本文结合民航气海空管分局网络现状,分析气象信息网络中存在的主要安全问题,通过对当前网络结构进行优化调整,建立一个一体化的网络平台,使其更好地适应航空气象业务系统发展的需求。本文还介绍了民航青海空管气象信息网络安全防护系统的建设和应用技术,有效增强了气象网络的安全水平,保证气象业务的稳定运行和气象数据的安全共享。随着大数据、云计算等各类新技术的快速发展,以及气象信息化步伐的加快,服务领域的不断扩展,气象信息网络安全问题也逐渐显现出来,网络是气象数据传输和共享的基础平台,保证气象网络安全能有效提升气象业务工作效率,促进气象业务不断发展,是做好气象工作的重要前提。因此,加强气象信息网络安全建设,提升网络安全防护能力和稳定性就显得尤其重要。
1网络现状
空管气象设备杂而多,民航青海空管分局气象部门主要包括以下几大业务系统:民航气象数据库系统、自动气象观测系统、地方气象资料引接系统、常规天气雷达、风廓线雷达,编发报系统,CAMCAST系统、气象卫星云图接收处理系统等。而气象网络结构在前期建设的时候,由于各个系统的建设独立进行,没有做合理的全局规划,网络结构设计采用二层结构,各系统都是一个独立的局域网,各个用户终端直接相连到相应的交换机,且在交换机上并没有进行严格的VLAN划分,导致各个终端之间可以相互访问。且存在部分网络与其他网络在没有有效安全隔离的情况下直接相连的情况,这严重影响了航空气象业务的安全运行。
2气象信息网络面临的主要问题
青海空管气象信息网络架构在过去相当一段时期内满足了各类气象业务的发展需求,保障了各气象业务系统的稳定运行。但是随着近几年国内航空事业的快速发展,对航空气象服务需求明显增大,航空用户对产品要求的日益提高,对现有的服务模式也提出了挑战,当前的网络架构已经不能适应气象业务的发展。建设一个安全的、可稳定的网络平台显得非常重要。
2.1网络结构隐患
近几年随着各类气象自筹科技项目的新开发,一个项目的开发往往需要来自不同局域网内的气象资料,如低空风切变预警系统项目中,系统需要采集机场自动气象观测系统、气象局T639数值预报资料、风廓线风场资料、气象局常规观测资料,独立风站资料。而这些数据分别来自不同的局域网,在项目实施过程中,本场自观数据通过串口方式接入系统,铁塔自动站数据则通过GPRS无线传输,而气象局数据和风廓线风场则在中间没有任何安全防护措施情况下直接从相应的交换机引入。这导致不同局域网的交叉,对气象信息网络的安全带来了极大的安全隐患,一旦某个系统导致病毒入侵,则整个网络不可避免。另外,青海空管分局气象内部局域网很多服务器都习惯采用网络共享文件夹的方式来访问,一旦服务器上感染病毒,则会导致病毒通过这种方式快速扩散,这会威胁到气象信息资料的安全,严重时还会导致整个气象信息网络瘫痪。
2.2网络病毒
威胁网络安全最常见的因素就是病毒入侵。而且病毒的种类很多,包括网络病毒、引导型病毒、文件型病毒等,网络病毒具有自我复制能力、潜伏性、破坏性和很强的感染性,一旦气象信息系统被病毒入侵,病毒会在内部网络传播蔓延,这会造成气象信息和资源的损失,同时危及整个网络系统的安全,因此气象部门还需要更加重视网络安全问题,在气象信息网络当中,引入更多网络安全设备,加强安全隐患排查,从而更好地保证信息安全。
2.3网络安全管理隐患
当前空管系统缺乏专业的信息网络开发、管理以及维修人员,大多数气象从业人员其业务技术的水平已不能地满足信息时展的需求,很多岗位未设立专职网络管理人员,大多数只是兼职且人员网络安全意识不强,处理信息安全问题的能力也不够专业,这些均给气象信息网络安全带来诸多隐患。在日常工作中大多数人员在业务运行主机上随意使用U盘等移动设备,下载与业务无关的程序,一旦受到病毒入侵,就会导致系统瘫痪,如果不能得到及时有效的处理,严重时会影响到航空气象服务的提供。且在网络系统中未根据业务需求量限制网络最大流量及连接数,有造成网络负载过高的可能。重要网段未启用ARP地址防欺骗功能,可能造成网络目标无法正常访问。网络设备防护,存在多人使用同一帐号,只采用用户名/密码一种验证方式,且密码不符合复杂度要求,容易破解。未对SSH登录地址进行限制,发生问题无法确定范围,采用TELNET明文传输进行配置,数据容易被窃取。因此气象部门应该通过各种途径,加强从业人员能力建设,科学有效的组织人员进行全面的学习信息网络管理技术(赵冰,王旭,贺永兴,等.浅析海南气象信息网络安全建设)。
3青海空管气象网络安全建设
3.1制定气象机房网络安全管理制度
青海空管分局根据实际业务运行需求,以及信息系统安全等级测评报告,制定了网络安全管理规范以及机房管理办法,并要求科室人员认真执行。目前设备大厅已制定门禁,只有气象台台领导以及设备室人员有权限进入。目前的机房安全管理制度规定外来人员进出机房必须要经领导同意并且进行登记,在值班人员陪同下方能进入,未经许可不得随意进出机房。机务员每次对设备进行变动,必须要经科室主任同意并做好记录以及科室人员之间的交接。对重要系统设置密码保护,非本科室人员无权操作设备。每月安排专人进行网络信息安全管理,对网络系统进行漏洞扫描,及时更新补丁。规定月维护时对数据库系统重要配置文件进行备份保存。严格规定移动U盘使用制度,必须按要求格式化之后才能使用。此外,青海空管分局办公室每年定期组织开展网络安全等相关知识的培训班,使全局人员充分认识到网络安全管理的重要性,从而提高信息网络安全管理人员的安全意识、责任意识和安全防护能力(赵冰,王旭,贺永兴,等.浅析海南气象信息网络安全建设)。
3.2物理安全建设
目前的设备机房环境能够确保业务系统的稳定运行,有专人值守的电子门禁系统,综合布线强/弱分离,有UPS电力供应,机房配备了视频监控系统,有中央空调控制机房温度,且机房配备了动环监控系统,该系统能够实时监控机房各机柜的温湿度,当超过设定阈值时,会产生相应告警。机房采用完全隔水设计,并配备了专业的灭火设施。同时机房的每日多次的巡视,可以有效降低物理安全隐患,确保信息网络系统的安全。
3.3合理的网络结构规划
青海空管气象台根据本地实际运行情况,在当前网络结构的基础上,对网络结构进行升级优化,并在构建过程中实现对气象网络的安全防御改造。本文采用层次化设计思想构造气象网络,主要包括内网区、自观区、气象数据库区和地方气象引接区,内网数据交换核心区、对外区、用户区和出口区,整个系统的网络架构如图1所示。各区域的设计部署如下:(1)内网区、自观区:部署1台自观与内网防火墙,通过在防火墙上配置相关安全策略;实现与内网数据交换核心区的数据交换。(2)气象数据库区:部署1台气象数据库防火墙,配置气象数据库与内网数据核心交换区的安全策略;同时在此次建设过程中更新系统老旧服务器和通信机,同时配置一台冷备通信机,进一步提高民航气象数据库系统的稳定性。(3)地方气象引接区:部署1台气象局引接防火墙,配置气象局引接区与内网核心区的安全策略;同时部署1台气象局引接路由器,作为旧路由器的备机。(4)内网数据交换核心区:部署1台内外网隔离网闸,以实现内外网的完全物理隔离,安全地传送内外网数据;通过部署1台网闸内交换机,1台数据采集交换机,2台配置为iStack内网核心交换机,以形成整个网络数据交换的核心区域,将汇聚的各类资料通过内外网隔离网闸,推送到对外区;部署1台内网通信服务器,用于与外网进行数据交换;部署1台GPS时钟设备,用于内网服务器时间同步。(5)对外区:部署2台基于RHCS的WEB服务器互为主备,用于服务平台的部署,部署1台防篡改服务器,对WEB网页进行实时监控,防止被篡改;部署1台外网数据库服务器;部署1台防病毒服务器安装防病毒服务器,外网服务器、用户终端均安装防病毒软件客户端。部署1台外网通信服务器,收集从内网通信服务器过网闸转送的数据。(6)出口区:部署1台出口路由器,连接互联网以及航空公司;部署1台出口防火墙,配置访问控制策略,限制互来自外网和内网的流量;部署1台入侵防御设备,用于检测并处理来自外部网络的异常流量,及时准确发现各类非法入侵攻击行为,并执行实时精确阻断,主动而高效的保护用户网络安全。(7)用户区:部署1台用户接入防火墙,用于限制用户对其他区域的访问;部署1台用户接入交换机,用于接入用户终端。
4结论
安全、稳定的气象信息网络为航空气象服务开展及各类气象资料的交换提供了便利,是气象工作的支撑与纽带。但是,气象网络在实际运行过程中,常存在一系列的安全漏洞,无法保证气象业务的稳定运行。因此气象部门应根据本部门实际业务运行情况,对气象网络结构进行优化改造,并增加相应的安全防护措施,同时加强气象信息网络安全管理工作,提升网络监管及安全防护能力,从而提高气象信息网络的整体安全,为民航青海空管航空气象事业的发展提供坚实的网络基础。
作者:张国晶 单位:民航青海空管分局
