新形势下气象网络安全体系设计研究

2022-10-14曹玉静唐红昇郭转转通讯作者付硕李萍

网络安全技术与应用 2022年8期

◆曹玉静唐红昇郭转转通讯作者付硕李萍

（1.中国气象局气象发展与规划院北京 100081；2.江苏省气象局江苏 210008）

近年来，云计算、大数据、物联网、人工智能及移动互联网等技术全面快速融入气象业务技术，促进了气象事业的快速发展，综合气象观测网络系统、智能网格预报业务系统及国省级气象大数据云平台等不断建设成熟，气象现代化水平不断提高，气象网络安全基本满足气象事业的发展需求。但是，随着网络安全形势日益严峻，来自境内外黑客组织、非法机构的活动日益增多，勒索病毒、密码破解、网页篡改等网络安全事件在气象部门频发。因此，在新形势下，如何处理好气象事业高质量发展与气象网络安全的关系，亟须研究设计完善的气象网络安全体系，指导气象网络安全建设与发展。

1 气象网络安全与基本气象业务的关系

现代气象业务体系包含综合气象观测、气象预报、公共气象服务等主要气象业务，各业务构成一个有机链条，相互支撑、相互促进，气象预报业务是核心，在协同推进监测精密、预报精准、服务精细中起到“龙头作用”。综合气象观测业务是基础，为气象预报和公共气象服务业务提供基础观测资料，公共气象服务业务是引领，通过公共服务发展需要引领气象预报和综合气象观测业务发展，气象信息网络、科技、人才和装备保障为主要气象业务提供支撑。

气象网络安全作为气象信息网络业务的一部分，贯穿整个气象业务，为主要气象业务提供网络安全保障支撑，在现行网络安全等级保护制度要求下，按照网络安全等级保护2.0标准要求，综合考虑气象业务特点，按照信息系统、通信网络设施、数据资源三类，以综合气象观测及保障系统、天气预报预警系统、气候预测系统、公共气象服务系统、云计算平台（客户侧）、全国气象宽带网、气象数据及气象大数据云平台等8项具体气象业务系统作为气象网络安全保护对象，具体如表1所示。

表1 气象网络安全保护对象

气象网络安全体系设计、建设及运行等均围绕具体保护对象开展，建立较为完善的气象网络安全保障能力，安全稳定支撑气象业务发展。

2 气象网络安全建设现状

气象业务的建设发展，主要通过气象工程建设项目来具体落实和推动，因此，立足前文提出的气象网络安全保护对象，收集近10年来气象工程建设项目材料，从工程项目具体建设任务和资金投入角度，分析气象网络安全建设现状。

本文所统计的气象工程建设项目400余个，包含气象网络安全建设任务的项目共24个，占总项目个数的6%；统计的项目总资金约100亿元，网络安全资金投入约2.6亿元，占总资金比例不足3%，结果表明，气象工程建设项目网络安全建设任务少，网络安全资金占比低。

气象信息化工程是近10年来气象网络安全建设任务设计最全面，资金投入最多的项目，因此，将统计的项目按照气象信息化工程和其他工程分类，图1给出气象信息化工程和其他工程网络安全建设任务和资金投入情况。

图1 气象信息化工程和其他工程网络安全建设任务和资金投入情况

气象信息化工程，考虑了未来五年国省两级气象网络安全防护和统一安全服务等建设任务，该工程为国省两级未来五年气象网络安全建设提供主要支撑。气象信息化工程总资金投入约24亿元，网络安全建设任务投资约1.3亿元，占总资金比例约5.4%，从图1可以看出，该工程网络安全具体建设任务主要包含网络安全软硬件产品购置和安全软件功能开发。其他工程，网络安全建设任务主要包括网络安全区域边界划分、通信网络安全设备布设、安全计算环境及安全管理中心建设等。其他工程总投资约76亿元，网络安全建设任务资金约1.25亿元，占总投资比例约1.6%，从图1可以看出，其他工程网络安全具体建设任务主要以网络安全软硬件产品购置为主。

基于以上分析，从气象工程建设项目角度出发，气象工程建设项目建设和投资重点均以主要气象业务系统为主，极少数项目包含了气象网络安全建设任务。即便气象信息化工程，完全以信息化为主的建设项目，相比其他工程气象网络安全考虑得比较全面，但在工程总体中网络安全所占体量也非常小。因此，总体上，气象网络安全建设相比其他气象业务系统建设体量非常小，并且主要以保障气象信息网络自身安全为主，与气象业务系统等安全保护对象需求不匹配。

3 气象网络安全存在问题

立足前文的分析，结合现有气象网络安全建设和管理具体情况，得出气象网络安全存在以下几个方面问题。

3.1 气象网络安全缺少顶层设计

做好气象网络安全顶层设计，能够指导气象网络安全全面工作，确保国家网络安全法律、政策、文件等及气象部门网络安全要求落地实施，同步落实网络安全等级保护制度，明确网络安全责任等。

但一直以来，气象网络安全缺少顶层设计，气象网络安全建设和管理缺少规范指导，与最新的国家法律政策要求不相适应，部门内网络安全管理规章制度等不健全，气象数据安全管理措施不够。未来随着新信息技术的应用、气象业务技术体制改革、气象高质量发展对气象网络安全保障要求日趋迫切，亟须加强气象网络安全顶层设计，明确气象网络安全战略目标、规范气象网络安全建设管理、推进气象网络安全工作、强化气象网络安全全面防护能力、整体提升气象网络安全保障能力。

3.2 气象网络安全尚未纳入气象核心业务体系

气象业务以综合气象观测、气象预报、公共气象服务等为核心，气象信息网络系统通常仅作为业务的基础支撑，但即便如此也是以通信网络、计算、存储等基础设施资源等为主，气象网络安全并未纳入正式业务，缺少常规业务运行维持经费支持，相关气象网络安全工作难以全面开展。按照国家和气象部门内部网络安全相关要求，气象网络安全应贯穿气象业务全流程全方位，但一直以来，仅停留在网络安全软硬件设备层面，并且更多是保障气象信息系统本身网络、设备及配套信息系统的安全，并未考虑综合气象观测、气象预报预测、公共气象服务等业务信息系统的安全。

3.3 气象网络安全建设“重硬轻软”

从前文分析来看，气象工程建设项目网络安全建设普遍存在“重硬轻软”的现象，相比气象信息化工程，其他工程建设项目几乎全部为安全硬件建设。在没有科学合理确定网络区域、评定网络安全等级的情况下，资金集中在网络安全硬件，很难切实发挥效益。而实际上，在设计好安全策略和规则的前提下，适量配置网络安全硬件设备，网络安全建设才能发挥更好的效益。另外，“十三五”以来，气象工程建设项目信息系统软件开发体量越来越多，每个项目涉及多达数十个甚至上百个气象业务应用软件功能开发，但在业务应用软件立项设计、开发建设及运行全过程，软件安全考虑不足。

3.4 气象网络安全制度建设不足

为贯彻《中华人民共和国网络安全法》，落实网络安全工作责任制，加强网络安全管理，提高网络安全保护能力，2020年中国气象局组织制定了《中国气象局网络安全管理办法（试行）》，相关省级气象部门也制定了关于落实网络安全管理工作责任等相关的制度文件。但是，由于网络安全意识不足、专业人员缺乏及宣传培训不到位等各方面原因，导致网络安全相关制度落实不到位，并且缺少有针对性、可操作性及更具体细化的制度规范。

4 新形势下气象网络安全体系建立

以新时期气象高质量发展对气象网络安全保障需求为引领，做好气象网络安全顶层设计，亟须研究构建气象网络安全体系，加强气象网络安全建设管理，制定一系列气象网络安全制度规范约束指导各级气象部门开展落实网络安全各项工作。

4.1 建立气象网络安全总体体系架构

在前文分析基础上，结合部门具体实际，本文提出建立 “一核心、一基础、一保障”的气象网络安全保障体系，具体指，在总体国家安全观的指导下，以创新为动力，以需求为导向，以落实网络安全等级保护制度为抓手，以气象观测、预报预警、预测、服务业务应用安全为核心，以通信网络、计算存储、气象数据及软件应用支撑环境安全为基础，以一系列气象网络安全标准和一套完善的气象网络安全制度为保障，坚持网络安全和信息化发展并重、管理机制和技术手段并举。

本文提出的气象网络安全体系更加聚焦核心气象业务安全需求，将气象网络安全全面融入核心气象业务。技术方面以网络安全等级保护2.0标准体系为抓手，在具体工作中落实相关标准要求，软硬件并重，全面提高气象网络安全业务技术水平和能力。气象网络安全更多不是技术问题，而是制度管理问题，因此在制度方面，亟须制定更加细化、可操作的一系列气象网络安全相关管理制度规范等，并配套建立实施监督考核机制，促使相关制度规范落地实施。

气象网络安全体系总体架构如图2所示。

图2 气象网络安全体系架构图

4.2 建立较为完善的气象网络安全管理体系

在现有国省级气象网络安全管理制度基础上，针对气象业务特点，结合攻防演习中出现的问题，并进一步分析气象高质量发展进程中可能存在的网络安全风险点，建立较为完善的气象网络安全管理体系，包含指南、规范等基本业务工作规范文件和管理监督等政策文件，具体如气象部门网络安全定级工作指南、气象网络安全定级细则、气象关键信息基础设施定级指南、气象部门商用密码应用指南、气象业务应用软件代码编制安全规范及气象网络安全软硬件设备配置规范、气象数据安全管理办法、基于移动互联技术的气象业务管理办法、气象业务应用软件安全开发管理办法、气象网络安全工作监督考核管理办法及气象网络安全教育培训管理办法等。在政策文件制定下发的同时，加强政策宣传培训，强化制度落实和监督管理，并将单位网络安全管理工作纳入考核目标。

4.3 重视气象数据安全

气象数据是气象部门最重要的资产之一，气象数据不仅关乎气象部门安全，也关乎国家安全。气象数据具有典型的大数据特点，每天气象观测、预报及服务业务都产生海量数据，加强数据安全是非常重要且必要。按照《数据安全法》，应首先对气象数据进行数据安全分级分类，建立气象数据安全分级和数据产权分类的管理制度，针对不同安全类别的气象数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施，实施气象大数据的“采集、传输、处理、存储、服务、归档、销毁”全生命周期安全监管，识别安全风险，完善管控举措，针对不同产权分类加强用户权限和流向监管。开展数据全流程安全管理，实施用户统一认证和数据安全使用的权限管理，强化终端数据安全；敏感气象数据内外部传输采用适当的加密保护措施，保证传输数据安全，防止传输过程中的数据泄漏；严格数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级、数据迁移等管理制度；完善气象数据开放清单管理制度，健全数据出境安全管理制度，确保数据出境安全；建立发生数据安全事件后的应急处置制度。