架构相对安全的宁波水文信息网络.pdfVIP

架构相对安全的宁波水文信息网络 陈小健 (宁波市水文站,浙江宁波 315000) 摘要:本文通过对宁波水文信息网络的安全分析,找出宁波市水文信息网络存在的问题。提出 通过增加下些硬件设备及一些管理措施，解决目前存在的安全隐患，保证宁波市水文信息网 络的安全运行。 关键词:信息网络；安全分析；解决方法 中图分类号： P33 文献标识码：A 一、 绪论 随着互联网的应用越来越广泛，网络的安全已经成为一个潜在的巨大问题。网 络安全性是一个涉及面很广泛的问题，包括物理安全、网络安全、系统安全、信息 安全、应用安全和安全管理等。目前互联网中病毒和木马的数量正在以几何级数增 长，很多病毒利用操作系统底层安全性不足的缺陷，已经深入到系统内核层。黑客 人员利用技术手段，非法获得计算机的控制权，使合法用户私密信息被窃取，一些 很重要资料被破坏，造成不可挽回的损失。本文我们利用宁波市水文站的网络安全 情况进行分析，并对提出解决方法。 二、 宁波市水文站网络安全的重要性和紧迫性 根据国家计算机安全规定，宁波市水文站信息安全等级申报为二级，也就是指 导保护级，适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成 轻微损害，但不损害国家安全。近年来，宁波市水文站的网络发生多次恶性事故。 其中核心数据库曾被黑客攻占长达半个月之久，数据库被写入大量的垃圾信息，网 站被植入广告木马，致使水雨情发布系统几乎瘫痪。宁波市台风信息查询系统在开 发过程中也因为服务器被黑客攻占，所有台风数据都被删除，只能花费大量的人力 物力重新人工输入多年台风数据。核心数据的接收服务器是使用移动专线接入，服 务器直接暴露在公网上，也没有必要的安全措施，而这些数据是水利部门资料收集、 日常发布、防汛决策的基础，每时每刻受到被破坏的威胁。可见宁波市水文站网络 安全已经到了刻不容缓的地步。 三、 宁波市水文站网络安全的现状分析 宁波市水文站网络拓扑结构图 通过漏洞扫描和安全检查，发现宁波水文站资源发布区网络安全主要存在以下几个问 题： 1、网络架构不合理，缺少有效的安全措施（如图：宁波市水文站网络拓扑结构图）。整 个网络没有硬件防火墙，软件防火墙由于部分服务器部署在政务网内，升级端口被屏蔽，使 得病毒库得不到及时更新。所有的服务器没有设置相应的策略，关闭不用的端口及服务等。 2、公共资源发布服务器上部署了业务系统多太达7个，同时还有SQL2000、SQL2008、 MYSQL三个数据库软件。由于的业务应用程序较多，使机器负载过大，工作时段服务器CPU 使用率都在65%-90%之间，造成客户端访问应用服务太慢，机器负载如图1所示： 图1 3、通过AppScan、Nessus软件对WEB服务器进行安全检测，发现了一些较严重的安全 漏洞，如：电子欺骗、SQL 注入、信息泄露等严重的安全漏洞。 4、远程连接管理不规范。由于业务系统开发调试需要，服务器经常要进行远程连接。 服务器都开放了135、139、445、3389等容易被攻击的端口。检测过程中还发现有 2(北京IP)、4(郑州IP)、06(南京IP)利用这些端口 正在非正常远程连接本服务器（如图2所示）。 图2 5、没有专职专业的管理人员。平常由业务科室自行管理相应的应用服务器，管理非常 不规范，检测时发现有些服务器的日志文件已经非常大。应该是没有及时检查及清理日志文 件。 四、宁波水文信息网络安全解决方法 1、优化网络结构。 对现在的网络结构进行调整，增加部分设备。具体如下图。 2、增加硬件防火墙，设置相应的安全规则。 为加强网络安全，特增加硬件防火墙。对政务网及移动网内所有报务器交换机进 行保护。考虑到台风期间，宁波市水文站的网络访问量比较大。以每个用户需要10.5 个并发连接