1空管自动化信息系统安全分析
信息安全风险评估贯穿于信息系统的各个阶段,在空管自动化信息系统的安全性分为系统安全、管理安全和网络安全。
1.1系统安全
空管自动化系统平台只是一个软件层面,在这个层面内,提供了各种业务的服务界面和系统入口。该自动化系统平台有较多功能,如显示子系统、飞行计划处理子系统、雷达数据处理子系统、航迹融合子系统等。系统中存在的大量子系统会使得系统内数据格式不断进行转换,而且要对数据进行快速处理,这就要求系统具备格式转换、计算融合、空域规划等功能。另外,在空管自动化系统中,还会包含管理体系规定及系统信息相关活动,我国空管自动化系统在各个单位中所使用的各不相同,但是容易产生问题的环节上都集中体现在以下几个方面。系统软件和服务易产生漏洞,当系统中开发的端口过多,另外,系统在对大量数据进行处理过程中存在无用服务,如SMTP服务、SNMP服务、WEB服务等。另外,空管自动化系统平台主机安装的三方软件由于技术原因,可能会存在安全漏洞,一旦第三方软件出现安全漏洞,这种安全漏洞会通过漏洞扫描软件的识别,必将导致系统主机受到漏洞的影响,发生安全问题。另外系统在进行共享公用时也会出现安全问题,当多个系统在同一个主机运行时,或多个业务公用一个主机,将会使得主机内各个系统相互影响,某一个系统出现安全问题将对其他系统产生影响。系统密码安全是保障信息安全的关键,但是在一些空管单位系统中,系统密码存在不安全的现象,密码不安全的直接表现就是弱密码。弱密码通常是组合简单,一些空管系统管理人员喜欢将密码设置为自己的生日、电话等,这显然是对系统密码不负责任的表现。另外一些系统密码实行默认设置,这也存在安全隐患。
1.2管理安全
对空管自动化系统安全进行研究时,必须要考虑到人为因素。人为因素具有不可预测性,空管自动化系统发生安全问题多数是来自于人为原因。通过对空管工人人员进行管理,能够有效的控制人为因素对空管系统安全的影响。管理安全是空管系统安全体系中重要的组成部分,对空管自动化系统中的关键部分进行研究,可以发现在空管自动化系统管理中存在的问题。当前空管单位在安全管理制度上存在制度内容缺失,如外部人员安全管理、系统设施安全检查制度、安全巡查事件报告机制等,没有完善的安全管理制度,将使空管单位系统安全难以得到有效的保障。一些单位制定了安全管理制度,但是空管单位工作人员自身缺乏信息安全意识,使得安全管理制度不能有效得到执行,没有安全监察进行监督,使得安全管理制度形同虚设。或是信息安全策略体系不完整,结构松散,信息安全责任不明确。从这些问题中可以发现这些问题产生的根本在于员工上,因此对于空管单位来说,进行完善的信息安全教育和培训对加强空管自动化系统信息安全有着重要的作用。空管单位建立完善的安全管理体系,并对各个岗位的工作人员进行明确的职责划分,实行岗位信息安全监督保证空管系统信息安全。
1.3网络安全
空管信息系统是由网络拓扑和物理布局共同构成的,在网络结构中有着多种外接网络数据信源。为了获得雷达数据需要连接雷达网络数据,类似于这种外接数据的还有外接气象网络数据、外接报文网络数据等。网络拓扑结构包括了路由器、数据处理器等硬件设备。空管系统对服务器的控制力度不足,很多单位的系统仅仅通过防火墙来对信息进行防护,虽然空管系统网络面向的是内部访问,但是也应对此进行重视。服务器系统在网络访问控制上缺乏控制策略。因此建立有效的管理策略,实行多重信息防护策略是加强服务器控制的直接方式。一些单位在网络设备上没有良好的防护,空管单位应该对终端IP实行严格的控制,防止冒名登录IP情况的发生。另外网络设备维护权限管理不够严格,没有对登录账户进行划分。空管单位要对内部人员的账户定期进行检查和确认,并对不同职级、不同部门账户设置相应的权限,严防跨部门登录账户情况的出现。
2结论
空管自动化系统信息安全的保证需要多方面的努力。首先就是空管单位及工作人员,要树立信息安全意识,树立责任心,制定安全管理制度并严格遵守制度。另外就是完善技术,减少不必要的系统服务,降低系统信息安全发生危险的概率。
作者:王坤 单位:中国民用航空西南地区空中交通管理局云南分局