淺析機場信息網絡安全及管理措施

◆于 悅

（湖北機場集團有限公司 湖北 432202）

淺析機場信息網絡安全及管理措施

◆于 悅

（湖北機場集團有限公司 湖北 432202）

傳統意義上機場是滿足公共運輸需求的交通集散地，人流量密集，一旦出現信息網絡安全問題，將影響每天數萬甚至數十萬人次的出行。然而信息網絡安全防范是一個復雜的問題，涉及到計算機技術、應用與管理多個方面，因此需要不斷地提高機場相關人員的安全意識，構建并完善信息網絡安全管理體系和技術防控體系，應用新技術創新管理模式，不斷提高信息網絡安全管理水平。

信息網絡安全；安全問題；機場網絡防護；管理措施

0 引言

在機場航站樓內，清晰的航顯大屏、精準的航班信息使旅客對自己的行程了如指掌，出行更加便捷。隨著機場信息化規模的日益擴大和建設速度的不斷提高, 信息系統為機場運營、航班調度、旅客服務帶來了便捷，讓創新生活方式和消費模式煥發勃勃生機的同時，信息網絡安全管理也成為了焦點話題。機場信息系統的組成越復雜、規模越大,就越能凸顯網絡系統安全防范的重要性和關鍵性。在國內外信息網絡安全形勢日趨嚴峻的情況下，機場的信息網絡安全管理問題就顯得尤為突出。

本文通過闡述機場信息網絡安全的概念及特征，并針對機場信息網絡安全面臨的主要問題及相應的防范措施進行了分析與思考，提出了相應有效的防范管理措施。希望機場的網絡能夠更加安全穩定的運行。

1 信息網絡安全的概念

信息網絡安全根據計算機的使用者不同而具有兩層含義。一是從普通的使用者角度講，信息網絡安全是指在網絡傳輸中保障個人及商業信息的機密性、完整性和真實性，避免他人用非正常手段截取、竊取、破壞、篡改信息，以保障個人隱私和個人利益不受侵害。二是從網絡運營的角度講，信息網絡安全是保護和控制本地網絡信息的訪問、讀寫等操作，避免出現病毒、非法存取、拒絕服務和非法占用、控制網絡資源，防御黑客攻擊。

2 常見信息網絡安全問題

（1）物理攻擊：主要是指通過分析或調換硬件設備來竊取密碼和加密算法。物理攻擊比較難以防范，因為攻擊者往往是來自能夠接觸到物理設備的用戶。

（2）服務拒絕攻擊：通過使被攻擊對象（通常是服務器）的系統關鍵資源過載。從而使目標服務器崩潰或癱瘓，以致停止部分或全部服務。

（3）非授權訪問：對網絡設備及信息資源進行非正常使用，如非法進行讀、寫或執行等。

（4）掃描攻擊：在連續的非授權訪問嘗試過程中，攻擊者為了獲得網絡內部的資源信息及網絡周圍的信息，通常使用SATAN掃描、端口掃描個IP半途掃描方式。由于互聯網目前廣泛使用的TCP/IP協議族中，各個層次不同的協議均存在一定程度的缺陷，可以利用操作系統和網絡的漏洞進行攻擊。

（5）遠程控制：通過操作系統本身的漏洞或安裝木馬客戶端軟件直接對用戶的及其進行控制的攻擊，主要通過口令猜測、特洛伊木馬、緩沖區溢出等方式。

（6）身份竊取：指用戶的身份或服務器的身份被他人非法截取，典型的有網絡釣魚、DNS轉換、MAC地址轉換、IP假冒技術等。

（7）假消息攻擊：通過在網絡中發送目標配置不正確的消息，主要包括DNS高速緩存污染、偽造電子郵件等。

（8）竊聽：攻擊者通過監聽網絡數據獲得敏感信息，如通過抓包軟件等。

（9）重傳：攻擊者實現獲得部分或全部信息，然后將此信息重新發送給接受者。攻擊者一般通過協議解碼方式，如FTUUser等，完成重傳。解碼后的協議信息可表明期望的活動，然后重新發送出去。

（10）偽造和篡改：攻擊者對合法用戶之間的通信信息進行修改、刪除、插入，再發送給接收者。

3 機場網絡安全防護解決方案

3.1 優化機場網絡現狀

機場網絡涉及到很多方面，例如航站樓、辦公樓、貨站、航空公司、空管、油料等。因此，建立一個機場信息網絡就需要考慮到各個方面，需要將各個相關網絡統籌兼顧，才能更好地實現機場信息信息網絡安全的管理。但是，機場內的信息系統很多，如果每個信息系統都要獨立建立自己的網絡系統，這樣勢必造成重復、交叉和混亂，更不便于管理。因此必須統一規劃并建立集成網絡。從信息網絡安全角度考慮，集成網絡是航站樓內所有信息系統甚至整個場區范圍內信息集成的公用網絡平臺。

3.2 網絡邊緣安全防護

實現全網的整體安全架構設計，包括在所有網絡出口處部署防火墻、IPS設備，對來自外網的訪問進行訪問控制，對內網、外網服務器實現統一的安全防護，建立一個完整的區域防御體系。并部署SSL VPN，實現讓外部相關用戶終端安全接入到機場網絡。

3.3 內網安全防護

部署用戶認證服務器與安全策略服務器，以及病毒補丁、系統補丁服務器等安全設備，保障生產及辦公網的應用安全。

3.4 實現高效安全管理

通過建立一套安全事件統一管理系統能夠對全網海量的安全事件和日志的集中收集并予以統一分析，兼容異構網絡中多廠商的各種設備，對收集數據高度聚合存儲及歸一化處理，實施監控全網安全狀況，同時能根據不同用戶需求提供豐富的自動報告，提供具有說服力的網絡安全狀況與政策符合性的審計報告，系統自動執行以上收集、監控、告警、報告、歸檔等所有任務，使網絡安全管理人員脫離繁瑣的手工管理工作，極大提高效率，能夠集中精力用于更有價值的活動，保障網絡安全。

4 提升機場信息網絡管理措施

4.1 因地制宜構建管理體系

為提高信息網絡安全管理水平，應充分對照國家信息信息網絡安全標準，結合機場運行實際工作特點，因地制宜地構建了適合機場的信息網絡安全管理體系，提高了信息網絡安全管理水平和IT風險控制能力。此外，還應從多角度入手，開展安全風險評估，包括基于系統架構的配置掃描、基于信息資產價值的風險評估，以及基于管理過程的監察管理等，從資產、管理、技術等方面對安全風險隱患進行了全面排查，確保隱患及時消除，不留死角。

4.2 打造多重技術防控體系

有效的技術防控是保證管理措施到位的重要“基石”。為此，應極探索信息網絡安全技術的實際應用，提高信息網絡安全保障能力，確保機場信息系統安全運行萬無一失。并不斷完善技術防控體系，面對復雜的網絡系統與業務系統，在網絡之間進行邏輯隔離，通過用戶訪問控制、身份認證、安全監控、運維審計等技術措施予以安全防護，在網絡的關鍵節點上構建了防火墻、防病毒及入侵檢測等信息網絡安全系統。多重技術體系的構建，既能“防內”，又能“防外”，使惡意用戶“進不來、拿不走、看不懂、改不了、賴不掉”，全面保障信息系統安全平穩運行。此外，還應通過網管、運維監控平臺等系統的配合，對異常流量及系統安全態勢進行實時監控，以應對機場面臨的接口眾多、用戶復雜、流程嚴密、業務連續要求極高等嚴苛考驗。

4.3 促進創新技術應用

務必高度重視信息化技術在日常運行工作中的應用，積極探索將信息網絡安全新技術應用到生產運行中的可行性及落地方法。努力搭建基于網絡縱深防御體系的機場信息跨網安全交換、數據保護和信息網絡安全綜合監測平臺，通過新技術的應用，筑牢多重安全保障防線，提高機場生產業務系統的邊界安全防護、數據安全交換、異常流量監測、安全態勢管控等方面的能力，持續提高運營水平、管理效率、服務能力。

5 結束語

對機場網絡安全不能存在僥幸心理，應當居安思危。然而，當前廣泛存在重應用、輕安全的問題，以及法律意識淡薄的普遍現象。我們應該清楚地認識到，網絡出現安全問題是無法避免的。需要我們永不懈怠，及時解決出現的安全問題，同時高度重視并以預防為主。同時應采用先進的技術去建立嚴密的安全防范體系，加強防范意識，構造全方位的防范策略，為機場網絡正常的運行保駕護航，讓機場網絡更加健康有序的發展。

[1]程慶梅，徐雪鵬.網絡安全高級工程師[M].機械工業出版社，2012.

[2]劉建偉，王育民.網絡安全—技術與實踐[M].清華大學出版社，2017.

[3]梁亞聲，汪永益等.計算機網絡安全教程[M].機械工業出版社，2016.