摘要 在信息技术支撑下,气象事业实现信息化和现代化,当前已经成功构建气象信息化体系。气象信息化建设过程中,如何在开放共享的同时确保安全可靠是需要重点探究的问题。重点探讨了气象信息化建设过程中的网络防护体系,具体措施:一是划分网络安全区域,二是增强网络边界防御能力,三是实现远程访问设备的科学部署,四是健全网络安全管理制度,五是完善服务器及终端防护,以供参考。
关键词 气象信息化;
网络防护;
网络安全
中图分类号:P409 文献标识码:B 文章编号:2095–3305(2023)02–0136-03
在提高气象服务水平的过程中,实现气象信息化是至关重要的,并要坚持以信息化推进现代化,促使气象服务达到先进水平。当前,气象信息化建设方面取得了较好的成效,甚至是已经初步实现“智慧气象”。按照国家信息化发展战略,在气象信息化建设过程中必须高度重视网络防护体系,目的是确保气象信息可以实现开放共享,处于安全可靠状态。因此,十分有必要探究气象信息化建设过程中的网络防护体系相关问题。
1 气象信息化建设的成效
当前的气象信息化建设取得了良好的成效,达到先进水平。气象信息化建设的成效可以体现在以下4个方面。
首先,气象信息化依托当前的信息技术手段,尤其是大数据和互联网,形成“互联网+”气象服务,推动着气象服务实现现代化和智慧化。所构建的气象信息化体系具备三大特点:一是绿色安全,二是集约高效,三是功能齐全。在这一基础上,气象服务工作可以高质量推进,满足新时期气象服务工作的要求,完成气象业务转型升级。
其次,在气象信息化建设过程中,注重信息基础设施的建设,主要是云平台、气象大数据云平台,各种信息技术可以发挥好支撑作用,促使气象信息化体系有效开展作业[1]。与此同时,气象信息化体系中会有开放共享数据体系,实现气象数据的整合与分享,气象数据可以实现跨界应用,为各行各业提供服务。
再次,气象信息化建设过程中形成健全的气象业务体系,可以提高气象服务的服务水平,同时可以实现气象管理的现代化。不过在此过程中,如何进一步提高数据保障的针对性、有效性还应进一步做好研究,做好国家重大战略气象保障。
最后,在气象信息化建设过程中,网络安全至关重要,当前已经初步建立起共治共用的网络安全体系,注重多种网络安全技术的应用,能够确保气象信息化的安全,保障气象信息安全[2]。不过,气象信息化的网络安全容易受到多种因素的影响,因此实际开展的网络安全防护实则有较大的安全隐患,后续还必须进一步提高气象信息化体系的安全性,持续性地完善信息化发展保障体系,对各类安全隐患实施主动防控。
2 气象信息化建设中的网络安全问题
2.1 网络边界安全问题
气象信息化建设及服务中,气象内部专网会接入外部运营商的互联网,同时会有电子政务网、行业专网。在省级、市级、县级的气象数据传递过程中,会互相连接气象业务宽带网和办公互联网。也正因如此,气象数据传输会经过不同的网络区域,容易受到外部网络的渗透与干扰,如果未能进行有效的安全管理及防护,极易遭受黑客的访问,涉及网络边界安全的问题。目前,气象信息化建设过程中的网络安全建设还存在不足之处,未能有效解决网络边界安全问题,或者是未能有效部署相关网络安全设备,难以保障气象数据传递与共享过程中的绝对安全。
2.2 互联网远程访问安全问题
在开展气象业务的运行及服务过程中,如果业务服务器及终端是外部公司运维,数据通信时需要由外部公司网络接入气象内网。在此基础上,可以采取QQ远程的方式,也可以借助Teamviwer远程客户端的方式,均可以達到数据通信的目的。当无论是采取何种方式,通信方式的服务器均是外网服务器,当服务器被黑客攻破,便会渗透至气象信息化内网环境,气象数据的保密性将不复存在,导致气象数据被严重泄露。此外,气象信息化体系无法有效监视远程访问行为,甚至是无法有效对远程访问行为进行限制和管理,当无法找到远程访问的主机时,则会出现网络安全事故的风险大大增加,且会处于被动防御的状态中。
2.3 服务器及终端网络安全问题
在服务器及终端网络的安全防护中,Windows系统极易受到病毒的侵袭,未能及时消除时可能造成整个服务器及终端出现故障。当气象服务的主机设备感染病毒,实际运行过程中会出现网络中断的情况,或者会出现操作系统内部的内存利用率达到峰值的情况,均难以确保气象信息化体系的安全运行和高效运行[3]。当前可使用的杀毒软件较多,但杀毒效果参差不齐,若没有及时更新杀毒软件,杀毒软件病毒库会比较旧,难以有效进行病毒查杀,导致气象信息化体系处于不安全运行状态。例如,当气象信息化的服务器感染“挖矿”病毒后,可能会导致服务器的CPU达到峰值,正常的气象业务难以开展,自然影响到气象信息化体系的服务质量。除此之外,在气象信息化的服务器运行过程中,一些危害性较大的病毒可造成严重后果,轻则会导致服务器出现反复关机的情况,重则会导致主机文件消失,或是被加密,对气象信息化服务造成不良影响。
3 气象信息化建设中的网络防护体系
3.1 实现网络安全区域的划分
气象信息中心机房局域网内详细划分网络安全区域,包括安全管理区、隔离交换区、业务内网区、气象宽带网区。
业务内网区可以设置在网络安全区域的公共连接处,实现气象业务数据与互联网的数据的交换。业务内网区可以连接安全管理区、隔离交换区、气象宽带网区,内部所打造的气象数据环境和体系能够实现气象信息的多种处理工作,主要是气象信息的收集、处理、存储及分发[4]。在实际工作中,气象数据中心可以在互联网、气象宽带网区的支持下,完成气象数据信息的收集,内网业务区的局域网可以完成气象数据信息的传递和共享,气象服务中心、气象台可以获得所需要的气象数据。
安全管理区需要接入核心网络区域,主要是依赖于网络线路旁路。如此一来,可以有效实现办公区、业务区之间的访问控制及管理,确保气象数据信息访问的安全性。与此同时,安全管理区可以审计核心网络区的气象数据信息,主要是气象的日志信息和数据库,若网络环境内部的服务器和终端设备出现病毒风险,则可以及时查杀和修复,确保服务器、终端设备处于安全运行状态。
隔离交换区需要布置在外部网络、内网业务之间,从而实现内部和外部数据的中转交换。外部网络需要接入各个运营商的互联网专线,互联网交换区可以提供所需要的端口流量接入,满足外部业务的实际需求。除此之外,在实现气象数据的隔离区与互联网之间的单向数据交换时,应提供SSL-VPN通道加密通讯协议的流量接入。
气象宽带网区可以建立在内网业务区和外部网络区域之间,实现省级、市级及县级之间的气象数据信息交换。为了切实提高数据信息交换过程中的安全性,应在气象宽带网中建设网络安全防护设备,有效地访问控制气象数据的传输过程,及时发现并处理所存在的安全隐患。
3.2 增强网络边界防御能力
在气象信息化建设过程中,网络边界防御直接关乎网络安全水平,所以要提高网络边界防御水平,切实维护好气象业务的安全、可靠。目前来看,气象内网的边界防御较为复杂和专业,不过也积累了一些较为成熟的网络边界防御经验。例如,在省级气象内网服务过程中,气象内网会与电子政务网、运营商互联网、行业专网、气象业务宽带网实现有效的连接,并且根据业务特点可以在内部部署防火墙,如此一来,可以有效管理控制路由及访问策略[5]。
此外,为了提高网络边界防御的水平,可以考虑在互联网链路上部署入侵监测与入侵防御设备。气象信息化服务过程中,一些重要业务可能需要开放至互联网的端口,在防火墙上进行端口转换,借助特殊端口可以确保气象服务不受到外部网络扫描,从而确保气象信息的安全性,达到网络安全防护的效果。在外网主机访问内网主机这一过程中,为了提高用户的访问审计质量,应利用好堡垒机,监控预警网络流量时可以考虑使用网络安全态势感知设备。在网络安全态势感知设备的支持下,内网和外网的所有访问流量可以镜像至态势感知设备中,此时通过分析可以发现流量是否病毒,及时查找存在安全隐患的主机,并消除所存在的安全隐患。对于办公区和业务区而言,两者之间可以部署网络设备,从而将内、外网络之间的逻辑隔离,避免外部网络进入到内网,从源头上隔断风险。
3.3 实现远程访问设备的科学部署
在气象信息化的网络防护体系建设中,要消除远程访问设备所诱发的各类风险,对远程访问实施实时监控管理。气象部门应考虑在互联网DMZ区域部署SSL-VPN设备,为发挥出SSL-VPN设备的最大效能,必须使用专用加密通讯协议。通过长时间的应用过程中发现,如果在互联网DMZ区域部署SSL-VPN设备,可以很好地确保内网络访问的安全性,对管理外部访问也十分有利。气象部门如果想要访问内网,则必须先登录SSL-VPN设备,借助VPN有效打通外部网络至内部网络的网络连接通道,在发挥态势感知设备、上网行为管理设备的管理作用基础上,远程访问可以被实时监控,一切的风险因素和行为都可以得到有效的监控和消除。
后续在使用VPN设备时,执行人员需要向领导部门提出申请,只有在获得批准后才可以离线安装、登录用户名及密码,并且整个操作过程必须在互联网外完成,确保气象数据信息的安全,不出现信息泄露的问题[6]。互联网出口所部署的远程VPN服务,应始终由内部工作人员进行远程访问。在这一过程中,应采用USB-key进行认证,对存在安全隐患的各种行为都应严加限制,避免风险因素危害到气象信息化体系。除此之外,远程访问行为必须进行全过程的记录与审计,并全过程检测VPN客户端设备,及时发现所存在的异常行为,避免危险因素对气象信息化体系造成不良影响。
3.4 健全网络安全管理制度
气象信息化建设过程中应不断健全网络安全管理制度,发挥出制度优势,确保气象信息化体系的安全。在健全网络安全管理制度的过程中,可以重点从4个方面入手:一是人员管理,二是资产管理,三是数据及介质管理,四是网络安全值班防护。
在人员管理方面,相关部门应建立起责任人制度,确保气象信息化体系的安全管理始终都有责任人,避免出现“无人管”或“多人管”的问题。重要岗位的工作人员,必须签订安全保密协议、责任书,将网络防护的责任落实落细,从人的不安全行为上入手,以此达到网络安全管理的目的。
在资产管理方面,相关部门要结合实际情况不断完善资产管理的相关制度,如要建立起固定资产盘点工作制度。在资产管理过程中,可以考虑配置条码打印机和条码数据采集器,更有效地推进资产盘点工作,将打印出的条码粘贴到实物资产上。固定资产盘点人员应具备专业性,同时有责任心和道德約束,可以按照要求认真做好自己的本职工作。在固定资产的盘点过程中,外部监督人员应发挥好自身职能,有效监督一切的行为,工作完成后形成资产盘点报告,并按照要求做好数据信息的归档处理。
在数据及介质管理方面,相关部门应结合实际情况建立起气象数据共享接口、数据备份管理系统,确保气象数据信息的管理始终处于有效状态。备份气象数据信息时,可以考虑使用电子政务云,但必须确保气象数据信息备份时的安全与可靠。
在网络安全值班防护方面,应持续性地完善内部的网络安全值班制度,将相关职责落实到具体的人员身上,并实施PDCA循环管理。定期对网络安全环境进行自查,及时处理所有无法满足网络安全防护要求的技术性问题、管理性问题及操作性问题,尤其要及时消除技术漏洞,避免对气象信息化及现代化造成不良影响。另外,内部应建立起网络安全应急预案,一旦气象信息化体系在运行和服务过程中出现网络安全问题,则及时启动应急预案,有效地处理网络安全事件,问题严重时必须上报,做好报备工作[7]。除此之外,若有需要,则内部应定期组织各种形式的宣传教育活动,普及网络安全知识,并且可以将理论教育和实践操作相结合,提高专业人员的网络安全防护水平,确保气象信息化体系始终处于安全运行状态。
3.5 完善服务器及终端防护
对于所存在的服务器及终端网络安全问题,必须充分重视,做好服务器及终端的有效防护。在完善服务器及终端防护的过程中,可以重点从3个方面入手。
第一,如果是安装Windows服务器及终端,则要切实做好动态化的监测预警,动态化和全面性地检查重点内容和环节。如可疑日志、登录日志、可疑进程、共享目录、系统服务、登录账号密码安全等级都需要进行有效的检查。
第二,在提高服务器及终端的防护水平时,应积极应用当前科学有效的杀毒软件,可以在内网中部署杀毒软件,动态地对系统进行病毒查杀,确保系统的安全性。与此同时,专业的工作人员应定期更新杀毒软件,确保病毒库持续性更新,发挥出杀毒软件的最佳作用。认真研读网信办所发布的网络漏洞及防控对策,并结合实际情况做好网络防护体系的建设,如要及时安装科学、可靠的补丁软件,将存在风险的端口有效关闭或控制,并开启防火墙。
第三,应定期采集终端的杀毒日志,采集后便要进行系统性的分析验证,及时发现所存在的风险因素。“挖矿”病毒的危害性较大,使用常规性的杀毒软件无法有效查杀,因此应在这一方面加大研究力度,掌握更多的技术手段,最大限度确保服务器远离“挖矿”病毒,避免气象信息化及现代化建设受阻。
4 结束语
网络防护体系的建设对气象信息化及现代化均十分重要,应不断提高网络防护水平,确保气象信息化体系的安全运行,始终提供优质服务。后续应进一步加大研究力度,探究气象信息化及现代化建设的更多要点,始终将网络防护放在重要位置上,利用好当前已有的人才优势、技术优势。
参考文献
[1] 张虹.气象信息网络安全防御技术[J].互联网周刊,2022(6):36-38.
[2] 庞谦,王磊.加强气象信息网络系统安全和防范的分析[J].信息系统工程, 2021(10):59-61.
[3] 张珉铨.数据时代气象信息化发展综合探讨[J].黑龙江科学,2022,13(8):150-151,155.
[4] 李秋明,张洋洋,陈自艳,等.气象技术装备保障业务信息化建设分析[J].中国信息化,2021(7):86-87.
[5] 刘如意.浅谈气象信息服务在农业生产中的作用[J].新农业,2021(15):74-75.
[6] 黄澎,王证帅,陈荣忠,等.气象信息系统中的存储区域网络选型与应用[J].海峡科学,2021(4):47-49.
[7] 荆国栋,邹立尧,赵永明.信息化下的气象教育云平台建设[J].中国科技信息, 2021(1):21-22.
责任编辑:黄艳飞
Research on Network Protection System in Meteorological Information Construction
Jing Chuan (Huludao Meteorological Bureau of Liaoning Province, Huludao, Liaoning 125000)
Abstract With the support of information technology, the meteorological industry has realized informatization and modernization. At present, the meteorological information system has been successfully constructed. In the process of meteorological information construction, how to ensure safety and reliability while opening and sharing is a key issue to be explored. The network protection system in the process of meteorological information construction was mainly discussed. The first was to divide the network security area, the second was to enhance the network boundary defense capability, the third was to realize the scientific deployment of remote access equipment, the fourth was to improve the network security management system, and the fifth is to improve the server and terminal protection for reference.
Key words Meteorological inform-atization; Network protection; Network security
作者簡介 井川(1989—),女,辽宁本溪人,工程师,主要从事气象信息方面工作。
收稿日期 2022-12-19
猜你喜欢网络安全新形势下的特种设备网络安全防护探讨中国特种设备安全(2022年2期)2022-07-08新量子通信线路保障网络安全科学大众(中学)(2019年2期)2019-04-08网络安全中国生殖健康(2019年10期)2019-01-07网络安全人才培养应“实战化”信息安全研究(2018年12期)2018-12-29上网时如何注意网络安全?小学生必读(中年级版)(2018年4期)2018-07-05网络安全与执法专业人才培养探索与思考湖北警官学院学报(2017年3期)2017-06-21设立网络安全专项基金 促进人才培养信息安全与通信保密(2016年3期)2016-08-23计算机网络安全办公自动化(2016年18期)2016-08-20网络安全监测数据分析——2015年12月互联网天地(2016年2期)2016-05-04网络安全监测数据分析——2015年11月互联网天地(2016年1期)2016-05-04