公務(wù)員期刊網(wǎng) 論文中心 正文

信息安全的氣象網(wǎng)絡(luò)方案設(shè)計(jì)淺析

前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了信息安全的氣象網(wǎng)絡(luò)方案設(shè)計(jì)淺析范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

信息安全的氣象網(wǎng)絡(luò)方案設(shè)計(jì)淺析

摘要:結(jié)合信息安全等級(jí)保護(hù)三級(jí)要求,分析銀川河?xùn)|機(jī)場(chǎng)氣象網(wǎng)絡(luò)配置和拓?fù)浣Y(jié)構(gòu),查找現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)缺點(diǎn),對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化。使用防火墻防病毒模塊和入侵檢測(cè)模塊對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控,設(shè)置控制策略控制用戶(hù)訪(fǎng)問(wèn)行為。采用日志系統(tǒng)對(duì)訪(fǎng)問(wèn)重要設(shè)備的終端進(jìn)行記錄和分析,借助審計(jì)系統(tǒng)審核終端用戶(hù)行為,通過(guò)設(shè)定規(guī)則拒絕非法用戶(hù)訪(fǎng)問(wèn)。

關(guān)鍵詞:信息安全;入侵檢測(cè);控制策略;日志系統(tǒng)

隨著氣象業(yè)務(wù)的不斷發(fā)展,氣象設(shè)備的數(shù)量不斷增加,氣網(wǎng)絡(luò)面臨較大的運(yùn)行壓力,同時(shí)由于業(yè)務(wù)需求,部分氣象系統(tǒng)連接到互聯(lián)網(wǎng),通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)接入到運(yùn)行網(wǎng)絡(luò)中,給運(yùn)行業(yè)務(wù)帶來(lái)比較大的安全風(fēng)險(xiǎn)。近年來(lái),網(wǎng)絡(luò)安全越來(lái)越受到重視,信息系統(tǒng)安全等級(jí)三級(jí)[1,2]更是對(duì)網(wǎng)絡(luò)結(jié)構(gòu)安全[3-5]、安全審計(jì)、訪(fǎng)問(wèn)控制[6-8]等方面提出了進(jìn)一步的要求。在這種背景下,同時(shí)結(jié)合氣象網(wǎng)絡(luò)安全三級(jí)等保要求,制定合理的安全策略,使用NAT[9,10]技術(shù),隱藏內(nèi)部真實(shí)地址,建立合法登錄用戶(hù)檔案,拒絕非法登錄,構(gòu)建一個(gè)具有較強(qiáng)防護(hù)能力的防御系統(tǒng)。

1基于信息安全的網(wǎng)絡(luò)整體規(guī)劃

1.1防火墻設(shè)計(jì)

本次設(shè)計(jì)目標(biāo)根據(jù)氣象業(yè)務(wù)需求,對(duì)不同安全等級(jí)的網(wǎng)絡(luò)進(jìn)行隔離,在網(wǎng)絡(luò)層進(jìn)行安全防護(hù)部署,設(shè)置不同安全區(qū)域,每個(gè)安全區(qū)域根據(jù)安全等級(jí)進(jìn)行相應(yīng)的防護(hù)設(shè)置,提高網(wǎng)絡(luò)安全性,設(shè)計(jì)具體目標(biāo)如下:

(1)對(duì)氣象數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行分層隔離保護(hù),數(shù)據(jù)庫(kù)服務(wù)器區(qū)域設(shè)置為安全級(jí)別較高的trust區(qū)域,其他數(shù)據(jù)流根據(jù)等級(jí)設(shè)置成dmz、untrust區(qū)域。外部終端獲取數(shù)據(jù)庫(kù)數(shù)據(jù)是通過(guò)防火墻映射地址進(jìn)行訪(fǎng)問(wèn),防火墻安全策略中設(shè)置控制策略,禁止非法用戶(hù)訪(fǎng)問(wèn),網(wǎng)絡(luò)拓?fù)鋱D如圖1所示:防火墻安全區(qū)域設(shè)置,服務(wù)器設(shè)置區(qū)域?yàn)閠rust區(qū)域,內(nèi)網(wǎng)設(shè)置為dmz區(qū)域,互聯(lián)網(wǎng)網(wǎng)段為untrust區(qū)域,根據(jù)氣象網(wǎng)絡(luò)不同系統(tǒng)業(yè)務(wù)接口規(guī)劃安全區(qū)域,并設(shè)置各個(gè)區(qū)域間訪(fǎng)問(wèn)控制策略。訪(fǎng)問(wèn)控制設(shè)置,默認(rèn)下防火墻所有區(qū)域間的安全策略動(dòng)作設(shè)置為拒絕,僅允許通過(guò)策略設(shè)置放行的流量,其余均拒絕;根據(jù)業(yè)務(wù)運(yùn)行變化,定期更新訪(fǎng)問(wèn)控制策略,對(duì)控制策略進(jìn)行調(diào)整優(yōu)化;配置防火墻訪(fǎng)問(wèn)控制策略,實(shí)現(xiàn)流量控制。升級(jí)最新的防病毒模塊和入侵檢測(cè)模塊,檢測(cè)惡意代碼。安全審計(jì)模塊,連接審計(jì)系統(tǒng),對(duì)訪(fǎng)問(wèn)服務(wù)器的用戶(hù)行為進(jìn)行安全審計(jì)和監(jiān)控;日志系統(tǒng),連接日志系統(tǒng),對(duì)訪(fǎng)問(wèn)服務(wù)器的設(shè)備信息、用戶(hù)信息進(jìn)行記錄,具體設(shè)計(jì)見(jiàn)表1:

(2)配置思路及配置命令對(duì)防火墻USG6000進(jìn)行配置,設(shè)置接口IP地址和安全區(qū)域,根據(jù)業(yè)務(wù)運(yùn)行配置安全策略,放行可信用戶(hù),禁止非法用戶(hù)。配置內(nèi)部服務(wù)器,映射服務(wù)器訪(fǎng)問(wèn)地址。配置路由器接口地址和OSPF動(dòng)態(tài)協(xié)議,配置核心交換機(jī)端口鏡像以進(jìn)行流量審計(jì),配置日志輸出功能,具體配置如下:

1.2日志系統(tǒng)配置

(1)LINUX系統(tǒng)和AIX系統(tǒng)系統(tǒng)對(duì)/etc/syslog.conf文件進(jìn)行編輯,在文件后面添加:@172.25.40.250,則日志發(fā)送到172.25.40.250日志采集服務(wù)器,配置完成后需要重啟syslog服務(wù)才能生效:#servicesyslogrestart(2)交換機(jī)日志開(kāi)啟#loggon#logg192.168.19.115#loggservice-interfacef0/21(3)開(kāi)啟端口鏡像#monitorsession1sourceintf0/1-5#monitorsession1destintf0/9

(4)規(guī)則配置:通過(guò)Web方式登錄日志系統(tǒng)的配置界面,使用系統(tǒng)賬號(hào)admin完成相關(guān)配置,具體如下:導(dǎo)入許可配置:在系統(tǒng)維護(hù)界面點(diǎn)擊導(dǎo)入許可,完成配置;開(kāi)放端口,用于接收syslog日志和告警信息,添加開(kāi)放的端口:514,162,443;添加設(shè)備:在資產(chǎn)對(duì)象組中添加設(shè)備,填寫(xiě)設(shè)備的名稱(chēng)、管理IP地址和子網(wǎng)掩碼;時(shí)間統(tǒng)計(jì):點(diǎn)擊事件統(tǒng)計(jì)按鈕,對(duì)網(wǎng)絡(luò)中的安全事件進(jìn)行設(shè)置,屬性設(shè)置為嚴(yán)重、重要、一般、輕微、信息、總數(shù)。

1.3數(shù)據(jù)庫(kù)審計(jì)配置

(1)基本配置,使用系統(tǒng)用戶(hù)sysadmin進(jìn)行基本配置。管理口配置:設(shè)置IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)等,配置完成后測(cè)試ip是否可用,網(wǎng)關(guān)是否連通。部署方式配置:配置默認(rèn)旁路鏡像,確定部署方式,點(diǎn)擊下方保存按鈕。旁路鏡像用于端口鏡像,agent引流用于云上審計(jì)環(huán)境或者沒(méi)有做端口鏡像。

(2)功能配置,使用系統(tǒng)賬號(hào)sysadmin進(jìn)行配置,配置審計(jì)對(duì)象:設(shè)置數(shù)據(jù)庫(kù)服務(wù)器IP、詳細(xì)版本及端口號(hào),配置對(duì)應(yīng)審計(jì)對(duì)象。策略管理:默認(rèn)按規(guī)則審計(jì),界面中依次點(diǎn)擊:策略管理,審計(jì)策略,默認(rèn)策略。全部審計(jì)表示所有訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)均審計(jì)入庫(kù),在前臺(tái)可以查看所有操作的審計(jì)記錄。按規(guī)則審計(jì):只審計(jì)匹配規(guī)則的訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)服務(wù)器信息,未匹配規(guī)則的數(shù)據(jù)不審計(jì)入庫(kù),前臺(tái)查詢(xún)記錄中只有匹配規(guī)則的數(shù)據(jù)。

(3)規(guī)則設(shè)置,使用secadmin帳號(hào)設(shè)置規(guī)則,制定風(fēng)險(xiǎn)的級(jí)別、何種操作類(lèi)型以及針對(duì)的對(duì)象如操作系統(tǒng)主機(jī)名、子對(duì)象、客戶(hù)端地址集、客戶(hù)端進(jìn)程集、關(guān)鍵字等。針對(duì)數(shù)據(jù)庫(kù)的操作:選擇操作命令,如查詢(xún)、插入、刪除、更新等,在審計(jì)結(jié)果中出現(xiàn)對(duì)應(yīng)的操作時(shí),出現(xiàn)告警信息。風(fēng)險(xiǎn)級(jí)別:設(shè)置訪(fǎng)問(wèn)行為高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)、關(guān)注行為、一般行為、不審計(jì)。

2網(wǎng)絡(luò)配置與驗(yàn)證

2.1trunk技術(shù)

trunk技術(shù)用于在交換機(jī)之間互連,使不同VLAN通過(guò)共享鏈路與其它交換機(jī)中的相同VLAN通信。交換機(jī)之間互連的端口就稱(chēng)為trunk端口,trunk是基于OSI第二層數(shù)據(jù)鏈路層(DataLinkLayer)的技術(shù)。將互連的交換機(jī)兩個(gè)端口mode設(shè)置為trunk模式,實(shí)現(xiàn)交換機(jī)上所有VLAN共享這條線(xiàn)路,不同交換機(jī)相同vlan相互通信,配置命令:[LSW]group-membere0/0/1toe0/0/4[LSW]portlinktrunk[LSW]porttrunkallowvlanall

2.2單臂路由技術(shù)

默認(rèn)情況下,不同網(wǎng)段之間是不能相互通信的。但是在實(shí)際中,不同網(wǎng)段之間又要相互通信,這種情況下可以使用單臂路由技術(shù),單臂路由(router-on-a-stick)是指在路由器的一個(gè)接口上通過(guò)配置子接口(或“邏輯接口”,并不存在真正物理接口)的方式,實(shí)現(xiàn)原來(lái)相互隔離的不同VLAN(虛擬局域網(wǎng))之間的互聯(lián)互通,配置命令:[R1-G0/0/0.10]ipaddr172.25.32.25424[R1-G0/0/0.10]dot1qterminationvid10[R1-G0/0/0.10]arpbroadcastenable2.3訪(fǎng)問(wèn)控制和NAT映射技術(shù)訪(fǎng)問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,保證網(wǎng)絡(luò)資源不被非法使用和訪(fǎng)問(wèn),它是保證網(wǎng)絡(luò)安全重要的核心策略之一。NAT(NetAddressTranslation),它是負(fù)責(zé)網(wǎng)絡(luò)地址轉(zhuǎn)換的一個(gè)協(xié)議,負(fù)責(zé)把私網(wǎng)內(nèi)的的IP和端口轉(zhuǎn)換成公網(wǎng)的IP和端口,即IP地址映射,外部網(wǎng)絡(luò)通過(guò)映射的IP地址訪(fǎng)問(wèn)內(nèi)部服務(wù)器,起到保護(hù)內(nèi)部設(shè)備的作用,配置命令:[USG]natserverprotocoltcpglobal192.5.202.2501521inside172.25.32.11521[USG]source-zoneuntrust[USG]destination-zonetrust[USG]actionpermit其他網(wǎng)段設(shè)備通過(guò)NAT映射地址訪(fǎng)問(wèn)氣象數(shù)據(jù)庫(kù)系統(tǒng),如綜合顯示系統(tǒng)終端若訪(fǎng)問(wèn)氣象數(shù)據(jù)庫(kù)服務(wù)器,在華為USG6000防火墻中進(jìn)行地址映射和訪(fǎng)問(wèn)控制,對(duì)服務(wù)器進(jìn)行保護(hù),通過(guò)映射地址192.5.202.250訪(fǎng)問(wèn)氣象數(shù)據(jù)庫(kù)系統(tǒng)服務(wù)器允許的sql檢索服務(wù)。

3結(jié)束語(yǔ)

基于信息安全的氣象網(wǎng)絡(luò)自2020年4月運(yùn)行以來(lái),系統(tǒng)總體運(yùn)行穩(wěn)定可靠,未出現(xiàn)因網(wǎng)絡(luò)原因造成的網(wǎng)絡(luò)中斷、信息泄露、系統(tǒng)癱瘓等故障。運(yùn)行期間,由空管局總局組織的等級(jí)測(cè)試保護(hù)小組對(duì)網(wǎng)絡(luò)進(jìn)行了安全滲透測(cè)試,分局委托的信息等級(jí)保護(hù)安全檢查機(jī)構(gòu)也對(duì)本網(wǎng)絡(luò)進(jìn)行等級(jí)保護(hù)檢查,測(cè)試結(jié)果表明本網(wǎng)絡(luò)完全滿(mǎn)足信息安全等級(jí)保護(hù)三級(jí)要求。

作者:趙曄暉 單位:寧夏銀川民航寧夏空管分局氣象臺(tái)