杨波 韩玥 陈宛彤
大连市旅顺口区气象局 辽宁 大连 116041
随着观测、预报、预警、数据统计、农业气象、防灾减灾等工作在基层气象业务工作中的发展和完善,县级气象信息化建设显得越来越重要。网络传输及其机房通信设备作为信息化建设的基础,不仅承担数据文件、语音信息、视频语音等各类应用提供了传输渠道,而且由于网络通信的及时性也为气象数据传输时效达标奠定了基础。目前,多地区县级气象网络专线带宽30~50M,基本能够满足气象实况数据传输及时性的要求[1]。同时,联通、移动等运营商支持的网络带宽具有灵活的可扩展能力和维护便捷的特点,能够满足业务持续发展的需要。县级气象业务工作需要访问内网和互联网,其中内网为基础业务通信网络,用户能够访问国家级气象局、省级气象局和市级气象局的业务内网,用于气象业务中各类天气要素实况数据上传、内网平台查询、预警发布、决策产品发布、气象政务平台访问等。另外,用户通过互联网主要完成的任务有预报产品对外服务,包括微信、微博等平台发布及天气在线类平台查询等。
安全性方面,在各级运维人员技术支持下,气象内网属于专用网络,安全性、可靠性和稳定性相对较高,而互联网由于其无边界性造成的潜在风险和安全隐患就大很多。加上近年来网络安全事件频出,基层工作者的网络安全意识需要加强,安全防护措施也需要改进。基于此,对县级基层气象部门的内网和外网进行物理隔离改造工作势在必行。
网管人员通过大量走访讨论,参考其他地区县级气象部门内、外网分离方法,整体上看主要分为3种模式:第一种是绝对物理隔离,即内网和外网独立存在,内网电脑和外网电脑分别通过各自通信线路进行访问和传输。第二种是软件物理隔离,即通过在电脑上安装隔离卡和网卡等手段,使得内网和外网分别运行在两套操作系统下,理论上双网也不存在交叉。第三种为相对物理隔离,即采用隔离网闸等设备使处于相对独立的两个网络通过限制访问的方式能够相互通信[2]。该方案通过“数据摆渡”方式完成数据交换,本质上不存在网络底层访问路由和TCP/UDP协议通信。经过技术专家团队与气象一线业务人员的反复讨论,本单位计划采用在两个网络中间部署隔离网闸的方式实现县局气象网络分离。下面对使用隔离网闸方案进行谈论分析。
物理隔离,其技术架构核心在于隔离。物理隔离技术,并不是要替代防火墙、入侵检测、漏洞扫描和防病毒系统等安全工具。相反地,物理隔离是网络管理者进行“深度防御”的另外一块基石和保障。物理隔离的目标是保护“核心”业务系统。物理隔离技术,是要在本质解决互联网的安全问题。物理隔离网闸的特点是在外网网闸和内网网闸主机上同时提供具体的应用代理服务。在剥离TCP/IP基础之上,两块网闸才能将应用协议“剥离”,屏蔽应用协议可能的漏洞,保证“摆渡”通信的安全性。
网闸(安全隔离与信息系统),采用“代理+安全隔离”机制,实现网络隔离、协议落地,通过对应用协议解析和数据的还原,具有对应用层数据进行强制检查、内容过滤和访问控制。
安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统,模拟人工在两个隔离网络之间的信息交换[3]。被隔离的两个网络本质在于两个独立主机系统之间,不存在通信的物理连接和逻辑连接,不存在依据TCP/IP协议的信息包转发,只有格式化数据块的无协议“摆渡”。被隔离的两个网络之间的数据传递方式完全私有化,不具备任何通用性,并非逻辑上的隔离。
安全隔离与信息交换系统架构主要由内网主机系统、外网主机系统和隔离交换矩阵3部分构成。内网主机系统与内网相连,外网主机系统与外网相连,内/外网主机系统分别负责内外网信息的获取和协议分析,隔离交换矩阵根据安全策略完成信息的安全检测,内外网络之间的安全交换。网闸协议原理拓扑如图1所示。
图1 隔离网闸通信原理图
本文县级气象部门采用内网和外网两套独立的网络通信线路,路由器、交换机等设备分别部署使得网络架构清晰。同时,通过分别部署防火墙和杀毒软件等可充分保障内、外网应用系统的安全性和业务传输稳定性,有利于加快部署。
在满足业务需求的基础上,从网络量级看,县级气象部门网络结构比较简单,需要的硬件设备和软件平台较少。但是从安全性和传输可靠性方面,县级气象网络需要基本的设备如防火墙、路由器、交换机等。网络管理类软件方面,内网和外网系统都需要部署杀毒软件和安全防御工具等。
县级气象网络分离的改造工作,首先要保障内、外网的安全性。其中内网安全性通过部署市局统一发布的安全软件,如火绒安全防御软件,定期对系统进行查杀和漏洞修复。同时网管人员要求业务人员不能随意卸载查杀软件、不得随意更改IP地址等。遇到异常情况关闭计算机进行排查,防止全网系统中毒。外网系统安全性方面,同样需要在系统中安装360安全卫士等软件,并保持良好的上网习惯。
双网分别连接完毕,实现了内网访问国、省、市级业务系统和外网机器访问互联网的正常需求。接着需要考虑的是由于应用系统的融合以及服务对象的增加造成的不同业务之间的交互需求,即隔离网闸部署方式[4]。由图1可知,网闸的部署需要放置在两个网络之间,并且根据业务需求配置任务和策略,完成跨网数据“摆渡”功能。进行内、外网分离改造后的县级气象部门的网络部署架构如图2所示。
图2 内外网分离后的县级气象网络架构
经过方案探讨、设备采购、调试上架、应用测试等关键步骤之后,县级气象部门网管人员对初定的业务应用进行测试和分析。按照测试方案,需要对网络中3个方面分别进行测试,第一方面是内网网络访问是否正常,包括网络传输速率、内网平台访问及网络安全性等;第二方面是外网访问互联网是否正常;第三方面是通过网闸能否跨网访问及安全性。
经过测试,上述3个方面测试效果良好。需要注意的是,在进行跨网访问时,隔离网闸的配置较为复杂,首先需要添加资源,即源地址和目的地址。要完成访问,还需要配置客户端和服务端安全传输策略,分为透明代理和普通访问两种模式。按照网闸工作原理要求,内外网网闸需要配置相同的任务号进行数据“摆渡”,同时根据需要配置访问端口和协议等。进行严格的配置后,跨网访问就可以顺利实现了。即在县级气象内网部分机器可以访问互联网微信、微博等平台。同时,外网机器还可以通过网闸访问内网某个业务系统网页,访问速度及运行状态良好。
信息技术迅速发展的当下,网络安全、数据安全发展成为新的威胁。各县级基层气象部门按照上级要求逐步完成双网分离,通过物理隔离的方式完成内网和外网隔离的改造,一定程度上降低了网络安全风险。结合本地业务实际,本文采用的物理隔离方法是使用网闸完成部分业务“摆渡”功能。从技术角度看,网闸的应用能够避免防火墙等安全设备产生的路由协议转换问题。应用效果上看,该方式既能满足隔离的需要,同时还能达到内网访问微博等互联网网页的需要。