運維審計在氣象信息系統(tǒng)的應(yīng)用

時間:2022-04-01 04:27:28

導語:運維審計在氣象信息系統(tǒng)的應(yīng)用一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

運維審計在氣象信息系統(tǒng)的應(yīng)用

一、引言

隨著氣象信息化業(yè)務(wù)的不斷發(fā)展,支撐氣象業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、服務(wù)器及各種業(yè)務(wù)平臺隨之增多,對系統(tǒng)的安全訪問控制要求也越來越高,因此部署一套運維安全審計,使得網(wǎng)絡(luò)管理人員可以對安全設(shè)備進行集中賬號管理,實時記錄運維人員的用戶行為,實現(xiàn)對數(shù)據(jù)訪問行為的審計監(jiān)控,已成為氣象信息網(wǎng)絡(luò)安全建設(shè)不可缺少的組成部分。

二、氣象信息系統(tǒng)中的主要運維風險

近幾年,越來越多的基于互聯(lián)網(wǎng)、政務(wù)網(wǎng)的氣象應(yīng)用平臺被投入使用,對這些應(yīng)用平臺運行過程出現(xiàn)的安全問題,大多安裝一些用于防范外部的入侵和破壞的安全產(chǎn)品,如防火墻、防病毒軟件和入侵檢測系統(tǒng)等,但對于運維人員和內(nèi)部人員的違規(guī)操作卻缺少必要的防范措施,主要表現(xiàn)在以下幾個方面:(一)賬號共用。在機房中,存在著大量的網(wǎng)絡(luò)設(shè)備和服務(wù)器,每個設(shè)備都有自己獨立的賬號,由于工作需要,多個網(wǎng)絡(luò)值班人員需要同時系統(tǒng)管理這些設(shè)備,只能多用戶共享同一賬號,多人共用這個賬號,這就導致運維過程中無法準確定位到人,事后責任不清,存在較大的安全風險和隱患。(二)運維操作無全過程審計。運維人員對服務(wù)器,網(wǎng)絡(luò)設(shè)備,數(shù)據(jù)庫等進行的各種操作缺乏監(jiān)控,無專屬的審計記錄。安全事故發(fā)生后,無法對他們的違規(guī)操作或誤操作進行追查。(三)第三方維護人員安全隱患。隨著氣象業(yè)務(wù)現(xiàn)代化發(fā)展需求,大部分的氣象服務(wù)平臺是第三方開發(fā)商研發(fā)的,維護也是由第三方技術(shù)人員來處理,由于代維人員流動性大,又缺少對他們操作行為的監(jiān)控,這些不確定因素,帶來了不穩(wěn)定的安全風險問題。

三、運維審計系統(tǒng)的主要功能

針對氣象信息系統(tǒng)運維中存在的風險,主要要解決以下幾個問題:一是賬號管理及授權(quán)問題;二是運維的實時監(jiān)控問題;三是運維事件事后審計問題。運維審計綜合了核心系統(tǒng)運維和安全審計管控兩大主干功能,對網(wǎng)絡(luò)安全設(shè)備和服務(wù)器等資源訪問采用協(xié)議的方式替換直接訪問,并經(jīng)過運維審計系統(tǒng)的統(tǒng)一認證和授權(quán),達到最小化運維風險目的。運維審計系統(tǒng)側(cè)重于運維安全管理,集單點登錄、賬號管理、身份認證、資源授權(quán)、訪問控制和操作審計為一體。

四、運維審計系統(tǒng)的部署與應(yīng)用

(一)運維審計。系統(tǒng)部署依據(jù)氣象信息系統(tǒng)中存在的風險,將運維審計系統(tǒng)主機部署在運維管理區(qū)(見圖1),接入網(wǎng)絡(luò)的方式采用旁路部署,用戶訪問方式采用瀏覽器/服務(wù)器模式,只要在客戶端主機裝上控件插件,就可以用瀏覽器登錄平臺進行維護和操作。(二)運維審計。系統(tǒng)實際應(yīng)用整理本局網(wǎng)絡(luò)設(shè)備、服務(wù)器及各類氣象業(yè)務(wù)平臺納入運維審計系統(tǒng),使之成為相互信任的應(yīng)用系統(tǒng),并對所有網(wǎng)絡(luò)設(shè)備、服務(wù)器、交換機等資源的設(shè)備賬號進行集中管理,這樣使網(wǎng)絡(luò)管理員無需記憶眾多系統(tǒng)密碼,只需要以自己賬號登錄運維審計平臺即可實現(xiàn)自動登錄所授權(quán)的目標設(shè)備,便捷安全。最重要的是必須在防火墻上設(shè)置氣象信息網(wǎng)絡(luò)內(nèi)所有網(wǎng)絡(luò)資源和服務(wù)器主機只有運維審計系統(tǒng)可以訪問。對運維審計系統(tǒng)進行3級權(quán)限設(shè)置,分設(shè)為系統(tǒng)管理員、操作員和審計員。系統(tǒng)管理員具有最高權(quán)限,包括建立賬號、賬號授權(quán)、訪問控制、制定策略等;操作員具有對所授權(quán)的網(wǎng)絡(luò)資源進行運行和維護操作;審計員的主要權(quán)限是監(jiān)控和查看運維審計系統(tǒng)上的操作和審計信息。我們將網(wǎng)絡(luò)負責人賬號設(shè)為唯一的系統(tǒng)管理員,由其建立網(wǎng)絡(luò)值班人員和第三方運維人員賬號,同時授予操作員權(quán)限,部門負責人賬號授予審計員權(quán)限。通過對運維審計系統(tǒng)進行策略制定,做好訪問控制。針對不同的賬號進行不同策略的制定,杜絕任何資源均能被任意運維人員登錄操作,嚴防非法,越權(quán)訪問事件的發(fā)生,從而保護合法操作者合法訪問資源。將福建省寧德市氣象局內(nèi)部的網(wǎng)絡(luò)值班人員賬號授予操作員權(quán)限,賦予其日常維護的網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)平臺的運行維護權(quán)限;將第三方運維人員賬號授予臨時操作員權(quán)限,該權(quán)限是由第三方運維人員提出申請后,臨時授予短期權(quán)限,并僅對授權(quán)的平臺具有操作權(quán)限,通過嚴格的權(quán)限控制和操作行為審計,加強對代維人員的行為管理,從而達到消除隱患、規(guī)避風險的目的。做好留痕和審計工作,對部門負責人賬號授予審計員權(quán)限。具有查看運維審計系統(tǒng)上的所有審計信息,在出現(xiàn)任何問題時,都可以在審計管理行為審計里查看和回放當時的情景,準確定位出錯誤來源,以更好的解決問題。

五、總結(jié)

通過運維審計系統(tǒng)在氣象信息網(wǎng)絡(luò)內(nèi)的部署,福建省寧德市氣象局各業(yè)務(wù)應(yīng)用平臺的運維審計安全監(jiān)管的工作得到了很大的改善。網(wǎng)管人員只需要登錄運維系統(tǒng)就可以完成所管理的所有設(shè)備的安全配置工作,極大的減輕了管理員的工作量,提升了工作效率。有效地降低了氣象信息系統(tǒng)受外部攻擊和信息泄漏等風險,進一步提高了福建省寧德市氣象局信息安全防護水平。

作者:王金萍 袁小燕 林鋮 葉德彪 單位:福建省寧德市氣象局