浅析海南气象信息网络安全建设
2019-12-07贺永兴王立俊刘骥超
◆赵 冰 王 旭 贺永兴 王立俊 刘骥超
浅析海南气象信息网络安全建设
◆赵 冰 王 旭通讯作者贺永兴 王立俊 刘骥超
(海南省气象信息中心 海南省南海气象防灾减灾重点实验室 海南 570203)
气象部门是关系民生的基础性部门,随着信息技术的持续快速发展,气象信息化的高速推进,对气象信息网络安全也提出更高要求。气象信息网络安全是气象业务和气象服务的重要保障,对气象信息系统有着很重要的影响。本文结合海南气象信息网络现状,分析海南气象信息网络安全面临的主要问题,并结合信息系统安全等级保护基本要求介绍了海南气象信息网络安全防护系统的建设,该系统有效提高了气象网络安全的服务性能,进一步提升了维护保障效率,对维护气象信息网络安全具有建设性意义。
气象信息网络;网络安全;防护
随着物联网、云计算、虚拟化、大数据等新技术以及气象信息化进程的不断发展,气象信息业务和气象信息服务领域也不断扩展,但各种信息系统的网络安全问题也逐渐显现出来,严重影响各应用系统的稳定运行,一些单位针对信息网络安全也作了大量的工作[1-9]。受网络黑客攻击、网络病毒等各类因素的影响,气象信息网络有气象数据被实时篡改、被病毒攻击等威胁,因此,加强气象信息网络安全建设,提升气象网络安全体系的防护能力就显得尤其重要。
本文结合海南气象信息网络现状,分析海南气象信息网络中存在的主要安全问题,并介绍了海南气象信息网络安全防护系统的建设和应用技术,有效增强了气象网络的安全水平,保证气象业务的稳定运行和气象数据的安全共享。
1 海南气象网络现状
目前海南省已建成覆盖省-市县两级气象部门的气象通信地面广域网络系统,气象通信地面广域网络系统部署有双设备,省气象局与各市局之间采用双广域网链路进行互联。结合市县气象局的业务需求,为充分利用电信的带宽优势,省-市县广域网网络架构由双链路(电信、联通)负载均衡模式改为电信20Mbps MSTP专线做主线路,联通4Mbps SDH专线做备用线路。另外,为满足建有卫星接收站的站点因卫星资料传输对带宽的高要求,省局-万宁长丰观测站的电信专线带宽为50Mbps,省局-临高气象局的电线专线带宽为40Mbps。海南气象省局的互联网目前有电信、移动两家运营商,全省各市县气象部门均通过省局的互联网出口来访问外网,这两条链路互为备份,通过设置每条链路的优先级再加上动态负载均衡设备,提高了系统的高可用性。
2 气象信息网络面临的主要安全问题
海南气象信息网络安全工作在较长的时期内,基本上满足了气象业务的发展需求,保障了气象业务的持续稳定运行。但目前严峻的内外部网络安全形势和新技术的迅猛发展,勒索病毒席卷全球并且攻击我国多个重要部门,相关部门也逐渐重视起网络安全问题,尤其与人类生活密不可分的气象信息,其安全工作也暴露出不少问题。
2.1 物理安全隐患
物理安全是整个计算机信息系统安全的基石,其目标是保护设备、通信链路和其他媒体免受自然灾害、环境事故、人为失误及其他各种行为导致的破坏[10]。物理安全建设主要是指服务器托管机房的状况,包括电源系统、通风系统、消防报警系统、防雷系统、门禁系统、机房监控系统以及机房的温度、湿度等,这些因素都会影响到设备的寿命和数据的安全。
2.2 网络结构的隐患
气象部门的内部网络一般分为气象办公网、业务网和互联网。由于气象部门主要依赖气象信息来进行决策工作,而一些气象数据需要从互联网传输,如区域自动站的采集数据就是通过4G网络来传输的。业务网中的部分气象资料也要共享到互联网中。这样就使得办公网、业务网与互联网密不可分,带来了很多安全隐患。
2.3 网络病毒
在气象信息网络系统存在的诸多安全隐患中,网络病毒当属最大威胁。网络病毒具有自我复制能力、潜伏性、破坏性和很强的感染性,会在内部网络传播蔓延[11]。海南气象内部局域网很多服务器都习惯采用网络共享文件夹的方式来访问,一旦该服务器上有被病毒感染的应用程序和办公文件就会通过这种方式来加剧病毒的扩散,这会威胁到气象信息资料的安全,严重时还会导致整个气象信息网络瘫痪。
2.4 网络安全管理漏洞
目前海南气象还没有形成全面的信息安全管理制度体系[12],在信息安全方面资金投入较少,甚至在部分信息系统建设中没有考虑安全建设内容,使得建设过程中缺乏安全依据,从而影响到气象信息网络的安全建设和运维。此外大多数气象工作人员的网络安全意识不强,处理信息安全问题的能力也不够专业,这些均给气象信息网络安全带来诸多隐患。
3 海南气象信息网络安全建设
海南气象信息网络安全主要以现有《国家信息系统等级保护基本要求》[13]为依据,参考国内外最新安全技术发展趋势及实践进行建设。基本要求如图1所示。
图1 信息安全体系基本要求框架图
3.1 制定气象信息网络安全管理制度
海南气象结合实际需求,按照国家相关规定实施网络管理,制定一系列合适的管理办法和规章制度,并严格遵守相关安全管理制度。目前已建立信息网络安全管理制度,加强了内部人员的安全管理和责任追究。还建立了机房安全管理制度,人员进出机房按规定写登记表,未经许可的无关人员禁止进出机房,经过相关责任人同意的外单位人员需要由值班人员陪同进入。对机房的每次变动情况做好记录,对资产也进行了标识管理,重要的相关资产有门禁管理等措施。此外,海南气象每年定期开展向全省各市县气象部门相关人员宣传计算机安全知识以及网络安全等相关知识的培训班,从而提高信息网络安全管理人员的安全意识和安全防护能力。
3.2 物理安全建设
气象信息网络互联网出口采用双设备、双链路,不同运营商互为备份,一般不会出现两个运营商都故障的情况。机房内完全隔离水,采用柜式七氟丙烷自动气体灭火装置。柴油发电机和两套1+1冗余设计的UPS设备,可保证所有接入UPS的设备在断电情况下能够持续稳定运行。机房门禁采用指纹锁,并在机房配备全方位的24h监控设备,安排值班人员7*24小时值班,每日多次的巡视,可以有效降低物理安全隐患,确保信息网络系统的安全。另外海南气象针对全局所有网络设备部署了一套设备智能管理软件,该软件主要对设备基本信息、运行状态、性能参数和告警信息的管理,还可以通过短信来通知重要设备的告警,值班员能在第一时间知道设备的运行状态,这样很大程度上方便了日常维护工作的开展。
3.3 海南气象网络防护系统
(1)合理的网络结构规划
海南气象信息网络核心交换机采用双冗余设备架构,主备设备之间采用VRRP(虚拟路由冗余协议),VRRP是一种路由容错协议[14],在主网关设备发生故障时,备份网关设备可以在不影响内外数据通信的前提下进行网关切换,且不需要再修改内部网络的设置,增强了网络的稳定性。信息网络为不同的业务部门划分不同的VLAN,有效防止广播风暴。在楼层设备间设置楼层汇总交换机,有效利用局域网络带宽。
(2)多层防护设备的部署
海南气象在业务内网和互联网边界增设了防火墙安全设备,实行内外网安全隔离,强化了网络边界的监控和防护。另外在局域网的核心交换机部署入侵防御系统、入侵检测系统、行为审计、防病毒网关、网络安全管理系统及漏洞扫描等设备,这些安全防护措施为气象信息网络系统构建起一个安全屏障。除了防火墙和上网行为管理系统,其他安全设备都是旁路接入核心交换机,所有访问核心服务器的终端必须经过核心交换机这些安全设备的审核。安全防护设备网络拓扑图如图2所示。
图2 安全设备拓扑图
(3)多种技术的应用
VPN接入。VPN即虚拟专用网络技术,利用公用网络建立临时的点对点虚拟通道架设专用网络来访问气象内部资源,通过这种技术可以实现对数据的多倍加密,从而保证数据的安全通信[15]。在气象内网中架设一台VPN服务器,远程用户通过VPN接入需要设置一定的权限,根据用户的需求来限定访问的计算机,同时接入的计算机也是通过严格审查的。
访问控制。指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。通过集中式资源控制,基于端口、源地址、目的地址的过滤管理等方式来限制用户的非授权访问。
身份验证。是指通过一定的手段,完成对用户身份的确认,主要是系统对用户的身份进行核对,避免冒名使用的情况。海南气象信息网络系统一些主要的业务机子采用了静态IP和主机MAC地址绑定,确保用户身份信息的准确,防止ARP攻击、IP地址冲突等问题,起到更好保护网络的作用。
4 结论
气象信息网络为天气预报、气象服务及气象信息传播等各项气象业务的开展提供了便利,是气象工作的支撑与纽带。但是,在气象信息网络系统运行中,常存在一系列的安全漏洞,给气象信息网络的正常运行造成严重威胁。因此,必须要加强气象信息网络安全管理工作,提升网络监管及安全防护能力,从而提高气象信息网络的整体安全,为海南气象事业的发展提供坚实的网络基础。
[1]周琰,蒋敏慧,曹磊,等. 气象业务信息化发展下的网络安全治理初探[J].气象科技进展,2018,8(1):274-276.
[2]陈雨,任川,张元龙.辽宁气象信息网络安全建设[J]. 电脑知识与技术,2018,14(2):36-37.
[3]窦以文,刘旭林,沈波,等.气象信息安全建设探讨[J]. 气象与环境学报,2011,27(2):45-49.
[4]胡鹏,孙伟忠,陈晓宇.广州突发预警信息发布中心网络安全的加固[J].广东气象,2018,40(3):77-80.
[5]王冠雄.空管气象信息系统安全与防护措施分析[J]. 现代信息技术,2018,2(6):160-164.
[6]沈晓军.广西气象局网络安全问题及其分析[J].气象研究与应用,2011,32(S2):278-279.
[7]Xiao w L,Ji g Y,W f L,et al. Network security situation:From awareness to awareness-control[J]. Journal of Network and Computer Applications. 2019:15-30.
[8]郑潮宇,陈骥,林忠.宁德市气象信息网络的现状及安全策略[J].数字技术与应用,2015,12(01):179.
[9]张秀英,王祺,姚建丽.乌海市气象信息网络安全防护的设计与应用[J].内蒙古气象,2016(2):46-48.
[10]William S,Lawrie B. Computer Security: Principles and Practice[M]. Pearson Education,2015.
[11]Li L,Jie Z,Chen L,et al. Analysis of transmission dynamics for Zika virus on networks[J]. Journal of Applied Mathematics and Computation. 2019:566-577.
[12]沈文海.建设完整的气象信息安全管理体系[J].中国信息化,2016,(5):78-84.
[13]信息安全技术信息系统安全等级保护基本要求GB-T22239-2008,中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会,2008-11-01.
[14]俞淮.冗余链路的可靠性研究与实现[J].网络安全技术与应用,2018(12):24-25.
[15]Chen J y,Li C y. Research on meteorological information network security system based on VPN Technology[A]. 2018 2nd International Conference on Electronic Information Technology and Computer Engineering (EITCE 2018)[C]. Shang Bai:2018:2-5.
国家自然科学基金(41775011);海南省自然科学基金(2017CXTD014)。
