民航西北气象中心内外网安全问题研究

王雷斌 中国民用航空西北地区空中交通管理局

1 网络安全概述

1.1 网络安全的定义

所谓网络安全，主要是指对于连接在网络中的计算机软件硬件进行保护避免计算机数据、软硬件受到不法入侵遭到更改、泄露、破坏等，通过网络安全上的提高使整个网络不受影响，各个计算机设备运转正常。通常情况下，网络安全包括以下五个方面，即可控性、保密性、可用性、完整性以及可审查性，任何一个特性受到破坏都是在影响网络安全性能。网络安全由于涉及到了计算机、通信工程、密码学等多个子学科的内容，是一个综合性较强的学科。

1.2 网络防火墙

当前对于网络攻击最主要的防护手段就是网络防火墙，其基本概念是在计算机上建立的对于外界访问的控制策略集合，是一种硬件和软件组成的安全系统，也是常见的网络安全防护工具。例如在本地网络和外地网络间可以建立防火墙，将外界的攻击和访问隔离起来。

防火墙具体划分种类可以分为在应用层的防火墙和在网络层的防火墙，无论是哪一种，都可以对于计算机实现有效的保护。入侵者想要到达目标计算机，必须越过防火墙的安全线，这增加了入侵的难度。防火墙最基本的作用是控制网络中不同信任区域之间的数据流：网络安全障碍，增强的网络安全策略，网络访问和访问监控，防止内部信息泄露等。除此之外，防火墙还有许多其他的功能，比如可以对于虚拟专用网的服务进行支持，从而保证对于互联网的访问。

1.3 杀毒软件

如果防火墙是对网络安全的防御，那么杀毒软件就是恢复网络安全的手段。如果出现病毒攻击计算机时，可以采用传统的杀毒当病毒入侵计算机系统时，我们可以使用杀毒软件清理病毒，虽然有些病毒非常隐蔽，但是目前的杀毒软件可以查杀多数部门的病毒。

2 网络结构

随着业务的不断扩大和升级，民航西北气象中心逐步实现了网络的完整性。从网络安全、结构合理性、各种应用系统的特点和安全性的角度来看，整个网络系统分为内部网络区域、外部网络区域，安全域（DMZ区域）和网络交换区域四个部分。

图2 -1 民航西北气象中心网络结构

2.1 内网

民航单位的气象系统采用的是内网管理机制，主要由广域网、局域网和管理业务网构成，其中气象广播业务系统、业务监控系统、气象视频会议系统和民航气象数据库系统在广域网上运行。气象信息服务系统，气象卫星云图系统，雷达图系统，数值预报系统在气象局域网上运行。网络管理部分是一个新增的网络管理和监控领域，它主要运行网络管理与监控。

2.2 外网

外部网络区域是不受信任的区域，不受气象中心所控制。在外部网络中，气象中心向外面的用户如空管内部用户、航空企业用户、空军部队用户等提供多种服务和产品。

2.3 外部数据交换区

所谓外部数据交换区域，主要是用于将内部的数据和外界进行数据交换同时保证安全性的局域网设备，它是一个相对独立的区域。这个交换区主要通过路由器和交换机来实现数据的分离和网络的独立，具体即填图系统。

2.4 DMZ区

DMZ是安全域的英文缩写，主要功能是对企业内网的安全总是进行处理，提供解决方案并为外部用户提供安全的服务。在这个区域中主要包括一些服务器，例如认证服务器，病毒防治服务器和服务更新。采用不同的访问控制策略根据不同区域之间的情况确保区域之间的安全通信，并为用户提供安全的数据访问区域。将气象数据通过网闸推送至该区域，用户通过互联网域名访问该区资料。

3 威胁民航气象网络安全的因素

3.1 病毒入侵

作为一种常见的网络安全问题，计算机病毒对民航气象的网络安全产生了严重影响。它们不仅损害了网络的安全利益，而且还传播了气象中心的信息，从而给民航气象带来了损失。计算机病毒是程序员如果对于计算机系统采用特别隐蔽和恶意代码进行攻击也会造成一定的损失，例如软件被控制，硬件被破坏等，病毒的传播和破坏能力会使大范围的机器被感染。

侵入计算机病毒的方法很多，很多更新都非常快，难以完全进行针对性进行防治。例如部分病毒可以伪装成Email的附件下载时快速复制和传播，有的则会嵌入在一些外挂或者独立程序中，更为普遍的是在移动存储设备或者外接设备中通过复制传播。

3.2 黑客攻击

最早的黑客是军方以及科学实验中进行的一些技术攻防，但是随着技术的快速普及和发展，越来越多的黑客技术被大量传播，而且开始应用在一些利益的追逐上，通过发布这些知识已经使一些心智不好的人掌握了黑客技术并寻求他们的牟取暴利。由于技术创新，IP地址转换器和其他改变登录信息的方法已经出现。所以，即使当前网信办、工信部等多家部委加强了对于网络安全的监管，中央和各省市地方也成立了网络安全领导小组，但是仍然有各种网络攻击和漏洞时常发生，这也是当前互联网安全的重大威胁，特别是由于网络本身的开放性，导致技术不断更新，因此网络安全相关的规范和标准要加紧实施，只有这样才能在源头上得到控制。

4 防护外网对内网攻击的有效措施

4.1 防病毒策略

技术在不断发展，网络病毒不断更新，随时会出现致命的网络病毒，导致系统瘫痪。因此，有必要安装病毒防御软件。

除安装防病毒软件外，对于要安装的任何软件，应在安装前进行病毒测试，以确保没有病毒，要求员工不应随机卸载防病毒软件同时要及时对于病毒库进行更新覆盖，另外当前一些常见的防御工具如360、Avis，腾讯管家等都是普及率很高的杀毒软件和网络工具，对于这些常用的安全工具的破坏也比较多，所以归根结底还是要有良好的用计算机的习惯和网络安全防护意识，确保陌生不名来源的网站、文件、外接存储设备不要使用和点击，另外及时进行电脑的体检和备份。

防御病毒，除了安装病毒查杀系统软件外，外接的各类存储设备和移动通讯工具都可以被病毒感染，所以只有确保这些外接设备病毒清除完毕才可以与行业计算机相连接，做好各类保密工作。

4.2 防火墙策略

作为最常用的网络安全工具，操作系统都自带了防火墙，可以大大提高计算机的防御能力，增加计算机的安全系数，所以要及时打开并学会如何使用。防火墙是人们首要关注的网络衍生产品。防火墙的功能不仅是内部和外部网络的隔离，还包括数据过滤，对其他想要进入网络的服务器代理进行安全检测。除此之外，防火墙还可以对加密系统进行有效控制，验证VPN等端口的强制访问是否有效。

原则上讲，网络防火墙的作用类似于生活中的防火墙。防御系统阻止病毒，而不影响内部使用，因此当我们使用防火墙隔离内部和外部网络的使用时，内部和外部网络访问需要进行必要的检查以有效地控制数据流，从而增强外部网络的安全性，确保外部网络边界对于黑客的攻击做好最大限度的防御。如今，网络的发展非常迅速，整个网络的安全技术和特定的网络应用软件也在不断发展。目前，我们的防火墙技术可以说已经达到了很高的水平，不仅局限于内部和外部网络分区，而且还逐渐涉及到网络的其他方面。