章迺琦

【摘 要】隨著一帶一路政策促進(jìn)下現(xiàn)代科學(xué)技術(shù)，各個(gè)學(xué)科領(lǐng)域都在快速成長(zhǎng)，現(xiàn)如今中國(guó)民航業(yè)發(fā)展迅速，民航通信網(wǎng)信息管理也面臨著新的挑戰(zhàn)，完善和建設(shè)民航通信網(wǎng)的安全管理體系勢(shì)在必行。

【關(guān)鍵詞】民航通信網(wǎng);安全;建設(shè)

在現(xiàn)代信息技術(shù)的支持下，新的民航通信網(wǎng)系統(tǒng)及網(wǎng)絡(luò)業(yè)務(wù)得以建立，新采用的傳輸系統(tǒng)運(yùn)行穩(wěn)定性良好，能夠大大提升民航通信網(wǎng)對(duì)業(yè)務(wù)的承載能力，并且管理及業(yè)務(wù)建立的操作更為便捷，但就目前來看其不足之處在于界面設(shè)計(jì)與人性化方面有待提升。然而在民航通信網(wǎng)快速發(fā)展的同時(shí)還面臨一項(xiàng)更加具有挑戰(zhàn)的任務(wù)，就是對(duì)民航通信網(wǎng)安全通信和管理的任務(wù)。目前我們利用結(jié)構(gòu)優(yōu)化完善系統(tǒng)功能，增添安全設(shè)備保障網(wǎng)絡(luò)安全，為民航通信網(wǎng)及業(yè)務(wù)的有序運(yùn)行提供可靠支持。

首先構(gòu)建民航通信網(wǎng)絡(luò)網(wǎng)絡(luò)安全技術(shù)防護(hù)體系。所謂的網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)軟件安全。就新民航通信網(wǎng)絡(luò)安全系統(tǒng)來看，系統(tǒng)設(shè)計(jì)是在保證業(yè)務(wù)運(yùn)行可靠性前提，增進(jìn)網(wǎng)絡(luò)系統(tǒng)與安全設(shè)備之間的聯(lián)系。安全技術(shù)防護(hù)體系組成內(nèi)容主要包括：

（1）區(qū)域邊界安全保護(hù)。

安全訪問控制;網(wǎng)絡(luò)惡意代碼防范，防范網(wǎng)絡(luò)層面的惡意代碼，對(duì)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行病毒、惡意代碼掃描和過濾處理;一體化的綜合安全網(wǎng)關(guān)，邊界防病毒、流量管理、抗攻擊等多重安全防護(hù)策略，實(shí)現(xiàn)網(wǎng)絡(luò)邊界綜合防范;邊界安全網(wǎng)關(guān)，網(wǎng)絡(luò)基礎(chǔ)邊界入侵防護(hù);網(wǎng)絡(luò)攻擊檢測(cè)。

（2）通信傳輸安全保護(hù)。

鏈路冗余和設(shè)備冗余;網(wǎng)絡(luò)審計(jì)，分析網(wǎng)絡(luò)中的數(shù)據(jù)包、流量信息，通過對(duì)相關(guān)協(xié)議進(jìn)行分析，對(duì)網(wǎng)絡(luò)通信行為和內(nèi)容進(jìn)行記錄和統(tǒng)計(jì)。

（3）終端安全管理。

終端安全管理系統(tǒng)，主要是對(duì)網(wǎng)絡(luò)運(yùn)維人員的桌面終端系統(tǒng)的集中管理和維護(hù)，有效保護(hù)用戶計(jì)算機(jī)系統(tǒng)安全和信息數(shù)據(jù)安全。防病毒軟件，在運(yùn)維分析管理系統(tǒng)服務(wù)器、運(yùn)維終端的主機(jī)上安裝防病毒軟件，在主機(jī)上有效查殺病毒、惡意腳本、木馬、蠕蟲等惡意代碼;網(wǎng)絡(luò)身份鑒別，建立PKI/CA數(shù)字證書認(rèn)證系統(tǒng)，為網(wǎng)絡(luò)內(nèi)用戶、設(shè)備頒發(fā)數(shù)字證書實(shí)現(xiàn)用戶、網(wǎng)絡(luò)設(shè)備身份的統(tǒng)一描述和統(tǒng)一管理，以數(shù)字證書來表明相應(yīng)人員、網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)中身份的唯一性。

（4）安全管理中心

安全管理系統(tǒng)，安全管理中心負(fù)責(zé)進(jìn)行全網(wǎng)的集中安全事件管理、風(fēng)險(xiǎn)管理和集中日志審計(jì)，實(shí)現(xiàn)針對(duì)計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)的安全防護(hù);安全設(shè)備網(wǎng)管，針對(duì)部署范圍廣、數(shù)量多的網(wǎng)絡(luò)安全設(shè)備，通過安全設(shè)備網(wǎng)管系統(tǒng)，給各級(jí)節(jié)點(diǎn)分配相應(yīng)的管理范圍和權(quán)限，實(shí)現(xiàn)分級(jí)管理。同時(shí)，對(duì)網(wǎng)絡(luò)安全設(shè)備的升級(jí)、網(wǎng)絡(luò)安全設(shè)備工作狀態(tài)監(jiān)管、網(wǎng)絡(luò)安全設(shè)備策略進(jìn)行管理;運(yùn)維堡壘主機(jī)，核心設(shè)備的管理員用戶提供集中登錄認(rèn)證（即基于數(shù)字證書強(qiáng)身份認(rèn)證）、權(quán)限控制和操作監(jiān)控。被管理資源包括服務(wù)器、數(shù)據(jù)庫、交換機(jī)、路由器、安全網(wǎng)關(guān)設(shè)備及其他安全設(shè)備等;等級(jí)保護(hù)支撐系統(tǒng)，完成對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)備的漏洞掃描和報(bào)告，提供安全改進(jìn)建議措施等功能，幫助運(yùn)維人員控制可能發(fā)生的安全事件。依據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)對(duì)系統(tǒng)進(jìn)行評(píng)估，并能生成等級(jí)保護(hù)工作檢查報(bào)表，最大可能的消除安全隱患。

其次通過優(yōu)化及完善新民航通信網(wǎng)絡(luò)系統(tǒng)及應(yīng)用確保網(wǎng)絡(luò)安全。從前臺(tái)設(shè)備來看，民航通信網(wǎng)絡(luò)系統(tǒng)的應(yīng)用設(shè)計(jì)要以網(wǎng)絡(luò)系統(tǒng)的實(shí)際應(yīng)用為重點(diǎn)，為促進(jìn)安全防范的有效落實(shí)，首先要對(duì)民航通信網(wǎng)絡(luò)業(yè)務(wù)的實(shí)際情況進(jìn)行實(shí)時(shí)監(jiān)控，為民航運(yùn)行通信安全提供有利條件。在民航通信網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中，再要結(jié)合實(shí)際功能需求科學(xué)合理設(shè)計(jì)配置模塊、監(jiān)控模塊、日志模塊，以便從業(yè)務(wù)配置到實(shí)際運(yùn)行再到后期故障排查整個(gè)流程做到有依可循，同時(shí)實(shí)現(xiàn)這一切還需要強(qiáng)大后臺(tái)設(shè)備支持。

例如，現(xiàn)階段我們?cè)诿窈酵ㄐ啪W(wǎng)中部署了網(wǎng)神SecAV 3600防毒墻和網(wǎng)御防火墻，采用雙路并聯(lián)，協(xié)同工作的狀態(tài)串聯(lián)至網(wǎng)絡(luò)設(shè)備間。

網(wǎng)神SecAV 3600防毒墻采用串接方式接入網(wǎng)絡(luò)，防毒墻利用多核并行處理、重構(gòu)網(wǎng)卡驅(qū)動(dòng)、TCP/IP協(xié)議棧技術(shù)，保證系統(tǒng)的高效過濾性能。防毒墻全面支持IPv4和IPv6網(wǎng)絡(luò)環(huán)境。采用多核并行處理、重構(gòu)網(wǎng)卡驅(qū)動(dòng)、TCP/IP協(xié)議棧等技術(shù)，保證系統(tǒng)的高效過濾性能;支持多路監(jiān)控，可同時(shí)支持INLINE/ONLINE模式的監(jiān)控。支持非端口定義的協(xié)議識(shí)別，通訊服務(wù)端無論采用什么端口，都能正確識(shí)別HTTP/FTP/SMTP/POP3/IMAP/SSH/SSL/SMB 等多種應(yīng)用層協(xié)議。針對(duì)網(wǎng)絡(luò)傳播病毒進(jìn)行全面高效的專項(xiàng)過濾，精確識(shí)別郵件病毒、文件傳輸病毒、網(wǎng)頁病毒等。采用入侵防御（IPS）技術(shù)、IP/端口/數(shù)據(jù)包封鎖技術(shù)，優(yōu)化了蠕蟲識(shí)別機(jī)制，不僅可監(jiān)測(cè)已知蠕蟲，還可以在未知蠕蟲爆發(fā)時(shí)進(jìn)行預(yù)警。內(nèi)置數(shù)千種木馬通訊協(xié)議識(shí)別特征，可監(jiān)控多數(shù)常見的木馬通訊，并且，識(shí)別庫不斷再升級(jí)，以識(shí)別新型木馬，包括手機(jī)木馬。同時(shí)內(nèi)置數(shù)百種針對(duì)各種瀏覽器的溢出攻擊特征，防范網(wǎng)絡(luò)釣魚攻擊和瀏覽器溢出攻擊。對(duì)常用的網(wǎng)絡(luò)服務(wù)如：SMTP/POP3/IMAP/FTP/HTTP/SSH/TELNET/SMB等進(jìn)行口令探測(cè)的活動(dòng)均可被監(jiān)測(cè)，并可觸發(fā)相應(yīng)的阻斷動(dòng)作，防止口令探測(cè)活動(dòng)的持續(xù)進(jìn)行。并預(yù)留接口進(jìn)行二次開發(fā)，對(duì)用戶專有的網(wǎng)絡(luò)服務(wù)實(shí)現(xiàn)口令探測(cè)監(jiān)控。通過多種措施保障自身安全工作：通過專有安全操作系統(tǒng)避免漏洞攻擊;通過自動(dòng)抑制網(wǎng)絡(luò)流量，防止DoS攻擊造成拒絕服務(wù)和性能下降;通過加密和認(rèn)證的安全管理防止管理失控。

網(wǎng)御防火墻則利用防火墻策略對(duì)數(shù)據(jù)流進(jìn)行統(tǒng)一控制，方便用戶配置和管理。通過配置防火墻策略能夠?qū)?jīng)過設(shè)備的數(shù)據(jù)流進(jìn)行有效的控制和管理。當(dāng)設(shè)備收到數(shù)據(jù)報(bào)文時(shí)，把該報(bào)文的入接口、源地址、目的地址、協(xié)議、服務(wù)、用戶、應(yīng)用等信息和用戶配置的策略匹配，決定是否建立這條數(shù)據(jù)流，并且把這條流和匹配的策略關(guān)聯(lián)起來，從而確定如何處理該流的后續(xù)報(bào)文，實(shí)現(xiàn)允許、丟棄，決定哪些用戶和數(shù)據(jù)能進(jìn)出，以及它們進(jìn)出的時(shí)間和地點(diǎn)。防火墻策略按頁面順序從上往下的原則，只對(duì)通過設(shè)備的數(shù)據(jù)包進(jìn)行處理，對(duì)于設(shè)備本身發(fā)出的數(shù)據(jù)包不進(jìn)行限制。對(duì)于策略是否生效，可以通過查看策略的命中次數(shù)來觀察，如果流量匹配了策略，對(duì)應(yīng)策略的命中次數(shù)會(huì)+1。

最后要提的是所有網(wǎng)絡(luò)安全保障工作中最難也是最容易出現(xiàn)安全問題的部分，就是網(wǎng)絡(luò)運(yùn)行及維護(hù)工作的參與人員對(duì)網(wǎng)絡(luò)安全的意識(shí)。通過多年的工作經(jīng)驗(yàn)及社會(huì)上采集到的實(shí)際案例分析后，我得出為保障網(wǎng)絡(luò)安全運(yùn)行所需以下幾點(diǎn)。

（1）由管理層在專業(yè)小組人員協(xié)助下制定網(wǎng)絡(luò)信息安全政策，管理層應(yīng)制定一套清晰的指導(dǎo)原則，明確表明其對(duì)網(wǎng)絡(luò)信息安全及在單位內(nèi)部貫徹實(shí)施次政策的支持和承諾。

（2）建立網(wǎng)絡(luò)信息安全基礎(chǔ)架構(gòu)，通過建立專業(yè)安全小組對(duì)網(wǎng)絡(luò)安全政策進(jìn)行實(shí)施與監(jiān)測(cè)。對(duì)安全責(zé)任進(jìn)行分配，并協(xié)助單位內(nèi)部安全的實(shí)施，對(duì)外要實(shí)行業(yè)務(wù)跟蹤，對(duì)故障要求申告標(biāo)準(zhǔn)，及時(shí)將不安全事件通報(bào)單位負(fù)責(zé)人。

（3）對(duì)所有參與運(yùn)維工作的人員進(jìn)行安全培訓(xùn)，通過單位內(nèi)部安全管理規(guī)定加強(qiáng)安全意識(shí)，通過國(guó)家級(jí)別安全運(yùn)維管理規(guī)則加強(qiáng)單位整體安全意識(shí)。

總而言之，民航通信網(wǎng)系統(tǒng)的安全建設(shè)，要全面把握民航通信業(yè)務(wù)發(fā)展實(shí)際情況，對(duì)系統(tǒng)結(jié)構(gòu)進(jìn)行優(yōu)化設(shè)計(jì)，增添安全設(shè)備保障網(wǎng)絡(luò)安全，明確系統(tǒng)前端設(shè)備與系統(tǒng)模塊功能，通過監(jiān)控模塊業(yè)務(wù)系統(tǒng)的穩(wěn)定高效運(yùn)行，并對(duì)人力物力資源進(jìn)行優(yōu)化配置，確保設(shè)備安全運(yùn)行的同時(shí)加強(qiáng)運(yùn)維人員的綜合安全意識(shí)才是保障民航通信網(wǎng)安全運(yùn)行的重中之重。從而為民航發(fā)展提供安全保障。

【參考文獻(xiàn)】

1.《民航安全產(chǎn)品維護(hù)手冊(cè)》

2.《網(wǎng)神secVA3600防毒墻用戶手冊(cè)》