空管自動化系統(tǒng)等保測評實踐與安全防護(hù)技術(shù)研究*

郭金亮

（中國民用航空珠海進(jìn)近管制中心，廣東 珠海 519015）

0 引 言

近年來，在全球范圍內(nèi)爆發(fā)的信息和數(shù)據(jù)泄露、網(wǎng)絡(luò)監(jiān)聽以及針對交通、能源、醫(yī)療等重要公共基礎(chǔ)服務(wù)行業(yè)的勒索病毒攻擊事件不斷提醒我們，網(wǎng)絡(luò)和信息安全領(lǐng)域面臨越來越大的挑戰(zhàn)。“沒有網(wǎng)絡(luò)安全就沒有國家安全”，習(xí)近平總書記指出了網(wǎng)絡(luò)安全的重要性。《中華人民共和國網(wǎng)絡(luò)安全法》明確規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護(hù)制度，是從國家層面對等級保護(hù)工作的法律認(rèn)可。

空管自動化系統(tǒng)是空管系統(tǒng)對空指揮的核心調(diào)度系統(tǒng)，隨著信息技術(shù)的發(fā)展，其信息化程度越來越高。目前，國內(nèi)各空管單位針對空管自動化系統(tǒng)的等保測評建設(shè)工作正在逐步開展，但整體進(jìn)度較慢。本文主要結(jié)合等級保護(hù)測評的相關(guān)標(biāo)準(zhǔn)和規(guī)范要求，對空管自動化系統(tǒng)等級保護(hù)測評規(guī)劃與建設(shè)、整改實施等過程中采用的安全防護(hù)技術(shù)進(jìn)行研究。

1 等級保護(hù)的基本要求與定級

目前，國家和民航系統(tǒng)針對信息系統(tǒng)的等級保護(hù)出臺了相應(yīng)的法規(guī)和標(biāo)準(zhǔn)。

1.1 等級保護(hù)的相關(guān)標(biāo)準(zhǔn)

經(jīng)多次修改完善，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會于2019年12月1日頒布實施GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》[1]、GB/T 25070—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》[2]、GB/T 28448—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》[3]、GB/T 22240—2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》[4]4個標(biāo)準(zhǔn)文件[5]。

為全面落實民航系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)制度，民航局依據(jù)國家網(wǎng)絡(luò)安全相關(guān)文件，先后出臺了MH/T 0051—2015《民用航空信息系統(tǒng)安全等級保護(hù)實施指南》[6]、MH/T 0069—2018《民用航空網(wǎng)絡(luò)安全等級保護(hù)定級指南》[7]、MH/T 0076—2020《民用航空網(wǎng)絡(luò)安全等級保護(hù)基本要求》[8]3個行業(yè)標(biāo)準(zhǔn)。

1.2 空管自動化系統(tǒng)等保定級和基本要求

根據(jù)MH/T 0069—2018《民用航空網(wǎng)絡(luò)安全等級保護(hù)定級指南》，空管自動化系統(tǒng)被定為三級信息系統(tǒng)，即該類信息系統(tǒng)受到破壞后，會對國家安全、社會秩序造成損害，對公共利益造成嚴(yán)重?fù)p害，對公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重的損害。

GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》和MH/T 0076—2020《民用航空網(wǎng)絡(luò)安全等級保護(hù)基本要求》對三級信息系統(tǒng)的安全通用要求主要分為技術(shù)要求和管理要求兩大模塊，如圖1所示。

圖1 等級保護(hù)及備件要求

根據(jù)三級信息系統(tǒng)的等級保護(hù)基本要求，設(shè)備機房應(yīng)滿足“安全物理環(huán)境”要求。在當(dāng)前的空管系統(tǒng)內(nèi)，管制大樓的選址、供電、消防、溫濕度檢測和控制、電磁防護(hù)、防雷等在項目的整體設(shè)計、建設(shè)、工藝安裝等階段均會按照機房建設(shè)的標(biāo)準(zhǔn)嚴(yán)格執(zhí)行，并通過最終的竣工驗收和行業(yè)驗收才會交付使用。物理訪問控制，主要體現(xiàn)在核心機房等重要場所的電子門禁系統(tǒng)的安裝和使用，對外來人員出入機房的鑒別、登記、施工管理等，目前已有較為完備的管理制度和流程。因此，物理環(huán)境安全基本滿足要求。

MH/T 4029.2—2012《民用航空空中交通管制自動化系統(tǒng) 第2部分：技術(shù)要求》[9]中對空管自動化系統(tǒng)的設(shè)備和網(wǎng)絡(luò)的冗余、狀態(tài)監(jiān)控功能等有明確的要求。目前，主流的空管自動化系統(tǒng)已經(jīng)充分考慮了硬件設(shè)備（如交換機、服務(wù)器、工作站等）的運行性能、接口類型的適用性以及運行網(wǎng)絡(luò)上的冗余等，并且會在工廠環(huán)境中、現(xiàn)場設(shè)備安裝期間進(jìn)行大量、長時間的性能和穩(wěn)定性測試，確保滿足要求。因此，系統(tǒng)的硬件、網(wǎng)絡(luò)的性能、冗余度也基本滿足要求。后面，將主要針對系統(tǒng)在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全計算環(huán)境等方面就測評和整改實施進(jìn)行研究。

2 網(wǎng)絡(luò)安全建設(shè)規(guī)劃與實施

項目建設(shè)階段是信息安全建設(shè)和整改的最佳時機。按照GB/T 25058—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)實施指南》中的“同步建設(shè)原則”，即信息系統(tǒng)在新建、改建、擴(kuò)建時應(yīng)當(dāng)同步規(guī)劃和設(shè)計安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。

2.1 信息安全建設(shè)規(guī)劃

結(jié)合主備空管自動化系統(tǒng)自身結(jié)構(gòu)、各系統(tǒng)間數(shù)據(jù)交互及防火墻端口情況，在安裝建設(shè)過程中規(guī)劃的防火墻安裝方案如圖2所示。方案中對所有的系統(tǒng)互聯(lián)、數(shù)據(jù)引接和輸出端口均進(jìn)行了安全隔離。

圖2 兩套空管自動化系統(tǒng)的防火墻安裝方案

2.2 系統(tǒng)建設(shè)與安裝調(diào)試

在國內(nèi)空管單位，空管自動化系統(tǒng)架構(gòu)采用終端控制單元（Terminal Control Unit，TCU）模式且在各分區(qū)邊界和數(shù)據(jù)輸入、輸出邊界均配置邊界防火墻進(jìn)行安全隔離的尚屬首次。因此，給自動化系統(tǒng)的安裝調(diào)試增加了一定難度。

2.2.1 防火墻安裝增加了施工難度

兩個空管自動化系統(tǒng)廠家在國內(nèi)現(xiàn)場沒有安裝和使用防火墻的先例，廠家對現(xiàn)場數(shù)據(jù)互聯(lián)的結(jié)構(gòu)并不完全清楚。根據(jù)現(xiàn)場提供的安裝和數(shù)據(jù)引接需求，廠家對原有的安裝方案進(jìn)行了及時調(diào)整，并按照要求完成了安裝調(diào)試。

2.2.2 端口配置不匹配導(dǎo)致數(shù)據(jù)頻繁瞬斷

防火墻安裝后，自動化系統(tǒng)監(jiān)控提示與遠(yuǎn)程塔臺之間的鏈路存在頻繁瞬斷現(xiàn)象，如圖3所示。檢查交換機、防火墻和中間運營商專線傳輸設(shè)備端口配置，發(fā)現(xiàn)傳輸設(shè)備端口多處使用了各自的默認(rèn)配置，互聯(lián)端口速率（百兆/千兆）和模式（自協(xié)商/全雙工）不匹配，導(dǎo)致數(shù)據(jù)傳輸不穩(wěn)定。統(tǒng)一各設(shè)備端口速率和模式后，鏈路恢復(fù)正常。

圖3 自動化至遠(yuǎn)程塔臺A網(wǎng)瞬斷狀態(tài)顯示

2.2.3 數(shù)據(jù)通信方式不兼容導(dǎo)致系統(tǒng)降級

備用自動化系統(tǒng)的主工作網(wǎng)絡(luò)由A、B網(wǎng)以級聯(lián)的形式組成，當(dāng)正在使用的一條網(wǎng)絡(luò)故障后，可快速自動切換至另一條網(wǎng)絡(luò)工作。但在實際測試中發(fā)現(xiàn)，在A網(wǎng)中斷后自動切換至B網(wǎng)需要約1分鐘時間，導(dǎo)致主分區(qū)與遠(yuǎn)程塔臺分區(qū)之間的連接中斷，塔臺設(shè)備自動降級至本地旁路模式，需要手動升級才能恢復(fù)。B網(wǎng)切換至A網(wǎng)時情況相同。通過對系統(tǒng)數(shù)據(jù)傳輸、切換機制和防火墻配置進(jìn)行比對分析發(fā)現(xiàn)，故障由防火墻配置與自動化系統(tǒng)數(shù)據(jù)通信方式不兼容導(dǎo)致。A網(wǎng)防火墻在收到傳輸控制協(xié)議（Transmission Control Protocol，TCP）建鏈?zhǔn)装螅瑫诜阑饓?nèi)建立一條會話，后續(xù)的數(shù)據(jù)包在這條會話內(nèi)通行。被強行切換到B網(wǎng)鏈路后，由于B防火墻內(nèi)沒有該TCP鏈接會話，服務(wù)器又只是重發(fā)測試包而不是發(fā)首包要求建鏈，導(dǎo)致所有重發(fā)包都被丟棄，直至發(fā)送的測試包超過一定數(shù)量后，服務(wù)器才會發(fā)首包重新建鏈，此時網(wǎng)絡(luò)才會完成切換。解決方案為修改防火墻配置，關(guān)閉TCP鏈路會話檢測功能，測試鏈路自動切換功能運行正常。

3 現(xiàn)場測評與安全整改

現(xiàn)場測評的主要內(nèi)容包括安全管理制度審查、用戶訪談以及對被測評信息系統(tǒng)進(jìn)行漏洞掃描等項目。測評后，用戶根據(jù)測評機構(gòu)提供的差距報告，對存在的問題采取針對性的安全加固等措施，實施安全整改。

3.1 現(xiàn)場測評

測評公司根據(jù)三級信息系統(tǒng)等保2.0標(biāo)準(zhǔn)，對現(xiàn)場主備自動化系統(tǒng)進(jìn)行漏洞掃描并出具測試報告。初步測評發(fā)現(xiàn)的主備兩套系統(tǒng)漏洞分布情況如表1、表2所示。根據(jù)表中可以看出兩套系統(tǒng)均存在高風(fēng)險項，且高風(fēng)險占比相當(dāng)。

表1 初步漏掃發(fā)現(xiàn)的萊斯自動化系統(tǒng)漏洞情況

表2 初步漏掃發(fā)現(xiàn)的華泰自動化系統(tǒng)漏洞情況

3.2 風(fēng)險項整改

根據(jù)三級信息系統(tǒng)的安全通用要求和兩套自動化系統(tǒng)的測評結(jié)果，實施的具體整改措施如下。

3.2.1 網(wǎng)絡(luò)加固

網(wǎng)絡(luò)加固主要解決“安全區(qū)域邊界”中的邊界防護(hù)、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證和訪問控制等方面存在的風(fēng)險項，采取的整改措施如下。

（1）防火墻安裝及入侵防御/防病毒（IPS/AV）特征庫升級：自動化系統(tǒng)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間在建設(shè)時已通過加裝防火墻進(jìn)行安全隔離。此外對邊界防火墻實施了IPS和AV等特征庫的授權(quán)和升級，如圖4所示。

圖4 山石防火墻特征庫升級

（2）交換機登錄與端口加固：在交換機中配置不同的用戶，并分配不同權(quán)限和登錄方式，設(shè)置登錄失敗鎖定和超時退出功能，如圖5所示。所有用戶強制使用安全外殼協(xié)議（ssh）登錄，如圖6所示。禁用不使用的端口，防止非法接入，如圖7所示。

圖5 交換機建立不同用戶和級別、登錄失敗鎖定

圖6 交換機開啟ssh登錄

圖7 關(guān)閉交換機空閑端口

（3）交換機簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）默認(rèn)團(tuán)體名修改：使用snmp-server community語句修改交換機中SNMP協(xié)議daemon使用的團(tuán)體名（community），不再使用默認(rèn)的public/private團(tuán)體名，驗證結(jié)果如圖8所示。

圖8 交換機SNMP默認(rèn)團(tuán)體名修改

3.2.2 操作系統(tǒng)加固

操作系統(tǒng)漏洞主要集中在身份鑒別、訪問控制、安全審計、入侵防范、可信驗證等方面，采取的主要整改措施如下。

（1）密碼與登錄加固、三權(quán)分立：修改/etc/pam.d/system.auth文件，設(shè)置密碼最小長度8位、密碼復(fù)雜度、登錄失敗次數(shù)限制等要求，如圖9所示。修改/etc/profile，設(shè)置系統(tǒng)登錄超時退出，并增加安全管理員、系統(tǒng)管理員和審計管理員，賦予不同的權(quán)限，實現(xiàn)三權(quán)分立，如圖10所示。

圖9 密碼復(fù)雜度與登錄限制

圖10 三權(quán)分立賬戶設(shè)置

（2）終端審計與記錄存儲：修改系統(tǒng)/etc/audit/audit.rules審計規(guī)則，開啟主機的審計功能，如圖11所示。同時將主機審計記錄和業(yè)務(wù)審計記錄集中存儲到日志服務(wù)器上，如圖12所示。

圖11 開啟主機的日志審計功能

圖12 主機審計記錄和業(yè)務(wù)審計記錄集中存儲

（3）終端接入限制與殺毒軟件安裝：修改/etc/ssh/ssh_config，僅允許可信的終端訪問，如圖13所示。

圖13 終端接入限制

主要服務(wù)器安裝安全狗殺毒軟件（safedog），并開啟相應(yīng)策略，如圖14所示。

圖14 殺毒軟件安裝

（4）Linux操作系統(tǒng)加固：修改操作系統(tǒng)/etc/snmp/snmpd.conf文件中的SNMP默認(rèn)團(tuán)體名，不再使用Public/Private默認(rèn)團(tuán)體名，修改后驗證方式及結(jié)果與圖9相同。

OpenSSH漏洞解決。OpenSSH是SSH協(xié)議的免費開源實現(xiàn)，低版本的OpenSSH中存在多項高危漏洞，如函數(shù)權(quán)限提升漏洞、遠(yuǎn)程代碼執(zhí)行漏洞和緩沖區(qū)錯誤漏洞等。將OpenSSH版本升級至高版本后即可解決以上高風(fēng)險漏洞。

Apache HTTP Server漏洞解決。Apache HTTP Serve是Apache軟件基金會的一個開放源代碼網(wǎng)頁服務(wù)器，低版本的Apache HTTP Server中同樣存在多項安全漏洞，如空指針間接引用、緩沖區(qū)溢出和身份驗證繞過等高風(fēng)險漏洞。因空管自動化系統(tǒng)不使用Apache HTTP Server，將其關(guān)閉（systemctl diasble httpd.service）后即可解決。

（5）關(guān)閉遠(yuǎn)程X服務(wù)：在空管自動化系統(tǒng)中，遠(yuǎn)程X服務(wù)主要用于遠(yuǎn)程調(diào)試和維護(hù)，但存在一定的網(wǎng)絡(luò)安全隱患。關(guān)閉方式為：新建/home/atc/.xserverrc文件，增加內(nèi)容“exec X :0 -nolisten tcp”。-nolisten tcp關(guān)閉X服務(wù)的監(jiān)聽端口，使其無法作為X服務(wù)器投射其他席位的程序即可。

（6）安裝堡壘機：為了解決安全審計和入侵防范的問題，對兩套自動化系統(tǒng)采購并安裝了堡壘機。采用堡壘機進(jìn)行運維時，堡壘機本身的密碼驗證和登錄系統(tǒng)時的密碼驗證采取的是雙重身份鑒別方式，可以作為雙因素身份驗證的替代方案。雖然未達(dá)到使用兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別的要求，但已經(jīng)可以在一定程度上減少身份鑒別的風(fēng)險，將高風(fēng)險項降低為中低風(fēng)險。

3.2.3 數(shù)據(jù)庫加固

（1）密碼與登錄加固：該項內(nèi)容與操作系統(tǒng)整改方式類似，在ORACLE數(shù)據(jù)庫中設(shè)置密碼最小長度8位、密碼復(fù)雜度、登錄失敗次數(shù)限制、系統(tǒng)登錄超時退出等要求，如圖15所示。

圖15 數(shù)據(jù)庫密碼與登錄加固

（2）賬戶三權(quán)分立與無用賬戶清理：創(chuàng)建數(shù)據(jù)庫安全管理員、系統(tǒng)管理員和審計管理員用戶，并賦予相應(yīng)的權(quán)限，實現(xiàn)三權(quán)分立，如圖16所示。對一些系統(tǒng)自帶無用賬戶進(jìn)行了清理，如圖17所示。

圖16 建立數(shù)據(jù)庫三權(quán)分立賬戶

圖17 清理無用賬戶

（3）數(shù)據(jù)庫審計機安裝：為了實現(xiàn)對萊斯系統(tǒng)數(shù)據(jù)庫審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等，對萊斯自動化新系統(tǒng)安裝了數(shù)據(jù)庫審計機。華泰系統(tǒng)中因無數(shù)據(jù)庫，無須安裝數(shù)據(jù)庫審計設(shè)備。

3.2.4 自動化系統(tǒng)應(yīng)用軟件加固

在漏洞掃描報告中，自動化系統(tǒng)應(yīng)用軟件存在的主要問題為密碼復(fù)雜度、登錄驗證和賬戶三權(quán)分立。

（1）密碼與登錄加固：與操作系統(tǒng)和數(shù)據(jù)庫類似，設(shè)置自動化系統(tǒng)應(yīng)用程序密碼最小長度8位、密碼復(fù)雜度、登錄失敗次數(shù)限制等要求，如圖18、圖19所示。

圖18 密碼復(fù)雜度

圖19 登錄失敗鎖定

（2）賬戶三權(quán)分立：與操作系統(tǒng)和數(shù)據(jù)庫類似，在應(yīng)用軟件中配置安全管理員、系統(tǒng)管理員和審計管理員賬戶，并賦予相應(yīng)的權(quán)限，實現(xiàn)三權(quán)分立，如圖20所示。

圖20 賬戶三權(quán)分立

4 結(jié) 語

空管自動化系統(tǒng)的等保測評建設(shè)和整改工作仍處于探索前進(jìn)的階段，在開展網(wǎng)絡(luò)安全系統(tǒng)建設(shè)和問題整改過程中會遇到不少問題，也可以不斷積累經(jīng)驗。經(jīng)過系統(tǒng)建設(shè)前期的安全建設(shè)規(guī)劃、安全設(shè)備加裝、測評和整改、備案材料準(zhǔn)備、提交和審核等環(huán)節(jié)，兩套系統(tǒng)基本達(dá)到了三級信息系統(tǒng)的等保測評要求。根據(jù)等保測評機構(gòu)提供的測評報告，在整改過程中采取的防護(hù)措施安全有效，主備兩套空管自動化系統(tǒng)順利通過等保2.0標(biāo)準(zhǔn)測評。后續(xù)，將根據(jù)等級保護(hù)測評要求，不斷完善各種安全防護(hù)措施，提高系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力。