空管自动化系统等保测评实践与安全防护技术研究

摘　要：

空管自动化系统是空中交通管制单位对空指挥的核心调度系统， 属于国家关键基础 信息系统。为推动空管自动化系统网络安全等级保护测评工作顺利实施，根据等级保护测评 要求和空管自动化系统结构和业务特点，阐述了空管自动化系统等保测试开展的实施流程，实现了主要风险项整改，并详细描述了整改的技术措施和方案。根据复测结果显示， 经过积 极整改和安全加固，主备两套空管自动化系统顺利通过等级保护 2.0 标准测评。

内容目录：

1 等级保护的基本要求与定级

1.1　等级保护的相关标准

1.2　空管自动化系统等保定级和基本要求

2　网络安全建设规划与实施

2.1　信息安全建设规划

2.2.1　防火墙安装增加了施工难度

2.2.2　端口配置不匹配导致数据频繁瞬断

2.2.3　数据通信方式不兼容导致系统降级

2.2　系统建设与安装调试

3　现场测评与安全整改

3.1　现场测评

3.2　风险项整改

3.2.1　网络加固

3.2.2 操作系统加固   

3.2.3　数据库加固

3.2.4　自动化系统应用软件加固

近年来，在全球范围内爆发的信息和数据 泄露、网络监听以及针对交通、能源、医疗等 重要公共基础服务行业的勒索病毒攻击事件不断提醒我们，网络和信息安全领域面临越来越 大的挑战。“没有网络安全就没有国家安全”， 习近平总书记指出了网络安全的重要性。《中华 人民共和国网络安全法》明确规定，国家实行 网络安全等级保护制度，是从国家层面对等级 保护工作的法律认可。

空管自动化系统是空管系统对空指挥的核心调度系统，随着信息技术的发展，其信息化 程度越来越高。目前，国内各空管单位针对空 管自动化系统的等保测评建设工作正在逐步开展，但整体进度较慢。本文主要结合等级保护 测评的相关标准和规范要求，对空管自动化系 统等级保护测评规划与建设、整改实施等过程 中采用的安全防护技术进行研究。

01 等级保护的基本要求与定级

目前，国家和民航系统针对信息系统的等 级保护出台了相应的法规和标准。

1.1　等级保护的相关标准

经多次修改完善， 全国信息安全标准化技术 委 员 会 于 2019 年 12 月 1 日 颁 布 实 施 GB/T22239—2019《信息安全技术 网络安全等级保护 基本要求》 、GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》、GB/T 28448—2019《信息安全技术 网络安全等级保护 测评要求》 、GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》 4 个标准文件 。

为全面落实民航系统网络安全等级保护制 度，民航局依据国家网络安全相关文件，先后 出台了 MH/T 0051—2015《民用航空信息系统安 全等级保护实施指南》、MH/T 0069—2018《民 用航空网络安全等级保护定级指南》 、MH/T 0076—2020《民用航空网络安全等级保护基本要 求》3 个行业标准。

1.2　空管自动化系统等保定级和基本要求

根据 MH/T 0069—2018《民用航空网络安全 等级保护定级指南》，空管自动化系统被定为 三级信息系统，即该类信息系统受到破坏后， 会对国家安全、社会秩序造成损害，对公共利 益造成严重损害，对公民、法人和其他组织的 合法权益造成特别严重的损害。

GB/T 22239—2019《信息安全技术 网络安 全等级保护基本要求》和 MH/T 0076—2020《民 用航空网络安全等级保护基本要求》对三级信 息系统的安全通用要求主要分为技术要求和管理要求两大模块，如图 1 所示。

图 1   等级保护及备件要求

根据三级信息系统的等级保护基本要求， 设备机房应满足“安全物理环境”要求。在当 前的空管系统内，管制大楼的选址、供电、消防、温湿度检测和控制、电磁防护、防雷等在 项目的整体设计、建设、工艺安装等阶段均会 按照机房建设的标准严格执行，并通过最终的 竣工验收和行业验收才会交付使用。物理访问 控制，主要体现在核心机房等重要场所的电子 门禁系统的安装和使用，对外来人员出入机房 的鉴别、登记、施工管理等，目前已有较为完 备的管理制度和流程。因此，物理环境安全基 本满足要求。

MH/T 4029.2—2012《民用航空空中交通管 制自动化系统 第 2 部分：技术要求》 中对空 管自动化系统的设备和网络的冗余、状态监控 功能等有明确的要求。目前，主流的空管自动化系统已经充分考虑了硬件设备（如交换机、服务器、工作站等）的运行性能、接口类型的 适用性以及运行网络上的冗余等，并且会在工 厂环境中、现场设备安装期间进行大量、长时 间的性能和稳定性测试， 确保满足要求。因此，系统的硬件、网络的性能、冗余度也基本满足 要求。后面，将主要针对系统在安全通信网络、 安全区域边界和安全计算环境等方面就测评和 整改实施进行研究。

02 网络安全建设规划与实施

项目建设阶段是信息安全建设和整改的最 佳时机。按照 GB/T 25058—2019《信息安全技 术 网络安全等级保护实施指南》中的“同步建 设原则”，即信息系统在新建、改建、扩建时 应当同步规划和设计安全方案，投入一定比例 的资金建设信息安全设施，保障信息安全与信息化建设相适应。

2.1　信息安全建设规划

结合主备空管自动化系统自身结构、各系统 间数据 交互 及防 火墙 端口情况，  在安 装建设过程中规划的防火墙安装方案如图 2 所示。方案中对所有的系统互联、数据引接和输出端口均进行了安全隔离。

图 2   两套空管自动化系统的防火墙安装方案

2.2　系统建设与安装调试

在国内空管单位，空管自动化系统架构采 用终端控制单元（Terminal Control Unit，TCU） 模式且在各分区边界和数据输入、输出边界均 配置边界防火墙进行安全隔离的尚属首次。因 此，给自动化系统的安装调试增加了一定难度。  

2.2.1　防火墙安装增加了施工难度

两个空管自动化系统厂家在国内现场没有 安装和使用防火墙的先例，厂家对现场数据互联的结构并不完全清楚。根据现场提供的安装和数据引接需求，厂家对原有的安装方案进行 了及时调整，并按照要求完成了安装调试。

2.2.2　端口配置不匹配导致数据频繁瞬断

防火墙安装后，自动化系统监控提示与远 程塔台之间的链路存在频繁瞬断现象，如图 3 所示。检查交换机、防火墙和中间运营商专线 传输设备端口配置，发现传输设备端口多处使 用了各自的默认配置，互联端口速率（百兆 / 千兆）和模式（自协商 / 全双工）不匹配，导致 数据传输不稳定。统一各设备端口速率和模式后，链路恢复正常。

图 3   自动化至远程塔台 A 网瞬断状态显示

2.2.3　数据通信方式不兼容导致系统降级

至发送的测试包超过一定数量后，服务器才会发备用自动化系统的主工作网络由 A、B 网以 级联的形式组成，当正在使用的一条网络故障后，可快速自动切换至另一条网络工作。但在实 际测试中发现，在 A 网中断后自动切换至 B 网 需要约 1 分钟时间，导致主分区与远程塔台分区 之间的连接中断，塔台设备自动降级至本地旁路模式，需要手动升级才能恢复。B 网切换至 A 网 时情况相同。通过对系统数据传输、切换机制和 防火墙配置进行比对分析发现，故障由防火墙配 置与自动化系统数据通信方式不兼容导致。A 网 防火墙在收到传输控制协议（Transmission Control Protocol，TCP） 建链首包后，会在防火墙内建立 一条会话，后续的数据包在这条会话内通行。被 强行切换到 B 网链路后， 由于 B 防火墙内没有该 TCP 链接会话，服务器又只是重发测试包而不是发首包要求建链，导致所有重发包都被丢弃，直首包重新建链，此时网络才会完成切换。解决方案为修改防火墙配置，关闭 TCP 链路会话检测功 能，测试链路自动切换功能运行正常。

03 现场测评与安全整改

现场测评的主要内容包括安全管理制度审 查、用户访谈以及对被测评信息系统进行漏洞 扫描等项目。测评后，用户根据测评机构提供 的差距报告，对存在的问题采取针对性的安全 加固等措施，实施安全整改。

3.1　现场测评

测评公司根据三级信息系统等保 2.0 标准， 对现场主备自动化系统进行漏洞扫描并出具测 试报告。初步测评发现的主备两套系统漏洞分 布情况如表 1、表 2 所示。根据表中可以看出两套系统均存在高风险项，且高风险占比相当。

表 1 初步漏扫发现的莱斯自动化系统漏洞情况

表 2 初步漏扫发现的华泰自动化系统漏洞情况

3.2　风险项整改

根据三级信息系统的安全通用要求和两套 自动化系统的测评结果，实施的具体整改措施 如下。

3.2.1　网络加固

网络加固主要解决“安全区域边界”中的 边界防护、入侵防范、恶意代码和垃圾邮件防范、 安全审计、可信验证和访问控制等方面存在的风险项，采取的整改措施如下。

（1） 防火墙安装及入侵防御 / 防病毒（IPS/ AV）特征库升级：自动化系统网络与外部网络  之间在建设时已通过加装防火墙进行安全隔离。此外对边界防火墙实施了 IPS 和 AV 等特征库的授权和升级，如图 4 所示。

图 4   山石防火墙特征库升级

（2）交换机登录与端口加固：在交换机中配  置不同的用户，并分配不同权限和登录方式， 设置 登录失败锁定和超时退出功能，如图 5 所示。所有用户强制使用安全外壳协议（ssh）登录，如图 6 所示。禁用不使用的端口， 防止非法接入， 如图 7 所示。

图 5   交换机建立不同用户和级别、登录失败锁定

图６　交换机开启 ssh 登录

图 7　关闭交换机空闲端口

（3）交换机简单网络管理协议（SNMP） 默 认 团 体 名 修 改：  使 用 snmp-server community 语句修改交换机中 SNMP 协议 daemon 使用的 团体名（community）， 不再使用默认的 public/ private 团体名，验证结果如图 8 所示。

图 8   交换机 SNMP 默认团体名修改

3.2.2 操作系统加固                        

操作系统漏洞主要集中在身份鉴别、访问 控制、安全审计、入侵防范、可信验证等方面，采取的主要整改措施如下。

（1）密码与登录加固、三权分立：修改 / etc/pam.d/system.auth 文件， 设置密码最小长度 8 位、密码复杂度、登录失败次数限制等要求， 如图 9 所示。修改 /etc/profile， 设置系统登录超 时退出，并增加安全管理员、系统管理员和审计管理员，赋予不同的权限，实现三权分立。 如图 10 所示。

（2）终端审计与记录存储：修改系统 /etc/ audit/audit.rules 审计规则， 开启主机的审计功能， 如图 11 所示。同时将主机审计记录和业务审计 记录集中存储到日志服务器上，如图 12 所示。

（3）终端接入限制与杀毒软件安装：修改 /etc/ssh/ssh_config，  仅允许可信的终端访问， 如 图 13 所示。

主要服务器安装安全狗杀毒软件（safedog）， 并开启相应策略，如图 14 所示。

图 9   密码复杂度与登录限制

图１0三权分立账户设置

图11 开启主机的日记审计功能

图 12   主机审计记录和业务审计记录集中存储

图 13   终端接入限制

图 14   杀毒软件安装

（4） Linux 操作系统加固：修改操作系统 / etc/snmp/snmpd.conf 文件中的 SNMP 默认团体名， 不再使用 Public/Private 默认团体名， 修改后验 证方式及结果与图 9 相同。

OpenSSH 漏 洞 解 决。OpenSSH 是 SSH 协 议 的免费开源实现，低版本的 OpenSSH 中存在多 项高危漏洞，如函数权限提升漏洞、远程代码 执行漏洞和缓冲区错误漏洞等。将 OpenSSH 版 本升级至高版本后即可解决以上高风险漏洞。

Apache HTTP Server 漏洞解决。Apache HTTP Serve 是 Apache 软件基金会的一个开放源代码网 页服务器，低版本的 Apache HTTP Server 中同 样存在多项安全漏洞，如空指针间接引用、缓 冲区溢出和身份验证绕过等高风险漏洞。因空 管自动化系统不使用 Apache HTTP Server， 将 其 关 闭（systemctl diasble httpd.service） 后即可解决。

（5）关闭远程 X 服务：在空管自动化系统中，远程 X 服务主要用于远程调试和维护，但 存在一定的网络安全隐患。关闭方式为：新建 / home/atc/.xserverrc 文 件，  增 加 内 容“exec X :0 -nolisten tcp”。-nolisten tcp 关闭 X 服务的监听 端口，使其无法作为 X 服务器投射其他席位的 程序即可。

（6）安装堡垒机：为了解决安全审计和入 侵防范的问题，对两套自动化系统采购并安装 了堡垒机。采用堡垒机进行运维时，堡垒机本 身的密码验证和登录系统时的密码验证采取的 是双重身份鉴别方式，可以作为双因素身份验 证的替代方案。虽然未达到使用两种或两种以 上组合的鉴别技术进行身份鉴别的要求，但已 经可以在一定程度上减少身份鉴别的风险，将 高风险项降低为中低风险。

3.2.3　数据库加固

（1）密码与登录加固：该项内容与操作系 统整改方式类似，在 ORACLE 数据库中设置密码最小长度 8 位、密码复杂度、登录失败次数限制、系统登录超时退出等要求， 如图 15 所示。

图 15   数据库密码与登录加固

（2）账户三权分立与无用账户清理：创建 数据库安全管理员、系统管理员和审计管理员 用户，并赋予相应的权限，实现三权分立，如 图 16 所示。对一些系统自带无用账户进行了清 理，如图 17 所示。

图 16　建立数据库三权分立账户

图 17　清理无用账户

（1）密码与登录加固：与操作系统和数据 库类似，设置自动化系统应用程序密码最小长 度 8 位、密码复杂度、登录失败次数限制等要求，如图 18、图 19 所示。

图 18   密码复杂度

图 19   登录失败锁定

（3） 数据库审计机安装：为了实现对莱斯 系统数据库审计记录进行保护，定期备份，避 免受到未预期的删除、修改或覆盖等，对莱斯 自动化新系统安装了数据库审计机。华泰系统 中因无数据库，无须安装数据库审计设备。

3.2.4　自动化系统应用软件加固

在漏洞扫描报告中，自动化系统应用软件存在的主要问题为密码复杂度、登录验证和账户三权分立。

（2）账户三权分立：与操作系统和数据库 类似，在应用软件中配置安全管理员、系统管 理员和审计管理员账户，并赋予相应的权限，实现三权分立，如图 20 所示。

图 20   账户三权分立

04 结　语

空管自动化系统的等保测评建设和整改工 作仍处于探索前进的阶段，在开展网络安全系 统建设和问题整改过程中会遇到不少问题，也可以不断积累经验。经过系统建设前期的安全 建设规划、安全设备加装、测评和整改、备案 材料准备、提交和审核等环节，两套系统基本 达到了三级信息系统的等保测评要求。根据等 保测评机构提供的测评报告，在整改过程中采 取的防护措施安全有效，主备两套空管自动化 系统顺利通过等保 2.0 标准测评。后续，将根据 等级保护测评要求，不断完善各种安全防护措 施，提高系统网络安全防护能力。

引用本文： 郭金亮 . 空管自动化系统等保测评实践与安全防护技术研究 [J]. 信息安全与通信保密 ,2021(11):126-135.