空管自動化系統等保測評實踐與安全防護技術研究
摘 要:
空管自動化系統是空中交通管制單位對空指揮的核心調度系統, 屬于國家關鍵基礎 信息系統。為推動空管自動化系統網絡安全等級保護測評工作順利實施,根據等級保護測評 要求和空管自動化系統結構和業務特點,闡述了空管自動化系統等保測試開展的實施流程,實現了主要風險項整改,并詳細描述了整改的技術措施和方案。根據復測結果顯示, 經過積 極整改和安全加固,主備兩套空管自動化系統順利通過等級保護 2.0 標準測評。
內容目錄:
1 等級保護的基本要求與定級
1.1 等級保護的相關標準
1.2 空管自動化系統等保定級和基本要求
2 網絡安全建設規劃與實施
2.1 信息安全建設規劃
2.2.1 防火墻安裝增加了施工難度
2.2.2 端口配置不匹配導致數據頻繁瞬斷
2.2.3 數據通信方式不兼容導致系統降級
2.2 系統建設與安裝調試
3 現場測評與安全整改
3.1 現場測評
3.2 風險項整改
3.2.1 網絡加固
3.2.2 操作系統加固
3.2.3 數據庫加固
3.2.4 自動化系統應用軟件加固
近年來,在全球范圍內爆發的信息和數據 泄露、網絡監聽以及針對交通、能源、醫療等 重要公共基礎服務行業的勒索病毒攻擊事件不斷提醒我們,網絡和信息安全領域面臨越來越 大的挑戰。“沒有網絡安全就沒有國家安全”, 習近平總書記指出了網絡安全的重要性。《中華 人民共和國網絡安全法》明確規定,國家實行 網絡安全等級保護制度,是從國家層面對等級 保護工作的法律認可。
空管自動化系統是空管系統對空指揮的核心調度系統,隨著信息技術的發展,其信息化 程度越來越高。目前,國內各空管單位針對空 管自動化系統的等保測評建設工作正在逐步開展,但整體進度較慢。本文主要結合等級保護 測評的相關標準和規范要求,對空管自動化系 統等級保護測評規劃與建設、整改實施等過程 中采用的安全防護技術進行研究。
01 等級保護的基本要求與定級
目前,國家和民航系統針對信息系統的等 級保護出臺了相應的法規和標準。
1.1 等級保護的相關標準
經多次修改完善, 全國信息安全標準化技術 委 員 會 于 2019 年 12 月 1 日 頒 布 實 施 GB/T22239—2019《信息安全技術 網絡安全等級保護 基本要求》 、GB/T 25070—2019《信息安全技術 網絡安全等級保護安全設計技術要求》、GB/T 28448—2019《信息安全技術 網絡安全等級保護 測評要求》 、GB/T 22240—2020《信息安全技術 網絡安全等級保護定級指南》 4 個標準文件 。
為全面落實民航系統網絡安全等級保護制 度,民航局依據國家網絡安全相關文件,先后 出臺了 MH/T 0051—2015《民用航空信息系統安 全等級保護實施指南》、MH/T 0069—2018《民 用航空網絡安全等級保護定級指南》 、MH/T 0076—2020《民用航空網絡安全等級保護基本要 求》3 個行業標準。
1.2 空管自動化系統等保定級和基本要求
根據 MH/T 0069—2018《民用航空網絡安全 等級保護定級指南》,空管自動化系統被定為 三級信息系統,即該類信息系統受到破壞后, 會對國家安全、社會秩序造成損害,對公共利 益造成嚴重損害,對公民、法人和其他組織的 合法權益造成特別嚴重的損害。
GB/T 22239—2019《信息安全技術 網絡安 全等級保護基本要求》和 MH/T 0076—2020《民 用航空網絡安全等級保護基本要求》對三級信 息系統的安全通用要求主要分為技術要求和管理要求兩大模塊,如圖 1 所示。
圖 1 等級保護及備件要求
根據三級信息系統的等級保護基本要求, 設備機房應滿足“安全物理環境”要求。在當 前的空管系統內,管制大樓的選址、供電、消防、溫濕度檢測和控制、電磁防護、防雷等在 項目的整體設計、建設、工藝安裝等階段均會 按照機房建設的標準嚴格執行,并通過最終的 竣工驗收和行業驗收才會交付使用。物理訪問 控制,主要體現在核心機房等重要場所的電子 門禁系統的安裝和使用,對外來人員出入機房 的鑒別、登記、施工管理等,目前已有較為完 備的管理制度和流程。因此,物理環境安全基 本滿足要求。
MH/T 4029.2—2012《民用航空空中交通管 制自動化系統 第 2 部分:技術要求》 中對空 管自動化系統的設備和網絡的冗余、狀態監控 功能等有明確的要求。目前,主流的空管自動化系統已經充分考慮了硬件設備(如交換機、服務器、工作站等)的運行性能、接口類型的 適用性以及運行網絡上的冗余等,并且會在工 廠環境中、現場設備安裝期間進行大量、長時 間的性能和穩定性測試, 確保滿足要求。因此,系統的硬件、網絡的性能、冗余度也基本滿足 要求。后面,將主要針對系統在安全通信網絡、 安全區域邊界和安全計算環境等方面就測評和 整改實施進行研究。
02 網絡安全建設規劃與實施
項目建設階段是信息安全建設和整改的最 佳時機。按照 GB/T 25058—2019《信息安全技 術 網絡安全等級保護實施指南》中的“同步建 設原則”,即信息系統在新建、改建、擴建時 應當同步規劃和設計安全方案,投入一定比例 的資金建設信息安全設施,保障信息安全與信息化建設相適應。
2.1 信息安全建設規劃
結合主備空管自動化系統自身結構、各系統 間數據 交互 及防 火墻 端口情況, 在安 裝建設過程中規劃的防火墻安裝方案如圖 2 所示。方案中對所有的系統互聯、數據引接和輸出端口均進行了安全隔離。
圖 2 兩套空管自動化系統的防火墻安裝方案
2.2 系統建設與安裝調試
在國內空管單位,空管自動化系統架構采 用終端控制單元(Terminal Control Unit,TCU) 模式且在各分區邊界和數據輸入、輸出邊界均 配置邊界防火墻進行安全隔離的尚屬首次。因 此,給自動化系統的安裝調試增加了一定難度。
2.2.1 防火墻安裝增加了施工難度
兩個空管自動化系統廠家在國內現場沒有 安裝和使用防火墻的先例,廠家對現場數據互聯的結構并不完全清楚。根據現場提供的安裝和數據引接需求,廠家對原有的安裝方案進行 了及時調整,并按照要求完成了安裝調試。
2.2.2 端口配置不匹配導致數據頻繁瞬斷
防火墻安裝后,自動化系統監控提示與遠 程塔臺之間的鏈路存在頻繁瞬斷現象,如圖 3 所示。檢查交換機、防火墻和中間運營商專線 傳輸設備端口配置,發現傳輸設備端口多處使 用了各自的默認配置,互聯端口速率(百兆 / 千兆)和模式(自協商 / 全雙工)不匹配,導致 數據傳輸不穩定。統一各設備端口速率和模式后,鏈路恢復正常。
圖 3 自動化至遠程塔臺 A 網瞬斷狀態顯示
2.2.3 數據通信方式不兼容導致系統降級
至發送的測試包超過一定數量后,服務器才會發備用自動化系統的主工作網絡由 A、B 網以 級聯的形式組成,當正在使用的一條網絡故障后,可快速自動切換至另一條網絡工作。但在實 際測試中發現,在 A 網中斷后自動切換至 B 網 需要約 1 分鐘時間,導致主分區與遠程塔臺分區 之間的連接中斷,塔臺設備自動降級至本地旁路模式,需要手動升級才能恢復。B 網切換至 A 網 時情況相同。通過對系統數據傳輸、切換機制和 防火墻配置進行比對分析發現,故障由防火墻配 置與自動化系統數據通信方式不兼容導致。A 網 防火墻在收到傳輸控制協議(Transmission Control Protocol,TCP) 建鏈首包后,會在防火墻內建立 一條會話,后續的數據包在這條會話內通行。被 強行切換到 B 網鏈路后, 由于 B 防火墻內沒有該 TCP 鏈接會話,服務器又只是重發測試包而不是發首包要求建鏈,導致所有重發包都被丟棄,直首包重新建鏈,此時網絡才會完成切換。解決方案為修改防火墻配置,關閉 TCP 鏈路會話檢測功 能,測試鏈路自動切換功能運行正常。
03 現場測評與安全整改
現場測評的主要內容包括安全管理制度審 查、用戶訪談以及對被測評信息系統進行漏洞 掃描等項目。測評后,用戶根據測評機構提供 的差距報告,對存在的問題采取針對性的安全 加固等措施,實施安全整改。
3.1 現場測評
測評公司根據三級信息系統等保 2.0 標準, 對現場主備自動化系統進行漏洞掃描并出具測 試報告。初步測評發現的主備兩套系統漏洞分 布情況如表 1、表 2 所示。根據表中可以看出兩套系統均存在高風險項,且高風險占比相當。
表 1 初步漏掃發現的萊斯自動化系統漏洞情況
表 2 初步漏掃發現的華泰自動化系統漏洞情況
3.2 風險項整改
根據三級信息系統的安全通用要求和兩套 自動化系統的測評結果,實施的具體整改措施 如下。
3.2.1 網絡加固
網絡加固主要解決“安全區域邊界”中的 邊界防護、入侵防范、惡意代碼和垃圾郵件防范、 安全審計、可信驗證和訪問控制等方面存在的風險項,采取的整改措施如下。
(1) 防火墻安裝及入侵防御 / 防病毒(IPS/ AV)特征庫升級:自動化系統網絡與外部網絡 之間在建設時已通過加裝防火墻進行安全隔離。此外對邊界防火墻實施了 IPS 和 AV 等特征庫的授權和升級,如圖 4 所示。
圖 4 山石防火墻特征庫升級
(2)交換機登錄與端口加固:在交換機中配 置不同的用戶,并分配不同權限和登錄方式, 設置 登錄失敗鎖定和超時退出功能,如圖 5 所示。所有用戶強制使用安全外殼協議(ssh)登錄,如圖 6 所示。禁用不使用的端口, 防止非法接入, 如圖 7 所示。
圖 5 交換機建立不同用戶和級別、登錄失敗鎖定
圖6 交換機開啟 ssh 登錄
圖 7 關閉交換機空閑端口
(3)交換機簡單網絡管理協議(SNMP) 默 認 團 體 名 修 改: 使 用 snmp-server community 語句修改交換機中 SNMP 協議 daemon 使用的 團體名(community), 不再使用默認的 public/ private 團體名,驗證結果如圖 8 所示。
圖 8 交換機 SNMP 默認團體名修改
3.2.2 操作系統加固
操作系統漏洞主要集中在身份鑒別、訪問 控制、安全審計、入侵防范、可信驗證等方面,采取的主要整改措施如下。
(1)密碼與登錄加固、三權分立:修改 / etc/pam.d/system.auth 文件, 設置密碼最小長度 8 位、密碼復雜度、登錄失敗次數限制等要求, 如圖 9 所示。修改 /etc/profile, 設置系統登錄超 時退出,并增加安全管理員、系統管理員和審計管理員,賦予不同的權限,實現三權分立。 如圖 10 所示。
(2)終端審計與記錄存儲:修改系統 /etc/ audit/audit.rules 審計規則, 開啟主機的審計功能, 如圖 11 所示。同時將主機審計記錄和業務審計 記錄集中存儲到日志服務器上,如圖 12 所示。
(3)終端接入限制與殺毒軟件安裝:修改 /etc/ssh/ssh_config, 僅允許可信的終端訪問, 如 圖 13 所示。
主要服務器安裝安全狗殺毒軟件(safedog), 并開啟相應策略,如圖 14 所示。
圖 9 密碼復雜度與登錄限制
圖10三權分立賬戶設置
圖11 開啟主機的日記審計功能
圖 12 主機審計記錄和業務審計記錄集中存儲
圖 13 終端接入限制
圖 14 殺毒軟件安裝
(4) Linux 操作系統加固:修改操作系統 / etc/snmp/snmpd.conf 文件中的 SNMP 默認團體名, 不再使用 Public/Private 默認團體名, 修改后驗 證方式及結果與圖 9 相同。
OpenSSH 漏 洞 解 決。OpenSSH 是 SSH 協 議 的免費開源實現,低版本的 OpenSSH 中存在多 項高危漏洞,如函數權限提升漏洞、遠程代碼 執行漏洞和緩沖區錯誤漏洞等。將 OpenSSH 版 本升級至高版本后即可解決以上高風險漏洞。
Apache HTTP Server 漏洞解決。Apache HTTP Serve 是 Apache 軟件基金會的一個開放源代碼網 頁服務器,低版本的 Apache HTTP Server 中同 樣存在多項安全漏洞,如空指針間接引用、緩 沖區溢出和身份驗證繞過等高風險漏洞。因空 管自動化系統不使用 Apache HTTP Server, 將 其 關 閉(systemctl diasble httpd.service) 后即可解決。
(5)關閉遠程 X 服務:在空管自動化系統中,遠程 X 服務主要用于遠程調試和維護,但 存在一定的網絡安全隱患。關閉方式為:新建 / home/atc/.xserverrc 文 件, 增 加 內 容“exec X :0 -nolisten tcp”。-nolisten tcp 關閉 X 服務的監聽 端口,使其無法作為 X 服務器投射其他席位的 程序即可。
(6)安裝堡壘機:為了解決安全審計和入 侵防范的問題,對兩套自動化系統采購并安裝 了堡壘機。采用堡壘機進行運維時,堡壘機本 身的密碼驗證和登錄系統時的密碼驗證采取的 是雙重身份鑒別方式,可以作為雙因素身份驗 證的替代方案。雖然未達到使用兩種或兩種以 上組合的鑒別技術進行身份鑒別的要求,但已 經可以在一定程度上減少身份鑒別的風險,將 高風險項降低為中低風險。
3.2.3 數據庫加固
(1)密碼與登錄加固:該項內容與操作系 統整改方式類似,在 ORACLE 數據庫中設置密碼最小長度 8 位、密碼復雜度、登錄失敗次數限制、系統登錄超時退出等要求, 如圖 15 所示。
圖 15 數據庫密碼與登錄加固
(2)賬戶三權分立與無用賬戶清理:創建 數據庫安全管理員、系統管理員和審計管理員 用戶,并賦予相應的權限,實現三權分立,如 圖 16 所示。對一些系統自帶無用賬戶進行了清 理,如圖 17 所示。
圖 16 建立數據庫三權分立賬戶
圖 17 清理無用賬戶
(1)密碼與登錄加固:與操作系統和數據 庫類似,設置自動化系統應用程序密碼最小長 度 8 位、密碼復雜度、登錄失敗次數限制等要求,如圖 18、圖 19 所示。
圖 18 密碼復雜度
圖 19 登錄失敗鎖定
(3) 數據庫審計機安裝:為了實現對萊斯 系統數據庫審計記錄進行保護,定期備份,避 免受到未預期的刪除、修改或覆蓋等,對萊斯 自動化新系統安裝了數據庫審計機。華泰系統 中因無數據庫,無須安裝數據庫審計設備。
3.2.4 自動化系統應用軟件加固
在漏洞掃描報告中,自動化系統應用軟件存在的主要問題為密碼復雜度、登錄驗證和賬戶三權分立。
(2)賬戶三權分立:與操作系統和數據庫 類似,在應用軟件中配置安全管理員、系統管 理員和審計管理員賬戶,并賦予相應的權限,實現三權分立,如圖 20 所示。
圖 20 賬戶三權分立
04 結 語
空管自動化系統的等保測評建設和整改工 作仍處于探索前進的階段,在開展網絡安全系 統建設和問題整改過程中會遇到不少問題,也可以不斷積累經驗。經過系統建設前期的安全 建設規劃、安全設備加裝、測評和整改、備案 材料準備、提交和審核等環節,兩套系統基本 達到了三級信息系統的等保測評要求。根據等 保測評機構提供的測評報告,在整改過程中采 取的防護措施安全有效,主備兩套空管自動化 系統順利通過等保 2.0 標準測評。后續,將根據 等級保護測評要求,不斷完善各種安全防護措 施,提高系統網絡安全防護能力。
引用本文: 郭金亮 . 空管自動化系統等保測評實踐與安全防護技術研究 [J]. 信息安全與通信保密 ,2021(11):126-135.
