賈 偉

（中國民用航空廈門空中交通管理站，福建 廈門 361006）

基于局域網(wǎng)的空管信息系統(tǒng)安全策略

賈 偉

（中國民用航空廈門空中交通管理站，福建 廈門 361006）

空管信息系統(tǒng)需要依靠物理網(wǎng)絡(luò)平臺即局域網(wǎng)存在，而實際運行中所使用的由通訊運營商所提供的傳輸線路并不能得到完全的控制并給予充分信任，所以建立基于局域網(wǎng)的空管信息系統(tǒng)安全策略是非常重要的工作。

局域網(wǎng)；安全策略；空管信息系統(tǒng)

由于我國在民航空管信息管理上較早引進了信息技術(shù)概念及相關(guān)成果，所以使得我國的空管信息管理對信息技術(shù)的依賴性很強。為了方便快捷地開展工作，會對信息資源的存儲或傳播不作過多的限制，這樣的做法無形中造成了空管信息管理的漏洞。空管信息系統(tǒng)關(guān)乎著全國的空中交通服務(wù)、民用航空通信導(dǎo)航監(jiān)視服務(wù)、航空氣象服務(wù)、航行情報服務(wù)的正常運行，如果因為這些漏洞的存在而使得一些不良團體或黑客威脅到空管信息安全，輕則會導(dǎo)致空管信息的混亂發(fā)出錯誤的信息或指令，嚴重的話還可能會影響到航班的飛行安全。因此如何對當前基于局域網(wǎng)的空管信息系統(tǒng)的安全進行保護就成為民航空管信息管理的重要組成部分。

1 我國民航空管網(wǎng)絡(luò)信息安全現(xiàn)狀

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，我國在航空運輸行業(yè)中已廣泛采用先進的網(wǎng)絡(luò)技術(shù)來快捷開展各項工作，但與此同時也會埋下因信息共享而導(dǎo)致的民航信息安全方面的威脅，所以需要對空管信息的安全進行有效的管理。從現(xiàn)階段實際情況看空管系統(tǒng)所采用的信息管理技術(shù)大多來自歐美企業(yè)的支持，網(wǎng)絡(luò)運作方面也主要是通過信息系統(tǒng)的互聯(lián)來實現(xiàn)。但基于信息技術(shù)自身特性和限制條件的局限性，目前還沒有實現(xiàn)對空管信息系統(tǒng)運行安全性進行有效加密的措施，這樣就會導(dǎo)致系統(tǒng)的運行過程無法抵抗黑客或病毒的侵襲，這也是空管信息系統(tǒng)目前面臨的最大安全隱患。而且隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)黑客或病毒入侵的手段多樣性也使得一般的防御手段都無計可施，所以如何改變這種現(xiàn)狀是當前工作最重要的任務(wù)之一。

2 基于局域網(wǎng)的空管信息系統(tǒng)主要存在的安全隱患

2.1 網(wǎng)絡(luò)技術(shù)的發(fā)展對系統(tǒng)安全的影響

基于局域網(wǎng)的空管信息系統(tǒng)中與系統(tǒng)安全有重要關(guān)系的協(xié)議層至少有3個—網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。從網(wǎng)絡(luò)技術(shù)層面上，信息系統(tǒng)安全就可以細分為網(wǎng)絡(luò)層安全、傳輸層安全與應(yīng)用層安全。如果想從網(wǎng)絡(luò)技術(shù)的層面上著手來最大程度的消除可能存在的安全隱患，則可以從網(wǎng)絡(luò)協(xié)議的角度思考，做好網(wǎng)絡(luò)層安全、傳輸層安全與應(yīng)用層安全等每一層信息安全管理工作?？展苄畔⑾到y(tǒng)在每個分局站都是以獨立子網(wǎng)，即局域網(wǎng)的形式存在的，分局站之間的通信，要通過路由進行交換，所以在網(wǎng)絡(luò)層安全層面上，網(wǎng)絡(luò)設(shè)備的安全對系統(tǒng)安全影響較大。除此之外，在傳輸層安全上，黑客也會利用軟件系統(tǒng)默認開放的端口，對信息系統(tǒng)發(fā)出攻擊或竊取信息，所以對各類端口的管控程度，對信息系統(tǒng)安全也有著很大的影響。在應(yīng)用層安全上，敏感數(shù)據(jù)的使用，賬戶、口令的存取等等，都對系統(tǒng)安全有著影響。

對于空中交通管理局管理空管信息來說，信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展既是一種機遇也是一個挑戰(zhàn)。網(wǎng)絡(luò)技術(shù)的發(fā)展使網(wǎng)絡(luò)的結(jié)構(gòu)越發(fā)地復(fù)雜化，應(yīng)用也越加多樣化，這都使得原本就有難度的信息安全管理更加難以控制。對空管網(wǎng)絡(luò)信息系統(tǒng)運行來說，需要通訊運營商給予必要的維護和支持，很多情況下還需要運營商提供遠程類的服務(wù)，所以大多數(shù)情況下信息的泄露或篡改都是通過網(wǎng)絡(luò)基礎(chǔ)設(shè)施，而從空管信息管理工作本身來說很多業(yè)務(wù)的處理現(xiàn)在都已離不開網(wǎng)絡(luò)的支持，越來越多的業(yè)務(wù)需要通過網(wǎng)絡(luò)來辦理。而信息系統(tǒng)的安全保障并沒有隨航空事業(yè)的發(fā)展同步進行，再加上相關(guān)技術(shù)人員的安全教育和技能培訓(xùn)不到位，都為空管信息系統(tǒng)的安全管理帶來隱患。

2.2 操作系統(tǒng)對系統(tǒng)安全的影響

應(yīng)該說目前我國空中交通管理局所在用的空管信息系統(tǒng)其實是有非常高的標準的，問題主要出在實際應(yīng)用操作中對信息安全策略配置的不合理上。當空管信息和資料進行在線傳輸過程時，一旦其中某個環(huán)節(jié)出現(xiàn)問題，就很有可能會導(dǎo)致整個信息系統(tǒng)的當機；如果在執(zhí)行遠程創(chuàng)建任務(wù)或調(diào)用任務(wù)的時候，防范系統(tǒng)不完善除了可能導(dǎo)致通信內(nèi)容外泄外，還會造成通信的中斷。此外空管信息系統(tǒng)平臺程序一旦被黑客利用，還可進一步入侵整個空管運行系統(tǒng)，如果此時不能就系統(tǒng)平臺存在的安全問題進行深入的研究分析或進行正確的安全策略的設(shè)置，就會使空管信息系統(tǒng)陷入非常危險的處境。

2.3 數(shù)據(jù)庫對系統(tǒng)安全的影響

在對系統(tǒng)服務(wù)器平臺進行基礎(chǔ)的安全配置時，還應(yīng)關(guān)注數(shù)據(jù)庫的安全配置，這是通行的對信息系統(tǒng)的安全配置步驟，這是因為大部分黑客在進行系統(tǒng)攻擊時選擇的對象都是數(shù)據(jù)庫的因素。雖然現(xiàn)階段正在運行的空管信息系統(tǒng)基本能達到美國C2安全認證標準，可以說數(shù)據(jù)庫的功能還算是強大的，但實際上在上學(xué)應(yīng)用時是有很多不安全問題的，這類問題通常表現(xiàn)為數(shù)據(jù)的超限、黑客對端口和客戶端的攻擊、系統(tǒng)密碼被破解、原始數(shù)據(jù)文件遭到破壞或竊取等。

3 保障民航空管信息安全的措施

3.1 技術(shù)方面

3.1.1 增強系統(tǒng)運行時對病毒的防御手段

對空中交通管理單位來說，要想保障空管信息系統(tǒng)的安全，前提條件就是這一系統(tǒng)要有能力抵抗病毒的侵擾，也就是說在采取具體措施時首要的選擇就是要增強空管信息系統(tǒng)的抗病毒侵擾能力。如同人體抵抗疾病一樣，首先要有健康的身體素質(zhì)才能免受細菌病毒的入侵一樣，增強系統(tǒng)的抗病毒能力就能夠?qū)崿F(xiàn)準確識別惡意程序或病毒的能力，同時還能提供預(yù)防、檢測、消除等服務(wù)。

3.1.2 加強入侵檢測手段

防病毒屬于事后彌補的被動措施，而要想規(guī)避最好的方式還是主動出擊。入侵檢測技術(shù)是最佳的選擇，技術(shù)成熟的入侵檢測技術(shù)性能高、效果好?，F(xiàn)階段的入侵檢測技術(shù)主要有特征檢測和異常檢測兩個類別，通常在實際操作中是把這兩種檢測技術(shù)進行結(jié)合來實現(xiàn)有效彌補系統(tǒng)漏洞的目的。相對于單純的防病毒措施，入侵檢測技術(shù)的先進表現(xiàn)在它能夠?qū)崿F(xiàn)對外部、內(nèi)部入侵以及錯誤操作進行實時的防護，并能第一時間把系統(tǒng)存在的異常反饋給系統(tǒng)管理者，為系統(tǒng)安全提供完整可靠的保障。

3.1.3 引進先進的安全掃描技術(shù)

定時對系統(tǒng)進行的安全掃描也是一種主動性的安全防范手段，它的作用是實現(xiàn)系統(tǒng)在受到入侵之前完成對安全隱患的清除，使系統(tǒng)損失降至最低。目前安全掃描技術(shù)主要針對的是計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，即主機安全掃描技術(shù)和網(wǎng)絡(luò)安全掃描技術(shù)兩類。對計算機系統(tǒng)的掃描，主要是針對系統(tǒng)可能存在的漏洞進行掃描，采用模擬攻擊技術(shù)，事先把可能發(fā)生的系統(tǒng)攻擊事件，以腳本的形式記錄下來，掃描程序執(zhí)行腳本，模擬對信息系統(tǒng)中的計算機發(fā)出攻擊，并根據(jù)可能出現(xiàn)的系統(tǒng)反應(yīng)，來發(fā)現(xiàn)系統(tǒng)存在的漏洞。對網(wǎng)絡(luò)系統(tǒng)的掃描，主要是針對弱口令和安全規(guī)則的掃描。無論是哪種安全掃描，采用的方法都是排除法，即不管是針對計算機系統(tǒng)還是網(wǎng)絡(luò)系統(tǒng)都是以掃描系統(tǒng)中存在的錯誤或問題為目標。

3.2 管理方面

3.2.1 制定完善的安全管理制度

有效的管理和健全的制度是相輔相成的，缺一不可，所以要想加強對空管信息系統(tǒng)的管理，基礎(chǔ)的工作就是需要空中交通管理局能夠在以往工作實踐總結(jié)的基礎(chǔ)上，結(jié)合自身的情況制定出合理的符合實際且具可操作性的安全管理制度，通過制度對涉及的安全管理的人員提出工作要求，加強人員的安全意識，為信息系統(tǒng)的安全管理提供保障。

3.2.2 強化對信息安全技術(shù)的監(jiān)控能力

當今世界是一個信息技術(shù)高速發(fā)展的社會，信息技術(shù)的先進程度和更新?lián)Q代的速度較之以往都在以幾何的速度前進著，隨之而來的就是空管信息系統(tǒng)所面臨的安全問題也會更多，要改善這一現(xiàn)狀需要相關(guān)工作人員提升自身管理能力，向信息技術(shù)高度發(fā)展和依賴程度高的國家學(xué)習(xí)，不僅要學(xué)習(xí)他們的安全管理經(jīng)驗，也要學(xué)習(xí)他們的安全管理方案，以此來強化提升我們自己的對信息安全管理的監(jiān)控能力。

3.2.3 打造專業(yè)隊伍

技術(shù)含量高、水平強的隊伍建設(shè)也是保障空管信息安全的基礎(chǔ)保障，而要做好這項工作就需要空管系統(tǒng)在人力資源管理工作中從人力資源的引進著手，提高入職招聘門檻，同時對在職人員加強知識、技能培訓(xùn)，利用多種渠道和方式加大關(guān)于信息安全管理的培訓(xùn)，增強人員的信息安全意識，技術(shù)先進專業(yè)技術(shù)團隊。

3.3 安全策略的配置原則

3.3.1 局域網(wǎng)核心信任區(qū)的設(shè)置

數(shù)據(jù)庫在空管信息系統(tǒng)中的重要性，那么想要做好空管信息系統(tǒng)的安全策略工作就要把以數(shù)據(jù)庫服務(wù)器是安全防護放在首要位置，在局域網(wǎng)環(huán)境下通過防火墻把不能被充分信任的訪問客戶端隔離在外。常見的避免核心區(qū)域IP地址對外可見的辦法是網(wǎng)絡(luò)地址轉(zhuǎn)換，同時規(guī)定網(wǎng)段權(quán)限，對不需要訪問數(shù)據(jù)庫服務(wù)器的終端作禁止訪問設(shè)置。當然為了方便對數(shù)據(jù)庫或服務(wù)器進行管理，是可以開啟操作系統(tǒng)和數(shù)據(jù)庫遠程訪問端口的，只是在開啟的過程中要做好對遠程端口信任域的限定。

3.3.2 權(quán)限分配和用戶身份驗證

另一種安全策略配置原則就是進行系統(tǒng)數(shù)據(jù)庫登錄用戶管理，一般的做法是把登錄用戶按類別賦予不同權(quán)限。實際操作時用戶在進行系統(tǒng)登錄時除身份驗證外，還需要有關(guān)鍵數(shù)據(jù)模塊的驗證，以保證使用的數(shù)據(jù)不會被篡改或即使篡改也能很容易找到責任人。

4 結(jié)語

綜上，當前網(wǎng)絡(luò)環(huán)境下空管信息的存儲和傳播是有較強開放性的，所以空管信息系統(tǒng)的安全管理工作并不容易，也因此使基于局域網(wǎng)的空管信息系統(tǒng)的安全策略就變得非常重要。再加上現(xiàn)在空中交通管理局在管理空管信息時對信息技術(shù)、網(wǎng)絡(luò)技術(shù)的依賴程度較大，所以這項工作的開展需要引入先進的監(jiān)控手段、制定嚴格的管理制度并嚴格執(zhí)行，以減少空管信息系統(tǒng)的安全隱患，保障正常工作的開展。

[1]張濤.局域網(wǎng)安全監(jiān)控系統(tǒng)的設(shè)計與開發(fā)[D].成都：電子科技大學(xué)，2015.

[2]張妮.面向空管業(yè)務(wù)的綜合交換通信網(wǎng)絡(luò)的設(shè)計與實現(xiàn)[D].上海：上海交通大學(xué)，2012.

[3]楊智.空中交通管制安全風險預(yù)警決策模式及方法研究[D].武漢：武漢理工大學(xué)，2012.

Security strategy of ATC information system based on LAN

Jia Wei
（China Civil Aviation Air Traffic Management Station in Xiamen, Xiamen 361006, China）

ATC information system depends on the physical network platform, which is LAN. However, the transm ission line provided by communication operators can not be fully controlled and given full trust used in the actual operation. So the establishment of security strategy of air traffic management information system based on LAN is a very important work.

LAN; security strategy; ATC information system

賈偉（1978— ），男，山東日照，本科，工程師；研究方向：空管領(lǐng)域的網(wǎng)絡(luò)與信息系統(tǒng)安全。