民航气象局域网的安全策略的创新机制

　民航气象工作在其自身的特殊性和延续性的影响下发展水平受到气象装备技术水平的决定，如果缺乏不断更新和稳步提升气象设备技术的力度，那么将会促进民航气象工作的更加深入发展。随着信息化的不断发展，民航气象工作必然在计算机技术和网络技术的有机结合中得到飞速的发展。气象局域网在民航气象工作中具有极为重要的地位和作用，该文现就民航气象局域网的安全问题做如下探讨。
　　1 民航气象局域网信息安全的基本内容和存在的问题
　　1.1 民航气象局域网信息安全的基本内容
　　内网系统、外网系统、信息化系统共同构成了民航气象局域网的气象网络，其中内网系统是民航东北地区空中交通管理局沈阳气象中心的网络信息交换平台和应用服务机群，外网系统是气象中心所属气象局、各航站、航空公司、提供的远程服务，信息化系统能够将气象信息和空中交通管理信息化系统有机结合。民航气象局域网信息安全是指采取各项措施切实有效地保护系统软硬件及数据，使偶然或恶意原因不会对系统造成破坏或对系统进行更改，从而保证气象中心连续、正常运行系统，并能够应用持续供应的网络服务。信息安全的目标是切实有效地保护系统信息，从而使信息的完整性及一定的机密性等得到切实的保证；网络安全目标是使网络的安全性、连通性等得到切实的保证，并对通过网络的数据进行严格的监控和有效的保护等[1]。
　　1.2 民航气象局域网信息安全存在的问题
　　气象局域网在建设初期的规模较小，资金不足，技术和观念落后，安全意识也不高，因此相关人员并没有充分重视信息安全，随着网络规模的不断扩大，和外部的连接越来越多，近年来，“红色病毒”、“冲击波”等恶性病毒出现并得到迅速扩散，造成网络阻塞、信息传输中断等，其漏洞对气象信息的安全造成了严重的不良影响[2]，因此，民航目前一项最为紧迫的任务就是将一套切实可行的整体网络安全解决方案建立起来。
　　2 民航气象局域网安全体系的结构
　　2.1防火墙
　　在隔离和访问控制不同网络和系统的过程中主要使用防火墙产品，以实时监测、监控、报警、阻断网络出现的攻击行为或其他一些安全威胁。所选用的防火墙为McAfee NSP，该防火墙支持透明、路由、及混合工作模式，一方面不会使网络安全性减低，另一方面也极大方便了客户的应用。透明工作模式和路由工作模式分别是内网之间访问控制和内网、外网和信息化之间通信行为控制的主要模式。该产品使用简单，所起到的防护效果令人满意，但是无法对UNIX操作系统进行很好地适应。
　　2.2入侵检测系统
　　在监控、记录主要服务器和重点保护网络的过程中使用专用入侵检测系统（McAfee Network Security Manager），该系统和防火墙系统联动，二者共同构成一个防御、报警系统，该系统是动态的。由于防火墙对不经过它的攻击无法进行有效的防范，因此将入侵检测系统增加了进去。整个网络安全体系的核心由防火墙和入侵检测系统的联动技术构成，这样就有机联动了原本孤立的各种不同安全产品和系统，使其协同工作，从而促进了整个系统安全性的显著提升。
　　2.3 计算机网络病毒防护系统
　　运用优秀的杀毒软件将一个计算机网络病毒防护系统构筑起来。民航东北地区空中交通管理局沈阳气象中心将MaCfee杀毒软件网络版购置了过来，将MaCfee杀毒软件网络版的客户端安装在了每台计算机上，并定期进行病毒库更新，这样就使MaCfee杀毒软件的同步更新得到切实的保证。将该杀毒软件安装到计算机上之后，“冲击波”等病毒在攻击计算机时被及时封杀掉了，因此对计算机造成的不良影响是较小的，从而切实保证了信息安全[3]。
　　3 民航气象局域网的安全策略
　　3.1对民航气象局域网进行配置优化
　　3.1.1主干网络（核心层）的设计
　　依据需求分析中的地理距离、数据负载轻重等选择主干网络技术。一般情况下，建筑群和服务群要通过主干网连接，网络上40～60%的信息流可能都被主干网容纳[4]，因此说主干网是网络的大动脉，一种较为理想的做法就是选用千兆以太网。主干网的中心是核心交换机或路由器，可以运用双星（树）结构构造主干网，即在接入层/分布层交换机上分别连接两台相同的交换机，从而使主干网的可用性更高，但是运用这一结构的前提是具有足够的经费。双星结构将单点故障失效的问题有效解决了，一方面具有较强的抗毁性，另一方面还能够实现负载分担，实现途径为允许每条冗余连接链路，所采用的技术为新的链路聚合技术，如千兆以太网的GEC等技术。所采用的方案如图1所示。
　　3.1.2分布层/接入层设计
　　外周网采用的扩充互联方法决定着气象局域网分布层的存在与否。当建筑物内具有较多的信息点，一台交换机无法容纳端口密度，必须增加交换机对端口密度进行扩充，扩充可以采用级联方式或多个并行交换机堆叠方式，级联方式就是在一台背板宽带和具有较好的性能的二级交换机上上联一组固定端口的交换机；多个并行交换机堆叠方式就是上联其中一台交换机，那么接入层存在于网络中，分布层不存在于网络中。分布层的取舍和级联、堆叠选择由网络信息流的特点决定。在堆叠体内存在着充足的宽带保证，在本地具有密集的信息流、全局具有相对较轻的信息负载的情况下极为适用；而如果全网具有较平均的信息流，且组播和初级服务质量管理能力是大多数分布层交换机所具备的，则可以选择分布层，以对一些突发的重负载进行恰当的处理，但是如果分布层增加，相应的成本也会不可避免地提升。一般情况下，分布层/接入层采用的形式是100BASE-T（X）快速（交换式）以太网，自动适应传输速率时运用10/100Mbit/s。双绞线是大多数情况下采用的传输介质。有很多产品能够作为接入层交换机，但是应该注意1～2个光端口模块及堆叠应该能够适应所选用的接入层交换机，如果千兆以太网是主干网采用的形式，那么接入层交换机还应该支持GBE模块。图2所示方案可以作为参考。
　3.1.3 远程接入访问的规划设计
　　在日常工作中，对于零散的远程用户接入，由于不限系统具有昂贵的费用，且很难实现，因此远程拨号访问几乎成为了唯一经济、简便的选择，该远程拨号访问实现的途径是PSTN市话网络。对远程访问服务器和Modem设备进行规划是远程拨号访问需要首先解决的问题 ，同时还需要将一组中继线申请下来。远程访问服务器的数目和Modem设备组的端口数目之间的关系是一一对应的关系，一般情况下，在计算配置过程中，20个用户共用一个端口。图3所示方案可以作为参考。
　　3.2密码的选择和更改
　　在有效安全程序中，最重要的一部分就是密码的选择和更改。具有拨号线路和公共访问终端的系统的绝对安全性是没有保证的，用户要想有效保持系统安全，就必须保证自己所设置的密码别人很难猜出来，同时对密码进行经常性的改变，如果用户不是绝对需要超级用户密码，则尽可能地不告诉其超级用户的密码。
　　3.3加强对用户的管理和监控
　　基本认证建立的基础是用户信赖，但是近年来在网络黑客对攻击工具越来越容易获取的影响下，其越来越容易被攻破，现实社会中人们也很难将“增强的认证”方案建立起来，因此必须切实加强对用户的管理和监控，具体可以从以下三点入手：1）独立的用户账号是所有用户所必须具有的，不要将多个用户名分配给在同一平台上的某个用户；2）告诉用户定期修改密码，并及时注销不再使用的用户账号[5]。
　　3.4及时为操作系统安装补丁
　　系统的安全性极易受到系统中存在的安全漏洞的损害，这些安全漏洞中最常见的是源代码中的问题和错误。系统可能会在一些源代码中的问题和错误的作用下出现以系统故障，程序也可能会在其作用下无法正常运行。而补丁程序能够有效修复这些源代码中的问题和错误，因此应该及时为操作系统安装补丁。
　　3.5提高员工的安全意识
　　对于所有网络安全环节来说，人具有极为重要的作用，但是也是极为薄弱的。据统计，内部人员有意或无意的行为是造成70%以上安全问题的主要源头，这就告诉管理人员应该充分重视对员工的安全法制教育，切实做好对工作管理规程的强化工作和对计算机网络知识的普及工作。
　　总之，随着科技的飞速发展和不断进步，中国民航气象局域网的信息化建设得到了极大的发展，民航气象受到了网络越来越大的影响，数据安全、服务正常等问题变得更为敏感和重要，民航要想使自身的产业结构得到有效的优化，促进服务质量的显著提升，从而使飞行安全得到切实的保证，就必须清晰地认识网络的脆弱性和潜在威胁，然后积极发挥主观能动性，采取有力的安全策略使网络安全得到切实有效的保证。
　　参考文献：
　　[1] 陈齐亚，许财德.民航气象网络安全建设可行性研究报告[R].西北民航空管局气象中心，2010.
　　[2] 马里克.网络安全原理与实践[M].北京：人民邮电出版社，2008.
　　[3] 刘天华，孙阳，朱宏峰.网络安全[M].北京：科学出版杠，20l0.
　　[4] Sobell M G. Solads技术指南[M]. 詹文军，廖铮，李志，等，译.北京：机械工业出版社，2001.
　　[5] King C M，Dalton C E，Osmanoglu T E.安全体系结构的设计、部署与操作[M].常晓波，杨剑峰，译. 北京：清华大学出版社，2003.