淺談民航通信網的安全建設

章迺琦

【摘 要】隨著一帶一路政策促進下現代科學技術，各個學科領域都在快速成長，現如今中國民航業發展迅速，民航通信網信息管理也面臨著新的挑戰，完善和建設民航通信網的安全管理體系勢在必行。

【關鍵詞】民航通信網;安全;建設

在現代信息技術的支持下，新的民航通信網系統及網絡業務得以建立，新采用的傳輸系統運行穩定性良好，能夠大大提升民航通信網對業務的承載能力，并且管理及業務建立的操作更為便捷，但就目前來看其不足之處在于界面設計與人性化方面有待提升。然而在民航通信網快速發展的同時還面臨一項更加具有挑戰的任務，就是對民航通信網安全通信和管理的任務。目前我們利用結構優化完善系統功能，增添安全設備保障網絡安全，為民航通信網及業務的有序運行提供可靠支持。

首先構建民航通信網絡網絡安全技術防護體系。所謂的網絡安全包含網絡設備安全、網絡信息安全、網絡軟件安全。就新民航通信網絡安全系統來看，系統設計是在保證業務運行可靠性前提，增進網絡系統與安全設備之間的聯系。安全技術防護體系組成內容主要包括：

（1）區域邊界安全保護。

安全訪問控制;網絡惡意代碼防范，防范網絡層面的惡意代碼，對進出的網絡數據流進行病毒、惡意代碼掃描和過濾處理;一體化的綜合安全網關，邊界防病毒、流量管理、抗攻擊等多重安全防護策略，實現網絡邊界綜合防范;邊界安全網關，網絡基礎邊界入侵防護;網絡攻擊檢測。

（2）通信傳輸安全保護。

鏈路冗余和設備冗余;網絡審計，分析網絡中的數據包、流量信息，通過對相關協議進行分析，對網絡通信行為和內容進行記錄和統計。

（3）終端安全管理。

終端安全管理系統，主要是對網絡運維人員的桌面終端系統的集中管理和維護，有效保護用戶計算機系統安全和信息數據安全。防病毒軟件，在運維分析管理系統服務器、運維終端的主機上安裝防病毒軟件，在主機上有效查殺病毒、惡意腳本、木馬、蠕蟲等惡意代碼;網絡身份鑒別，建立PKI/CA數字證書認證系統，為網絡內用戶、設備頒發數字證書實現用戶、網絡設備身份的統一描述和統一管理，以數字證書來表明相應人員、網絡設備在網絡中身份的唯一性。

（4）安全管理中心

安全管理系統，安全管理中心負責進行全網的集中安全事件管理、風險管理和集中日志審計，實現針對計算環境、區域邊界和通信網絡的安全防護;安全設備網管，針對部署范圍廣、數量多的網絡安全設備，通過安全設備網管系統，給各級節點分配相應的管理范圍和權限，實現分級管理。同時，對網絡安全設備的升級、網絡安全設備工作狀態監管、網絡安全設備策略進行管理;運維堡壘主機，核心設備的管理員用戶提供集中登錄認證（即基于數字證書強身份認證）、權限控制和操作監控。被管理資源包括服務器、數據庫、交換機、路由器、安全網關設備及其他安全設備等;等級保護支撐系統，完成對網絡設備、服務器等設備的漏洞掃描和報告，提供安全改進建議措施等功能，幫助運維人員控制可能發生的安全事件。依據等級保護標準對系統進行評估，并能生成等級保護工作檢查報表，最大可能的消除安全隱患。

其次通過優化及完善新民航通信網絡系統及應用確保網絡安全。從前臺設備來看，民航通信網絡系統的應用設計要以網絡系統的實際應用為重點，為促進安全防范的有效落實，首先要對民航通信網絡業務的實際情況進行實時監控，為民航運行通信安全提供有利條件。在民航通信網絡業務網絡系統設計中，再要結合實際功能需求科學合理設計配置模塊、監控模塊、日志模塊，以便從業務配置到實際運行再到后期故障排查整個流程做到有依可循，同時實現這一切還需要強大后臺設備支持。

例如，現階段我們在民航通信網中部署了網神SecAV 3600防毒墻和網御防火墻，采用雙路并聯，協同工作的狀態串聯至網絡設備間。

網神SecAV 3600防毒墻采用串接方式接入網絡，防毒墻利用多核并行處理、重構網卡驅動、TCP/IP協議棧技術，保證系統的高效過濾性能。防毒墻全面支持IPv4和IPv6網絡環境。采用多核并行處理、重構網卡驅動、TCP/IP協議棧等技術，保證系統的高效過濾性能;支持多路監控，可同時支持INLINE/ONLINE模式的監控。支持非端口定義的協議識別，通訊服務端無論采用什么端口，都能正確識別HTTP/FTP/SMTP/POP3/IMAP/SSH/SSL/SMB 等多種應用層協議。針對網絡傳播病毒進行全面高效的專項過濾，精確識別郵件病毒、文件傳輸病毒、網頁病毒等。采用入侵防御（IPS）技術、IP/端口/數據包封鎖技術，優化了蠕蟲識別機制，不僅可監測已知蠕蟲，還可以在未知蠕蟲爆發時進行預警。內置數千種木馬通訊協議識別特征，可監控多數常見的木馬通訊，并且，識別庫不斷再升級，以識別新型木馬，包括手機木馬。同時內置數百種針對各種瀏覽器的溢出攻擊特征，防范網絡釣魚攻擊和瀏覽器溢出攻擊。對常用的網絡服務如：SMTP/POP3/IMAP/FTP/HTTP/SSH/TELNET/SMB等進行口令探測的活動均可被監測，并可觸發相應的阻斷動作，防止口令探測活動的持續進行。并預留接口進行二次開發，對用戶專有的網絡服務實現口令探測監控。通過多種措施保障自身安全工作：通過專有安全操作系統避免漏洞攻擊;通過自動抑制網絡流量，防止DoS攻擊造成拒絕服務和性能下降;通過加密和認證的安全管理防止管理失控。

網御防火墻則利用防火墻策略對數據流進行統一控制，方便用戶配置和管理。通過配置防火墻策略能夠對經過設備的數據流進行有效的控制和管理。當設備收到數據報文時，把該報文的入接口、源地址、目的地址、協議、服務、用戶、應用等信息和用戶配置的策略匹配，決定是否建立這條數據流，并且把這條流和匹配的策略關聯起來，從而確定如何處理該流的后續報文，實現允許、丟棄，決定哪些用戶和數據能進出，以及它們進出的時間和地點。防火墻策略按頁面順序從上往下的原則，只對通過設備的數據包進行處理，對于設備本身發出的數據包不進行限制。對于策略是否生效，可以通過查看策略的命中次數來觀察，如果流量匹配了策略，對應策略的命中次數會+1。

最后要提的是所有網絡安全保障工作中最難也是最容易出現安全問題的部分，就是網絡運行及維護工作的參與人員對網絡安全的意識。通過多年的工作經驗及社會上采集到的實際案例分析后，我得出為保障網絡安全運行所需以下幾點。

（1）由管理層在專業小組人員協助下制定網絡信息安全政策，管理層應制定一套清晰的指導原則，明確表明其對網絡信息安全及在單位內部貫徹實施次政策的支持和承諾。

（2）建立網絡信息安全基礎架構，通過建立專業安全小組對網絡安全政策進行實施與監測。對安全責任進行分配，并協助單位內部安全的實施，對外要實行業務跟蹤，對故障要求申告標準，及時將不安全事件通報單位負責人。

（3）對所有參與運維工作的人員進行安全培訓，通過單位內部安全管理規定加強安全意識，通過國家級別安全運維管理規則加強單位整體安全意識。

總而言之，民航通信網系統的安全建設，要全面把握民航通信業務發展實際情況，對系統結構進行優化設計，增添安全設備保障網絡安全，明確系統前端設備與系統模塊功能，通過監控模塊業務系統的穩定高效運行，并對人力物力資源進行優化配置，確保設備安全運行的同時加強運維人員的綜合安全意識才是保障民航通信網安全運行的重中之重。從而為民航發展提供安全保障。

【參考文獻】

1.《民航安全產品維護手冊》

2.《網神secVA3600防毒墻用戶手冊》