气象台站无人值守存在的安全隐患及对策

2022-05-25薛培珍牛宏宇

气象水文海洋仪器 2022年1期

吴晓，岳勇，薛培珍，牛宏宇

(1.中国气象局旱区特色农业气象灾害监测预警与风险管理重点实验室，银川 750002；2.石嘴山市气象局，石嘴山 753000；3.宁夏气象局，银川 750002)

0 引言

自2020年4月起中国全面实行地面观测自动化，优化了观测项目，解放了人力。自动观测频次比人工观测提高数倍。在地面气象观测自动化的基础上，石嘴山市气象局开展石炭井、沙湖、石嘴山3个国家级地面观测站无人值守试点运行，重点解决日常观测依赖人工值守的情况，解放基层台站劳动力，使台站业务人员转型发展，更好地履行气象服务和预报职能。实行无人值守后，根据观测质量体系的总体要求，传统观测环境和网络监控手段已无法保障地面观测稳定可靠运行，观测站网络安全也面临着更加严峻的挑战。

1 观测站信息系统现状

石嘴山市3个国家气象观测站均为双套自动气象站业务运行，主站和备份站都是华云DZZ5新型自动气象站，设备运行稳定，满足观测自动化的要求。观测站采用UPS供电，配置1台发电机作为应急备份，保障观测仪器和设备稳定持续运行。当市电中断以后，备用发电机通过手动或自动方式开始供电。配有高清视频监控系统，可实现对业务值班室、观测场、气象探测环境、天气现象等24 h实时监控。网络传输采用电信、移动两条专线电路互为备份，保障气象监测信息稳定传输。

2 无人值守模式简介

观测站无人值守遵循“不减少现有观测项目、不使用未列装的仪器”的基本原则，通过在观测站和市级观测业务平台安装Teamviewer远程控制软件[1]，在市级业务平台对主站和备份站的计算机进行远程控制。业务值班人员统一集约到石嘴山市局开展观测业务，值班员通过ISOS软件查看地面观测自动气象站运行情况，处理MDOS的疑误信息；定期前往现场对观测站进行设备巡查和维护。

3 地面气象观测自动化存在的安全隐患

3.1 物理安全隐患

物理环境安全要求观测站中气象采集仪器和IT设备具备防盗窃、防雷、防水、温湿度控制、备用电力等安全措施，是观测站网络安全的基本条件[2，3]。观测站实行无人值守后，由于值班人员不能现场保障观测仪器和信息设备，会产生以下两个方面的安全问题：

1)供电故障：气象站发生发电机运行故障的情况时，UPS会用蓄电池维持设备供电，在此期间值守人员不易通过视频监控及时判断供电系统故障。UPS电池电量耗尽，会造成业务计算机关闭，观测数据无法上传，此时值守人员才能通过监测平台察觉。人员需前往现场启动备用电力，启动计算机和业务软件等才能恢复，因耗时过长，可能产生逾限或缺报情况。

2)环境系统隐患：环境系统主要包括空调系统、防水防火和人员入侵等隐患。当观测业务由本地值守切换为无人值守后，虽然可以通过监控系统远程监视台站实景图像，但是由于观测人员无法感知现场温度、湿度、设备运行状态等信息，不能在第一时间将隐患排除。

3.2 网络安全隐患

RDP端口安全隐患：远程桌面协议(RDP，Remote Desktop Protocol)是一个基于Windows的多通道协议，业务值守人员可以使用计算机远程连接另外一台计算机，完成远程监控任务。远程控制可以使用Windows系统自带的控制软件或其他控制软件，例如teamview、向日葵等[4]。各类远程桌面软件通常使用RDP协议进行网络传输，但该协议安全漏洞较多，微软公司已多次发布相关信息。各类勒索病毒、蠕虫病毒经常会针对RDP协议默认使用的3389端口，展开各种非法攻击[5]。观测台站无人值守是通过气象内网进行数据传输的，可以抵御绝大多数外源性网络攻击，但是如果气象业务内网中出现基于远程端口传播的病毒，可能会导致业务主机系统瘫痪，造成网络安全事故。

网络传输隐患：目前各类监测预警方法仅基于省级中心站与观测站点对点实时监测，由于网络线路可以互为备份，自动切换。在某一条线路中断的情况下，点对点传输仅出现短暂中断，不易发现某一线路已出现故障，当另一条线路也发生故障时，则会造成网络传输的中断。当前业务缺乏对单条传输线路故障的有效监测手段。

密码安全隐患：网络信任的建立主要依靠密码技术实现，目前远程控制主要利用“用户名+口令”完成身份认证，对值守人员而言使用简单，对气象网络维护人员而言管理方便，但是安全强度不够，用户名和口令极易被人窃取，安全隐患较多。

4 安全防范策略

4.1 加强网络安全管理

提升集中值守人员网络安全意识、更新安全管理制度是台站无人值守网络安全的重要组成。具体措施如下：1)将网络安全知识纳入业务学习中，提高值守人员的网络安全意识；2)结合观测质量体系，制定和优化网络安全程序和制度；3)做好日志记录，加强安全审计。

4.2 应用新型技术完善监控体系

应用物联网与AI图像识别技术，构建智慧观测站环境监控系统。传统监控只能做到对物理环境进行感知，存在只“监”不“控”的问题。通过物联网技术让监控不仅能精确感知物理环境，也能够根据监测信息自动化调节。实现气象台站设备状态和物理环境信息的实时调节。在传统观测站视频监控的基础上，一是增设物理环境智能调控设备，设置环境信息阈值，在出现异常情况时，自动启动温湿度控制、备用电力启停等措施，保障台站物理环境稳定可靠。二是增加观测配套设备的自检维护手段，将发电机自启停、UPS蓄电池充放电以及电池内阻监测等常规检测手段，也实现自动化。三是对自动气象观测设备的实时巡检、监控保障，对自动观测设备各类传感器(包括采集器电源)、通信线路的运行状态和监测数据进行集中检测和监控。将观测场传感器状态、维护端口测量数据和 UPS 电源状态纳入到整个气象业务监控报警体系中，如贵州省兴仁县气象局研发的“县级自动站监控系统”[6]，能够自动监测观测系统相关设备的运行状态，出现异常能够及时预警，业务人员可以快速准确地处理故障。

4.3 部署远程访问安全策略

修改远程桌面端口：观测业务计算机使用Windows操作系统。远程连接默认端口为3389。此端口极易遭受各类病毒攻击，所以要进行修改[7]。修改Windows操作系统注册表可改变 RDP服务器的端口号[8]，避免该端口被攻击者利用。

安装终端防护软件：针对计算机易遭受病毒入侵，需要在计算机上安装正版杀毒软件及终端防护系统，并定期对病毒库更新，防范计算机病毒入侵。

防范ARP欺骗：ARP欺骗是通过伪造网关实现攻击的一种方式，利用了协议维持信息一致性操作上的缺陷，可以造成网络中断甚至数据窃取。气象信息网络采用静态地址策略，不会经常变化。可以在计算机DOS窗口键入命令行“arp-s 观测计算机IP地址观测计算机物理地址”，对IP地址与物理地址进行绑定，防止ARP欺骗攻击。

4.4 采用增强型身份认证

利用“USBKey+PIN码”的方式实现双因子强身份认证，并结合气政通证书技术，对现有远程桌面协议进行安全增强，将远端台站计算机的USBKey设备安全可控地映射至虚拟桌面中，建立虚拟桌面连接安全通道，实现值守人员远程登录强身份认证。身份认证流程如图1所示。

图1 增强型双因子身份认证流程

4.5 优化无人值守观测业务内容

在市局远程值守业务中，除了原有气象站运行情况监测值守任务之外，增加对观测站环境、供电、网络传输等气象站网络安全状态监测和控制。在观测自动化业务流程中制订安全运维策略；分析观测站信息设备运行状态和调控作业报告、设备告警信息等；根据观测站信息设备情况制定相应的应急保障预案。进而使观测值守人员从数据采集向数据分析、运行保障等业务转型升级。