机场综合营运网安全防护研究

2022-07-23王茂荣刘云光段刘刚

通信电源技术 2022年5期

王茂荣，徐浩，刘云光，段刘刚

（四川九洲电器集团有限责任公司，四川绵阳 621000）

0 引言

随着5G通信、物联网、大数据以及云计算等技术的飞速发展和广泛应用，万物联网既方便了人们的日常生活，又提高了企业管理和经营运行效率。任何软件或网络都存在漏洞和被攻击的威胁，尤其随着物联网设备的发展，遭受网络攻击威胁时将直接导致整个企业网络瘫痪，进而给企业或国家带来不可估量的损失。机场是国家民航运输、军事活动等的基础设施，在深入分析机场综合营运网运行流程的基础上分析机场可能面临的安全威胁和攻击场景，进而研究机场综合营运网攻击试验方法并构建相应的攻击试验系统，是关系到机场综合营运网网络系统升级、安全策略改进、防护体制优化等的重要问题。

1 机场综合营运网网络架构分析

机场运行指挥体系是机场运行指挥部门在长期运作过程中形成的一系列程序和规范，也是与机场内相关保障部门建立的相对固定的协调指挥模式。机场综合营运网是机场运行指挥体系的重要基础，是机场运行的“大脑”，统一指挥和协调所有旅客及航班活动[1]。通过分析机场综合营运网可以正确全面地认识机场统一指挥体制，为机场综合营运网的网络安全防护和攻击试验系统构建奠定基础[2]。机场设置的各类生产与服务机构以及相应的网络系统不是一个个独立的信息孤岛，而是通过统一的通信技术手段和网络组网手段相互联系、有机集成，共同构成一个综合性强、集成度高的统一网络，可以支撑机场的正常运行[3,4]。机场营运网网络架构如图1所示。

图1 机场营运网网络架构

机场综合营运网主要包括数据中心系统、企业服务总线、航班管理系统、外场保障系统、授时服务系统、航班显示系统以及公共广播系统等。机场综合营运网以数据中心系统为核心，以企业服务总线为基础，支持各业务系统之间数据和信息的交互整合。

2 网络威胁分析

机场作为一个国家的重要基础设施，如果其综合营运网受到网络攻击，会对机场运营秩序和社会稳定造成极大的威胁[5]。首先，重点旅客无法正常接收航管服务。针对重点旅客，网络攻击发起方往往会通过前期网络社工信息侵入目标机场数据中心系统，修改目标对象的姓名、性别、职位、国别以及预乘航班等重要信息，致使目标人物无法正常购票、值机[6]。其次，机场旅客大面积滞留。网络攻击发起方可能会对机场营运网中的授时服务系统、公共广播系统以及视频监控系统等业务系统实施网络攻击，造成目标机场航站楼旅客服务秩序混乱，进而导致机场旅客大面积滞留[7]。最后，飞机进出港大面积延误。网络攻击发起方可能会针对目标机场的泊位引导系统、行李传送系统以及工作人员信息数据库进行网络攻击，使得目标机场空侧失去对飞机滑行、停机的引导指挥和地面服务。

3 网络攻击试验系统构建与试验分析

为了更好地维护机场综合营运网网络安全，需要从反方向构建机场综合营运网网络攻击试验方法和相应的试验系统，为提高机场综合营运网网络安全能力提供试验平台和改进策略。

3.1 总体设计思路

整个系统采用B/S架构，后台采用Python+Flask，网络特征参数计算中采用NetworkX开发库，节点布局采用igraph开发库，前端采用D3.js。机场综合营运网网络攻击试验系统主要包括态势探测分系统、网络攻击分系统、效果验证分系统以及系统管理分系统。态势探测分系统主要对目标网络进行接入，打通接入通道，发送和存储目标网络拓扑、主要业务系统等信息，实现目标网络的态势展示。网络攻击分系统对当前目标网络态势信息进行综合分析，采取某预置网络攻击方案或者编程攻击方案，确定适合本次网络攻击任务的攻击样式和网络武器载荷，并实施网络攻击。系统管理分系统主要加载系统配置、用户管理等信息，支持对各分系统的用户认证、安全登陆、系统配置等，可以完成新建任务、历史任务查询、任务执行以及执行结果反馈上报等工作。效果验证分系统通过分析目标网络业务形态实现对目标网络和主要业务系统之间的信息流关系与规律的模拟，生成模拟网络靶场后再结合预置网络攻击方案实施预置网络攻击，并对网络攻击方案的模拟攻击效果进行验证评估。

3.2 试验结果分析

计算资源服务器、存储设备以及网络仿真服务器等通过高性能、可编程网络设备互连，基于软件定义网络（Software Defined Network，SDN）技术实现各类资源的互连互通、端口映射以及流量重定向。系统物理网络环境分为管理网和业务网两类，分别实现环境配置部署指令传输和目标系统组网功能。系统试验环境物理架构如图2所示。

图2 试验环境物理部署

网络接入通道即各个网络节点的连接，获取到接入路径后，对路径上涉及的关键节点信息进行合理显示。具体设计就是对边的控制验证，可以通过改变边的颜色、编号、透明度等值来对边的属性进行编辑，主要包括边宽度、边填充以及边透明度。

武器预置状态展示在网络拓扑结构的基础上实现，包含网络中各个节点是否有武器预置以及预置武器的类型。武器预置状态展示如图3所示，其中带阴影的圆圈表示被预置武器的设备，而空白圆圈则表示正常未被预置武器的设备。同时，为了表示该设备被预置武器的类型，在被预置武器节点的旁边使用图标标记该设备被预置武器的个数以及被预置武器的类型。在细节部分，通过点击对应的节点可以弹出该节点被预置武器的详细信息。

图3 武器预置状态展示

通过使用动态网络布局算法来表征网络的动态变化，进而表征网络拓扑结构的变化。对于动态图而言，新增节点的初始位置尤为重要，利用SSBM（Sorted Sequential Barycenter Merging）算法的变体可以确定新增节点的初始位置。SSBM使用轻微波动的随机距离替换每个新节点，以避免与现有图形具有完全相同连接的两个节点位置相互重叠。

SSBM定位具有最大度|Di|的节点ni，其中Di是包含已放置节点在内的现有图中与节点ni相连的所有节点的集合。当|Di|≥2时，SSBM将新增节点ni放置在其加权重心位置，并加上一个很小波动值e1；当ni仅连接到nj（即|Di|=1）时，将新增节点ni放置在xj加e2的位置上。如果节点ni不与其他任何节点相连接，则SSBM将该节点添加到现有图形加权重心加e3的位置。SSBM重复添加节点，直到所有新节点都被放置。