淺談運(yùn)維審計(jì)在氣象信息系統(tǒng)中的應(yīng)用

王金萍 袁小燕 林鋮 葉德彪

一、引言

隨著氣象信息化業(yè)務(wù)的不斷發(fā)展，支撐氣象業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、服務(wù)器及各種業(yè)務(wù)平臺(tái)隨之增多，對(duì)系統(tǒng)的安全訪問(wèn)控制要求也越來(lái)越高，因此部署一套運(yùn)維安全審計(jì)，使得網(wǎng)絡(luò)管理人員可以對(duì)安全設(shè)備進(jìn)行集中賬號(hào)管理，實(shí)時(shí)記錄運(yùn)維人員的用戶行為，實(shí)現(xiàn)對(duì)數(shù)據(jù)訪問(wèn)行為的審計(jì)監(jiān)控，已成為氣象信息網(wǎng)絡(luò)安全建設(shè)不可缺少的組成部分。

二、氣象信息系統(tǒng)中的主要運(yùn)維風(fēng)險(xiǎn)

近幾年，越來(lái)越多的基于互聯(lián)網(wǎng)、政務(wù)網(wǎng)的氣象應(yīng)用平臺(tái)被投入使用，對(duì)這些應(yīng)用平臺(tái)運(yùn)行過(guò)程出現(xiàn)的安全問(wèn)題，大多安裝一些用于防范外部的入侵和破壞的安全產(chǎn)品，如防火墻、防病毒軟件和入侵檢測(cè)系統(tǒng)等，但對(duì)于運(yùn)維人員和內(nèi)部人員的違規(guī)操作卻缺少必要的防范措施，主要表現(xiàn)在以下幾個(gè)方面：

（一）賬號(hào)共用

在機(jī)房中，存在著大量的網(wǎng)絡(luò)設(shè)備和服務(wù)器，每個(gè)設(shè)備都有自己獨(dú)立的賬號(hào)，由于工作需要，多個(gè)網(wǎng)絡(luò)值班人員需要同時(shí)系統(tǒng)管理這些設(shè)備，只能多用戶共享同一賬號(hào)，多人共用這個(gè)賬號(hào)，這就導(dǎo)致運(yùn)維過(guò)程中無(wú)法準(zhǔn)確定位到人， 事后責(zé)任不清， 存在較大的安全風(fēng)險(xiǎn)和隱患。

（二）運(yùn)維操作無(wú)全過(guò)程審計(jì)

運(yùn)維人員對(duì)服務(wù)器，網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)庫(kù)等進(jìn)行的各種操作缺乏監(jiān)控，無(wú)專(zhuān)屬的審計(jì)記錄 。安全事故發(fā)生后，無(wú)法對(duì)他們的違規(guī)操作或誤操作進(jìn)行追查。

（三）第三方維護(hù)人員安全隱患

隨著氣象業(yè)務(wù)現(xiàn)代化發(fā)展需求，大部分的氣象服務(wù)平臺(tái)是第三方開(kāi)發(fā)商研發(fā)的，維護(hù)也是由第三方技術(shù)人員來(lái)處理，由于代維人員流動(dòng)性大，又缺少對(duì)他們操作行為的監(jiān)控，這些不確定因素，帶來(lái)了不穩(wěn)定的安全風(fēng)險(xiǎn)問(wèn)題。

三、運(yùn)維審計(jì)系統(tǒng)的主要功能

針對(duì)氣象信息系統(tǒng)運(yùn)維中存在的風(fēng)險(xiǎn)，主要要解決以下幾個(gè)問(wèn)題：一是賬號(hào)管理及授權(quán)問(wèn)題；二是運(yùn)維的實(shí)時(shí)監(jiān)控問(wèn)題；三是運(yùn)維事件事后審計(jì)問(wèn)題。運(yùn)維審計(jì)綜合了核心系統(tǒng)運(yùn)維和安全審計(jì)管控兩大主干功能，對(duì)網(wǎng)絡(luò)安全設(shè)備和服務(wù)器等資源訪問(wèn)采用協(xié)議代理的方式替換直接訪問(wèn)，并經(jīng)過(guò)運(yùn)維審計(jì)系統(tǒng)的統(tǒng)一認(rèn)證和授權(quán)，達(dá)到最小化運(yùn)維風(fēng)險(xiǎn)目的。運(yùn)維審計(jì)系統(tǒng)側(cè)重于運(yùn)維安全管理，集單點(diǎn)登錄、賬號(hào)管理、身份認(rèn)證、資源授權(quán)、訪問(wèn)控制和操作審計(jì)為一體。

四、運(yùn)維審計(jì)系統(tǒng)的部署與應(yīng)用

（一）運(yùn)維審計(jì)系統(tǒng)部署

依據(jù)氣象信息系統(tǒng)中存在的風(fēng)險(xiǎn)，將運(yùn)維審計(jì)系統(tǒng)主機(jī)部署在運(yùn)維管理區(qū)（見(jiàn)圖1），接入網(wǎng)絡(luò)的方式采用旁路部署， 用戶訪問(wèn)方式采用瀏覽器/服務(wù)器模式，只要在客戶端主機(jī)裝上控件插件，就可以用瀏覽器登錄平臺(tái)進(jìn)行維護(hù)和操作。

（二）運(yùn)維審計(jì)系統(tǒng)實(shí)際應(yīng)用

整理本局網(wǎng)絡(luò)設(shè)備、服務(wù)器及各類(lèi)氣象業(yè)務(wù)平臺(tái)納入運(yùn)維審計(jì)系統(tǒng)，使之成為相互信任的應(yīng)用系統(tǒng)，并對(duì)所有網(wǎng)絡(luò)設(shè)備、服務(wù)器、交換機(jī)等資源的設(shè)備賬號(hào)進(jìn)行集中管理，這樣使網(wǎng)絡(luò)管理員無(wú)需記憶眾多系統(tǒng)密碼，只需要以自己賬號(hào)登錄運(yùn)維審計(jì)平臺(tái)即可實(shí)現(xiàn)自動(dòng)登錄所授權(quán)的目標(biāo)設(shè)備，便捷安全。最重要的是必須在防火墻上設(shè)置氣象信息網(wǎng)絡(luò)內(nèi)所有網(wǎng)絡(luò)資源和服務(wù)器主機(jī)只有運(yùn)維審計(jì)系統(tǒng)可以訪問(wèn)。

對(duì)運(yùn)維審計(jì)系統(tǒng)進(jìn)行3級(jí)權(quán)限設(shè)置，分設(shè)為系統(tǒng)管理員、操作員和審計(jì)員。系統(tǒng)管理員具有最高權(quán)限，包括建立賬號(hào)、賬號(hào)授權(quán)、訪問(wèn)控制、制定策略等；操作員具有對(duì)所授權(quán)的網(wǎng)絡(luò)資源進(jìn)行運(yùn)行和維護(hù)操作；審計(jì)員的主要權(quán)限是監(jiān)控和查看運(yùn)維審計(jì)系統(tǒng)上的操作和審計(jì)信息。我們將網(wǎng)絡(luò)負(fù)責(zé)人賬號(hào)設(shè)為唯一的系統(tǒng)管理員，由其建立網(wǎng)絡(luò)值班人員和第三方運(yùn)維人員賬號(hào)，同時(shí)授予操作員權(quán)限，部門(mén)負(fù)責(zé)人賬號(hào)授予審計(jì)員權(quán)限。

通過(guò)對(duì)運(yùn)維審計(jì)系統(tǒng)進(jìn)行策略制定，做好訪問(wèn)控制。針對(duì)不同的賬號(hào)進(jìn)行不同策略的制定，杜絕任何資源均能被任意運(yùn)維人員登錄操作，嚴(yán)防非法，越權(quán)訪問(wèn)事件的發(fā)生，從而保護(hù)合法操作者合法訪問(wèn)資源。將福建省寧德市氣象局內(nèi)部的網(wǎng)絡(luò)值班人員賬號(hào)授予操作員權(quán)限，賦予其日常維護(hù)的網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)平臺(tái)的運(yùn)行維護(hù)權(quán)限；將第三方運(yùn)維人員賬號(hào)授予臨時(shí)操作員權(quán)限，該權(quán)限是由第三方運(yùn)維人員提出申請(qǐng)后，臨時(shí)授予短期權(quán)限，并僅對(duì)授權(quán)的平臺(tái)具有操作權(quán)限，通過(guò)嚴(yán)格的權(quán)限控制和操作行為審計(jì)，加強(qiáng)對(duì)代維人員的行為管理，從而達(dá)到消除隱患、規(guī)避風(fēng)險(xiǎn)的目的。

做好留痕和審計(jì)工作，對(duì)部門(mén)負(fù)責(zé)人賬號(hào)授予審計(jì)員權(quán)限。具有查看運(yùn)維審計(jì)系統(tǒng)上的所有審計(jì)信息，在出現(xiàn)任何問(wèn)題時(shí)，都可以在審計(jì)管理行為審計(jì)里查看和回放當(dāng)時(shí)的情景，準(zhǔn)確定位出錯(cuò)誤來(lái)源，以更好的解決問(wèn)題。

五、總結(jié)

通過(guò)運(yùn)維審計(jì)系統(tǒng)在氣象信息網(wǎng)絡(luò)內(nèi)的部署，福建省寧德市氣象局各業(yè)務(wù)應(yīng)用平臺(tái) 的運(yùn)維審計(jì)安全監(jiān)管的工作得到了很大的改善。網(wǎng)管人員只需要登錄運(yùn)維系統(tǒng)就可以完成所管理的所有設(shè)備的安全配置工作，極大的減輕了管理員的工作量，提升了工作效率。有效地降低了氣象信息系統(tǒng)受外部攻擊和信息泄漏等風(fēng)險(xiǎn)，進(jìn)一步提高了福建省寧德市氣象局信息安全防護(hù)水平。

作者單位：福建省寧德市氣象局