摘要:本文基于气象业务专网的访问控制管理,气象业务服务器与终端计算机的安全管理,气象业务专网网络设备的维护与管理,气象数据的运行维护与管理,优化了运维流程以提高应对气象信息系统风险能力。
关键词:气象专网;网络管理;气象数据维护
随着气象业务现代化的飞速发展,南平市气象信息网络也日渐发展完善。气象信息网络应用的不断深入、业务系统功能的不断增加、气象数据呈几何倍数增长,对气象信息网络相关设备与气象数据的运维提出了更高的挑战。气象信息系统运维人员与进俱进学新知识,及时总结日常工作经验,优化运维流程,提高应对气象信息系统风险能力十分必要。
1气象业务专网的访问控制管理
访问控制管理可分为两个层次内容:物理访问控制和逻辑访问控制[1]。物理访问控制包含对符合标准规定的用户、设备、门、锁和安全环境等方面的管理,而逻辑访问控制则是在数据、应用、系统、网络、权限等层面实现的管理。气象业务专网的访问控制要求做到二者兼顾,机房门禁系统、运维审计堡垒机及网络准入管理系统在南平市局气象业务专网网络管理上得到很好的应用。
1.1机房门禁系统通过机房门禁系统实现对气象信息网络核心区即机房的出入门和通道进出控制防非法人员进入、防非法时间进入。系统还具备对出入核心区人员及出入时间、频次的统计和查询等功能,从而在物理访问控制层面实现对服务器、网络、数据存储设备的安全保障。
1.2运维审计型堡垒机目前,堡垒机按使用场景的不同分为两种类型的堡垒机,一是网关型堡垒机,二是运维审计型堡垒机。其中运维审计型堡垒机被称为“内控堡垒机”[2],它可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计,对策略配置、系统维护、内部访问等进行详细的记录,提供细粒度的审计,并支持操作过程的全程回放。它将运维审计由原来的针对事件审计提升为更加复杂的针对内容的审计,并将身份认证、授权、管理、审计有机的结合,保证只有授权用户才拥有运维权限[3]。目前,南平市局根据运维管理工作需求部署了运维审计型堡垒机。当市局内设机构、直属单位或他们委托公司开发的系统需要部署在市局机房Windowsserver服务器上时,通过RDP(远程桌面)方式访问其部署的服务器必须通过堡垒机进行访问,使用堡垒机授权的运维操作员用户才可以以RDP(远程桌面)方式访问服务器,且运维审计员还可在堡垒机查看到审计事件的统计报表和运维操作员登录服务器的所有操作过程回放。
1.3网络准入管理系统网络准入管理系统核心是解决设备接入问题,规避非法设备接入引起的病毒传播、数据泄露、恶意攻击、木马植入、静默监听等安全隐患。为了确保气象业务专网以及业务系统的安全,需要建立一个牢固的立体安全防护体系,以达到更加完善的网络系统安全[4]。网络准入系统对每一台接入气象业务专网的终端进行身份合法性、主机合规性检查,构建“入网必合法、入网必可信”,从而提升网络的整体安全。目前,市局以纯旁路方式部署了网络准入管理系统,采用端口的镜像准入技术,对交换机镜像数据实时分析,实时监测并及时阻断配置有IP地址的非授权终端接入,同时技术人员通过配置IP、MAC、端口三者的强制绑定有效防止终端仿冒IP接入网络。
2气象业务服务器与终端计算机的安全管理
气象数据采集、加工处理、预报预测、共享服务、存储归档等气象业务和科研各个环节离不开业务专网中服务器和终端计算机软硬件的支撑,安全运维服务器和终端计算机关系到气象业务及科研的正常开展,可以通过以下几种常用方法实现气象信息网络中服务器与终端计算机的安全管理。(1)为每台计算机安装正版的操作系统。作为其他软件的载体,正版操作系统能及时得到厂家不断更新升级的服务以保证系统性能的安全平稳运行。(2)为每台计算机配置安全账号和密码。日常工作须加强操作系统的账号和密码的维护和管理。在密码设置上要符合口令的安全性要求,避免设置容易简单易猜的密码。在账号管理上,普通用户要设置账号管理策略,对不同的用户设置不同的操作权限,并定期更新账号名称和密码,关闭不常用的账户,禁用匿名登录账号,修改默认管理员用户名称[5]。(3)为每台计算机安装网络版杀毒软件。技术人员定期通过杀毒软件控制中心进行病毒库的升级,然后杀毒软件客户端根据控制中心的升级策略进行杀毒软件的自动或手动升级。(4)为每台计算机做好操作系统及重要应用的各种补丁程序的安装。技术人员在网络中部署漏洞扫描产品,考虑到漏洞扫描与修复是对操作系统及重要应用的修复,对系统的运行有可能造成影响,且修复完成均要重启计算机补丁才生效,因此在漏洞扫描控制中心配置升级策略为手动升级,接着漏洞扫描客户端按需求从控制中心手动下载并安装系统补丁程序,从而规避可能的系统错误和风险。(5)为每台计算机关闭不需要的端口和服务。技术人员在实际工作中要梳理气象业务专网中每台计算机的通讯端口,“启用”操作系统自带防火墙,然后在防火墙“高级设置”中配置“出站规则”和“入站规则”,阻挡或允许特定程序或端口的连接。例如要避免勒索病毒利用风险端口135、137、138、139、445入侵计算机,首先在系统防火墙配置中“启用WINDOWS防火墙”,然后在“高级设置”的“入站规则”中“新建规则”以阻止以上风险端口的连接。(6)定期为每台计算机做好日志检查与分析。技术人员在对数据中心服务器日常巡视时要注意查看系统日志。系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。通过查看系统日志来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹,以便有针对性地采取措施应对同类风险再次发生。
3气象业务专网网络设备的管理与维护
南平市局气象信息网络根据福建省气象局规划和部署,已接入覆盖全省的气象信息专用网络,市局气象信息网络在该专网中起汇聚层的作用,上承福建省气象局专网,下接南平所辖十县市(区)气象局专网,气象业务专网中运行的各种网络设备从功能上大致可分为两种:网络互联设备与网络安全设备,以下是运维网络设备必须关注事项。(1)与计算机管理相同,要为每台网络设备配置安全账号和密码。日常工作须加强设备账号和密码的维护和管理。在密码设置上要符合口令的安全性要求,避免设置容易简单易猜的密码,并定期更新密码,关闭不常用的账户,禁用匿名登录账号。(2)指定专用终端管理网络设备,以避免不被允许的终端修改网络设备配置。技术人员对网络设备进行策略配置时必须使用堡垒机,利用堡垒机实时监控和完整审计的功能更好地规范技术人员的操作行为。(3)熟悉网络拓扑结构,定期做好网络互联设备的巡检。南平市气象宽带通信网已实现省-市-县双线路,双路由的冗余热备、自动切换,南平市局网络管理人员必须重点关注市局的两台汇聚路由器的工作状态,包含南平市局至省气象局与南平市局至所辖十县市(区)气象局双线路的连接状态、接口与协议的启用、路由器的软件版本、CPU的温度、设备电源的工作状态、风扇的工作状态、QOS策略的配置等等。(4)定期做好网络安全设备如防火墙、入侵检测等安全设备的升级。安全设备上的漏洞是不法黑客的攻击的重要入口,因此对安全设备必须定期更新升级,其中包括升级各种规则库、病毒库、URL库、IPS特征库等。(5)定期对网络设备配置进行保存并导出,以方便在发生故障时可用来恢复之前的配置。这在对网络设备进行策略调整时尤为重要,在调整策略前后均要将配置备份后分别导出,对配置调整后的导出文件必须标注日期及更新内容,以备后查。(6)充分发挥安全设备的防护能力,精细配置防护策略使其既能保障气象业务专网中服务器及其应用的正常运行,又能最小化授权拒绝非法访问,从而实现气象业务专网受保护安全域的业务开展和安全保障要求的平衡。(7)日常巡视并分析安全设备的告警日志,适时调整“安全策略”。部署安全设备不足以保护网络的安全,一次配置完成安全设备不意味着一劳永逸,技术人员还需要不断监控和分析安全设备产生的日志。通过分析日志检测诸如网络入侵、病毒攻击、反常行为、异常流量等安全威胁,从而有针对性调整网络整体安全策略。并且在安全设备上还可监控到网络流量情况,进而更科学规划网络带宽。
4气象数据的运维管理
安全的气象业务专网为气象数据提供可靠场所,进而保障气象业务正常运行。目前,业务专网气象数据有多种来源,不仅可通过地市级CMACAST卫星接收小站接收国家气象局下发的各类气象数据、本市各自动观测气象站收集的观测数据、省气象局共享服务器共享的气象数据,还可通过全国综合气象信息共享平台(CIMISS)获取气象数据。市气象局预报、科研、服务人员根据收集的气象数据分析制作各种产品或成果存放到市局气象数据中心。气象数据中心将这些数据入库或以文件方式分类存放在固定的目录下提供给气象应用各平台使用,日常气象数据运维的运维策略如下。(1)梳理各种气象数据的数据流,根据数据流程中的各记录和留痕定位故障原因。例如,防灾减灾平台上台风数据的获取的完整数据链路是从CMACAST卫星接收小站接收原始数据、气象信息综合分析处理系统(MICAPS)后处理程序处理后分发产品在MICAPS系统台风工作目录下,防灾减灾平台以共享方式将数据读取到平台服务器的台风原始数据目录下,接着入库程序将台风数据写入防灾减灾平台数据库,这样防灾减灾平台服务端才可从数据库读取台风数据。当平台客户端读不到台风数据时,技术人员需要对多台服务器,多个应用程序及网络链路进行排查,根据每台服务器留痕定位故障原因。(2)制定并用好数据库监控方案和数据库应急备份方案。市局大部分的气象应用平台读取的是数据库的数据,气象数据库的运维管理至关重要,而加强数据库的监控与优化和做好数据库的应急备份[4]是做好数据库运维管理的关键。技术人员必须制定详细的数据库监控方案和数据库应急备份方案,对数据库的监控方案规定对每天数据库运行状态、日志文件、备份情况、数据库空间使用情况、系统资源的使用情况进行检查,发现并解决问题;每周对数据库对象空间扩展情况、数据增长情况进行监控,对数据库对象的状态做检查,每月根据数据库状态对数据库性能进行调整并提出下一步空间管理计划。数据库应急备份方案规定为每小时甚至更频繁备份事务日志,每天做一次差异备份,每周做一次包含用户表、系统表、索引、视图和存储过程的完全备份。
5结语
当今世界,以云计算、大数据、移动互联、物联网等技术为代表的现代信息技术方兴未艾,深度学习、人工智能等技术蓬勃兴起,给各行各业带来深度影响。气象业务不仅需要开展基于物联网、“互联网+”的业务应用,引导气象观测与气象服务的智能化发展,还要采用新技术以完善信息系统安全防护体系,保障各类气象信息系统安全可靠运行。从事气象信息网络工作的技术人员将面临更加多元的能力考验,只有不断地学习,更新自身的知识体系才能应对新时代新技术的挑战。
作者:郭晓佳 江彩英 单位:南平市气象局
