1. 漏洞
漏洞是造成安全問題的重要隱患,絕大多數非法入侵、木馬、病毒都是通過漏洞來突破網絡安全防線的。因此,防堵漏洞是提高系統及網絡安全的關鍵之壹。
當前的漏洞問題主要包括兩個方面:壹是軟件系統的漏洞,如操作系統漏洞、IE 漏洞、Office 漏洞等,以及壹些應用軟件、數據庫系統(如SQL Server)漏洞;二是硬件方面的漏洞,如防火墻、路由器等網絡產品的漏洞。
2. 內部人員操作不規範
在日常故障統計中,工作人員使用不當而造成的問題占絕大多數,例如,有的工作人員在多臺機器上使用U 盤、移動硬盤拷貝文件時,不註意殺毒;有的工作人員在計算機上隨意安裝軟件;還有人安全意識不強,用戶口令選擇不慎,將自己的賬號隨意轉借他人,甚至與別人***享賬號,這些也會給網絡安全帶來威脅。
3. 病毒與非法入侵
單位用於正常辦公的計算機裏通常保存了大量的文檔、業務資料、公文、檔案等重要數據和信息資料,如果被病毒破壞,被非法入侵者盜取或篡改,就可能造成數據信息丟失,甚至泄密,嚴重影響到正常辦公的順利進行。
計算機感染病毒以後,輕則系統運行速度明顯變慢,頻繁宕機,重則文件被刪除,硬盤分區表被破壞,甚至硬盤被非法格式化,還可能引發硬件的損壞。還有些病毒壹旦感染主機,就會將系統中的防病毒程序關掉,讓防病毒防線整個崩潰。
網絡安全的防範措施
1. 完善網絡安全管理制度
加強安全管理,網絡內的任何部門除了要嚴格遵守現有規章制度外,還要逐步完善網絡系統的安全管理制度,加強內部管理。
完善的安全管理制度能約束用戶的操作規範,形成高度可操作的規範使用網絡的管理體系。這是氣象信息網絡安全問題得以解決的重要保證,也是防止內、外部攻擊的有效方法。
2. 病毒防範
根據日常業務辦公需求,經常需要進行文件傳送、資料***享等,這就給計算機病毒的傳播提供了途徑和可能性,必須有適合於局域網的全方位的防病毒產品。
同時,用戶在日常使用計算機時應養成良好的習慣,並掌握壹些常用的殺毒技巧。壹旦發現感染病毒,首先進行隔離,將其從聯網狀態中分離出來,然後殺毒。
3. 對網絡系統進行合理配置
本級氣象部門內部網絡不僅連接上下級單位的網絡,而且和其他專網、互聯網都有連接,這些網絡間都存在著不同程度的信息交換。由於不同網絡的互信程度不同,安全級別不同,所以必須根據壹定的安全策略來控制、允許或拒絕出入內部網絡的信息流,剔除惡意的、帶有攻擊性質的信息流,保障內部網絡的暢通與安全。
路由器通常部署在網絡邊界處,是外部信息流進入內部網絡的第壹道關口。本文以Blaster 蠕蟲病毒為例,在博達路由器中運用訪問控制列表(ACL),當病毒到達路由器時,這些數據都會被過濾掉,以此來阻止病毒傳播。
由於感染了該病毒的主機會通過TCP 4444 端口和UDP 69 端口向內部主機傳播病毒,使系統操作異常,不停重啟,甚至導致系統崩潰。我們在路由器外網接口的ACL 設置如下:
ip access-list extended rule1 deny tcp any any eq 4444 deny udp any any eq 69 permit ip any any ip access-group rule1 in
通過以上設置,也可以限制壹些特殊UDP、TCP 端口,阻止入侵者攻擊,並避免某些端口由於流量過大而影響整個網絡,從而確保氣象業務的順利進行。
4. 部署防火墻
通過路由器、防火墻等對有關網段的訪問進行控制:對不需要對外進行訪問的主機,將其封閉在固定的網段中;對需要對外進行有限訪問的主機,則設定單點路由,最大限度地阻止網絡中的非法入侵者訪問內部的網絡,防止其隨意更改、移動甚至刪除網絡上的重要信息,確保重要的業務主機網段的安全。
5. 其他安全措施
(1)漏洞掃描
確定壹種能查找漏洞、評估並提出修改建議的網絡安全掃描工具,利用優化系統配置和打補丁等各種方式,最大可能地彌補最新的安全漏洞和消除安全隱患。
有很多病毒就是通過系統漏洞對計算機進行破壞的,很多非法入侵者也能夠通過系統漏洞入侵到目標計算機中,並對其進行破壞。因此,應及時安裝最新的系統補丁、數據庫補丁。
很多安全工具都有檢查系統漏洞的功能,可以借助它們,對系統進行定期檢查,以便將漏洞所產生的危害降到最低。
(2)數據備份
為了防止無法預料的系統故障,或用戶不小心進行的非法操作,必須對系統進行安全備份。
除了對系統進行定時備份外,還應該對修改過的數據進行備份,應將修改過的重要系統文件存放在不同的服務器上,以便系統崩潰時,可以及時地將系統恢復到正常狀態。
以自動站原始數據的備份為例,各地氣象臺站對於自動站原始數據的備份,除了采用本地硬盤備份外,也采用專用的移動存儲設備定期轉移備份,或者利用網絡進行雙機備份。最好用光盤刻錄機將數據刻錄在光盤中,確保信息的安全完整性。
(3)訪問控制
訪問權限控制是實現安全防範和保護的重要措施之壹,其主要任務是對用戶訪問網絡資源的權限進行嚴格的認證和控制,防止非法用戶進入系統及防止合法用戶對系統資源的非法使用。
例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的權限,控制網絡設備配置的權限等。
通過訪問控制,可以有效保護內部網絡的安全。
(4)加強維護力量
系統管理員應及時更新知識,了解最前沿的安全防範措施,及時更改網絡系統的安全布防,確保網絡的正常運行。