1、概论气象网站安全隐患及解决方法摘要:网站安全是一项复杂的,长期的系统工程,采取上述的安全措施虽能有效提高其安全性能,但不是一劳永逸的,新的网络技术不断出现,黑客的攻击手段不断翻新,系统漏洞也层出不穷,要想使气象信息网站真正的安全必须让安全制度贯穿在整个网站建设之中,使其时刻的谨记人们的心中。 关键词:网站安全;系统安全;信息安全;黑客;防火墙;数据库 中图分类号: TU714 文献标识码: A 前言:气象部门是一个具有一定气象行政管理职能而又承担着为整个社会公共服务和防灾减灾的重任的部门。气象信息网站作为气象部门形象宣传和信息服务的载体,在一定程度上既有政府网站的特征,又有公共信息服务网站的特
2、征。气象网站虽不会成为黑客攻击的主要目标,但也不乏某些别有用心的黑客和病毒程序的攻击,其安全隐患不容小视。 网站安全的概念 1.1 网站安全目前已经成为一个涵盖多个不同学科的综合性的学科,它包括“通信技术” “网站技术” “计算机软件” “硬件设计技术” “密码学”网站安全与计算机安全技术等。网站安全攻击与防范这对矛盾的相互作用让网站安全逐渐的发展起来。网站安全主要是指在利用网站的管理以及技术措施来保证数据信息的机密性、完整性及可使用性。网站安全的主要目标是:保证在经过网站传输的的信息在到达其他路径的时候没有任何的改变、增加等修改。网站的安全性问题实际上包括两方面的内容,一是系统安全,二是信息
3、安全。 1.2 网站安全的现状 根据 CNCERT/CC(国家互联网应急中心)统计报告显示,20H 年中国境内被篡改网站数量累计为 36612 个,较 2010 年略增 5.1%。由此可见,网站的攻击活动每年都在增长,我们在网站安全方面存在着重大的隐患。气象网站随着气象数据量的日益增大,网站安全也变得更加重要,网站安全问题解决不好随时都会被黑客攻击,导致网站数据被毁,造成难以估量的损失。 影响气象信息网站的安全因素 气象信息网站的安全因素从内容上分有技术上的,管理上的;从技术角度具体来说主要有四方面问题。 网站系统软件自身的安全问题 网站系统软件的自身安全与否直接关系网站安全,网站系统软件的安
4、全功能较少或不全,以及系统设计时留下的“破绽”,都埋下了网站安全隐患。 (1)操作系统本身不安全的体系结构。 (2)操作系统的一些功能带来的不安全因素,例如 FTP 等。 (3)操作系统可创建进程,甚至支持远程创建进程与激活,及子进程可以继承创建进程的权利。 (4)操作系统运行时,些系统进程等待某些条件来触发并执行,这都是“黑客”可以利用的。(5)操作系统安排的无口令入口,及隐蔽信道也是很危险的。 2.2 网站系统中数据的安全问题 气象信息网站中的数据库系统中存放着大量重要的信息资源,在用户共享资源时可能会出现以下现象:授权用户越权操作,非法用户绕过安全内核,窃取信息资源等。因此提出了数据库安
5、全问题,也就是要保证数据的安全可靠和正确有效。 数据的安全性、完整性和并发控制三方面作为数据保护的主要对象。数据的安全性就是保证数据库不被其他的人肆意的破坏和存取。数据的完整性是防止数据库中存在不符合语义的数据,以及防止由于错误信息的输入、输出而造成无效操作和错误结果。并发控制的数据库实在多个用户通过网站并发的存取数据的情况,倘若不并发控制就会影像数据库的一致性问题。 网站安全管理问题 一方面,网站缺少安全管理员,缺少技术规范,缺少定期的安全测试与检查,更缺少安全监控,另一方面,由于网站是由各种服务器、工作站、终端等集群组成,并各自运行着不同的系统,所以整个网站又继承了他们各自的安全隐患。 其
6、他威胁网站安全的典型因素 其他威胁网站安全的典型因素如下: 2.4.1 计算机黑客 依据 Financial Times 的统计,全球平均每 20 秒钟就有一个网络遭到入侵。目前主要的入侵形式有数据包嗅探器、IP 欺骗、拒绝服务攻击、应用程序层攻击、网络侦察等等。到目前为止,还没有哪一个网络能够免受黑客的入侵。黑客攻击的典型步骤有三步:窥视、外围侦察、寻找内部落脚点。侵入者对目标系统的伤害主要有以下几方面:非法使用资源、盗窃数据、恶意破坏等。 2.4.2 内部攻击 据估计,有 80%的攻击来自于内部人员,这些攻击可能是有意识的恶意攻击,也可能是有内部网络上的病毒所为。 2.4.3 程序共享造成
7、的冲突 共享同一程序可能会造成死锁、信息失效或文件不正确的开关状态。2.4.4 计算机病毒 出于网站的设计目标是资源共享,所以网站是计算机病毒滋生和发育的理想家园。 气象信息网站安全防范 气象信息网站安全既要遵守标准的网站安全规则,采取通行的安全措施,又要结合实际工作和安全需求,确定可行的网站安全防范的方法、措施。气象信息网站目前主要分为政务网、农经网、专业气象网、防雷防雹减灾网、卫星遥感网、气象科普网等等,某些气象数据属于保密数据或者仅供局部用户使用,安全要求较高。气象信息网站的安全需求就是网站能提供正常稳定的不间断服务,服务的信息要符合国家的相关法律规定并且在传输过程中不会被改变、窃取、网
8、站要有严格的身份验证体系,网站的一切资源(包括软硬件)不会被非法用户使用和占有。 从一个网站管理技术人员的角度,我们要提升气象信息网站的安全性能要从系统安全、数据安全两个方面出发,提升操作系统、数据库、应用程序的安全以提高网站的总体安全性能。 3.1 系统安全措施 系统安全主要是指服务器操作系统及其他应用软件的安全性,以下笔者以 WIN2K + IIS + SQLSERVER 的网站环境为例,指出提升其安全性能的主要措施。 (1)升级操作系统 操作系统的漏洞往往成为黑客攻击的突破口,并屡屡得手,所以应当及时升级操作系统,安装最新的补丁程序。一般正版的操作系统都能到其官方网站上下载安装补丁。值得
9、一提的是,非法的补丁程序链接下载可能会成为新的安全隐患,所以一定要到正规的网站上下载补丁。 (2)加强系统的安全配置 操作系统原始配置的安全性是相当低下的,漏洞较多,尤其是对于WINDOWS 系列,黑客很容易攻击得手。 3)安装杀毒及防火墙软件 杀毒软件的重要性不必赘述。目前防火墙软件无论从数量上还是质量上都有了长足的进步,一般防火墙软件都具有漏洞扫描修复、网络活动实时监控、网络攻击报警,设置 IP 规则等功能,急大地提高了网站的安全性。通过设置 IP 规则可以封闭端口,限制指定 IP 访问等等, IP 规则越多,则系统就越安全。目前的大多数杀毒软件都附带个人防火墙软件,对于小型网站的服务器端
10、同样适用,而且还提供网上升级服务。 3.2 数据安全措施 数据库的安全是数据安全的核心,来自数据库的安威胁主要是 DOS 及通过数据库提升权限进而攻击系统、SQL 注入等,所以应该加强 Sql Server 的配置,并经常对数据库进行备份。 数据库做为信息存储载体,一旦出现问题将导致网站无法正常工作,尤其是对于信息服务的动态,将失去起价值。所以数据库的备份将起到至关重要的作用。最保险的数据库备份方式就是采取磁盘镜像的方式,可以采取软镜像的方式也可以采取阵列卡的形式,软件方式具有成本低,操作简单的特点,是数据库备份的首选。 结语:做好计算机硬件维护与管理应用尤为重要,我们只有制定科学有效的维护应用策略,遵循科学应用维护原则,做好资源分配、科学应用系统还原功能、完善主机系统以及硬盘的保护,方能提升计算机硬件工具整体安全可靠性,为计算机运行应用创设优质环境,进而延长各类硬件工具应用寿命,发挥优质运行服务价值。 参考文献: 1符凤平 Web 网站安全技术分析田.计算机系统应用,2008,(12):162 一 165. 2庄小叶.基于 ASP 的网站安全性探究田.山东纺织经济,2012,(7):85 一 86. 3骆耀祖龚洵禹 动态网页设计教程广州 中山大学出版社 4甘华春.计算机硬件维护的关键问题探析田.计算机光盘软件与应用,2ml,11.
