氣象信息化建設中的網絡防護體系研究

摘要 在信息技術支撐下，氣象事業實現信息化和現代化，當前已經成功構建氣象信息化體系。氣象信息化建設過程中，如何在開放共享的同時確保安全可靠是需要重點探究的問題。重點探討了氣象信息化建設過程中的網絡防護體系，具體措施：一是劃分網絡安全區域，二是增強網絡邊界防御能力，三是實現遠程訪問設備的科學部署，四是健全網絡安全管理制度，五是完善服務器及終端防護，以供參考。

關鍵詞 氣象信息化；網絡防護；網絡安全

中圖分類號：P409 文獻標識碼：B 文章編號：2095–3305（2023）02–0136-03

在提高氣象服務水平的過程中，實現氣象信息化是至關重要的，并要堅持以信息化推進現代化，促使氣象服務達到先進水平。當前，氣象信息化建設方面取得了較好的成效，甚至是已經初步實現“智慧氣象”。按照國家信息化發展戰略，在氣象信息化建設過程中必須高度重視網絡防護體系，目的是確保氣象信息可以實現開放共享，處于安全可靠狀態。因此，十分有必要探究氣象信息化建設過程中的網絡防護體系相關問題。

1 氣象信息化建設的成效

當前的氣象信息化建設取得了良好的成效，達到先進水平。氣象信息化建設的成效可以體現在以下4個方面。

首先，氣象信息化依托當前的信息技術手段，尤其是大數據和互聯網，形成“互聯網+”氣象服務，推動著氣象服務實現現代化和智慧化。所構建的氣象信息化體系具備三大特點：一是綠色安全，二是集約高效，三是功能齊全。在這一基礎上，氣象服務工作可以高質量推進，滿足新時期氣象服務工作的要求，完成氣象業務轉型升級。

其次，在氣象信息化建設過程中，注重信息基礎設施的建設，主要是云平臺、氣象大數據云平臺，各種信息技術可以發揮好支撐作用，促使氣象信息化體系有效開展作業[1]。與此同時，氣象信息化體系中會有開放共享數據體系，實現氣象數據的整合與分享，氣象數據可以實現跨界應用，為各行各業提供服務。

再次，氣象信息化建設過程中形成健全的氣象業務體系，可以提高氣象服務的服務水平，同時可以實現氣象管理的現代化。不過在此過程中，如何進一步提高數據保障的針對性、有效性還應進一步做好研究，做好國家重大戰略氣象保障。

最后，在氣象信息化建設過程中，網絡安全至關重要，當前已經初步建立起共治共用的網絡安全體系，注重多種網絡安全技術的應用，能夠確保氣象信息化的安全，保障氣象信息安全[2]。不過，氣象信息化的網絡安全容易受到多種因素的影響，因此實際開展的網絡安全防護實則有較大的安全隱患，后續還必須進一步提高氣象信息化體系的安全性，持續性地完善信息化發展保障體系，對各類安全隱患實施主動防控。

2 氣象信息化建設中的網絡安全問題

2.1 網絡邊界安全問題

氣象信息化建設及服務中，氣象內部專網會接入外部運營商的互聯網，同時會有電子政務網、行業專網。在省級、市級、縣級的氣象數據傳遞過程中，會互相連接氣象業務寬帶網和辦公互聯網。也正因如此，氣象數據傳輸會經過不同的網絡區域，容易受到外部網絡的滲透與干擾，如果未能進行有效的安全管理及防護，極易遭受黑客的訪問，涉及網絡邊界安全的問題。目前，氣象信息化建設過程中的網絡安全建設還存在不足之處，未能有效解決網絡邊界安全問題，或者是未能有效部署相關網絡安全設備，難以保障氣象數據傳遞與共享過程中的絕對安全。

2.2 互聯網遠程訪問安全問題

在開展氣象業務的運行及服務過程中，如果業務服務器及終端是外部公司運維，數據通信時需要由外部公司網絡接入氣象內網。在此基礎上，可以采取QQ遠程的方式，也可以借助Teamviwer遠程客戶端的方式，均可以達到數據通信的目的。當無論是采取何種方式，通信方式的服務器均是外網服務器，當服務器被黑客攻破，便會滲透至氣象信息化內網環境，氣象數據的保密性將不復存在，導致氣象數據被嚴重泄露。此外，氣象信息化體系無法有效監視遠程訪問行為，甚至是無法有效對遠程訪問行為進行限制和管理，當無法找到遠程訪問的主機時，則會出現網絡安全事故的風險大大增加，且會處于被動防御的狀態中。

2.3 服務器及終端網絡安全問題

在服務器及終端網絡的安全防護中，Windows系統極易受到病毒的侵襲，未能及時消除時可能造成整個服務器及終端出現故障。當氣象服務的主機設備感染病毒，實際運行過程中會出現網絡中斷的情況，或者會出現操作系統內部的內存利用率達到峰值的情況，均難以確保氣象信息化體系的安全運行和高效運行[3]。當前可使用的殺毒軟件較多，但殺毒效果參差不齊，若沒有及時更新殺毒軟件，殺毒軟件病毒庫會比較舊，難以有效進行病毒查殺，導致氣象信息化體系處于不安全運行狀態。例如，當氣象信息化的服務器感染“挖礦”病毒后，可能會導致服務器的CPU達到峰值，正常的氣象業務難以開展，自然影響到氣象信息化體系的服務質量。除此之外，在氣象信息化的服務器運行過程中，一些危害性較大的病毒可造成嚴重后果，輕則會導致服務器出現反復關機的情況，重則會導致主機文件消失，或是被加密，對氣象信息化服務造成不良影響。

3 氣象信息化建設中的網絡防護體系

3.1 實現網絡安全區域的劃分

氣象信息中心機房局域網內詳細劃分網絡安全區域，包括安全管理區、隔離交換區、業務內網區、氣象寬帶網區。

業務內網區可以設置在網絡安全區域的公共連接處，實現氣象業務數據與互聯網的數據的交換。業務內網區可以連接安全管理區、隔離交換區、氣象寬帶網區，內部所打造的氣象數據環境和體系能夠實現氣象信息的多種處理工作，主要是氣象信息的收集、處理、存儲及分發[4]。在實際工作中，氣象數據中心可以在互聯網、氣象寬帶網區的支持下，完成氣象數據信息的收集，內網業務區的局域網可以完成氣象數據信息的傳遞和共享，氣象服務中心、氣象臺可以獲得所需要的氣象數據。

安全管理區需要接入核心網絡區域，主要是依賴于網絡線路旁路。如此一來，可以有效實現辦公區、業務區之間的訪問控制及管理，確保氣象數據信息訪問的安全性。與此同時，安全管理區可以審計核心網絡區的氣象數據信息，主要是氣象的日志信息和數據庫，若網絡環境內部的服務器和終端設備出現病毒風險，則可以及時查殺和修復，確保服務器、終端設備處于安全運行狀態。

隔離交換區需要布置在外部網絡、內網業務之間，從而實現內部和外部數據的中轉交換。外部網絡需要接入各個運營商的互聯網專線，互聯網交換區可以提供所需要的端口流量接入，滿足外部業務的實際需求。除此之外，在實現氣象數據的隔離區與互聯網之間的單向數據交換時，應提供SSL-VPN通道加密通訊協議的流量接入。

氣象寬帶網區可以建立在內網業務區和外部網絡區域之間，實現省級、市級及縣級之間的氣象數據信息交換。為了切實提高數據信息交換過程中的安全性，應在氣象寬帶網中建設網絡安全防護設備，有效地訪問控制氣象數據的傳輸過程，及時發現并處理所存在的安全隱患。

3.2 增強網絡邊界防御能力

在氣象信息化建設過程中，網絡邊界防御直接關乎網絡安全水平，所以要提高網絡邊界防御水平，切實維護好氣象業務的安全、可靠。目前來看，氣象內網的邊界防御較為復雜和專業，不過也積累了一些較為成熟的網絡邊界防御經驗。例如，在省級氣象內網服務過程中，氣象內網會與電子政務網、運營商互聯網、行業專網、氣象業務寬帶網實現有效的連接，并且根據業務特點可以在內部部署防火墻，如此一來，可以有效管理控制路由及訪問策略[5]。

此外，為了提高網絡邊界防御的水平，可以考慮在互聯網鏈路上部署入侵監測與入侵防御設備。氣象信息化服務過程中，一些重要業務可能需要開放至互聯網的端口，在防火墻上進行端口轉換，借助特殊端口可以確保氣象服務不受到外部網絡掃描，從而確保氣象信息的安全性，達到網絡安全防護的效果。在外網主機訪問內網主機這一過程中，為了提高用戶的訪問審計質量，應利用好堡壘機，監控預警網絡流量時可以考慮使用網絡安全態勢感知設備。在網絡安全態勢感知設備的支持下，內網和外網的所有訪問流量可以鏡像至態勢感知設備中，此時通過分析可以發現流量是否病毒，及時查找存在安全隱患的主機，并消除所存在的安全隱患。對于辦公區和業務區而言，兩者之間可以部署網絡設備，從而將內、外網絡之間的邏輯隔離，避免外部網絡進入到內網，從源頭上隔斷風險。

3.3 實現遠程訪問設備的科學部署

在氣象信息化的網絡防護體系建設中，要消除遠程訪問設備所誘發的各類風險，對遠程訪問實施實時監控管理。氣象部門應考慮在互聯網DMZ區域部署SSL-VPN設備，為發揮出SSL-VPN設備的最大效能，必須使用專用加密通訊協議。通過長時間的應用過程中發現，如果在互聯網DMZ區域部署SSL-VPN設備，可以很好地確保內網絡訪問的安全性，對管理外部訪問也十分有利。氣象部門如果想要訪問內網，則必須先登錄SSL-VPN設備，借助VPN有效打通外部網絡至內部網絡的網絡連接通道，在發揮態勢感知設備、上網行為管理設備的管理作用基礎上，遠程訪問可以被實時監控，一切的風險因素和行為都可以得到有效的監控和消除。

后續在使用VPN設備時，執行人員需要向領導部門提出申請，只有在獲得批準后才可以離線安裝、登錄用戶名及密碼，并且整個操作過程必須在互聯網外完成，確保氣象數據信息的安全，不出現信息泄露的問題[6]。互聯網出口所部署的遠程VPN服務，應始終由內部工作人員進行遠程訪問。在這一過程中，應采用USB-key進行認證，對存在安全隱患的各種行為都應嚴加限制，避免風險因素危害到氣象信息化體系。除此之外，遠程訪問行為必須進行全過程的記錄與審計，并全過程檢測VPN客戶端設備，及時發現所存在的異常行為，避免危險因素對氣象信息化體系造成不良影響。

3.4 健全網絡安全管理制度

氣象信息化建設過程中應不斷健全網絡安全管理制度，發揮出制度優勢，確保氣象信息化體系的安全。在健全網絡安全管理制度的過程中，可以重點從4個方面入手：一是人員管理，二是資產管理，三是數據及介質管理，四是網絡安全值班防護。

在人員管理方面，相關部門應建立起責任人制度，確保氣象信息化體系的安全管理始終都有責任人，避免出現“無人管”或“多人管”的問題。重要崗位的工作人員，必須簽訂安全保密協議、責任書，將網絡防護的責任落實落細，從人的不安全行為上入手，以此達到網絡安全管理的目的。

在資產管理方面，相關部門要結合實際情況不斷完善資產管理的相關制度，如要建立起固定資產盤點工作制度。在資產管理過程中，可以考慮配置條碼打印機和條碼數據采集器，更有效地推進資產盤點工作，將打印出的條碼粘貼到實物資產上。固定資產盤點人員應具備專業性，同時有責任心和道德約束，可以按照要求認真做好自己的本職工作。在固定資產的盤點過程中，外部監督人員應發揮好自身職能，有效監督一切的行為，工作完成后形成資產盤點報告，并按照要求做好數據信息的歸檔處理。

在數據及介質管理方面，相關部門應結合實際情況建立起氣象數據共享接口、數據備份管理系統，確保氣象數據信息的管理始終處于有效狀態。備份氣象數據信息時，可以考慮使用電子政務云，但必須確保氣象數據信息備份時的安全與可靠。

在網絡安全值班防護方面，應持續性地完善內部的網絡安全值班制度，將相關職責落實到具體的人員身上，并實施PDCA循環管理。定期對網絡安全環境進行自查，及時處理所有無法滿足網絡安全防護要求的技術性問題、管理性問題及操作性問題，尤其要及時消除技術漏洞，避免對氣象信息化及現代化造成不良影響。另外，內部應建立起網絡安全應急預案，一旦氣象信息化體系在運行和服務過程中出現網絡安全問題，則及時啟動應急預案，有效地處理網絡安全事件，問題嚴重時必須上報，做好報備工作[7]。除此之外，若有需要，則內部應定期組織各種形式的宣傳教育活動，普及網絡安全知識，并且可以將理論教育和實踐操作相結合，提高專業人員的網絡安全防護水平，確保氣象信息化體系始終處于安全運行狀態。

3.5 完善服務器及終端防護

對于所存在的服務器及終端網絡安全問題，必須充分重視，做好服務器及終端的有效防護。在完善服務器及終端防護的過程中，可以重點從3個方面入手。

第一，如果是安裝Windows服務器及終端，則要切實做好動態化的監測預警，動態化和全面性地檢查重點內容和環節。如可疑日志、登錄日志、可疑進程、共享目錄、系統服務、登錄賬號密碼安全等級都需要進行有效的檢查。

第二，在提高服務器及終端的防護水平時，應積極應用當前科學有效的殺毒軟件，可以在內網中部署殺毒軟件，動態地對系統進行病毒查殺，確保系統的安全性。與此同時，專業的工作人員應定期更新殺毒軟件，確保病毒庫持續性更新，發揮出殺毒軟件的最佳作用。認真研讀網信辦所發布的網絡漏洞及防控對策，并結合實際情況做好網絡防護體系的建設，如要及時安裝科學、可靠的補丁軟件，將存在風險的端口有效關閉或控制，并開啟防火墻。

第三，應定期采集終端的殺毒日志，采集后便要進行系統性的分析驗證，及時發現所存在的風險因素。“挖礦”病毒的危害性較大，使用常規性的殺毒軟件無法有效查殺，因此應在這一方面加大研究力度，掌握更多的技術手段，最大限度確保服務器遠離“挖礦”病毒，避免氣象信息化及現代化建設受阻。

4 結束語

網絡防護體系的建設對氣象信息化及現代化均十分重要，應不斷提高網絡防護水平，確保氣象信息化體系的安全運行，始終提供優質服務。后續應進一步加大研究力度，探究氣象信息化及現代化建設的更多要點，始終將網絡防護放在重要位置上，利用好當前已有的人才優勢、技術優勢。

參考文獻

[1] 張虹.氣象信息網絡安全防御技術[J].互聯網周刊，2022（6）：36-38.

[2] 龐謙，王磊.加強氣象信息網絡系統安全和防范的分析[J].信息系統工程， 2021（10）：59-61.

[3] 張珉銓.數據時代氣象信息化發展綜合探討[J].黑龍江科學，2022，13（8）：150-151，155.

[4] 李秋明，張洋洋，陳自艷，等.氣象技術裝備保障業務信息化建設分析[J].中國信息化，2021（7）：86-87.

[5] 劉如意.淺談氣象信息服務在農業生產中的作用[J].新農業，2021（15）：74-75.

[6] 黃澎，王證帥，陳榮忠，等.氣象信息系統中的存儲區域網絡選型與應用[J].海峽科學，2021（4）：47-49.

[7] 荊國棟，鄒立堯，趙永明.信息化下的氣象教育云平臺建設[J].中國科技信息， 2021（1）：21-22.

責任編輯：黃艷飛

Research on Network Protection System in Meteorological Information Construction

Jing Chuan （Huludao Meteorological Bureau of Liaoning Province， Huludao， Liaoning 125000）

Abstract With the support of information technology， the meteorological industry has realized informatization and modernization. At present， the meteorological information system has been successfully constructed. In the process of meteorological information construction， how to ensure safety and reliability while opening and sharing is a key issue to be explored. The network protection system in the process of meteorological information construction was mainly discussed. The first was to divide the network security area， the second was to enhance the network boundary defense capability， the third was to realize the scientific deployment of remote access equipment， the fourth was to improve the network security management system， and the fifth is to improve the server and terminal protection for reference.

Key words Meteorological inform-atization; Network protection; Network security

作者簡介 井川（1989—），女，遼寧本溪人，工程師，主要從事氣象信息方面工作。

收稿日期 2022-12-19