翁加多吉

摘要：互聯(lián)網(wǎng)絡(luò)技術(shù)在氣象業(yè)務(wù)系統(tǒng)中的大規(guī)模使用，提升了氣象業(yè)務(wù)信息化程度，信息資源共享和利用也達(dá)到了空前高度。但同時(shí)也帶來(lái)一些負(fù)面效應(yīng)，其中氣象業(yè)務(wù)網(wǎng)絡(luò)安全問(wèn)題日益突出，在黑客肆虐的網(wǎng)絡(luò)世界，氣象信息安全保障成為網(wǎng)絡(luò)安全防護(hù)重中之重，特別是地縣級(jí)氣象系統(tǒng)中，加強(qiáng)氣象業(yè)務(wù)網(wǎng)絡(luò)安全技術(shù)研發(fā)更為重要。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)版殺毒軟件；MSTP

中圖分類號(hào)：TP393.07 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）02-0219-01

西藏氣象廣域網(wǎng)主要承擔(dān)著區(qū)-地-縣三級(jí)氣象部門(mén)數(shù)據(jù)傳輸、政務(wù)辦公的網(wǎng)絡(luò)通訊、視頻會(huì)商的通訊保障、各類氣象資料收集和上傳等業(yè)務(wù)，是西藏氣象部門(mén)最主要的通訊保障線路。隨著氣象現(xiàn)代化開(kāi)展，該線路承擔(dān)的業(yè)務(wù)量大幅提升，其中氣象觀測(cè)數(shù)據(jù)最基礎(chǔ)來(lái)源大部分集中在各縣氣象局，安全性問(wèn)題尤為重要。為此前期通過(guò)在IPSEC-VPN設(shè)備上劃分DMZ區(qū)域?qū)崿F(xiàn)了內(nèi)外網(wǎng)的邏輯隔離，但就目前使用效果來(lái)看做到真正意義上的氣象內(nèi)網(wǎng)和互聯(lián)網(wǎng)完全隔離并不現(xiàn)實(shí)，內(nèi)網(wǎng)氣象預(yù)報(bào)產(chǎn)品將不能及時(shí)有效通過(guò)外網(wǎng)提供給公眾服務(wù)，目前DMZ互聯(lián)網(wǎng)區(qū)域內(nèi)也無(wú)有效網(wǎng)絡(luò)安全設(shè)備。因此建立滿足氣象現(xiàn)代化需要的縣局網(wǎng)絡(luò)安全設(shè)備是促進(jìn)我區(qū)氣象事業(yè)整體發(fā)展的迫切要求。

1 西藏自治區(qū)氣象局縣級(jí)網(wǎng)絡(luò)現(xiàn)狀

氣象信息傳輸系統(tǒng)包括信息傳遞的硬件、軟件等，傳輸系統(tǒng)較脆弱，一個(gè)環(huán)節(jié)出錯(cuò)，信息中途堵塞和傳輸不暢都有可能出現(xiàn)?，F(xiàn)代氣象業(yè)務(wù)網(wǎng)絡(luò)技術(shù)帶來(lái)了無(wú)限便利，但人們同時(shí)又憂慮其存在著的缺陷和漏洞，一些隱蔽性很強(qiáng)的漏洞，成為網(wǎng)外黑客們?nèi)肭謿庀髽I(yè)務(wù)網(wǎng)絡(luò)的渠道和途徑，盜取氣象用戶相關(guān)業(yè)務(wù)信息和網(wǎng)絡(luò)用戶控制權(quán)限，對(duì)氣象信息數(shù)據(jù)和用戶密碼等進(jìn)行篡改操作等，氣象業(yè)務(wù)網(wǎng)絡(luò)安全工作面臨著巨大的挑戰(zhàn)。

2008年我區(qū)建成氣象廣域網(wǎng)，建設(shè)初期省到7地區(qū)局，地到33個(gè)縣局均為2M SDH線路；2012年對(duì)省-地的帶寬進(jìn)行了升級(jí)，改為6M MSTP線路，但線路鏈接設(shè)備仍為2008年建設(shè)的思科路由器（地市為Cisco2821，縣局為cisco2801）；后期將省-地帶寬升為16M，地-縣為6M，所有地區(qū)局、縣局配置三層交換機(jī)（switch ws-c3560x-24），替換原有的cisco2821和cisco2801路由器，為33個(gè)縣局購(gòu)置IPSEC-VPN設(shè)備架設(shè)在內(nèi)網(wǎng)與外網(wǎng)連接區(qū)域的三層交換機(jī)設(shè)備上，該設(shè)備不僅起到氣象數(shù)據(jù)傳輸線路備份作用，通過(guò)在IPAEC-VPN上劃分DMZ區(qū)域，用戶只有在DMZ區(qū)域內(nèi)才能訪問(wèn)互聯(lián)網(wǎng)，實(shí)現(xiàn)縣局內(nèi)外網(wǎng)邏輯隔離。

2 提升西藏自治區(qū)縣局網(wǎng)絡(luò)安全的發(fā)展建議

2.1 網(wǎng)絡(luò)優(yōu)化

梳理整改所有縣局網(wǎng)絡(luò)，清理廢舊網(wǎng)線，優(yōu)化網(wǎng)絡(luò)線路，實(shí)現(xiàn)強(qiáng)電和弱電分類布線。將原有IPSEC-VPN由路由模式改為單臂模式，實(shí)現(xiàn)內(nèi)外網(wǎng)區(qū)域融合，并購(gòu)置一臺(tái)防火墻設(shè)備接入互聯(lián)網(wǎng)邊界，將Internet接入outside口，inside口接入局內(nèi)網(wǎng)，劃分DMZ口為后期的公眾預(yù)報(bào)服務(wù)提供接口，對(duì)防火墻做相應(yīng)的訪問(wèn)控制列表及防病毒和入侵檢測(cè)功能配置。

2.2 購(gòu)置防火墻和網(wǎng)絡(luò)版殺毒軟件

防火墻設(shè)備可掃描流經(jīng)它的網(wǎng)絡(luò)通信，過(guò)濾掉一些惡意攻擊，避免破壞目標(biāo)計(jì)算機(jī)；還可關(guān)閉掉一些不使用端口，禁止特定端口流出通信，封鎖特洛伊木馬，入侵者必須穿越防火墻安全防線才能接觸目標(biāo)計(jì)算機(jī)。因此可將防火墻配置成許多不同保護(hù)級(jí)別，防止來(lái)自不明入侵者所有通信。在新購(gòu)置的防火墻上通過(guò)購(gòu)買(mǎi)入侵防御和防病毒軟件，集成入防火墻，實(shí)現(xiàn)防火墻具備入侵防御和防病毒的功能。

入侵防御（IPS）是對(duì)入侵行為的發(fā)覺(jué)。通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并分析，發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊跡象。通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可獲得的信息及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略行為和被攻擊跡象。隨著筆記本電腦、U盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)辦公設(shè)備流行和迅速普及，單純依靠硬件防火墻不能有效阻隔病毒傳播，而普通殺毒軟件需要客戶端用戶自行下載和在線更新病毒庫(kù)，造成業(yè)務(wù)機(jī)和辦公機(jī)運(yùn)行速度下降。為此本項(xiàng)目通過(guò)購(gòu)置網(wǎng)絡(luò)版防病毒軟件實(shí)現(xiàn)病毒庫(kù)通過(guò)統(tǒng)一的服務(wù)器端升級(jí)，其余客戶端機(jī)子不用升級(jí)，減少了縣局業(yè)務(wù)辦公PC機(jī)升級(jí)病毒軟件浪費(fèi)時(shí)間和資源。網(wǎng)絡(luò)版殺毒軟件能夠快速連接到專用的云服務(wù)器，加快云查殺病毒速度，支持快速更新，需要更新的文件更少。而且網(wǎng)絡(luò)版殺毒軟件能更好兼容服務(wù)器，服務(wù)器性能被充分利用。

如果在局域網(wǎng)內(nèi)，網(wǎng)絡(luò)版殺毒軟件還能夠便捷地管理FTP站點(diǎn)和共享文件夾，防止病毒通過(guò)此類途徑傳播。在氣象廣域網(wǎng)一臺(tái)主機(jī)上安裝網(wǎng)絡(luò)版軟件的Server端，在縣局其它機(jī)器上安裝軟件客戶端。Server端升級(jí)后可控制客戶端升級(jí)，同時(shí)也可以控制客戶端使用。所以網(wǎng)絡(luò)版殺毒軟件可以通過(guò)控制中心管理全網(wǎng)的客戶端，遠(yuǎn)程實(shí)現(xiàn)統(tǒng)一殺毒，升級(jí)，設(shè)置，察看全網(wǎng)病毒情況，管理更加方便，通過(guò)一臺(tái)主控電腦升級(jí)后，客戶端可自動(dòng)升級(jí)病毒庫(kù)，節(jié)省時(shí)間，提高工作效率。

參考文獻(xiàn)

[1]周學(xué)廣，等.信息安全學(xué)[M].北京：機(jī)械工業(yè)出版社，2003.3.

[2]周海剛，肖軍模.一種基于移動(dòng)代理的入侵檢測(cè)系統(tǒng)框架[J].電子科技大學(xué)學(xué)報(bào)，2003，32（6）.