胡秀慧 姜晨

1鎮(zhèn)坪縣氣象局 陜西 725000 2西安通信學院 陜西 710106

0 前言

伴隨著網(wǎng)絡信息化建設在氣象行業(yè)中的飛速發(fā)展，計算機已普及到行業(yè)的方方面面，它把所有的人們帶入了一個全新的信息化時代，尤其是企業(yè)內網(wǎng)的信息共享，為我們所有的企業(yè)人帶來了海量的工作資料，使得它成為人們日常工作中不可或缺的一部分，但是，由于計算機網(wǎng)絡具有聯(lián)接形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，致使網(wǎng)絡易受黑客、病毒、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的安全和保密是一個至關重要的問題。

1 網(wǎng)絡安全定義

網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)能連續(xù)可靠正常的運行，網(wǎng)絡不中斷。本質上說就是網(wǎng)絡信息的安全和穩(wěn)定。它具有保密性、完整性、可用性、可控性和可審查性。

1.1 網(wǎng)絡安全現(xiàn)狀

近幾年來，網(wǎng)絡安全已經成為全球各界共同關注的重點問題之一。據(jù)美國FBI統(tǒng)計，美國每年網(wǎng)絡安全問題所造成的經濟損失高達75億美元。而全球平均每20秒鐘就發(fā)生一起 Internet計算機侵入事件。在中國，網(wǎng)絡安全市場雖然整體規(guī)模還不能與PC、服務器等傳統(tǒng)市場相比，但其已經顯現(xiàn)出了強勁的增長勢頭。在氣象行業(yè)中，大到全球氣象數(shù)據(jù)交換，小到基礎臺站向上級臺站氣象資料的實時傳輸，網(wǎng)絡能連續(xù)可靠正常的不中斷運行，已經是所有氣象人每日每時必須注意的問題。

1.2 網(wǎng)絡脆弱的主要原因

（1）Internet所用TCP/IP網(wǎng)絡協(xié)議本身易受到攻擊，該協(xié)議本身的安全性極大的影響到上層應用的安全。

（2）Internet上廣為傳播的易用黑客和解密工具使很多網(wǎng)絡用戶輕易地獲得了攻擊網(wǎng)絡的方法和手段。

（3）快速的軟件升級周期，造成問題軟件的出現(xiàn)，經常會出現(xiàn)操作系統(tǒng)和應用程序存在新的攻擊漏洞。

（4）現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國針對計算機及網(wǎng)絡信息保護的條款不細致，網(wǎng)上保密的法規(guī)制度可操作性不強。同時，單位沒有從管理制度、人員和技術上建立相應的安全防范機制。缺乏行之有效的安全檢查保護措施，甚至有一些網(wǎng)絡管理員利用職務之便從事網(wǎng)上違法行為。

2 網(wǎng)絡安全的主要威脅

2.1 結構層次上影響網(wǎng)絡安全的因素

（1）物理威脅，包括物理損壞、設備故障、電磁干擾、操作失誤等威脅。

（2）控制威脅，包括微機操作系統(tǒng)、網(wǎng)絡接口模塊、網(wǎng)絡互連設備的安全控制等威脅。

（3）服務威脅，包括對等實體認證服務、訪問控制服務、數(shù)據(jù)保密服務、數(shù)據(jù)完整性服務、數(shù)據(jù)源點認證服務、禁止否認服務等威脅。

（4）機制威脅，包括加密機制、數(shù)據(jù)簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、認證機制、信息流填充機制、路由控制機制、公認機制等威脅。

（5）網(wǎng)絡協(xié)議缺陷：包括IP欺騙、路由選擇信息、協(xié)議攻擊等威脅。

2.2 黑客攻擊影響網(wǎng)絡安全的因素

（1）信息泄露：指信息被透露給非授權的實體。有網(wǎng)絡監(jiān)聽、業(yè)務流分析、電磁、射頻截獲、媒體清理、漏洞利用、授權侵犯、物理侵入、病毒、木馬、后門、流氓軟件、網(wǎng)絡釣魚。

（2）完整性破壞：通過漏洞利用物理侵犯、授權侵犯、病毒、木馬、漏洞等方式實現(xiàn)。

（3）拒絕服務攻擊：對信息或資源可以合法的訪問卻被非法的拒絕或者推遲等與時間密切相關的操作。

（4）網(wǎng)絡濫用：合法的用戶濫用網(wǎng)絡，引入不必要的安全威脅，包括非法外聯(lián)、非法內聯(lián)、移動風險、設備濫用、業(yè)務濫用。

（5）惡意代碼：攻擊者通過編制一段可執(zhí)行的代碼，實現(xiàn)目標計算機被動的拷貝文件，訪問網(wǎng)站和接受E-mail等，它不但能破壞計算機系統(tǒng)，給黑客留出后門，還能主動去攻擊和感染別的計算機。

2.3 用戶使用影響網(wǎng)絡安全的因素

用戶缺乏必要的安全知識，在其使用的過程中容易給攻擊者提供入侵的機會。如下：

（1）密碼設置過于簡單，很容易被攻擊者破解。

（2）軟件使用錯誤，安裝過程中留下大量漏洞，給攻擊者提供可乘之機。

（3）系統(tǒng)備份不完整或制定指定正確的備份方式和策略。

3 網(wǎng)絡安全威脅的表現(xiàn)形式

（1）竊聽：通過監(jiān)視網(wǎng)絡數(shù)據(jù)的手段獲得重要的信息，從而導致網(wǎng)絡信息的泄密。

（2）重傳：攻擊者事先獲得部分或全部信息，再將此信息發(fā)送給接收者。

（3）篡改：攻擊者對合法用戶間的通訊信息進行修改、刪除、插入，將偽造的信息發(fā)送給接收者。這種實施信息破壞的網(wǎng)絡侵犯者為積極侵犯者。

（4）拒絕服務攻擊：攻擊者通過某種方法使系統(tǒng)響應減慢甚至癱瘓，阻止合法用戶獲得服務。

（5）行為否認：通訊實體否認已經發(fā)生的行為。

（6）電子欺騙：通過假冒合法用戶的身份來進行網(wǎng)絡攻擊，達到掩蓋攻擊者真實身份，嫁禍他人的目的。

（7）非授權訪問：沒有預先經過同意，就使用網(wǎng)絡或計算機資源被看作非授權訪問。

（8）傳播病毒：通過網(wǎng)絡傳播計算機病毒，其破壞性非常高，用戶很難防范。

4 網(wǎng)絡安全的主要防范措施

4.1 物理安全層面防范

（1）機房的場地環(huán)境，做到地質可靠，抗電磁干擾，耐自然災害。

（2）機房的安全防護，做到區(qū)域安全防止被授權的個人或團體破壞。

（3）系統(tǒng)穩(wěn)定運行條件的環(huán)境合適，包括溫度、濕度、干擾等等。

4.2 管理層面安全防范

管理層面安全的防范就是減少人為安全隱患，包括對計算機用戶的安全教育、建立相應的安全管理機構、完善和加強計算機的管理功能、增加計算機網(wǎng)絡的立法和執(zhí)法力度等。

4.3 技術層面安全防范

物理安全防范保證網(wǎng)絡物理上暢通，管理層面上的防范避免一些人為安全隱患，通過技術層面防范則可以進一步增強網(wǎng)絡安全。主要有實時掃描技術、實時監(jiān)控技術、防火墻、完整性檢驗保護技術、病毒情況分析報告技術和系統(tǒng)安全管理技術。綜合起來，可以采取以下對策：

（1）配置防火墻。防火墻將內網(wǎng)和外網(wǎng)分開，是一種隔離技術。它是網(wǎng)絡安全的屏障。防火墻在網(wǎng)絡通訊時執(zhí)行一種訪問控制尺度，讓同意訪問的人與數(shù)據(jù)進入自己的內網(wǎng)，將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止黑客訪問自己的網(wǎng)絡。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內部。

（2）安裝防病毒網(wǎng)關軟件。防病毒網(wǎng)關放置在內網(wǎng)和互聯(lián)網(wǎng)連接處。當在內網(wǎng)發(fā)現(xiàn)病毒時，防病毒網(wǎng)關將大部分病毒隔離起來，減少其傳播。同時它具有反垃圾郵件和反間諜軟件的能力。當出現(xiàn)新的病毒時，管理員只要將防病毒網(wǎng)關升級就可以抵御部分新病毒的攻擊。

（3）應用入侵檢測系統(tǒng)。入侵檢測技術是一種主動保護自己免受黑客攻擊的新型網(wǎng)絡安全技術。能夠檢測出來自網(wǎng)絡的攻擊，檢測到超過授權的非法訪問。網(wǎng)絡入侵檢測系統(tǒng)不需要改變服務器等主機的配置。且不會在業(yè)務系統(tǒng)主機安裝額外的軟件，從而不影響這些機器的CPU、I/O與磁盤等資源的使用，不影響主機性能。它從系統(tǒng)運行過程中產生的或系統(tǒng)所處理的各種數(shù)據(jù)中查找出威脅系統(tǒng)安全的因素，并對威脅做出相應的處理。在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。在網(wǎng)絡中同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)，則會構架成一套完整立體的主動防御體系。

（4）利用網(wǎng)絡監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡外部的入侵可以通過安裝防火墻來解決，對于網(wǎng)絡內部的侵襲則可以采用對各個子網(wǎng)有一定功能的審計文件，為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。設計一個子網(wǎng)專用的監(jiān)聽程序，其功能是長期監(jiān)聽子網(wǎng)內計算機間相互聯(lián)系的情況，為系統(tǒng)中各個服務器的審計文件提供備份。

（5）應用數(shù)據(jù)加密技術。數(shù)據(jù)加密技術就是對信息進行重新編碼，從而隱藏信息內容，使非法用戶無法獲取信息真實內容的一種技術手段。此技術是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。

（6）常做數(shù)據(jù)備份。不僅要用操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)附帶的備份程序，還要選擇專門的備份軟硬件工具，建立專用的數(shù)據(jù)備份系統(tǒng)，以彌補自帶程序備份中的缺陷和不足。

5 結束語

互聯(lián)網(wǎng)已經成為我們工作中不可或缺的工具，其發(fā)展速度也快得驚人，由此而來的攻擊破壞也層出不窮，為了有效的防止入侵，把損失降到最低，我們必須時刻注意安全問題，使用盡量多而可靠的安全工具進行維護，讓我們的網(wǎng)絡體系安全可靠，正常有序的運行。這也是行業(yè)未來電子化、信息化發(fā)展的要求。

[1]朱理森,張守連.計算機網(wǎng)絡應用技術[M].北京:專利文獻出版社.2001.

[2]胡錚.網(wǎng)絡與信息安全.清華大學出版社.2006.

[3]Andrew S.Tanenbaum.計算機網(wǎng)絡.北京清華大學出版社.2006.