張浚川

摘 要 本文通過介紹入侵檢測(cè)系統(tǒng)，對(duì)民航空管CDM系統(tǒng)的安全分析，提出基于啟明星辰“天闐”入侵檢測(cè)系統(tǒng)的民航空管CDM系統(tǒng)安全方案，為設(shè)備的網(wǎng)絡(luò)安全保障提供新的思路。

【關(guān)鍵詞】CDM 網(wǎng)絡(luò)安全 防火墻 入侵檢測(cè) 天闐

1 引言

隨著計(jì)算機(jī)系統(tǒng)在民用航空領(lǐng)域的廣泛使用，設(shè)備的網(wǎng)絡(luò)安全也面臨越來越多挑戰(zhàn)。隨著網(wǎng)絡(luò)攻擊手段的復(fù)雜化、多樣化，單純依靠防火墻等被動(dòng)防御手段已難以勝任安全需要，入侵檢測(cè)技術(shù)是繼防火墻等傳統(tǒng)安全保護(hù)后的新一代網(wǎng)絡(luò)安全保障技術(shù)。本文通過對(duì)民航空管CDM系統(tǒng)安全分析，提出通過加入啟明星辰“天闐”入侵檢測(cè)系統(tǒng)的民航空管CDM系統(tǒng)安全方案，為設(shè)備的網(wǎng)絡(luò)安全保障提供新的思路。

2 IDS介紹

IDS即“入侵檢測(cè)系統(tǒng)”。它以數(shù)據(jù)挖掘?yàn)榛A(chǔ)，按照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，通過分析網(wǎng)絡(luò)行為不斷建立和完善針對(duì)性的規(guī)律庫，盡可能識(shí)別各種攻擊，以保證網(wǎng)絡(luò)系統(tǒng)資源的安全。

2.1 IDS與防火墻的區(qū)別與聯(lián)系

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)（本地網(wǎng)絡(luò)）和外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)，它可以通過檢測(cè)、限制穿越防火墻的數(shù)據(jù)流，盡可能的對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)信息、結(jié)構(gòu)和狀態(tài)。而IDS是對(duì)入侵行為的發(fā)覺，通過從計(jì)算機(jī)網(wǎng)絡(luò)收集信息并進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中違反安全策略的行為和被攻擊的跡象。

通俗來講，防火墻是一幢大樓的門，它根據(jù)條件限制人員出入，人員一旦通過大門便不受任何限制；而IDS是大樓里的監(jiān)視預(yù)警系統(tǒng)，通過對(duì)進(jìn)入大樓人員進(jìn)行實(shí)時(shí)行為監(jiān)控和分析，發(fā)現(xiàn)人員的不安全行為可立即做出反應(yīng)。因此，IDS是對(duì)防火墻弱點(diǎn)的補(bǔ)充，是繼防火墻之后的又一道防線。同時(shí)，IDS可以及時(shí)發(fā)現(xiàn)一些防火墻沒有發(fā)現(xiàn)的入侵行為，總結(jié)出入侵行為的規(guī)律，而防火墻就可以將這些規(guī)律加入規(guī)則之中，提高保護(hù)力度。

2.2 啟明星辰“天闐”IDS介紹

“天闐”是啟明星辰新一代IDS產(chǎn)品，對(duì)于各種病毒、木馬、網(wǎng)絡(luò)攻擊均有良好的檢測(cè)效果。它可以事件進(jìn)行關(guān)聯(lián)分析，識(shí)別重要報(bào)警提醒用戶。其特有的報(bào)表對(duì)比分析的方法，讓使用者對(duì)近期的安全狀況一目了然，不再需要在海量日志數(shù)據(jù)中進(jìn)行人工分析，減輕了工作量和難度。

3 民航云南空管分局CDM系統(tǒng)現(xiàn)狀分析

CDM（Airport Collaborative Decision Making機(jī)場(chǎng)協(xié)同決策機(jī)制），主要使空管、航空公司和機(jī)場(chǎng)三者利用互聯(lián)的計(jì)算機(jī)平臺(tái)進(jìn)行信息交換和數(shù)據(jù)共享，通過合理的決策工具提高空中交通流量管理工作的效率，應(yīng)對(duì)預(yù)計(jì)或突發(fā)的流量擁堵和沖突事件的一種協(xié)商解決機(jī)制。

民航云南空管分局使用的是北京民航數(shù)據(jù)通信公司（以下簡(jiǎn)稱“數(shù)據(jù)公司”）的CDM系統(tǒng)，該系統(tǒng)運(yùn)行穩(wěn)定，邏輯高效，界面簡(jiǎn)潔，維護(hù)方便，但在安全性上略有不足。

（1）CDM系統(tǒng)的服務(wù)器及終端均為Windows操作系統(tǒng)，U盤等外部設(shè)備接口未做限制，感染病毒及木馬的概率較高，即使是針對(duì)普通家用電腦的病毒和木馬也可能使其感染，甚至崩潰.

（2）CDM系統(tǒng)結(jié)構(gòu)雖然簡(jiǎn)單，且為內(nèi)部專用網(wǎng)絡(luò)，與互聯(lián)網(wǎng)隔離，但是其設(shè)備與空管、機(jī)場(chǎng)多個(gè)外部系統(tǒng)相連，同時(shí)又為機(jī)場(chǎng)及航空公司等其他單位提供終端服務(wù)，風(fēng)險(xiǎn)節(jié)點(diǎn)多且分散，安全威脅較大。

（3）CDM系統(tǒng)僅使用一臺(tái)防火墻作安全隔離，防護(hù)薄弱，一旦被外部入侵者突破即失去防御能力，而防火墻本身又需要復(fù)雜的配置才能發(fā)揮最大效用。

（4）該系統(tǒng)與電子進(jìn)程單系統(tǒng)直接相連，中間并無邊界隔離措施，倘若電子進(jìn)程單系統(tǒng)出現(xiàn)安全威脅，CDM也將很大概率受到牽連。

4 “天闐”IDS在民航CDM系統(tǒng)中的應(yīng)用分析

4.1 “天闐”IDS的部署

如圖1所示，在民航云南空管分局的CDM系統(tǒng)拓?fù)渲?，成都CDM系統(tǒng)、AIMS系統(tǒng)引接數(shù)據(jù)以及機(jī)場(chǎng)和航空公司等外部用戶均是通過路由器接入的，只有一臺(tái)華為Secoway USG2000防火墻作為安全邊界隔離。由于此網(wǎng)絡(luò)規(guī)模較小，結(jié)構(gòu)相對(duì)扁平，只需要在防火墻后端交換機(jī)上部署一臺(tái)IDS，再在CDM的監(jiān)控終端上安裝相關(guān)軟件和數(shù)據(jù)庫，由CDM監(jiān)控終端兼職IDS服務(wù)器。這樣，由防火墻負(fù)責(zé)限制非法訪問，屏蔽內(nèi)部信息，由IDS負(fù)責(zé)實(shí)時(shí)檢測(cè)分析入侵行為，兩者相互合作相互補(bǔ)充，即可有效提高安全等級(jí)，如圖2所示。

4.2 “天闐”IDS的使用

作為工作人員，我們可以在任意內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)使用瀏覽器登錄訪問“天闐”入侵檢測(cè)管理系統(tǒng)。

可以在“今日狀態(tài)”頁面中查看最近24小時(shí)的病毒事件及網(wǎng)絡(luò)威脅狀況，并提供最近30天內(nèi)安全事件的日均發(fā)生次數(shù)，便于判斷系統(tǒng)當(dāng)下整體安全水平，如圖3所示。

由于CDM系統(tǒng)專網(wǎng)專用，網(wǎng)絡(luò)安全事件并不會(huì)像互聯(lián)網(wǎng)中那樣頻繁。這時(shí)候“日志報(bào)表”功能就顯得尤為重要了。它可以對(duì)報(bào)表的類型、周期或非周期時(shí)間段、文件格式等進(jìn)行選擇，然后設(shè)置導(dǎo)出任務(wù)讓其自動(dòng)執(zhí)行。這樣就方便系統(tǒng)維護(hù)人員在一個(gè)較長(zhǎng)時(shí)間段內(nèi)對(duì)系統(tǒng)的網(wǎng)絡(luò)安全進(jìn)行宏觀把控，如圖4所示。

“天闐”IDS除了自身可對(duì)一些威脅進(jìn)行防御以外，還能通過SNMP TRAP的方式為第三方提供數(shù)據(jù)，并且能和防火墻聯(lián)動(dòng)，共同防御網(wǎng)絡(luò)攻擊。對(duì)于一些突發(fā)的、緊急且危險(xiǎn)的安全威脅，系統(tǒng)可通過郵件（需要外網(wǎng)）或短信的方式給維護(hù)人員發(fā)送消息，方便及時(shí)處理。

“天闐”IDS功能還具備流量、升級(jí)、日志、組件等多個(gè)管理功能，可以便捷有效的對(duì)網(wǎng)絡(luò)及IDS自身進(jìn)行管控。

5 IDS的部署展望

啟明星辰“天闐”IDS具備從百兆到超萬兆的產(chǎn)品線，即便是在如CDM一樣的全國性大規(guī)模分布式部署環(huán)境也能從容應(yīng)對(duì)。“天闐”IDS支持組織化管理，若是由數(shù)據(jù)公司統(tǒng)一升級(jí)安裝，則管理更加方便高效：整個(gè)CDM系統(tǒng)內(nèi)的“天闐”IDS設(shè)備可通過“升級(jí)管理”功能向全系統(tǒng)IDS逐級(jí)分發(fā)升級(jí)數(shù)據(jù)包，自動(dòng)完成升級(jí)；同時(shí)其特有的網(wǎng)絡(luò)入侵定位系統(tǒng)，可以將看似毫無聯(lián)系的實(shí)時(shí)報(bào)警信息通過地理信息、網(wǎng)絡(luò)結(jié)構(gòu)和IP定位結(jié)合顯示在圖形化的界面上，為從源頭上消除網(wǎng)絡(luò)威脅提供依據(jù)；另外，對(duì)于CDM系統(tǒng)安全性的宏觀把握也有利于找出系統(tǒng)本身安全性的不足，對(duì)本系統(tǒng)乃至其他系統(tǒng)安全性的提升也有很大幫助。

參考文獻(xiàn)

[1]北京啟明星辰信息安全技術(shù)有限公司.天闐入侵檢測(cè)與管理系統(tǒng)（內(nèi)部資料）.

[2]付玉珍.計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究進(jìn)展[J].茂名學(xué)院學(xué)報(bào)，2007（12）：120-122.

[3]耿麥香.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004（06）：28-30.