管制綜合信息系統多節點自動重啟案例分析

吳多榮

摘? 要：近年來，隨著科技的迅猛發展，電子化管制工作已完全替代原有的紙質辦公，管制支持系統FIPS、TOMS和CDM經過不斷的更新發展已經升級為管制綜合信息系統，除了原有的3個系統外還新增了飛行計劃集中處理系統等多個管制運行支持系統。該系統功能強大，具有良好的人機界面，在管制工作中的作用越來越重要。同時對值班員人的故障排除、應急處置能力提出了更嚴峻的挑戰，因此有必要對管制綜合信息系統的典型案例進行分析研究。

關鍵詞：管制綜合信息系統? 網絡安全? 病毒? FIPS

中圖分類號：TP315? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1672-3791（2019）03（a）-0223-02

隨著航空運輸量持續快速增長，機場、空管等配套基礎設施也在不斷的建設和完善，先進的通信、導航、監視設備也被逐步廣泛應用。管制綜合信息系統是近年來空管局開發的新建系統，其采用刀框服務器和虛擬化網絡技術將機場協同決策系統（Collaborative Decision Making，簡稱CDM）、航班信息處理系統（Flight Information Process System，簡稱FIPS）、塔臺運行管理系統（Tower Operation Management System，簡稱TOMS）等搭建在共用的硬件平臺。管制綜合信息系統的網絡規模越來越大，管制工作對網絡技術依賴日益增強，管制綜合信息系統的網絡信息的共享性和開放性給整個空管保障工作帶來方便的同時，也存在著非常大的安全隱患。因此空管網絡安全迎來了新的挑戰，確保空管網絡信息安全，保證空管網絡信息系統的連續、可靠、正常運行才能保障民航航班安全正常飛行。該文將以海口本地情況為例，對管制綜合信息系統因網絡安全問題導致多臺終端自動重啟的典型故障案例進行分析。

1? 管制綜合信息系統簡介

管制綜合信息系統包含FIPS系統、TOMS系統和CDM系統等子系統，三者共享硬件核心資源以及部分軟件監控資源。

FIPS系統主要為管制員提供實時的航班動態信息操作平臺，可提供更完善、自動化程度更高的電報及航班信息處理、統計等功能。TOMS系統以電子進程單為基礎，集成自動化、場監、航班信息、氣象等數據，實現全新數字化塔臺管制模式，對機場范圍航班從申請放行、地面滑行、跑道起飛到管制移交的航班飛行動態進行全過程管理。CDM系統是一種基于資源共享和信息交互的多主體（空管、機場、航空公司等） 聯合協作運行的應用平臺，用于建立公平、透明、高效的運行環境。其中TOMS系統和CDM系統以FIPS系統作為基礎數據源，同步航班動態信息。

與海口管制綜合信息系統存在互聯的有自動轉報系統、自動化系統、廣州CDM系統、外聯CDM系統、機坪移交等多套系統，系統之間雖然有部署天融信防火墻進行隔離，但仍然存在網絡信息安全等隱患問題。

2? 典型案例分析

在近幾年的該系統運行過程中，運行狀態穩定可靠，但也出現了一些典型問題，現對具有代表性的故障進行案例分析。

2.1 異常事件現象

2018年11月30日至2018年12月15日期間，海口管制綜合信息系統多臺終端先后出現了自動重啟，異常終端涉及塔臺、進近、區管等多個管制室，管制員觀察到終端重啟前彈出“mssecsvc.exe包含Generic.adm特洛伊，已成功刪除”和“關鍵系統進程lsass.exe失敗，現在必須重啟計算機”等信息窗口。

2.2 異常事件影響

管制綜合信息系統前臺終端在重啟期間，管制員無法使用前臺終端，無法對飛行動態進行查看與更改，航班量大時對管制工作影響較大，但未造成管制方式的改變。

2.3 異常事件分析

（1）經常查詢自動重啟的終端的Windows日志分析，發現異常的終端均有“關鍵系統進程C：＼windows＼system32＼lsass.exe失敗，狀態代碼是c0000374。現在必須重新啟動計算機”和“文件C：＼windows＼mssecsvc.exe包含Generic.adm特洛伊，未確定的清理錯誤，OAS拒絕訪問并繼續”等錯誤報告。

（2）經查詢本地McAfee服務器日志記錄分析，發現之前多個終端出現mssecsvc.exe惡意軟件，且已刪除的記錄。如圖1所示。

根據以上兩點信息，基本確認管制綜合信息系統感染了“Wannacry永恒之藍”病毒，其利用此前披露的Windows SMB服務漏洞（對應微軟漏洞公告：MS17-010）攻擊手段，向終端用戶進行滲透傳播。

2.4 異常事件處理經過

（1）在基本確認管制綜合信息系統感染了永恒之藍病毒后，通報中南網絡中心獲取技術支持。通過中南網絡中心下發的最新的永恒之藍補丁，對管制綜合信息系統終端主機逐臺打補丁和全盤掃描查殺，并且手動關閉了445端口。

（2）協調管制運行部禁用了塔臺、進近及站調終端USB接口，僅留背面左邊兩個接口作為鼠標鍵盤使用，切斷了因違規使用USB接口導致傳播病毒的可能性。

（3）為了徹底清除隱患，協調廣州光天科技有限公司工程師上門部署一臺旁路的“深度威脅發現設備”進行病毒檢測。發現管制綜合信息系統多臺終端和Vcenter等虛擬機仍然有病毒感染及高度危險的網絡訪問事件，檢測結果如圖2所示。

值班人員在中南網絡中心工程師及廣州光天科技有限公司工程師協助下對異常的虛擬機的操作系統進行了相應的操作系統升級和打補丁，并安裝了Mcafee防病毒軟件并全盤殺毒。

（4）“深度威脅發現設備”上線2d后檢測到33.11和33.12兩臺機坪移交系統終端存在高度危險的網絡訪問事件，協調廣州網絡中心對異常的終端打補丁，并且在管綜和機坪移交的防火墻上均修改了策略配置和關閉空閑端口。

通過采取以上處理措施后，有效地解決了感染病毒的問題。并且經過一段時間的觀察，管制綜合信息系統未發現有威脅事件的存在，如圖3所示。

2.5 異常事件經驗總結

針對此次案例無論是從業務能力和管理上還是設備配置問題上有都一定的經驗教訓。

（1）異常事件的處理過程中暴露了值班人員業務能力存在短板的情況，導致問題的處理不夠及時有效，應加強人員業務能力培訓，提高業務水平。

（2）管理上，應繼續加強落實管制綜合信息系統的管理主體責任，持續對風險進行管控，進一步完善設備巡視維護內容，對于設備存在的問題做到早發現早處理，確保系統運行平穩。

（3）管制綜合信息系統作為信息安全等級保護三級系統，在等保測評中發現的網絡安全問題應加快推進整改工作，進一步穩固系統保障防護能力。

3? 結語

隨著民航事業的飛速發展，空管系統的設備會越來越多，設備結構越來越復雜，管制綜合信息系統將傳統的多套系統集成一體，節省了大量的硬件資源和人工成本，是空管設備不斷發展的體現，同時對運維人員的業務水平要求也越來越高，運維人員應加強自身業務能力的提升，面對設備問題時能及時啟動應急處置措施，有效解決問題，將因設備問題對管制工作的影響降到最低，從而為管制提供可靠穩定的服務。

參考文獻

[1] 張遒哲.淺談民航管制綜合信息系統的運維管理[J].信息與電腦，2016（1）：191-192.

[2] 馮秋霜，孫雨蘭.淺析計算機網絡安全與防范技術[J].黑龍江冶金，2009（1）：51-52.

[3] 王宏偉.網絡安全威脅與對策[J].科技創業月刊，2006（5）：179-180.