网闸在民航气象信息系统上的应用探析

摘要：通过对民航气象信息系统安全运行现状的分析，引出网络安全的重要性。阐述了当前网络安全防护系统的主要措施，对比了网络安全隔离与信息交换系统（网闸）和防火墙技术的差别。并以实例详细介绍了H3C SecPath网闸在民航气象信息系统上的应用。

关键词：网闸；气象；应用

一、民航气象信息系统

民航气象信息系统包括民航气象数据库系统、民航气象信息服务系统以及相关的辅助支持系统等。主要负责民航气象信息的发布、接收、存储、交换，查询等，以及通过气象资料的自动分析、制作和人机交互功能，生成航空气象产品，为航空气象用户提供服务[1]。航空气象用户可以通过民航气象专用网络和互联网等，获取所需民航气象信息。

二、民航气象信息安全

随着互联网信息系统的不断深化发展，很多组织的内部网络与外部网络之间需要交换的信息越来越多，传统的方式很难兼顾安全隔离与信息交换两者的需求，更缺乏对信息安全的严格审查，从而导致攻击代码的流入和重要信息的泄漏。

为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，国家颁布了《中华人民共和国网络安全法》，并于2017年6月1日起施行。该法第二条规定，在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。由此可见，国家对网络安全的要求和重视程度。

《信息安全技术—网络安全等级保护基本要求》中明确提出对三级等级保护工作的要求，应避免将重要网段部署在网络边界处且直接链接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段。

民航气象信息系统主要包括核心业务区、气象信息管理区和对外服务接入区。其中核心业务区等保定级为三级，气象信息管理区等保定级为二级，这两个区域主要处理气象关键气象信息的交换、处理、存储以及产品制作和发布。对外服务接入区主要用于接收外部数据给核心业务区和信息管理区，同时，也提供外部系统和用户的访问。民航气象信息的及时、准确发布与获取，不仅关乎民航空管系统的服务质量，也影响到民航运输的安全与高效。如何在保证等保要求的前提下，实现民航气象信息系统的安全、稳定运行至关重要。

三、安全隔离与信息交换系统

网络安全隔离与信息交换系统（网闸）是指能够保证不同网络之间在网络协议终止的基础上，通过安全通道在实现网络隔离的同时进行安全数据交换的软硬件组合。隔离技术的发展过程大致经过了人工拷贝、自动化拷贝、隔离卡、隔离网闸等几个阶段。目前主要通过隔离网闸对内外部网络进行有效安全隔离，不仅阻断网络直接连接，也要阻断通用协议贯通，以便在安全隔离的前提下进行实时的数据交换。

虽然防火墙和网闸同为网络安全设备，但在应用场景、硬件体系、通信协议和安全级别上均存在显著差异。防火墙的首要任务是确保网络的联通性，在此基础上才考虑安全问题，即通信第一、安全第二，而网闸则专注于在保证安全的前提下进行数据交换，即安全第一、通信第二。防火墙硬件结构是单机系统，采用公用协议；网闸是多机系统，使用的是专用私有协议。在安全级别方面，防火墙通过访问控制来阻止非法访问、过滤内容、限制特定流量等安全威胁，而网闸则通过双主结构进行隔离阻断，即使外网端遭到攻击，内部专用私有协议的互通性也能保证内网的安全。所以，在安全性方面，网闸的表现更为出色。

四、H3C SecPath网闸

H3C SecPath网闸是H3C公司的一种全新、高效、安全的网间隔离产品。可在确保用户内外网TCP/IP协议彻底阻断的情况下，提供HTTP、HTTP PROXY、SMTP、POP3、FTP、ORACLE、FileSync、GB/28181-SIP、RTSP等应用级检测通道。提供基于TCP、UDP的自定义应用访问通道，以及文件同步和数据库同步等功能模块。在屏蔽会话层以下网络威胁的前提下，对内外网交互数据进行严格的访问控制和日志审计。

网闸采用三部件系统架构，由内端机、外端机、数据迁移控制单元三部分组成。内端机和外端机具有各自的存储和运算单元，是两套独立的硬件系统，之间采用了具有互斥效果的数据迁移控制单元进行连接。数据迁移控制单元采用专用私有协议完成应用数据迁移，TCP/IP协议无法穿透数据迁移控制单元进行传输。在网络协议及应用层协议的终点，数据被剥离出来进行传输，结合专用隔离硬件，完成内外单元的数据摆渡。

H3C SecPath网闸具有九大功能模块，分别为受控通道模块、HTTP应用模块、邮件应用模块、文件访问模块、文件同步模块、数据库访问模块、数据库同步模块、视频协议模块和日志审计模块。通过多种部署方式，如整体网络与 Internet之间、分支机构与总部网络之间、内部核心网与一般业务网之间及重要服务器的隔离等，完成业务数据的正常交换与安全隔离[2]。

五、网闸在民航气象信息系统上的应用

民航气象信息系统是一个跨区域、多层级的广域网系统，在各区域、层级之间都需要一定的安全防护，保证气象信息的安全畅通。下面通过将H3C SecPath网闸部署在气象信息管理区和对外服务接入区之间为例，简单描述网闸技术如何应用于民航气象信息系统。

1.网闸的基本配置

以admin用户登录网闸的管理页面，分别配置内端机、外端机如下：1）内端机：SLOT0/1和SLOT0/2端口绑定为一个口BAND0使用，对应IP为10.9.160.34，掩码为 255.255.255.248。2）外端机：SLOT0/0端口，对应IP为172.26.14.90，掩码为255.255.255.248

2.文件同步传输

要求将气象信息管理区服务器（IP为10.9.160.36）的文件单向同步传输到对外服务接入区服务器（IP为172.26.14.89）。以secrecy用户登录网闸的管理页面，分别配置内端机、外端机如下：1）选择文件同步/共享目录管理，分别在内端机、外端机添加所要传输的文件目录。内端机：传输方式：FTP；IP：10.9.160.36；端口：21；同步目录：data/WAFSRP。外端机：传输方式：FTP；IP： 172.26.14.89；端口：21；同步目录：/data/swap/WAFSRP。2）选择文件同步/同步任务管理，将内端机与外端机对应资料建立关联，同步方向为内端机到外端机。3）文件同步验证，可在内端同步文件夹内放入新的文件，查看文件同步状态[2]。

3.气象信息管理区的访问

数据应用子系统服务器（IP为10.9.169.66）位于气象信息管理区，负责向其他用户单位提供数据调用接口。网闸配置要求为对外服务接入区主机能够访问数据应用子系统服务器TCP的443端口。因数据应用子系统服务器与网闸内端机不在同一网段，首先需要增加路由，保证数据应用子系统服务器与网闸内端机的网络畅通。1）以admin用户登录网闸的管理页面，选择网络管理/路由配置/内端机，增加路由。目的子网：10.9.169.66；子网掩码：255.255.255.255；网卡名称：BOND0；网关：10.9.160.33。2）以secrecy用户登录网闸的管理页面，选择通道管理，新建外部通道如下：方向：外部到内部；类型：TCP；监听地址：172.26.14.90；监听端口：443；目的地址：10.9.169.66；链接地址：10.9.160.34。不同于普通路由交换设备。网闸连通性不能用单纯的 ping 或 telnet 命令来测试连通性。由于网闸摆渡的仅仅是应用层数据，所以只能通过应用来测试。网闸配置完成后需要根据不同的业务进行测试和验证其连通性。如本次配置完成后，可登录主机172.26.14.89通过telnet 172.26.14.90 443 测试配置是否否成功。

六、结语

网络技术的发展与普及促进了信息的快速传播，但也带来一定的信息安全隐患，同时也引起了各行各业的高度重视。如何通过有效的手段保证网络信息的安全，是人们一直追求的目标。民航气象信息系统在空管服务及航空运输方面起着至关重要的作用，系统的安全稳定同样也是航空飞行安全的重要保障。

参考文献：

[1]中国民用航空局.中国民用航空气象工作规则，CCAR-117R1 2005.

[2]https：//www.h3c.com/cn/，2024-04-02.

【作者简介】吕常胜（1969.01-），男，汉族，辽宁省沈阳市人，大学本科学历，中国民用航空东北空管局气象中心高级工程师，主要研究方向：民航气象应用开发。