◆于 悅

（湖北機(jī)場(chǎng)集團(tuán)有限公司 湖北 432202）

淺析機(jī)場(chǎng)信息網(wǎng)絡(luò)安全及管理措施

◆于 悅

（湖北機(jī)場(chǎng)集團(tuán)有限公司 湖北 432202）

傳統(tǒng)意義上機(jī)場(chǎng)是滿足公共運(yùn)輸需求的交通集散地，人流量密集，一旦出現(xiàn)信息網(wǎng)絡(luò)安全問題，將影響每天數(shù)萬甚至數(shù)十萬人次的出行。然而信息網(wǎng)絡(luò)安全防范是一個(gè)復(fù)雜的問題，涉及到計(jì)算機(jī)技術(shù)、應(yīng)用與管理多個(gè)方面，因此需要不斷地提高機(jī)場(chǎng)相關(guān)人員的安全意識(shí)，構(gòu)建并完善信息網(wǎng)絡(luò)安全管理體系和技術(shù)防控體系，應(yīng)用新技術(shù)創(chuàng)新管理模式，不斷提高信息網(wǎng)絡(luò)安全管理水平。

信息網(wǎng)絡(luò)安全；安全問題；機(jī)場(chǎng)網(wǎng)絡(luò)防護(hù)；管理措施

0 引言

在機(jī)場(chǎng)航站樓內(nèi)，清晰的航顯大屏、精準(zhǔn)的航班信息使旅客對(duì)自己的行程了如指掌，出行更加便捷。隨著機(jī)場(chǎng)信息化規(guī)模的日益擴(kuò)大和建設(shè)速度的不斷提高, 信息系統(tǒng)為機(jī)場(chǎng)運(yùn)營、航班調(diào)度、旅客服務(wù)帶來了便捷，讓創(chuàng)新生活方式和消費(fèi)模式煥發(fā)勃勃生機(jī)的同時(shí)，信息網(wǎng)絡(luò)安全管理也成為了焦點(diǎn)話題。機(jī)場(chǎng)信息系統(tǒng)的組成越復(fù)雜、規(guī)模越大,就越能凸顯網(wǎng)絡(luò)系統(tǒng)安全防范的重要性和關(guān)鍵性。在國內(nèi)外信息網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻的情況下，機(jī)場(chǎng)的信息網(wǎng)絡(luò)安全管理問題就顯得尤為突出。

本文通過闡述機(jī)場(chǎng)信息網(wǎng)絡(luò)安全的概念及特征，并針對(duì)機(jī)場(chǎng)信息網(wǎng)絡(luò)安全面臨的主要問題及相應(yīng)的防范措施進(jìn)行了分析與思考，提出了相應(yīng)有效的防范管理措施。希望機(jī)場(chǎng)的網(wǎng)絡(luò)能夠更加安全穩(wěn)定的運(yùn)行。

1 信息網(wǎng)絡(luò)安全的概念

信息網(wǎng)絡(luò)安全根據(jù)計(jì)算機(jī)的使用者不同而具有兩層含義。一是從普通的使用者角度講，信息網(wǎng)絡(luò)安全是指在網(wǎng)絡(luò)傳輸中保障個(gè)人及商業(yè)信息的機(jī)密性、完整性和真實(shí)性，避免他人用非正常手段截取、竊取、破壞、篡改信息，以保障個(gè)人隱私和個(gè)人利益不受侵害。二是從網(wǎng)絡(luò)運(yùn)營的角度講，信息網(wǎng)絡(luò)安全是保護(hù)和控制本地網(wǎng)絡(luò)信息的訪問、讀寫等操作，避免出現(xiàn)病毒、非法存取、拒絕服務(wù)和非法占用、控制網(wǎng)絡(luò)資源，防御黑客攻擊。

2 常見信息網(wǎng)絡(luò)安全問題

（1）物理攻擊：主要是指通過分析或調(diào)換硬件設(shè)備來竊取密碼和加密算法。物理攻擊比較難以防范，因?yàn)楣粽咄莵碜阅軌蚪佑|到物理設(shè)備的用戶。

（2）服務(wù)拒絕攻擊：通過使被攻擊對(duì)象（通常是服務(wù)器）的系統(tǒng)關(guān)鍵資源過載。從而使目標(biāo)服務(wù)器崩潰或癱瘓，以致停止部分或全部服務(wù)。

（3）非授權(quán)訪問：對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用，如非法進(jìn)行讀、寫或執(zhí)行等。

（4）掃描攻擊：在連續(xù)的非授權(quán)訪問嘗試過程中，攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部的資源信息及網(wǎng)絡(luò)周圍的信息，通常使用SATAN掃描、端口掃描個(gè)IP半途掃描方式。由于互聯(lián)網(wǎng)目前廣泛使用的TCP/IP協(xié)議族中，各個(gè)層次不同的協(xié)議均存在一定程度的缺陷，可以利用操作系統(tǒng)和網(wǎng)絡(luò)的漏洞進(jìn)行攻擊。

（5）遠(yuǎn)程控制：通過操作系統(tǒng)本身的漏洞或安裝木馬客戶端軟件直接對(duì)用戶的及其進(jìn)行控制的攻擊，主要通過口令猜測(cè)、特洛伊木馬、緩沖區(qū)溢出等方式。

（6）身份竊?。褐赣脩舻纳矸莼蚍?wù)器的身份被他人非法截取，典型的有網(wǎng)絡(luò)釣魚、DNS轉(zhuǎn)換、MAC地址轉(zhuǎn)換、IP假冒技術(shù)等。

（7）假消息攻擊：通過在網(wǎng)絡(luò)中發(fā)送目標(biāo)配置不正確的消息，主要包括DNS高速緩存污染、偽造電子郵件等。

（8）竊聽：攻擊者通過監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)獲得敏感信息，如通過抓包軟件等。

（9）重傳：攻擊者實(shí)現(xiàn)獲得部分或全部信息，然后將此信息重新發(fā)送給接受者。攻擊者一般通過協(xié)議解碼方式，如FTUUser等，完成重傳。解碼后的協(xié)議信息可表明期望的活動(dòng)，然后重新發(fā)送出去。

（10）偽造和篡改：攻擊者對(duì)合法用戶之間的通信信息進(jìn)行修改、刪除、插入，再發(fā)送給接收者。

3 機(jī)場(chǎng)網(wǎng)絡(luò)安全防護(hù)解決方案

3.1 優(yōu)化機(jī)場(chǎng)網(wǎng)絡(luò)現(xiàn)狀

機(jī)場(chǎng)網(wǎng)絡(luò)涉及到很多方面，例如航站樓、辦公樓、貨站、航空公司、空管、油料等。因此，建立一個(gè)機(jī)場(chǎng)信息網(wǎng)絡(luò)就需要考慮到各個(gè)方面，需要將各個(gè)相關(guān)網(wǎng)絡(luò)統(tǒng)籌兼顧，才能更好地實(shí)現(xiàn)機(jī)場(chǎng)信息信息網(wǎng)絡(luò)安全的管理。但是，機(jī)場(chǎng)內(nèi)的信息系統(tǒng)很多，如果每個(gè)信息系統(tǒng)都要獨(dú)立建立自己的網(wǎng)絡(luò)系統(tǒng)，這樣勢(shì)必造成重復(fù)、交叉和混亂，更不便于管理。因此必須統(tǒng)一規(guī)劃并建立集成網(wǎng)絡(luò)。從信息網(wǎng)絡(luò)安全角度考慮，集成網(wǎng)絡(luò)是航站樓內(nèi)所有信息系統(tǒng)甚至整個(gè)場(chǎng)區(qū)范圍內(nèi)信息集成的公用網(wǎng)絡(luò)平臺(tái)。

3.2 網(wǎng)絡(luò)邊緣安全防護(hù)

實(shí)現(xiàn)全網(wǎng)的整體安全架構(gòu)設(shè)計(jì)，包括在所有網(wǎng)絡(luò)出口處部署防火墻、IPS設(shè)備，對(duì)來自外網(wǎng)的訪問進(jìn)行訪問控制，對(duì)內(nèi)網(wǎng)、外網(wǎng)服務(wù)器實(shí)現(xiàn)統(tǒng)一的安全防護(hù)，建立一個(gè)完整的區(qū)域防御體系。并部署SSL VPN，實(shí)現(xiàn)讓外部相關(guān)用戶終端安全接入到機(jī)場(chǎng)網(wǎng)絡(luò)。

3.3 內(nèi)網(wǎng)安全防護(hù)

部署用戶認(rèn)證服務(wù)器與安全策略服務(wù)器，以及病毒補(bǔ)丁、系統(tǒng)補(bǔ)丁服務(wù)器等安全設(shè)備，保障生產(chǎn)及辦公網(wǎng)的應(yīng)用安全。

3.4 實(shí)現(xiàn)高效安全管理

通過建立一套安全事件統(tǒng)一管理系統(tǒng)能夠?qū)θW(wǎng)海量的安全事件和日志的集中收集并予以統(tǒng)一分析，兼容異構(gòu)網(wǎng)絡(luò)中多廠商的各種設(shè)備，對(duì)收集數(shù)據(jù)高度聚合存儲(chǔ)及歸一化處理，實(shí)施監(jiān)控全網(wǎng)安全狀況，同時(shí)能根據(jù)不同用戶需求提供豐富的自動(dòng)報(bào)告，提供具有說服力的網(wǎng)絡(luò)安全狀況與政策符合性的審計(jì)報(bào)告，系統(tǒng)自動(dòng)執(zhí)行以上收集、監(jiān)控、告警、報(bào)告、歸檔等所有任務(wù)，使網(wǎng)絡(luò)安全管理人員脫離繁瑣的手工管理工作，極大提高效率，能夠集中精力用于更有價(jià)值的活動(dòng)，保障網(wǎng)絡(luò)安全。

4 提升機(jī)場(chǎng)信息網(wǎng)絡(luò)管理措施

4.1 因地制宜構(gòu)建管理體系

為提高信息網(wǎng)絡(luò)安全管理水平，應(yīng)充分對(duì)照國家信息信息網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，結(jié)合機(jī)場(chǎng)運(yùn)行實(shí)際工作特點(diǎn)，因地制宜地構(gòu)建了適合機(jī)場(chǎng)的信息網(wǎng)絡(luò)安全管理體系，提高了信息網(wǎng)絡(luò)安全管理水平和IT風(fēng)險(xiǎn)控制能力。此外，還應(yīng)從多角度入手，開展安全風(fēng)險(xiǎn)評(píng)估，包括基于系統(tǒng)架構(gòu)的配置掃描、基于信息資產(chǎn)價(jià)值的風(fēng)險(xiǎn)評(píng)估，以及基于管理過程的監(jiān)察管理等，從資產(chǎn)、管理、技術(shù)等方面對(duì)安全風(fēng)險(xiǎn)隱患進(jìn)行了全面排查，確保隱患及時(shí)消除，不留死角。

4.2 打造多重技術(shù)防控體系

有效的技術(shù)防控是保證管理措施到位的重要“基石”。為此，應(yīng)極探索信息網(wǎng)絡(luò)安全技術(shù)的實(shí)際應(yīng)用，提高信息網(wǎng)絡(luò)安全保障能力，確保機(jī)場(chǎng)信息系統(tǒng)安全運(yùn)行萬無一失。并不斷完善技術(shù)防控體系，面對(duì)復(fù)雜的網(wǎng)絡(luò)系統(tǒng)與業(yè)務(wù)系統(tǒng)，在網(wǎng)絡(luò)之間進(jìn)行邏輯隔離，通過用戶訪問控制、身份認(rèn)證、安全監(jiān)控、運(yùn)維審計(jì)等技術(shù)措施予以安全防護(hù)，在網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)上構(gòu)建了防火墻、防病毒及入侵檢測(cè)等信息網(wǎng)絡(luò)安全系統(tǒng)。多重技術(shù)體系的構(gòu)建，既能“防內(nèi)”，又能“防外”，使惡意用戶“進(jìn)不來、拿不走、看不懂、改不了、賴不掉”，全面保障信息系統(tǒng)安全平穩(wěn)運(yùn)行。此外，還應(yīng)通過網(wǎng)管、運(yùn)維監(jiān)控平臺(tái)等系統(tǒng)的配合，對(duì)異常流量及系統(tǒng)安全態(tài)勢(shì)進(jìn)行實(shí)時(shí)監(jiān)控，以應(yīng)對(duì)機(jī)場(chǎng)面臨的接口眾多、用戶復(fù)雜、流程嚴(yán)密、業(yè)務(wù)連續(xù)要求極高等嚴(yán)苛考驗(yàn)。

4.3 促進(jìn)創(chuàng)新技術(shù)應(yīng)用

務(wù)必高度重視信息化技術(shù)在日常運(yùn)行工作中的應(yīng)用，積極探索將信息網(wǎng)絡(luò)安全新技術(shù)應(yīng)用到生產(chǎn)運(yùn)行中的可行性及落地方法。努力搭建基于網(wǎng)絡(luò)縱深防御體系的機(jī)場(chǎng)信息跨網(wǎng)安全交換、數(shù)據(jù)保護(hù)和信息網(wǎng)絡(luò)安全綜合監(jiān)測(cè)平臺(tái)，通過新技術(shù)的應(yīng)用，筑牢多重安全保障防線，提高機(jī)場(chǎng)生產(chǎn)業(yè)務(wù)系統(tǒng)的邊界安全防護(hù)、數(shù)據(jù)安全交換、異常流量監(jiān)測(cè)、安全態(tài)勢(shì)管控等方面的能力，持續(xù)提高運(yùn)營水平、管理效率、服務(wù)能力。

5 結(jié)束語

對(duì)機(jī)場(chǎng)網(wǎng)絡(luò)安全不能存在僥幸心理，應(yīng)當(dāng)居安思危。然而，當(dāng)前廣泛存在重應(yīng)用、輕安全的問題，以及法律意識(shí)淡薄的普遍現(xiàn)象。我們應(yīng)該清楚地認(rèn)識(shí)到，網(wǎng)絡(luò)出現(xiàn)安全問題是無法避免的。需要我們永不懈怠，及時(shí)解決出現(xiàn)的安全問題，同時(shí)高度重視并以預(yù)防為主。同時(shí)應(yīng)采用先進(jìn)的技術(shù)去建立嚴(yán)密的安全防范體系，加強(qiáng)防范意識(shí)，構(gòu)造全方位的防范策略，為機(jī)場(chǎng)網(wǎng)絡(luò)正常的運(yùn)行保駕護(hù)航，讓機(jī)場(chǎng)網(wǎng)絡(luò)更加健康有序的發(fā)展。

[1]程慶梅，徐雪鵬.網(wǎng)絡(luò)安全高級(jí)工程師[M].機(jī)械工業(yè)出版社，2012.

[2]劉建偉，王育民.網(wǎng)絡(luò)安全—技術(shù)與實(shí)踐[M].清華大學(xué)出版社，2017.

[3]梁亞聲，汪永益等.計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].機(jī)械工業(yè)出版社，2016.