空管自动化系统信息安全分析与研究

◆侯海坤

空管自动化系统信息安全分析与研究

◆侯海坤

（中国民用航空华北地区空中交通管理局内蒙古分局 内蒙古 010070）

随着信息技术和航空事业的发展，网络信息安全问题日益突出，民航人对空管自动化系统网络安全也越来越重视。本文结合民航内蒙古空管分局的自动化系统，从网络安全、系统安全、管理安全3个方面，对空管自动化系统网络安全进行详细的分析研究，为空管自动化系统网络安全的完善提供参考。

空管自动化系统；网络安全；边界防护

0 引言

空管自动化系统是实施空中交通管制所使用的计算机综合系统[1]。它通过对空管一/二次雷达、ADS-B/C、MLAT等监视数据进行处理，将监视目标与飞行计划相关联，为管制人员提供空中交通的实时态势显示。空管自动化系统网络安全不仅涉及航空运输效率，还关系到航空运输安全。本文首先对空管自动化系统结构进行分析，根据国标，总结影响空管自动化系统网络安全的风险因素，从网络安全、系统安全、管理安全3个方面对空管自动化系统网络安全进行分析。

1 空管自动化系统结构

各国、各地全管理局以及各个空管分局站使用的空管自动化系统结构大同小异，系统均采用分布式网络结构（如图1所示）。系统由LAN-A、LAN-B冗余网络和LAN-C旁路网网络将各个信息处理服务器和工作站等系统单元连接起来，协同工作，并与雷达和ADS-B信息源、AFTN网、气象设备以及其它ATC自动化处理系统等各种相关数据交换网络互连，进行数据、电报、控制信息的交换。

图1 空管自动化系统结构

空管自动化系统需要接收多个系统提供的数据，同时也为多个系统提供数据，构成一个完整的信息系统（如图2所示）。

图2 空管自动化系统与其他系统互联图

空管自动化系统信息网络外接了多类网络数据源，例如外接空管一/二次雷达、ADS-B等监视数据、外接民航电报数据、外接气象数据、进港辅助管理系统（AMAN）数据、离港辅助管理系统（DMAN）数据、协同决策系统（CDM）数据等。

2 空管自动化系统网络安全

空管自动化系统网络安全应该从两个方面给考虑。一方面是空管自动化系统内部的网络安全；另一方面是空管自动化系统外部的网络安全，即空管自动化系统网络边界防护问题。下面我们就从这两个方面和同仁们探讨一下空管自动化系统的网络安全。

系统内部的网络安全要求应该包括：

（1）服务器和数据库实现双机冗余，双机切换时间应不影响空管业务。

（2）服务器非必要服务端口和应用端口关闭或者采取有效防护措施，对系统中的保密和敏感信息采取防护措施。

（3）服务器业务处理能力具备冗余空间，满足业务高峰期要求，包括CPU、内存、存储空间、应用程序、进程等。

（4）操作系统、数据库系统、关键应用系统应配置有备份，业务系统有对重要数据的备份，并具备恢复备份数据的功能。

（5）业务终端与业务服务器之间进行路由控制，建立安全的访问路径，例如：身份鉴别信息（用户名和口令）、非法登录次数限制等。

（6）网络设备和接口设备的业务处理能力具备冗余空间，满足业务高峰期需求，同时带宽也要满足业务高峰期需求。

（7）按功能和业务划分不同的子网，不同子网要采用访问控制策略，重要网段进行MAC绑定以及广播组播抑制。重要网段限制网络最大流量数及网络连接数，应采取技术手段防止地址欺骗。

（8）建立网络设备的安全访问机制，例如：登录口令策略、登录失败处理、远程登陆防窃听、普通特权用户权限分离等；

（9）对内部网络进行实时或者定期漏洞扫描，形成网络漏洞扫描报告，根据漏洞级别选择性修复网络存在的漏洞[2]。

系统外部的网络边界防护问题应从以下几个方面着手：

（1）系统与外网直接或者间接互联时应采取安全措施，应能够对非授权设备私自联到内部网络位置进行有效阻断；对内部网络用户私自联到外部网络位置进行有效阻断。

（2）应在网络边界部署访问控制设备，启用访问控制功能。可以使用静态路由对边界网络进行路由控制，亦可将边界网络设备数据的源地址、目的地址、源端口、目的端口、协议等添加到访问控制列表进行控制，必要时采用物理断开隔离部件或者设备。物理隔离在技术上确保信息物理传导上使内外网络隔断，确保外部网不能通过网络连接侵入内部网，同时阻止内部网信息通过网络连接泄露到外部网；在信息物理存储上隔断两个网络环境，对于断电后会逸失信息的部件，如内存、寄存器等暂存部件，要在网络转换时作清零处理，防止遗留信息窜网；对于断电后不会逸失信息的设备，如磁带机、硬盘等存储设备，内部网与外部网信息要以不同存储设备分开存储；对移动存储介质，如光盘、软盘、USB硬盘等，应在网络转换前提示用户干预或禁止在双网都能使用这些设备。具体实现网络结构示意图如图3所示。

图3 空管自动化系统与其他网络隔离示意图

（3）应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。应限制具有拨号访问权限的用户数量。

（4）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段。

（5）对于入侵要有针对性的防范措施，应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事 件时应提供报警。应在网络边界处对恶意代码进行检测和清除，维护恶意代码库的升级和检测系统的更新。

（6）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录，记录包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息，能够根据记录数据进行分析，并生成审计报表[2]。

3 空管自动化系统管理安全

空管自动化系统安全问题必须考虑到人为因素对它的影响。结合民航内蒙古空管分局自动化系统的管理制度和应急操作规程，发现管理中存在的信息安全问题主要由以下几个方面。

（1）软件版本管理制度缺失，缺乏完善的空管自动化系统信息安全策略体系，空管自动化系统信息安全管理制度体系不完整。

（2）应急处置程序、操作程序、维护制度、安全事件信息报告制度等对实际工作的操作指导性不强。

（3）安全教育和培训计划中缺少对管理层和员工的信息安全意识培训以及基础安全技术培训，尤其缺乏对信息技术和信息安全方面的专业再教育、新技术培训以及认证培训[3]。

4 结束语

本文根据中华人民共和国信息系统安全的一些国家技术标准，分析了空管自动化系统网络安全的风险因素。针对这些风险因素，我们还要利用现代化的计算机技术搜集空管自动化系统网络安全的信息数据，采用先进的控制手段保障空管自动化系统网络安全。

[1]田振财，杨晓嘉，李华琼，李钢，谢玉兰，陈文秀，霍振飞，李丹.民用航空空中交通管制自动化系统第二部分：技术要求[S].北京：中国民用航空局第二研究所，2012.

[2]中华人民共和国国家质量监督检验检疫局，中国国家标准化管理委员会.信息系统安全等级保护基本要求 GB/T 22239-2008[S]，2008.

[3]赖欣，黄邦菊.空管自动化系统信息安全评估研究[J]广汉：民航飞行学院空中交通管理学院，2014.