程永春

(吉林省民航機場集團有限公司 吉林 長春 130000)

0 引言

由于互聯網、物聯網和云計算等信息技術的快速發(fā)展和應用,大數據已經滲透到社會的各個領域,如機場、高鐵、核電站等。大數據具有多樣化和高增長率2個特點。由于數據量的體積很大,傳統(tǒng)的數據軟件無法在短時間內用于挖掘、處理和研究。目前,大數據處理主要使用新的模型,使大數據能夠支持強大的決策和處理能力,并為企業(yè)和社區(qū)提供實用的服務。通過將大數據整合到社會的不同領域,公司同時為自己提供高質量的服務,大數據也給其信息系統(tǒng)帶來了新的風險[1-2]。企業(yè)在利用大數據帶來便利的同時,也必須有效規(guī)避相關風險。因此,企業(yè)需要提高其在信息數據管理和網絡信息安全技術方面的管理技能。

本文主要對大數據時代機場的網絡安全技術存在的問題進行細致研究分析,并提出加強機場網絡安全管理水平的對策,為大數據時代的機場網絡安全提供理論參考。

1 網絡安全性惡意威脅分析

1.1 主要業(yè)務系統(tǒng)遭遇多方網絡安全威脅

機場網絡的服務場所較多,主要涉及航站樓、貨站、空管等。因此機場易受各種惡意威脅的影響,這些威脅可能會擾亂和破壞機場的運營。惡意威脅是反病毒無法解決的一類網絡安全恐慌。最常見的惡意威脅包括嗅探、魚叉式網絡釣魚、執(zhí)行遠程代碼、無誘餌欺騙、中間人和拒絕服務[3]。物聯網在機場的日益集成增加了網絡攻擊的脆弱性[4-6]。由于物聯網基礎設施,機場面臨的惡意威脅分為惡意軟件、濫用授權、社交和網絡釣魚攻擊、網絡和通信攻擊以及篡改機場智能設備[7-8]。良好的技術實踐涉及謹慎的預防措施,如安裝和定期更新反惡意軟件,以及對員工進行有關負責任行為的安全教育和培訓[9-10]。

1.2 機場網絡威脅信息分類

(1)物理攻擊:此種方法攻擊時主要是通過硬件來竊取密碼,對應的攻擊者大部分為內部人員,他們可對相關硬件設備進行管理,因而這類攻擊的防范難度高。

(2)服務拒絕攻擊:主要是通過大量的虛假請求讓服務器無法正常運行,嚴重情況下直接崩潰,從而引發(fā)一定損失。

(3)非授權訪問:入侵者對機場網絡信息的不正常使用,如未授權進行讀、寫或執(zhí)行等。

(4)掃描攻擊:目前的互聯網中一般使用的是TCP/IP協(xié)議,入侵者在不斷嘗試入侵的過程中必然會產生漏洞或者缺陷,入侵者可以通過這些漏洞或者缺陷對操作系統(tǒng)發(fā)起攻擊,從而獲得系統(tǒng)內部資料信息及周邊重要情報。

(5)遠程控制:通過操作系統(tǒng)本身的漏洞或安裝病毒軟件進行控制。

(6)身份竊取:主要通過一定的方法竊取用戶的身份信息,對應的攻擊方法包括網絡釣魚、域名轉換、IP假冒。

(7)偽造和篡改:這種攻擊方式主要是修改、刪除合法發(fā)送者的信息后繼續(xù)進行發(fā)送,還有假消息攻擊、竊聽以及重傳等。

2 我國機場網絡信息安全所面臨的問題

2.1 網絡安全工作缺乏整體規(guī)劃

在信息技術建設過程中,網絡安全工作應遵循“同步設計、建設、使用”相關的原則。受到觀念和管理模式等方面因素的影響,傳統(tǒng)模式下單位網絡安全意識差。調查結果發(fā)現許多中小機場很少依據同步三原則開展網絡建設工作,也沒有根據安全性要求進行整體規(guī)劃,這樣導致網絡的安全風險大幅度增加。在缺少網絡安全規(guī)劃指南的條件下,很多機場在這方面工作過程中不知道如何科學規(guī)范地進行網絡安全管理,應對的能動性低,經常處于一定的被動地位,這既不滿足網絡安全管理相關的要求,同時也容易導致資源浪費相關問題。

隨著《網絡安全法》《網絡安全等級保護條例》和行業(yè)相關要求的不斷推進,民航中小型機場在網絡安全管理方面的水平不斷提高,且取得一系列進展。不過實際的網絡安全措施依然存在多方面的缺陷,不能滿足當前形勢下的安全工作要求。主要表現如下:設備不足,調查發(fā)現很多中小型機場在進行安全管理時單純應用了防火墻,在管理過程中很少檢測網絡流量,導致其在出現異常的網絡行為后也難以及時發(fā)現。對于主機保護,相應的保護水平低,大部分機場都是不定期更新功能庫。這樣在感染計算機病毒后業(yè)務系統(tǒng)的安全性受到明顯的影響。隨著《數據安全法》的發(fā)布,機場在運營管理過程中,數據安全的重要性也明顯地表現出來,因此很有必要強化安全管理工作。

2.2 網絡安全經費保障需要形成機制

目前在市場需求促進作用下我國中小機場的數量不斷增加,且對應的運量規(guī)模也大幅度提升,這對區(qū)域經濟發(fā)展起到重要促進作用。不過受到各方面因素的影響,民航機場運輸業(yè)務盈利難度很高,大部分都需要依賴政府補貼。近年來受到傳染病因素的影響,民航中小機場的經營壓力也日益嚴峻,相應的網絡安全經費的欠缺也明顯增多。因此,資金不足的問題對網絡安全工作產生的影響很顯著。

3 機場網絡安全體系建設研究

在互聯網時代背景下,機場網絡空間作為第5大戰(zhàn)略空間,在飛速發(fā)展的同時也面臨著嚴峻的考驗。隨著層出不窮的網絡攻擊事件的發(fā)生,網絡空間安全性問題備受關注。因此通過管理和技術手段完善機場網絡安全是十分有必要的。

3.1 完善有關安全制度及行政體系

建立科學、合理、高效的信息安全管理體系,確保網絡信息的安全。因此,設備的使用過程中應該嚴格地依據相關標準規(guī)范,設置明確的操作程序,服務器應該有專人管理,這樣每個人都有責任和工作。當出現問題時,可以及時補救,將事故的影響降至最低。

通過對我國航空公司的相關研究,認為航空公司存在的主要問題是由于其自身的原因導致責任劃分不清,因此,必須進一步健全網絡信息安全的責任體系,加強對其的監(jiān)管。明確各個單位的工作職責。通過完善相關產業(yè)的信息系統(tǒng),強化相關部門的工作,從而提升我國航空信息系統(tǒng)的安全管理能力。同時,要強化安全體系建設,健全防范機制,完善安全級別或分級保障機制,強化監(jiān)督,建立健全預警機制。此外,航空公司也需要與國家的防務、公安等相關部門進行合作和聯系,從而進一步拓展網絡信息的保護能力,提高其自身的防衛(wèi)能力。

3.2 打造一支專業(yè)性較強的優(yōu)秀人才隊伍

人力資源始終對機場網絡的信息安全性產生直接影響。因此在日常管理過程中,很有必要提升機場工作人員的素質和安全意識水平,同時也需要提升他們的責任感和專業(yè)素質,將這些和薪酬福利密切結合起來。因而在信息網絡安全保護過程中,應該提升技術人員的專業(yè)素質,提升管理者的責任感,定期開展培訓和教育,不斷地提高工作的責任心和素養(yǎng)。這些對提高機場網絡信息的安全水平有重要意義,也是目前此領域工作的重點。機場不斷提高專業(yè)素質,為實現安全管理目標打下良好的基礎。我們必須掌握全球網絡信息安全行業(yè)的動態(tài),與世界各國進行友好的合作和交流,學習先進的網絡信息技術,并與國內的網絡安全技術相結合。加強對互聯網信息技術的培訓,相關工作人員要加強對網絡信息安全的認識;通過對現有的民用航空從業(yè)人員進行專業(yè)的訓練,進一步提升其整體的專業(yè)素質和知識技術,培養(yǎng)出一批專業(yè)化、高素質的航空專業(yè)人才,以保證其適應我國的發(fā)展需要。

3.3 利用多種方法強化網絡系統(tǒng)安全建設

(1)入侵檢測技術與網絡監(jiān)控技術

調查發(fā)現近年來入侵檢測已經成為一種非常受歡迎的技術,它通過對安全日志、系統(tǒng)行為信息進行針對性統(tǒng)計分析,在大數據技術基礎上確定出系統(tǒng)被侵入的風險。其主要功能就是監(jiān)視整個系統(tǒng),因此,企業(yè)可以通過該技術來開發(fā)IDS系統(tǒng),同時對系統(tǒng)的外部侵入和用戶的非許可狀態(tài)進行實時監(jiān)測,發(fā)現和報告未經許可的行為和異常情況,以便在最短的時間內處理問題,確保航班的正常運行。

(2)文件加密與數字簽名技術

根據實際的經驗表明,該技術對提高網絡信息的安全性有重要意義,同時也可以提高網絡的保密水平,避免重要數據被竊取、破壞。該方法在處理過程中主要是通過一定的加密方法對文檔進行加密,以便提高文檔的安全性能,使非法使用者不能從被保護的文檔中讀出特定的內容;采用數字簽名技術,可以有效地保證用戶收到自己需要的信息,提高了對文檔的接受程度。因此,民用航空可以在航空信息系統(tǒng)中應用文檔加密技術和數字簽名技術,從而保證航空信息安全穩(wěn)定和保密。

(3)身份認證技術

所謂的身份認證技術,是通過安全網關、安全目錄和安全檢查等安全措施對操作人員進行有效的身份驗證,從而確定使用者的真實的數字識別能力。盡管網絡通信也可以識別用戶的數字身份,但應用價值很有限。而通過身份認證技術可以高效地確定出操作者的數字身份,同時也可以對和身份匹配相關的問題進行針對性處理,這對提高權限管理水平有重要意義,同時為實現網絡安全管理目標打下良好的基礎。對于民航網絡系統(tǒng)來說,在進行身份認證時可選擇不同的方法,主要包括:第一,“用戶名+口令密碼”,且要求密碼必須是不同類型字符的組合,這樣可以有效地提高保密性;第二,視網膜或指紋認證,同時結合USB Key來有效地強化系統(tǒng)的安全性水平,更好地滿足實際應用要求。

綜合多種技術來進行網絡安全防護,可以起到一定優(yōu)勢互補的效果,大幅度提高安全保護水平。隨著時代的發(fā)展,對應的侵入模式也出現明顯的變化,單純通過一種方式無法抵擋不同類型的風險。因而需要對網絡系統(tǒng)進行安全評估、檢測和防護,通過不同的方法和制度來提高安全保護水平。此外還應建立起網信備份系統(tǒng),更好地滿足數據的安全性和保護需求。

(4)設備安全維護

機場網絡系統(tǒng)的功能實現和各類型的設備密不可分,因而很有必要進行設備的安全管理和檢查。專業(yè)人員要分工明確,安排專人對各方面的設備進行管理和維護,對其中的重要設備進行有針對性的強化管理,如數據庫和服務器等,同時明確管理者需要承擔相當的責任,為實現安全運行目標打下良好的基礎,避免自然因素和人為因素引發(fā)的不良影響。

(5)啟動軟件硬件數據加密

硬件加密是指直接在設備上添加新的硬件單元,實現電路級別的數據保護。采用硬件加密安全性好,不容易被攻擊,加密速度快,不占用系統(tǒng)資源且性能可靠,但其缺點也十分明顯,一旦加密部件損壞或者密鑰丟失,磁盤中的數據將永遠丟失。同時移動設備向著小型化、輕便化方向發(fā)展,增加硬件設備將大幅增加移動設備的體積和重量,不符合未來發(fā)展趨勢。

軟件加密是指使用編碼的方式對數據進行加密。dm-crypt磁盤加密模塊是一款使用簡單、速度快、適用性強的Linux內核模塊。dm-crypt在實際存儲設備上增加一層虛擬mapper層。用戶直接對mapper層進行讀寫,而dm-crypt負責將數據在mapper層加密后寫入磁盤,將磁盤數據解密后返回給mapper,整個過程用戶無感,不改變用戶的使用習慣,同時不會對手機性能產生過大的開銷。由于dm-crypt只能對磁盤進行加密,不能單獨對文件加密,這會導致設備未解鎖時,大部分功能都無法使用,因此不適合用在移動設備數據的加密中。

(6)啟用新的網絡安全檢測技術

靜態(tài)分析是指在應用程序運行前,通過反編譯應用Apk,分析提取代碼的特征向量并與特征庫進行比較,判斷該應用是否為惡意應用。靜態(tài)分析的優(yōu)點是,可以不用運行應用程序,不受應用程序執(zhí)行條件的約束,全面檢測應用中是否存在惡意代碼。但靜態(tài)分析的缺點也很明顯,如果應用進行了加密或者采用了混淆的方式,惡意代碼的檢出率則會大大下降。

動態(tài)分析是指將應用程序在特定的環(huán)境中運行,通過監(jiān)控其行為來判斷是否為惡意應用。例如將應用運行在TainDroid環(huán)境中,TainDroid可以對敏感數據進行污染標記,而對敏感數據的操作所產生的數據依然標記為污染數據,通過監(jiān)控這些污染數據的流向來判斷是否是惡意應用。SDroid系統(tǒng)在TainDroid的基礎上提高了系統(tǒng)性能,對污點數據進行監(jiān)控。利用 Hook技術檢測應用程序接口調用的情況,在沙箱中捕獲應用的敏感行為,從而根據敏感行為的發(fā)生情況動態(tài)地判斷應用是否是惡意應用。

4 結語

綜上所述,本文簡述了我國機場網絡安全方面的現狀和存在的問題,且提出了相關解決措施。從未來機場運營的發(fā)展來看,網絡出現安全問題是在所難免的,因而需要強化安全管理工作,盡可能地解決出現的安全問題,且將其導致的危害控制在一定范圍內。在運行過程中還應采用先進的技術和手段來提高安全防范水平,同時也需要對管理者和技術人員進行培訓,強化他們的防范意識和責任心,這對提高機場網絡安全性有重要意義,同時也能夠充分發(fā)揮網絡系統(tǒng)的作用,為機場的正常運行提供可靠支持。本文在研究過程中經過綜合分析提出了一套機場安全防護體系,其中融合了各種安全技術,對提高機場網絡安全性有重要保障作用,所得結果也為同類型研究提供參考。