1引言

随着互联网和物联网的发展，个人社交、企业运营都会产生各种各样的数据，数据渗透到了人们生活方方面面，数据特性也由之前的量小、单一转变为数据量大、数据种类多等特点，数据管理也从传统的分散管理转向了汇聚管理。随着云计算技术的发展，通过云计算技术可对汇聚起来的大量数据进行快速分析，充分挖掘隐藏在数据背后的数据价值，为业务运营和管理决策提供重要的依据。当前，大数据已进入应用发展阶段，数据已成为国家的基础性战略资源。然而数据在收集、存储、传输和使用过程中缺乏必要技术防护手段，使得大量敏感信息的安全性无法得到有效的保障。数据安全是信息安全的源头，是安全防范的重点，也是难中之难。国家对重要数据安全也越来越重视，一方面，相关的法律、法规越来越多，如《网络安全法》明确网络运营者处理个人信息的规则；《数据安全管理办法》（征求意见稿）明确要求网络运营者通过网站、应用程序等产品收集使用个人信息，应当分别制定并公开收集使用规则等等；另一方面，国家不断提升监管力度，公安部召开320会议的《关于紧急排查整改重要数据和公民个人信息泄露安全隐患的通知》，要求各单位做好数据安全防护工作，防止数据泄露。作为社会公益部门的、以信息服务为基本业务特征的气象部门，从诞生之日起便与数据有着生死与共的紧密关系，没有数据，气象工作的一切便无从谈起。为进一步规范气象数据管理，中国气象局组织制定了《气象数据管理办法（试行）》、《气象数据共享服务与安全管理办法（试行）》等一系列管理办法，加强气象数据在采集、存储、传输、使用、共享、销毁过程中的每个环节，保障气象数据安全。

2气象数据安全面临的问题分析

2.1数据流程环节中导致数据泄漏

大数据的环境下，气象数据的流程环节从：收集、传输、处理、存储以及到最终的共享、服务等环节，数据流程环节复杂并且“时间维度”、“空间维度”、“用户维度”都在变化，在不同环节都可能包含了数据的隐性属性，导致数据流转追踪难、控制难。因此在复杂的流转环境中，数据安全的首要需求是，如何保证国家重要数据、企业机密数据以及用户个人数据等敏感数据的安全。尚未建立“最小化”的数据流程规范——业务部门为了更“自有”的使用数据的，仍采用上下游数据“爬虫”等方式进行数据的获取，并提供自身业务系统的使用，中国气象局推进的CIMISS系统，希望改变数据使用的复杂流程和规范管理并没有得到根本解决。只有按照中国气象局《气象信息系统集约化管理办法》等文件要求，切实加强气象信息系统的集约整合等一系列的举措，依托大数据云平台提供数据的业务服务，加强数据在使用、流通过程中的管控，提升数据被非法复制、传播和篡改等泄露行为的防护能力。

2.2攻击手段的多样化导致数据安全防不胜防

大数据具有体量大、多样性和速度快等特性，随着大数据存储、计算、分析等技术的发展，引入了如：分布式的计算与存储框架等大数据环境下的应用技术，这些新型技术框架也同样带来了新的安全威胁，催生出很多新型高级的网络攻击手段，使得传统的检测、防御技术暴露出严重不足，无法有效抵御外界的入侵攻击。传统基于边界和应用的安全防护通过在网络边界部署防火墙、IPS、IDS、堡垒机等安全设备，以流量分析和边界防护的方式提供保护，而针对大数据环境下的高级可持续攻击（APT）通常具有隐蔽性高，感知困难等特点，常规安全措施基本无法防御。传统防护体系侧重于单点防护，而大数据环境下的网络攻击手段及攻击程序大量增多，导致出现了许多传统安全防护体系无法应对的问题，我们所面临的风险在不断增加。

2.3气象数据资产缺乏有效的数据安全监管手段

对气象部门而言，数据是最核心的业务资产，是气象部门最为珍贵的财富。因此，对气象数据的资产管理，包括：从收集、存储、处理和服务需要充分从实际业务角度出发开展数据的使用，以确保数据资产得到最大化的利用。在对气象数据越来越深的共享开放和业务协同的需求下，带来了复杂多样的业务场景和模式，体现在业务层面就是部门内和部门外之间的业务应用交互和数据的共享。在一个业务流程中，数据可能涉及很多设备、服务器、产品、用户和不同部门的信息。数据从多个渠道大量汇聚，数据类型、用户角色和应用需求更加多样化，传统的保障机制会面临技术上、管理上和制度上提供有效的数据安全监管手段。

3气象数据安全的建设思路

数据安全能力建设涉及到数据的全生命周期的管理、制度流程的梳理安全策略体系的建立、组织机构等内容，因此数据安全能力建设是一项长期的工作，不可能一蹴而就。首先，应该正视它的艰巨性，要从资产梳理与敏感数据发现能力、数据安全分类分级能力、规范数据安全制度体系、数据全生命周期的管理以及安全运行管理体系建设等多个方面开展的长期性工作；其次，数据安全防护能力建设要基于防护现状，以实际业务需求为导向，优先重点建设目前在数据安全中存在的防护薄弱环节，有计划、有步骤地推进数据安全能力建设。

3.1提升资产梳理与敏感数据发现能力

基于数据安全所面临的现状，缺少海量数据资产自动化管理手段，建立数据资产综合信息管理平台，一是可以为提供数据资产分类分级策略、数据资产扫描任务、数据资产风险评估基线等策略配置和数据资产可视化等提供基础资产信息支撑。二是实现数据分类分级管理、在线数据分类梳理、用户及组织管理、识别规则及策略管理、对数据资产存储位置与分布状况、数据资产使用情况、数据资产访问热地、数据访问权限变化动态跟踪、数据资产安全威胁集中可视化展现，解决数据资产和数据安全风险看得见，说得清，为“摸清家底，认清风险、找出漏洞”和数据分级保护提供支撑。

3.2加强数据安全分类分级技术支撑

数据安全分级分类是基于数据资产梳理、摸清数据资产情况的基础上，根据中国气象局的相关要求以及省级实际情况，结合用户数据分级分类需求和数据资产现状，开展数据分级分类融标工作，确定数据安全分级分类方案；在技术上，通过建立数据分级分类规则模型和人工配置数据分级分类规则集的方式对数据表和字段进行数据分级分类标识，形成数据安全分级分类图谱、对后续数据安全技术防护提供有力技术支撑。

3.3完善制度流程的规范体系能力

气象业务数据从其被采集、传输、存储、共享和使用直至其被销毁的全生命周期之中，每时每刻都存在各种各样的安全风险，包括合规性风险、可用性风险、存储风险、操作风险、展示风险、传输风险、滥用风险以及残留风险等。数据安全应当保证重要数据在涉及到其中每一个环节时，都有可靠的管理和技术手段应对，加强数据安全培训，以避免可能数据的损毁、丢失、泄露等安全事件。后续需要尽快制定各项的流程规范编制，如：《数据安全分级分类管理办法》、《数据资产安全管理规范》、《数据安全运维管理制度》等标准规范，指导和约束气象数据操作和流动，保障数据安全。

3.4数据全生命周期管理能力

以数据为核心，构建覆盖数据全生命周期的安全保障体系，在数据采集、数据传输、数据存储、数据共享与使用等环节采取相应的安全防护措施保障我省气象数据安全。1）数据采集安全对采集采集设备以及采集的数据提供分类分级服务，便于在后续各阶段根据数据类别、级别进行相应的安全管控。2）数据分类分级防止因为数据的分类、分级不完善、不准确，导致数据授权管控困难，造成数据泄漏风险。3）数据传输安全在数据传输过程中，应采取加密措施，防止数据被窃取、篡改。4）数据存储安全根据数据类别、级别采用不同的安全存储机制，对于重要程度低的数据，可以明文存储；对于重要程度很高的数据，提供加密存储服务，保证关键数据的保密性。5）数据使用安全对使用数据使用者身份进行鉴别，防止假冒合法人员使用数据；对使用数据的人员提供权限控制服务，防止数据使用者越权访问数据。对内部人员通过应用访问敏感数据的行为提供监控和审计服务，并对其行为日志进行建模分析，以及时发现数据滥用、泄露的风险；对研发人员、BI分析人员和数据库管理员直接访问大数据的行为提供监控和审计服务，并对其行为日志进行建模分析，以及时发现数据滥用、泄露的风险。6）共享交换安全数据资源在共享开放过程中，针对业务中的一些观测原始数据等高敏感数据提供格点化处理服务，防止数据泄漏。针对数据共享的接口提供发现、监控和审计服务，防止数据泄露。7）数据销毁安全在数据生命周期结束后，数据未被彻底删除，或存有敏感数据的介质未被销毁，一旦数据被恢复就会引发数据泄漏的风险；数据销毁方法不当，导致被逆还原的风险。

3.5数据安全管理体系能力

整体采取工具为辅，服务为主的运营模式。提供数据资产管理、分级分类、脱敏加密等安全能力融合能力，同时以海量的数据安全数据作为安全要素，通过大数据技术对这些安全要素信息进行分析，可全面、精准的掌握数据安全状态，提升数据安全风险的主动预警能力、响应能力，形成数据安全监控的闭环。支持数据安全能力的一体化运营，同时广泛采集和收集整体数据环境中的安全状态和事件信息，并加以处理、分析和展现，从而明确当前数据的总体安全态势，为数据安全运营过程中的预警和响应提供决策支撑，提供一站式的数据保护和防御机制。最终实现全网数据安全的安全风险的通报预警、数据安全知识管理、数据安全运营报告、数据安全风险评估、重大活动保障等数据安全运营活动的常态化、自动化。

4结束语

数据的重要性已经不言而喻，因此，建立气象数据的管理体系迫在眉睫。夯实气象事业数据底座，要改变传统以信息系统为防护对象的设计思路，构建以数据为保护对象的安全防护体系，建立覆盖数据流转的安全防护体系，实现在数据流转过程中的安全防护。按照“谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责”的原则，建立气象整体数据安全制度规范体系、技术防护体系、运行管理体系，涵盖数据采集、传输、使用、存储、处理、共享交换、销毁等数据全生命周期安全防护，有效防范数据篡改、数据泄露和数据滥用。

参考文献：

[1]孟小峰，慈祥.大数据管理：概念、技术与挑战[J].计算机研究与发展，2013，50（01）：146-169.

[2]王竹欣，陈湉.大数据时代面临安全挑战分析及应对策略研究[J].电信网技术，2018（02）：20-23.

[3]王世伟.论大数据时代信息安全的新特点与新要求[J].图书情报工作，2016，60（06）：5-14.

[4]孟雪.浅析数据安全法（草案）[J].网络安全和信息化，2020（09）：26.

[5]马敏燕，张震，陈形.数据安全态势研究与应对[J].信息通信，2020（09）：20-22

[6]陆琳琳，田野.基于确定有限状态自动机的改进多模式匹配算法研究[J].计算机应用与软件，2013（030）：007.

作者：朱添福 曹海 单位：福建省气象信息中心