IDS在空管CDM系統中的應用分析

張浚川

摘 要 本文通過介紹入侵檢測系統，對民航空管CDM系統的安全分析，提出基于啟明星辰“天闐”入侵檢測系統的民航空管CDM系統安全方案，為設備的網絡安全保障提供新的思路。

【關鍵詞】CDM 網絡安全 防火墻 入侵檢測 天闐

1 引言

隨著計算機系統在民用航空領域的廣泛使用，設備的網絡安全也面臨越來越多挑戰。隨著網絡攻擊手段的復雜化、多樣化，單純依靠防火墻等被動防御手段已難以勝任安全需要，入侵檢測技術是繼防火墻等傳統安全保護后的新一代網絡安全保障技術。本文通過對民航空管CDM系統安全分析，提出通過加入啟明星辰“天闐”入侵檢測系統的民航空管CDM系統安全方案，為設備的網絡安全保障提供新的思路。

2 IDS介紹

IDS即“入侵檢測系統”。它以數據挖掘為基礎，按照一定的安全策略，對網絡、系統的運行狀況進行監視，通過分析網絡行為不斷建立和完善針對性的規律庫，盡可能識別各種攻擊，以保證網絡系統資源的安全。

2.1 IDS與防火墻的區別與聯系

防火墻是設置在被保護網絡（本地網絡）和外部網絡之間的一道防御系統，它可以通過檢測、限制穿越防火墻的數據流，盡可能的對外屏蔽內部網絡信息、結構和狀態。而IDS是對入侵行為的發覺，通過從計算機網絡收集信息并進行分析，從而發現網絡或系統中違反安全策略的行為和被攻擊的跡象。

通俗來講，防火墻是一幢大樓的門，它根據條件限制人員出入，人員一旦通過大門便不受任何限制；而IDS是大樓里的監視預警系統，通過對進入大樓人員進行實時行為監控和分析，發現人員的不安全行為可立即做出反應。因此，IDS是對防火墻弱點的補充，是繼防火墻之后的又一道防線。同時，IDS可以及時發現一些防火墻沒有發現的入侵行為，總結出入侵行為的規律，而防火墻就可以將這些規律加入規則之中，提高保護力度。

2.2 啟明星辰“天闐”IDS介紹

“天闐”是啟明星辰新一代IDS產品，對于各種病毒、木馬、網絡攻擊均有良好的檢測效果。它可以事件進行關聯分析，識別重要報警提醒用戶。其特有的報表對比分析的方法，讓使用者對近期的安全狀況一目了然，不再需要在海量日志數據中進行人工分析，減輕了工作量和難度。

3 民航云南空管分局CDM系統現狀分析

CDM（Airport Collaborative Decision Making機場協同決策機制），主要使空管、航空公司和機場三者利用互聯的計算機平臺進行信息交換和數據共享，通過合理的決策工具提高空中交通流量管理工作的效率，應對預計或突發的流量擁堵和沖突事件的一種協商解決機制。

民航云南空管分局使用的是北京民航數據通信公司（以下簡稱“數據公司”）的CDM系統，該系統運行穩定，邏輯高效，界面簡潔，維護方便，但在安全性上略有不足。

（1）CDM系統的服務器及終端均為Windows操作系統，U盤等外部設備接口未做限制，感染病毒及木馬的概率較高，即使是針對普通家用電腦的病毒和木馬也可能使其感染，甚至崩潰.

（2）CDM系統結構雖然簡單，且為內部專用網絡，與互聯網隔離，但是其設備與空管、機場多個外部系統相連，同時又為機場及航空公司等其他單位提供終端服務，風險節點多且分散，安全威脅較大。

（3）CDM系統僅使用一臺防火墻作安全隔離，防護薄弱，一旦被外部入侵者突破即失去防御能力，而防火墻本身又需要復雜的配置才能發揮最大效用。

（4）該系統與電子進程單系統直接相連，中間并無邊界隔離措施，倘若電子進程單系統出現安全威脅，CDM也將很大概率受到牽連。

4 “天闐”IDS在民航CDM系統中的應用分析

4.1 “天闐”IDS的部署

如圖1所示，在民航云南空管分局的CDM系統拓撲中，成都CDM系統、AIMS系統引接數據以及機場和航空公司等外部用戶均是通過路由器接入的，只有一臺華為Secoway USG2000防火墻作為安全邊界隔離。由于此網絡規模較小，結構相對扁平，只需要在防火墻后端交換機上部署一臺IDS，再在CDM的監控終端上安裝相關軟件和數據庫，由CDM監控終端兼職IDS服務器。這樣，由防火墻負責限制非法訪問，屏蔽內部信息，由IDS負責實時檢測分析入侵行為，兩者相互合作相互補充，即可有效提高安全等級，如圖2所示。

4.2 “天闐”IDS的使用

作為工作人員，我們可以在任意內部網絡的計算機使用瀏覽器登錄訪問“天闐”入侵檢測管理系統。

可以在“今日狀態”頁面中查看最近24小時的病毒事件及網絡威脅狀況，并提供最近30天內安全事件的日均發生次數，便于判斷系統當下整體安全水平，如圖3所示。

由于CDM系統專網專用，網絡安全事件并不會像互聯網中那樣頻繁。這時候“日志報表”功能就顯得尤為重要了。它可以對報表的類型、周期或非周期時間段、文件格式等進行選擇，然后設置導出任務讓其自動執行。這樣就方便系統維護人員在一個較長時間段內對系統的網絡安全進行宏觀把控，如圖4所示。

“天闐”IDS除了自身可對一些威脅進行防御以外，還能通過SNMP TRAP的方式為第三方提供數據，并且能和防火墻聯動，共同防御網絡攻擊。對于一些突發的、緊急且危險的安全威脅，系統可通過郵件（需要外網）或短信的方式給維護人員發送消息，方便及時處理。

“天闐”IDS功能還具備流量、升級、日志、組件等多個管理功能，可以便捷有效的對網絡及IDS自身進行管控。

5 IDS的部署展望

啟明星辰“天闐”IDS具備從百兆到超萬兆的產品線，即便是在如CDM一樣的全國性大規模分布式部署環境也能從容應對。“天闐”IDS支持組織化管理，若是由數據公司統一升級安裝，則管理更加方便高效：整個CDM系統內的“天闐”IDS設備可通過“升級管理”功能向全系統IDS逐級分發升級數據包，自動完成升級；同時其特有的網絡入侵定位系統，可以將看似毫無聯系的實時報警信息通過地理信息、網絡結構和IP定位結合顯示在圖形化的界面上，為從源頭上消除網絡威脅提供依據；另外，對于CDM系統安全性的宏觀把握也有利于找出系統本身安全性的不足，對本系統乃至其他系統安全性的提升也有很大幫助。

參考文獻

[1]北京啟明星辰信息安全技術有限公司.天闐入侵檢測與管理系統（內部資料）.

[2]付玉珍.計算機網絡入侵檢測技術研究進展[J].茂名學院學報，2007（12）：120-122.

[3]耿麥香.網絡入侵檢測技術研究綜述[J].網絡安全技術與應用，2004（06）：28-30.