電子政務(wù)外網(wǎng)接入氣象業(yè)務(wù)內(nèi)網(wǎng)的安全防護(hù)探究

牛翔宇，崔 巍，岳 勇

（1.寧夏回族自治區(qū)氣象信息中心，寧夏 銀川 750002；2.寧夏回族自治區(qū)氣象局，寧夏 銀川 750002）

1 寧夏氣象電子政務(wù)外網(wǎng)現(xiàn)狀

近幾年，本單位部門基于電子政務(wù)外網(wǎng)開展的業(yè)務(wù)服務(wù)工作不斷擴(kuò)大，除本單位部門特有的省級(jí)突發(fā)事件預(yù)警信息發(fā)布業(yè)務(wù)外，自治區(qū)各部門的政務(wù)管理、行政審批、政務(wù)辦公類應(yīng)用逐年增加，伴隨自治區(qū)政務(wù)大數(shù)據(jù)平臺(tái)建設(shè)的推進(jìn)，電子政務(wù)外網(wǎng)還將承擔(dān)自治區(qū)各部門間的數(shù)據(jù)共享相關(guān)業(yè)務(wù)。電子政務(wù)外網(wǎng)雖然是政府的業(yè)務(wù)專網(wǎng)，但其底層的網(wǎng)絡(luò)架構(gòu)是與互聯(lián)網(wǎng)相通的，使用邏輯隔離的方式加以區(qū)劃。因此，電子政務(wù)外網(wǎng)在理論上會(huì)受到來(lái)自互聯(lián)網(wǎng)的攻擊。

2 電子政務(wù)外網(wǎng)接入業(yè)務(wù)內(nèi)網(wǎng)帶來(lái)的安全威脅

2.1 來(lái)自物理方面的威脅

在電子政務(wù)外網(wǎng)接入業(yè)務(wù)內(nèi)網(wǎng)的過(guò)程中，計(jì)算機(jī)設(shè)備、儲(chǔ)存硬盤以及相關(guān)應(yīng)用程序等是維持網(wǎng)絡(luò)正常運(yùn)行的基礎(chǔ)媒介，機(jī)房的地址位置是否合理、是否配置防災(zāi)設(shè)備，是預(yù)防物理風(fēng)險(xiǎn)的措施保障。從實(shí)際調(diào)研來(lái)看，現(xiàn)如今氣象局機(jī)房存在拆封網(wǎng)絡(luò)設(shè)備包裝紙箱堆積機(jī)房的問(wèn)題，一定程度加大了火災(zāi)隱患。一般而言物理威脅主要表現(xiàn)在偷竊、電源故障、硬盤故障以及各種不同利益組織服務(wù)的間諜活動(dòng)等方面[1]。

2.2 來(lái)自網(wǎng)絡(luò)方面的威脅

電子政務(wù)外網(wǎng)在訪問(wèn)氣象業(yè)務(wù)內(nèi)網(wǎng)時(shí)，容易在網(wǎng)絡(luò)運(yùn)行階段產(chǎn)生安全威脅，現(xiàn)如今電子竊聽技術(shù)已發(fā)展到一定規(guī)模，在很大程度上威脅到網(wǎng)絡(luò)信息安全，此技術(shù)能夠截取網(wǎng)絡(luò)上的各種信息，如果被不法分子利用，很容易造成利益損失。再有，入侵者可以通過(guò)設(shè)置解調(diào)器進(jìn)入到Internet中，或進(jìn)入到部門內(nèi)網(wǎng)中竊取情報(bào)，同時(shí)現(xiàn)階段網(wǎng)絡(luò)上還存在一些冒名頂替情況，如網(wǎng)絡(luò)黑客混在其中做一些非法活動(dòng)，對(duì)網(wǎng)絡(luò)安全造成了極大的威脅。

2.3 來(lái)自身份鑒別方面的威脅

當(dāng)工作人員從外網(wǎng)訪問(wèn)內(nèi)網(wǎng)時(shí)，需要進(jìn)行身份鑒別，信息系統(tǒng)對(duì)用戶信息進(jìn)行分析以此判斷其合法性，符合要求后授予應(yīng)用權(quán)限。由于此功能的特殊性質(zhì)，現(xiàn)如今電子政務(wù)外網(wǎng)以及氣象業(yè)務(wù)內(nèi)容都會(huì)設(shè)置身份鑒別，但實(shí)現(xiàn)形式呈現(xiàn)出差異化的效果，有的身份鑒別方式功能強(qiáng)大，而有的身份鑒別方式則相對(duì)脆弱[2]。

2.4 來(lái)自計(jì)算機(jī)病毒方面的威脅

網(wǎng)絡(luò)病毒通常以代碼形式出現(xiàn)，具有自行復(fù)制功能，能夠感染完好程序，如惡意軟件、僵尸木馬、Web Shell等，病毒的破壞力極強(qiáng)，會(huì)對(duì)網(wǎng)絡(luò)造成極大的威脅。又因?yàn)殡娮诱?wù)外網(wǎng)的用戶群體覆蓋規(guī)模大，容易被別有用心之徒利用。通常網(wǎng)絡(luò)病毒種類繁多且侵入形式復(fù)雜多樣，需要做好預(yù)防。

2.5 來(lái)自系統(tǒng)漏洞方面的威脅

電子政務(wù)外網(wǎng)在接入業(yè)務(wù)內(nèi)網(wǎng)的過(guò)程中，如果用戶群體被網(wǎng)絡(luò)攻擊，就會(huì)出現(xiàn)大量的安全威脅，很可能影響到本單位部門網(wǎng)絡(luò)正常運(yùn)行。社會(huì)中的不法分子通常會(huì)通過(guò)探測(cè)來(lái)掃描端口漏洞，之后利用Oday、Web攻擊等方式突破邊界，通過(guò)持續(xù)滲透來(lái)獲取權(quán)限，以此方式安裝惡意軟件或病毒等程序，最后通過(guò)遠(yuǎn)程控制、跳板攻擊方式竊取破壞重要文件信息并清除痕跡。通常借助系統(tǒng)漏洞，黑客可以篡改部門網(wǎng)站，就電子政務(wù)外網(wǎng)環(huán)境來(lái)說(shuō)，其用戶群體非常龐大，如果網(wǎng)站信息被篡改而生成敏感內(nèi)容，就容易形成政治事件，最終對(duì)政府權(quán)威造成影響，不利于信息化電子政務(wù)事業(yè)的推進(jìn)[3]。

2.6 來(lái)自電磁技術(shù)的威脅

如果黑客非法使用電磁技術(shù)來(lái)獲取業(yè)務(wù)內(nèi)網(wǎng)的信息數(shù)據(jù)，將會(huì)直接影響到單位機(jī)房中的計(jì)算機(jī)硬件。運(yùn)行一段時(shí)間的信息系統(tǒng)會(huì)產(chǎn)生電磁場(chǎng)，而一些設(shè)備和技術(shù)可以利用電磁場(chǎng)在一定范圍內(nèi)獲取信息系統(tǒng)泄漏的電磁信息，而如果處于某種特殊環(huán)境，甚至能夠破壞信息系統(tǒng)的功能。

2.7 來(lái)自內(nèi)部人員的威脅

一般來(lái)說(shuō)，為保證網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，單位需要配置對(duì)應(yīng)的網(wǎng)絡(luò)管理人員，履行規(guī)劃網(wǎng)絡(luò)、管理網(wǎng)絡(luò)設(shè)備、接入網(wǎng)絡(luò)、故障維護(hù)、用戶管理等工作，而如果網(wǎng)絡(luò)管理人員自身素質(zhì)、能力不滿足工作標(biāo)準(zhǔn)，未端正工作態(tài)度、不能很好地履行自己職能，就會(huì)提高網(wǎng)絡(luò)風(fēng)險(xiǎn)以及設(shè)備故障率。

3 氣象局業(yè)務(wù)內(nèi)網(wǎng)安全防護(hù)措施

3.1 密碼保護(hù)

首先從物理保護(hù)層面，對(duì)服務(wù)器多余的外界接口等一并禁用，并將封條粘貼在機(jī)箱上，或?qū)C(jī)箱上鎖保護(hù)，為服務(wù)器穩(wěn)定運(yùn)行提供保障，設(shè)置密碼保護(hù)，密碼的主要功能就是提高賬戶安全性，屬于二級(jí)賬號(hào)密碼，為提高服務(wù)器安全性，需要針對(duì)所有服務(wù)器設(shè)定密碼防護(hù)并制定賬戶鎖定策略，而且密碼應(yīng)定期更改[4]。在運(yùn)用網(wǎng)絡(luò)設(shè)備時(shí)應(yīng)保證工作人員只有輸入密碼才能開機(jī)，設(shè)置BIOS密碼，同時(shí)管理員賬戶設(shè)限，非專業(yè)人員不可訪問(wèn)。在日常工作中，設(shè)立多個(gè)管理員分級(jí)管理賬號(hào)，根據(jù)賬號(hào)權(quán)限選擇對(duì)應(yīng)管理員。而針對(duì)路由器密碼保護(hù)，Wi-Fi密碼設(shè)置盡量使用字母、數(shù)字和字符組成的密碼，這種密碼強(qiáng)度高，不易被破解。為路由器設(shè)置Wi-Fi密碼建議使用WPA2-PSK的安全模式，建議為路由器設(shè)置單獨(dú)的密碼，要與Wi-Fi密碼有所區(qū)別。越多的組合提供了更多的可能性，增大了密碼破解的難度，建議增加密碼字符個(gè)數(shù)和復(fù)雜性。

在設(shè)置密碼保護(hù)時(shí)，結(jié)合現(xiàn)階段時(shí)代發(fā)展特點(diǎn)，選擇合適的密碼保護(hù)形式，例如，USB Key是一種USB接口的硬件設(shè)備，內(nèi)置單片或智能卡芯片，能夠儲(chǔ)存用戶私鑰和數(shù)字證書，通過(guò)USB Key內(nèi)置的公鑰算法可以認(rèn)證用戶身份。由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無(wú)法讀取，能夠保證用戶認(rèn)證時(shí)的安全性；而SSL可以方便安全地實(shí)現(xiàn)加密數(shù)據(jù)包傳輸，HTTP、ETP、POP3等從本質(zhì)來(lái)看具有風(fēng)險(xiǎn)性，而用戶使用支持SSL協(xié)議的方式輸入口令進(jìn)行登錄，HTTPS、SFTP等協(xié)議能夠防止嗅探器監(jiān)聽，進(jìn)行獲取網(wǎng)絡(luò)數(shù)據(jù)和口令。

3.2 關(guān)閉遠(yuǎn)程桌面及遠(yuǎn)程協(xié)助

遠(yuǎn)程協(xié)助是在網(wǎng)絡(luò)上由一臺(tái)計(jì)算機(jī)遠(yuǎn)距離去控制另一臺(tái)計(jì)算機(jī)的技術(shù)。在遠(yuǎn)離辦公室的地方通過(guò)網(wǎng)絡(luò)對(duì)計(jì)算機(jī)進(jìn)行遠(yuǎn)程控制，即使主機(jī)處在無(wú)人狀況，遠(yuǎn)程桌面仍然可以順利進(jìn)行，遠(yuǎn)程用戶可以通過(guò)這種方式使用計(jì)算機(jī)中的數(shù)據(jù)、應(yīng)用程序和網(wǎng)絡(luò)資源。而一般來(lái)說(shuō)，用戶利用網(wǎng)絡(luò)遠(yuǎn)程協(xié)助有助于提高工作效率，為工作提供方便，通過(guò)遠(yuǎn)程控制功能可以輕松地實(shí)現(xiàn)遠(yuǎn)程辦公，這種遠(yuǎn)程辦公方式新穎、輕松，從某種方面來(lái)說(shuō)可以提高員工的工作興趣；網(wǎng)絡(luò)管理員或者普通用戶可以通過(guò)遠(yuǎn)程控制技術(shù)可為遠(yuǎn)端的計(jì)算機(jī)安裝和配置軟件、下載并安裝軟件修補(bǔ)程序、配置應(yīng)用程序和進(jìn)行系統(tǒng)軟件設(shè)置。但在實(shí)際運(yùn)行中容易被別有用心之徒利用，單位應(yīng)該結(jié)合實(shí)際情況適當(dāng)關(guān)閉無(wú)用的遠(yuǎn)程協(xié)議，禁止遠(yuǎn)程功能員工使用，以此避免部分未授權(quán)人員隨意竊取、查看服務(wù)器終端資料。遠(yuǎn)程協(xié)助所附帶的危險(xiǎn)性較高，如果對(duì)方未明確身份，不可應(yīng)用遠(yuǎn)程協(xié)助來(lái)交互工作[5]。

3.3 建立資產(chǎn)、信息登記

應(yīng)注冊(cè)和登記接入內(nèi)網(wǎng)的用戶信息，一旦產(chǎn)生安全問(wèn)題，確保能夠及時(shí)對(duì)用戶進(jìn)行定位。如果有用戶登記注冊(cè)，應(yīng)對(duì)其隔離處理。應(yīng)收集客戶端與安全相關(guān)的一些系統(tǒng)信息，比如操作系統(tǒng)版本、操作系統(tǒng)補(bǔ)丁、軟硬件變動(dòng)等，結(jié)合所收集的信息來(lái)整理分分析，實(shí)時(shí)掌握內(nèi)網(wǎng)的安全性。

3.4 安裝網(wǎng)絡(luò)版殺毒軟件與防火墻

在應(yīng)用網(wǎng)絡(luò)辦公的過(guò)程中，很容易遭受病毒的威脅，病毒形式復(fù)雜多樣，工作人員有必要定時(shí)更新病毒庫(kù)與殺毒軟件，將病毒的威脅性降到最低，同時(shí)對(duì)網(wǎng)絡(luò)防火墻需要進(jìn)行升級(jí)，降低系統(tǒng)漏洞。因此，在電子政務(wù)外網(wǎng)接入氣象業(yè)務(wù)內(nèi)網(wǎng)階段，在網(wǎng)絡(luò)邊界位置應(yīng)安裝防火墻、以及入侵防御和防病毒網(wǎng)關(guān)，并保證功能被合理化使用。一般可在靠近網(wǎng)絡(luò)邊界部位設(shè)置防火墻，之后設(shè)置入侵防御系統(tǒng)，在其內(nèi)設(shè)置防病毒網(wǎng)關(guān)，這種方式有助于提高設(shè)備性能，通過(guò)這種配置也能降低防病毒網(wǎng)關(guān)壓力，提高網(wǎng)關(guān)性能。防火墻在外層能夠?qū)M(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過(guò)濾，并對(duì)網(wǎng)絡(luò)行為進(jìn)行限制，以此最大程度地抵擋網(wǎng)絡(luò)攻擊。工作人員在應(yīng)用網(wǎng)絡(luò)時(shí)可以使用入侵防御系統(tǒng)分析這些網(wǎng)絡(luò)行為，如檢測(cè)到存在外部入侵行為則及時(shí)隔斷；防病毒網(wǎng)關(guān)將會(huì)對(duì)防火墻與入侵防御系統(tǒng)的數(shù)據(jù)、流量進(jìn)行查殺[6]。

另外有必要在網(wǎng)絡(luò)設(shè)備中安裝補(bǔ)丁、防毒系統(tǒng)。工作人員如果在網(wǎng)上辦公的過(guò)程中濫裝軟件，就容易給網(wǎng)絡(luò)帶來(lái)安全威脅。

3.5 記錄系統(tǒng)日志

日志簡(jiǎn)單來(lái)說(shuō)就是系統(tǒng)行為記錄，通過(guò)日志能夠查詢到用戶訪問(wèn)網(wǎng)絡(luò)所生成的行為事件。想要充分發(fā)揮日志作用，需要為其設(shè)置大容量存儲(chǔ)空間，調(diào)整儲(chǔ)存路徑，確保定期記錄儲(chǔ)存日志，設(shè)定記錄內(nèi)容。另外，為保障政務(wù)外網(wǎng)接入業(yè)務(wù)內(nèi)網(wǎng)后的安全性，單位有必要根據(jù)網(wǎng)絡(luò)合理劃分安全區(qū)域。對(duì)辦公局域網(wǎng)設(shè)置安全防護(hù)區(qū)域，主要分四個(gè)區(qū)域，即對(duì)外接入?yún)^(qū)、核心交換區(qū)、應(yīng)用管理區(qū)以及終端接入?yún)^(qū)。

3.6 終端審計(jì)

為合理部署客戶端，有必要運(yùn)用準(zhǔn)入控制技術(shù)來(lái)解決相關(guān)問(wèn)題，首先是落實(shí)準(zhǔn)入控制，并在終端向網(wǎng)絡(luò)訪問(wèn)的必經(jīng)位置布設(shè)檢查點(diǎn)，對(duì)訪問(wèn)網(wǎng)絡(luò)的終端進(jìn)行檢查，確定是否存在客戶端軟件，通過(guò)準(zhǔn)入控制有助于對(duì)網(wǎng)絡(luò)設(shè)備的安全性和管理現(xiàn)狀進(jìn)行監(jiān)督控制，將不安全因素進(jìn)行隔離并修復(fù)。終端管理一般可使用準(zhǔn)入控制來(lái)實(shí)現(xiàn)其功能，在此基礎(chǔ)上，能夠有效完善部署終端管理產(chǎn)品的效率和質(zhì)量，避免終端管理出現(xiàn)盲點(diǎn)，為安全防護(hù)內(nèi)網(wǎng)提供技術(shù)保障。在進(jìn)行終端管理工作時(shí)，將防火墻、網(wǎng)絡(luò)交換器、終端管理服務(wù)器統(tǒng)一應(yīng)用，對(duì)終端用戶進(jìn)行準(zhǔn)入認(rèn)證查驗(yàn)，所有的終端用戶在接入內(nèi)網(wǎng)時(shí)需要進(jìn)行申請(qǐng)，同時(shí)進(jìn)行病毒查殺，在得到用戶名和密碼后，方可接入網(wǎng)絡(luò)并應(yīng)用其中的資源。在核心交換機(jī)上旁路設(shè)置準(zhǔn)入控制系統(tǒng)，監(jiān)控網(wǎng)絡(luò)接入后的用戶行為，實(shí)行審批認(rèn)證制度，確保網(wǎng)絡(luò)邊界完整性，避免非授權(quán)終端接入網(wǎng)絡(luò)。

4 防火墻在氣象業(yè)務(wù)內(nèi)網(wǎng)的應(yīng)用策略

防火墻采用雙向的行為檢測(cè)技術(shù)，對(duì)局域網(wǎng)中服務(wù)器及終端的外發(fā)流量進(jìn)行多個(gè)維度的安全檢測(cè)，通過(guò)惡意鏈接檢測(cè)、木馬遠(yuǎn)控檢測(cè)、基于應(yīng)用防火墻的寧夏電子政務(wù)外網(wǎng)安全保護(hù)技術(shù)研究與實(shí)現(xiàn)常流量檢測(cè)、標(biāo)準(zhǔn)端口異常協(xié)議檢測(cè)等檢測(cè)技術(shù)，可以快速定位僵尸主機(jī)，及時(shí)發(fā)現(xiàn)由于邊界被突破帶來(lái)的安全風(fēng)險(xiǎn)；通過(guò)外發(fā)異常流量監(jiān)測(cè)、網(wǎng)頁(yè)篡改監(jiān)測(cè)、黑鏈檢測(cè)等檢測(cè)技術(shù)確定業(yè)務(wù)系統(tǒng)是否已被攻擊；通過(guò)應(yīng)用級(jí)的防護(hù)策略，及時(shí)阻斷網(wǎng)絡(luò)攻擊行為，為局域網(wǎng)提供實(shí)時(shí)在線封堵漏洞的實(shí)施方案。

5 結(jié)束語(yǔ)

電子政務(wù)外網(wǎng)在接入氣象業(yè)務(wù)內(nèi)網(wǎng)的過(guò)程中存在一定的安全風(fēng)險(xiǎn)，特別是網(wǎng)絡(luò)病毒的侵襲會(huì)對(duì)業(yè)務(wù)網(wǎng)絡(luò)中的信息資源造成嚴(yán)重影響，需要做好防護(hù)措施，本文主要采用密碼保護(hù)、關(guān)閉遠(yuǎn)程桌面及遠(yuǎn)程協(xié)助、建立資產(chǎn)與信息登記、安裝網(wǎng)絡(luò)版殺毒軟件與防火墻、終端審計(jì)等方式來(lái)對(duì)內(nèi)網(wǎng)提供安全防護(hù)。■