摘? 要：隨著空管信息化建設(shè)的不斷深入，運維人員維護的設(shè)備也隨之增加，在以往的項目建設(shè)中，網(wǎng)絡(luò)安全方面的設(shè)計僅針對于防護外部攻擊，對內(nèi)部網(wǎng)絡(luò)安全并無涉及。國家網(wǎng)絡(luò)安全相關(guān)部門發(fā)布的報告顯示，超過70%的網(wǎng)絡(luò)安全威脅源于內(nèi)部。公安部在《信息系統(tǒng)安全等級保護基本要求》中明確要求，對于重要信息系統(tǒng)網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全均要求具備安全審計功能。今年，民航系統(tǒng)對其下屬單位的網(wǎng)絡(luò)安全問題也尤為重視，就在前不久，由民航局空管局網(wǎng)信辦、民航大學(xué)等多家部門就對我局核心信息系統(tǒng)進行了網(wǎng)絡(luò)安全評估工作，在提出的整改意見中，其中一條就是對設(shè)備維護行為采取行之有效的安全審計。基于以上情況，本文探討了運用堡壘主機提高空管系統(tǒng)網(wǎng)絡(luò)安全的理念。

關(guān)鍵詞：堡壘主機;空中交通管制;網(wǎng)絡(luò)安全

中圖分類號：TP309? ? ? ?文獻標(biāo)識碼：A 文章編號：2096-4706（2019）08-0149-03

Abstract：With the deepening of the construction of air traffic control informatization，the equipment maintained by operation and maintenance personnel has also increased. In the past project construction，the design of network security only aims at protecting external attacks，but does not involve the internal network security. The report issued by the relevant departments of national network security shows that more than 70% of network security threats originate from inside. In the Basic Requirements of Information System Security Grade Protection，the Ministry of Public Security clearly requires that the security auditing function be provided for the network security，host security and application security of important information systems. This year，the Civil Aviation System attaches great importance to the network security of its subordinate units. Just recently，many departments，such as the Network Communications Office of the Air Administration of Civil Aviation Administration and the Civil Aviation University，have carried out network security assessment on the core information system of the Civil Aviation Bureau. Among the suggestions for improvement，one of them is to take effective safety audits on equipment maintenance behavior. Based on the above situation，this paper discusses the idea of using the bastion host to improve the network security of air traffic control system.

Keywords：bastion host;air traffic control;network security

0? 引? 言

隨著國民經(jīng)濟的持續(xù)增長，民航市場的需求不斷擴大，航班流量始終保持高速增長，管制業(yè)務(wù)自動化控制需求也在不斷增加。為了保障管制業(yè)務(wù)的安全、高效運行，空管系統(tǒng)不斷推進信息化建設(shè)工作，大量新建業(yè)務(wù)系統(tǒng)投入生產(chǎn)。這些系統(tǒng)的增加，不僅給技術(shù)保障部門帶來維護壓力，也使得信息網(wǎng)絡(luò)安全問題越來越突出。

目前，在空管系統(tǒng)項目建設(shè)時，在網(wǎng)絡(luò)安全方面安裝了大量的網(wǎng)絡(luò)防護設(shè)備，形成了一套較為完善的信息安全防護體系，但網(wǎng)絡(luò)安全故障仍時有發(fā)生。令人驚奇的是，造成這些不合規(guī)行為的操作很多來源于內(nèi)部用戶。防火墻及入侵檢測設(shè)備雖可解決一部分安全問題，但對于內(nèi)部人員違規(guī)操作致使數(shù)據(jù)被刪除、破壞等影響飛行安全的行為，卻無能為力。

大部分網(wǎng)絡(luò)安全威脅源于內(nèi)部，由于這些內(nèi)部人員采用不恰當(dāng)?shù)木W(wǎng)絡(luò)訪問行為，最終造成數(shù)據(jù)破壞、泄露的現(xiàn)象發(fā)生，其帶來的損失遠(yuǎn)遠(yuǎn)超過外部攻擊。在空管行業(yè)中，技術(shù)保障部門的運維人員通常具有較高的系統(tǒng)權(quán)限，有時部分技術(shù)難度較高的問題還需要廠家進行協(xié)助解決，在這種情況下，對運維人員的操作行為進行審計變得更加重要。

1? 空管運維現(xiàn)狀帶來的網(wǎng)絡(luò)風(fēng)險

1.1? 密碼單一，易于破解

在空管系統(tǒng)的各級文件中均有對密碼管理的相關(guān)要求，按照制度要求，不同使用者要根據(jù)各自的需求和權(quán)限設(shè)置不同的安全密碼，設(shè)置密碼時要盡量避開有規(guī)律、易破解的弱口令密碼，區(qū)分系統(tǒng)級密碼及用戶級密碼。但是在實際生產(chǎn)中，每個技術(shù)保障部門通常要維護多套系統(tǒng)，各個系統(tǒng)中又包含數(shù)量不等的服務(wù)器、數(shù)據(jù)庫及交換機等網(wǎng)絡(luò)設(shè)備，若按照制度要求分別設(shè)置不同設(shè)備、不同權(quán)限的強口令密碼，則密碼維護便成為了很大負(fù)擔(dān)。目前，大多數(shù)維護部門對所轄設(shè)備設(shè)置的密碼都比較簡單，一旦受到攻擊，則比較容易被攻破。

1.2? 賬號共享，責(zé)任難溯

空管技術(shù)保障部門采用7*24小時的值班制度，這就意味著一個班組乃至一個科室的技術(shù)人員均維護相同的系統(tǒng)設(shè)備，當(dāng)他們進行日常維護或系統(tǒng)檢查時，通常習(xí)慣使用同一個管理員賬號進行登錄，一旦出現(xiàn)操作失誤對系統(tǒng)造成影響，則很難進行責(zé)任認(rèn)定。除此之外，大部分技術(shù)保障部門還與第三方廠家簽訂了維保協(xié)議，廠家進行設(shè)備操作時也會使用管理員的賬號進行登陸，若我方陪同人員疏于監(jiān)管，廠家工程師在使用時“有心”做出破壞系統(tǒng)正常運行的操作，則造成的損失將不可估量。

1.3? 缺失審計，無法滿足等保要求

已投入生產(chǎn)的大部分系統(tǒng)在設(shè)計之初并沒有考慮到對運維人員操作的審計功能，在系統(tǒng)上線以后，雖然許多維護部門為了便于定位故障開啟了操作系統(tǒng)及應(yīng)用軟件自帶的日志功能，但由于這些功能較為簡單，只能記錄部分重要操作，難以實現(xiàn)針對運維人員全部操作的完整、全面、規(guī)范的審計。

2? 堡壘主機在空管網(wǎng)絡(luò)安全中的應(yīng)用

運維審計是系統(tǒng)安全審計中的一部分，主要是對運維人員在信息系統(tǒng)內(nèi)的維護行為進行全面監(jiān)控，通過完整的記錄運維人員的操作命令以及系統(tǒng)資源的各項狀態(tài)，來識別系統(tǒng)安全威脅事件，從而做到事前對運維人員惡意操作的震懾作用，以及為事后追究安全責(zé)任提供可尋依據(jù)，堡壘主機就是這樣一種運維審計系統(tǒng)。

2.1? 堡壘主機概述

堡壘主機可以通過賬戶管理、授權(quán)管理和綜合審計等功能，完成集中認(rèn)證和運維審計的目的。對于運維人員來說，堡壘主機就是一臺到達(dá)目標(biāo)設(shè)備的代理服務(wù)器，通過堡壘主機的代理，運維人員無需知道目標(biāo)設(shè)備的密碼即可對其進行維護，它不僅使運維人員對設(shè)備資源的訪問更加細(xì)化，減少了因過度訪問而帶來的操作風(fēng)險，而且也為設(shè)備資源運維人員的管理和審計操作行為提供了監(jiān)測和審計的依據(jù)，并對非法行為實行報警、阻斷。通過堡壘主機可以有效地提高維護人員完成維護操作的效率，提高操作安全性，還可以做到對不同角色的維護人員和可用資源的集中管理。

2.2? 堡壘主機的部署方式及工作原理

堡壘主機可在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的情況下進行旁路部署，它只需一個能夠到達(dá)目標(biāo)網(wǎng)絡(luò)的IP地址，即可實現(xiàn)服務(wù)代理功能。運維人員日常工作時使用的Telent、SSH等協(xié)議均可通過堡壘主機進行轉(zhuǎn)發(fā)，而正常的應(yīng)用軟件對服務(wù)器、數(shù)據(jù)庫的請求則不通過堡壘主機。因此，使用堡壘主機并不會影響正常的業(yè)務(wù)訪問速度。有人將堡壘主機形象的比喻為進出核心系統(tǒng)的“大門”和“翻譯”，只有經(jīng)過堡壘主機認(rèn)定的人員、角色及操作，才可作用于最終的目標(biāo)資源上。堡壘主機部署示意圖如圖1所示。

首先，運維人員在維護終端上連接到堡壘主機，然后向堡壘主機發(fā)送操作請求，堡壘主機完成該名運維人員的角色及權(quán)限認(rèn)定后，其應(yīng)用代理模塊代替運維人員連接到目標(biāo)設(shè)備完成相應(yīng)操作，最終將執(zhí)行結(jié)果展示給維護人員。堡壘主機工作原理示意圖如圖2所示。

通過這種方式，建立了運維人員到堡壘主機再到目標(biāo)設(shè)備的管理模式，從而將運維人員與目標(biāo)設(shè)備有效隔離開來，在解決了操作權(quán)限控制和行為審計問題的同時，也解決了加密協(xié)議和圖形協(xié)議等無法還原進行審計的問題。

2.3? 堡壘主機的功能及解決的問題

2.3.1? 構(gòu)建操作管理統(tǒng)一平臺

依托堡壘主機劃分不同維護人員角色，詳細(xì)區(qū)分局內(nèi)技術(shù)保障人員、第三方廠商人員以及審計人員的維護范圍及操作權(quán)限。每名維護人員均可從堡壘主機中獲得維護賬戶，該賬戶不是實際生產(chǎn)系統(tǒng)的管理賬戶，而是與生產(chǎn)系統(tǒng)相關(guān)聯(lián)。這樣，維護人員就不必知道生產(chǎn)系統(tǒng)的實際賬戶了，便可根據(jù)分配的權(quán)限進行系統(tǒng)維護。

為了實現(xiàn)對權(quán)限管理更深入的控制，最大限度地提高業(yè)務(wù)系統(tǒng)資源的安全性，堡壘主機可以分別對角色、用戶、行為和相關(guān)資源進行授權(quán)。如可進行角色與資源對應(yīng)關(guān)系的粗粒度授權(quán)，也可限制角色行為在應(yīng)用層面的細(xì)粒度授權(quán)。

以往運維人員要維護多套生產(chǎn)系統(tǒng)設(shè)備時，需要記憶并依次登錄輸入維護設(shè)備的IP地址及密碼，重復(fù)性操作較多，還有可能出現(xiàn)記憶不清的時候。堡壘主機的單點集中維護功能便解決了維護人員這個難題，它提供了統(tǒng)一的訪問途經(jīng)。當(dāng)維護人員通過堡壘主機的認(rèn)證之后，便可對權(quán)限范圍內(nèi)的所有資源進行維護。這使得運維人員不再需要頻繁登錄各項系統(tǒng)，提高了運維人員維護效率。

堡壘主機的操作審計功能，可以通過錄屏和記錄字符型操作日志等形式，記錄運維人員維護全過程，它不僅可以幫助管理人員及時發(fā)現(xiàn)權(quán)限濫用、違規(guī)操作行為，還能為最終的責(zé)任認(rèn)定提供依據(jù)。

利用堡壘主機提供的平臺，實現(xiàn)了不同角色維護設(shè)備時的統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一審計功能。

2.3.2? 實現(xiàn)管理流程規(guī)范化愿景

堡壘主機從人的管理、操作的管理、設(shè)備的管理三個維度，實現(xiàn)了空管運維管理流程規(guī)范化的愿景。在人的管理方面，它可通過角色劃分、賬號管理、密碼管理、權(quán)限管理以及訪問控制這五大方面限制維護人員的操作范圍。對操作過程的全程監(jiān)控、過程審計，使得維護人員更加小心自己的維護行為。自動定期修改設(shè)備密碼功能，不僅增強了設(shè)備的安全等級，還輕松實現(xiàn)了密碼管理的相關(guān)要求。

3? 結(jié)? 論

堡壘主機有效地規(guī)范了內(nèi)外部信息管理維護人員的維護行為，彌補了對服務(wù)器等重要設(shè)施的維護行為的控制，填補了審計的空白，強化了信息安全保護體系，有利于信息系統(tǒng)更好地運行，有利于保證企業(yè)運行的連續(xù)性和安全性，極大地減少了對信息化設(shè)施的誤操作和惡意操作的概率，使基礎(chǔ)設(shè)施維護行為的審計能力從無到有，節(jié)省了大量人力物力，縮短了故障和安全事件的定位時間，大大地提高了信息系統(tǒng)運行維護能力和效率。

參考文獻：

[1] 張笑笑，鄒春明，顧健.堡壘機在信息系統(tǒng)中的應(yīng)用 [A].第二屆全國信息安全等級保護技術(shù)大會.第二屆全國信息安全等級保護技術(shù)大會會議論文集 [C].中國安徽合肥：公安部第三研究所，2013：207-209.

[2] 王棟，來風(fēng)剛，李靜.數(shù)據(jù)中心IT運維審計體系研究 [J].電力信息化，2012，10（1）：20-23.

[3] 戴瑩.淺談如何運用堡壘機系統(tǒng)解決單位信息管理內(nèi)控風(fēng)險 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（8）：53-54.

作者簡介：廉文超（1986.12-），女，漢族，天津人，工程師，本科，主要研究方向：民航平面通信。