私有云內嵌可信計算技術構建新一代民航信息系統服務框架

◎成都西南民航空管工程建設有限責任公司 王鵬

云計算技術、可信認證技術、大數據技術、物聯網技術作為“互聯網+”的代表技術，近些年受到諸多領域廣泛關注。作為國民經濟基礎設施的民航業，當然也不例外。民航領域由于其構造的特殊性，多年來遺留較多建設、運維和安全方面的問題，希望能借助“互聯網+”技術，有效解決或緩解這些宿病。

一、民航信息系統構造及困境

民航信息系統是以工業控制系統為內核、以移動互聯系統及傳統信息系統為外延的復合信息系統群。內核系統包含飛機泊位引導系統、信息集成系統、航班顯示系統、自動廣播系統、離港系統、閉路電視系統、時鐘系統、呼叫中心系統、行李分揀系統和安檢信息管理系統。外延系統包含門戶網站系統、辦公自動化系統、網上訂票系統、觸摸屏查詢系統和乘客手機終端APP 系統等。內核系統以工業控制系統為主，強調封閉安全。外延系統以移動互聯網、傳統B/S 結構信息系統為主，強調開放互聯，如圖1 所示。

（一）民航信息系統種類繁多，維護工作不能統一

以首都機場為例，該機場有將近50 個信息系統，對講機、閉路電視、LED 顯示屏、觸摸查詢終端、掃碼機、數字攝像頭、數控行李傳動帶、無線信號收發器、紅外掃描儀等上百種終端。如此種類龐大、數量眾多的系統和終端數量，需要對信息系統和終端進行分類，針對每一類配備專業的維護團隊，消耗大量人力和財力。

圖1 民航信息系統項目群構造圖

（二）民航信息系統目前仍然采用物理機部署方式，機房運維分散、硬件設備管理混亂，安全資源不能共享

由于民航信息系統種類繁多，不同的信息系統部署于不同的機房、由不同的人員進行維護，機房數量隨之增多，且往往分散在機場各處。不同的機房管理方法不同，導致服務器、交換機等設備管理混亂。服務器損壞，不能確定服務器所在地。網絡中斷，不能確定出故障的交換機。大量時間花費在定位問題，而不是處理問題上，工作效率低下。由于機房和服務器的分散，導致安全設備不共享，也就是說，針對某一套或幾套信息系統，就要配備一套防火墻、堡壘機、IPS、IDS 等安全設備，導致資源浪費。

（三）位于內核的工業控制系統是民航信息系統的關鍵和薄弱環節

工業控制系統因其生產連續性、設備復雜性、行業工藝差異性、產品組件強耦合性、網絡協議多樣性、制造技術壟斷性、人員信息安全意識淡薄等特性，導致容易損壞、維護困難、自主安全防護不足等弱點，作為工業控制系統的子類，民航業工業控制系統同樣具備這些弱點。除此之外，黑客可以通過外延的移動互聯系統和傳統B/S 信息系統逐步滲透到內核，間接對內核系統進行破壞。這一點不能忽視。

二、基于云平臺和可信認證技術的民航信息系統

（一）云平臺技術可以有效解決民航系統現存問題

1、云平臺將全部信息系統集中起來，配備專業的運維團隊，便于運維。

云平臺最基本的特征就是信息系統的集中性和運維團隊專業性。信息系統越集中，就越方便管理。對于管理工作，云平臺配備專業的網絡管理員、系統管理員、安全管理員。這些人員均為專職人員，專業程度高，可以有效及時處理病毒攻擊、網絡攻擊、火災、斷電等安全隱患，并回避因專業能力不足導致的無意識破壞。

2、云平臺提供公用而強大的安全防護能力，大大節省安全資源。

信息系統集中起來，安全防護手段就可以共享。資源共享可以節省財力，節省下來的財力，可以購買更多安全設備、配備更齊全的安全措施，這是良性循環，如圖2 所示。

3、云平臺針對工業控制系統定制安全方案，有效保護內核工業系統安全。

針對內核工業控制系統，可以定制工業控制系統安全方案。也就是說，私有云分為內核云和外延云，內核云針對工業控制系統定制安全方案包括工業防火墻、工業漏洞掃描設備等，外延云針對傳統B/S 信息系統和移動互聯網系統定制安全方案。內核云和外延云之間通過訪問控制設備進行隔離，如圖3 所示。

（二）將可信認證技術嵌入云平臺，大幅強化民航信息系統安全

圖2 云平臺安全資源共享圖

圖3 內核云外延云架構圖

信息安全是當前熱點，構建新一代民航信息系統服務框架，不能缺少信息安全內容。可信計算是信息安全的重要成分之一，具備安全效果好、可行性強、開發運維成本低等優點。將可信計算技術嵌入云平臺，即可大幅度強化民航信息系統安全。

可信計算大致可以分為服務級可信、設備級可信、用戶級可信、文件級可信、進程級可信等。按照運行模式，又可以分為靜態可信和動態可信。文件級可信和進程級可信涉及到信息系統、網絡設備、安全設備、操作系統、數據庫、中間件系統源代碼編寫。同時，不同的設備和軟件的源代碼實現語言不同，代碼的構建模式又不同，很難提供統一的可信認證接口，實現起來比較困難。設備級可信并未涉及信息系統、網絡設備、安全設備、操作系統、數據庫、中間件系統內部的源代碼編寫。大部分設備本身提供通用的可信認證接口，即支持CA 數字證書。即使不支持CA 數字證書，也可以通過堡壘機等外圍設備，為內層設備增加一層“可信認證殼”，間接實現可信認證。對于用戶級可信，為每名操作員配置CA 數字證書，無CA 數字證書或者CA 數字證書不合法，不允許訪問系統和設備。

靜態可信與動態可信的區別是，動態可信具備有效期屬性，超出有效期，可信失效。遇到突發情況，還可以臨時終止在有效期內的可信端。靜態可信永久有效。站在信息安全的角度，動態可信比靜態可信靈活，安全性高。

出于可行性考慮，采用設備級可信和用戶級可信。出于安全考慮，采用動態可信。最終方案定為基于動態的設備級可信和用戶級可信。

三、可信認證嵌入云平臺的嵌入點設計及實現方法

圖4 可信認證拓撲結構圖

將可信認證嵌入云平臺，需要嵌入點。嵌入點定在核心服務器區與非核心服務器區、網絡區、辦公區之間。也就是說核心服務器區屬于默認可信區，部署在該區域的設備默認可信。非核心服務器區、傳統網絡區、辦公區屬于待驗證區域，該區域需要提供可信憑證，不能提供憑證，不允許訪問。可信認證需要專門的可信憑證發放服務器和和可信驗證服務器。出于實現方便，這兩類服務器往往部署在一起，構成可信認證中心。我們以內核云為例，將可信認證中心、核心服務器區、非核心服務器區、網絡區、辦公區、操作員之間的認證拓撲結構展示如圖4 所示。

其中，各個區域的日常業務數據和運維數據均通過傳統網絡區進行傳輸，但是可信認證數據是通過專用的可信通信網傳遞。這個拓撲圖僅表示各個區域和人員之間的可信認證數據流向，不代表日常業務和日常運維數據流向。

發放可信憑證之前，先要對認證對象進行身份標識、防止冒用。對于設備，根據設備MAC 地址進行標識；對于人員，根據人員指紋、虹膜、身份證件等憑證進行標識。可信標識具備有效期屬性，根據經驗判斷，有效期定為3 至6 個月為宜。針對病毒入侵、網絡攻擊等突發情況，可以臨時終止可信標識，等突發情況得到處理后，啟用或者重新分配可信標識。這里提到的云平臺，指的私有云。私有云屬于專用云，比公有云安全性高。民航信息系統群規模龐大，安全性要求高，采用私有云更適宜。

四、結束語

云計算技術、大數據技術、可信計算技術、物聯網技術是“互聯網+”代表技術，“互聯網+”技術深化推進是大勢所趨。與其被動接受，不如主動出擊，搶在時代的前面，引領時代潮流，積極做先鋒。