王雷斌 中國民用航空西北地區(qū)空中交通管理局

1 網(wǎng)絡(luò)安全概述

1.1 網(wǎng)絡(luò)安全的定義

所謂網(wǎng)絡(luò)安全，主要是指對于連接在網(wǎng)絡(luò)中的計(jì)算機(jī)軟件硬件進(jìn)行保護(hù)避免計(jì)算機(jī)數(shù)據(jù)、軟硬件受到不法入侵遭到更改、泄露、破壞等，通過網(wǎng)絡(luò)安全上的提高使整個(gè)網(wǎng)絡(luò)不受影響，各個(gè)計(jì)算機(jī)設(shè)備運(yùn)轉(zhuǎn)正常。通常情況下，網(wǎng)絡(luò)安全包括以下五個(gè)方面，即可控性、保密性、可用性、完整性以及可審查性，任何一個(gè)特性受到破壞都是在影響網(wǎng)絡(luò)安全性能。網(wǎng)絡(luò)安全由于涉及到了計(jì)算機(jī)、通信工程、密碼學(xué)等多個(gè)子學(xué)科的內(nèi)容，是一個(gè)綜合性較強(qiáng)的學(xué)科。

1.2 網(wǎng)絡(luò)防火墻

當(dāng)前對于網(wǎng)絡(luò)攻擊最主要的防護(hù)手段就是網(wǎng)絡(luò)防火墻，其基本概念是在計(jì)算機(jī)上建立的對于外界訪問的控制策略集合，是一種硬件和軟件組成的安全系統(tǒng)，也是常見的網(wǎng)絡(luò)安全防護(hù)工具。例如在本地網(wǎng)絡(luò)和外地網(wǎng)絡(luò)間可以建立防火墻，將外界的攻擊和訪問隔離起來。

防火墻具體劃分種類可以分為在應(yīng)用層的防火墻和在網(wǎng)絡(luò)層的防火墻，無論是哪一種，都可以對于計(jì)算機(jī)實(shí)現(xiàn)有效的保護(hù)。入侵者想要到達(dá)目標(biāo)計(jì)算機(jī)，必須越過防火墻的安全線，這增加了入侵的難度。防火墻最基本的作用是控制網(wǎng)絡(luò)中不同信任區(qū)域之間的數(shù)據(jù)流：網(wǎng)絡(luò)安全障礙，增強(qiáng)的網(wǎng)絡(luò)安全策略，網(wǎng)絡(luò)訪問和訪問監(jiān)控，防止內(nèi)部信息泄露等。除此之外，防火墻還有許多其他的功能，比如可以對于虛擬專用網(wǎng)的服務(wù)進(jìn)行支持，從而保證對于互聯(lián)網(wǎng)的訪問。

1.3 殺毒軟件

如果防火墻是對網(wǎng)絡(luò)安全的防御，那么殺毒軟件就是恢復(fù)網(wǎng)絡(luò)安全的手段。如果出現(xiàn)病毒攻擊計(jì)算機(jī)時(shí)，可以采用傳統(tǒng)的殺毒當(dāng)病毒入侵計(jì)算機(jī)系統(tǒng)時(shí)，我們可以使用殺毒軟件清理病毒，雖然有些病毒非常隱蔽，但是目前的殺毒軟件可以查殺多數(shù)部門的病毒。

2 網(wǎng)絡(luò)結(jié)構(gòu)

隨著業(yè)務(wù)的不斷擴(kuò)大和升級，民航西北氣象中心逐步實(shí)現(xiàn)了網(wǎng)絡(luò)的完整性。從網(wǎng)絡(luò)安全、結(jié)構(gòu)合理性、各種應(yīng)用系統(tǒng)的特點(diǎn)和安全性的角度來看，整個(gè)網(wǎng)絡(luò)系統(tǒng)分為內(nèi)部網(wǎng)絡(luò)區(qū)域、外部網(wǎng)絡(luò)區(qū)域，安全域（DMZ區(qū)域）和網(wǎng)絡(luò)交換區(qū)域四個(gè)部分。

圖2 -1 民航西北氣象中心網(wǎng)絡(luò)結(jié)構(gòu)

2.1 內(nèi)網(wǎng)

民航單位的氣象系統(tǒng)采用的是內(nèi)網(wǎng)管理機(jī)制，主要由廣域網(wǎng)、局域網(wǎng)和管理業(yè)務(wù)網(wǎng)構(gòu)成，其中氣象廣播業(yè)務(wù)系統(tǒng)、業(yè)務(wù)監(jiān)控系統(tǒng)、氣象視頻會(huì)議系統(tǒng)和民航氣象數(shù)據(jù)庫系統(tǒng)在廣域網(wǎng)上運(yùn)行。氣象信息服務(wù)系統(tǒng)，氣象衛(wèi)星云圖系統(tǒng)，雷達(dá)圖系統(tǒng)，數(shù)值預(yù)報(bào)系統(tǒng)在氣象局域網(wǎng)上運(yùn)行。網(wǎng)絡(luò)管理部分是一個(gè)新增的網(wǎng)絡(luò)管理和監(jiān)控領(lǐng)域，它主要運(yùn)行網(wǎng)絡(luò)管理與監(jiān)控。

2.2 外網(wǎng)

外部網(wǎng)絡(luò)區(qū)域是不受信任的區(qū)域，不受氣象中心所控制。在外部網(wǎng)絡(luò)中，氣象中心向外面的用戶如空管內(nèi)部用戶、航空企業(yè)用戶、空軍部隊(duì)用戶等提供多種服務(wù)和產(chǎn)品。

2.3 外部數(shù)據(jù)交換區(qū)

所謂外部數(shù)據(jù)交換區(qū)域，主要是用于將內(nèi)部的數(shù)據(jù)和外界進(jìn)行數(shù)據(jù)交換同時(shí)保證安全性的局域網(wǎng)設(shè)備，它是一個(gè)相對獨(dú)立的區(qū)域。這個(gè)交換區(qū)主要通過路由器和交換機(jī)來實(shí)現(xiàn)數(shù)據(jù)的分離和網(wǎng)絡(luò)的獨(dú)立，具體即填圖系統(tǒng)。

2.4 DMZ區(qū)

DMZ是安全域的英文縮寫，主要功能是對企業(yè)內(nèi)網(wǎng)的安全總是進(jìn)行處理，提供解決方案并為外部用戶提供安全的服務(wù)。在這個(gè)區(qū)域中主要包括一些服務(wù)器，例如認(rèn)證服務(wù)器，病毒防治服務(wù)器和服務(wù)更新。采用不同的訪問控制策略根據(jù)不同區(qū)域之間的情況確保區(qū)域之間的安全通信，并為用戶提供安全的數(shù)據(jù)訪問區(qū)域。將氣象數(shù)據(jù)通過網(wǎng)閘推送至該區(qū)域，用戶通過互聯(lián)網(wǎng)域名訪問該區(qū)資料。

3 威脅民航氣象網(wǎng)絡(luò)安全的因素

3.1 病毒入侵

作為一種常見的網(wǎng)絡(luò)安全問題，計(jì)算機(jī)病毒對民航氣象的網(wǎng)絡(luò)安全產(chǎn)生了嚴(yán)重影響。它們不僅損害了網(wǎng)絡(luò)的安全利益，而且還傳播了氣象中心的信息，從而給民航氣象帶來了損失。計(jì)算機(jī)病毒是程序員如果對于計(jì)算機(jī)系統(tǒng)采用特別隱蔽和惡意代碼進(jìn)行攻擊也會(huì)造成一定的損失，例如軟件被控制，硬件被破壞等，病毒的傳播和破壞能力會(huì)使大范圍的機(jī)器被感染。

侵入計(jì)算機(jī)病毒的方法很多，很多更新都非常快，難以完全進(jìn)行針對性進(jìn)行防治。例如部分病毒可以偽裝成Email的附件下載時(shí)快速復(fù)制和傳播，有的則會(huì)嵌入在一些外掛或者獨(dú)立程序中，更為普遍的是在移動(dòng)存儲(chǔ)設(shè)備或者外接設(shè)備中通過復(fù)制傳播。

3.2 黑客攻擊

最早的黑客是軍方以及科學(xué)實(shí)驗(yàn)中進(jìn)行的一些技術(shù)攻防，但是隨著技術(shù)的快速普及和發(fā)展，越來越多的黑客技術(shù)被大量傳播，而且開始應(yīng)用在一些利益的追逐上，通過發(fā)布這些知識(shí)已經(jīng)使一些心智不好的人掌握了黑客技術(shù)并尋求他們的牟取暴利。由于技術(shù)創(chuàng)新，IP地址轉(zhuǎn)換器和其他改變登錄信息的方法已經(jīng)出現(xiàn)。所以，即使當(dāng)前網(wǎng)信辦、工信部等多家部委加強(qiáng)了對于網(wǎng)絡(luò)安全的監(jiān)管，中央和各省市地方也成立了網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，但是仍然有各種網(wǎng)絡(luò)攻擊和漏洞時(shí)常發(fā)生，這也是當(dāng)前互聯(lián)網(wǎng)安全的重大威脅，特別是由于網(wǎng)絡(luò)本身的開放性，導(dǎo)致技術(shù)不斷更新，因此網(wǎng)絡(luò)安全相關(guān)的規(guī)范和標(biāo)準(zhǔn)要加緊實(shí)施，只有這樣才能在源頭上得到控制。

4 防護(hù)外網(wǎng)對內(nèi)網(wǎng)攻擊的有效措施

4.1 防病毒策略

技術(shù)在不斷發(fā)展，網(wǎng)絡(luò)病毒不斷更新，隨時(shí)會(huì)出現(xiàn)致命的網(wǎng)絡(luò)病毒，導(dǎo)致系統(tǒng)癱瘓。因此，有必要安裝病毒防御軟件。

除安裝防病毒軟件外，對于要安裝的任何軟件，應(yīng)在安裝前進(jìn)行病毒測試，以確保沒有病毒，要求員工不應(yīng)隨機(jī)卸載防病毒軟件同時(shí)要及時(shí)對于病毒庫進(jìn)行更新覆蓋，另外當(dāng)前一些常見的防御工具如360、Avis，騰訊管家等都是普及率很高的殺毒軟件和網(wǎng)絡(luò)工具，對于這些常用的安全工具的破壞也比較多，所以歸根結(jié)底還是要有良好的用計(jì)算機(jī)的習(xí)慣和網(wǎng)絡(luò)安全防護(hù)意識(shí)，確保陌生不名來源的網(wǎng)站、文件、外接存儲(chǔ)設(shè)備不要使用和點(diǎn)擊，另外及時(shí)進(jìn)行電腦的體檢和備份。

防御病毒，除了安裝病毒查殺系統(tǒng)軟件外，外接的各類存儲(chǔ)設(shè)備和移動(dòng)通訊工具都可以被病毒感染，所以只有確保這些外接設(shè)備病毒清除完畢才可以與行業(yè)計(jì)算機(jī)相連接，做好各類保密工作。

4.2 防火墻策略

作為最常用的網(wǎng)絡(luò)安全工具，操作系統(tǒng)都自帶了防火墻，可以大大提高計(jì)算機(jī)的防御能力，增加計(jì)算機(jī)的安全系數(shù)，所以要及時(shí)打開并學(xué)會(huì)如何使用。防火墻是人們首要關(guān)注的網(wǎng)絡(luò)衍生產(chǎn)品。防火墻的功能不僅是內(nèi)部和外部網(wǎng)絡(luò)的隔離，還包括數(shù)據(jù)過濾，對其他想要進(jìn)入網(wǎng)絡(luò)的服務(wù)器代理進(jìn)行安全檢測。除此之外，防火墻還可以對加密系統(tǒng)進(jìn)行有效控制，驗(yàn)證VPN等端口的強(qiáng)制訪問是否有效。

原則上講，網(wǎng)絡(luò)防火墻的作用類似于生活中的防火墻。防御系統(tǒng)阻止病毒，而不影響內(nèi)部使用，因此當(dāng)我們使用防火墻隔離內(nèi)部和外部網(wǎng)絡(luò)的使用時(shí)，內(nèi)部和外部網(wǎng)絡(luò)訪問需要進(jìn)行必要的檢查以有效地控制數(shù)據(jù)流，從而增強(qiáng)外部網(wǎng)絡(luò)的安全性，確保外部網(wǎng)絡(luò)邊界對于黑客的攻擊做好最大限度的防御。如今，網(wǎng)絡(luò)的發(fā)展非常迅速，整個(gè)網(wǎng)絡(luò)的安全技術(shù)和特定的網(wǎng)絡(luò)應(yīng)用軟件也在不斷發(fā)展。目前，我們的防火墻技術(shù)可以說已經(jīng)達(dá)到了很高的水平，不僅局限于內(nèi)部和外部網(wǎng)絡(luò)分區(qū)，而且還逐漸涉及到網(wǎng)絡(luò)的其他方面。