投稿到民航资源网

智慧民航信息系统安全防护研究

 2021-11-16 10:56:20 来源:民航资源网 作者:孙立华、丁磊、韩建云、李宪武、殷迦龙  [投稿排行榜]

      摘要:本文系统描述了智慧民航的组成部分,并且从智慧民航感知层、协议层、应用层和管理层的角度出发具体的分析了主要面临的网络安全风险,进而,提出了一系列智慧民航网络安全的保障策略,该策略主要涵盖了大数据挖掘技术、数据加密技术、制度建设等方向,主要涉及终端安全、通信网络安全、服务端安全和管理安全。通过该体系的动态关联评估和积极主动防御,可以有效协助智慧民航构建安全可信的网络运行环境。

      关键字:智慧民航,网络安全,防护策略

    一、智慧民航介绍

      智慧城市、智慧校园、智慧医疗等产业方兴未艾,民航作为重要的交通运输行业,智慧民航也正在蓬勃发展。智慧民航综合运用物联网、大数据、云计算等新一代信息和通信技术构建现代民航运行体系,以实现对民航运输中信息传输、航班保障、商业推广等各环节业务的精细化、协同化、可视化、智能化运营与管理,为旅客提供安全、高效、便捷、舒适的出行服务。因此,智慧民航是我国民航实现高质量发展的必然要求,也是我国民航高效率运营管理的内在需要,更是我国从民航大国迈向民航强国的必由之路。

      2019年3月,冯正霖局长指出:智慧民用航空运输系统[1](简称“智慧民航”)是运用新一轮科技革命和产业变革的最新成果,分析整合各种关键信息和要素资源,最终实现对行业安全、服务、运营和保障等需求做出数字化处理、智能化响应和智慧化支撑的建设过程,典型特征是人工智能、物联网、云计算、移动互联网和大数据等新一代信息技术在民航的广泛应用和深度融合。可见,智慧民航是以数据为核心,以传输协议为载体,以应用服务为目的,整合各单位业务流、信息流、资金流、价值流等资源,形成“全面感知、泛在互联、人机协同、全球共享”的基本业务形态。

      而对于民航运输,安全是不可触碰的底线,如何保障智慧民航网络安全是加快推进行业治理体系和治理能力现代化建设的重要课题,也是新时期推动我国智慧民航发展的一项重要任务。

    二、智慧民航面临的网络安全威胁

      2.1 感知层威胁

      智慧民航把民航机场、航空公司、空管部门连接到网络系统中,通过人工智能技术实现对民航机场、航空公司、空管部门的智能化系统调控。为了达到智能化的目的,需要部署大量的感知设备,从而实现对旅客个人信息、飞行数据、指挥数据等信息的实时采集。一旦终端感知设备漏洞被利用,可能面临以下威胁:(1)遭受木马、病毒攻击,造成感知设备处于非法控制和脱网状态;(2)旅客个人信息泄露;(3)航空信息泄露,主要是航班航线信息、飞行数据;(4)恶意攻击:破坏机场自助服务系统。

      航空公司使用通用旅客处理系统以保障7*24小时的客户支持,并通过自动智能设备压缩旅客身份核验时间。自助值机系统部署广泛,由多家航空公司以及运营公共服务的第三方使用和共享。这些设备中大多数运行着常用的操作系统、固件或专有软件。尽管这些设备利用内部网络连接到内部服务器,但它们通常提供远程管理功能,存在暴露在公共网络空间中的可能,因此容易受到篡改攻击。攻击一旦发生,也将影响机场中其他网络设备或信息物理系统,如行李处理、门禁系统、空调控制系统和配电系统,这些系统广泛分布于机场基础设施中。尽管过去这些系统彼此隔离,但随着两化融合,正在快速向相互连接,相互依赖转型。

      洛杉矶机场发生过针对行李处理系统的恶意网络攻击安全事,导致机场的CUPPS和SCADA设备受损,攻击者成功感染了与其互连的其他业务系统和相关数据库。而这类系统一般缺乏日志记录和审计功能,无法实现早期异常检测和应急响应。网络入侵导致了所提供的服务运行中断外,也普遍出现了被篡改数据。虽然大多数机场的不同业务使用独立网络域,但根据控制的有效性,级联效应有可能影响航空侧和陆地侧操作的安全运行。

      2.2 协议层威胁

      智慧民航建设的基础是网络设施,只有保证构建完善的网络通信系统才能有效支撑智慧民航的运行。通信网络主要包含物联网和互联网。智慧民航物联网常用的协议主要为蓝牙、ZigBee、Wi-Fi,TCP/IP协议等,信号传输过程中容易被黑客劫持、窃听甚至篡改。主要面临2类网络安全威胁:(1)黑客发动拒绝服务攻击,造成网络拥塞。(2)网络的非法越权访问,获得系统内部敏感数据。

      2.3 数据层威胁

      智慧民航往往依托大数据,数据主要以分布式存储方式存储在云端。随着智慧民航应用数量的快速发展,数据源多、数据量大、数据标准不一致等问题日益凸显[2]

      数据层主要面临的风险是:

      (1)数据资源缺乏统一管理。由于数据资源管理缺少顶层设计,数据收集过程面临数据泄露、损坏、篡改等风险;数据生产、采集、存储等环节闭环运作时,责任主体不清晰,责任边界模糊,数据的处理活动难以控制。

      (2)数据资源共享不充分。智慧民航运营程序繁琐且跨网数据交换较多,欠缺适合大数据的法律法规以及长效机制,各单位之间严重欠缺对数据的规范要求以及对接标准,出现数据资源互相独立,缺乏关联机制、协同能力,无法完成信息集成和数据共享。

      (3)信息资源标准不统一。智慧民航未制定信息资源标准和规范,基础数据和业务数据存在“一数多源”现象,造成数据统计不准确。

      2.4 应用层威胁

      智慧民航在建设过程中基于大数据和云计算部署了大量应用系统,这些系统均关系到飞行安全,其中包含大量航班数据、个人信息数据、气象数据以及电子政务数据。因此,应用系统一旦被破坏,可能造成业务连续性间断和数据恢复灾难,最终将极大的影响到飞行安全和旅客出行。

      智慧民航网络复杂,允许通过二级和三级的分发级别访问数据。人工智能的应用,允许员工和维护人员使用自己的智能设备进行应用层访问,因此更容易受到网络恶意攻击。此外,航空和ATM系统增加了IP连接的使用,以提高效率和互操作性,这可能导致未经授权的访问连接。已有研究表明,乘客或员工的智能设备如果感染了恶意代码,一旦连入网络,极有可能自动访问机载系统进行病毒繁殖,影响系统的完整性和可用性。类似的攻击也可以通过安装到机场网站或内网的恶意软件来实现,同时造成机场用户设备感染,从而使恶意攻击者有机会通过这些受感染的设备访问机场网络和关键信息系统。

      2.5 管理层威胁

      (1)管理制度的不完善。在近年内,国家越来越重视网络安全,而企事业单位对网络安全的重视程度相对滞后。上层网络安全管理架构不完善,网络安全管理方案不到位,操作规程不详细,应急预案不完备,没有形成一套完整的网络安全管理制度,造一般采取“亡羊补牢”式的补救措施。

      (2)国家监管与行业监管不完备。中央网信办、公安部十一局、民航局人教司等国家和行业的网络安全监管部门,以法律法规和管理办法为抓手,充分调动社会资源积极性参与到行业监管的工作中。但是行业内部监管人员严重不足,监察员多身兼数职,培训体系也不够完善,导致监察的深度不够,不能起到很好的监察效果。

      (3)技术人员严重不足。企事业单位每年因招聘名额的限制,导致实际的网络安全技术人员严重不足,一个中型机场,其可能只具备一个网络安全管理员,而技术人员的水平能力因各种网络安全管理事宜,可能多年未有提升,不能有效的在技术层面支撑网络安全。

      (4)资金不到位。企事业单位存在对网络安全资金投入存在误解,除购置设备外,也应该考虑技术服务、技术咨询、网络安全培训、技术人员培训、全员意识教育培训等资金投入。

    三、智慧民航网络安全的保障策略分析

      3.1 以大数据挖掘技术保障网络安全

      针对DDoS流量攻击、DNS攻击,可利用大数据挖掘技术对海量日志进行分析,挖掘出新的网络攻击行为,实现攻击来源。针对APT攻击可以用大数据技术对单位内部网络进行全流量镜像侦听,对异常的网络访问请求行为进行建模、关联分析及可视化,溯源APT 攻击全过程[3]

      3.2 以数据加密技术保障网络安全

      智慧民航以更安全高效数据应用为目标,建立由分级分类管理、全生命周期防护和组织保障构成的构成的民航数据安全治理体系十分重要。根据安全分级原则,确定数据在采集、传输、存储、使用、共享以及销毁等各个环节应采取数据加密技术和存储技术来阻止非法访问,主要包括数据库加密技术、存储加密技术、网络加密/VPN技术、文件和文件夹加密技术、客户机/应用程序加密技术等[4]。在电子政务方面应加快推进基于国产密码的网络信任、安全管理和运行监管体系建设,规范国产密码在电子文件、电子证照、电子印章、身份认证、电子签名、数据存储和传输等方面的应用,实现面向社会服务的政务信息系统运行的安全可靠。

      3.3 以制度建设保障网络安全

      随着《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《国家网络空间安全战略》、《等级保护2.0系列标准》等法律法规、政策文件、安全标准的深入实施,国家对于关键信息基础设施的安全运行、行业监管均提出了具体要求;在大数据时代,智慧民航监管更加依赖组织管理,但管理体系建设仍然是监管工作的薄弱环节,智慧民航应该以管理为主线,以管理制度建设为抓手,解决网络安全保障的主要矛盾;通过体系化制度建设培养高素质科技创新人才和专业技能人才,利用制度建设激励机引进人才,留住人才。

    四、结束语

      随着科技的发展,网络威胁及相关风险会不断变异,航空安全与网络安保的关系也会日益相互依赖。考虑到这些目标和概念,必须建立专门针对智慧民航的安全保障体系,以满足每一种操作环境所需的基本、实质或高安全性保证,实现智慧民航建设所需要的网络安全威胁精准分析,保障方案精准制定。

      ——本文作者系中国民用航空局信息中心孙立华、丁磊、韩建云、李宪武、殷迦龙

      参考文献

      [1] 赵嶷飞,孟令航,李克南.基于人工智能的智慧民用航空运输系统[J].指挥信息系统与技术,2019,10(6):7.

      [2] Li X, Lu R, Liang X, et al. Smart Community: An Internet of Things Application [J]. IEEE Communication Magzine, 2011, 49(11): 68-75.

      [3] 邸洪波,戴伯伦.大数据安全保障关键技术研究[C]//2019中国网络安全等级保护和关键信息基础设施保护大会论文集. 公安部网络安全保卫局指导; 公安部第三研究所, 2019.

      [4] Liu XY, Zhou Z, Diao WR. When good becomes evil: Keystroke inference with smart watch [C]// Proc. of the 22nd ACM SIGSAC Conf. on Computer and Communications Security. New York: ACM, 2015: 1273-1285

    1荐闻榜

    延伸阅读: 冯正霖