飞行安全
FLIGHT AND SAFETY
中国航班
CHINA FLIGHTS 76
摘要:基于TCP/IP协议的民航通信网IP
承载网是民航运行办公、辅助决策、业务管理
以及环境监控等应用系统的承载系统,是提高
民航运输和管制运行工作效率的重要平台。其
上开展的业务用户庞大、种类繁多、要求各异。
网络系统在互联互通过程中,容易受到外来攻
击,难以确保信息安全。为进一步规范民航通
信网的安全可靠性,实现网络全寿命周期的可
持续性发展,文章首先简要介绍了IP承载网
的概况,其次分析了网络可能存在的安全隐患,
最后从工作实际出发提出了一些切实可行的安
全措施。
关键词:IP承载网;民航通信;安全性
1民航通信网IP承载网介绍
民航通信网是由中国民航局发起的近两年
以来的空管大型建设项目,管理局、监管局、
空管局、机场、航空公司均有节点覆盖。由空
管局负责实施,民航通信网分为传输网和业务
承载网,传输网覆盖空管局、地区管理局、监
管局、民航局空管局、地区空管局、区域管制
中心、空管分局/站、终端管制中心、机场航
管楼、空管传输机场。项目完成以后,可以使
用更高端、更完善的设备进行甚高频、雷达、
财务等重要民航信息的传输,增进民航各单位
的数据共享和传递,改变现有民航ATM数据
通信网设备老旧、线路资源不足、组网规模较
小、节点分散等不足之处,开创民航通信传输
的新局面。
本文探讨的民航通信网IP承载网是民航
运行办公、辅助决策、业务管理以及环境监控
等应用系统的承载系统,是提高民航运输和管
制运行工作效率的重要平台,其上开展的业务
用户庞大、种类繁多、要求各异,是少有的大
规模的基于IP的空管传输网络,所以对系统
安全提出了更高的要求。
2安全风险分析
民航通信网IP承载网在跨地区异地传输
中,多租用运营商的中继网络,宽带IP数据
网采用TCP/IP开放协议,协议本身的漏洞
和网络技术的开放性,带来了前所未有的巨大
的安全隐患。主要安全问题是缺乏服务质量的
保证、地址盗用、地址欺骗、内容窃取或更改、
计算机病毒等。
基于IP的民航通信网IP承载网存在的安
全风险主要有:非授权访问、信息泄漏或丢失、
破坏数据完整性、利用网络传播病毒、间谍软
件、广告程序和垃圾邮件攻击、网络系统的漏
洞及“后门”等[2-3]。
间谍软件、广告程序和垃圾邮件攻击:攻
击除了按照攻击手段可以分为主动被动还可依
照攻击者身份分为本地攻击(内部攻击就是指
内部人员)与外部攻击,利用其有利条件,直
接操作被攻击系统,达到攻击目的。本地网络
不一定是基于网络的。
利用附件中的宏附件打开,宏激发发邮件
给所有列表中用户本地破坏。
网络系统的漏洞及“后门”:窃取电脑中
的重要资料和信息,甚至破坏电脑。操作系统
产品的提供商通常会对已知漏洞发布补丁程序
或修复服务。
3安全建议
基于上述分析,必须要对数据信息、网络
访问和访问权限等方面进行合理深刻的规划。
民航通信网从设备安全方面对IP承载网做出
了以下安全设计:
(1)防火墙:设置透明防火墙和路由防
火墙,使IP承载网与Internet之间或者与其余
外部网络互相隔开,不允许网络互访,只允许
授权的通信,保护IP承载网。
(2)漏洞扫描:IP承载网通常只需开启
数据访问和远程接入的端口提供数据访问服
务,其它端口如文件共享等服务,建议采用安
全策略关闭,避免外界利用服务器漏洞进行攻
击。如缓冲溢出漏洞。
(3)入侵防御:设计边界防护措施确保
系统的安全性。基于异常情况和基于标志进行
威胁识别。空管IP承载网系统、它与外部互
联网在线路上是相互独立的,物理上实现隔离。
并且借助安装相关软件,使用户不能在同一终
端上同时接入内网和外网;同时,业务信息系
统与内外网系统完全隔离,不能在同一台终端
上接入,比如网管电脑。
(4)攻击检测:IP承载网基于局域网,
使用入侵检测机制和网络非法内外联检测工具
从计算机网络和系统的若干关键点收集信息并
分析,抵御应用层、传输层和网络层的威胁,
包括Forgery/Fraud身份欺诈、拒绝服务攻击
(DOS)、Information-stealing信息窃密等。采用
AppScan或SQL注入检测工具Jsky来扫描系统。
(5)综合网络安全审计:安装审计系统
对服务器状态和设备状态进行系统状态监控;
针对网络协议、数据库协议的具体操作和会话
tcp ip协议的安全隐患配置审计策略进行审计。
(6)病毒防护:安装病毒过滤网关,不
断更新系统的病毒库,做好移动存储设备的隔
离和防护。
(7)安全访问控制:应用登录授权身份
认证系统,拥有证书的管理员只对经过认证的
MAC地址和IP地址的可信用户开放授权。对
不同等级的用户分配不同的权限。
同时,还配置恢复设备,当发生意外情况
时,能够迅速恢复配置,尽量降低对用户业务
的影响。在实际工作中,要求用户系统接入
IP网,必须经过三层交换机、路由器或防火
墙设备,不能直接接终端或者透传,提高系统
安全性。
4结语
根据国家法律:计算机信息系统实行安全
等级保护。IP承载网要按照信息安全等级第
三级配置,当信息系统受到破坏后,会对社会
秩序和公共利益造成严重损害,或者对国家安
全造成损害,国家信息安全监管部门对该级信
息系统安全等级保护工作进行监督、检查。因
此,IP承载网的安全至关重要,在以上探讨
的基础上,还要从信息、网络、管理等方面加
强管理,提高人员的网络安全意识,更全面地
规避系统运行中的安全风险,打造更加安全可
靠的IP承载网,保障民航通信安全。
参考文献
[1]段超.浅论计算机网络管理系统
的现状及发展趋势[J].电子技术与软件工
程,2013(18):33-34.
[2]张旭婧.空管系统安全评价方法
及其应用研究[D].南京:南京航空航天大
学,2009.
[3]丁亚平.关于民航空管中计算
机网络信息安全探讨[J].现代经济信
息,2015(18):355.
[4]National Institute of Standards
and Technology. Special Publications
800-30, Risk Management Guide(DRAFT)[Z].
June 2001.
[5]王新宁.以安全保障为前提的民航空
管信息系统安全体系的研究[J].科技创新导
报,2012(21):7-8.
[6]韩晓阳,朱莉欣.建立关键基础设施
网络安全风险等级预警模型初探[J].飞航导
弹,2017(8):52-55.
[7]王中函.基于民航空管的网络
与信息安全管理体系的构建[J].电子制
作,2014(20):129.
民航通信网IP承载网安全性分析
钟蕾|民航西北空管局
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论