限

通過IP地址、子網域名等方式來控制訪問權限，未經允許的IP地址、IP子網域的訪問請求一律予以拒絕。

4.2.2通過用戶名和口令限制

當遠程用戶訪問平臺服務器資源時，只有輸入正確的用戶名和口令才能獲得相應的響應。

4.2.3用公用密鑰加密方法

對文件的訪問請求和以及文件本身進行加密，只有預計的權限用戶才能讀取文件內容和獲得服務。

4.3服務器根目錄的權限設置

對服務器根目錄進行嚴格訪問權限控制，包括日志文件、配置文件等敏感信息，未授權用戶無法讀取、修改、刪除。服務器根目錄下的CGI腳本程序設置為只有超級用戶才具有執行權限；日志和配置文件設置只有超級用戶才具有寫、刪除權限；服務器啟停設置為只能由超級用戶操作。

4.4服務器安全管理

制定嚴格的服務器日常管理、維護工作流程，加強管理人員安全知識培訓，提高安全意識；制定嚴格的信息資源管理制度，加強操作人員業務操作培訓，提高應用水平。及時對服務器漏洞更新，實時對日志文件審計，安裝安全工具軟件，加強服務器安全管理。

4.5數據庫防范

4.5.1Access數據庫防范

針對Access數據庫采用修改文件擴展名的方式，將MDB改ASP，使用客戶端誤將數據庫文件當做執行文件，避免惡意用戶下載。采用虛擬目錄的方式存放數據庫文件，避免惡意查找到數據庫存放的實際目錄，達到保護Access數據庫的目錄。對訪問數據庫的用戶密碼采用不可返算的加密算法，無法破解出真正的密碼。

4.5.2使用ODBC數據源保護數據庫

在程序設計時，對MYSQL、SQL、ORACLE數據庫訪問時，使用ODBC數據源，惡意用戶無法獲得真正的數據庫名，避免惡意用戶查找數據庫位置。

4.5.3利用Session對象進行注冊驗證

為防止未經注冊的用戶繞過注冊界面直接進入應用系統，平臺設計時采用Session對象進行注冊驗證，每次操作或訪問信息資源時都必須先通過Session對象的操作權限檢查，未通過檢查的惡意用戶無法進入系統訪問資源和操作數據庫。

4.5.4防數據庫注入

防數據庫注入的關鍵是對所有可能來自用戶輸入的數據進行嚴格的檢查，對進入數據庫的所有特殊字符進行轉義處理，嚴格限制變量類型，并對數據庫操作命令進行過濾，帶有數據庫操作命令的訪問全部予以攔截。應用程序級的漏洞，僅依靠對服務器的基本設置做一些改動是不夠的，必須提高應用程序開發人員安全意識，加強對應用源代碼安全性的控制，在服務端正式處理請求時，對每個提交的參數進行合法性檢查，并對所有應用程序采取容錯機制，無法獲知數據庫訪問錯誤，防止惡意用戶利用數據庫操作錯誤獲取數據庫基本信息，以從根本上解決注入問題。

4.5.5訪問權限限制

訪問權限分二級授權機制。一級為用戶登錄授權，只有通過登錄的用戶才能訪問平臺；二級為資源使用授權，資源使用授權又分二層，一層為目錄授權使用機制，二層為文檔授權使用機制。未授權用戶不能訪問。

5結束語

由于互聯網的開放性和通信協議存在的安全缺陷，網絡信息安全問題將始終存在，有效防范將是一項長期且艱巨的任務。為確保氣象資源共享公共平臺的安全、穩定運行，作者認為，必須堅持問題導向，在信息安全管理和技術層面與時俱進，創新防護措施，做到“道高一尺，魔高一丈”，使網絡“黑客”無可乘之機。

作者：周建坤 余后珍 鐘金蓮 周璐 單位：長沙市氣象局 寧鄉縣氣象局