信息安全的气象网络方案设计浅析

摘要：结合信息安全等级保护三级要求，分析银川河东机场气象网络配置和拓扑结构，查找现有网络结构优缺点，对网络进行优化。使用防火墙防病毒模块和入侵检测模块对网络进行实时监控，设置控制策略控制用户访问行为。采用日志系统对访问重要设备的终端进行记录和分析，借助审计系统审核终端用户行为，通过设定规则拒绝非法用户访问。

关键词：信息安全；入侵检测；控制策略；日志系统

随着气象业务的不断发展，气象设备的数量不断增加，气网络面临较大的运行压力，同时由于业务需求，部分气象系统连接到互联网，通过无线网络接入到运行网络中，给运行业务带来比较大的安全风险。近年来，网络安全越来越受到重视，信息系统安全等级三级[1，2]更是对网络结构安全[3-5]、安全审计、访问控制[6-8]等方面提出了进一步的要求。在这种背景下，同时结合气象网络安全三级等保要求，制定合理的安全策略，使用NAT[9,10]技术，隐藏内部真实地址，建立合法登录用户档案，拒绝非法登录，构建一个具有较强防护能力的防御系统。

1基于信息安全的网络整体规划

1.1防火墙设计

本次设计目标根据气象业务需求，对不同安全等级的网络进行隔离，在网络层进行安全防护部署，设置不同安全区域，每个安全区域根据安全等级进行相应的防护设置，提高网络安全性，设计具体目标如下：

（1）对气象数据库系统进行分层隔离保护，数据库服务器区域设置为安全级别较高的trust区域，其他数据流根据等级设置成dmz、untrust区域。外部终端获取数据库数据是通过防火墙映射地址进行访问，防火墙安全策略中设置控制策略，禁止非法用户访问，网络拓扑图如图1所示：防火墙安全区域设置，服务器设置区域为trust区域，内网设置为dmz区域，互联网网段为untrust区域，根据气象网络不同系统业务接口规划安全区域，并设置各个区域间访问控制策略。访问控制设置，默认下防火墙所有区域间的安全策略动作设置为拒绝，仅允许通过策略设置放行的流量，其余均拒绝；根据业务运行变化，定期更新访问控制策略，对控制策略进行调整优化；配置防火墙访问控制策略，实现流量控制。升级最新的防病毒模块和入侵检测模块，检测恶意代码。安全审计模块，连接审计系统，对访问服务器的用户行为进行安全审计和监控；日志系统，连接日志系统，对访问服务器的设备信息、用户信息进行记录，具体设计见表1：

（2）配置思路及配置命令对防火墙USG6000进行配置，设置接口IP地址和安全区域，根据业务运行配置安全策略，放行可信用户，禁止非法用户。配置内部服务器，映射服务器访问地址。配置路由器接口地址和OSPF动态协议，配置核心交换机端口镜像以进行流量审计，配置日志输出功能，具体配置如下：

1.2日志系统配置

（1）LINUX系统和AIX系统系统对/etc/syslog.conf文件进行编辑，在文件后面添加：@172.25.40.250，则日志发送到172.25.40.250日志采集服务器，配置完成后需要重启syslog服务才能生效：#servicesyslogrestart（2）交换机日志开启#loggon#logg192.168.19.115#loggservice-interfacef0/21（3）开启端口镜像#monitorsession1sourceintf0/1-5#monitorsession1destintf0/9

（4）规则配置：通过Web方式登录日志系统的配置界面，使用系统账号admin完成相关配置，具体如下：导入许可配置：在系统维护界面点击导入许可，完成配置；开放端口，用于接收syslog日志和告警信息，添加开放的端口：514,162,443；添加设备：在资产对象组中添加设备，填写设备的名称、管理IP地址和子网掩码；时间统计：点击事件统计按钮，对网络中的安全事件进行设置，属性设置为严重、重要、一般、轻微、信息、总数。

1.3数据库审计配置

（1）基本配置，使用系统用户sysadmin进行基本配置。管理口配置：设置IP地址、子网掩码、网关等，配置完成后测试ip是否可用，网关是否连通。部署方式配置：配置默认旁路镜像，确定部署方式，点击下方保存按钮。旁路镜像用于端口镜像，agent引流用于云上审计环境或者没有做端口镜像。

（2）功能配置，使用系统账号sysadmin进行配置，配置审计对象：设置数据库服务器IP、详细版本及端口号，配置对应审计对象。策略管理：默认按规则审计，界面中依次点击：策略管理，审计策略，默认策略。全部审计表示所有访问数据库服务器的数据均审计入库，在前台可以查看所有操作的审计记录。按规则审计：只审计匹配规则的访问数据库服务器信息，未匹配规则的数据不审计入库，前台查询记录中只有匹配规则的数据。

（3）规则设置，使用secadmin帐号设置规则，制定风险的级别、何种操作类型以及针对的对象如操作系统主机名、子对象、客户端地址集、客户端进程集、关键字等。针对数据库的操作：选择操作命令，如查询、插入、删除、更新等，在审计结果中出现对应的操作时，出现告警信息。风险级别：设置访问行为高风险、中风险、低风险、关注行为、一般行为、不审计。

2网络配置与验证

2.1trunk技术

trunk技术用于在交换机之间互连，使不同VLAN通过共享链路与其它交换机中的相同VLAN通信。交换机之间互连的端口就称为trunk端口，trunk是基于OSI第二层数据链路层（DataLinkLayer)的技术。将互连的交换机两个端口mode设置为trunk模式，实现交换机上所有VLAN共享这条线路，不同交换机相同vlan相互通信，配置命令：[LSW]group-membere0/0/1toe0/0/4[LSW]portlinktrunk[LSW]porttrunkallowvlanall

2.2单臂路由技术

默认情况下，不同网段之间是不能相互通信的。但是在实际中，不同网段之间又要相互通信，这种情况下可以使用单臂路由技术，单臂路由（router-on-a-stick）是指在路由器的一个接口上通过配置子接口（或“逻辑接口”，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通，配置命令：[R1-G0/0/0.10]ipaddr172.25.32.25424[R1-G0/0/0.10]dot1qterminationvid10[R1-G0/0/0.10]arpbroadcastenable2.3访问控制和NAT映射技术访问控制是网络安全防范和保护的主要策略，保证网络资源不被非法使用和访问，它是保证网络安全重要的核心策略之一。NAT（NetAddressTranslation），它是负责网络地址转换的一个协议，负责把私网内的的IP和端口转换成公网的IP和端口，即IP地址映射,外部网络通过映射的IP地址访问内部服务器，起到保护内部设备的作用，配置命令：[USG]natserverprotocoltcpglobal192.5.202.2501521inside172.25.32.11521[USG]source-zoneuntrust[USG]destination-zonetrust[USG]actionpermit其他网段设备通过NAT映射地址访问气象数据库系统，如综合显示系统终端若访问气象数据库服务器，在华为USG6000防火墙中进行地址映射和访问控制，对服务器进行保护，通过映射地址192.5.202.250访问气象数据库系统服务器允许的sql检索服务。

3结束语

基于信息安全的气象网络自2020年4月运行以来，系统总体运行稳定可靠，未出现因网络原因造成的网络中断、信息泄露、系统瘫痪等故障。运行期间，由空管局总局组织的等级测试保护小组对网络进行了安全渗透测试，分局委托的信息等级保护安全检查机构也对本网络进行等级保护检查，测试结果表明本网络完全满足信息安全等级保护三级要求。

作者:赵晔晖 单位:宁夏银川民航宁夏空管分局气象台