導語：氣象信息網絡安全建設研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

本文結合民航氣海空管分局網絡現狀，分析氣象信息網絡中存在的主要安全問題，通過對當前網絡結構進行優化調整，建立一個一體化的網絡平臺，使其更好地適應航空氣象業務系統發展的需求。本文還介紹了民航青海空管氣象信息網絡安全防護系統的建設和應用技術，有效增強了氣象網絡的安全水平，保證氣象業務的穩定運行和氣象數據的安全共享。隨著大數據、云計算等各類新技術的快速發展，以及氣象信息化步伐的加快，服務領域的不斷擴展，氣象信息網絡安全問題也逐漸顯現出來，網絡是氣象數據傳輸和共享的基礎平臺，保證氣象網絡安全能有效提升氣象業務工作效率，促進氣象業務不斷發展，是做好氣象工作的重要前提。因此，加強氣象信息網絡安全建設，提升網絡安全防護能力和穩定性就顯得尤其重要。

1網絡現狀

空管氣象設備雜而多，民航青海空管分局氣象部門主要包括以下幾大業務系統：民航氣象數據庫系統、自動氣象觀測系統、地方氣象資料引接系統、常規天氣雷達、風廓線雷達，編發報系統，CAMCAST系統、氣象衛星云圖接收處理系統等。而氣象網絡結構在前期建設的時候，由于各個系統的建設獨立進行，沒有做合理的全局規劃，網絡結構設計采用二層結構，各系統都是一個獨立的局域網，各個用戶終端直接相連到相應的交換機，且在交換機上并沒有進行嚴格的VLAN劃分，導致各個終端之間可以相互訪問。且存在部分網絡與其他網絡在沒有有效安全隔離的情況下直接相連的情況，這嚴重影響了航空氣象業務的安全運行。

2氣象信息網絡面臨的主要問題

青海空管氣象信息網絡架構在過去相當一段時期內滿足了各類氣象業務的發展需求，保障了各氣象業務系統的穩定運行。但是隨著近幾年國內航空事業的快速發展，對航空氣象服務需求明顯增大，航空用戶對產品要求的日益提高,對現有的服務模式也提出了挑戰，當前的網絡架構已經不能適應氣象業務的發展。建設一個安全的、可穩定的網絡平臺顯得非常重要。2.1網絡結構隱患。近幾年隨著各類氣象自籌科技項目的新開發，一個項目的開發往往需要來自不同局域網內的氣象資料，如低空風切變預警系統項目中，系統需要采集機場自動氣象觀測系統、氣象局T639數值預報資料、風廓線風場資料、氣象局常規觀測資料，獨立風站資料。而這些數據分別來自不同的局域網，在項目實施過程中，本場自觀數據通過串口方式接入系統，鐵塔自動站數據則通過GPRS無線傳輸，而氣象局數據和風廓線風場則在中間沒有任何安全防護措施情況下直接從相應的交換機引入。這導致不同局域網的交叉，對氣象信息網絡的安全帶來了極大的安全隱患，一旦某個系統導致病毒入侵，則整個網絡不可避免。另外，青海空管分局氣象內部局域網很多服務器都習慣采用網絡共享文件夾的方式來訪問，一旦服務器上感染病毒，則會導致病毒通過這種方式快速擴散，這會威脅到氣象信息資料的安全，嚴重時還會導致整個氣象信息網絡癱瘓。2.2網絡病毒。威脅網絡安全最常見的因素就是病毒入侵。而且病毒的種類很多，包括網絡病毒、引導型病毒、文件型病毒等，網絡病毒具有自我復制能力、潛伏性、破壞性和很強的感染性，一旦氣象信息系統被病毒入侵，病毒會在內部網絡傳播蔓延，這會造成氣象信息和資源的損失，同時危及整個網絡系統的安全，因此氣象部門還需要更加重視網絡安全問題，在氣象信息網絡當中，引入更多網絡安全設備，加強安全隱患排查，從而更好地保證信息安全。2.3網絡安全管理隱患。當前空管系統缺乏專業的信息網絡開發、管理以及維修人員，大多數氣象從業人員其業務技術的水平已不能地滿足信息時展的需求，很多崗位未設立專職網絡管理人員，大多數只是兼職且人員網絡安全意識不強，處理信息安全問題的能力也不夠專業，這些均給氣象信息網絡安全帶來諸多隱患。在日常工作中大多數人員在業務運行主機上隨意使用U盤等移動設備，下載與業務無關的程序，一旦受到病毒入侵，就會導致系統癱瘓，如果不能得到及時有效的處理，嚴重時會影響到航空氣象服務的提供。且在網絡系統中未根據業務需求量限制網絡最大流量及連接數，有造成網絡負載過高的可能。重要網段未啟用ARP地址防欺騙功能，可能造成網絡目標無法正常訪問。網絡設備防護，存在多人使用同一帳號，只采用用戶名/密碼一種驗證方式，且密碼不符合復雜度要求，容易破解。未對SSH登錄地址進行限制，發生問題無法確定范圍，采用TELNET明文傳輸進行配置，數據容易被竊取。因此氣象部門應該通過各種途徑，加強從業人員能力建設，科學有效的組織人員進行全面的學習信息網絡管理技術（趙冰,王旭,賀永興,等.淺析海南氣象信息網絡安全建設）。

3青海空管氣象網絡安全建設

3.1制定氣象機房網絡安全管理制度。青海空管分局根據實際業務運行需求，以及信息系統安全等級測評報告，制定了網絡安全管理規范以及機房管理辦法，并要求科室人員認真執行。目前設備大廳已制定門禁，只有氣象臺臺領導以及設備室人員有權限進入。目前的機房安全管理制度規定外來人員進出機房必須要經領導同意并且進行登記，在值班人員陪同下方能進入，未經許可不得隨意進出機房。機務員每次對設備進行變動，必須要經科室主任同意并做好記錄以及科室人員之間的交接。對重要系統設置密碼保護，非本科室人員無權操作設備。每月安排專人進行網絡信息安全管理，對網絡系統進行漏洞掃描，及時更新補丁。規定月維護時對數據庫系統重要配置文件進行備份保存。嚴格規定移動U盤使用制度，必須按要求格式化之后才能使用。此外，青海空管分局辦公室每年定期組織開展網絡安全等相關知識的培訓班，使全局人員充分認識到網絡安全管理的重要性，從而提高信息網絡安全管理人員的安全意識、責任意識和安全防護能力（趙冰,王旭,賀永興,等.淺析海南氣象信息網絡安全建設）。3.2物理安全建設。目前的設備機房環境能夠確保業務系統的穩定運行，有專人值守的電子門禁系統，綜合布線強/弱分離，有UPS電力供應，機房配備了視頻監控系統，有中央空調控制機房溫度，且機房配備了動環監控系統，該系統能夠實時監控機房各機柜的溫濕度，當超過設定閾值時，會產生相應告警。機房采用完全隔水設計，并配備了專業的滅火設施。同時機房的每日多次的巡視，可以有效降低物理安全隱患，確保信息網絡系統的安全。3.3合理的網絡結構規劃。青海空管氣象臺根據本地實際運行情況，在當前網絡結構的基礎上，對網絡結構進行升級優化，并在構建過程中實現對氣象網絡的安全防御改造。本文采用層次化設計思想構造氣象網絡，主要包括內網區、自觀區、氣象數據庫區和地方氣象引接區，內網數據交換核心區、對外區、用戶區和出口區，整個系統的網絡架構如圖1所示。各區域的設計部署如下：（1）內網區、自觀區：部署1臺自觀與內網防火墻，通過在防火墻上配置相關安全策略；實現與內網數據交換核心區的數據交換。（2）氣象數據庫區：部署1臺氣象數據庫防火墻，配置氣象數據庫與內網數據核心交換區的安全策略；同時在此次建設過程中更新系統老舊服務器和通信機，同時配置一臺冷備通信機，進一步提高民航氣象數據庫系統的穩定性。（3）地方氣象引接區：部署1臺氣象局引接防火墻，配置氣象局引接區與內網核心區的安全策略；同時部署1臺氣象局引接路由器，作為舊路由器的備機。（4）內網數據交換核心區：部署1臺內外網隔離網閘，以實現內外網的完全物理隔離，安全地傳送內外網數據；通過部署1臺網閘內交換機，1臺數據采集交換機，2臺配置為iStack內網核心交換機，以形成整個網絡數據交換的核心區域，將匯聚的各類資料通過內外網隔離網閘，推送到對外區；部署1臺內網通信服務器，用于與外網進行數據交換；部署1臺GPS時鐘設備，用于內網服務器時間同步。（5）對外區：部署2臺基于RHCS的WEB服務器互為主備，用于服務平臺的部署，部署1臺防篡改服務器，對WEB網頁進行實時監控，防止被篡改；部署1臺外網數據庫服務器；部署1臺防病毒服務器安裝防病毒服務器，外網服務器、用戶終端均安裝防病毒軟件客戶端。部署1臺外網通信服務器，收集從內網通信服務器過網閘轉送的數據。（6）出口區：部署1臺出口路由器，連接互聯網以及航空公司；部署1臺出口防火墻，配置訪問控制策略，限制互來自外網和內網的流量；部署1臺入侵防御設備，用于檢測并處理來自外部網絡的異常流量，及時準確發現各類非法入侵攻擊行為，并執行實時精確阻斷，主動而高效的保護用戶網絡安全。（7）用戶區：部署1臺用戶接入防火墻，用于限制用戶對其他區域的訪問；部署1臺用戶接入交換機，用于接入用戶終端。

4結論

安全、穩定的氣象信息網絡為航空氣象服務開展及各類氣象資料的交換提供了便利，是氣象工作的支撐與紐帶。但是，氣象網絡在實際運行過程中，常存在一系列的安全漏洞，無法保證氣象業務的穩定運行。因此氣象部門應根據本部門實際業務運行情況，對氣象網絡結構進行優化改造，并增加相應的安全防護措施，同時加強氣象信息網絡安全管理工作，提升網絡監管及安全防護能力，從而提高氣象信息網絡的整體安全，為民航青海空管航空氣象事業的發展提供堅實的網絡基礎。

作者:張國晶 單位:民航青海空管分局