氣象數(shù)據(jù)庫系統(tǒng)HTTP信息網(wǎng)絡(luò)安全分析與實現(xiàn)

王康

摘 要：航空業(yè)的快速增長，對氣象保障工作提出了更高的要求，為了能夠向用戶提供更加全面、準確、及時的氣象產(chǎn)品和資料，全面提升氣象服務(wù)水平，本文以山東空管分局氣象信息服務(wù)網(wǎng)絡(luò)為例，對航站氣象網(wǎng)絡(luò)的信息安全管理和風(fēng)險控制進行了現(xiàn)狀分析，并根據(jù)實際情況提出了能確保信息安全的網(wǎng)絡(luò)改造設(shè)計方案，給出了一些關(guān)鍵網(wǎng)絡(luò)設(shè)備參數(shù)配置的實施記錄。

關(guān)鍵詞：氣象信息；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)配置；

一、現(xiàn)狀分析

現(xiàn)階段，山東空管分局用于提供氣象信息服務(wù)的網(wǎng)絡(luò)結(jié)構(gòu)大致如圖1所示。圖中虛線框部分分屬不同的網(wǎng)段。

從圖1展示的結(jié)構(gòu)可以看出，外場單位通過路由設(shè)備接入或直接接入氣象傳真廣播業(yè)務(wù)網(wǎng)中，內(nèi)外網(wǎng)之間沒有任何屏蔽，這時，如果外界人員通過網(wǎng)絡(luò)對氣象內(nèi)部網(wǎng)絡(luò)進行破壞性的攻擊，或者終端感染病毒，很可能因為缺乏有效地安全防范機制造成某個系統(tǒng)運行的不正常，甚至整個網(wǎng)絡(luò)的癱瘓，在網(wǎng)絡(luò)信息安全工作受到高度重視的空管部門，這樣的事情是不希望發(fā)生的。

二、方案設(shè)計及可行性分析

民航山東空管分局在氣象數(shù)據(jù)庫系統(tǒng)建設(shè)期間，充分利用目前網(wǎng)絡(luò)發(fā)展提供的便利，將內(nèi)部用戶進行分類，并劃分為不同的VLAN，隔離廣播域，使處于同一沖突域的用戶分離開來，一旦內(nèi)部某個網(wǎng)絡(luò)終端感染病毒或木馬，其他終端被感染的可能性將大大降低，同時也降低了網(wǎng)絡(luò)運行風(fēng)險。

圖1中交換機A氣象局域網(wǎng)用戶所處網(wǎng)段為192.x.x.0，氣象數(shù)據(jù)庫系統(tǒng)所分配的網(wǎng)段為172.x.x.0，兩個網(wǎng)段之間有各自的路由器對外通信，但兩個網(wǎng)段未實現(xiàn)通信，氣象數(shù)據(jù)庫系統(tǒng)在實施時，已考慮對外安全通信需要，安裝了PIX防火墻，經(jīng)過分析討論，以下兩種方案能實現(xiàn)內(nèi)外網(wǎng)用戶引接氣象數(shù)據(jù)庫系統(tǒng)HTTP信息的需求：

1.針對可信任等級用戶，結(jié)合目前網(wǎng)絡(luò)分配現(xiàn)狀，如果重新分配為氣象數(shù)據(jù)庫系統(tǒng)所在的172.x.x.0網(wǎng)段，勢必會對目前已有的網(wǎng)絡(luò)服務(wù)（氣象局引接的多普勒雷達資料、MICAPS系統(tǒng)）產(chǎn)生影響，因此，從硬件成本、實施時間成本和對業(yè)務(wù)運行的影響程度上考慮，加裝一臺路由器即可實現(xiàn)內(nèi)網(wǎng)不同網(wǎng)段之間的通信，同時路由器上的訪問控制列表不但可以起到控制網(wǎng)絡(luò)流量、流向的作用，而且在很大程度上起到保護網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用，是保護內(nèi)網(wǎng)安全的有效手段。

2.針對外場單位，在網(wǎng)絡(luò)中添加網(wǎng)絡(luò)防火墻，防火墻為內(nèi)部數(shù)據(jù)庫服務(wù)器映射分配一個外部的網(wǎng)絡(luò)地址，內(nèi)部數(shù)據(jù)服務(wù)器通過這個地址為外網(wǎng)終端提供服務(wù)。

三、實施記錄

根據(jù)以上方案分析，實施后的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖2所示。

1.針對可信任等級用戶，即內(nèi)網(wǎng)用戶1，主要為氣象局域網(wǎng)用戶（管制人員等），加裝一臺具有防火墻功能的路由器A，選擇路由器型號為Quidway AR 28-31，開啟防火墻功能，并設(shè)置高級訪問控制列表，只允許內(nèi)網(wǎng)用戶1通過設(shè)定端口訪問氣象數(shù)據(jù)庫系統(tǒng)提供的HTTP服務(wù)，而不允許兩個網(wǎng)絡(luò)互相訪問。路由器A的相關(guān)配置如下：

//配置訪問控制列表

[Quidway]firewall enable //啟用防火墻

[Quidway]firewall default deny //配置防火墻缺省操作為deny

[Quidway]acl number xxxx //定義ACL 高級訪問控制列表

[Quidway-acl-adv-xxxx]rule 1 permit tcp destination 172.xx.xx.0 0.0.0.255 destination-port eq nnnn（設(shè)定的端口號，要求與ZSJNAPP服務(wù)器提供的HTTP服務(wù)端口號一致）

[Quitway-ethernet]firewall packet-filter xxxx inbound //將規(guī)則應(yīng)用到相應(yīng)端口上

2.針對內(nèi)網(wǎng)用戶2，即直接訪問用戶，主要為預(yù)報和設(shè)備維護人員，在氣象數(shù)據(jù)庫系統(tǒng)交換機B上劃分不同的VLAN，根據(jù)不同使用功能將內(nèi)網(wǎng)用戶2分離開，減少廣播風(fēng)暴，同時設(shè)置單臂路由，實現(xiàn)不同VLAN之間的通信并設(shè)置訪問控制列表。

3.針對外場單位，利用氣象數(shù)據(jù)庫系統(tǒng)提供的PIX防火墻對外提供服務(wù)，防范外網(wǎng)用戶對氣象數(shù)據(jù)庫系統(tǒng)的非安全訪問操作，通過配置防火墻將數(shù)據(jù)庫服務(wù)器映射為相應(yīng)的外網(wǎng)地址對外提供服務(wù)，防火墻的主要配置如下：

//配置內(nèi)外端口的IP地址

ip address inside 172.xx.xx.1 255.255.255.0

ip address outside 172.xx.yy.254 255.255.255.0

//配置靜態(tài)IP地址對映，將內(nèi)網(wǎng)服務(wù)器一對一映射為外網(wǎng)服務(wù)器

static（inside，outside）172.xx.yy.3 172.xx.xx.3 netmask 255.255.255.255

//設(shè)置某些控制選項：

access-list 100 permit icmp any any

access-list 100 permit tcp host 172.xx.yy.zz host 172.xx.yy.3 eq 8888

//將規(guī)則應(yīng)用到相應(yīng)端口

access-group 100 in interface outside

四、結(jié)語

民航數(shù)據(jù)庫系統(tǒng)作為航空氣象服務(wù)及飛行安全保障的重要設(shè)施之一，在日常的飛行安全保障中發(fā)揮了重要的作用。

參考文獻

[1] 李集明，王國復(fù).氣象數(shù)據(jù)庫系統(tǒng)總體設(shè)計綜述[J].氣象科技.2007（S1）.