民航天津空管气象信息网络安全等级保护建设课程.ppt

IPS对气象网络安全的保护功能 IPS（Intrusion Prevention System? 入侵防御系统），位于防火墙和网络的设备之间。当IPS检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。 IPS拥有过滤器实现实时检查和阻止入侵，能够防止各种网络攻击，保护服务发布区。 入侵保护策略 四、应用情况 测试阶段 首次测试时，网闸出现自动观测系统实时数据中断现象，使用串口线接内、外网处理单元检查端口故障信息，发现是气象数据资料收集服务器发送模块软件发送数据结束后网闸断开内网接口，造成之后的实时数据无法立即继续传输。根据网闸传输方式，修改网闸收发模块软件启用定期检测连接状态，确保实时数据能够及时发送，避免因网闸开关中断续传数据。 民航空管气象信息网络安全等级保护建设 使用阶段 按照信息网络安全等级保护建设方案进行实施，民航气象网络安全得到有效保障，民航气象数据资料的传输效率也提高到千兆带宽。在不影响管制员使用气象数据指挥飞机正常起降的前提下，我们等航班结束之后午夜进行了气象网络改造，经过反复测试验收合格。经过近两年的正常运行，目前气象信息网络已稳定运行，有效地保障了气象服务的及时、可靠、稳定。 。 民航空管气象信息网络安全等级保护建设 总结 近年来病毒发展变化速度越来越快，网闸建设之前气象局域网内出现过病毒、木马入侵。2012年为提高气象信息网络安全等级，使用IPS、网闸投入网络运行之后民航气象网内未在感染病毒、木马等，之前中过病毒都是依赖网络进行传播，安装IPS和网闸对其进行极大的制约，网闸有效隔离外网病毒，保证了民航气象网内设备的正常运行，同时高效、准确、稳定地完成了民航气象资料向外网用户的传输，此次民航气象网的优化调整提高信息安全、促进民航气象业务的可持续发展。 。 民航空管气象数据安全保护建设项目 其它气象信息网络内网数据安全保护的建设 从民航气象数据的来源进行保障 自动观测系统安装光电隔离器 两台核心交换机双线互为热备 金山安全防护系统V8.0 服务器扩展双电源双路供电 多普勒雷达双机自动切换 621通信机升级改造服务器 明年气象信息网络安全等级保护建设的加固计划 未来的气象网络将会更加安全、可靠。 谢谢各位专家！ * 民航天津空管气象信息网络安全等级保护建设 一、摘要 加固民航气象信息网络安全防御，彻底解决外网病毒木马入侵 对民航气象外网服务区使用网闸进行隔离，并增加IPS入侵防御体系 研究目的 根据气象网络安全需求，添加入侵防御IPS1200、千兆网闸Hrwall和 气象数据交换服务器，构建具有物理隔离功能的安全网络 改进方法 实施建设 二、技术方案 （1）目前气象网络信息安全现状： 近年来，随着民用航空气象网络信息化建设步伐的加快，VPN远程访问气象网的航空公司越来越多，对气象实时数据越来越重视，并以前所未有的速度发展，外网的接入对航空气象网的内部局域网安全造成了威胁和隐患，一旦被黑客攻击后果不堪设想。 （2）发现潜在隐患 如何在保证内网设备安全不受外网病毒入侵、黑客攻击的前提下，实现从气象局域网到外网气象服务用户的网络畅通、气象资源共享、方便快捷访问是气象信息网络安全保护建设中首先要解决的技术问题。 （3）控制措施 现有的网络安全解决方案： 软件解决方案 法规和行政命令 物理隔离方案 最有效 民航气象网络 现在广泛应用的是防火墙、代理服务器、入侵探测器、通道控制等手段来降低来自Internet的潜在危险。 法规和行政命令对安全工作是绝对必须的，严格的工作纪律是安全防护的重要保证。 采用硬件物理隔离方案，将民航气象内部网与外部网彻底地从物理隔离开，没有任何线路直接连接。这样可以保证外网上的黑客无法连接内网，具有极高的安全性。 （4）物理隔离解决方案在信息网络中的应用原理 虽然物理隔离网闸隔离、阻断了内外网的连接，物理隔离网闸依然可以使用数据“摆渡”的方式实现两个网络之间的信息传输。 物理隔离网闸工作原理： 当内网与外网之间无信息交换时，物理隔离网闸与内网，物理隔离网闸与外网，内网与外网之间是完全断开的，即三者之间不存在物理连接和逻辑连接 内网数据写入网闸时的信息交换关系： 当内网的信息数据需要传输到外网时，网闸主动向内网服务器发起连接请求，并发出“写”命令，将写入开关合上，将原始数据写入存储介质。在此过程中，外网服务器与物理隔离网闸之间始终处于断开状态。 从网闸读取数据时的信息交换关系： 一旦内网数据完全写入网闸的存储介质，开关