基于局域网的空管信息系统安全策略

贾 伟

（中国民用航空厦门空中交通管理站，福建 厦门 361006）

基于局域网的空管信息系统安全策略

贾 伟

（中国民用航空厦门空中交通管理站，福建 厦门 361006）

空管信息系统需要依靠物理网络平台即局域网存在，而实际运行中所使用的由通讯运营商所提供的传输线路并不能得到完全的控制并给予充分信任，所以建立基于局域网的空管信息系统安全策略是非常重要的工作。

局域网；安全策略；空管信息系统

由于我国在民航空管信息管理上较早引进了信息技术概念及相关成果，所以使得我国的空管信息管理对信息技术的依赖性很强。为了方便快捷地开展工作，会对信息资源的存储或传播不作过多的限制，这样的做法无形中造成了空管信息管理的漏洞。空管信息系统关乎着全国的空中交通服务、民用航空通信导航监视服务、航空气象服务、航行情报服务的正常运行，如果因为这些漏洞的存在而使得一些不良团体或黑客威胁到空管信息安全，轻则会导致空管信息的混乱发出错误的信息或指令，严重的话还可能会影响到航班的飞行安全。因此如何对当前基于局域网的空管信息系统的安全进行保护就成为民航空管信息管理的重要组成部分。

1 我国民航空管网络信息安全现状

随着信息技术和网络技术的发展，我国在航空运输行业中已广泛采用先进的网络技术来快捷开展各项工作，但与此同时也会埋下因信息共享而导致的民航信息安全方面的威胁，所以需要对空管信息的安全进行有效的管理。从现阶段实际情况看空管系统所采用的信息管理技术大多来自欧美企业的支持，网络运作方面也主要是通过信息系统的互联来实现。但基于信息技术自身特性和限制条件的局限性，目前还没有实现对空管信息系统运行安全性进行有效加密的措施，这样就会导致系统的运行过程无法抵抗黑客或病毒的侵袭，这也是空管信息系统目前面临的最大安全隐患。而且随着网络技术的发展，网络黑客或病毒入侵的手段多样性也使得一般的防御手段都无计可施，所以如何改变这种现状是当前工作最重要的任务之一。

2 基于局域网的空管信息系统主要存在的安全隐患

2.1 网络技术的发展对系统安全的影响

基于局域网的空管信息系统中与系统安全有重要关系的协议层至少有3个—网络层、传输层和应用层。从网络技术层面上，信息系统安全就可以细分为网络层安全、传输层安全与应用层安全。如果想从网络技术的层面上着手来最大程度的消除可能存在的安全隐患，则可以从网络协议的角度思考，做好网络层安全、传输层安全与应用层安全等每一层信息安全管理工作。空管信息系统在每个分局站都是以独立子网，即局域网的形式存在的，分局站之间的通信，要通过路由进行交换，所以在网络层安全层面上，网络设备的安全对系统安全影响较大。除此之外，在传输层安全上，黑客也会利用软件系统默认开放的端口，对信息系统发出攻击或窃取信息，所以对各类端口的管控程度，对信息系统安全也有着很大的影响。在应用层安全上，敏感数据的使用，账户、口令的存取等等，都对系统安全有着影响。

对于空中交通管理局管理空管信息来说，信息技术和网络技术的发展既是一种机遇也是一个挑战。网络技术的发展使网络的结构越发地复杂化，应用也越加多样化，这都使得原本就有难度的信息安全管理更加难以控制。对空管网络信息系统运行来说，需要通讯运营商给予必要的维护和支持，很多情况下还需要运营商提供远程类的服务，所以大多数情况下信息的泄露或篡改都是通过网络基础设施，而从空管信息管理工作本身来说很多业务的处理现在都已离不开网络的支持，越来越多的业务需要通过网络来办理。而信息系统的安全保障并没有随航空事业的发展同步进行，再加上相关技术人员的安全教育和技能培训不到位，都为空管信息系统的安全管理带来隐患。

2.2 操作系统对系统安全的影响

应该说目前我国空中交通管理局所在用的空管信息系统其实是有非常高的标准的，问题主要出在实际应用操作中对信息安全策略配置的不合理上。当空管信息和资料进行在线传输过程时，一旦其中某个环节出现问题，就很有可能会导致整个信息系统的当机；如果在执行远程创建任务或调用任务的时候，防范系统不完善除了可能导致通信内容外泄外，还会造成通信的中断。此外空管信息系统平台程序一旦被黑客利用，还可进一步入侵整个空管运行系统，如果此时不能就系统平台存在的安全问题进行深入的研究分析或进行正确的安全策略的设置，就会使空管信息系统陷入非常危险的处境。

2.3 数据库对系统安全的影响

在对系统服务器平台进行基础的安全配置时，还应关注数据库的安全配置，这是通行的对信息系统的安全配置步骤，这是因为大部分黑客在进行系统攻击时选择的对象都是数据库的因素。虽然现阶段正在运行的空管信息系统基本能达到美国C2安全认证标准，可以说数据库的功能还算是强大的，但实际上在上学应用时是有很多不安全问题的，这类问题通常表现为数据的超限、黑客对端口和客户端的攻击、系统密码被破解、原始数据文件遭到破坏或窃取等。

3 保障民航空管信息安全的措施

3.1 技术方面

3.1.1 增强系统运行时对病毒的防御手段

对空中交通管理单位来说，要想保障空管信息系统的安全，前提条件就是这一系统要有能力抵抗病毒的侵扰，也就是说在采取具体措施时首要的选择就是要增强空管信息系统的抗病毒侵扰能力。如同人体抵抗疾病一样，首先要有健康的身体素质才能免受细菌病毒的入侵一样，增强系统的抗病毒能力就能够实现准确识别恶意程序或病毒的能力，同时还能提供预防、检测、消除等服务。

3.1.2 加强入侵检测手段

防病毒属于事后弥补的被动措施，而要想规避最好的方式还是主动出击。入侵检测技术是最佳的选择，技术成熟的入侵检测技术性能高、效果好。现阶段的入侵检测技术主要有特征检测和异常检测两个类别，通常在实际操作中是把这两种检测技术进行结合来实现有效弥补系统漏洞的目的。相对于单纯的防病毒措施，入侵检测技术的先进表现在它能够实现对外部、内部入侵以及错误操作进行实时的防护，并能第一时间把系统存在的异常反馈给系统管理者，为系统安全提供完整可靠的保障。

3.1.3 引进先进的安全扫描技术

定时对系统进行的安全扫描也是一种主动性的安全防范手段，它的作用是实现系统在受到入侵之前完成对安全隐患的清除，使系统损失降至最低。目前安全扫描技术主要针对的是计算机系统和网络系统，即主机安全扫描技术和网络安全扫描技术两类。对计算机系统的扫描，主要是针对系统可能存在的漏洞进行扫描，采用模拟攻击技术，事先把可能发生的系统攻击事件，以脚本的形式记录下来，扫描程序执行脚本，模拟对信息系统中的计算机发出攻击，并根据可能出现的系统反应，来发现系统存在的漏洞。对网络系统的扫描，主要是针对弱口令和安全规则的扫描。无论是哪种安全扫描，采用的方法都是排除法，即不管是针对计算机系统还是网络系统都是以扫描系统中存在的错误或问题为目标。

3.2 管理方面

3.2.1 制定完善的安全管理制度

有效的管理和健全的制度是相辅相成的，缺一不可，所以要想加强对空管信息系统的管理，基础的工作就是需要空中交通管理局能够在以往工作实践总结的基础上，结合自身的情况制定出合理的符合实际且具可操作性的安全管理制度，通过制度对涉及的安全管理的人员提出工作要求，加强人员的安全意识，为信息系统的安全管理提供保障。

3.2.2 强化对信息安全技术的监控能力

当今世界是一个信息技术高速发展的社会，信息技术的先进程度和更新换代的速度较之以往都在以几何的速度前进着，随之而来的就是空管信息系统所面临的安全问题也会更多，要改善这一现状需要相关工作人员提升自身管理能力，向信息技术高度发展和依赖程度高的国家学习，不仅要学习他们的安全管理经验，也要学习他们的安全管理方案，以此来强化提升我们自己的对信息安全管理的监控能力。

3.2.3 打造专业队伍

技术含量高、水平强的队伍建设也是保障空管信息安全的基础保障，而要做好这项工作就需要空管系统在人力资源管理工作中从人力资源的引进着手，提高入职招聘门槛，同时对在职人员加强知识、技能培训，利用多种渠道和方式加大关于信息安全管理的培训，增强人员的信息安全意识，技术先进专业技术团队。

3.3 安全策略的配置原则

3.3.1 局域网核心信任区的设置

数据库在空管信息系统中的重要性，那么想要做好空管信息系统的安全策略工作就要把以数据库服务器是安全防护放在首要位置，在局域网环境下通过防火墙把不能被充分信任的访问客户端隔离在外。常见的避免核心区域IP地址对外可见的办法是网络地址转换，同时规定网段权限，对不需要访问数据库服务器的终端作禁止访问设置。当然为了方便对数据库或服务器进行管理，是可以开启操作系统和数据库远程访问端口的，只是在开启的过程中要做好对远程端口信任域的限定。

3.3.2 权限分配和用户身份验证

另一种安全策略配置原则就是进行系统数据库登录用户管理，一般的做法是把登录用户按类别赋予不同权限。实际操作时用户在进行系统登录时除身份验证外，还需要有关键数据模块的验证，以保证使用的数据不会被篡改或即使篡改也能很容易找到责任人。

4 结语

综上，当前网络环境下空管信息的存储和传播是有较强开放性的，所以空管信息系统的安全管理工作并不容易，也因此使基于局域网的空管信息系统的安全策略就变得非常重要。再加上现在空中交通管理局在管理空管信息时对信息技术、网络技术的依赖程度较大，所以这项工作的开展需要引入先进的监控手段、制定严格的管理制度并严格执行，以减少空管信息系统的安全隐患，保障正常工作的开展。

[1]张涛.局域网安全监控系统的设计与开发[D].成都：电子科技大学，2015.

[2]张妮.面向空管业务的综合交换通信网络的设计与实现[D].上海：上海交通大学，2012.

[3]杨智.空中交通管制安全风险预警决策模式及方法研究[D].武汉：武汉理工大学，2012.

Security strategy of ATC information system based on LAN

Jia Wei
（China Civil Aviation Air Traffic Management Station in Xiamen, Xiamen 361006, China）

ATC information system depends on the physical network platform, which is LAN. However, the transm ission line provided by communication operators can not be fully controlled and given full trust used in the actual operation. So the establishment of security strategy of air traffic management information system based on LAN is a very important work.

LAN; security strategy; ATC information system

贾伟（1978— ），男，山东日照，本科，工程师；研究方向：空管领域的网络与信息系统安全。