基于局域網的空管信息系統安全策略

賈 偉

（中國民用航空廈門空中交通管理站，福建 廈門 361006）

基于局域網的空管信息系統安全策略

賈 偉

（中國民用航空廈門空中交通管理站，福建 廈門 361006）

空管信息系統需要依靠物理網絡平臺即局域網存在，而實際運行中所使用的由通訊運營商所提供的傳輸線路并不能得到完全的控制并給予充分信任，所以建立基于局域網的空管信息系統安全策略是非常重要的工作。

局域網；安全策略；空管信息系統

由于我國在民航空管信息管理上較早引進了信息技術概念及相關成果，所以使得我國的空管信息管理對信息技術的依賴性很強。為了方便快捷地開展工作，會對信息資源的存儲或傳播不作過多的限制，這樣的做法無形中造成了空管信息管理的漏洞?？展苄畔⑾到y關乎著全國的空中交通服務、民用航空通信導航監視服務、航空氣象服務、航行情報服務的正常運行，如果因為這些漏洞的存在而使得一些不良團體或黑客威脅到空管信息安全，輕則會導致空管信息的混亂發出錯誤的信息或指令，嚴重的話還可能會影響到航班的飛行安全。因此如何對當前基于局域網的空管信息系統的安全進行保護就成為民航空管信息管理的重要組成部分。

1 我國民航空管網絡信息安全現狀

隨著信息技術和網絡技術的發展，我國在航空運輸行業中已廣泛采用先進的網絡技術來快捷開展各項工作，但與此同時也會埋下因信息共享而導致的民航信息安全方面的威脅，所以需要對空管信息的安全進行有效的管理。從現階段實際情況看空管系統所采用的信息管理技術大多來自歐美企業的支持，網絡運作方面也主要是通過信息系統的互聯來實現。但基于信息技術自身特性和限制條件的局限性，目前還沒有實現對空管信息系統運行安全性進行有效加密的措施，這樣就會導致系統的運行過程無法抵抗黑客或病毒的侵襲，這也是空管信息系統目前面臨的最大安全隱患。而且隨著網絡技術的發展，網絡黑客或病毒入侵的手段多樣性也使得一般的防御手段都無計可施，所以如何改變這種現狀是當前工作最重要的任務之一。

2 基于局域網的空管信息系統主要存在的安全隱患

2.1 網絡技術的發展對系統安全的影響

基于局域網的空管信息系統中與系統安全有重要關系的協議層至少有3個—網絡層、傳輸層和應用層。從網絡技術層面上，信息系統安全就可以細分為網絡層安全、傳輸層安全與應用層安全。如果想從網絡技術的層面上著手來最大程度的消除可能存在的安全隱患，則可以從網絡協議的角度思考，做好網絡層安全、傳輸層安全與應用層安全等每一層信息安全管理工作?？展苄畔⑾到y在每個分局站都是以獨立子網，即局域網的形式存在的，分局站之間的通信，要通過路由進行交換，所以在網絡層安全層面上，網絡設備的安全對系統安全影響較大。除此之外，在傳輸層安全上，黑客也會利用軟件系統默認開放的端口，對信息系統發出攻擊或竊取信息，所以對各類端口的管控程度，對信息系統安全也有著很大的影響。在應用層安全上，敏感數據的使用，賬戶、口令的存取等等，都對系統安全有著影響。

對于空中交通管理局管理空管信息來說，信息技術和網絡技術的發展既是一種機遇也是一個挑戰。網絡技術的發展使網絡的結構越發地復雜化，應用也越加多樣化，這都使得原本就有難度的信息安全管理更加難以控制。對空管網絡信息系統運行來說，需要通訊運營商給予必要的維護和支持，很多情況下還需要運營商提供遠程類的服務，所以大多數情況下信息的泄露或篡改都是通過網絡基礎設施，而從空管信息管理工作本身來說很多業務的處理現在都已離不開網絡的支持，越來越多的業務需要通過網絡來辦理。而信息系統的安全保障并沒有隨航空事業的發展同步進行，再加上相關技術人員的安全教育和技能培訓不到位，都為空管信息系統的安全管理帶來隱患。

2.2 操作系統對系統安全的影響

應該說目前我國空中交通管理局所在用的空管信息系統其實是有非常高的標準的，問題主要出在實際應用操作中對信息安全策略配置的不合理上。當空管信息和資料進行在線傳輸過程時，一旦其中某個環節出現問題，就很有可能會導致整個信息系統的當機；如果在執行遠程創建任務或調用任務的時候，防范系統不完善除了可能導致通信內容外泄外，還會造成通信的中斷。此外空管信息系統平臺程序一旦被黑客利用，還可進一步入侵整個空管運行系統，如果此時不能就系統平臺存在的安全問題進行深入的研究分析或進行正確的安全策略的設置，就會使空管信息系統陷入非常危險的處境。

2.3 數據庫對系統安全的影響

在對系統服務器平臺進行基礎的安全配置時，還應關注數據庫的安全配置，這是通行的對信息系統的安全配置步驟，這是因為大部分黑客在進行系統攻擊時選擇的對象都是數據庫的因素。雖然現階段正在運行的空管信息系統基本能達到美國C2安全認證標準，可以說數據庫的功能還算是強大的，但實際上在上學應用時是有很多不安全問題的，這類問題通常表現為數據的超限、黑客對端口和客戶端的攻擊、系統密碼被破解、原始數據文件遭到破壞或竊取等。

3 保障民航空管信息安全的措施

3.1 技術方面

3.1.1 增強系統運行時對病毒的防御手段

對空中交通管理單位來說，要想保障空管信息系統的安全，前提條件就是這一系統要有能力抵抗病毒的侵擾，也就是說在采取具體措施時首要的選擇就是要增強空管信息系統的抗病毒侵擾能力。如同人體抵抗疾病一樣，首先要有健康的身體素質才能免受細菌病毒的入侵一樣，增強系統的抗病毒能力就能夠實現準確識別惡意程序或病毒的能力，同時還能提供預防、檢測、消除等服務。

3.1.2 加強入侵檢測手段

防病毒屬于事后彌補的被動措施，而要想規避最好的方式還是主動出擊。入侵檢測技術是最佳的選擇，技術成熟的入侵檢測技術性能高、效果好?，F階段的入侵檢測技術主要有特征檢測和異常檢測兩個類別，通常在實際操作中是把這兩種檢測技術進行結合來實現有效彌補系統漏洞的目的。相對于單純的防病毒措施，入侵檢測技術的先進表現在它能夠實現對外部、內部入侵以及錯誤操作進行實時的防護，并能第一時間把系統存在的異常反饋給系統管理者，為系統安全提供完整可靠的保障。

3.1.3 引進先進的安全掃描技術

定時對系統進行的安全掃描也是一種主動性的安全防范手段，它的作用是實現系統在受到入侵之前完成對安全隱患的清除，使系統損失降至最低。目前安全掃描技術主要針對的是計算機系統和網絡系統，即主機安全掃描技術和網絡安全掃描技術兩類。對計算機系統的掃描，主要是針對系統可能存在的漏洞進行掃描，采用模擬攻擊技術，事先把可能發生的系統攻擊事件，以腳本的形式記錄下來，掃描程序執行腳本，模擬對信息系統中的計算機發出攻擊，并根據可能出現的系統反應，來發現系統存在的漏洞。對網絡系統的掃描，主要是針對弱口令和安全規則的掃描。無論是哪種安全掃描，采用的方法都是排除法，即不管是針對計算機系統還是網絡系統都是以掃描系統中存在的錯誤或問題為目標。

3.2 管理方面

3.2.1 制定完善的安全管理制度

有效的管理和健全的制度是相輔相成的，缺一不可，所以要想加強對空管信息系統的管理，基礎的工作就是需要空中交通管理局能夠在以往工作實踐總結的基礎上，結合自身的情況制定出合理的符合實際且具可操作性的安全管理制度，通過制度對涉及的安全管理的人員提出工作要求，加強人員的安全意識，為信息系統的安全管理提供保障。

3.2.2 強化對信息安全技術的監控能力

當今世界是一個信息技術高速發展的社會，信息技術的先進程度和更新換代的速度較之以往都在以幾何的速度前進著，隨之而來的就是空管信息系統所面臨的安全問題也會更多，要改善這一現狀需要相關工作人員提升自身管理能力，向信息技術高度發展和依賴程度高的國家學習，不僅要學習他們的安全管理經驗，也要學習他們的安全管理方案，以此來強化提升我們自己的對信息安全管理的監控能力。

3.2.3 打造專業隊伍

技術含量高、水平強的隊伍建設也是保障空管信息安全的基礎保障，而要做好這項工作就需要空管系統在人力資源管理工作中從人力資源的引進著手，提高入職招聘門檻，同時對在職人員加強知識、技能培訓，利用多種渠道和方式加大關于信息安全管理的培訓，增強人員的信息安全意識，技術先進專業技術團隊。

3.3 安全策略的配置原則

3.3.1 局域網核心信任區的設置

數據庫在空管信息系統中的重要性，那么想要做好空管信息系統的安全策略工作就要把以數據庫服務器是安全防護放在首要位置，在局域網環境下通過防火墻把不能被充分信任的訪問客戶端隔離在外。常見的避免核心區域IP地址對外可見的辦法是網絡地址轉換，同時規定網段權限，對不需要訪問數據庫服務器的終端作禁止訪問設置。當然為了方便對數據庫或服務器進行管理，是可以開啟操作系統和數據庫遠程訪問端口的，只是在開啟的過程中要做好對遠程端口信任域的限定。

3.3.2 權限分配和用戶身份驗證

另一種安全策略配置原則就是進行系統數據庫登錄用戶管理，一般的做法是把登錄用戶按類別賦予不同權限。實際操作時用戶在進行系統登錄時除身份驗證外，還需要有關鍵數據模塊的驗證，以保證使用的數據不會被篡改或即使篡改也能很容易找到責任人。

4 結語

綜上，當前網絡環境下空管信息的存儲和傳播是有較強開放性的，所以空管信息系統的安全管理工作并不容易，也因此使基于局域網的空管信息系統的安全策略就變得非常重要。再加上現在空中交通管理局在管理空管信息時對信息技術、網絡技術的依賴程度較大，所以這項工作的開展需要引入先進的監控手段、制定嚴格的管理制度并嚴格執行，以減少空管信息系統的安全隱患，保障正常工作的開展。

[1]張濤.局域網安全監控系統的設計與開發[D].成都：電子科技大學，2015.

[2]張妮.面向空管業務的綜合交換通信網絡的設計與實現[D].上海：上海交通大學，2012.

[3]楊智.空中交通管制安全風險預警決策模式及方法研究[D].武漢：武漢理工大學，2012.

Security strategy of ATC information system based on LAN

Jia Wei
（China Civil Aviation Air Traffic Management Station in Xiamen, Xiamen 361006, China）

ATC information system depends on the physical network platform, which is LAN. However, the transm ission line provided by communication operators can not be fully controlled and given full trust used in the actual operation. So the establishment of security strategy of air traffic management information system based on LAN is a very important work.

LAN; security strategy; ATC information system

賈偉（1978— ），男，山東日照，本科，工程師；研究方向：空管領域的網絡與信息系統安全。