氣象專網網絡管理研究

前言：尋找寫作靈感？中文期刊網用心挑選的氣象專網網絡管理研究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：本文基于氣象業務專網的訪問控制管理，氣象業務服務器與終端計算機的安全管理，氣象業務專網網絡設備的維護與管理，氣象數據的運行維護與管理，優化了運維流程以提高應對氣象信息系統風險能力。

關鍵詞：氣象專網；網絡管理；氣象數據維護

隨著氣象業務現代化的飛速發展，南平市氣象信息網絡也日漸發展完善。氣象信息網絡應用的不斷深入、業務系統功能的不斷增加、氣象數據呈幾何倍數增長，對氣象信息網絡相關設備與氣象數據的運維提出了更高的挑戰。氣象信息系統運維人員與進俱進學新知識，及時總結日常工作經驗，優化運維流程，提高應對氣象信息系統風險能力十分必要。

1氣象業務專網的訪問控制管理

訪問控制管理可分為兩個層次內容：物理訪問控制和邏輯訪問控制[1]。物理訪問控制包含對符合標準規定的用戶、設備、門、鎖和安全環境等方面的管理，而邏輯訪問控制則是在數據、應用、系統、網絡、權限等層面實現的管理。氣象業務專網的訪問控制要求做到二者兼顧，機房門禁系統、運維審計堡壘機及網絡準入管理系統在南平市局氣象業務專網網絡管理上得到很好的應用。

1.1機房門禁系統通過機房門禁系統實現對氣象信息網絡核心區即機房的出入門和通道進出控制防非法人員進入、防非法時間進入。系統還具備對出入核心區人員及出入時間、頻次的統計和查詢等功能，從而在物理訪問控制層面實現對服務器、網絡、數據存儲設備的安全保障。

1.2運維審計型堡壘機目前，堡壘機按使用場景的不同分為兩種類型的堡壘機，一是網關型堡壘機，二是運維審計型堡壘機。其中運維審計型堡壘機被稱為“內控堡壘機”[2]，它可對主機、服務器、網絡設備、安全設備等的管理維護進行安全、有效、直觀的操作審計，對策略配置、系統維護、內部訪問等進行詳細的記錄，提供細粒度的審計，并支持操作過程的全程回放。它將運維審計由原來的針對事件審計提升為更加復雜的針對內容的審計，并將身份認證、授權、管理、審計有機的結合，保證只有授權用戶才擁有運維權限[3]。目前，南平市局根據運維管理工作需求部署了運維審計型堡壘機。當市局內設機構、直屬單位或他們委托公司開發的系統需要部署在市局機房Windowsserver服務器上時，通過RDP（遠程桌面）方式訪問其部署的服務器必須通過堡壘機進行訪問，使用堡壘機授權的運維操作員用戶才可以以RDP（遠程桌面）方式訪問服務器，且運維審計員還可在堡壘機查看到審計事件的統計報表和運維操作員登錄服務器的所有操作過程回放。

1.3網絡準入管理系統網絡準入管理系統核心是解決設備接入問題，規避非法設備接入引起的病毒傳播、數據泄露、惡意攻擊、木馬植入、靜默監聽等安全隱患。為了確保氣象業務專網以及業務系統的安全，需要建立一個牢固的立體安全防護體系，以達到更加完善的網絡系統安全[4]。網絡準入系統對每一臺接入氣象業務專網的終端進行身份合法性、主機合規性檢查，構建“入網必合法、入網必可信”，從而提升網絡的整體安全。目前，市局以純旁路方式部署了網絡準入管理系統，采用端口的鏡像準入技術，對交換機鏡像數據實時分析，實時監測并及時阻斷配置有IP地址的非授權終端接入，同時技術人員通過配置IP、MAC、端口三者的強制綁定有效防止終端仿冒IP接入網絡。

2氣象業務服務器與終端計算機的安全管理

氣象數據采集、加工處理、預報預測、共享服務、存儲歸檔等氣象業務和科研各個環節離不開業務專網中服務器和終端計算機軟硬件的支撐，安全運維服務器和終端計算機關系到氣象業務及科研的正常開展，可以通過以下幾種常用方法實現氣象信息網絡中服務器與終端計算機的安全管理。（1）為每臺計算機安裝正版的操作系統。作為其他軟件的載體，正版操作系統能及時得到廠家不斷更新升級的服務以保證系統性能的安全平穩運行。（2）為每臺計算機配置安全賬號和密碼。日常工作須加強操作系統的賬號和密碼的維護和管理。在密碼設置上要符合口令的安全性要求，避免設置容易簡單易猜的密碼。在賬號管理上，普通用戶要設置賬號管理策略，對不同的用戶設置不同的操作權限，并定期更新賬號名稱和密碼，關閉不常用的賬戶，禁用匿名登錄賬號，修改默認管理員用戶名稱[5]。（3）為每臺計算機安裝網絡版殺毒軟件。技術人員定期通過殺毒軟件控制中心進行病毒庫的升級，然后殺毒軟件客戶端根據控制中心的升級策略進行殺毒軟件的自動或手動升級。（4）為每臺計算機做好操作系統及重要應用的各種補丁程序的安裝。技術人員在網絡中部署漏洞掃描產品，考慮到漏洞掃描與修復是對操作系統及重要應用的修復，對系統的運行有可能造成影響，且修復完成均要重啟計算機補丁才生效，因此在漏洞掃描控制中心配置升級策略為手動升級，接著漏洞掃描客戶端按需求從控制中心手動下載并安裝系統補丁程序，從而規避可能的系統錯誤和風險。（5）為每臺計算機關閉不需要的端口和服務。技術人員在實際工作中要梳理氣象業務專網中每臺計算機的通訊端口，“啟用”操作系統自帶防火墻，然后在防火墻“高級設置”中配置“出站規則”和“入站規則”，阻擋或允許特定程序或端口的連接。例如要避免勒索病毒利用風險端口135、137、138、139、445入侵計算機，首先在系統防火墻配置中“啟用WINDOWS防火墻”，然后在“高級設置”的“入站規則”中“新建規則”以阻止以上風險端口的連接。（6）定期為每臺計算機做好日志檢查與分析。技術人員在對數據中心服務器日常巡視時要注意查看系統日志。系統日志是記錄系統中硬件、軟件和系統問題的信息，同時還可以監視系統中發生的事件。通過查看系統日志來檢查錯誤發生的原因，或者尋找受到攻擊時攻擊者留下的痕跡，以便有針對性地采取措施應對同類風險再次發生。

3氣象業務專網網絡設備的管理與維護

南平市局氣象信息網絡根據福建省氣象局規劃和部署，已接入覆蓋全省的氣象信息專用網絡，市局氣象信息網絡在該專網中起匯聚層的作用，上承福建省氣象局專網，下接南平所轄十縣市（區）氣象局專網，氣象業務專網中運行的各種網絡設備從功能上大致可分為兩種：網絡互聯設備與網絡安全設備，以下是運維網絡設備必須關注事項。（1）與計算機管理相同，要為每臺網絡設備配置安全賬號和密碼。日常工作須加強設備賬號和密碼的維護和管理。在密碼設置上要符合口令的安全性要求，避免設置容易簡單易猜的密碼，并定期更新密碼，關閉不常用的賬戶，禁用匿名登錄賬號。（2）指定專用終端管理網絡設備，以避免不被允許的終端修改網絡設備配置。技術人員對網絡設備進行策略配置時必須使用堡壘機，利用堡壘機實時監控和完整審計的功能更好地規范技術人員的操作行為。（3）熟悉網絡拓撲結構，定期做好網絡互聯設備的巡檢。南平市氣象寬帶通信網已實現?。校h雙線路，雙路由的冗余熱備、自動切換，南平市局網絡管理人員必須重點關注市局的兩臺匯聚路由器的工作狀態，包含南平市局至省氣象局與南平市局至所轄十縣市（區）氣象局雙線路的連接狀態、接口與協議的啟用、路由器的軟件版本、CPU的溫度、設備電源的工作狀態、風扇的工作狀態、QOS策略的配置等等。（4）定期做好網絡安全設備如防火墻、入侵檢測等安全設備的升級。安全設備上的漏洞是不法黑客的攻擊的重要入口，因此對安全設備必須定期更新升級，其中包括升級各種規則庫、病毒庫、URL庫、IPS特征庫等。（5）定期對網絡設備配置進行保存并導出，以方便在發生故障時可用來恢復之前的配置。這在對網絡設備進行策略調整時尤為重要，在調整策略前后均要將配置備份后分別導出，對配置調整后的導出文件必須標注日期及更新內容，以備后查。（6）充分發揮安全設備的防護能力，精細配置防護策略使其既能保障氣象業務專網中服務器及其應用的正常運行，又能最小化授權拒絕非法訪問，從而實現氣象業務專網受保護安全域的業務開展和安全保障要求的平衡。（7）日常巡視并分析安全設備的告警日志，適時調整“安全策略”。部署安全設備不足以保護網絡的安全，一次配置完成安全設備不意味著一勞永逸，技術人員還需要不斷監控和分析安全設備產生的日志。通過分析日志檢測諸如網絡入侵、病毒攻擊、反常行為、異常流量等安全威脅，從而有針對性調整網絡整體安全策略。并且在安全設備上還可監控到網絡流量情況，進而更科學規劃網絡帶寬。

4氣象數據的運維管理

安全的氣象業務專網為氣象數據提供可靠場所，進而保障氣象業務正常運行。目前，業務專網氣象數據有多種來源，不僅可通過地市級CMACAST衛星接收小站接收國家氣象局下發的各類氣象數據、本市各自動觀測氣象站收集的觀測數據、省氣象局共享服務器共享的氣象數據，還可通過全國綜合氣象信息共享平臺（CIMISS）獲取氣象數據。市氣象局預報、科研、服務人員根據收集的氣象數據分析制作各種產品或成果存放到市局氣象數據中心。氣象數據中心將這些數據入庫或以文件方式分類存放在固定的目錄下提供給氣象應用各平臺使用，日常氣象數據運維的運維策略如下。（1）梳理各種氣象數據的數據流，根據數據流程中的各記錄和留痕定位故障原因。例如，防災減災平臺上臺風數據的獲取的完整數據鏈路是從CMACAST衛星接收小站接收原始數據、氣象信息綜合分析處理系統（MICAPS）后處理程序處理后分發產品在MICAPS系統臺風工作目錄下，防災減災平臺以共享方式將數據讀取到平臺服務器的臺風原始數據目錄下，接著入庫程序將臺風數據寫入防災減災平臺數據庫，這樣防災減災平臺服務端才可從數據庫讀取臺風數據。當平臺客戶端讀不到臺風數據時，技術人員需要對多臺服務器，多個應用程序及網絡鏈路進行排查，根據每臺服務器留痕定位故障原因。（2）制定并用好數據庫監控方案和數據庫應急備份方案。市局大部分的氣象應用平臺讀取的是數據庫的數據，氣象數據庫的運維管理至關重要，而加強數據庫的監控與優化和做好數據庫的應急備份[4]是做好數據庫運維管理的關鍵。技術人員必須制定詳細的數據庫監控方案和數據庫應急備份方案，對數據庫的監控方案規定對每天數據庫運行狀態、日志文件、備份情況、數據庫空間使用情況、系統資源的使用情況進行檢查，發現并解決問題；每周對數據庫對象空間擴展情況、數據增長情況進行監控，對數據庫對象的狀態做檢查，每月根據數據庫狀態對數據庫性能進行調整并提出下一步空間管理計劃。數據庫應急備份方案規定為每小時甚至更頻繁備份事務日志，每天做一次差異備份，每周做一次包含用戶表、系統表、索引、視圖和存儲過程的完全備份。

5結語

當今世界，以云計算、大數據、移動互聯、物聯網等技術為代表的現代信息技術方興未艾，深度學習、人工智能等技術蓬勃興起，給各行各業帶來深度影響。氣象業務不僅需要開展基于物聯網、“互聯網+”的業務應用，引導氣象觀測與氣象服務的智能化發展，還要采用新技術以完善信息系統安全防護體系，保障各類氣象信息系統安全可靠運行。從事氣象信息網絡工作的技術人員將面臨更加多元的能力考驗，只有不斷地學習，更新自身的知識體系才能應對新時代新技術的挑戰。

作者:郭曉佳 江彩英 單位:南平市氣象局