中国气象局骨干网络安全防护改进问题地研究.pdfVIP

信息技术在气象领域的开发应用论文集 中国气象局骨干网络安全防护改进问题的研究 周琰 (国家气象信息中心网络与存储系统室 100081) 【摘要】 本文通过对现有中国气象局(CMA)骨干网络安全防护系统的介绍和简要分析，结合当今主流的 网络安全防护理论和相关软硬件技术，阐述了在骨干网络中建立集入侵检测系统、安全漏洞扫描、 防火墙系统和防病毒系统于一体的多层次，全方位的网络安全防护体系的必要性，并对骨干网络安 全防护系统的改进方向提出了建议． 【关键词】 骨干网络安全防护体系 技术 【正文】 1．前言 ‘ 在当今网络化的世界中，网络的开放性和共享性在方便了人们使用的同时，也使得网络更容易 受到攻击，针对信息网络的恶意攻击和病毒爆发事件层出不穷，扰乱了正常的网络秩序，造成了许 多难以挽回的重大损失。因此，网络安全问题越来越引起人们的关注，网络和信息安全技术也越来 越受到人们的重视。本文针对中国气象局(CMA)骨干网络系统安全防护的现状，结合不同的安全保 护因素，提出了创建多层次安全防护体系的建议，以保障骨干网络系统的正常运行。 2．CMA骨干网络系统安全防护现状 ， 中国气象局现有安全防护系统依托局大院骨干网络，目前主要采用防火墙、防病毒系统、防病 毒网关等信息安全技术手段进行网络安全的防范。 2．1骨千网络系统 的优化调整，现在整个骨干网络系统运行情况良好。该系统利用高速的网络连接技术，为超级计算、 资料存储和资源共享提供底层的支持与服务，同时还承担着与外部Internet系统、全国卫星气象通 信系统、GTS国际通信系统和同城用户的网络连接，已经成为中国气象局大院业务、科研、管理的 核心骨干网络。 2．2网络防病毒系统 在骨干网络中已经建立了以赛门铁克(Symantec)企业网络防病毒服务器为中心的网络防病毒 体系结构。在局内部分单位建立了一级防病毒服务器和二级服务器，每个服务器连接本单位的多个 用户终端。由一级防病毒服务器直接到Symantec网站上进行病毒定义代码的更新，然后主动分发给 相连的二级服务器或其连接的所有客户端，统一的进行网络病毒的预防和控制。局内安装了Norton 防病毒客户端的用户对其查、杀、防病毒的能力，都比较满意和认可。系统运行四年以来，有效的 防范了“欢乐时光”、“网络天空”等病毒的攻击，对保护局大院计算机和网络资源起到很大的作用。 但是，任何一种防病毒产品都不能很好的抵御针对系统漏洞进行的网络攻击行为，因此需要增加漏 洞扫描等安全配套设施以达到更高、更好的防护性能。 第四部分网络安全 另外，我们还建立了邮件防病毒网关(SymantecAntiVirusforSMTPGateways)，有效的防止 了电子邮件病毒在局骨干网中的大量传播。 2．3防火墙系统 中国气象局Internet网络是大多数用户访问因特网的唯一出口，鉴于该系统的重要性，我们采 用双机热备方式的CiscoPIX电路级网关防火墙，在进行内外网地址转换的同时，完成对内部局域 网络的安全保护。在全国卫星气象通信网络和GTS国际通信系统与骨干网络连接的边缘，同样也使 用了PIX防火墙。根据服务器提供服务功能的不同，设置相应的访问控制策略，实现Internet的安 全访问与控制。我们还构建了DMZ非军事化区(受防火墙安全防护的网络连接区)，将内网中需要对 网段，既加强了系统的安全性，还便于进行管理。正是由于增加了防火墙DMZ区的设置，成功的隔 离了黑客对某服务器进行的UDP拒绝服务(DOS)攻击，保障了内部业务网络的正常运行。随着防火 墙软、硬件产品的不断更新，业务需求与服务领域的不断拓宽，防火墙系统还有待于进一步的提高 性能和增强安全防护能力。 现有系统存在的问题及分析 从现有安全设施来看，CbiA骨干网络系统安全体系已基本形成。但是，随着计算机网络的日益 普及和广泛使用，各种安全威胁和计算机病毒也随之而来。近两年来，局Internet系统和局内多个 单位都发生过因为黑客入侵或网络病毒发作而影响业务系统正常运行的事件。因此，现有的网络安 全系统虽然起到了较好的防护作用，但并不能完全解决整个骨干网络系统的安全问题。 3．1直接或间接来自于Intern