汤俊
【摘 要】为了贯彻国家对信息系统安全保障工作的要求以及等级保护“坚持积极防御、综合防范”的方针,全面提高信息安全防护能力,根据中国民航局空管局对空管自动化系统的网络安全等级保护等级要求,结合上海区管现有的空管自动化系统特点,分析了空管自动化系统网络边界安全主要因素,提出了多种网络边界信息安全防御技术,以满足现有网络安全等级保护等级要求。
【Abstract】In order to implement the national requirements for information system security and the policy of "insist on active defense and comprehensive prevention" for hierarchical protection, and improve the information security protection ability in an all-round way, according to the requirements of air traffic control automation system network security level protection by Air Traffic Control Bureau of Civil Aviation Administration of China, combined with the characteristics of existing air traffic control automation system in Shanghai, this paper analyzes the main factors of network boundary security of air traffic control automation system, and proposes a variety of network boundary information security defense technologies to meet the requirements of the existing network security protection level.
【关键词】空管自动化系统;网络安全;网络边界;安全防御
【Keywords】air traffic control automation system; network security; network boundary; security defense
【中图分类号】V355 【文献标志码】A 【文章编号】1673-1069(2020)03-0151-03
1 引言
空管自动化系统是实施空中交通管制的重要系统,在实施雷达管制以后,空管自动化系统成为了航空管制员管理空中交通的重要手段之一。上海区管中心空管自動化系统包含主用和备用两套自动化系统,是在2004年建设投入使用。随着华东地区飞行流量的快速增长及大型机场的不断兴建,空管自动化系统在民航管制工作中发挥着越来越大的作用,是不可替代和不可或缺的地位。空管自动化系统作为空中交通领域的关键信息基础设施,其基础性、全局性作用日益突出。但与此同时,随着全球网络安全态势的日趋严峻,各类新型网络攻击形式层出不穷,空管自动化系统的业务运行、信息数据等也面临着巨大的网络安全风险与挑战。如何保证空管自动化系统安全平稳运行是关系到飞行安全与空域使用效率的核心问题。目前我国空管系统正在大力开展SMS建设,其中就着重提出了必须采取有效的方法对空管自动化系统的信息安全进行有效评估[1]。本文着重对现在上海区管中心空管备份自动化系统的网络编辑进行了分析,根据GB/T 20984—2007《信息安全风险评估规范》以及GB/T 22239—2008《信息系统安全等级保护基本要求》等技术规范要求,总结目前影响空管自动化系统安全的网络边界风险,针对分析出来的风险情况提出多种网络边界防御手段,以此来提高空管自动化系统的网络信息安全。
2 空管自动化系统介绍
空管自动化系统是实时处理系统,每天24h不间断运行,确保空中交通管制信息连续、准确、稳定,主要满足高空区域、进近和机场塔台的管制指挥服务[2]。上海区域管制中心建设的空管备用自动化系统,是有国产厂商南京莱斯公司提供,该系统于2004年首次建设,2012年和2018年进行升级扩容,现在具备66个区管席位、34个进近席位、18个塔台席位的大型空管自动化系统,并覆盖上海区管、上海终端区、虹桥塔台、浦东塔台的四地两场,主要满足华东区域管制、上海终端管制、浦东和虹桥塔台的管制指挥服务,系统能够满足现有浦东机场将有5跑道,虹桥机场2条跑道的运行条件。
系统具备主用监视数据处理、飞行数据处理、旁路监视数据处理、实时监视数据与飞行计划数据相关处理、系统告警处理、管制席位信息显示、飞行电报处理、主任席参数管理、气象数据处理、流量管理、系统参数管理、系统数据输出、系统监控、数据记录回放、软件管理、系统对时、主备系统间数据同步、地空数据处理等功能。根据现场系统配置和实际需要,配备了管制席、主任管制席、飞行数据处理席、系统监控席和技术管理席。
系統设计采用分布式、开放式的客户/服务器(C/S)系统架构。采用3条本地网,具备多种类型的数据接口,具有较强的互联能力,易于和其他设备及其他ATC系统进行互联。系统具有高可靠性、可扩展性、可开放性。
3 输入输出数据方式信息安全分析
上海区管空管备份自动化系统提供多种接口与外部信号源和系统进行物理连接,通过多种传输协议实现信息传输。对外接口均提供双链路(多链路)冗余的能力,部分接口采用自动切换方式,部分接口采用手动切换方式。系统的主要输入输出数据主要包括:①雷达数据;②ADS-B数据;
③MLAT数据;④飞行电报(AFTN);⑤QNH数据输入;⑥GRIB数据输入;⑦GPS时钟;⑧专线AIDC数据;⑨主、备自动化系统间信息同步;⑩飞行数据输出;11综合航迹输出;12话音同步回放。
以上数据引接主要由监视数据前置处理设备和数据通信处理设备组成引接子系统,前者主要是用于对雷达、ADS-B等相关数据的输入/输出,后者主要完成与飞行相关数据及其他数据的引接和预处理,如图1所示,信号引接设备的引接接口类型为同步/异步RS-232的数据,路由器ROUTE引接接口类型为TCP/IP和X.25的信息。
对以上数据的处理流向进行分析如下:
①雷达数据处理流向分析。系统前置处理机安装有多块同步通信卡,可接收HDLC协议的数据。雷达数据经比选/分路设备接入后,送至雷达数据前置处理机(RFP),再引接子网进入SDP进行后续处理。
②ADS-B数据处理流向分析。ADS-B数据经过引接子网进入监视数据前置处理机(SFP),SFP经过数据预处理后,再经引接子网进入SDP进行后续处理。
③MLAT数据处理流向分析。MLAT数据经过引接子网进入监视数据前置处理机(SFP),SFP经过数据预处理后,再经引接子网进入SDP进行后续处理。
④AFTN数据处理流向分析。AFTN数据通过异步方式传输,数据经分路后,首先进入2台异步协议转换设备(Nport),通过Nport转换为网络数据,再经由数据引接子网进入数据通信处理机(DCP),DCP进行预处理后发送给相关处理模块进行处理。
⑤QNH数据处理流向分析。QNH数据通过异步方式传输,数据经分路后,首先进入2台异步协议转换设备(Nport),通过Nport转换为网络数据,再经由数据引接子网进入数据通信处理机(DCP),DCP进行预处理后发送给相关处理模块进行处理。
⑥GRIB数据处理流向分析。GRIB数据通过FTP方式传输,GRIB数据首先通过FTP方式进入气象数据处理服务(BOMS),BOMS服务模块对GRIB数据进行预处理后,发送给相关处理模块进行处理。
⑦GPS时钟数据处理流向分析。GPS数据通过NTP协议方式传输,GPS时钟数据经由数据引接子网进入数据通信处理机(DCP),DCP进行时钟校正后,再进行全系统其他设备的时钟校正。
⑧专线AIDC数据处理流向分析。专线AIDC数据通过X.25协议进行传输,AIDC专线数据通过路由器转换为网络数据,再经由数据引接子网进入数据通信处理机(DCP),DCP进行预处理后发送给相关处理模块进行处理。
⑨主、备自动化系统间信息同步处理流向分析。主备自动化系统间同步数据为飞行计划数据,采用MH 4029.3标准,通过网络方式传输。飞行计划数据经由数据引接子网进入数据通信处理机(DCP),DCP进行预处理后发送给相关处理模块进行处理。
⑩飞行数据输出处理流向分析。系统输出的飞行计划数据通过网络方式传输。输出的飞行计划数据经由数据输出处理机(DOP)进行预处理,转换为MH 4029.3标准格式后,通过数据输出子网向后端系统(包括场监系统、塔台电子进程单系统、流量管理系统、CDM系统等)进行输出,输出后端增加了防火墙进行网络隔离。
11综合航迹输出处理流向分析。系统输出的综合航迹数据通过网络方式传输。输出的综合航迹数据经由数据输出处理机(DOP)进行预处理,转换为CAT 062标准格式后,通过数据输出子网向后端系统(包括场监系统、塔台电子进程单系统、流量管理系统、CDM系统等)进行输出,输出后端增加了防火墙进行网络隔离。
12话音同步回放处理流向分析。语音同步数据通过网络方式传输。语音同步数据经过DRF输出专用网络端口与语音记录仪设备进行传输。
使用边界防护分析,系统在网络边界需要部署安全网关等边界管控设备,对边界进行安全访问控制及安全检测,保证跨越边界的访问和数据流是通过边界防护设备提供的受控接口进行通信的,本系统未部署相应设备进行防护。
使用访问控制分析,系统需对进出网络边界的通信报文、应用会话和数据内容进行检查,拦截非授权访问行为和非法数据通信。本系统未部署相应设备进行防护。
4 输入输出数据信息安全防御技术
针对以上12种输入输出数据的接口进行网络安全分析,总结其类型主要包括两类:①基于串口方式的输入输出;②基于IP方式的输入输出。
根据以上情况,本系统可以进行输入输出数据信息安全防御手段,有效增加系统的信息安全。
4.1 串口输入输出引接防御技术
串行通信接口(如RS232、RS485等)作为计算机与单片机交互数据的主要接口,广泛用于各类仪器仪表、工业监测及自动控制领域中。通信协议是需要通信的双方所达成的一种约定,它对包括数据格式、同步方式、传送速度、传送步骤、检纠错方式以及控制字符定义等问题作出统一规定,在双方的通信中必须共同遵守[3]。因此,在空管自动化系统中,为了对重要的雷达数据输入输出,采用了串口通信接口,完全进行系统间的物理隔离,保证雷达数据通信的安全性,也起到了空管自动化系统与外系统间的防御作用。具体引接示意图如图2所示。
4.2 物理隔离网闸防御技术
物理安全隔离与信息交换系统(以下简称“物理隔离网闸”)基于“2+1”系统架构、专用处理芯片、统一安全引擎、MRP多重冗余协议,将安全性、高效性、智能性、可靠性完美结合。对数据在应用层细粒度安全过滤后,以自有协议方式在安全隔离网闸内摆渡,彻底切断了不同安全级别网络间的任何连接,实现了高安全的隔离和实时的信息交换。
这种防御技术因为物理隔离级别高,能够很好地解决空管行业与外部行业间的数据传输,但其成本相对比较高,因此,使用在自动系统输出给外部行业的飞行数据和综合航迹数据,以充分保障空管系统的网络信息安全。
4.3 硬件防火墙防御技术
防火墙是一种隔离控制技术,在某个机构的网络和不安全的网络之间设置屏障,阻止对信息资源的非法访问,它可以允许或禁止一类具体的IP地址访问,也可以接收或拒絕TCP/IP上的某一类具体的应用。防火墙主要的核心技术包括:数据包过滤、网络IP地址转换、虚拟专用网络、应用网关等。因网闸上不存在内外网之间的会话,连接终止于内外网主机,而防火墙内部所有的TCP/IP会话都是在网络之间进行保持,存在被劫持和复用的风险,因此,在自动化系统中,使用防火墙防御技术主要是用于空管行业内部的数据间的传输,主要包括:ADS-B数据、MLAT数据、GRIB数据输入、GPS时钟、主、备自动化系统间信息同步、话音同步回放。
5 结语
本文根据《中华人民共和国网络安全法》及《网络安全等级保护条例》,分析了现有空管自动化系统在数据输入输出方面的网络安全风险因素,并提出了网络信息安全的防御技术。因为空管自动化系统是一个复杂的分布式计算机网络系统,主要包括了物理设备、网络拓扑、业务流、业务集成等多个模块,所以还需要利用现代化的计算机技术搜集空管自动化系统网络安全的信息数据,采用先进的控制手段保障空管自动化系统网络安全[4]。
【参考文献】
【1】IB-TM-2010-003中国民航空管系统安全管理体系建设与实施指南[S].
【2】黄肖超,周禄华,李国竞. S模式雷达技术在国产NUMEN-3000空管系统中的应用[J].自动化与信息工程,2018(04):16-19.
【3】谢春生,宋坦路,石成.串口通信协议的制定方法[J].黑龙江科技信息,2009(33):83.
【4】赖欣,黄邦菊.空管自动化系统信息安全评估研究[J].计算机科学,2014(41):474-476.