气象数据库系统HTTP信息网络安全分析与实现

王康

摘 要：航空业的快速增长，对气象保障工作提出了更高的要求，为了能够向用户提供更加全面、准确、及时的气象产品和资料，全面提升气象服务水平，本文以山东空管分局气象信息服务网络为例，对航站气象网络的信息安全管理和风险控制进行了现状分析，并根据实际情况提出了能确保信息安全的网络改造设计方案，给出了一些关键网络设备参数配置的实施记录。

关键词：气象信息；网络安全；网络配置；

一、现状分析

现阶段，山东空管分局用于提供气象信息服务的网络结构大致如图1所示。图中虚线框部分分属不同的网段。

从图1展示的结构可以看出，外场单位通过路由设备接入或直接接入气象传真广播业务网中，内外网之间没有任何屏蔽，这时，如果外界人员通过网络对气象内部网络进行破坏性的攻击，或者终端感染病毒，很可能因为缺乏有效地安全防范机制造成某个系统运行的不正常，甚至整个网络的瘫痪，在网络信息安全工作受到高度重视的空管部门，这样的事情是不希望发生的。

二、方案设计及可行性分析

民航山东空管分局在气象数据库系统建设期间，充分利用目前网络发展提供的便利，将内部用户进行分类，并划分为不同的VLAN，隔离广播域，使处于同一冲突域的用户分离开来，一旦内部某个网络终端感染病毒或木马，其他终端被感染的可能性将大大降低，同时也降低了网络运行风险。

图1中交换机A气象局域网用户所处网段为192.x.x.0，气象数据库系统所分配的网段为172.x.x.0，两个网段之间有各自的路由器对外通信，但两个网段未实现通信，气象数据库系统在实施时，已考虑对外安全通信需要，安装了PIX防火墙，经过分析讨论，以下两种方案能实现内外网用户引接气象数据库系统HTTP信息的需求：

1.针对可信任等级用户，结合目前网络分配现状，如果重新分配为气象数据库系统所在的172.x.x.0网段，势必会对目前已有的网络服务（气象局引接的多普勒雷达资料、MICAPS系统）产生影响，因此，从硬件成本、实施时间成本和对业务运行的影响程度上考虑，加装一台路由器即可实现内网不同网段之间的通信，同时路由器上的访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用，是保护内网安全的有效手段。

2.针对外场单位，在网络中添加网络防火墙，防火墙为内部数据库服务器映射分配一个外部的网络地址，内部数据服务器通过这个地址为外网终端提供服务。

三、实施记录

根据以上方案分析，实施后的网络结构图如图2所示。

1.针对可信任等级用户，即内网用户1，主要为气象局域网用户（管制人员等），加装一台具有防火墙功能的路由器A，选择路由器型号为Quidway AR 28-31，开启防火墙功能，并设置高级访问控制列表，只允许内网用户1通过设定端口访问气象数据库系统提供的HTTP服务，而不允许两个网络互相访问。路由器A的相关配置如下：

//配置访问控制列表

[Quidway]firewall enable //启用防火墙

[Quidway]firewall default deny //配置防火墙缺省操作为deny

[Quidway]acl number xxxx //定义ACL 高级访问控制列表

[Quidway-acl-adv-xxxx]rule 1 permit tcp destination 172.xx.xx.0 0.0.0.255 destination-port eq nnnn（设定的端口号，要求与ZSJNAPP服务器提供的HTTP服务端口号一致）

[Quitway-ethernet]firewall packet-filter xxxx inbound //将规则应用到相应端口上

2.针对内网用户2，即直接访问用户，主要为预报和设备维护人员，在气象数据库系统交换机B上划分不同的VLAN，根据不同使用功能将内网用户2分离开，减少廣播风暴，同时设置单臂路由，实现不同VLAN之间的通信并设置访问控制列表。

3.针对外场单位，利用气象数据库系统提供的PIX防火墙对外提供服务，防范外网用户对气象数据库系统的非安全访问操作，通过配置防火墙将数据库服务器映射为相应的外网地址对外提供服务，防火墙的主要配置如下：

//配置内外端口的IP地址

ip address inside 172.xx.xx.1 255.255.255.0

ip address outside 172.xx.yy.254 255.255.255.0

//配置静态IP地址对映，将内网服务器一对一映射为外网服务器

static（inside，outside）172.xx.yy.3 172.xx.xx.3 netmask 255.255.255.255

//设置某些控制选项：

access-list 100 permit icmp any any

access-list 100 permit tcp host 172.xx.yy.zz host 172.xx.yy.3 eq 8888

//将规则应用到相应端口

access-group 100 in interface outside

四、结语

民航数据库系统作为航空气象服务及飞行安全保障的重要设施之一，在日常的飞行安全保障中发挥了重要的作用。

参考文献

[1] 李集明，王国复.气象数据库系统总体设计综述[J].气象科技.2007（S1）.