基于网络安全域的民航气象信息服务系统设计

□ 民航新疆空中交通管理局 杨 乐 朱国栋 陈福康/文

我国航空运输已连续十余年稳居全球第二。在航空运输量快速增长的同时，由于天气因素导致的飞行事故和航班不正常情况所占比重逐渐增加，恶劣天气造成大面积航班延误，甚至严重影响飞行安全。为提升气象信息在民航运行中的辅助决策作用，解决民航气象信息共享不充分的问题，本文将互联网和信息安全防护技术应用在气象信息服务中，为空管、航空公司、机场等单位提供实时气象信息推送服务，充分发挥气象信息资源在民航运行中的作用，不断提高气象信息共享水平，保障飞行安全，减少航班延误。

民航气象信息服务系统的网络安全分析

民航气象服务是指对管制、飞服、运管等内部用户以及航空公司、机场集团等外部用户提供气象预报预警产品的服务。目前，民航气象所提供的服务主要是由B/S架构搭建的，主要通过网页形式提供自动观测数据、实况报文、预报报文、重要天气预告图、雷达图、高空风温度预告图、云图、区域数值预报产品、天气告警等资料。作为补充，通过建立统一的文件服务器，搭建F T P服务，为用户提供接入接口，将气象资料以文件的方式提供给用户。

目前，通过有线网络接入气象数据库系统的节点越来越多，利用互联网搭建的对外服务平台也越来越广泛，将众多不同网络环境背景下的用户和服务器置于同一个网络中，计算机病毒、蠕虫、木马便可轻易进行传播，同时也为网络攻击提供了可乘之机。这样不仅会造成服务中断，还有可能导致内部重要资料和文件被窃取、篡改。因此，将气象信息系统根据功能划定模块，规划出不同安全级别的区域，将业务网和服务网进行隔离，减少不必要的数据传输，可降低网络安全风险。

基于安全域的民航气象信息服务系统设计

（一）总体构架

为防止内网和外网的交叉感染，采取物理隔离的方式将内外网进行隔离。对整体的安全构架进行规划设计，综合考虑系统安全性、结构合理性、数据流量大小将网络分为如图1所示的3个安全级别的区域：内网区，安全域（D MZ区）和外网区。

1.内网区

内网区为高安全级别区，包括局域网、广域网、各类信息应用系统及维护平台三个部分，是民航气象内部核心业务网络。其中，局域网上运行的是信息服务系统、雷达图系统、卫星云图系统、数值预报系统等；广域网上运行的是民航气象传真广播系统、视频会商系统、业务监控系统以及民航气象数据库系统；各类信息应用系统及维护平台部分是管理和监控内网，进行G P S授时等操作的系统。通过内网区，对气象数据资料进行整合和处理，将所有相关数据汇聚到数据库系统中，完成与广域网中上、下级的数据交换和资料归档、维护，同时为各类信息应用系统的展示提供后台的数据支撑。

2.安全域（D MZ区）

D MZ区为中等安全级别的数据交换区，主要功能将数据进行提取、加工。将用户所需要的信息从内网获取，进行信息的加工处理，传输到D MZ安全域中所架设的对外服务数据库、We b后台服务器以及手机A P P服务器等，保证各个区域之间根据不同的访问控制策略进行通信，解决内网安全问题。

3.外网区

外网区是低安全级别区，主要是通过互联网向外部用户搭建的服务窗口，其中外部用户包括管制部门、航空公司、机场、军航及航空旅客等。通过与内网完全隔离的外网区服务器，完成对外部用户的We b网页应答。

（二）网络安全构架设计

在划分出的三个区域上，根据不同的数据传输情况采取不用的访问控制方法。在内部网络出口上使用网闸设备进行隔离；在对外服务数据库及服务器间使用防火墙进行策略过滤；在外网和D MZ区间利用IPS 设备进行入侵检测；在连接互联网的出口上使用抗DDOS攻击系统进行抗攻击防护。如图2所示。

1.网闸隔离

网闸隔离是基于数据传输的网络安全技术，通过专用的硬件和传输协议，在物理层面上确保在任意时刻，使其连接的两个网络的链路层都处于断开状态，能够保障在两个不同安全级的区域之间数据安全传输。在硬件的内部构建出一片“安全隔离区”，使用类似空气开关的单刀双掷的原理，使网闸一端的数据包不是直接进入另一端，而是必须经过隔离区的数据检测合格后才可进入。通过网闸将内网区和D MZ区隔离开，当由内到外传输最常见的数据包时，网闸内的处理单元会接收全部传输的数据，经过内部一系列的安全审查后，将去掉数据段中的协议头，再将其按照私有的安全协议进行重组，形成新的数据包，以此隔断网络层通用的协议连接，达到阻断网络攻击的作用，最后将处理过的数据包传输到外网处理单元，完成由内到外的数据传输过程，由外到内的数据流传输过程与上述相同。

民航气象数据库是具有信息安全三级等保的网络，因此在连接外部网络时要求与互联网完全物理隔离，仅从内网中接收原始数据。而气象数据量较大，要求的时效性强，且需要频繁快速的读取数据，因此采用网闸设备进行数据的单项传输，即允许内网数据传送至D MZ区域，禁止一切反向数据流的协议、包转发、路由探测，以作为保护内部数据库的一道重要的安全防线。

2.防火墙隔离

防火墙作为一种成熟有效的安全技术，采用安全策略的访问控制，是解决网络安全问题的一个行之有效的方法。防火墙的使用分为边界防火墙和主机防火墙两种。作为边界防火墙是将其部署在网络的惟一接入点中，根据安全策略过滤通信流量，使其成为网络中的安全屏障。另一种主机防火墙则是将其部署在某一特定主机前端，过滤通过该主机的数据流，起到保护主机的作用。

图2中，在D MZ区中使用边界防火墙架设在对外服务数据库和服务器集群间，使所有数据流都通过防火墙的检测和限制，将大量的非法数据拦截在防火墙外，阻断恶意流量对数据库的危害。

3.入侵防御系统（IPS）

入侵防御系统（IPS）是一个能够对入侵进行检测和响应的主动防御系统。当它检测到攻击企图时，可自动的将攻击包进行丢弃或者阻断攻击源。IPS的结构主要分为检测、关联、策略控制三部分。当数据流通过IPS时，检测模块即对捕捉到的数据流量进行分析，匹配预先设置的规则。若发现具有入侵特征的攻击包将数据发送至关联模块处理，通过进一步的关联分析，将流量包进行进一步的入侵事件分类，根据不同的分类将该数据包发送至策略控制模块，进行阻断等策略响应。在本设计的网关位置（对外服务器集群前端）部署IPS，对网络数据和行为进行深层次的检测，完成对外网区数据的隔离审查，达到阻止入侵的功能。

4.抗DDOS攻击系统

DDOS是英文Distributed Denial of Service的缩写，意为“分布式拒绝服务”。DDOS攻击是通过很多的“僵尸主机”向服务器发送大量看似合法的网络数据包，造成网络资源耗尽或阻塞而拒绝服务。因此，在互联网出口位置部署抗DDOS攻击设备，对访问We b网页的流量进行清洗，降低发生大量高强度、高频次DDOS攻击造成的系统高负荷运转、网络服务中断的情况。

表1：抗DDOS攻击设备拦截记录

（三）实际运行效果

在外网区的网络出口处，抗DDOS攻击设备上记录到持续的公网地址T C P扫描行为（如表1所示）。分析其数据量，并非蓄意攻击，由主机回应R S T包告诉对方端口不存在。其余可疑流量已做拦截处理。

在D MZ区的防火墙设备上将大量不合法数据包进行丢弃处理（如图3），使通过清洗后的数据流才可进入D MZ区的对外服务数据库。

结语和展望

在民航气象信息服务系统的优化改造过程中，网络信息安全极为重要。本文中提出的将网络划分成不同级别的安全区域，在区域边界设置相应的网络安全设备，通过实际运行的检验起到了很好的安全防范作用。下一步，可将系统中的抗DDOS攻击设备、IPS和防火墙设备进行协调联动，根据IPS的检测结果动态修改防火墙策略，达到更好的防御效果。此外，网闸虽可阻断攻击，但仍可进行数据的双向传输，当面临数据量猛增、攻击窃取手段不断变化时，依然存在安全隐患。因此可将双向网闸更改为更为安全的单向光闸，以实现数据的单向、高效传输，为内部核心数据库架设一道安全的大门，保证涉密信息不被破坏和泄露，确保在开通互联网对外服务窗口的同时，内部数据库能安全、正常的运行。