有效應對氣象網(wǎng)絡安全威脅態(tài)勢

張寧蒙

摘? ? 要：伴隨著信息網(wǎng)絡技術的快速發(fā)展，氣象預測領域已經(jīng)進入到人工智能和大數(shù)據(jù)時代，氣象數(shù)據(jù)計算能力有了很大提升。但要看到隨著信息網(wǎng)絡系統(tǒng)規(guī)模逐漸擴大化，病毒、黑客和數(shù)據(jù)篡改等風險也在時刻威脅著氣象信息網(wǎng)絡安全。由此必須加強網(wǎng)絡安全防范的機制體制和技術的升級，以實現(xiàn)氣象現(xiàn)代化、智能化的有序、平穩(wěn)推進。

關鍵詞：信息網(wǎng)絡;氣象信息;系統(tǒng)威脅

一、氣象信息網(wǎng)絡面臨的主要威脅

網(wǎng)絡安全是指，由于計算機網(wǎng)絡具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，致使網(wǎng)絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。信息安全核心包括保密性、完整性、可用性、可控性和不可否認性五個安全目標。網(wǎng)絡信息安全可看成是多個安全單元的集合。其中，每個單元都是一個整體，包含了多個特性。主要特性包含3種類型，分別為安全特性、安全層次和系統(tǒng)單元。

氣象信息網(wǎng)絡安全涉及到網(wǎng)絡技術、制度規(guī)范、運維人員等多個要素，概述如下。

一是自然環(huán)境造成的損毀。氣象數(shù)據(jù)的采集站點較為分散，且部分線路、設備所處環(huán)境比較復雜，有可能遭受水淹、火災、雷擊等自然災害的損壞，造成氣象數(shù)據(jù)通信不暢，甚至氣象信息網(wǎng)絡癱瘓。

二是軟件應用的漏洞和“后門”。隨著軟件系統(tǒng)規(guī)模的不斷增大，軟件應用開發(fā)時，系統(tǒng)中的安全漏洞或“后門”問題始終難以克服，例如常用的操作系統(tǒng)，或者眾多的各品牌的服務器、瀏覽器等都存在一定的安全隱患。病毒可以利用系統(tǒng)漏洞給用戶造成巨大損失，任何一個軟件系統(tǒng)都可能會因為程序員的一個疏忽、設計中的一個缺陷等原因而存在漏洞。

三是殺毒軟件有漏洞。網(wǎng)絡上惡意發(fā)動攻擊的手段多種多樣，系統(tǒng)自帶的漏洞、高危端口也易成為被攻擊的目標。勒索病毒、挖礦木馬和蠕蟲病毒帶來的威脅和影響在日益擴大，對氣象數(shù)據(jù)安全和完整性帶來較大困擾。

四是缺乏有效監(jiān)控可視化設備。目前對氣象資料傳輸?shù)谋O(jiān)視，只注重傳輸?shù)慕Y(jié)果，即數(shù)據(jù)是否到最終指定的文件夾，對整個數(shù)據(jù)傳輸鏈條沒能進行整體監(jiān)控。

五是運維網(wǎng)絡安防意識和專業(yè)能力不強。有些單位重建設輕安全管理，經(jīng)常處于被動式、救火式的被動工作模式，導致裝設備運行狀態(tài)不佳。故障檢測和排除能力弱，導致響應速度慢、恢復時間長。沒有掌握運維管理的科學方法，建立起服務安全標準體系，對網(wǎng)絡安全方法研究不夠，專業(yè)性不強。

二、化解氣象信息系統(tǒng)威脅態(tài)勢的途徑

面對氣象信息系統(tǒng)威脅態(tài)勢，應該采用系統(tǒng)性方法，綜合施策，以實現(xiàn)最佳安全防護效果。

一是通過網(wǎng)閘進行物理隔離。網(wǎng)閘可以保證高強度的安全，同時又與其它不信任網(wǎng)絡進行信息交換。網(wǎng)閘可以切斷網(wǎng)絡之間的通用協(xié)議連接，將數(shù)據(jù)包進行分解或重組為靜態(tài)數(shù)據(jù)。對靜態(tài)數(shù)據(jù)進行安全審查，包括網(wǎng)絡協(xié)議檢查和代碼掃描等。

二是機房安全設備管理。通風系統(tǒng)、消防報警系統(tǒng)、門禁系統(tǒng)要定期進行檢查維護。UPS備用電源應做好日常監(jiān)控維護，以備突然斷電或電壓異常波動給系統(tǒng)造成的影響，UPS可分為被動后備式、在線互動式和雙變換式。

三是部署防火墻。防火墻總體上分為包過濾技術、應用代理技術、狀態(tài)檢測技術和完全內(nèi)容檢測技術幾大類型。通過對終端計算機系統(tǒng)定期的進行安全風險評估，可以彈性制定防火墻安全策略。

四是保障主機系統(tǒng)安全。在核心設備進行VLAN劃分設置， 通過對各區(qū)域用戶IP地址的地址段劃分實現(xiàn)訪問功能的分區(qū)。 VLAN主要功能是隔離廣播域，從而使同一局域網(wǎng)的二層數(shù)據(jù)無法在不同VLAN之間傳遞，不同VLAN可以通過三層交換機通過IP路由方式轉(zhuǎn)發(fā)，而IP層面的控制操作相對容易且清晰。

五是運用數(shù)據(jù)加密算法。通過加密的算法對數(shù)據(jù)進行傳輸，增強被截獲時破解的難度。采用密鑰來進行數(shù)據(jù)加密，通常有三種類型，對稱加密、非對稱加密和HASH加密。

六是確保數(shù)據(jù)適當冗余度，可以通過云硬盤或磁盤陣列（RAID）方式進行備份，對信息系統(tǒng)之中的存儲信息進行備份與恢復處理，數(shù)據(jù)中心冗余等策略。避免在系統(tǒng)故障、用戶誤操作、數(shù)據(jù)被破壞和篡改的情況下數(shù)據(jù)丟失。

七是增強檢測和監(jiān)督控制。在核心交換機部署IPS，提供主動防護，通過直接嵌入到網(wǎng)絡流量中實現(xiàn)主動防御，即通過一個網(wǎng)絡端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另一個端口將它傳送到內(nèi)部系統(tǒng)中。進行用戶控制，通過集中式資源控制，基于端口、源地址、目的地址和信息級別的過濾管理等形式來限制用戶的非授權訪問。

八是互聯(lián)網(wǎng)入口處配備網(wǎng)絡管理設備。網(wǎng)絡管理設備包括各節(jié)點的網(wǎng)管單元以及網(wǎng)絡管理中心的設備和相應的軟件，并對網(wǎng)絡進行規(guī)劃、控制和監(jiān)視，確?；ヂ?lián)網(wǎng)的正常運行。

九是加速數(shù)據(jù)監(jiān)控可視化系統(tǒng)研發(fā)。系統(tǒng)要集合多維度數(shù)據(jù)，高效進行數(shù)據(jù)清洗、篩選、歸類和整理，以動態(tài)圖表等直觀的方式對數(shù)據(jù)來源、流程、到報率等信息進行有效顯示，輔助運維人員高效監(jiān)控，實時掌握情況。

十是加強制度機制建設。教育保障人員嚴守網(wǎng)絡安全工作制度等相關規(guī)定，嚴禁出現(xiàn)違規(guī)行為。嚴格批準登記制度，嚴禁隨意改變網(wǎng)絡拓撲結(jié)構，網(wǎng)絡設備布置，服務器、路由器和參數(shù)配置。制定有效應急預案。確保預案科學、有效，保護設備安全、運行安全和數(shù)據(jù)安全，盡可能地預防和減少設備故障事件對保障工作造成的負面影響。

在計算能力高速發(fā)展、氣象預報智能化、精細化成為趨勢的今天，氣象信息網(wǎng)絡的安全的重要性尤為突出，在氣象領域發(fā)揮越來越重要的作用。要積極關注網(wǎng)絡安全新技術、設備性能新突破、運維機制新理念，進行全面分析與研究，打牢氣象信息網(wǎng)絡安全基礎，促進氣象建設不斷進步。

參考文獻：

[1]李鹿，陳煒光，淺談氣象信息網(wǎng)絡安全策略及技術，科技經(jīng)濟導刊. 2019年29期 第34頁.

[2]沈鹿鳴，吳杰，基于等級保護的氣象信息系統(tǒng)安全防護策略分析，青海氣象. 2019年01期 第53-55頁 .