西藏自治区气象局县局网络安全建设
2017-04-08翁加多吉
翁加多吉
摘要:互联网络技术在气象业务系统中的大规模使用,提升了气象业务信息化程度,信息资源共享和利用也达到了空前高度。但同时也带来一些负面效应,其中气象业务网络安全问题日益突出,在黑客肆虐的网络世界,气象信息安全保障成为网络安全防护重中之重,特别是地县级气象系统中,加强气象业务网络安全技术研发更为重要。
关键词:防火墙;网络版杀毒软件;MSTP
中图分类号:TP393.07 文献标识码:A 文章编号:1007-9416(2017)02-0219-01
西藏气象广域网主要承担着区-地-县三级气象部门数据传输、政务办公的网络通讯、视频会商的通讯保障、各类气象资料收集和上传等业务,是西藏气象部门最主要的通讯保障线路。随着气象现代化开展,该线路承担的业务量大幅提升,其中气象观测数据最基础来源大部分集中在各县气象局,安全性问题尤为重要。为此前期通过在IPSEC-VPN设备上划分DMZ区域实现了内外网的逻辑隔离,但就目前使用效果来看做到真正意义上的气象内网和互联网完全隔离并不现实,内网气象预报产品将不能及时有效通过外网提供给公众服务,目前DMZ互联网区域内也无有效网络安全设备。因此建立满足气象现代化需要的县局网络安全设备是促进我区气象事业整体发展的迫切要求。
1 西藏自治区气象局县级网络现状
气象信息传输系统包括信息传递的硬件、软件等,传输系统较脆弱,一个环节出错,信息中途堵塞和传输不畅都有可能出现。现代气象业务网络技术带来了无限便利,但人们同时又忧虑其存在着的缺陷和漏洞,一些隐蔽性很强的漏洞,成为网外黑客们入侵气象业务网络的渠道和途径,盗取气象用户相关业务信息和网络用户控制权限,对气象信息数据和用户密码等进行篡改操作等,气象业务网络安全工作面临着巨大的挑战。
2008年我区建成气象广域网,建设初期省到7地区局,地到33个县局均为2M SDH线路;2012年对省-地的带宽进行了升级,改为6M MSTP线路,但线路链接设备仍为2008年建设的思科路由器(地市为Cisco2821,县局为cisco2801);后期将省-地带宽升为16M,地-县为6M,所有地区局、县局配置三层交换机(switch ws-c3560x-24),替换原有的cisco2821和cisco2801路由器,为33个县局购置IPSEC-VPN设备架设在内网与外网连接区域的三层交换机设备上,该设备不仅起到气象数据传输线路备份作用,通过在IPAEC-VPN上划分DMZ区域,用户只有在DMZ区域内才能访问互联网,实现县局内外网逻辑隔离。
2 提升西藏自治区县局网络安全的发展建议
2.1 网络优化
梳理整改所有县局网络,清理废旧网线,优化网络线路,实现强电和弱电分类布线。将原有IPSEC-VPN由路由模式改为单臂模式,实现内外网区域融合,并购置一台防火墙设备接入互联网边界,将Internet接入outside口,inside口接入局内网,划分DMZ口为后期的公众预报服务提供接口,对防火墙做相应的访问控制列表及防病毒和入侵检测功能配置。
2.2 购置防火墙和网络版杀毒软件
防火墙设备可扫描流经它的网络通信,过滤掉一些恶意攻击,避免破坏目标计算机;还可关闭掉一些不使用端口,禁止特定端口流出通信,封锁特洛伊木马,入侵者必须穿越防火墙安全防线才能接触目标计算机。因此可将防火墙配置成许多不同保护级别,防止来自不明入侵者所有通信。在新购置的防火墙上通过购买入侵防御和防病毒软件,集成入防火墙,实现防火墙具备入侵防御和防病毒的功能。
入侵防御(IPS)是对入侵行为的发觉。通过对计算机网络或计算机系统中若干关键点收集信息并分析,发现是否有违反安全策略的行为和被攻击迹象。通过收集和分析网络行为、安全日志、审计数据、其它网络上可获得的信息及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略行为和被攻击迹象。随着笔记本电脑、U盘、移动硬盘等移动办公设备流行和迅速普及,单纯依靠硬件防火墙不能有效阻隔病毒傳播,而普通杀毒软件需要客户端用户自行下载和在线更新病毒库,造成业务机和办公机运行速度下降。为此本项目通过购置网络版防病毒软件实现病毒库通过统一的服务器端升级,其余客户端机子不用升级,减少了县局业务办公PC机升级病毒软件浪费时间和资源。网络版杀毒软件能够快速连接到专用的云服务器,加快云查杀病毒速度,支持快速更新,需要更新的文件更少。而且网络版杀毒软件能更好兼容服务器,服务器性能被充分利用。
如果在局域网内,网络版杀毒软件还能够便捷地管理FTP站点和共享文件夹,防止病毒通过此类途径传播。在气象广域网一台主机上安装网络版软件的Server端,在县局其它机器上安装软件客户端。Server端升级后可控制客户端升级,同时也可以控制客户端使用。所以网络版杀毒软件可以通过控制中心管理全网的客户端,远程实现统一杀毒,升级,设置,察看全网病毒情况,管理更加方便,通过一台主控电脑升级后,客户端可自动升级病毒库,节省时间,提高工作效率。
参考文献
[1]周学广,等.信息安全学[M].北京:机械工业出版社,2003.3.
[2]周海刚,肖军模.一种基于移动代理的入侵检测系统框架[J].电子科技大学学报,2003,32(6).
