信息安全的氣象網絡方案設計淺析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息安全的氣象網絡方案設計淺析范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：結合信息安全等級保護三級要求，分析銀川河東機場氣象網絡配置和拓撲結構，查找現有網絡結構優缺點，對網絡進行優化。使用防火墻防病毒模塊和入侵檢測模塊對網絡進行實時監控，設置控制策略控制用戶訪問行為。采用日志系統對訪問重要設備的終端進行記錄和分析，借助審計系統審核終端用戶行為，通過設定規則拒絕非法用戶訪問。

關鍵詞：信息安全；入侵檢測；控制策略；日志系統

隨著氣象業務的不斷發展，氣象設備的數量不斷增加，氣網絡面臨較大的運行壓力，同時由于業務需求，部分氣象系統連接到互聯網，通過無線網絡接入到運行網絡中，給運行業務帶來比較大的安全風險。近年來，網絡安全越來越受到重視，信息系統安全等級三級[1，2]更是對網絡結構安全[3-5]、安全審計、訪問控制[6-8]等方面提出了進一步的要求。在這種背景下，同時結合氣象網絡安全三級等保要求，制定合理的安全策略，使用NAT[9,10]技術，隱藏內部真實地址，建立合法登錄用戶檔案，拒絕非法登錄，構建一個具有較強防護能力的防御系統。

1基于信息安全的網絡整體規劃

1.1防火墻設計

本次設計目標根據氣象業務需求，對不同安全等級的網絡進行隔離，在網絡層進行安全防護部署，設置不同安全區域，每個安全區域根據安全等級進行相應的防護設置，提高網絡安全性，設計具體目標如下：

（1）對氣象數據庫系統進行分層隔離保護，數據庫服務器區域設置為安全級別較高的trust區域，其他數據流根據等級設置成dmz、untrust區域。外部終端獲取數據庫數據是通過防火墻映射地址進行訪問，防火墻安全策略中設置控制策略，禁止非法用戶訪問，網絡拓撲圖如圖1所示：防火墻安全區域設置，服務器設置區域為trust區域，內網設置為dmz區域，互聯網網段為untrust區域，根據氣象網絡不同系統業務接口規劃安全區域，并設置各個區域間訪問控制策略。訪問控制設置，默認下防火墻所有區域間的安全策略動作設置為拒絕，僅允許通過策略設置放行的流量，其余均拒絕；根據業務運行變化，定期更新訪問控制策略，對控制策略進行調整優化；配置防火墻訪問控制策略，實現流量控制。升級最新的防病毒模塊和入侵檢測模塊，檢測惡意代碼。安全審計模塊，連接審計系統，對訪問服務器的用戶行為進行安全審計和監控；日志系統，連接日志系統，對訪問服務器的設備信息、用戶信息進行記錄，具體設計見表1：

（2）配置思路及配置命令對防火墻USG6000進行配置，設置接口IP地址和安全區域，根據業務運行配置安全策略，放行可信用戶，禁止非法用戶。配置內部服務器，映射服務器訪問地址。配置路由器接口地址和OSPF動態協議，配置核心交換機端口鏡像以進行流量審計，配置日志輸出功能，具體配置如下：

1.2日志系統配置

（1）LINUX系統和AIX系統系統對/etc/syslog.conf文件進行編輯，在文件后面添加：@172.25.40.250，則日志發送到172.25.40.250日志采集服務器，配置完成后需要重啟syslog服務才能生效：#servicesyslogrestart（2）交換機日志開啟#loggon#logg192.168.19.115#loggservice-interfacef0/21（3）開啟端口鏡像#monitorsession1sourceintf0/1-5#monitorsession1destintf0/9

（4）規則配置：通過Web方式登錄日志系統的配置界面，使用系統賬號admin完成相關配置，具體如下：導入許可配置：在系統維護界面點擊導入許可，完成配置；開放端口，用于接收syslog日志和告警信息，添加開放的端口：514,162,443；添加設備：在資產對象組中添加設備，填寫設備的名稱、管理IP地址和子網掩碼；時間統計：點擊事件統計按鈕，對網絡中的安全事件進行設置，屬性設置為嚴重、重要、一般、輕微、信息、總數。

1.3數據庫審計配置

（1）基本配置，使用系統用戶sysadmin進行基本配置。管理口配置：設置IP地址、子網掩碼、網關等，配置完成后測試ip是否可用，網關是否連通。部署方式配置：配置默認旁路鏡像，確定部署方式，點擊下方保存按鈕。旁路鏡像用于端口鏡像，agent引流用于云上審計環境或者沒有做端口鏡像。

（2）功能配置，使用系統賬號sysadmin進行配置，配置審計對象：設置數據庫服務器IP、詳細版本及端口號，配置對應審計對象。策略管理：默認按規則審計，界面中依次點擊：策略管理，審計策略，默認策略。全部審計表示所有訪問數據庫服務器的數據均審計入庫，在前臺可以查看所有操作的審計記錄。按規則審計：只審計匹配規則的訪問數據庫服務器信息，未匹配規則的數據不審計入庫，前臺查詢記錄中只有匹配規則的數據。

（3）規則設置，使用secadmin帳號設置規則，制定風險的級別、何種操作類型以及針對的對象如操作系統主機名、子對象、客戶端地址集、客戶端進程集、關鍵字等。針對數據庫的操作：選擇操作命令，如查詢、插入、刪除、更新等，在審計結果中出現對應的操作時，出現告警信息。風險級別：設置訪問行為高風險、中風險、低風險、關注行為、一般行為、不審計。

2網絡配置與驗證

2.1trunk技術

trunk技術用于在交換機之間互連，使不同VLAN通過共享鏈路與其它交換機中的相同VLAN通信。交換機之間互連的端口就稱為trunk端口，trunk是基于OSI第二層數據鏈路層（DataLinkLayer)的技術。將互連的交換機兩個端口mode設置為trunk模式，實現交換機上所有VLAN共享這條線路，不同交換機相同vlan相互通信，配置命令：[LSW]group-membere0/0/1toe0/0/4[LSW]portlinktrunk[LSW]porttrunkallowvlanall

2.2單臂路由技術

默認情況下，不同網段之間是不能相互通信的。但是在實際中，不同網段之間又要相互通信，這種情況下可以使用單臂路由技術，單臂路由（router-on-a-stick）是指在路由器的一個接口上通過配置子接口（或“邏輯接口”，并不存在真正物理接口）的方式，實現原來相互隔離的不同VLAN（虛擬局域網）之間的互聯互通，配置命令：[R1-G0/0/0.10]ipaddr172.25.32.25424[R1-G0/0/0.10]dot1qterminationvid10[R1-G0/0/0.10]arpbroadcastenable2.3訪問控制和NAT映射技術訪問控制是網絡安全防范和保護的主要策略，保證網絡資源不被非法使用和訪問，它是保證網絡安全重要的核心策略之一。NAT（NetAddressTranslation），它是負責網絡地址轉換的一個協議，負責把私網內的的IP和端口轉換成公網的IP和端口，即IP地址映射,外部網絡通過映射的IP地址訪問內部服務器，起到保護內部設備的作用，配置命令：[USG]natserverprotocoltcpglobal192.5.202.2501521inside172.25.32.11521[USG]source-zoneuntrust[USG]destination-zonetrust[USG]actionpermit其他網段設備通過NAT映射地址訪問氣象數據庫系統，如綜合顯示系統終端若訪問氣象數據庫服務器，在華為USG6000防火墻中進行地址映射和訪問控制，對服務器進行保護，通過映射地址192.5.202.250訪問氣象數據庫系統服務器允許的sql檢索服務。

3結束語

基于信息安全的氣象網絡自2020年4月運行以來，系統總體運行穩定可靠，未出現因網絡原因造成的網絡中斷、信息泄露、系統癱瘓等故障。運行期間，由空管局總局組織的等級測試保護小組對網絡進行了安全滲透測試，分局委托的信息等級保護安全檢查機構也對本網絡進行等級保護檢查，測試結果表明本網絡完全滿足信息安全等級保護三級要求。

作者:趙曄暉 單位:寧夏銀川民航寧夏空管分局氣象臺