|
编者按
保障网络信息安全是民航机场企业实现安全生产和运营的关键环节,对此每家机场都有自己独到的处理方式,然而在机场企业之间往往缺少一个互动交流的平台。为此,我们在本期特刊上特别安排了一组专门介绍首都国际机场、上海机场和广州白云机场的信息安全解决之道的文章,以便读者能够从中得到借鉴,以收“取长补短”之效。
首都机场:安全建设步步为营
北京首都国际机场股份有限公司信息技术管理部王磊
北京首都国际机场的信息化建设可以分为三个历史阶段,在不同的历史阶段中,网络安全的建设方向和建设重点也各不相同。第一阶段:单机病毒查杀有术
1994年,当时的首都机场应急指挥中心和IBM公司合作建设了第一个机场地面信息系统(简称CATS-I)。由于当时信息资源的采集和使用都比较有限,因此该系统的终端用户数只有40多台联网计算机,并使用同一个广播域(网段)。
与此同时,机场所面临的网络安全问题也并不突出,采用公安部配发的KILL防病毒软盘就可以查杀单机病毒,对当时的CATS-I系统没有造成直接的影响。第二阶段:网络防毒成为主流
从1997年到1999年,由于建设2号航站楼的需要,首都机场开始大规模建设机场信息系统,网络安全建设也进入了一个新的发展阶段:首先是主干网络要求高可靠和高效率,当时就引入了双机热备的方式进行主干网络的设计;其次,随着网络病毒愈演愈烈,我们部署了赛门铁克公司的企业版网络防病毒系统;再有,随着航站楼内各个系统的互连,在考虑安全的系统接口的情况下,我们使用了ELAN和路由技术,从网络层将各个信息系统划分成不同的网段,对不同的信息系统进行网络隔离保护。第三阶段:系统升级保障安全
2003年,随着用户需求不断增长,我们对首都机场的办公财务网络进行了全面的升级工作。
第一,我们对原来基于ATM-155技术的单核心主干网络进行升级,采用两台NORTEL8610千兆以太网络核心交换机,提高了网络传输的安全性。
第二,使用SONICWALL公司的硬件防火墙,提高了防火墙的性能和防护种类。在此基础上我们又增加一台NORTEL公司的CONTIVITY,构建内外防火墙联动的方式,提高接入互联网络的安全性。
第三,对于部分需要通过远程拨号接入办公财务网络的用户,采用VPN加密的方式,进行网络通讯的安全加密。在NORTEL公司的CONTIVITY设备上制定必须使用NORTEL公司提供的VPN软件才能进行VPN的通讯连接。
第四,由于现阶段网络病毒泛滥,我们除了在各个用户终端部署了赛门铁克公司的企业版防病毒软件之外,又在机场的邮件服务器上安装了邮件服务器过滤产品和病毒网关过滤产品,同时对各个终端加装个人防火墙和个人入侵监测产品。
第五,为配合机场分局网络信息安全监控的实施,我们增加了信息内容过滤产品,对使用机场办公网进行网页浏览的用户,进行浏览内容的过滤和浏览网站的监控。
综上所述,随着计算机网络安全技术及其应用的不断拓展,首都机场的网络安全建设也在不断完善,并将继续发展,不断创新。fz165
上海机场:完善管理全面防护
上海国际机场股份有限公司通讯信息工程分公司卢倩
上海机场信息系统包括浦东和虹桥机场的网络系统、离港系统、安检系统等30多个系统,为降低企业成本、提高生产效率、优化服务质量发挥了重要作用。作为上海机场的信息系统维护单位,通讯信息工程分公司的首要任务是保障生产系统的安全稳定运行。目前我们建立了较为完善的机场信息网络安全管理制度。网络安全“制度先行”
首先,我们对于每个信息系统都设立了一本系统维护保养手册,其内容主要包括系统日常维护规范、应急预案和案例分析等三部分,并对每一次保养和报修进行全程跟踪记录,以记录事实为原则确定责任。
与此同时,通信分公司一方面注意做好系统的优化升级工作;另一方面也注重对用户的日常培训,实行持证上岗,并定期召开用户见面会,保证系统的平稳运行。
对于某些系统出现的疑难杂症,分公司则将其作为QC活动小组的课题加以攻克,并制定项目管理制度,重点加强项目实施过程中的风险控制,确保项目施工时的生产信息系统安全。
此外,通信分公司还制定了系统信息安全管理规定,专门明确了对密码的管理规定和要求,并对员工进行相关的信息安全教育,禁止安装非系统使用的软件。为了提高员工的日常维护和应急修理能力,我们还开展了将报修数量和处理报修时间作为考核点的“提高维护能力,降低报修数量竞赛活动”,激励员工采取各类方式降低报修数量,加快处理报修时间。
综上所述,通过实施以上管理制度,分公司的信息系统得以实现安全稳定地运行。生产网络的安全防护
目前浦东机场生产网络的安全防护主要由分布在浦东机场网络系统与驻场单位之间的五台防火墙和部署在各个信息子系统中的趋势防病毒系统完成。
部署防火墙,主要用于隔离机场内部用户、场外用户以及部分远程访问用户的数据连接。具体的安全策略是根据业务流向及用户分布进行详细安排,采用“非明确通过则明确禁止”的原则,在保证安全性的前提下提供应用的灵活性。
此外,通信分公司还定时进行防火墙软件系统的更新和补丁修正,同时根据业务流和用户需求的变化进行安全策略更新,并注重安全策略的归档和整理记录。
值得一提的是,部署在生产网络的趋势防病毒系统对各个生产子系统的服务器和桌面终端进行了全面防护,从而保障了信息系统的安全和稳定运行。
安全,是民航永恒的主题。上海机场通信分公司虽然已经形成了一些有效的安全管理手段和措施,但仍有许多课题有待进一步探索。我们将不断完善上海机场的信息网络安全体系,保证各信息系统的安全稳定运行,从而有力地保障航班正常生产,将上海机场建设成为亚太地区的航空枢纽港。fz164
白云机场:主动防御层层布防
广州白云国际机场计算机中心刘剑波
对一个网络进行安全方面的维护,不仅需要配套的安全防御措施,而且需要规范的管理制度和流程,更需要高素质的安全管理和操作人员。安全策略重在管理
在网络安全系统建设过程中,广州白云机场并没有简单地部署网络安全产品,而是注重全局概念和整体的防御体系,在以下4个方面对网络安全系统进行了完善。
1)规范安全管理。
以“三分技术、七分管理”为原则,白云机场建立了机场信息安全组织保证体系,实行安全责任追究制度;建立健全各种管理制度(如机房管理、操作管理、开发与维护管理等);建立安全培训机制,强化安全意识,提高技术和管理水平。
2)建立监控、应急响应体系。
网络管理员需要密切监控网络的访问情况,对操作系统、应用系统、防火墙等日志进行分析,及时发现服务器上异常的活动,并在出现安全事件时,按照预先建立的应急响应流程,最大限度地降低系统的风险。
3)完善的备份与恢复策略。
对关键应用的数据与应用系统进行备份,确保能够快速恢复数据与系统的可用性;对关键主机设备、网络设备、防火墙等进行相应的热备份与冷备份。
4)合理配置系统。
对网络中的主机、网络设备的配置进行检查,关闭不必要的服务和协议,禁用缺省系统的默认配置,减少安全漏洞,及时更新系统,消除系统内核漏洞与后门。安全规划未雨绸缪
网络信息安全的建设并非一劳永逸,随着网络的扩展、应用系统的上线、黑客攻击手段的发展,安全需求也会与时俱进,因此要及早进行安全的规划设计,在安全体系建设中考虑一定的可扩充性,做到在一定时间内相对的安全。
根据目前白云机场网络系统的现状,我们采用防火墙技术、入侵监控技术、安全漏洞扫描技术、VPN加密技术、安全管理技术和防病毒技术,构成了主动的网络安全防御体系,消除了以前网络中存在的诸多安全隐患,如病毒的传播、黑客的攻击、非授权的访问、敏感数据的泄密等风险,并且可以审计用户在网络中的所作所为,能够及时定位安全事件的源,并通过灾难恢复措施,极大地提高了系统的安全性。作者点评
白云机场的设计思想不仅仅局限在网络中部署一些安全产品,而是针对系统的实际情况和安全需求,建立了一个整体和动态的主动防御系统,具有防护的层次性,从而初步实现了网络安全中PDR模型(Protect防护、Detect检测、React响应)的功能。
值得一提的是,白云机场的信息安全建设只是一个局部的成功例子。在更大范围的网络内进行安全建设时,我们需要站在更高的安全角度考虑安全需求,并会涉及到更多的安全技术,如对资产进行安全等级划分、网络边界防护、应用服务的管理、数据加密和身份认证数字证书等。
| 
