□ 民航新疆空中交通管理局 杨 乐 朱国栋 陈福康/文
我国航空运输已连续十余年稳居全球第二。在航空运输量快速增长的同时,由于天气因素导致的飞行事故和航班不正常情况所占比重逐渐增加,恶劣天气造成大面积航班延误,甚至严重影响飞行安全。为提升气象信息在民航运行中的辅助决策作用,解决民航气象信息共享不充分的问题,本文将互联网和信息安全防护技术应用在气象信息服务中,为空管、航空公司、机场等单位提供实时气象信息推送服务,充分发挥气象信息资源在民航运行中的作用,不断提高气象信息共享水平,保障飞行安全,减少航班延误。
民航气象服务是指对管制、飞服、运管等内部用户以及航空公司、机场集团等外部用户提供气象预报预警产品的服务。目前,民航气象所提供的服务主要是由B/S架构搭建的,主要通过网页形式提供自动观测数据、实况报文、预报报文、重要天气预告图、雷达图、高空风温度预告图、云图、区域数值预报产品、天气告警等资料。作为补充,通过建立统一的文件服务器,搭建F T P服务,为用户提供接入接口,将气象资料以文件的方式提供给用户。
目前,通过有线网络接入气象数据库系统的节点越来越多,利用互联网搭建的对外服务平台也越来越广泛,将众多不同网络环境背景下的用户和服务器置于同一个网络中,计算机病毒、蠕虫、木马便可轻易进行传播,同时也为网络攻击提供了可乘之机。这样不仅会造成服务中断,还有可能导致内部重要资料和文件被窃取、篡改。因此,将气象信息系统根据功能划定模块,规划出不同安全级别的区域,将业务网和服务网进行隔离,减少不必要的数据传输,可降低网络安全风险。
为防止内网和外网的交叉感染,采取物理隔离的方式将内外网进行隔离。对整体的安全构架进行规划设计,综合考虑系统安全性、结构合理性、数据流量大小将网络分为如图1所示的3个安全级别的区域:内网区,安全域(D MZ区)和外网区。
1.内网区
内网区为高安全级别区,包括局域网、广域网、各类信息应用系统及维护平台三个部分,是民航气象内部核心业务网络。其中,局域网上运行的是信息服务系统、雷达图系统、卫星云图系统、数值预报系统等;广域网上运行的是民航气象传真广播系统、视频会商系统、业务监控系统以及民航气象数据库系统;各类信息应用系统及维护平台部分是管理和监控内网,进行G P S授时等操作的系统。通过内网区,对气象数据资料进行整合和处理,将所有相关数据汇聚到数据库系统中,完成与广域网中上、下级的数据交换和资料归档、维护,同时为各类信息应用系统的展示提供后台的数据支撑。
2.安全域(D MZ区)
D MZ区为中等安全级别的数据交换区,主要功能将数据进行提取、加工。将用户所需要的信息从内网获取,进行信息的加工处理,传输到D MZ安全域中所架设的对外服务数据库、We b后台服务器以及手机A P P服务器等,保证各个区域之间根据不同的访问控制策略进行通信,解决内网安全问题。
3.外网区
外网区是低安全级别区,主要是通过互联网向外部用户搭建的服务窗口,其中外部用户包括管制部门、航空公司、机场、军航及航空旅客等。通过与内网完全隔离的外网区服务器,完成对外部用户的We b网页应答。
在划分出的三个区域上,根据不同的数据传输情况采取不用的访问控制方法。在内部网络出口上使用网闸设备进行隔离;在对外服务数据库及服务器间使用防火墙进行策略过滤;在外网和D MZ区间利用IPS 设备进行入侵检测;在连接互联网的出口上使用抗DDOS攻击系统进行抗攻击防护。如图2所示。
1.网闸隔离
网闸隔离是基于数据传输的网络安全技术,通过专用的硬件和传输协议,在物理层面上确保在任意时刻,使其连接的两个网络的链路层都处于断开状态,能够保障在两个不同安全级的区域之间数据安全传输。在硬件的内部构建出一片“安全隔离区”,使用类似空气开关的单刀双掷的原理,使网闸一端的数据包不是直接进入另一端,而是必须经过隔离区的数据检测合格后才可进入。通过网闸将内网区和D MZ区隔离开,当由内到外传输最常见的数据包时,网闸内的处理单元会接收全部传输的数据,经过内部一系列的安全审查后,将去掉数据段中的协议头,再将其按照私有的安全协议进行重组,形成新的数据包,以此隔断网络层通用的协议连接,达到阻断网络攻击的作用,最后将处理过的数据包传输到外网处理单元,完成由内到外的数据传输过程,由外到内的数据流传输过程与上述相同。
民航气象数据库是具有信息安全三级等保的网络,因此在连接外部网络时要求与互联网完全物理隔离,仅从内网中接收原始数据。而气象数据量较大,要求的时效性强,且需要频繁快速的读取数据,因此采用网闸设备进行数据的单项传输,即允许内网数据传送至D MZ区域,禁止一切反向数据流的协议、包转发、路由探测,以作为保护内部数据库的一道重要的安全防线。
2.防火墙隔离
防火墙作为一种成熟有效的安全技术,采用安全策略的访问控制,是解决网络安全问题的一个行之有效的方法。防火墙的使用分为边界防火墙和主机防火墙两种。作为边界防火墙是将其部署在网络的惟一接入点中,根据安全策略过滤通信流量,使其成为网络中的安全屏障。另一种主机防火墙则是将其部署在某一特定主机前端,过滤通过该主机的数据流,起到保护主机的作用。
图2中,在D MZ区中使用边界防火墙架设在对外服务数据库和服务器集群间,使所有数据流都通过防火墙的检测和限制,将大量的非法数据拦截在防火墙外,阻断恶意流量对数据库的危害。
3.入侵防御系统(IPS)
入侵防御系统(IPS)是一个能够对入侵进行检测和响应的主动防御系统。当它检测到攻击企图时,可自动的将攻击包进行丢弃或者阻断攻击源。IPS的结构主要分为检测、关联、策略控制三部分。当数据流通过IPS时,检测模块即对捕捉到的数据流量进行分析,匹配预先设置的规则。若发现具有入侵特征的攻击包将数据发送至关联模块处理,通过进一步的关联分析,将流量包进行进一步的入侵事件分类,根据不同的分类将该数据包发送至策略控制模块,进行阻断等策略响应。在本设计的网关位置(对外服务器集群前端)部署IPS,对网络数据和行为进行深层次的检测,完成对外网区数据的隔离审查,达到阻止入侵的功能。
4.抗DDOS攻击系统
DDOS是英文Distributed Denial of Service的缩写,意为“分布式拒绝服务”。DDOS攻击是通过很多的“僵尸主机”向服务器发送大量看似合法的网络数据包,造成网络资源耗尽或阻塞而拒绝服务。因此,在互联网出口位置部署抗DDOS攻击设备,对访问We b网页的流量进行清洗,降低发生大量高强度、高频次DDOS攻击造成的系统高负荷运转、网络服务中断的情况。
表1:抗DDOS攻击设备拦截记录
在外网区的网络出口处,抗DDOS攻击设备上记录到持续的公网地址T C P扫描行为(如表1所示)。分析其数据量,并非蓄意攻击,由主机回应R S T包告诉对方端口不存在。其余可疑流量已做拦截处理。
在D MZ区的防火墙设备上将大量不合法数据包进行丢弃处理(如图3),使通过清洗后的数据流才可进入D MZ区的对外服务数据库。
在民航气象信息服务系统的优化改造过程中,网络信息安全极为重要。本文中提出的将网络划分成不同级别的安全区域,在区域边界设置相应的网络安全设备,通过实际运行的检验起到了很好的安全防范作用。下一步,可将系统中的抗DDOS攻击设备、IPS和防火墙设备进行协调联动,根据IPS的检测结果动态修改防火墙策略,达到更好的防御效果。此外,网闸虽可阻断攻击,但仍可进行数据的双向传输,当面临数据量猛增、攻击窃取手段不断变化时,依然存在安全隐患。因此可将双向网闸更改为更为安全的单向光闸,以实现数据的单向、高效传输,为内部核心数据库架设一道安全的大门,保证涉密信息不被破坏和泄露,确保在开通互联网对外服务窗口的同时,内部数据库能安全、正常的运行。