◆趙 冰 王 旭 賀永興 王立俊 劉驥超

淺析海南氣象信息網(wǎng)絡(luò)安全建設(shè)

◆趙 冰 王 旭通訊作者賀永興 王立俊 劉驥超

（海南省氣象信息中心 海南省南海氣象防災(zāi)減災(zāi)重點實驗室 海南 570203）

氣象部門是關(guān)系民生的基礎(chǔ)性部門，隨著信息技術(shù)的持續(xù)快速發(fā)展，氣象信息化的高速推進(jìn)，對氣象信息網(wǎng)絡(luò)安全也提出更高要求。氣象信息網(wǎng)絡(luò)安全是氣象業(yè)務(wù)和氣象服務(wù)的重要保障，對氣象信息系統(tǒng)有著很重要的影響。本文結(jié)合海南氣象信息網(wǎng)絡(luò)現(xiàn)狀，分析海南氣象信息網(wǎng)絡(luò)安全面臨的主要問題，并結(jié)合信息系統(tǒng)安全等級保護(hù)基本要求介紹了海南氣象信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的建設(shè)，該系統(tǒng)有效提高了氣象網(wǎng)絡(luò)安全的服務(wù)性能，進(jìn)一步提升了維護(hù)保障效率，對維護(hù)氣象信息網(wǎng)絡(luò)安全具有建設(shè)性意義。

氣象信息網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防護(hù)

隨著物聯(lián)網(wǎng)、云計算、虛擬化、大數(shù)據(jù)等新技術(shù)以及氣象信息化進(jìn)程的不斷發(fā)展，氣象信息業(yè)務(wù)和氣象信息服務(wù)領(lǐng)域也不斷擴(kuò)展，但各種信息系統(tǒng)的網(wǎng)絡(luò)安全問題也逐漸顯現(xiàn)出來，嚴(yán)重影響各應(yīng)用系統(tǒng)的穩(wěn)定運(yùn)行，一些單位針對信息網(wǎng)絡(luò)安全也作了大量的工作[1-9]。受網(wǎng)絡(luò)黑客攻擊、網(wǎng)絡(luò)病毒等各類因素的影響，氣象信息網(wǎng)絡(luò)有氣象數(shù)據(jù)被實時篡改、被病毒攻擊等威脅，因此，加強(qiáng)氣象信息網(wǎng)絡(luò)安全建設(shè)，提升氣象網(wǎng)絡(luò)安全體系的防護(hù)能力就顯得尤其重要。

本文結(jié)合海南氣象信息網(wǎng)絡(luò)現(xiàn)狀，分析海南氣象信息網(wǎng)絡(luò)中存在的主要安全問題，并介紹了海南氣象信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的建設(shè)和應(yīng)用技術(shù)，有效增強(qiáng)了氣象網(wǎng)絡(luò)的安全水平，保證氣象業(yè)務(wù)的穩(wěn)定運(yùn)行和氣象數(shù)據(jù)的安全共享。

1 海南氣象網(wǎng)絡(luò)現(xiàn)狀

目前海南省已建成覆蓋省-市縣兩級氣象部門的氣象通信地面廣域網(wǎng)絡(luò)系統(tǒng)，氣象通信地面廣域網(wǎng)絡(luò)系統(tǒng)部署有雙設(shè)備，省氣象局與各市局之間采用雙廣域網(wǎng)鏈路進(jìn)行互聯(lián)。結(jié)合市縣氣象局的業(yè)務(wù)需求，為充分利用電信的帶寬優(yōu)勢，省-市縣廣域網(wǎng)網(wǎng)絡(luò)架構(gòu)由雙鏈路（電信、聯(lián)通）負(fù)載均衡模式改為電信20Mbps MSTP專線做主線路，聯(lián)通4Mbps SDH專線做備用線路。另外，為滿足建有衛(wèi)星接收站的站點因衛(wèi)星資料傳輸對帶寬的高要求，省局-萬寧長豐觀測站的電信專線帶寬為50Mbps，省局-臨高氣象局的電線專線帶寬為40Mbps。海南氣象省局的互聯(lián)網(wǎng)目前有電信、移動兩家運(yùn)營商，全省各市縣氣象部門均通過省局的互聯(lián)網(wǎng)出口來訪問外網(wǎng)，這兩條鏈路互為備份，通過設(shè)置每條鏈路的優(yōu)先級再加上動態(tài)負(fù)載均衡設(shè)備，提高了系統(tǒng)的高可用性。

2 氣象信息網(wǎng)絡(luò)面臨的主要安全問題

海南氣象信息網(wǎng)絡(luò)安全工作在較長的時期內(nèi)，基本上滿足了氣象業(yè)務(wù)的發(fā)展需求，保障了氣象業(yè)務(wù)的持續(xù)穩(wěn)定運(yùn)行。但目前嚴(yán)峻的內(nèi)外部網(wǎng)絡(luò)安全形勢和新技術(shù)的迅猛發(fā)展，勒索病毒席卷全球并且攻擊我國多個重要部門，相關(guān)部門也逐漸重視起網(wǎng)絡(luò)安全問題，尤其與人類生活密不可分的氣象信息，其安全工作也暴露出不少問題。

2.1 物理安全隱患

物理安全是整個計算機(jī)信息系統(tǒng)安全的基石，其目標(biāo)是保護(hù)設(shè)備、通信鏈路和其他媒體免受自然災(zāi)害、環(huán)境事故、人為失誤及其他各種行為導(dǎo)致的破壞[10]。物理安全建設(shè)主要是指服務(wù)器托管機(jī)房的狀況，包括電源系統(tǒng)、通風(fēng)系統(tǒng)、消防報警系統(tǒng)、防雷系統(tǒng)、門禁系統(tǒng)、機(jī)房監(jiān)控系統(tǒng)以及機(jī)房的溫度、濕度等，這些因素都會影響到設(shè)備的壽命和數(shù)據(jù)的安全。

2.2 網(wǎng)絡(luò)結(jié)構(gòu)的隱患

氣象部門的內(nèi)部網(wǎng)絡(luò)一般分為氣象辦公網(wǎng)、業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)。由于氣象部門主要依賴氣象信息來進(jìn)行決策工作，而一些氣象數(shù)據(jù)需要從互聯(lián)網(wǎng)傳輸，如區(qū)域自動站的采集數(shù)據(jù)就是通過4G網(wǎng)絡(luò)來傳輸?shù)?。業(yè)務(wù)網(wǎng)中的部分氣象資料也要共享到互聯(lián)網(wǎng)中。這樣就使得辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)密不可分，帶來了很多安全隱患。

2.3 網(wǎng)絡(luò)病毒

在氣象信息網(wǎng)絡(luò)系統(tǒng)存在的諸多安全隱患中，網(wǎng)絡(luò)病毒當(dāng)屬最大威脅。網(wǎng)絡(luò)病毒具有自我復(fù)制能力、潛伏性、破壞性和很強(qiáng)的感染性，會在內(nèi)部網(wǎng)絡(luò)傳播蔓延[11]。海南氣象內(nèi)部局域網(wǎng)很多服務(wù)器都習(xí)慣采用網(wǎng)絡(luò)共享文件夾的方式來訪問，一旦該服務(wù)器上有被病毒感染的應(yīng)用程序和辦公文件就會通過這種方式來加劇病毒的擴(kuò)散，這會威脅到氣象信息資料的安全，嚴(yán)重時還會導(dǎo)致整個氣象信息網(wǎng)絡(luò)癱瘓。

2.4 網(wǎng)絡(luò)安全管理漏洞

目前海南氣象還沒有形成全面的信息安全管理制度體系[12]，在信息安全方面資金投入較少，甚至在部分信息系統(tǒng)建設(shè)中沒有考慮安全建設(shè)內(nèi)容，使得建設(shè)過程中缺乏安全依據(jù)，從而影響到氣象信息網(wǎng)絡(luò)的安全建設(shè)和運(yùn)維。此外大多數(shù)氣象工作人員的網(wǎng)絡(luò)安全意識不強(qiáng)，處理信息安全問題的能力也不夠?qū)I(yè)，這些均給氣象信息網(wǎng)絡(luò)安全帶來諸多隱患。

3 海南氣象信息網(wǎng)絡(luò)安全建設(shè)

海南氣象信息網(wǎng)絡(luò)安全主要以現(xiàn)有《國家信息系統(tǒng)等級保護(hù)基本要求》[13]為依據(jù)，參考國內(nèi)外最新安全技術(shù)發(fā)展趨勢及實踐進(jìn)行建設(shè)?；疽笕鐖D1所示。

圖1 信息安全體系基本要求框架圖

3.1 制定氣象信息網(wǎng)絡(luò)安全管理制度

海南氣象結(jié)合實際需求，按照國家相關(guān)規(guī)定實施網(wǎng)絡(luò)管理，制定一系列合適的管理辦法和規(guī)章制度，并嚴(yán)格遵守相關(guān)安全管理制度。目前已建立信息網(wǎng)絡(luò)安全管理制度，加強(qiáng)了內(nèi)部人員的安全管理和責(zé)任追究。還建立了機(jī)房安全管理制度，人員進(jìn)出機(jī)房按規(guī)定寫登記表，未經(jīng)許可的無關(guān)人員禁止進(jìn)出機(jī)房，經(jīng)過相關(guān)責(zé)任人同意的外單位人員需要由值班人員陪同進(jìn)入。對機(jī)房的每次變動情況做好記錄，對資產(chǎn)也進(jìn)行了標(biāo)識管理，重要的相關(guān)資產(chǎn)有門禁管理等措施。此外，海南氣象每年定期開展向全省各市縣氣象部門相關(guān)人員宣傳計算機(jī)安全知識以及網(wǎng)絡(luò)安全等相關(guān)知識的培訓(xùn)班，從而提高信息網(wǎng)絡(luò)安全管理人員的安全意識和安全防護(hù)能力。

3.2 物理安全建設(shè)

氣象信息網(wǎng)絡(luò)互聯(lián)網(wǎng)出口采用雙設(shè)備、雙鏈路，不同運(yùn)營商互為備份，一般不會出現(xiàn)兩個運(yùn)營商都故障的情況。機(jī)房內(nèi)完全隔離水，采用柜式七氟丙烷自動氣體滅火裝置。柴油發(fā)電機(jī)和兩套1+1冗余設(shè)計的UPS設(shè)備，可保證所有接入UPS的設(shè)備在斷電情況下能夠持續(xù)穩(wěn)定運(yùn)行。機(jī)房門禁采用指紋鎖，并在機(jī)房配備全方位的24h監(jiān)控設(shè)備，安排值班人員7*24小時值班，每日多次的巡視，可以有效降低物理安全隱患，確保信息網(wǎng)絡(luò)系統(tǒng)的安全。另外海南氣象針對全局所有網(wǎng)絡(luò)設(shè)備部署了一套設(shè)備智能管理軟件，該軟件主要對設(shè)備基本信息、運(yùn)行狀態(tài)、性能參數(shù)和告警信息的管理，還可以通過短信來通知重要設(shè)備的告警，值班員能在第一時間知道設(shè)備的運(yùn)行狀態(tài)，這樣很大程度上方便了日常維護(hù)工作的開展。

3.3 海南氣象網(wǎng)絡(luò)防護(hù)系統(tǒng)

（1）合理的網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃

海南氣象信息網(wǎng)絡(luò)核心交換機(jī)采用雙冗余設(shè)備架構(gòu)，主備設(shè)備之間采用VRRP（虛擬路由冗余協(xié)議），VRRP是一種路由容錯協(xié)議[14]，在主網(wǎng)關(guān)設(shè)備發(fā)生故障時，備份網(wǎng)關(guān)設(shè)備可以在不影響內(nèi)外數(shù)據(jù)通信的前提下進(jìn)行網(wǎng)關(guān)切換，且不需要再修改內(nèi)部網(wǎng)絡(luò)的設(shè)置，增強(qiáng)了網(wǎng)絡(luò)的穩(wěn)定性。信息網(wǎng)絡(luò)為不同的業(yè)務(wù)部門劃分不同的VLAN，有效防止廣播風(fēng)暴。在樓層設(shè)備間設(shè)置樓層匯總交換機(jī)，有效利用局域網(wǎng)絡(luò)帶寬。

（2）多層防護(hù)設(shè)備的部署

海南氣象在業(yè)務(wù)內(nèi)網(wǎng)和互聯(lián)網(wǎng)邊界增設(shè)了防火墻安全設(shè)備，實行內(nèi)外網(wǎng)安全隔離，強(qiáng)化了網(wǎng)絡(luò)邊界的監(jiān)控和防護(hù)。另外在局域網(wǎng)的核心交換機(jī)部署入侵防御系統(tǒng)、入侵檢測系統(tǒng)、行為審計、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)安全管理系統(tǒng)及漏洞掃描等設(shè)備，這些安全防護(hù)措施為氣象信息網(wǎng)絡(luò)系統(tǒng)構(gòu)建起一個安全屏障。除了防火墻和上網(wǎng)行為管理系統(tǒng)，其他安全設(shè)備都是旁路接入核心交換機(jī)，所有訪問核心服務(wù)器的終端必須經(jīng)過核心交換機(jī)這些安全設(shè)備的審核。安全防護(hù)設(shè)備網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

圖2 安全設(shè)備拓?fù)鋱D

（3）多種技術(shù)的應(yīng)用

VPN接入。VPN即虛擬專用網(wǎng)絡(luò)技術(shù)，利用公用網(wǎng)絡(luò)建立臨時的點對點虛擬通道架設(shè)專用網(wǎng)絡(luò)來訪問氣象內(nèi)部資源，通過這種技術(shù)可以實現(xiàn)對數(shù)據(jù)的多倍加密，從而保證數(shù)據(jù)的安全通信[15]。在氣象內(nèi)網(wǎng)中架設(shè)一臺VPN服務(wù)器，遠(yuǎn)程用戶通過VPN接入需要設(shè)置一定的權(quán)限，根據(jù)用戶的需求來限定訪問的計算機(jī)，同時接入的計算機(jī)也是通過嚴(yán)格審查的。

訪問控制。指防止對任何資源進(jìn)行未授權(quán)的訪問，從而使計算機(jī)系統(tǒng)在合法的范圍內(nèi)使用。通過集中式資源控制，基于端口、源地址、目的地址的過濾管理等方式來限制用戶的非授權(quán)訪問。

身份驗證。是指通過一定的手段，完成對用戶身份的確認(rèn)，主要是系統(tǒng)對用戶的身份進(jìn)行核對，避免冒名使用的情況。海南氣象信息網(wǎng)絡(luò)系統(tǒng)一些主要的業(yè)務(wù)機(jī)子采用了靜態(tài)IP和主機(jī)MAC地址綁定，確保用戶身份信息的準(zhǔn)確，防止ARP攻擊、IP地址沖突等問題，起到更好保護(hù)網(wǎng)絡(luò)的作用。

4 結(jié)論

氣象信息網(wǎng)絡(luò)為天氣預(yù)報、氣象服務(wù)及氣象信息傳播等各項氣象業(yè)務(wù)的開展提供了便利，是氣象工作的支撐與紐帶。但是，在氣象信息網(wǎng)絡(luò)系統(tǒng)運(yùn)行中，常存在一系列的安全漏洞，給氣象信息網(wǎng)絡(luò)的正常運(yùn)行造成嚴(yán)重威脅。因此，必須要加強(qiáng)氣象信息網(wǎng)絡(luò)安全管理工作，提升網(wǎng)絡(luò)監(jiān)管及安全防護(hù)能力，從而提高氣象信息網(wǎng)絡(luò)的整體安全，為海南氣象事業(yè)的發(fā)展提供堅實的網(wǎng)絡(luò)基礎(chǔ)。

[1]周琰，蔣敏慧，曹磊，等. 氣象業(yè)務(wù)信息化發(fā)展下的網(wǎng)絡(luò)安全治理初探[J].氣象科技進(jìn)展，2018，8（1）：274-276.

[2]陳雨，任川，張元龍.遼寧氣象信息網(wǎng)絡(luò)安全建設(shè)[J]. 電腦知識與技術(shù)，2018，14（2）：36-37.

[3]竇以文，劉旭林，沈波，等.氣象信息安全建設(shè)探討[J]. 氣象與環(huán)境學(xué)報，2011，27（2）：45-49.

[4]胡鵬，孫偉忠，陳曉宇.廣州突發(fā)預(yù)警信息發(fā)布中心網(wǎng)絡(luò)安全的加固[J].廣東氣象，2018，40（3）：77-80.

[5]王冠雄.空管氣象信息系統(tǒng)安全與防護(hù)措施分析[J]. 現(xiàn)代信息技術(shù)，2018，2（6）：160-164.

[6]沈曉軍．廣西氣象局網(wǎng)絡(luò)安全問題及其分析[J].氣象研究與應(yīng)用，2011，32（S2）：278-279．

[7]Xiao w L，Ji g Y，W f L，et al. Network security situation：From awareness to awareness-control[J]. Journal of Network and Computer Applications. 2019:15-30.

[8]鄭潮宇，陳驥，林忠.寧德市氣象信息網(wǎng)絡(luò)的現(xiàn)狀及安全策略[J]．?dāng)?shù)字技術(shù)與應(yīng)用，2015，12（01）：179.

[9]張秀英，王祺，姚建麗．烏海市氣象信息網(wǎng)絡(luò)安全防護(hù)的設(shè)計與應(yīng)用[J]．內(nèi)蒙古氣象，2016（2）：46-48．

[10]William S，Lawrie B. Computer Security： Principles and Practice[M]. Pearson Education，2015.

[11]Li L，Jie Z，Chen L，et al. Analysis of transmission dynamics for Zika virus on networks[J]. Journal of Applied Mathematics and Computation. 2019:566-577.

[12]沈文海.建設(shè)完整的氣象信息安全管理體系[J].中國信息化，2016，（5）：78-84.

[13]信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求GB-T22239-2008，中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員會，2008-11-01.

[14]俞淮.冗余鏈路的可靠性研究與實現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（12）：24-25.

[15]Chen J y，Li C y. Research on meteorological information network security system based on VPN Technology[A]. 2018 2nd International Conference on Electronic Information Technology and Computer Engineering （EITCE 2018）[C]. Shang Bai：2018：2-5.

國家自然科學(xué)基金（41775011）；海南省自然科學(xué)基金（2017CXTD014）。