機場綜合營運網安全防護研究

王茂榮，徐 浩，劉云光，段劉剛

（四川九洲電器集團有限責任公司，四川 綿陽 621000）

0 引 言

隨著5G通信、物聯網、大數據以及云計算等技術的飛速發展和廣泛應用，萬物聯網既方便了人們的日常生活，又提高了企業管理和經營運行效率。任何軟件或網絡都存在漏洞和被攻擊的威脅，尤其隨著物聯網設備的發展，遭受網絡攻擊威脅時將直接導致整個企業網絡癱瘓，進而給企業或國家帶來不可估量的損失。機場是國家民航運輸、軍事活動等的基礎設施，在深入分析機場綜合營運網運行流程的基礎上分析機場可能面臨的安全威脅和攻擊場景，進而研究機場綜合營運網攻擊試驗方法并構建相應的攻擊試驗系統，是關系到機場綜合營運網網絡系統升級、安全策略改進、防護體制優化等的重要問題。

1 機場綜合營運網網絡架構分析

機場運行指揮體系是機場運行指揮部門在長期運作過程中形成的一系列程序和規范，也是與機場內相關保障部門建立的相對固定的協調指揮模式。機場綜合營運網是機場運行指揮體系的重要基礎，是機場運行的“大腦”，統一指揮和協調所有旅客及航班活動[1]。通過分析機場綜合營運網可以正確全面地認識機場統一指揮體制，為機場綜合營運網的網絡安全防護和攻擊試驗系統構建奠定基礎[2]。機場設置的各類生產與服務機構以及相應的網絡系統不是一個個獨立的信息孤島，而是通過統一的通信技術手段和網絡組網手段相互聯系、有機集成，共同構成一個綜合性強、集成度高的統一網絡，可以支撐機場的正常運行[3,4]。機場營運網網絡架構如圖1所示。

圖1 機場營運網網絡架構

機場綜合營運網主要包括數據中心系統、企業服務總線、航班管理系統、外場保障系統、授時服務系統、航班顯示系統以及公共廣播系統等。機場綜合營運網以數據中心系統為核心，以企業服務總線為基礎，支持各業務系統之間數據和信息的交互整合。

2 網絡威脅分析

機場作為一個國家的重要基礎設施，如果其綜合營運網受到網絡攻擊，會對機場運營秩序和社會穩定造成極大的威脅[5]。首先，重點旅客無法正常接收航管服務。針對重點旅客，網絡攻擊發起方往往會通過前期網絡社工信息侵入目標機場數據中心系統，修改目標對象的姓名、性別、職位、國別以及預乘航班等重要信息，致使目標人物無法正常購票、值機[6]。其次，機場旅客大面積滯留。網絡攻擊發起方可能會對機場營運網中的授時服務系統、公共廣播系統以及視頻監控系統等業務系統實施網絡攻擊，造成目標機場航站樓旅客服務秩序混亂，進而導致機場旅客大面積滯留[7]。最后，飛機進出港大面積延誤。網絡攻擊發起方可能會針對目標機場的泊位引導系統、行李傳送系統以及工作人員信息數據庫進行網絡攻擊，使得目標機場空側失去對飛機滑行、停機的引導指揮和地面服務。

3 網絡攻擊試驗系統構建與試驗分析

為了更好地維護機場綜合營運網網絡安全，需要從反方向構建機場綜合營運網網絡攻擊試驗方法和相應的試驗系統，為提高機場綜合營運網網絡安全能力提供試驗平臺和改進策略。

3.1 總體設計思路

整個系統采用B/S架構，后臺采用Python+Flask，網絡特征參數計算中采用NetworkX開發庫，節點布局采用igraph開發庫，前端采用D3.js。機場綜合營運網網絡攻擊試驗系統主要包括態勢探測分系統、網絡攻擊分系統、效果驗證分系統以及系統管理分系統。態勢探測分系統主要對目標網絡進行接入，打通接入通道，發送和存儲目標網絡拓撲、主要業務系統等信息，實現目標網絡的態勢展示。網絡攻擊分系統對當前目標網絡態勢信息進行綜合分析，采取某預置網絡攻擊方案或者編程攻擊方案，確定適合本次網絡攻擊任務的攻擊樣式和網絡武器載荷，并實施網絡攻擊。系統管理分系統主要加載系統配置、用戶管理等信息，支持對各分系統的用戶認證、安全登陸、系統配置等，可以完成新建任務、歷史任務查詢、任務執行以及執行結果反饋上報等工作。效果驗證分系統通過分析目標網絡業務形態實現對目標網絡和主要業務系統之間的信息流關系與規律的模擬，生成模擬網絡靶場后再結合預置網絡攻擊方案實施預置網絡攻擊，并對網絡攻擊方案的模擬攻擊效果進行驗證評估。

3.2 試驗結果分析

計算資源服務器、存儲設備以及網絡仿真服務器等通過高性能、可編程網絡設備互連，基于軟件定義網絡（Software Defined Network，SDN）技術實現各類資源的互連互通、端口映射以及流量重定向。系統物理網絡環境分為管理網和業務網兩類，分別實現環境配置部署指令傳輸和目標系統組網功能。系統試驗環境物理架構如圖2所示。

圖2 試驗環境物理部署

網絡接入通道即各個網絡節點的連接，獲取到接入路徑后，對路徑上涉及的關鍵節點信息進行合理顯示。具體設計就是對邊的控制驗證，可以通過改變邊的顏色、編號、透明度等值來對邊的屬性進行編輯，主要包括邊寬度、邊填充以及邊透明度。

武器預置狀態展示在網絡拓撲結構的基礎上實現，包含網絡中各個節點是否有武器預置以及預置武器的類型。武器預置狀態展示如圖3所示，其中帶陰影的圓圈表示被預置武器的設備，而空白圓圈則表示正常未被預置武器的設備。同時，為了表示該設備被預置武器的類型，在被預置武器節點的旁邊使用圖標標記該設備被預置武器的個數以及被預置武器的類型。在細節部分，通過點擊對應的節點可以彈出該節點被預置武器的詳細信息。

圖3 武器預置狀態展示

通過使用動態網絡布局算法來表征網絡的動態變化，進而表征網絡拓撲結構的變化。對于動態圖而言，新增節點的初始位置尤為重要，利用SSBM（Sorted Sequential Barycenter Merging）算法的變體可以確定新增節點的初始位置。SSBM使用輕微波動的隨機距離替換每個新節點，以避免與現有圖形具有完全相同連接的兩個節點位置相互重疊。

SSBM定位具有最大度|Di|的節點ni，其中Di是包含已放置節點在內的現有圖中與節點ni相連的所有節點的集合。當|Di|≥2時，SSBM將新增節點ni放置在其加權重心位置，并加上一個很小波動值e1；當ni僅連接到nj（即|Di|=1）時，將新增節點ni放置在xj加e2的位置上。如果節點ni不與其他任何節點相連接，則SSBM將該節點添加到現有圖形加權重心加e3的位置。SSBM重復添加節點，直到所有新節點都被放置。

4 結 論

從分析機場綜合營運網的運行流程和網絡架構入手，提出了機場網絡可能面臨的威脅行為，并在此基礎上設計機場網絡攻擊試驗系統。在該系統上模擬搭建機場典型營運網絡，并結合網絡威脅行為在試驗系統上進行行為演化，為機場綜合營運網網絡系統升級、安全策略改進等提供了試驗驗證平臺和依據，可以推動機場安全高效運營。