机场计算机网络安全防范技术的应用探析

◆卢逸豪



机场计算机网络安全防范技术的应用探析

◆卢逸豪

（成都双流国际机场机电设备中心 四川 610202）

作为机场管理的关键，计算机网络安全管理的重要性不言而喻。基于此，本文主要针对基础计算机网络安全管理进行分析；并分别提出运用主机入侵检测技术、网络入侵检测技术、网络安全态势感知技术以及多源日志关联分析技术等，应用于机场计算机网络安全管理工作中，以期为机场计算机网络安全管理质量的改善提供参照依据。

机场；计算机网络安全；入侵检测

0 引言

近年来，机场计算机网络安全问题时有发生。这类问题的存在不仅干扰了机场的正常运行秩序，同时也对机场的计算机网络安全管理工作提出了挑战。基于计算机网络安全管理与机场运营、旅客人身安全等要素之间的密切关联，选择适宜的计算机网络安全防范技术保障网络安全管理质量具有一定的必要性。

1 机场计算机网络安全管理分析

随着机场网络系统规模的不断扩大，机场计算机网络面临的安全威胁也逐渐增加。这一状况对机场计算机网路安全管理提出了较高的要求：

1.1 机场计算机网络安全管理的重要性

从机场的运行流程来看，计算机网络是维持整个机场正常运行的关键基础。当机场计算机网络存在安全风险，或因被攻击而出现安全问题时，整个计算机网络系统的运行稳定性及其维持机场正常运行作用的发挥等，均会受到一定的干扰[1]。此外，随着选择乘飞机出行旅客的不断增加，机场计算机网络安全问题波及的旅客数量也随之增多。由此可认为，加强机场计算机网络安全管理具有一定的现实意义。

1.2 机场计算机网络安全管理的要求

由于受到计算机网络安全管理经验不足、网络环境变化等因素的影响，机场的被动防御安全管理机制已经不再适用于当前计算机网络安全管理的需求[2]。从当前各大机场的计算机网络安全管理现状来看，因被不法分子恶意攻击而造成网络系统中信息泄露、干扰网络系统正常运行等安全问题的发生率较高。将被动防御模式转化为主动防御模式，已经成为保障机场计算机网络安全的必然途径。此外，现行计算机网络系统中对攻击事件、异常行为的处理也是安全管理工作的改革要点之一。以机场计算机网络的攻击事件为例，当出现攻击事件后，机场计算机网络系统中IDS日志、防火墙日志及IPS日志等部分，均会形成相应的攻击记录。而随着计算机网络系统运行时间的不断延长，系统中各个设备中积累的攻击事件日志数量逐渐增加。这一变化不利于管理人员从日志信息中，快速识别出有价值的日志。由此可认为，为了提高计算机网络安全管理决策的合理性，应进一步加强对攻击事件、异常行为数据的处理。

2 计算机网络安全防范技术在机场计算机网络安全管理中的应用分析

针对计算机网络安全防范技术在机场计算机网络安全管理中的应用进行分析和研究，这里主要从以下几方面入手：

2.1 主机入侵检测方面

结合既往机场计算机网络安全中的风险类型可知，部分不法分子会通过入侵机场主机的形式，盗取或破坏计算机网络系统中的关键信息[3]。为了避免这种状况的出现，可借助以下几种主机入侵检测技术，及时发现机场主机方面存在的攻击风险：

第一，注册表查询技术。这种启动方式多见于木马病毒问题。为了避免这类木马病毒入侵主机，管理人员可在运行机场计算机网络系统注册表的基础上，借助HKEY-CURRENT-USER SOFTWAREMicrosoftWindowsCurrent VersionRun或其他有效键值，快速查询机场主机中是否有木马特征文件，以便及时采取有效的措施进行干预和控制。第二，系统文件检查器检查技术。部分入侵者在入侵机场主机后，为避免被机场管理人员发现，会通过改动系统文件的形式，隐藏其入侵痕迹。为减少上述安全问题的发生，管理人员可借助系统文件检查器sfc/scannow，将因隐藏入侵痕迹而被改动的主机系统文件恢复至正常状态，以此提高机场计算机网络的安全水平。

2.2 网络入侵检测方面

网络入侵在机场计算机网络安全管理中较为常见。针对这类安全问题，可采用如下网络入侵检测技术，及时发现机场计算机网络所面临的入侵风险：

第一，外部入侵防控。将机场安装IDS管理控制台的电脑设置为：禁止其联入INTERNET，以降低这部分电脑出现外部入侵的风险。第二，系统漏洞检查。管理人员在日常管理工作中，定期检查IDS系统是否存在漏洞，并借助升级安装包的形式，降低机场网络被入侵的风险。

2.3 网络安全态势感知方面

目前计算机网络安全管理中常用的网络安全态势感知防范技术以Tim Bass模型为主。这一模型防范攻击事件、异常行为的原理为：经资源管理、风险评估、态势分析、识别供给对象以及数据精炼层共5个部分，分别发挥相应的风险防范功能，进而精确将来源于外部的安全风险识别出来，并进行控制。

将Tim Bass模型用于机场计算机网络安全管理，这一网络安全态势感知技术可形成良好的风险预警功能：由Tim Bass模型自动聚合计算机网络运行过程中遇到的异常行为、攻击事件日志，以合理融合后的形态，为机场网络管理人员提供分类展示。在这种情况下，管理人员可直接通过异常攻击类安全事件的融合，从中识别出那些攻击事件属于主要攻击；也可借助该Tim Bass模型从融合后的流量类异常日志中，发现流量溢出与高危操作，将上述分析结果作为制定攻击事件应对策略的决策依据。

依据Tim Bass模型开展机场计算机网络安全防范管理，管理人员可直接借助该模型设置标准的流量阈值、风险安全事件的访问次数标准。结合机场计算机网络安全管理实践经验，可将Tim Bass模型的风险预警功能设计为：以低于5120字节流量作为计算机网络系统的异常流量阈值，对于流量监测结果提示流量超出5120字节60%水平的，由系统自动标记为高风险，以便管理人员能够引起重视，并做好安全防范部署；对于超出部分处于40%-60%水平的流量，标记为中风险；而超出部分低于40%的流量，则记为低风险。而在访问次数方面：将高于8次的连接标记为高风险安全事件。在这种设置基础上，基于Tim Bass模型的机场计算机安全网络风险预警模式，可有效帮助管理人员识别异常行为及攻击事件风险，进而保障计算机网络的安全水平。

2.4 多源日志关联分析方面

可用于机场计算机网络安全防范的多源日志关联分析方法包含攻击图方法、层次分析法等多种类型。其中，攻击图防范在防范机场计算机网络安全问题方面的作用更加显著。这种安全防范技术的原理为：总结计算机网络中的攻击到达目标主机的概率、攻击成功概率以及攻击形成后损害严重性等攻击信息，并将其在状态节点中标注出来。

引入这一方法后，管理人员可通过对不同攻击图之间关联性的分析，确定不同攻击之间的逻辑关系、因果关系，在此基础上，确定后续计算机网络系统管理中，防范安全问题的决策及策略。

除了上述作用外，多源日志关联分析技术的作用还体现为：这种安全防范技术可帮助机场管理人员，实现防火墙日志、IPS日志等日志信息中攻击事件的充分融合。这一融合作用不仅可节约机场计算机网络系统的储存空间，也有助于管理人员及时发现隐藏于不同设备日志中的异常行为。

3 结论

综上所述，运用计算机网络安全防范技术加强机场计算机网络安全管理具有一定的现实意义。为了保障计算机网络的安全，机场应结合自身实际状况，选择适宜的安全防范策略，有效提高机场计算机网络的安全等级，进而减少相关网络安全问题的发生。此外，为了保障计算机网络的安全管理效果，机场还应不断结合当前计算机网络安全管理领域的最新动态，合理引入新技术、新措施，持续提高网络安全等级，进而为机场的正常运行提供保障。

[1]涂宇飞,金柏杉.机场入侵检测与计算机网络安全问题的探讨[J].网络安全技术与应用, 2017(11):143-144.

[2]李志裕,王晓雄,佟明禹.机场企业内部网络安全策略的综合研究[J].四川水泥, 2017(03):272.

[3]马津伟,郭强.关于计算机网络安全防范技术的研究和应用[J].湖北函授大学学报, 2016,29(17):98-99.