空管自动化系统等保测评实践与安全防护技术研究*

郭金亮

（中国民用航空珠海进近管制中心，广东 珠海 519015）

0 引 言

近年来，在全球范围内爆发的信息和数据泄露、网络监听以及针对交通、能源、医疗等重要公共基础服务行业的勒索病毒攻击事件不断提醒我们，网络和信息安全领域面临越来越大的挑战。“没有网络安全就没有国家安全”，习近平总书记指出了网络安全的重要性。《中华人民共和国网络安全法》明确规定，国家实行网络安全等级保护制度，是从国家层面对等级保护工作的法律认可。

空管自动化系统是空管系统对空指挥的核心调度系统，随着信息技术的发展，其信息化程度越来越高。目前，国内各空管单位针对空管自动化系统的等保测评建设工作正在逐步开展，但整体进度较慢。本文主要结合等级保护测评的相关标准和规范要求，对空管自动化系统等级保护测评规划与建设、整改实施等过程中采用的安全防护技术进行研究。

1 等级保护的基本要求与定级

目前，国家和民航系统针对信息系统的等级保护出台了相应的法规和标准。

1.1 等级保护的相关标准

经多次修改完善，全国信息安全标准化技术委员会于2019年12月1日颁布实施GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》[1]、GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》[2]、GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》[3]、GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》[4]4个标准文件[5]。

为全面落实民航系统网络安全等级保护制度，民航局依据国家网络安全相关文件，先后出台了MH/T 0051—2015《民用航空信息系统安全等级保护实施指南》[6]、MH/T 0069—2018《民用航空网络安全等级保护定级指南》[7]、MH/T 0076—2020《民用航空网络安全等级保护基本要求》[8]3个行业标准。

1.2 空管自动化系统等保定级和基本要求

根据MH/T 0069—2018《民用航空网络安全等级保护定级指南》，空管自动化系统被定为三级信息系统，即该类信息系统受到破坏后，会对国家安全、社会秩序造成损害，对公共利益造成严重损害，对公民、法人和其他组织的合法权益造成特别严重的损害。

GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》和MH/T 0076—2020《民用航空网络安全等级保护基本要求》对三级信息系统的安全通用要求主要分为技术要求和管理要求两大模块，如图1所示。

图1 等级保护及备件要求

根据三级信息系统的等级保护基本要求，设备机房应满足“安全物理环境”要求。在当前的空管系统内，管制大楼的选址、供电、消防、温湿度检测和控制、电磁防护、防雷等在项目的整体设计、建设、工艺安装等阶段均会按照机房建设的标准严格执行，并通过最终的竣工验收和行业验收才会交付使用。物理访问控制，主要体现在核心机房等重要场所的电子门禁系统的安装和使用，对外来人员出入机房的鉴别、登记、施工管理等，目前已有较为完备的管理制度和流程。因此，物理环境安全基本满足要求。

MH/T 4029.2—2012《民用航空空中交通管制自动化系统 第2部分：技术要求》[9]中对空管自动化系统的设备和网络的冗余、状态监控功能等有明确的要求。目前，主流的空管自动化系统已经充分考虑了硬件设备（如交换机、服务器、工作站等）的运行性能、接口类型的适用性以及运行网络上的冗余等，并且会在工厂环境中、现场设备安装期间进行大量、长时间的性能和稳定性测试，确保满足要求。因此，系统的硬件、网络的性能、冗余度也基本满足要求。后面，将主要针对系统在安全通信网络、安全区域边界和安全计算环境等方面就测评和整改实施进行研究。

2 网络安全建设规划与实施

项目建设阶段是信息安全建设和整改的最佳时机。按照GB/T 25058—2019《信息安全技术 网络安全等级保护实施指南》中的“同步建设原则”，即信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。

2.1 信息安全建设规划

结合主备空管自动化系统自身结构、各系统间数据交互及防火墙端口情况，在安装建设过程中规划的防火墙安装方案如图2所示。方案中对所有的系统互联、数据引接和输出端口均进行了安全隔离。

图2 两套空管自动化系统的防火墙安装方案

2.2 系统建设与安装调试

在国内空管单位，空管自动化系统架构采用终端控制单元（Terminal Control Unit，TCU）模式且在各分区边界和数据输入、输出边界均配置边界防火墙进行安全隔离的尚属首次。因此，给自动化系统的安装调试增加了一定难度。

2.2.1 防火墙安装增加了施工难度

两个空管自动化系统厂家在国内现场没有安装和使用防火墙的先例，厂家对现场数据互联的结构并不完全清楚。根据现场提供的安装和数据引接需求，厂家对原有的安装方案进行了及时调整，并按照要求完成了安装调试。

2.2.2 端口配置不匹配导致数据频繁瞬断

防火墙安装后，自动化系统监控提示与远程塔台之间的链路存在频繁瞬断现象，如图3所示。检查交换机、防火墙和中间运营商专线传输设备端口配置，发现传输设备端口多处使用了各自的默认配置，互联端口速率（百兆/千兆）和模式（自协商/全双工）不匹配，导致数据传输不稳定。统一各设备端口速率和模式后，链路恢复正常。

图3 自动化至远程塔台A网瞬断状态显示

2.2.3 数据通信方式不兼容导致系统降级

备用自动化系统的主工作网络由A、B网以级联的形式组成，当正在使用的一条网络故障后，可快速自动切换至另一条网络工作。但在实际测试中发现，在A网中断后自动切换至B网需要约1分钟时间，导致主分区与远程塔台分区之间的连接中断，塔台设备自动降级至本地旁路模式，需要手动升级才能恢复。B网切换至A网时情况相同。通过对系统数据传输、切换机制和防火墙配置进行比对分析发现，故障由防火墙配置与自动化系统数据通信方式不兼容导致。A网防火墙在收到传输控制协议（Transmission Control Protocol，TCP）建链首包后，会在防火墙内建立一条会话，后续的数据包在这条会话内通行。被强行切换到B网链路后，由于B防火墙内没有该TCP链接会话，服务器又只是重发测试包而不是发首包要求建链，导致所有重发包都被丢弃，直至发送的测试包超过一定数量后，服务器才会发首包重新建链，此时网络才会完成切换。解决方案为修改防火墙配置，关闭TCP链路会话检测功能，测试链路自动切换功能运行正常。

3 现场测评与安全整改

现场测评的主要内容包括安全管理制度审查、用户访谈以及对被测评信息系统进行漏洞扫描等项目。测评后，用户根据测评机构提供的差距报告，对存在的问题采取针对性的安全加固等措施，实施安全整改。

3.1 现场测评

测评公司根据三级信息系统等保2.0标准，对现场主备自动化系统进行漏洞扫描并出具测试报告。初步测评发现的主备两套系统漏洞分布情况如表1、表2所示。根据表中可以看出两套系统均存在高风险项，且高风险占比相当。

表1 初步漏扫发现的莱斯自动化系统漏洞情况

表2 初步漏扫发现的华泰自动化系统漏洞情况

3.2 风险项整改

根据三级信息系统的安全通用要求和两套自动化系统的测评结果，实施的具体整改措施如下。

3.2.1 网络加固

网络加固主要解决“安全区域边界”中的边界防护、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证和访问控制等方面存在的风险项，采取的整改措施如下。

（1）防火墙安装及入侵防御/防病毒（IPS/AV）特征库升级：自动化系统网络与外部网络之间在建设时已通过加装防火墙进行安全隔离。此外对边界防火墙实施了IPS和AV等特征库的授权和升级，如图4所示。

图4 山石防火墙特征库升级

（2）交换机登录与端口加固：在交换机中配置不同的用户，并分配不同权限和登录方式，设置登录失败锁定和超时退出功能，如图5所示。所有用户强制使用安全外壳协议（ssh）登录，如图6所示。禁用不使用的端口，防止非法接入，如图7所示。

图5 交换机建立不同用户和级别、登录失败锁定

图6 交换机开启ssh登录

图7 关闭交换机空闲端口

（3）交换机简单网络管理协议（SNMP）默认团体名修改：使用snmp-server community语句修改交换机中SNMP协议daemon使用的团体名（community），不再使用默认的public/private团体名，验证结果如图8所示。

图8 交换机SNMP默认团体名修改

3.2.2 操作系统加固

操作系统漏洞主要集中在身份鉴别、访问控制、安全审计、入侵防范、可信验证等方面，采取的主要整改措施如下。

（1）密码与登录加固、三权分立：修改/etc/pam.d/system.auth文件，设置密码最小长度8位、密码复杂度、登录失败次数限制等要求，如图9所示。修改/etc/profile，设置系统登录超时退出，并增加安全管理员、系统管理员和审计管理员，赋予不同的权限，实现三权分立，如图10所示。

图9 密码复杂度与登录限制

图10 三权分立账户设置

（2）终端审计与记录存储：修改系统/etc/audit/audit.rules审计规则，开启主机的审计功能，如图11所示。同时将主机审计记录和业务审计记录集中存储到日志服务器上，如图12所示。

图11 开启主机的日志审计功能

图12 主机审计记录和业务审计记录集中存储

（3）终端接入限制与杀毒软件安装：修改/etc/ssh/ssh_config，仅允许可信的终端访问，如图13所示。

图13 终端接入限制

主要服务器安装安全狗杀毒软件（safedog），并开启相应策略，如图14所示。

图14 杀毒软件安装

（4）Linux操作系统加固：修改操作系统/etc/snmp/snmpd.conf文件中的SNMP默认团体名，不再使用Public/Private默认团体名，修改后验证方式及结果与图9相同。

OpenSSH漏洞解决。OpenSSH是SSH协议的免费开源实现，低版本的OpenSSH中存在多项高危漏洞，如函数权限提升漏洞、远程代码执行漏洞和缓冲区错误漏洞等。将OpenSSH版本升级至高版本后即可解决以上高风险漏洞。

Apache HTTP Server漏洞解决。Apache HTTP Serve是Apache软件基金会的一个开放源代码网页服务器，低版本的Apache HTTP Server中同样存在多项安全漏洞，如空指针间接引用、缓冲区溢出和身份验证绕过等高风险漏洞。因空管自动化系统不使用Apache HTTP Server，将其关闭（systemctl diasble httpd.service）后即可解决。

（5）关闭远程X服务：在空管自动化系统中，远程X服务主要用于远程调试和维护，但存在一定的网络安全隐患。关闭方式为：新建/home/atc/.xserverrc文件，增加内容“exec X :0 -nolisten tcp”。-nolisten tcp关闭X服务的监听端口，使其无法作为X服务器投射其他席位的程序即可。

（6）安装堡垒机：为了解决安全审计和入侵防范的问题，对两套自动化系统采购并安装了堡垒机。采用堡垒机进行运维时，堡垒机本身的密码验证和登录系统时的密码验证采取的是双重身份鉴别方式，可以作为双因素身份验证的替代方案。虽然未达到使用两种或两种以上组合的鉴别技术进行身份鉴别的要求，但已经可以在一定程度上减少身份鉴别的风险，将高风险项降低为中低风险。

3.2.3 数据库加固

（1）密码与登录加固：该项内容与操作系统整改方式类似，在ORACLE数据库中设置密码最小长度8位、密码复杂度、登录失败次数限制、系统登录超时退出等要求，如图15所示。

图15 数据库密码与登录加固

（2）账户三权分立与无用账户清理：创建数据库安全管理员、系统管理员和审计管理员用户，并赋予相应的权限，实现三权分立，如图16所示。对一些系统自带无用账户进行了清理，如图17所示。

图16 建立数据库三权分立账户

图17 清理无用账户

（3）数据库审计机安装：为了实现对莱斯系统数据库审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等，对莱斯自动化新系统安装了数据库审计机。华泰系统中因无数据库，无须安装数据库审计设备。

3.2.4 自动化系统应用软件加固

在漏洞扫描报告中，自动化系统应用软件存在的主要问题为密码复杂度、登录验证和账户三权分立。

（1）密码与登录加固：与操作系统和数据库类似，设置自动化系统应用程序密码最小长度8位、密码复杂度、登录失败次数限制等要求，如图18、图19所示。

图18 密码复杂度

图19 登录失败锁定

（2）账户三权分立：与操作系统和数据库类似，在应用软件中配置安全管理员、系统管理员和审计管理员账户，并赋予相应的权限，实现三权分立，如图20所示。

图20 账户三权分立

4 结 语

空管自动化系统的等保测评建设和整改工作仍处于探索前进的阶段，在开展网络安全系统建设和问题整改过程中会遇到不少问题，也可以不断积累经验。经过系统建设前期的安全建设规划、安全设备加装、测评和整改、备案材料准备、提交和审核等环节，两套系统基本达到了三级信息系统的等保测评要求。根据等保测评机构提供的测评报告，在整改过程中采取的防护措施安全有效，主备两套空管自动化系统顺利通过等保2.0标准测评。后续，将根据等级保护测评要求，不断完善各种安全防护措施，提高系统网络安全防护能力。