章迺琦

【摘 要】随着一带一路政策促进下现代科学技术，各个学科领域都在快速成长，现如今中国民航业发展迅速，民航通信网信息管理也面临着新的挑战，完善和建设民航通信网的安全管理体系势在必行。

【关键词】民航通信网;安全;建设

在现代信息技术的支持下，新的民航通信网系统及网络业务得以建立，新采用的传输系统运行稳定性良好，能够大大提升民航通信网对业务的承载能力，并且管理及业务建立的操作更为便捷，但就目前来看其不足之处在于界面设计与人性化方面有待提升。然而在民航通信网快速发展的同时还面临一项更加具有挑战的任务，就是对民航通信网安全通信和管理的任务。目前我们利用结构优化完善系统功能，增添安全设备保障网络安全，为民航通信网及业务的有序运行提供可靠支持。

首先构建民航通信网络网络安全技术防护体系。所谓的网络安全包含网络设备安全、网络信息安全、网络软件安全。就新民航通信网络安全系统来看，系统设计是在保证业务运行可靠性前提，增进网络系统与安全设备之间的联系。安全技术防护体系组成内容主要包括：

（1）区域边界安全保护。

安全访问控制;网络恶意代码防范，防范网络层面的恶意代码，对进出的网络数据流进行病毒、恶意代码扫描和过滤处理;一体化的综合安全网关，边界防病毒、流量管理、抗攻击等多重安全防护策略，实现网络边界综合防范;边界安全网关，网络基础边界入侵防护;网络攻击检测。

（2）通信传输安全保护。

鏈路冗余和设备冗余;网络审计，分析网络中的数据包、流量信息，通过对相关协议进行分析，对网络通信行为和内容进行记录和统计。

（3）终端安全管理。

终端安全管理系统，主要是对网络运维人员的桌面终端系统的集中管理和维护，有效保护用户计算机系统安全和信息数据安全。防病毒软件，在运维分析管理系统服务器、运维终端的主机上安装防病毒软件，在主机上有效查杀病毒、恶意脚本、木马、蠕虫等恶意代码;网络身份鉴别，建立PKI/CA数字证书认证系统，为网络内用户、设备颁发数字证书实现用户、网络设备身份的统一描述和统一管理，以数字证书来表明相应人员、网络设备在网络中身份的唯一性。

（4）安全管理中心

安全管理系统，安全管理中心负责进行全网的集中安全事件管理、风险管理和集中日志审计，实现针对计算环境、区域边界和通信网络的安全防护;安全设备网管，针对部署范围广、数量多的网络安全设备，通过安全设备网管系统，给各级节点分配相应的管理范围和权限，实现分级管理。同时，对网络安全设备的升级、网络安全设备工作状态监管、网络安全设备策略进行管理;运维堡垒主机，核心设备的管理员用户提供集中登录认证（即基于数字证书强身份认证）、权限控制和操作监控。被管理资源包括服务器、数据库、交换机、路由器、安全网关设备及其他安全设备等;等级保护支撑系统，完成对网络设备、服务器等设备的漏洞扫描和报告，提供安全改进建议措施等功能，帮助运维人员控制可能发生的安全事件。依据等级保护标准对系统进行评估，并能生成等级保护工作检查报表，最大可能的消除安全隐患。

其次通过优化及完善新民航通信网络系统及应用确保网络安全。从前台设备来看，民航通信网络系统的应用设计要以网络系统的实际应用为重点，为促进安全防范的有效落实，首先要对民航通信网络业务的实际情况进行实时监控，为民航运行通信安全提供有利条件。在民航通信网络业务网络系统设计中，再要结合实际功能需求科学合理设计配置模块、监控模块、日志模块，以便从业务配置到实际运行再到后期故障排查整个流程做到有依可循，同时实现这一切还需要强大后台设备支持。

例如，现阶段我们在民航通信网中部署了网神SecAV 3600防毒墙和网御防火墙，采用双路并联，协同工作的状态串联至网络设备间。

网神SecAV 3600防毒墙采用串接方式接入网络，防毒墙利用多核并行处理、重构网卡驱动、TCP/IP协议栈技术，保证系统的高效过滤性能。防毒墙全面支持IPv4和IPv6网络环境。采用多核并行处理、重构网卡驱动、TCP/IP协议栈等技术，保证系统的高效过滤性能;支持多路监控，可同时支持INLINE/ONLINE模式的监控。支持非端口定义的协议识别，通讯服务端无论采用什么端口，都能正确识别HTTP/FTP/SMTP/POP3/IMAP/SSH/SSL/SMB 等多种应用层协议。针对网络传播病毒进行全面高效的专项过滤，精确识别邮件病毒、文件传输病毒、网页病毒等。采用入侵防御（IPS）技术、IP/端口/数据包封锁技术，优化了蠕虫识别机制，不仅可监测已知蠕虫，还可以在未知蠕虫爆发时进行预警。内置数千种木马通讯协议识别特征，可监控多数常见的木马通讯，并且，识别库不断再升级，以识别新型木马，包括手机木马。同时内置数百种针对各种浏览器的溢出攻击特征，防范网络钓鱼攻击和浏览器溢出攻击。对常用的网络服务如：SMTP/POP3/IMAP/FTP/HTTP/SSH/TELNET/SMB等进行口令探测的活动均可被监测，并可触发相应的阻断动作，防止口令探测活动的持续进行。并预留接口进行二次开发，对用户专有的网络服务实现口令探测监控。通过多种措施保障自身安全工作：通过专有安全操作系统避免漏洞攻击;通过自动抑制网络流量，防止DoS攻击造成拒绝服务和性能下降;通过加密和认证的安全管理防止管理失控。

网御防火墙则利用防火墙策略对数据流进行统一控制，方便用户配置和管理。通过配置防火墙策略能够对经过设备的数据流进行有效的控制和管理。当设备收到数据报文时，把该报文的入接口、源地址、目的地址、协议、服务、用户、应用等信息和用户配置的策略匹配，决定是否建立这条数据流，并且把这条流和匹配的策略关联起来，从而确定如何处理该流的后续报文，实现允许、丢弃，决定哪些用户和数据能进出，以及它们进出的时间和地点。防火墙策略按页面顺序从上往下的原则，只对通过设备的数据包进行处理，对于设备本身发出的数据包不进行限制。对于策略是否生效，可以通过查看策略的命中次数来观察，如果流量匹配了策略，对应策略的命中次数会+1。

最后要提的是所有网络安全保障工作中最难也是最容易出现安全问题的部分，就是网络运行及维护工作的参与人员对网络安全的意识。通过多年的工作经验及社会上采集到的实际案例分析后，我得出为保障网络安全运行所需以下几点。

（1）由管理层在专业小组人员协助下制定网络信息安全政策，管理层应制定一套清晰的指导原则，明确表明其对网络信息安全及在单位内部贯彻实施次政策的支持和承诺。

（2）建立网络信息安全基础架构，通过建立专业安全小组对网络安全政策进行实施与监测。对安全责任进行分配，并协助单位内部安全的实施，对外要实行业务跟踪，对故障要求申告标准，及时将不安全事件通报单位负责人。

（3）对所有参与运维工作的人员进行安全培训，通过单位内部安全管理规定加强安全意识，通过国家级别安全运维管理规则加强单位整体安全意识。

总而言之，民航通信网系统的安全建设，要全面把握民航通信业务发展实际情况，对系统结构进行优化设计，增添安全设备保障网络安全，明确系统前端设备与系统模块功能，通过监控模块业务系统的稳定高效运行，并对人力物力资源进行优化配置，确保设备安全运行的同时加强运维人员的综合安全意识才是保障民航通信网安全运行的重中之重。从而为民航发展提供安全保障。

【参考文献】

1.《民航安全产品维护手册》

2.《网神secVA3600防毒墙用户手册》