基于等保2.0的空管網絡安全域的設計

溫寧睿

摘 要：從國家的等級保障制度的要求出發，分析空管網絡安全的現狀。;按照“一個中心，三重防護”。充分考慮空管網絡的特點以及等級保護的要求。設計適用于空管網絡的安全域建設技術方案，指定相關的網絡安全保護措施。

關鍵詞：空管;網絡安全;等保;安全域

1空管網絡現狀

對于現代空管來說，空中交通管制除了傳統的地空甚高頻通信外，還需要很多數據協助空中交通管制員進行指揮。這些數據涉及氣象、情報、導航、監視、通信等各個專業領域。隨著時代的發展，管制方式逐步過渡到大中心、集中管制的形式。所需的數據從原來的模擬信號逐步變為數字信號，傳輸網絡也逐漸由原來的ATM、幀中繼網絡變為主流的TCP/IP網絡。

一個管制員要正常的指揮飛機離不開管制桌上的自動化系統、內話系統、管制綜合信息系統、綜合信息顯示系統。離不開里面的語音數據、雷達數據、氣象數據、情報數據、流控信息等等。這些信息均由專門的網絡進行接入，由空管局自建或租用的運營商鏈路進行傳輸。這些網絡最早由空管局內不同的業務部門建立，按照系統進行劃分。每個系統形成一張獨立的網絡。如氣象系統組成氣象網、自動化系統組成自動化網絡、內話系統組成內話網絡。這些網絡以信息孤島的形式存在，除了給管制員使用，基本不予其它網絡進行數據交換。數據流的去向單一、可控，對于外部網絡的訪問需求以及帶來的相關安全問題沒有著重考慮。

隨著網絡應用的普及，管制技術也隨之升級。現在管制員通過綜合雷達航跡、放行時刻、航路氣象、各地機場流控數據來得到最優的管制策略這一切都由計算機網絡完成。原本分散部署的系統越來越趨于融合，不同系統之間的數據互引需求日漸增多。原本方向單一的數據流變得復雜和不可控。

面對數據互引和數據融合匯總的需求，各系統開始在系統網絡的邊界處部署簡易防火墻，但忽略了系統內部的防護需求。且在進行數據互引時，需求零散缺乏統籌考慮，數據出口并不統一。基于上述種種情況，目前空管網絡呈現網絡數量多、地理位置分散、網絡間邊界模糊、網絡內部防護能力弱、對外防護能力不足、缺乏網絡安全監控手段等問題。但是這些系統大多為影響飛行安全的重要系統，系統內部網絡復雜，各服務器、終端對操作系統各項服務的依賴性強，整改工作必須慎重，確保萬無一失。

2等保2.0

等級保護在網絡安全保障、網絡強國建設方面起著至關重要的作用。隨著信息技術的不斷發展，特別是云計算、互聯網等新技術的不斷涌現和應用，開展等級保護工作面臨著越來越多的新情況、新問題。為了適應新技術的發展，從2014年3月開始，由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作，等級保護進入了2.0時代。[1]

相比于等保1.0，2017年6月1日通過的《中華人民共和國網絡安全法》將等級保護制度法制化，使得等保2.0上升為國家的法律。等保2.0涵蓋了云計算、大數據、物聯網等新技術，具體對象包括大型互聯網企業、基礎網絡、重要信息系統、網站、大數據中心等等。每個系統的風險評估、安全監測、通報預警、數據防護、災難備份、應急處置等方方面面都納入到等級保護制度。

根據《民用航空網絡安全等級保護定級指南》[2]，空管系統的建議分級集中在一、二、三級。根據《信息安全技術 信息系統安全等級保護基本要求》，以等保三級為例，相關要求如下。[3]

2.1對機房的要求，包括機房物理位置、機房內設備位置、走線。機房外門禁、人員值守等。

2.2對環境的要求，包括防雷、防靜電、溫濕度、電池防護等等、

2.3對網絡安全的要求，包括結構安全、訪問控制、安全審計、邊界、入侵防范、惡意代碼防范、網絡設備防護、。

2.4對主機安全的要求，包括身份鑒別，訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制。

2.5對應用安全的要求，包括身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制。

2.6數據安全及備份恢復，包括數據完整性、數據保密性、備份和恢復。

2.7管理要求，包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

以上要求又細分很多子項每一項都由具體的要求，在就不一一贅述。對于空管網絡而言空管生產管理重要業務如自動轉報系統被定位三級、空管生產控制、指揮調度系統如空中交通管制自動化系統被定為三級。其余被定為一級和二級。因此空管網絡安全將圍繞等保一到三級的要求展開。

3空管安全域設計

等保2.0的技術標準《信息系統等級保護安全設計技術要求》規定定級系統安全保護環境由安全計算環境、安全區域邊界、安全通信網絡和安全管理中心[4]。參照“先定級、再分域，一個中心、三重防護”的設計思路。安全域主要滿足等保2.0對網絡、主機、應用、數據安全的要求。

根據空管網絡的現狀，安全域主要作用是解決各網絡數據交互的安全問題，明確網絡邊界，提高對外的防護能力，加強網絡安全監控。對外相當于為空管網絡劃一圈強有力的防護圈抵御外部的惡意攻擊，同時提供可信的安全的對外鏈接通道。對內相當于建立了一個各子網的可靠的、可控的、可信的公共交換區。各子網復用相關的安全設備，通過安全域進行合法的、安全的數據交換。為了實現這一目標，空管安全域包含安全核心區和一級安全管理中心兩部分。

安全核心區為所有安全子域（主要涵蓋當前局本部所有業務員子網）間的數據轉發提供安全防護與訪問控制，主要由分布在空管局三個主要辦公場所的6臺主備核心防火墻構成。根據“先定級、再分域”的思路。核心區由被劃分為若干安全區域，如核心生產區、輔助生產區、行政管理區、邊界接入區。空管各網絡、系統會根據不同的用途以及等保頂級劃如相應的區域。各安全域內執行統一的安全標準。如轉報系統、自動化系統將被劃入核心生產區，OA系統將被劃入行政管理區。不同系統之間的數據交互要求，以不同安全區域之間的交互規則為準進行。

核心防火墻上配置防病毒網關及病毒庫、IPS模塊及攻擊規則特征庫，支持多種單播、組播網絡協議，為各務系統提供集中的網絡訪問控制、IPS、防病毒等功能。

4一級安全管理中心設計

安全管理中心作為對網絡安全等級保護對象的安全策略及安全計算環境、安全區域邊界和安全通信網絡的安全機制實施統一管理的系統平臺，實現統一管理、統一監控、統一審計、綜合分析和協同防護。等保2.0規定第二級、第三級以上的定級系統安全保護環境需要設置安全管理中心。主要負責系統的安全運行維護管理，其邊界為安全管理中心自身區域的網絡邊界訪問控制設備。[5]

按照空管網絡、系統的定級情況，空管安全管理中心需滿足第三級安全管理中心要求。考慮到日后安全域將擴展至各省的空管分局、站網絡。空管安全管理中心將采用層級結構，先行在局本部建立一級安全管理中心，作為所有分局、站安全管理中心的核心。

第三級安全管理中心有系統管理、安全管理、審計管理、第三方插件/代理接口該協議、接口安全、身份鑒別、訪問控制、安全審計、剩余信息保護、資源控制、入侵防范、數據安全等方面的要求。

因此安全域的建設主要包括：集中日志收集與分析系統、網絡漏洞掃描系統、流量分析系統、運維管控系統、VPN系統、態勢感知系統。

4.1集中日志收集與分析

全網日志分級部署，統一管理。在安全管理中心部署一級日志審計系統，日志審計系統同步于安全管理中心的三級架構部署，相關信息逐級匯總，各級日志審計系統管理各自范圍內日志，同時接受上級管理。一

4.2網絡漏洞掃描

在一級安全管理中心部署漏洞掃描系統，以本地掃描或遠程掃描的方式，對重要的網絡設備、主機系統及相應的操作系統、應用系統等進行全面的漏洞掃描和安全評估。通過從不同角度對網絡進行掃描，可以發現網絡結構和配置方面的漏洞，以及各個設備和系統的各種端口分配、提供的服務、服務軟件版本等存在的安全弱點。系統提供詳盡的掃描分析報告和漏洞修補建議，幫助管理員實現對網絡，尤其是其中的重要服務器主機系統的安全加固，提升安全等級。

4.3流量分析

在一級安全管理中心部署流量分析系統，通過對各重設備進行流量鏡像分析，實現對全網流量的實時監控，及時發現網絡中存在的攻擊、異常訪問等信息。

4.4運維管控

在一級安全管理中心安全管理中心部署堡壘機，在系統運維人員和信息系統（網絡、主機、數據庫、應用等）之間搭建一個唯一的入口和統一的交互的界面，針對信息系統中關鍵軟硬件設備運維的行為進行管控及審計。通過將各設備、應用系統的管理接口，通過強制策略路由的方式，轉發至堡壘主機，從而實現對管理用戶的身份鑒別。通過“數字證書”認證方式作為“用戶名+口令”驗證身份的有效補充和增強，實現等級保護三級要求的雙因素身份認證。

4.5VPN

在一級安全管理中心部署VPN系統（支持國密算法），對移動辦公、遠程運維人員通過互聯網登錄到信息系統進行的業務交互操作或遠程管理操作進行保護，保證重要、敏感信息在互聯網上傳輸過程中的完整性和保密性。

4.6態勢感知系統

態勢感知系統采取分級部署、統一管理的模式，在安全管理中心部署一級和二級態勢感知系統，在重要的業務子網可自行建設部署三級態勢感知系統。

態勢感知系統，通過對全網IT基礎資產信息的安全漏洞、安全隱患和安全事件的關聯分析，智能預測可能發生的安全事件，集中提供安全事件預測報警功能，及早發現可能發生的高危安全事件，及早預防安全事件的發生。

態勢感知整個系統部署三部分包括：

（1）態勢感知核心平臺：主要包括應用服務器、基礎服務器;

（2）基礎探針：主要包括攻擊檢測探針（防火墻入侵模塊）、日志審計探針、系統漏洞掃描探針等;

（3）擴展探針：主要包括終端威脅防御審計探針（終端防病毒系統）、WEB攻擊檢測探針（WAF）、安全威脅檢測探針（僵木蠕、APT等）、行為審計探針（網絡審計系統、數據庫審計系統、流量分析系統、日志審計、數據泄露行為審計等）。

一級安全管理中心的各系統由邊界防火墻、服務器資源池、各安全系統組成，為空管網絡提供管理、監控、審計等服務。實現全網網絡安全信息統一收集、統一展示、實施監控分析。

5結語

從等保2.0的要求出發，通過建立安全核心交換區和一級安全管理中心。為空管各系統提供符合等保要求的數據交互通道，通過安全管理中心監控全網的安全信息，為各網絡系統提供統一的身份鑒別，訪問控制、安全審計、入侵防范等服務。各系統通過復用安全域的設備可以避免在網絡安全方面進行重復投資，達到網絡安全和系統效益之間的平衡。統一的安全域管理也將改變空管網絡安全各自為政的局面，安全域由網絡安全部門統一管理，保證數據交互和網絡接入有申請、有審批，可追蹤。各子網之間邊界清晰，網絡整體變得更加可控。從而達到等保2.0的要求。

參考文獻：

[1]夏冰.網絡安全法和網絡安全等級保護2.0[M].2017，77.

[2] MH/T 0069—2018.民用航空網絡安全等級保護定級指南[S].2018，5.

[3]GB/T 22239-2008.信息安全技術信息系統安全等級保護基本要求[S].2008，15.

[4]GB/T 25070-2010 信息系統等級保護安全設計技術要求[S].2010，2.

[5]GB/T 36958-2018 信息安全技術網絡安全等級保護安全管理中心技術要求[S].2018，2.

（中國民用航空中南地區空中交通管理局，廣東 廣州 510406）