浅谈石家庄市气象局信息网络结构安全防护

The Information Network Security Protection for Shijiazhuang Bureau of Meteorology
　　 Li Baoli,Wang Lei,Pang Qian
　　 (Shijiazhuang Bureau of Meteorology,Shijiazhuang010018,China)
　　 Abstract:With the continuous development of information system,local area networks gradually expand the scale,the network is gradually opening up and sharing the same time,more and more unsafe.Shijiazhuang Bureau of Meteorology existing information network brief analysis of the security,proposed the establishment of comprehensive multi-level network security protection system, and still pay attention to the needed for security problems.
　　 Keywords:Network structure;Multi-level;Security;Virus
　　 随着计算机和各种网络设备的逐步增加,网络日愈复杂和多样化,各种各样的混合型入侵越来越多,单一的防护模式很难抵御外来的威胁,而且局域网的规模也在不断的扩大,如何保护内部气象资源,保障内部网络与互联网进行安全通信以及局域网络内部的安全性能成为部署网络结构的首要考虑问题。如今石家庄市气象局已经逐步建立了“防火墙+IPS入侵防御设备+网络版杀毒软件+单机版杀病毒软件+防护策略” 多层次的立体防护。
　　 一、石家庄市气象局信息网络结构分析
　　 石家庄市气象局经过近几年的网络改造升级逐步完善,基本网络结构如图1:
　　 (一)在互联网出口进行硬件的拦截防御
　　 1.硬件防火墙
　　 防火墙放置在内外网之间,配置合理的适合本局的内容过滤规则、访问控制规则以及本地规则等安全策略,实现了内网和外网的安全隔离。基于ASIC架构的中华卫士防火墙的千兆包转发速率也充分满足了内网访问互联网的速率需求。
　　 2.IPS入侵防御系统
　　 石家庄市气象局的基本网络结构中采用Egiscom STM的STM1100系列的IPS,无论是基于任何端口的攻击,只要检测到与IPS数据库中对应的病毒或者是检测到攻击包特有的“特征”,都能够把这些非法的数据包丢弃掉,从而使内网免受攻击,提高了网络的主动防护能力,减少了外部网络针对内网的入侵和攻击,有效地防范了网络蠕虫病毒的感染。当然,IPS的入侵特征库也需要定时的进行更新,确保将最流行的病毒和入侵阻挡在内网之外。
　　 3.ISA 服务器
　　 石家庄市气象局在web服务器与Internet之间增加一个有双网卡的服务器,以Microsoft Windows Server™ 2003为构建平台,将这台服务器的一块网卡设置为Web服务器的公网IP地址连接到Internet,另一块网卡设置一个内网地址与web服务器相连,并将web服务器的地址设置成内部局域网中的一个地址,然后在双网卡的服务器上安装ISA Server2006,并创建一条Web服务器发布规则,发布web网站到Internet。
　　 (二)在网络内部进行多层次的防护
　　1.架构WSUS服务器
　　 WSUS是Windows操作系统的升级服务,通过在内部网络中配置WSUS服务器,所有的Windows更新都能集中下载到这个服务器中,再将内部网络中的客户机也进行相应的配置,就可以将客户端和服务器端关联起来。
　　2.VLAN的划分
　　 石家庄市气象局局域网中的交换机大都已经升级为具有路由功能的三层交换机,运用基于端口划分VLAN的方法把全局所有的计算机根据功能不同划分到不同的VLAN中,这样不仅有效地限制了广播风暴的发生,节省了带宽,进一步增强了网络安全性,还方便了对网络的管理维护。效果最明显的就是对ARP病毒进行了有效的抑制。
　　3.网络版杀毒软件的应用
　　 在全局的所有计算机包括县局的业务用机都安装了诺顿网络版杀毒软件并对安全防护策略进行灵活配置,被病毒感染的计算机明显减少。由于诺顿杀毒软件对机器的配置要求较高,因此对于一些老机器不适用,对个别的配置较低的计算机安装占用系统资源较小的NOD32杀毒软件。对于网络中的一些专网微机,大多都是独立的一台机器,安装单机版的卡巴斯基杀毒软件,这样几种软件互相配合做到全网安全运行。
　　 4.网管软件
　　 网络管理员可以坐在办公室中通过网管软件对网络设备进行监控管理,察看交换设备或路由器等设备的流量,自动生成网络拓扑图,帮助网管员判断发生故障的范围。
　　 二、存在问题的分析
　　 (一)从石家庄市气象局网络结构可以看出,针对众多的混合型网络攻击行为,石家庄市气象局建立了多层次立体防护措施。在计算机主机、网络和网络边界建立了综合防御体系。
　　 (二)在网络的边界:防火墙、ISA等设备对蠕虫、病毒、垃圾邮件、敏感信息等混合型威胁的综合过滤,对网络访问的合法性进行全面检查,切断传播途径;
　　 (三)在局域网内部:IPS入侵检测设备监控传染源,识别网络入侵攻击行为、非法网络活动;WSUS服务器监控所有联网的机器,及时更新系统;
　　 (四)各个计算机系统,网络版杀毒软件以及征对个别计算机安装的单机版杀毒软件及时升级定时查杀病毒,网管员不定期的进行维护管理。
　　 三、结束语
　　 多层次的立体防护措施可以有效地保护局域网,但是任何的安全措施都无法保证绝对的安全,病毒、黑客会利用各种漏洞不断地进行攻击。在日常的工作中既要做到对外防御,更应该做好内部的防护工作,同时要不断提高用户的计算机知识水平,加强信息网络安全意识,,从而保障局域网安全顺畅地运行,信息网络安全工作任重而道远。
　　 参考文献:
　　 [1]詹利群.网络安全与防护策略在广西气象部门的应用与探讨,广西气象,2007年12月增刊III;78-79
　　 [2]王春海,张翠轩.非常网管-网络工程案例,人民邮电出版社,2007:81,389-391
　　 作者简介:李宝莉(1971-)女,汉,河北省张家口市,大学,工程师。