1、民航天津空管气象信息网络安全等级保护建设一、摘要加固 民航气象信息网络安全 防御 , 彻底解决外网病毒木马入侵对 民航气象 外网 服务区 使用网闸进行隔离,并 增 加 IPS入侵防御体系研究目的根据气象网络安全需求,添加 入侵防御 IPS1200、千兆网闸 Hrwall和气象数据交换服务器 ,构建具有物理隔离功能的安全网络改进方法实施建设二、技术方案n ( 1) 目 前 气象 网 络信息安全现 状 :n 近年来,随着民用航空气象网络信息化建设步伐的加快, VPN远程访问气象网的航空公司越来越多 , 对气象实时数据越来越重视, 并 以前所未有的速度发展 ,外 网的接入对航空气象网的内部局域网安全
2、造成了威胁和隐患,一旦被黑客攻击后果不堪设 想 。( 2) 发现潜在隐患n如何在保证内网 设备 安全 不受外网病毒入侵、黑客攻击 的前提下,实现从气象局域网到外网 气象服务 用户的网络畅通、 气象 资源共享、方便快捷访问是气象信息 网络安全保护 建设中 首先要 解决的技术问题 。( 3)控制措施n 现有的网络安全解决方案 :软件解决方案法规和行政命令物理隔离方案最有效民航气象网络现在广泛应用的是防火墙、代理服务器、入侵探测器、通道控制等手段来降低来自Internet的潜在危险。法规和行政命令对安全工作是绝对必须的,严格的工作纪律是安全防护的重要保证。采用硬件物理隔离方案,将 民航气象 内部网与
3、外部网彻底地从物理隔离开,没有任何线路 直接 连接。这样可以保证外网上的黑客无法连接内网,具有极高的安全性。( 4) 物理隔离解决方案在 信息 网络中的应用原理虽然物理隔离网闸隔离、阻断了 内外网的 连接,物理隔离网闸依然可以使用数据 “摆渡 ”的方式实现两个网络之间的信息传输。物理隔离网闸工作原理:n 当内网与外网之间无信息交换时,物理隔离网闸与内网,物理隔离网闸与外网,内网与外网之间是完全断开的,即三者之间不存在物理连接和逻辑连接内网数据写入网闸时的信息交换关系 :n 当内网的信息数据需要传输到外网时,网闸主动向内网服务器发起连接请求,并发出 “写 ”命令,将写入开关合上,将原始数据写入存储介质。在此过程中,外网服务器与物理隔离网闸之间始终处于断开状态 。从网闸读取数据时的信息交换关系 :n 一 旦内网数据完全写 入网 闸 的存 储 介 质 ,开关立即关 闭,中断与内网的 连 接。 转 而 发 起 对 外网 的 连 接 请 求 ,外网服 务 器收到 请 求后, 发 出 “读 取 ”命令, 将网 闸 存 储 介质 内的数据 传输 至外网服 务 器 。
