淺談民航通信網(wǎng)的安全建設(shè)

章迺琦

【摘 要】隨著一帶一路政策促進下現(xiàn)代科學(xué)技術(shù)，各個學(xué)科領(lǐng)域都在快速成長，現(xiàn)如今中國民航業(yè)發(fā)展迅速，民航通信網(wǎng)信息管理也面臨著新的挑戰(zhàn)，完善和建設(shè)民航通信網(wǎng)的安全管理體系勢在必行。

【關(guān)鍵詞】民航通信網(wǎng);安全;建設(shè)

在現(xiàn)代信息技術(shù)的支持下，新的民航通信網(wǎng)系統(tǒng)及網(wǎng)絡(luò)業(yè)務(wù)得以建立，新采用的傳輸系統(tǒng)運行穩(wěn)定性良好，能夠大大提升民航通信網(wǎng)對業(yè)務(wù)的承載能力，并且管理及業(yè)務(wù)建立的操作更為便捷，但就目前來看其不足之處在于界面設(shè)計與人性化方面有待提升。然而在民航通信網(wǎng)快速發(fā)展的同時還面臨一項更加具有挑戰(zhàn)的任務(wù)，就是對民航通信網(wǎng)安全通信和管理的任務(wù)。目前我們利用結(jié)構(gòu)優(yōu)化完善系統(tǒng)功能，增添安全設(shè)備保障網(wǎng)絡(luò)安全，為民航通信網(wǎng)及業(yè)務(wù)的有序運行提供可靠支持。

首先構(gòu)建民航通信網(wǎng)絡(luò)網(wǎng)絡(luò)安全技術(shù)防護體系。所謂的網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)軟件安全。就新民航通信網(wǎng)絡(luò)安全系統(tǒng)來看，系統(tǒng)設(shè)計是在保證業(yè)務(wù)運行可靠性前提，增進網(wǎng)絡(luò)系統(tǒng)與安全設(shè)備之間的聯(lián)系。安全技術(shù)防護體系組成內(nèi)容主要包括：

（1）區(qū)域邊界安全保護。

安全訪問控制;網(wǎng)絡(luò)惡意代碼防范，防范網(wǎng)絡(luò)層面的惡意代碼，對進出的網(wǎng)絡(luò)數(shù)據(jù)流進行病毒、惡意代碼掃描和過濾處理;一體化的綜合安全網(wǎng)關(guān)，邊界防病毒、流量管理、抗攻擊等多重安全防護策略，實現(xiàn)網(wǎng)絡(luò)邊界綜合防范;邊界安全網(wǎng)關(guān)，網(wǎng)絡(luò)基礎(chǔ)邊界入侵防護;網(wǎng)絡(luò)攻擊檢測。

（2）通信傳輸安全保護。

鏈路冗余和設(shè)備冗余;網(wǎng)絡(luò)審計，分析網(wǎng)絡(luò)中的數(shù)據(jù)包、流量信息，通過對相關(guān)協(xié)議進行分析，對網(wǎng)絡(luò)通信行為和內(nèi)容進行記錄和統(tǒng)計。

（3）終端安全管理。

終端安全管理系統(tǒng)，主要是對網(wǎng)絡(luò)運維人員的桌面終端系統(tǒng)的集中管理和維護，有效保護用戶計算機系統(tǒng)安全和信息數(shù)據(jù)安全。防病毒軟件，在運維分析管理系統(tǒng)服務(wù)器、運維終端的主機上安裝防病毒軟件，在主機上有效查殺病毒、惡意腳本、木馬、蠕蟲等惡意代碼;網(wǎng)絡(luò)身份鑒別，建立PKI/CA數(shù)字證書認證系統(tǒng)，為網(wǎng)絡(luò)內(nèi)用戶、設(shè)備頒發(fā)數(shù)字證書實現(xiàn)用戶、網(wǎng)絡(luò)設(shè)備身份的統(tǒng)一描述和統(tǒng)一管理，以數(shù)字證書來表明相應(yīng)人員、網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)中身份的唯一性。

（4）安全管理中心

安全管理系統(tǒng)，安全管理中心負責進行全網(wǎng)的集中安全事件管理、風(fēng)險管理和集中日志審計，實現(xiàn)針對計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)的安全防護;安全設(shè)備網(wǎng)管，針對部署范圍廣、數(shù)量多的網(wǎng)絡(luò)安全設(shè)備，通過安全設(shè)備網(wǎng)管系統(tǒng)，給各級節(jié)點分配相應(yīng)的管理范圍和權(quán)限，實現(xiàn)分級管理。同時，對網(wǎng)絡(luò)安全設(shè)備的升級、網(wǎng)絡(luò)安全設(shè)備工作狀態(tài)監(jiān)管、網(wǎng)絡(luò)安全設(shè)備策略進行管理;運維堡壘主機，核心設(shè)備的管理員用戶提供集中登錄認證（即基于數(shù)字證書強身份認證）、權(quán)限控制和操作監(jiān)控。被管理資源包括服務(wù)器、數(shù)據(jù)庫、交換機、路由器、安全網(wǎng)關(guān)設(shè)備及其他安全設(shè)備等;等級保護支撐系統(tǒng)，完成對網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)備的漏洞掃描和報告，提供安全改進建議措施等功能，幫助運維人員控制可能發(fā)生的安全事件。依據(jù)等級保護標準對系統(tǒng)進行評估，并能生成等級保護工作檢查報表，最大可能的消除安全隱患。

其次通過優(yōu)化及完善新民航通信網(wǎng)絡(luò)系統(tǒng)及應(yīng)用確保網(wǎng)絡(luò)安全。從前臺設(shè)備來看，民航通信網(wǎng)絡(luò)系統(tǒng)的應(yīng)用設(shè)計要以網(wǎng)絡(luò)系統(tǒng)的實際應(yīng)用為重點，為促進安全防范的有效落實，首先要對民航通信網(wǎng)絡(luò)業(yè)務(wù)的實際情況進行實時監(jiān)控，為民航運行通信安全提供有利條件。在民航通信網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)設(shè)計中，再要結(jié)合實際功能需求科學(xué)合理設(shè)計配置模塊、監(jiān)控模塊、日志模塊，以便從業(yè)務(wù)配置到實際運行再到后期故障排查整個流程做到有依可循，同時實現(xiàn)這一切還需要強大后臺設(shè)備支持。

例如，現(xiàn)階段我們在民航通信網(wǎng)中部署了網(wǎng)神SecAV 3600防毒墻和網(wǎng)御防火墻，采用雙路并聯(lián)，協(xié)同工作的狀態(tài)串聯(lián)至網(wǎng)絡(luò)設(shè)備間。

網(wǎng)神SecAV 3600防毒墻采用串接方式接入網(wǎng)絡(luò)，防毒墻利用多核并行處理、重構(gòu)網(wǎng)卡驅(qū)動、TCP/IP協(xié)議棧技術(shù)，保證系統(tǒng)的高效過濾性能。防毒墻全面支持IPv4和IPv6網(wǎng)絡(luò)環(huán)境。采用多核并行處理、重構(gòu)網(wǎng)卡驅(qū)動、TCP/IP協(xié)議棧等技術(shù)，保證系統(tǒng)的高效過濾性能;支持多路監(jiān)控，可同時支持INLINE/ONLINE模式的監(jiān)控。支持非端口定義的協(xié)議識別，通訊服務(wù)端無論采用什么端口，都能正確識別HTTP/FTP/SMTP/POP3/IMAP/SSH/SSL/SMB 等多種應(yīng)用層協(xié)議。針對網(wǎng)絡(luò)傳播病毒進行全面高效的專項過濾，精確識別郵件病毒、文件傳輸病毒、網(wǎng)頁病毒等。采用入侵防御（IPS）技術(shù)、IP/端口/數(shù)據(jù)包封鎖技術(shù)，優(yōu)化了蠕蟲識別機制，不僅可監(jiān)測已知蠕蟲，還可以在未知蠕蟲爆發(fā)時進行預(yù)警。內(nèi)置數(shù)千種木馬通訊協(xié)議識別特征，可監(jiān)控多數(shù)常見的木馬通訊，并且，識別庫不斷再升級，以識別新型木馬，包括手機木馬。同時內(nèi)置數(shù)百種針對各種瀏覽器的溢出攻擊特征，防范網(wǎng)絡(luò)釣魚攻擊和瀏覽器溢出攻擊。對常用的網(wǎng)絡(luò)服務(wù)如：SMTP/POP3/IMAP/FTP/HTTP/SSH/TELNET/SMB等進行口令探測的活動均可被監(jiān)測，并可觸發(fā)相應(yīng)的阻斷動作，防止口令探測活動的持續(xù)進行。并預(yù)留接口進行二次開發(fā)，對用戶專有的網(wǎng)絡(luò)服務(wù)實現(xiàn)口令探測監(jiān)控。通過多種措施保障自身安全工作：通過專有安全操作系統(tǒng)避免漏洞攻擊;通過自動抑制網(wǎng)絡(luò)流量，防止DoS攻擊造成拒絕服務(wù)和性能下降;通過加密和認證的安全管理防止管理失控。

網(wǎng)御防火墻則利用防火墻策略對數(shù)據(jù)流進行統(tǒng)一控制，方便用戶配置和管理。通過配置防火墻策略能夠?qū)?jīng)過設(shè)備的數(shù)據(jù)流進行有效的控制和管理。當設(shè)備收到數(shù)據(jù)報文時，把該報文的入接口、源地址、目的地址、協(xié)議、服務(wù)、用戶、應(yīng)用等信息和用戶配置的策略匹配，決定是否建立這條數(shù)據(jù)流，并且把這條流和匹配的策略關(guān)聯(lián)起來，從而確定如何處理該流的后續(xù)報文，實現(xiàn)允許、丟棄，決定哪些用戶和數(shù)據(jù)能進出，以及它們進出的時間和地點。防火墻策略按頁面順序從上往下的原則，只對通過設(shè)備的數(shù)據(jù)包進行處理，對于設(shè)備本身發(fā)出的數(shù)據(jù)包不進行限制。對于策略是否生效，可以通過查看策略的命中次數(shù)來觀察，如果流量匹配了策略，對應(yīng)策略的命中次數(shù)會+1。

最后要提的是所有網(wǎng)絡(luò)安全保障工作中最難也是最容易出現(xiàn)安全問題的部分，就是網(wǎng)絡(luò)運行及維護工作的參與人員對網(wǎng)絡(luò)安全的意識。通過多年的工作經(jīng)驗及社會上采集到的實際案例分析后，我得出為保障網(wǎng)絡(luò)安全運行所需以下幾點。

（1）由管理層在專業(yè)小組人員協(xié)助下制定網(wǎng)絡(luò)信息安全政策，管理層應(yīng)制定一套清晰的指導(dǎo)原則，明確表明其對網(wǎng)絡(luò)信息安全及在單位內(nèi)部貫徹實施次政策的支持和承諾。

（2）建立網(wǎng)絡(luò)信息安全基礎(chǔ)架構(gòu)，通過建立專業(yè)安全小組對網(wǎng)絡(luò)安全政策進行實施與監(jiān)測。對安全責任進行分配，并協(xié)助單位內(nèi)部安全的實施，對外要實行業(yè)務(wù)跟蹤，對故障要求申告標準，及時將不安全事件通報單位負責人。

（3）對所有參與運維工作的人員進行安全培訓(xùn)，通過單位內(nèi)部安全管理規(guī)定加強安全意識，通過國家級別安全運維管理規(guī)則加強單位整體安全意識。

總而言之，民航通信網(wǎng)系統(tǒng)的安全建設(shè)，要全面把握民航通信業(yè)務(wù)發(fā)展實際情況，對系統(tǒng)結(jié)構(gòu)進行優(yōu)化設(shè)計，增添安全設(shè)備保障網(wǎng)絡(luò)安全，明確系統(tǒng)前端設(shè)備與系統(tǒng)模塊功能，通過監(jiān)控模塊業(yè)務(wù)系統(tǒng)的穩(wěn)定高效運行，并對人力物力資源進行優(yōu)化配置，確保設(shè)備安全運行的同時加強運維人員的綜合安全意識才是保障民航通信網(wǎng)安全運行的重中之重。從而為民航發(fā)展提供安全保障。

【參考文獻】

1.《民航安全產(chǎn)品維護手冊》

2.《網(wǎng)神secVA3600防毒墻用戶手冊》