前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的氣象專網(wǎng)網(wǎng)絡(luò)管理研究,希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
摘要:本文基于氣象業(yè)務(wù)專網(wǎng)的訪問控制管理,氣象業(yè)務(wù)服務(wù)器與終端計算機(jī)的安全管理,氣象業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)設(shè)備的維護(hù)與管理,氣象數(shù)據(jù)的運行維護(hù)與管理,優(yōu)化了運維流程以提高應(yīng)對氣象信息系統(tǒng)風(fēng)險能力。
關(guān)鍵詞:氣象專網(wǎng);網(wǎng)絡(luò)管理;氣象數(shù)據(jù)維護(hù)
隨著氣象業(yè)務(wù)現(xiàn)代化的飛速發(fā)展,南平市氣象信息網(wǎng)絡(luò)也日漸發(fā)展完善。氣象信息網(wǎng)絡(luò)應(yīng)用的不斷深入、業(yè)務(wù)系統(tǒng)功能的不斷增加、氣象數(shù)據(jù)呈幾何倍數(shù)增長,對氣象信息網(wǎng)絡(luò)相關(guān)設(shè)備與氣象數(shù)據(jù)的運維提出了更高的挑戰(zhàn)。氣象信息系統(tǒng)運維人員與進(jìn)俱進(jìn)學(xué)新知識,及時總結(jié)日常工作經(jīng)驗,優(yōu)化運維流程,提高應(yīng)對氣象信息系統(tǒng)風(fēng)險能力十分必要。
1氣象業(yè)務(wù)專網(wǎng)的訪問控制管理
訪問控制管理可分為兩個層次內(nèi)容:物理訪問控制和邏輯訪問控制[1]。物理訪問控制包含對符合標(biāo)準(zhǔn)規(guī)定的用戶、設(shè)備、門、鎖和安全環(huán)境等方面的管理,而邏輯訪問控制則是在數(shù)據(jù)、應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)、權(quán)限等層面實現(xiàn)的管理。氣象業(yè)務(wù)專網(wǎng)的訪問控制要求做到二者兼顧,機(jī)房門禁系統(tǒng)、運維審計堡壘機(jī)及網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)在南平市局氣象業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)管理上得到很好的應(yīng)用。
1.1機(jī)房門禁系統(tǒng)通過機(jī)房門禁系統(tǒng)實現(xiàn)對氣象信息網(wǎng)絡(luò)核心區(qū)即機(jī)房的出入門和通道進(jìn)出控制防非法人員進(jìn)入、防非法時間進(jìn)入。系統(tǒng)還具備對出入核心區(qū)人員及出入時間、頻次的統(tǒng)計和查詢等功能,從而在物理訪問控制層面實現(xiàn)對服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)存儲設(shè)備的安全保障。
1.2運維審計型堡壘機(jī)目前,堡壘機(jī)按使用場景的不同分為兩種類型的堡壘機(jī),一是網(wǎng)關(guān)型堡壘機(jī),二是運維審計型堡壘機(jī)。其中運維審計型堡壘機(jī)被稱為“內(nèi)控堡壘機(jī)”[2],它可對主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的管理維護(hù)進(jìn)行安全、有效、直觀的操作審計,對策略配置、系統(tǒng)維護(hù)、內(nèi)部訪問等進(jìn)行詳細(xì)的記錄,提供細(xì)粒度的審計,并支持操作過程的全程回放。它將運維審計由原來的針對事件審計提升為更加復(fù)雜的針對內(nèi)容的審計,并將身份認(rèn)證、授權(quán)、管理、審計有機(jī)的結(jié)合,保證只有授權(quán)用戶才擁有運維權(quán)限[3]。目前,南平市局根據(jù)運維管理工作需求部署了運維審計型堡壘機(jī)。當(dāng)市局內(nèi)設(shè)機(jī)構(gòu)、直屬單位或他們委托公司開發(fā)的系統(tǒng)需要部署在市局機(jī)房Windowsserver服務(wù)器上時,通過RDP(遠(yuǎn)程桌面)方式訪問其部署的服務(wù)器必須通過堡壘機(jī)進(jìn)行訪問,使用堡壘機(jī)授權(quán)的運維操作員用戶才可以以RDP(遠(yuǎn)程桌面)方式訪問服務(wù)器,且運維審計員還可在堡壘機(jī)查看到審計事件的統(tǒng)計報表和運維操作員登錄服務(wù)器的所有操作過程回放。
1.3網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)核心是解決設(shè)備接入問題,規(guī)避非法設(shè)備接入引起的病毒傳播、數(shù)據(jù)泄露、惡意攻擊、木馬植入、靜默監(jiān)聽等安全隱患。為了確保氣象業(yè)務(wù)專網(wǎng)以及業(yè)務(wù)系統(tǒng)的安全,需要建立一個牢固的立體安全防護(hù)體系,以達(dá)到更加完善的網(wǎng)絡(luò)系統(tǒng)安全[4]。網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)對每一臺接入氣象業(yè)務(wù)專網(wǎng)的終端進(jìn)行身份合法性、主機(jī)合規(guī)性檢查,構(gòu)建“入網(wǎng)必合法、入網(wǎng)必可信”,從而提升網(wǎng)絡(luò)的整體安全。目前,市局以純旁路方式部署了網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng),采用端口的鏡像準(zhǔn)入技術(shù),對交換機(jī)鏡像數(shù)據(jù)實時分析,實時監(jiān)測并及時阻斷配置有IP地址的非授權(quán)終端接入,同時技術(shù)人員通過配置IP、MAC、端口三者的強(qiáng)制綁定有效防止終端仿冒IP接入網(wǎng)絡(luò)。
2氣象業(yè)務(wù)服務(wù)器與終端計算機(jī)的安全管理
氣象數(shù)據(jù)采集、加工處理、預(yù)報預(yù)測、共享服務(wù)、存儲歸檔等氣象業(yè)務(wù)和科研各個環(huán)節(jié)離不開業(yè)務(wù)專網(wǎng)中服務(wù)器和終端計算機(jī)軟硬件的支撐,安全運維服務(wù)器和終端計算機(jī)關(guān)系到氣象業(yè)務(wù)及科研的正常開展,可以通過以下幾種常用方法實現(xiàn)氣象信息網(wǎng)絡(luò)中服務(wù)器與終端計算機(jī)的安全管理。(1)為每臺計算機(jī)安裝正版的操作系統(tǒng)。作為其他軟件的載體,正版操作系統(tǒng)能及時得到廠家不斷更新升級的服務(wù)以保證系統(tǒng)性能的安全平穩(wěn)運行。(2)為每臺計算機(jī)配置安全賬號和密碼。日常工作須加強(qiáng)操作系統(tǒng)的賬號和密碼的維護(hù)和管理。在密碼設(shè)置上要符合口令的安全性要求,避免設(shè)置容易簡單易猜的密碼。在賬號管理上,普通用戶要設(shè)置賬號管理策略,對不同的用戶設(shè)置不同的操作權(quán)限,并定期更新賬號名稱和密碼,關(guān)閉不常用的賬戶,禁用匿名登錄賬號,修改默認(rèn)管理員用戶名稱[5]。(3)為每臺計算機(jī)安裝網(wǎng)絡(luò)版殺毒軟件。技術(shù)人員定期通過殺毒軟件控制中心進(jìn)行病毒庫的升級,然后殺毒軟件客戶端根據(jù)控制中心的升級策略進(jìn)行殺毒軟件的自動或手動升級。(4)為每臺計算機(jī)做好操作系統(tǒng)及重要應(yīng)用的各種補(bǔ)丁程序的安裝。技術(shù)人員在網(wǎng)絡(luò)中部署漏洞掃描產(chǎn)品,考慮到漏洞掃描與修復(fù)是對操作系統(tǒng)及重要應(yīng)用的修復(fù),對系統(tǒng)的運行有可能造成影響,且修復(fù)完成均要重啟計算機(jī)補(bǔ)丁才生效,因此在漏洞掃描控制中心配置升級策略為手動升級,接著漏洞掃描客戶端按需求從控制中心手動下載并安裝系統(tǒng)補(bǔ)丁程序,從而規(guī)避可能的系統(tǒng)錯誤和風(fēng)險。(5)為每臺計算機(jī)關(guān)閉不需要的端口和服務(wù)。技術(shù)人員在實際工作中要梳理氣象業(yè)務(wù)專網(wǎng)中每臺計算機(jī)的通訊端口,“啟用”操作系統(tǒng)自帶防火墻,然后在防火墻“高級設(shè)置”中配置“出站規(guī)則”和“入站規(guī)則”,阻擋或允許特定程序或端口的連接。例如要避免勒索病毒利用風(fēng)險端口135、137、138、139、445入侵計算機(jī),首先在系統(tǒng)防火墻配置中“啟用WINDOWS防火墻”,然后在“高級設(shè)置”的“入站規(guī)則”中“新建規(guī)則”以阻止以上風(fēng)險端口的連接。(6)定期為每臺計算機(jī)做好日志檢查與分析。技術(shù)人員在對數(shù)據(jù)中心服務(wù)器日常巡視時要注意查看系統(tǒng)日志。系統(tǒng)日志是記錄系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息,同時還可以監(jiān)視系統(tǒng)中發(fā)生的事件。通過查看系統(tǒng)日志來檢查錯誤發(fā)生的原因,或者尋找受到攻擊時攻擊者留下的痕跡,以便有針對性地采取措施應(yīng)對同類風(fēng)險再次發(fā)生。
3氣象業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)設(shè)備的管理與維護(hù)
南平市局氣象信息網(wǎng)絡(luò)根據(jù)福建省氣象局規(guī)劃和部署,已接入覆蓋全省的氣象信息專用網(wǎng)絡(luò),市局氣象信息網(wǎng)絡(luò)在該專網(wǎng)中起匯聚層的作用,上承福建省氣象局專網(wǎng),下接南平所轄十縣市(區(qū))氣象局專網(wǎng),氣象業(yè)務(wù)專網(wǎng)中運行的各種網(wǎng)絡(luò)設(shè)備從功能上大致可分為兩種:網(wǎng)絡(luò)互聯(lián)設(shè)備與網(wǎng)絡(luò)安全設(shè)備,以下是運維網(wǎng)絡(luò)設(shè)備必須關(guān)注事項。(1)與計算機(jī)管理相同,要為每臺網(wǎng)絡(luò)設(shè)備配置安全賬號和密碼。日常工作須加強(qiáng)設(shè)備賬號和密碼的維護(hù)和管理。在密碼設(shè)置上要符合口令的安全性要求,避免設(shè)置容易簡單易猜的密碼,并定期更新密碼,關(guān)閉不常用的賬戶,禁用匿名登錄賬號。(2)指定專用終端管理網(wǎng)絡(luò)設(shè)備,以避免不被允許的終端修改網(wǎng)絡(luò)設(shè)備配置。技術(shù)人員對網(wǎng)絡(luò)設(shè)備進(jìn)行策略配置時必須使用堡壘機(jī),利用堡壘機(jī)實時監(jiān)控和完整審計的功能更好地規(guī)范技術(shù)人員的操作行為。(3)熟悉網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),定期做好網(wǎng)絡(luò)互聯(lián)設(shè)備的巡檢。南平市氣象寬帶通信網(wǎng)已實現(xiàn)省-市-縣雙線路,雙路由的冗余熱備、自動切換,南平市局網(wǎng)絡(luò)管理人員必須重點關(guān)注市局的兩臺匯聚路由器的工作狀態(tài),包含南平市局至省氣象局與南平市局至所轄十縣市(區(qū))氣象局雙線路的連接狀態(tài)、接口與協(xié)議的啟用、路由器的軟件版本、CPU的溫度、設(shè)備電源的工作狀態(tài)、風(fēng)扇的工作狀態(tài)、QOS策略的配置等等。(4)定期做好網(wǎng)絡(luò)安全設(shè)備如防火墻、入侵檢測等安全設(shè)備的升級。安全設(shè)備上的漏洞是不法黑客的攻擊的重要入口,因此對安全設(shè)備必須定期更新升級,其中包括升級各種規(guī)則庫、病毒庫、URL庫、IPS特征庫等。(5)定期對網(wǎng)絡(luò)設(shè)備配置進(jìn)行保存并導(dǎo)出,以方便在發(fā)生故障時可用來恢復(fù)之前的配置。這在對網(wǎng)絡(luò)設(shè)備進(jìn)行策略調(diào)整時尤為重要,在調(diào)整策略前后均要將配置備份后分別導(dǎo)出,對配置調(diào)整后的導(dǎo)出文件必須標(biāo)注日期及更新內(nèi)容,以備后查。(6)充分發(fā)揮安全設(shè)備的防護(hù)能力,精細(xì)配置防護(hù)策略使其既能保障氣象業(yè)務(wù)專網(wǎng)中服務(wù)器及其應(yīng)用的正常運行,又能最小化授權(quán)拒絕非法訪問,從而實現(xiàn)氣象業(yè)務(wù)專網(wǎng)受保護(hù)安全域的業(yè)務(wù)開展和安全保障要求的平衡。(7)日常巡視并分析安全設(shè)備的告警日志,適時調(diào)整“安全策略”。部署安全設(shè)備不足以保護(hù)網(wǎng)絡(luò)的安全,一次配置完成安全設(shè)備不意味著一勞永逸,技術(shù)人員還需要不斷監(jiān)控和分析安全設(shè)備產(chǎn)生的日志。通過分析日志檢測諸如網(wǎng)絡(luò)入侵、病毒攻擊、反常行為、異常流量等安全威脅,從而有針對性調(diào)整網(wǎng)絡(luò)整體安全策略。并且在安全設(shè)備上還可監(jiān)控到網(wǎng)絡(luò)流量情況,進(jìn)而更科學(xué)規(guī)劃網(wǎng)絡(luò)帶寬。
4氣象數(shù)據(jù)的運維管理
安全的氣象業(yè)務(wù)專網(wǎng)為氣象數(shù)據(jù)提供可靠場所,進(jìn)而保障氣象業(yè)務(wù)正常運行。目前,業(yè)務(wù)專網(wǎng)氣象數(shù)據(jù)有多種來源,不僅可通過地市級CMACAST衛(wèi)星接收小站接收國家氣象局下發(fā)的各類氣象數(shù)據(jù)、本市各自動觀測氣象站收集的觀測數(shù)據(jù)、省氣象局共享服務(wù)器共享的氣象數(shù)據(jù),還可通過全國綜合氣象信息共享平臺(CIMISS)獲取氣象數(shù)據(jù)。市氣象局預(yù)報、科研、服務(wù)人員根據(jù)收集的氣象數(shù)據(jù)分析制作各種產(chǎn)品或成果存放到市局氣象數(shù)據(jù)中心。氣象數(shù)據(jù)中心將這些數(shù)據(jù)入庫或以文件方式分類存放在固定的目錄下提供給氣象應(yīng)用各平臺使用,日常氣象數(shù)據(jù)運維的運維策略如下。(1)梳理各種氣象數(shù)據(jù)的數(shù)據(jù)流,根據(jù)數(shù)據(jù)流程中的各記錄和留痕定位故障原因。例如,防災(zāi)減災(zāi)平臺上臺風(fēng)數(shù)據(jù)的獲取的完整數(shù)據(jù)鏈路是從CMACAST衛(wèi)星接收小站接收原始數(shù)據(jù)、氣象信息綜合分析處理系統(tǒng)(MICAPS)后處理程序處理后分發(fā)產(chǎn)品在MICAPS系統(tǒng)臺風(fēng)工作目錄下,防災(zāi)減災(zāi)平臺以共享方式將數(shù)據(jù)讀取到平臺服務(wù)器的臺風(fēng)原始數(shù)據(jù)目錄下,接著入庫程序?qū)⑴_風(fēng)數(shù)據(jù)寫入防災(zāi)減災(zāi)平臺數(shù)據(jù)庫,這樣防災(zāi)減災(zāi)平臺服務(wù)端才可從數(shù)據(jù)庫讀取臺風(fēng)數(shù)據(jù)。當(dāng)平臺客戶端讀不到臺風(fēng)數(shù)據(jù)時,技術(shù)人員需要對多臺服務(wù)器,多個應(yīng)用程序及網(wǎng)絡(luò)鏈路進(jìn)行排查,根據(jù)每臺服務(wù)器留痕定位故障原因。(2)制定并用好數(shù)據(jù)庫監(jiān)控方案和數(shù)據(jù)庫應(yīng)急備份方案。市局大部分的氣象應(yīng)用平臺讀取的是數(shù)據(jù)庫的數(shù)據(jù),氣象數(shù)據(jù)庫的運維管理至關(guān)重要,而加強(qiáng)數(shù)據(jù)庫的監(jiān)控與優(yōu)化和做好數(shù)據(jù)庫的應(yīng)急備份[4]是做好數(shù)據(jù)庫運維管理的關(guān)鍵。技術(shù)人員必須制定詳細(xì)的數(shù)據(jù)庫監(jiān)控方案和數(shù)據(jù)庫應(yīng)急備份方案,對數(shù)據(jù)庫的監(jiān)控方案規(guī)定對每天數(shù)據(jù)庫運行狀態(tài)、日志文件、備份情況、數(shù)據(jù)庫空間使用情況、系統(tǒng)資源的使用情況進(jìn)行檢查,發(fā)現(xiàn)并解決問題;每周對數(shù)據(jù)庫對象空間擴(kuò)展情況、數(shù)據(jù)增長情況進(jìn)行監(jiān)控,對數(shù)據(jù)庫對象的狀態(tài)做檢查,每月根據(jù)數(shù)據(jù)庫狀態(tài)對數(shù)據(jù)庫性能進(jìn)行調(diào)整并提出下一步空間管理計劃。數(shù)據(jù)庫應(yīng)急備份方案規(guī)定為每小時甚至更頻繁備份事務(wù)日志,每天做一次差異備份,每周做一次包含用戶表、系統(tǒng)表、索引、視圖和存儲過程的完全備份。
5結(jié)語
當(dāng)今世界,以云計算、大數(shù)據(jù)、移動互聯(lián)、物聯(lián)網(wǎng)等技術(shù)為代表的現(xiàn)代信息技術(shù)方興未艾,深度學(xué)習(xí)、人工智能等技術(shù)蓬勃興起,給各行各業(yè)帶來深度影響。氣象業(yè)務(wù)不僅需要開展基于物聯(lián)網(wǎng)、“互聯(lián)網(wǎng)+”的業(yè)務(wù)應(yīng)用,引導(dǎo)氣象觀測與氣象服務(wù)的智能化發(fā)展,還要采用新技術(shù)以完善信息系統(tǒng)安全防護(hù)體系,保障各類氣象信息系統(tǒng)安全可靠運行。從事氣象信息網(wǎng)絡(luò)工作的技術(shù)人員將面臨更加多元的能力考驗,只有不斷地學(xué)習(xí),更新自身的知識體系才能應(yīng)對新時代新技術(shù)的挑戰(zhàn)。
作者:郭曉佳 江彩英 單位:南平市氣象局
