时间:2023-11-23 10:16:13
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇民航信息安全,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】信息安全分布式监控综合监控系统设计
一、引言
随着信息技术的日益进步,网络监控技术从早期的单一技术逐渐发展为一种综合应用,它将监测技术和系统管理集成在一起,并利用网络传输技术来远程获取被管网络中设备的运行信息,通过智能分析手段来提供一种安全的管理服务。目前民航气象信息服务的特点及面临困难:
第一、信息种类和应用的多样性使得信息维护工作量大
民航气象服务所需要应用的信息有地面和高空风温资料、气象雷达图形资料、气象卫星资料、航路及机场实况资料、各类Micaps资料及报文产品等,资料的获取途径也各不相同,应用的形式多样。因此,应用终端多,网络结构复杂,这给气象设备维护人员保障信息安全带来了较大的工作量。
第二、信息接收、要求及时,而信息安全监控难度大
目前民航空管系统的气象观测、预报业务及其它用户服务终端设备分布较分散,包括机场飞行区观测室、航管楼塔台、预报室和雷达塔等有之间存在一定空间跨度,设备维护工作要同时兼顾所有气象信息终端的监控巡视维护工作。目前,民航空管气象信息安全监控主要通过设备维护人员定时巡视为主,其次是气象信息应用人员的监督。但民航气象信息中各类数据接收、发送时间并不一致。而设备人员巡视时间间隔固定,信息不安全事件是随机发生的。因此,信息不安全事件在巡视时间间隔内发生时,不易被维护人员及时发现,并采取有效措施解决。直到应用人员使用时发现,一方面必然给气象服务保障工作造成一定程度的影响;另一方面,给设备维护人员的应急处置造成一定程度的紧迫性。
本文所设计开发的民航气象信息安全综合监控系统,目的为了进一步提高信息安全保障服务质量和气象信息应用质量,有效减少气象设备保障中错、忘、漏等情况的发生。
该系统通过实时监控气象服务的各个终端的运行环境、硬件、系统、网络、数据接收情况等信息,并将监控结果集中显示到监控平台上。当发生信息不安全情况时,在监控端通过图形、声音、文本或短信的方式进行预警,并以文字形式提供建议性处理方案。将各个系统运行情况存入日志文件中,可以按年、月、日统计生成设备运行报表。本系统在实际应用中能够进一步提高气象信息安全和气象服务质量,同时在一定程度上提高气象设备维护人员和气象信息应用人员的工作质量,有效缓解设备维护人员的工作压力。
二、系统总体设计
在民航气象信息安全综合监控系统中,通过网络远程监控技术实现对气象信息的各终端的重要信息进行监控。本系统拟采用网络化、集成化的C/S与B/S相结合总体架构模式,通过在各终端安装监控,监控在终端上采集相应的信息,并进行安全性判断,将判断结果发送给服务器,在服务器端将信息分类整理存入数据库。并根据监控显示终端的要求将相关信息提取显示到监控界面上或管理员的手机上,同时服务器也支持WEB访问,终端运行情况通过WEB获取。该数据流向分别如图1所示。
三、系统模块设计
民航气象信息安全综合监控系统包含监控服务器系统和监控系统两个子系统。监控系统用于监控信息的采集和简单诊断,监控服务器系统主要用于对监控发送的监控信息的接收、存储管理、智能决策、告警信息、案例收集、统计分析等。
四、系统主要功能设计
4.1监控功能
网络:气象信息服务局域网网络运行实况;CPU、内存:终端的cpu、内存使用率;
进程:终端重要进程监控; USB:终端usb使用情况;资料接收:终端气象资料接收情况监控(气象资料接收、采集的完整性、有效性、及时性);机房环境:机房的温、湿、烟监控。
4.2案例收集和智能决策功能
在本系统设置智能决策模块,管理员将信息安全处理方案和应急预案不断积累整理录入解决方案数据库中,存储在监控服务器中。当发生不正常情况,用户确认收到告警信息时,系统智能决策模块根据当前情况进行判断,从解决方案数据库中搜索相应或相近的处理方案和应急预案显示到监控终端上,以供用户解决问题时参考。
4.3告警功能
本系统对监控的到异常信息进行实时告警,以便维护人员及时关注设备状况。告警的形式为声音告警、图像、文本、短信告警相结合的方式。当故障出现5分钟内值班员还没有确认知道告警时,GPRS模块以短信的方式将告警内容的简述发送到值班人员的手机中,以防值班员离开监控终端时影响监控的及时性。
4.4信息安全事件日志管理功能
在监控过程中,如果发生信息安全事件,在监控服务器中记录所有发生的信息安全事件发生的时间、主机或网络设备名称、内容等信息以便后期工作中查阅。
4.5设备运行统计和报告功能
系统可以按小时、天、月、年统计对设备按类型进行故障统计,并形成报告文档。对于设备风险评估、设备更新有情业务提供有力的科学依据。
五、系统安全性设计
本系统应用过程中要将监控分系统安装至被监控终端上,监控信息从各个被监控的终端上汇总到监控服务器中。为了保证业务系统能够正常运行,监控系统要求安全可靠。因此,设计过程中将系统的可靠性和安全性,如表1所示。
六、总结
本系统的设计立足在信息安全保障的监控过程中,减少人的参与度。同时利用信息化和智能化,在信息不安全事件处理过程中,充分发挥人的作用。有助于缩小因维护人员水平差距对信息安全保障带来的影响。民航气象信息安全监控系统的设计,实现对民航空管气象服务局域网网络内部设备、运行环境、资料等进行实时监控。从本根上解决民航气象服务中数据交换、处理等服务中面临的困难,有效提高气象信息服务保障效率和水平,减少工作中错、忘、漏等情况。信息化在空中交通管理行业应用的前景还很广阔,需要不断地学习和积累,才能使我们更好地建设集成度更高的信息化空管服务。
参考文献
[1]张友生.系统分析师教程[M].机械工业出版社.2010.
[2] Leszek A Maciaszek , Bruc Lee Liong . Practical Software Engineering: A Case Study Approach[M] . Pearson Education 2005.
关键词:民航信息系统安全;风险评估;决策依据;可持续发展
1.引言
目前,世界各国航空公司纷纷从维护信息时代根本利益的高度认识信息安全的重要性,美国、日本、英国、法国等许多国家航空公司也都先后成立了高级别的信息安全机构。与此对比,国内民航企业在信息系统安全保障方面还处在一
个比较初级的阶段,基本遵循着“出现事故一解决事故”的传统模式。因此建设适合民航系统的信息安全管理体系,建立“安全评估一发现漏洞一解决漏洞—制定科学管理措施一预防事故”的新安全模式,已经成为开展民航信息化的当务之急,是民航信息化工作中不可避免的问题。
2.研究方案
本研究方案分作三个阶段进行实施:
第一阶段,在
国家评估标准
GB/T20984---2007《信息安全技术信息安全风险评估规范》的基础上,对典型的民航信息系统安全风险进行评估。这一阶段的工作内容有:分析并描述民航信息系统内涵,对其
内在拓扑结构、应用系统和业务流程进行分析;划分评估对象的范围并对其分类赋值;识别可能由人为因素或环境因素所引发的安全威胁,并将其分类赋值;从技术和管理两个方面对信息系统
中可能存在
的脆弱点进行识别、分类,并依照其各
自严重程度的不同定级赋值;在对信息系统的资产、威胁和脆弱性安全赋值基础上,计算信息系统的安全风险值;最后对风险结果进行分析,讨论现有安全管理规定的隐患和不足之处,制定风险处理计划,制定出新的更合理的安全管理规定。
第二阶段,在现有传统评估方法和评估模型研
究的基础上,针对民用航空行业的特殊性需求,提出新的评估模型算法,并加以应用实践。这一阶段的工作内容有:分析传统评估算法和评估模型,指出其存在的不足;分析民航业信息系统评估的特别的安全需求和评估指标;在传统评估模型的基础上,提出新的评估模型,从而更好地符合
民航业信息系统安全评估;利用得出的新的评估模型,对信息系统进行评估应用实践,并对最终实践数据进行分析、验证。
第三个阶段,深入开展信息安全知识普及和实施信息安全人才培训计划。这一阶段的工作内容有:深入到民航公司和相关部门,通过灵活多样的方式,开展普及信息安全的活动。制定安全人才培训计划,培训信息安全相关规范和有关国
家法律知识,提高民航单位工作人员的信息安全意识,加强规范信息系统工作制度,提高防范意识。
3.实施方案
3.1民航信息系统安全评估
内容:如图
l所示,确定评估范围、目标;
指定评估方案:资产评估;威胁识别;脆弱性识别;风险计算;已有安全措施的确认;评估结论。
风险值=R
(A,1.,V)=
(L(T,V),F(Ia,Va))。
其中,R
表示安全风险计算函数;A
表示资
产;T表示威胁:V表示脆弱性;Ia表示安全事件
所作用的资产价值;Va表示脆弱性严重程度;L
表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事件发生后造成的损失。
指标:评估出民航信息系统中的安全风险,清楚地了解系统中目前的安全现状,找到潜在的威胁和安全隐患。
图
1民航信息安全的评估内容
3.2民航信息系统安全管理分析
内容:风险等级划分:评估已有的安全控制
措施是否可接受;对不可接受的部分提出相应的
整改建议;对残余风险的评估。
指标:根据风险评估结果,指出现有安全管
理规范中不合理的因素,制定出更加有效的安全
管理规范。
3.3传统评估算法模型的研究
内容:定性的评估方法研究;定量的评估方
法研究;综合的评估方法研究;传统评估方法和模型的不足之处;改进的思路。
(1)概率风险评估
概率风险评估(PRA)以定性评估和定量计算相结合,将系统逐步分解转化为初始事件进行分析。确定系统失效的事件组合及失效概率。能识别风险及原因,给出导致风险的事故序列和事故发生的概率。
(2)费用.效益分析
费用.效益分析是系统评价的经典方法之一。
在学术界、福利经济学理论的基础上,该方法要求从经济总体上考虑费用和效益的关系,以达到资源的最优化分配。
(3)关联矩阵法
关联矩阵法应用于多目标系统。它是用矩阵形式来表示各替代方案有关评价项目的平均值。
然后计算各方案评估值的加权和,再通过分析比较,综合评估价值、评估值加权和最大的方案即为最优方案。
(4)关联树法
关联树法是作为一种有助于对复杂问题进行评价的方法而产生的。最初它是用来对国家战略性的技术预测和设计的评价,后来在开拓市场、
投资分析等不确定状态下进行评价时也广泛应用起来。
指标:现有传统评估方法应用与民航信息系统安全评估中所存在的问题,并指出其不足之处。
3.4新的评估模型算法的研究
内容:民航信息系统的评估需求分析:改进传统评估模型的方法研究;新的评估模型框架;新的评估算法;新的评估模型应用实践;实践数据的验证。
(1)层次分析法
层次分析法对系统进行分层次、定量、规范化处理。为决策者提供定量形式的决策依据。
(2)动态风险评估法
动态风险评估法,能够与时间紧密结合,确定系统失效的事件组合及失效概率。
指标:新算法模型更符合民航业信息系统的
实际需求,具有良好的科学性、合理性和可操作性。
3.5安全人才培训计划
内容:培训对象为民航公司相关单位工作人员。开展信息安全普及活动;开展信息安全技术
培训班:编写信息安全培训教材:设立信息安全培训实验室。
指标:通过该计划,能切实提高民航单位工作人员的信息安全意识,规范信息安全操作,提高保障信息安全的能力。
本文涵盖了民航信息系统保障机制的 各个方面,与民航日常工作和安全保障密切相关,有着非常重要的学术意义和应用意义。在提高民航安全管理质量,评估民航安全信息系统,制定民航安全管理规范,培训
民航安全管理素质等各方面,都有着重要的意义。
参考文献:
[1]范红.信息安全风险评估规范国家标准理解与实施【M】.北京:中国标准出版社,2008:l—49
民航是我国的基础行业之一,对我国经济发展有着重大而深远的影响,尤其是现在航空公司的基本业务都已经实现电子化,信息系统安全本身的稳定、可靠成为整个航空公司业务开展的基础。
万事俱备,只欠东风
某航空公司作为全球最大航空联盟――星空联盟成员之一,是民航业一家非常有代表性的公司。在信息化建设上,该航空公司信息系统规模非常庞大,信息化工作人员就达到100多人,包括基础IT设施保障人员、系统开发与维护人员、网络运维管理人员等。相对信息系统安全保障而言,该航空公司目前还缺少专职专岗的安全运维人员。
面对未来世博会上大量客流及信息系统数据处理需求,该航空公司领导决定尽早提升系统的信息安全保障力度,提升整体团队信息安全技术能力。
作为国家基础性行业,民航业必须要遵从国家颁布的等级保护政策,所以,该航空公司领导非常注重信息安全等级保护体系的建设,并且面向社会进行信息安全服务供应商招标。东软安全服务部部长席斐对记者说:“该航空公司信息系统基础建设很好,技术人员团队素质高,可以说万事俱备,而独缺专业安全体系这一块的行业规划。东软NetEye凭借13年专业的安全技术积淀,全面、完善的实施方案赢得了为此用户提供信息安全体系建设咨询和评估服务的机会。”
“三业”保障信息系统安全
在信息化建设中,东软一直注重业务系统和信息化建设的整体融合与推动,并致力于为客户提供优秀且可操作的安全解决方案。
经过对该航空公司系统业务情况以及安全现状的充分沟通和详细分析后,东软NetEye安全服务团队对其总部等几个营业点进行了全面的信息安全风险评估,特别是对互联网公开的B/S架构的电子商务业务系统和呼叫中心系统、运行准备系统、HR系统、招聘系统、货运系统等进行了详细的评估,全面了解系统安全状况,明确当前风险,并完成压力测试、渗透测试、等级保护差距分析、系统加固等。同时,在本次项目中,东软NetEye团队协助该航空公司对其原有的信息化管理规章进行了重新梳理,并制定和建立起一套信息安全专项管理手册,提高了安全制度和安全管理规范的可操作性。
在完成信息安全风险评估工作之后,东软还协助该航空公司一起制定了未来三年详尽的信息安全整体建设规划方案,为其在世博期间乃至今后的信息安全运维保障工作奠定了有力基石。
“更重要的是我们通过这一次项目为用户培养了一支具备信息安全风险评估能力的技术团队。”席斐说,“这是用户方领导对我们最为称道的一项。”
关键词 空管网络;网络安全;管理维护
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)15-0161-01
随着现代信息化建设的发展,计算机信息网络技术已经广泛应用于我国的众多政府机关和企事业单位。然而计算机网络环境的复杂性、多变性及开放性等特点,导致了无论在广域网还是局域网,都存在着黑客攻击、计算机病毒扩散、网络犯罪等诸多潜在威胁。空管网络与信息系统是国家重要的网络与信息安全系统,所以对技术、安全和服务要求很高。其业务繁琐、资金密集等特点使得空管信息网络一旦破坏,会造成公共利益和人民安全造成严重损害[1]。
1 空管信息网络安全的重要性
空管担负着保障空中交通、气象、服务、通信等工作正常开展的任务,而信息化系统作为空管系统正常运行的载体,其数据网络信息安全传输极其重要。假如空管的关键业务对外停止服务或飞机飞行高度、起降落时间等信息在传输过程中被泄露篡改、航行信息服务系统遭到破坏,那么将会造成民航空公司和机场将无法正常运营,导致社会秩序混乱,还会对人民的人身财产安全及国家安全造成严重威胁[2]。
为了适应国家信息系统安全等级保护的规定,有效降低信息安全风险,保证空管信息网络系统业务持续正常开展及安全运行,必须增强空管信息安全风险的防范能力,建立有效的信息网络安全保障体系。因此,确保空管计算机信息网络安全已成为保障飞机安全飞行和航空公司正常运营的重要工作之一。
2 空管信息网络系统的安全隐患
计算机信息网络技术在给人们巨大便利的同时,也面临着复杂多样的网络威胁,与之产生网络安全问题益突出。目前计算机网络常见的安全威胁有:网络外部的入侵、攻击等恶意破坏;计算机病毒泛滥;计算机系统漏洞;内部用户的攻击和滥用网络资源;垃圾邮件、不良信息广泛传播等。而快速发展的空管网络规模、日趋复杂的网络结构和互联应用需求,也给空管信息网络安全管理与维护带来了新的挑战[3]。
1)部分空管网络系统对某些电信商的网络基础设施依赖性太大。某些重要信息系统维护和管理工作需要借助电信网络的平台展开。这也就导致黑客更容易进行窃听、攻击等非法行为。
2)随着空管信息网络系统业务从单纯的数据通信向包含视频、语音等综合信息业务发展,对内部生产、管理、协同办公等信息系统之间的信息共享与交流要求也逐步提高。空管信息网络与机场、政府、航空公司等机构联系更加紧密的同时,信息被非法侵害风险也越来越大。
3)目前正在运行的在信息网络系统中,安全防范建设意识欠缺;而对于在建信息网络系统,对其安全的规划及建设并无的明确的国家标准及行业规范可以参考。另外,空管内部管理及技术人员的专业能力和技术水平与信息网络的迅速发展不相匹配。
3 空管信息网络安全问题的解决方案
随着空管业务向系统化、多元化发展,空管系统对信息网络的依赖性增强,网络的安全问题便显得极其重要。要解决空管信息网络中存在的安全隐患,需要从空管网络的应用着手分析,重点研究安全防范的关键技术和才策略,实现综合全面的安全保护体系。
3.1 防火墙技术
防火墙是一种基于网络边界的被动安全技术,具体包括应用网关、数据包过滤和服务等手段。它可以通过企业设置的不同安全政策,控制进出企业的网络信息流,因此较适合于网络服务种类集中,与外部网络的互联方式有限的内部独立
网络。
3.2 防病毒技术
防病毒技术是一种通过读写控制、磁盘引导区保护、系统监控和加密可执行程序等手段识别并消灭恶意程序的技术。它根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,以特征分类来检测病毒或是对某个文件、数据段进行检验和计算,通过保存的结果对该文件或数据段进行检验。如果检验出现差异,则表示其完整性己遭到破坏,即遭受到病毒的攻击。
3.3 入侵检测技术(Intrusion Detection)
所谓网络入侵就是试图破坏计算机网络的可信性、完整性、机密性的入侵行为。入侵检测在检测出来自于计算机网络外部的入侵行为的同时,又可以检测出来自于内部未授权用户的非法操作行为,及时发现针对计算机网络恶意攻击和破坏企图,采取有效的防范措施。
3.4 漏洞扫描技术
漏洞扫描技术作为一种主动防御技术,通过对计算机网络中的计算机操作系统、重要服务器、路由器、主干交换机、防火墙和重要的应用程序等进行漏洞检查,及时发现并报告存在的漏洞和安全隐患,评估这些设备、系统及程序的安全状态,从而采取有效地补救措施。
3.5 数据加密与用户授权访问控制技术
数据加密主要用于对动态信息的保护,是将以符号为基础的数据进行移位和置换。与传统的加密算法不同,用户授权访问控制是在操作系统支持下实现对静态信息的保护。在开放的网络环境中,数据加密与用户授权访问控制技术较防火墙更加灵活、适用。
4 结束语
空管网络与信息安全是关系我国空管信息化发展的一个重要工程,同时也是一个非常艰巨、复杂的系统工程。在计算机网络的安全问题日益严峻的新形势下,我们除了采取一些有效技术手段外,还应该建立健全网络与信息安全管理规章标准,建立健全网络信息安全管理责任制,加强信息安全技术监管,加强高素质的管理技术队伍建设,这样才能实现不断提升空管信息网络的安全保障能力与服务水平的项目目标。
参考文献
[1]李大海.民航空管网络与信息安全管理体系的构建研究[D].天津大学,2009.
[2]詹菁晶.浅谈民航空管信息安全[J].现代计算机,2012(06).
[3]马红云.对空管网络安全系统构建的建议[J].计算机科学,2013(02).
关键词:民航;空管运行;危险源;识别;管理
中图分类号:V355 文献标识码:A 文章编号:1671-2064(2017)08-0217-01
近些年来,我国民航事业的不断飞速发展,为我国创造了巨大的经济效益与社会效益。但是由于现阶段我国的航空器种类相对繁杂,飞行空域、飞行环境以及飞行的时间有着不确定性因素,飞行的安全问题开始不断的凸显。因此,充分的了解到民航飞行安全的各种影响因素,掌握识别并控制危险源的方式,以科学发展观念来建立一套和我国的民航发展程度相识的安全管理体系,不断的提升我国民航的安全管理工作水平成为现阶段的重要课题。
1 民航空管运行中危险源的识别
1.1 民航空管运行中危险源的分类
在民航的领域中,危险源是指影响到飞机的飞行安全、直接导致降低或者损失功能的一种情况,主要有自然危险源(暴风、雷雨、地震、能见度、流行病、不利地理条件等等)、技术危险源(水压、燃油、风压、软件或硬件的故障、报警事故等等)、经济危险源(设备成本的变化、材料成本的波动、经济发展形势的变化等等)[1]。在民航的航空运行管理中,这三类的危险源都会存在,自然和经济的危险源是必须考虑的两个方面,但是更加应该将眼光投放在技术的危险源上,比如能够为航空的运行提供能源以及确保飞行安全的功能上。
1.2 民航空管运行中危险源的识别
首先,在识别危险源之前需要进行差距的分析,观察所处状态的不同,其次,详细并具体的分析危险源所构成的因素,并有意识的将其分解成为一般的危险源或者特定的危险源。最后,分析危险源可能在爆发之后带来的危险,从而做到及早的防范。
2 民航空管运行中危险源的管理措施
要想从根本上保障航班的飞行安全,促进民航事业整体的健康发展,就必须建立一个高校、完整的安全管理体系。在民航的空管过程中需要以“安全第一、预防为主”的原则,制定出一套行之有效的安全管理体系及措施,从而从根本上提高民航空管的危险源管理水平。充分的了解到民航飞行安全的各种影响因素,掌握识别并控制危险源的方式,以科学发展观念来建立一套和我国的民航发展程度相识的安全管理体系,不断的提升我国民航的安全管理工作水平成为现阶段的重要课题[2]。
2.1 贯彻安全的管理理念,建立安全责任制度
要想从根本上杜绝民航空管运行中的危险源,就必须将安全管理的理念贯彻到日常的工作各个方面中,提高警惕。民航的工作人员需要将安全的理念建立重视起来,在实际工作中包括日常的思想中都要坚持“安全第一”的基本原则,将安全作为日常工作的核心目标。人人都需要具备一种创新精神,在民航的安全管理工作中也是@样。在不同的阶段民航的安全管理模式需要进行不断更新,要求也更加的严格,从而在根本上保障飞行的安全性。
2.2 完善民航空管安全信息管理系统
信息管理系统作为安全管理体系的重要依据,应当加强完善,以提高飞行的安全性。对一些飞行安全的信息例如航空器运行的数据、事故数据、航空的运输监察信息等进行一个有效的收集并进行详细分析,将整理完成的信息做好共享的工作,以此形成安全管理的重要依据。除此之外,还应完善民航管理的相关政策,同时将操作流程规范化,及时并准确的处理各种信息的报告,在进行归纳和整理之后来建立一个完善的信息安全管理系统。只有这样操作,空管部门才可以根据信息库的数据来快速的分析飞行事故产生的原因,并根据分析来发出争取的指令,从而有效的避免类似事件的发生,提高安全管理的效率。
2.3 制定有效的事故预防措施和应急救援措施
在民航的安全管理工作中,做好预防措施是非常重要的一个方面。只有做到“防患于未然”,将一切可能发生的灾难事故做好预防和应急的准备。在民航的安全管理中必须要建立一个完善的事故预防体系,将灾难遏制在萌芽之中,同时建立行之有效的应急救援措施,一旦事故产生,有充足的应急救援的准备。在制定预防措施的时候不仅要针对事故的真实危险源,还需要设置专门的事故调查机构,来完善事故的调查体系,合理规范在飞行事故中的各项规定,并充分的给予监督,只有这样才能够始终保持工作人员的责任心和警惕性,保证民航运行安全管理部门工作的有效开展,从而确保航班飞行的安全。
3 结语
做好民航空管的安全管理工作不仅是对乘客的一个责任,也是从根本上提升民航运行的重要方式,充分的分析危险源的来源,贯彻安全的管理理念,建立安全责任制度,完善民航空管安全信息管理系统,制定有效的事故预防措施和应急救援措施,才能够保证我国民航事业的有序发展。
参考文献
“棱镜计划”重点“关照”中国
不断崛起的中国一直是美国监视监听重点“关照”的对象。6月13日,“棱镜计划”泄密者爱德华·斯诺登在媒体刊登的专访中披露,美国政府15年来一直从事针对中国个人和机构的网络攻击。
美国在华的一些信息巨头是美国对中国实施信息监控的重要通道。思科公司就是一个典型的例子。
斯诺登称,美国国家安全局通过思科路由器监控中国网络和电脑,而思科参与了中国几乎所有大型网络项目的建设,涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等要害部门,以及中国电信、中国联通等电信运营商的网络基础建设。在另外一个方面,思科却是美国政府和军方的通信设备和网络技术设备主力供应商。
通过思科的系统,我国究竟有多少重要信息泄密,给我国造成多大的损失,目前还是一个未知数。
“梯队系统”监视全球
郝建军表示,当今美国等军事强国已经建立起多层次、全方位、大纵队、高立体的覆盖全球的电子监听网络系统,利用这些侦察网络,广泛地收集对手或潜在对手的电子情报。
除了本次被曝光的“棱镜计划”,美国国家安全局建立的“梯队系统”在监视中国方面也发挥了重要作用。该系统动用了120颗卫星,在加拿大、新西兰和澳大利亚设置了数十个大型地面接收站,在美国和英国设有两个数据中心。“梯队系统”的强大功能令人吃惊。据了解,全世界95%的通信信息都要经过这一系统的“过滤”,包括电话、文传、电子邮件等都会被它截获。
阚凯力表示,为了保障我国的信息安全,军事单位、政府关键部门和重要企业一定要使用隔离并得到严格安全检查的信息设备,核心部门一定要使用国产设备。另外进入人员也要实行信息严格隔离的制度,关键部门不能随便使用移动存储设备或者往家里携带单位信息,使用移动通信也要做好信息安全防范。
事实上,去年美国封杀华为、中兴之时,就不断有安全专家呼吁政府应重视我国的网络安全问题。“棱镜门事件”是一个更大的警示,或许接下来我国将会对网络安全立法,对政府、央企、军方等采购的国产化作出明文规定。
阚凯力表示,从企业技术储备上来看,目前我国的通信技术水平已经达到世界水准,本土企业已经有能力承载网络的全面建设和安全运营。因此,升级国家信息安全战略已经十分重要。
国内信息企业大量掌握私人信息令人忧
我国的一些信息企业对公民信息的侵犯也十分令人担忧。这些年,我国的一些电信企业、网络公司以及其他一些信息企业掌握着大量的个人信息和数据,一旦被用到了错误的地方,就会给个人信息安全带来极大的隐患。
曾经在华为工作9年并有4年海外管理经验的集奥聚合首席运营官林佳婕在接受记者采访时表示,大数据行业必须要安全先行。因为在大数据时代会有越来越多的数据被开放,被交叉使用,在这个过程中,最需要考虑的问题是对于用户隐私的保护。
“尤其涉及公民个人自然信息和个人隐私的信息。这部分信息必须被每个从业人员认真对待:应该被存储在独立的数据库内,严格保护,只有被用户许可,用户隐私信息才能在有限范围内被使用。”林佳婕表示。
[关键词]ATM网;航空情报系统;应用
中图分类号:V355;F562 文献标识码:A 文章编号:1009-914X(2016)06-0110-01
前言:我国近年来在航空情报系统建设方面已取得较多突破性的成就,表现出明显自动化与网络化特征,为航空管理工作提供重要的技术保障。然而在民航快速发展与情报服务质量要求不断提高的背景下,依托于现有的自动化情报系统将很难达到实际情报服务要求,需在发展规划中将ATM网络引入其中,对于空管系统效率、航空情报水平的提升能够发挥至关重要的作用。因此,对航空情报系统中ATM网的应用研究具有十分重要的意义。
一、ATM网的相关概述
关于ATM网络,其又被称之为异步传输模式,其中的信息会以信元的形式呈现出来,但由于用户信息各信元并非以周期性的形式呈现,这样在信息传输中具有明显的异步特征。从ATM网的优势看,其能够将包交换、电路交换等所有优势融于一体,带宽具有可伸缩性特征,与同步复用技术相比更具优势。但需注意的是ATM网应用下要求通讯前,便考虑在ATM网中进行VC的构建。另外,也可发现,ATM网应用下更侧重于服务宽带业务用户,在接入方式上多以2M-155M为主。经过长期实践应用,ATM网也开始在其他如多媒体领域中进行渗透,相关的专线业务、数据组建都可高效完成,而且在QoS功能上也体现出一定的优势。因此,将ATM用于现代航空情报系统建设中能够起到至关重要的作用[1]。
二、航空情报系统中ATM网的应用特征与应用前景分析
(一) ATM技术应用的特征与应用现状
ATM技术主要为满足通信需要而形成,能够将复用、传输、交换等方式提供给宽带业务,这样业务中许多信号如视频、图形、数据以及文本都可按照一定长度的信元进行传输。尤其需注意其中的信元,一般其在构成上主要以相应的标头与数据为主,其中标头为5个字节,而数据为48个字节。事实上,从带宽使用上看,ATM网与以往数据包相同,都是在有数据情况下对带宽进行使用,然而由于ATM网以固定长度的信元完成传输过程,在服务质量上要高出传统数据包许多。所以,ATM网利用下可使信息的传输更为可靠、安全,加上其自身的分组交换功能,能够使带宽被有效利用,即使对于不同信息仍可完成传输过程。
目前,ATM在不断完善中开始将更多实用性协议引入其中,具体包括:第一,ATM应用中可与帧中继进行交互,这样帧中继将以ATM作为载体,这样提供给用户的服务质量会明显提高。第二,LAN仿真融入ATM网中,能够进行传统局域网的模拟构建,为ATM网与其交互提供可能。第三,ATM网络中可使IP网进行运行,而且自身能够进行电路的模拟仿真,这样传输时可保持恒定的速路率[2]。
(二) 民航情报系统对ATM网的应用需求分析
现行民航事业发展中,需利用较为先进的技术如宽带接入技术等使通信需求得以满足,如在视频信息传输过程中要求民航网络系统具有较强的传输能力。根据现行民航网络系统特征,ATM网引入其中主要需考虑在业务接入方面进行完善,包括局域网的连接、ATM业务以及电路仿真等内容。同时,在数据网完善中首先应满足转报业务需求,如航站与省市区局、地区管理局;地区相关部门与民航空管部门;自动处理系统接入电报终端等,这些都需体现在数据网转报业务层面。其次,应做好气象数据库的构建。现行在信息技术快速发展的背景下,许多数据气象产品都需在数据库作用下进行不断交换,如数据库系统设置中可围绕首都机场进行,将其与国内其他地区进行数据传输,若按原有大多系统传输的64kbit/s为主,信息传输将较为缓慢,对此通过气象数据系统的关联,在传输速率上控制在2Mbit/s以上。而为满足情报数据库完善要求,主要需保证区域的民航局空管局能够与其他中心保持一定的传输速率。另外,数据网完善中也要求对各管制中心构建相应的关联系统,主要体现在公安、财务等各方面系统联网,如干线传输在管理局、民航局中,可保持在2Mbit/s速率。当前民航情报系统建设中还需做好局域网建设以及遥控信号传输等工作,其中局域网建设既涉及区域空管局与民航局空管局局域网部分,且体现在雷达联网上,要求在传输速率上进行控制。而对于遥控信号的传输,主要考虑能够遥控指挥AOC系统。综合来看,民航数据网在数据互通上有较多的要求,将ATM技术引入其中可发挥明显的效果[3]。
三、民航航空情报系统中ATM网络的具体应用
以我国某航空情报系统建设为例,其将ATM网引入其中,选取相应的中心节点,并将远程控制技术应用于系统中,能够达到远程监控的目标,整个网络覆盖范围包含国内十个区域。在ATM网利用中,主要结合十个区域的情报系统特点,通过ATM MPLS技术使各区域情报系统能够接入PRM模块中,且各区域节点都进行MPLS接入交换机的设置,这样能够有效完成情报数字传输的过程。完成这些设置之后还需做好异地备份系统设计,其作用在于当其中某个区域发生系统故障后,整个航空情报服务不会发生中断,系统运行较为安全可靠。
在系统建设完成后,可发现该民航情报系统所体现的网络化、电子化等特征上都较为明显,符合现代民航情报系统信息化建设需求。事实上,为提高民航情报服务质量,整个系统都需以网络技术作为依托,如相关情报、信息处理以及数据上报等许多业务系统功能的实现都需利用网络技术。同时能够发现,该民航情报系统在过去几年建设中也将ATM网引入其中,但在共享的带宽仅为256K,尽管可与其区域系统进行互联并备份,但在网络互联效果上极差,很难满足现代情报服务要求,因此需在建设过程中将ATM MPLS技术引入其中使情报广域VPN得以构建,这样系统能够满足广域宽带互联需求。同时结合民航情报系统需求进行数字传输平台的构建,能够使各方面业务需求如数字传输、数据交换以及PIB提取等都得到满足,既符合民航情报系统功能需要,且可不断进行业务的拓展[4]。
结论:民航情报系统建设中引入ATM网是提升情报系统整体服务质量的重要途径。实际应用ATM网络中,应正确认识其基本内涵,挖掘ATM网中的技术特征,在此基础上分析现代民航情报系统建设需求,使ATM网的技术优势能够与实际需求相结合。这种ATM网络用于情报系统建设的方式在国内许多民航系统中都逐渐应用,通过实际验证发现能够取得良好的效果。
参考文献
[1]金华. ATM网在民航航空情报系统中的应用[J]. 中国民航飞行学院学报,2012,02:29-31.
[2]高洁. 基于ATM网在民航航空情报系统中的应用探析[J]. 科技资讯,2013,14:7.
关键词:民航通信网;工程建设;维护手段;新标准
随着新技术、新设备、新手段的广泛运用,民航通信网的建设水平、发展速度、建设规模还不能完全适应信息技术发展的要求,不能完全满足信息化发展对民航通信保障的要求。对此,我们必须加强通信网建设研究。
一、更新思维,确立工程建设的新模式
目前,国内电信事业发展迅猛,数字化、高速率的通信网已经覆盖全国。民航通信网采用开放模式,以自建、合建、租用等方式,与电信运营商骨干网建设融于一体。在使用上利用终端加密、多路由使用、交换组网等方式开发新的接口协议和网中网软件,做到开放而不公开,以最少的经费投入达成通信网建设工程的最快发展。与此同时,对原有通信工程应充分挖掘潜力、改制创新,建成多手段、全频域的栅格状通信网。随着通信网络的发展,信息共享和开放程度更高,网络可靠性和安全性问题也更加突出。这主要体现在:网络结构的变化促使信息源更具有开放性,使网络安全防卫措施的实施面临重重阻力。资源的共享和分布增加了网络受攻击的可能性。信息源不再是高度集中、绝对封闭的唯一源头,信息流的多渠道交叉反馈,使对信息的监控难度加大,因此,必须加强对网络安全管理和信息安全技术的研究,建立完善的网络安全管理体系,加强网络管理系统的技术改造,确保民航通信网的安全和高效运行。
二、注重效能,更新维护手段
一是组建通信设备维护管理中心,变单一维护为层次维护。由通信设备维护管理中心负责网络运行监控、网络组织调整、设备预检测试、故障设备维修及技术改造,并为一线台站提供技术支援。二是利用光缆巡检系统,改革传统线路巡检方式,该系统为计算机管理,对完成线路维护任务情况进行量化评定,为线路维护建立直观有效的管理模式。三是突出新装备的科学管理。与市电信运营商和设备厂家合建备品备件管理资料数据库,确定配备储存标准,为一线台站提供有力的物质保障。四是构筑集中监控平台,实行网络监管,变被动式经验维护为主动式科学维护。建立以各级通信网络技术管理中心为龙头的运行管理机制,是由网管中心在通信网络运行管理中所处的地位和作用决定的。实践证明,现代化的通信网络必须依靠现代化的手段来管理,必须运用现代管理理论和先进的网络管理技术,加强网管系统建设,全面推进网络管理机制的创新。
三、讲求效益,进一步深化维护制度改革
目前,民航通信设备的可靠性达到一定程度,主要通信设备都能达到平均开机近万小时无自然故障的水平,并且大都具备自动诊断功能,机房环境也日趋稳定,这些优势为实现集中维护和远程控管提供了可能。二是推行大机房工作方式。在加强机房维护人员一专多能训练的基础上,明确应急预案,保证紧急或突发事件时,相关电路畅通无阻。完善远程网络监控技术。要求远程网络监控技术即要互相兼容,还要功能强大。重点是完善远程网络故障管理技术,要能定期对监控的网络生成网络运行质量报告、告警监测、故障定位、故障修正、测试及障碍管理等功能集。对网络出现的损伤和设备运行障碍,要能及时作出反应,使监控指挥人员能够采取诸如紧急调度、抢修及远程技术支援等措施,以确保网络高效、安全运行。 wWw.gWyoO.Com
四、加强管理,制定各类新标准
一是在原有通信管理规定的基础上,不断增加、补充针对新型通信设备维护管理的相关内容;二是着眼新装备、新系统,制定通信网维护管理在岗制度;三是明确网络管理维护人员工作职责,进一步规范维护管理程序、业务处理程序、配合协作程序、线路故障检修程序、业务处理程序、配合协作程序、线路故障检修程序、技术支援与指导工作程序、器材备件供应保障程序等各项工作流程;四是保证层次维护有明确的依据,制定好各类标准;随着民航通信网络的高速发展及其它外部情况的变化,原有的法规有些已经不适应通信网络管理发展的要求,必须按照依法管理民航通信网的要求,建立健全民航通信网网络管理法规。各级网管中心必须明确职责,理顺业务协调关系。同时协调好各网管中心、维修中心和一线机房间的业务关系,使网管中心真正成为全网的技术协调、装备维修、应急抢修中心。要建立和完善各种突况下的应急通信保障预案,加强对重要通信系统设备的巡检巡修,建立故障预防处理机制,定期对全网进行质量分析,及时处理日常维护中存在的问题,结合设备及维护保养的实际情况,指定通信设备质量评定标准、通信网络运行质量评定标准、通信专业技术人员考核评定标准等一系列量化指标,为民航通信网的科学化管理打下良好的基础。
参考文献:
[1]关山,张新程,田韬,李坤江.HSDPA 网络技术.北京:机械工业出版社,2007
【关键词】 民航空管 通信网 可靠性
时下正是信息化与互联网技术迅速发展的时代,在这个信息的时代,通信网也越来越普及,而民航空管通信网属于通信网的小型专用通信网,其主要根据实际的需求来铺设通信路线。主要受到民航空管通信行业的特性影响,对其可靠性也需要重视和加强
一、民航空管通信网的特性
在我国,由于民用航空的发展时间较短,所以还存在着一些缺陷。初期。民用航空只是作为航空公司内部专用的网络,用来传输机密信息或者对内部活动进行调控和管理。所以我国通信网的公网起步较晚,使得民航的发展需求远远大于公网的功能性,也就导致了民航空管通信网是航空公司自行铺设的专网。到了建设的初期,又收到人们认识水平的限制,民航空管多余通信专网的重视程度有所欠缺,所以过度专注于专网的自主性方面,希望通过这一方面的发展获得社会收益。所以就目前的发展情况来看,通信网的可靠性需要进行进一步的研究,重视如何提高通信网的可靠性,确保民航事业的发展稳固而扎实。
二、民航空管通信网可靠性的影响因素
通信网作为一个整体性的系统有着它独有的特性和结构。所谓可靠性,是指通信网在实际运行时保证用户正常通信的能力,主要侧重用户的角度。所以影响民航空管通信网的可靠性的因素主要分为外部因素和内部因素:外部因素主要指通信网络及其他通信设备所依存的环境条件,又可分为不可控因素与可控因素,不可控因素多指突发事件、紧急事件、自然灾害等,而可控因素多指通信网运行时的工作条件,如温度、湿度等;内部因素则多指通信网的可靠性、管维护等,由于通信网的可靠性主要通过抗毁性、生存性、有效性三个指标评估,所以即使在通信网的建设过程中,具备独立的备份系统,但在实际操作过程中还是存在一些问题,所以通信网的可靠性还需要更多的重视和研究
三、民航空管通信网可靠性的提高的措施
3.1优化拓扑结构
民航空管通信网与常规的通信网相比在结构上更为复杂,其影响因素更多,因此在民航空管通信网的可靠性设计上应该考虑更过的方面。一是,通信网各部件自身的可靠性,通信网是由多个通信系统及设备和部件共同构成的,需要保证整个系统的可靠性则需要对各个组成部分的可靠性做出控制,才能降低部件在运行中出现问题的故障率。比如,在通信网络设计时可以采用MTTF较小的产品,降低部件之间的串接;二是,对于拓扑结构的选择和优化。拓扑结构在通信网络中起着关键的作用,一般情况下,环形和网状的拓扑结构更具有优势,所以在民航空管通信网络的结构进行设计时,应该选择这两种拓扑结构,尽可能的提高通信网的可靠性。在实行过程中需要注意的是拓扑结构的选择必须符合实际情况,需要具备实用和经济的特点,确保可行性。因此,在使用网状或者环形的拓扑结构时,还需要选择链型或树形的结构构成复合型的结构,才能更好的保证通信网的可靠性,并且何以降低成本;三是路由的选择。路由作为交换网络的核心,在选择方式和技术上也影响着通信网的可靠运行。
3.2提升通信网备份系统的可靠性
由于民航空管通信网的实际评估对象包括许多方面,有网络通信设备、附件等, 起评价的基本思路为通过平均故障间隔、平均运行、平均修复的参数进行评估。所以对于通信网的可靠性的评估实际上是对真个通信系统和子系统的可靠性评估,近几年采取的拓扑系统则大大提高了网络系统的可靠性等级。随着近几年我国社会经济的迅速发展和我国人民的生活水平提高,我们在空管行业的发展也越来越迅速,通信网的使用量大大增加,业务量也进一步的提升,所以对于通信网的可靠性的提高提出了更高的要求和标准。所以由此出现了备用系统,即在主要系统的创建中保留多个模块或原件使得在系统在出现故障时,可以迅速的切断故障源头,使得备用的部件能够继续投入到运行中,从而保证了通信网的正常运行,这样一来可以大大降低了故障率,并且提高了通信网的可靠性。所以民航空管通信网为了保证可靠性,采用了“两地一空”的体系进行数据的传输与共享。这样一来就大大提升了通信网的可靠性,相比常规的通信网,如果投入相同的元件,则已经无法满足空管通信网的使用了。
四、结束语
综上作者所说,对于空管通信网有着有别于常规通信网的特性核结构,所以对于影响其可靠性的因素也需要更多的考虑和反应,本文就对当下的民航空管通信网的特性做出分析,分析了影响空管通信网的可靠性的因素,并提出了提升可靠性的措施,希望为建设者提供可行性的一些建议,保证空管通信网的畅通运行。
参 考 文 献
[1]潘诚,韩宣宗.民航空管通信网可靠性初探[J].信息安全与技术,2012(10)
1.1尽快研究出台与三网融合进程相适应的我国广电网络信息安全总体战略规划
按照2010年国务院批复的《推进三网融合的总体方案》要求,2013~2015年为推广阶段,该阶段目标为:“总结推广试点经验,全面推进三网融合;自主创新技术研发和产业化取得突破性进展,掌握一批核心技术,宽带通信网、数字电视网、下一代互联网的网络承载能力进一步提升;网络信息资源、文化内容产品得到充分开发利用,融合业务应用更加普及,适度竞争的网络产业格局基本形成;适应三网融合的体制机制基本建立,相关法律法规基本健全,职责清晰、协调顺畅、决策科学、管理高效的新型监管体系基本形成;网络信息安全和文化安全监管机制不断完善,安全保障能力显著提高。”根据上述阶段目标,总体方案对网络信息安全保障能力提出了明确的要求,为适应三网融合进程,我国广电行业在实现技术突破,完成业务融合等措施的同时,需要从战略的高度统筹考虑网络信息安全保障问题,从机构调整、立法、关键基础设施保护、技术研发、加强教育培训、加强多方合作等角度全面的制定我国广电网络信息安全总体战略规划,分阶段制定网络信息安全总体目标,依据总体目标制定信息安全基本政策及具体措施,并依此来指导未来几年内面临三网融合不断推进形势下的广电网络信息安全保障工作。
1.2尽快建立适合三网融合新形势的广电网络信息安全机制
随着三网融合进程的不断深入,电信、互联网、广电主体业务将相互开放和相互进入,网络承载业务的变化必将对现有广电网络信息安全机制提出严峻的挑战。因此,当前广电行业对节目内容以及传输网络的一些管理方式及监管机制也应因势利导,系统分析及评估当前网络信息安全风险及未来可能产生的变化,并针对这些新的变化调整自身管理方式和监管机制,尽快建立与三网融合进程相适应的新的广电网络信息安全机制。
1.3完善并制定新形势下广电网络信息安全相关法律法规
自三网融合进程启动以来,针对IPTV、网络视频等新媒体内容,我国广电行业已出台了一系列相关的法律法规对其进行监督管理。然而,随着三网融合进程的不断深入,电信、互联网、广电主体业务将不断相互开放和相互进入,广电网络承载业务将不断扩大,网络覆盖方式将涵盖有线、无线、卫星等多种方式,用户终端将从客厅电视扩展到PC、移动终端、手持终端等多种终端,业务运营模式也将多种多样,面对上述不断激增的新的变化,目前我国广电行业的相关法律法规已不能全面系统地保障广电网络的信息安全。因此,完善并制定新形势下广电网络相关法律法规的工作就迫在眉睫。
1.4完善新技术在广电网络应用的安全性及风险评估机制
当前,我国广电运营商在三网融合进程不断推进的形势下,正受到来自电信以及互联网运营商方面巨大的压力,面对这种压力,我国广电运营商在稳固发展自身视频业务的同时,也不断尝试开展新的融合业务,而支撑这些新业务的新技术也被引入到了广电网络中,这些新技术包括物联网技术、移动互联网技术、云计算、大数据技术等。新技术的应用推动了新业务的应用,提升了广电网络的竞争力,然而任何一种新技术的应用必然会带来一定的安全威胁,如云计算的应用可能会对存在云端的用户信息带来一定安全威胁,物联网大量使用无线通信、电子标签和无人值守设备,这使得物联网应用层隐私信息威胁问题会非常突出。而诸如移动互联网、大数据等新技术也同样存在不同的安全威胁。新技术在广电网络的应用是提升广电网络竞争力的必然需求,但如何安全的应用这些新的技术,尽量减少安全风险,这就要求我们尽早的对新技术在广电网络的应用安全性及风险进行系统的评估,建立科学的风险评估机制,分析这些新技术可能在哪些技术环节出现安全威胁,从而针对性的制定网络信息安全对策,进而采取有效的网络信息安全措施。
2三网融合背景下我国广电网络信息安全技术措施建议
2.1推进具有自主知识产权的广电核心技术研发
2013年6月,美国前中情局(CIA)职员爱德华•斯诺登向全世界披露了美国国家安全局一项代号为“棱镜”的秘密项目,棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年小布什时期起开始实施的绝密电子监听计划,该计划的正式名号为“US-984XN”。美国情报机构可通过直接接触位于美国的互联网和科技巨头的用户数据,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节。这些巨头主要包括谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube、思科等,他们向美国两大情报机构开放服务器,使美国政府能够轻而易举地监控全球。在我国,以思科为例,思科参与了中国几乎所有大型网络项目的建设,涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等要害部门的网络建设,以及中国电信、中国联通以及我国广电网络基础设施建设。而微软、Google和苹果则掌握了中国的PC操作系统份额,在移动终端操作系统领域,苹果的IOS及Google的Android操作系统更是平分天下。在广电行业,智能电视操作系统及机顶盒也有部分采用Google的Android系统,这都为我国广电网络信息安全埋下了安全隐患。因此,需要研发一批具有自主知识产权的广电网络核心技术、关键技术、共性技术,以先进的自主技术支撑广播电视装备、软件、系统的自主开发和应用,从而切实提高我国广播电视领域的自主创新能力和技术装备水平,排除因采用国外技术而可能隐藏的网络信息安全隐患。
2.2推进适应融合网络架构的网络信息安全技术研发
随着三网融合进程的推进,广电网络、电信网络以及互联网三网边界日益模糊,同时,为提高广电网络的承载和覆盖能力,有线、无线和卫星传输网络的互联互通和智能协同覆盖也被提上了日程,此外,基于无线频谱开展无线互联网接入业务的呼声也日益高涨。由此可见,当前的广电网络正在经历着巨大的变革,与互联网、电信网的融合,自身不同传输网络之间的融合,新的移动互联接入网络的需求都使得处于“融合形态”广电网络架构发生了巨大的变化,这种变化相应地也带来了新的安全威胁。因此,如何适应融合形态下的新型广电网络信息安全,推进适应融合网络架构的网络信息安全技术的研发也需要相关研究机构考虑,并加紧相关研究工作的实施。
2.3推进适应融合业务的网络信息安全技术研发
网络的融合,必然带来的是网络承载业务的融合,当前广电网络承载业务已不仅仅是客厅电视机终端上的视频业务,点播业务、时移业务也经历了很长时间的发展,基于移动终端的视频业务正方兴未艾,同时,各种数据业务也正由广电网络运营商提供给用户使用,未来物联网等新型业务也将由广电网络承载并提供给家庭用户使用。融合业务给广电网络带来了新的机遇,同时也给广电网络的信息安全带来了极大的挑战,为应对传统视频业务而采用的一系列信息安全技术在面临新的融合业务时已经不足以保障用户安全的使用和享受这些业务形式。因此,需要推进适应融合业务的网络信息安全技术研发,真正使用户放心安全的享受广电网络承载的多种融合业务。
2.4推进面向云计算、物联网等新技术应用的网络信息安全技术研发
通过之前的研究我们发现,进入21世纪第二个十年后,以云计算、物联网为代表的新技术正在加快在广电网络的应用。然而,新技术在推动广电网络的巨大变革的同时,也带来了新的安全隐患。以云计算为例,2010年3月云计算安全联盟(CSA)的一份云计算主要威胁的报告中,就提出了云计算目前存在的七大安全威胁,而如果我们没有及早对这些可能的安全威胁采取相应的安全技术和安全措施,一旦发生安全事故,就极有可能导致整个网络的瘫痪,导致所有用户信息的泄露,后果不堪设想。物联网同样存在着巨大的安全隐患,如果物联网出现了被攻击、数据被篡改等,并致使其出现了与所期望的功能不一致的情况,或者不再发挥应有的功能,那么依赖于物联网的控制结果将会出现灾难性的问题,如工厂停产或出现错误的操控结果此外,黑客等恶意攻击者还有可能通过物联网来获取、处理、传输的用户的隐私数据,如果物联网没有防范措施则会导致用户隐私的泄露。因此,我们在推动云计算、物联网等新技术在广电网络应用的同时,务必需要对这些新技术可能产生的安全威胁进行系统的估量,并加紧推进面向云计算、物联网等新技术应用的网络信息安全技术研发,从而在享受新技术带来的“技术红利”的同时,以技术的手段堵着可能的安全漏洞,真正确保新技术在广电网络的安全应用。
3结束语
关键词:在线考试系统;安全性;数据库
中图分类号:TP391文献标识码:A文章编号:1009-3044(2012)15-3564-02
Online Examination System Security Policy Analysis
ZHOU Xiu-yuan
(Lanzhou Industrial College , Lanzhou 730050,China)
Abstract: Online examination system for the safety of a higher demand, the design of the system, security has become the primary critical considerations, including server, database, program logic safety and examination process safety and other aspects, through the analysis and put forward the corresponding security solutions.
Key words: online examination system; database security
考试的本质是为了检查教学成果,特定采取的方法之一,以此来反映学生的学习状态及情况。系统的稳定性是考试系统运行正常的重要保障之一,其中安全性又是考试的真实性和公平性的重要的保障条件[1][2]。
1在线考试系统安全性分析
在线考试系统安全性从整体上主要包括:数据库安全性;服务器的安全性;程序逻辑安全性和考试过程安全。
服务器安全性包括:拒绝服务,网络黑客的攻击,甚至造成服务器瘫痪。电脑黒客主要是利用邮件.消息等来传播电脑病毒,部分也是以广告或是文件的形式来进行攻击,是造成服务的重要的安全隐患。
考试系统也应该加强数据库的安全保障,可以加密码.登陆保护等信息安全性,像考试试卷,考试结果等都应该进行专业的保密软件升级等。
2在线考试系统的安全设计
根据上述安全威胁以及相关的需求,可以对在线考试系统通过以下几方面来进行安全方面的设计。
2.1 Web证服务器的硬件、软件安全
1)确保网络的传输过程中的安全性,UPS保障等。
2)要具备一个安全可靠的网络服务器,其核心就是保证网络服务器的安全。IIS安全即是确保Windows Server 2003操作系统的安全。
2.2数据的安全性[3][4]
1)数据加密
所谓数据加密(Data Encryption)技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)或加密函数转换,变成无意义的密文(cipher text),而接收方则需将此密文经过解密函数、解密钥匙(Decryption key)才能还原成明文。数据加密后别人无法得到数据包含的真实信息。常用的两种加密体制为:对称加密体系与非对称加密体系。
加密与解密的密钥相同(对称加密),即:P=D(K,E(K,P))。也称单密钥算法,或传统加密算法。如DES,IDEA等。
非对称加密体制的典型算法是RSA,RSA是建立于大整数分解上分组的密码特制。
运用RSA算法对数据加密的具体实现分如下几个步骤:密钥生成阶段;加密阶段、解密阶段和明文正确性分析阶段。
2)数字签名
数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
3)防火墙设置方法
防火墙为计算机的硬件与软件的相结合的一种组合,与无法信任的外界网络以及可信网络来进行核对于一个安全的网关,以此方法来保护网络的使用安全,保障信息的安全性与稳定性。
4)应用加密技术
作为考试信息系统运行中所产生的一系列的数据。数据库的加密以及解密的密钥往往采用对称密码机制。这样可以加强对于信息的保护。确实考试的公平、公正性。
5)数据存储备份的方法
作为考试系统,应该进行一下数据的备份,以防止数据丢失,而损失重要的信息。所以,在做考试系统软件开发时,应该注意备份相应的数据,防止数据的丢失。要对于系统备份的保密性进行相应的处理,因如备份数据,丢失信息的可能性会加大,所以备份的数据应该进行保密软件的开发,这样的话备份软件不易被黑客攻击。最大程度上保护了考试系统的信息安全。
3结束语
通过线考试系统安全性决定了考试的合理性、保密性、公平性和考试结果的真实性。而系统的安全则是相对的,要确保考试系统的安全,除了对网络和系统进行安全设计,对系统的定期维护,并且管理人员和使用人员的安全防范意识的提高也是必不可少的。
参考文献:
[1]陈明.信息安全技术[M].北京:清华大学出版社.2007,4.
[2]张纯星.民航商务数据网网络安全体系建设[J].计算机工程,2005,S1.
关键词:堡垒主机;内控管理;运维审计;实践案例
中图分类号: TP393.08 文献标识码:A 文章编号:1672-3791(2015)05(c)-0000-00
近年来,笔者所在民航系统内的信息化水平正在逐步从初级应用阶段发展至高级应用阶段,而伴随着这个过程产生的信息化应用与信息安全管理的矛盾也愈发突出[1]。笔者所在单位近年来在局域网内先后部署了多项网络安全和网络分析产品,已经形成了较为完善的信息安全防护体系,主要技术人员也积累了运维经验。但信息系统故障等网络安全问题仍然时有发生。通过分析故障产生的原因,发现大部分违规行为竟然来源于一些合法用户的例行操作。传统意义的安全防护系统可以从技术角度解决一些潜在的安全问题,但对于内部人员操作的管理手段不完善带来的数据破坏和泄露可能比技术原因造成的损害更为严重。
国家公安部《信息系统安全等级保护基本要求》中明确规定了二级(含)以上的重要信息系统网络安全、主机安全、应用安全都需要具备安全审计功能[2],所以,根据等级保护要求以及本单位的实际情况,我们迫切需要一种有效的手段来对内部人员的设备维护行为进行控制和审计,解决信息安全管理中遇到的难题。难题具体体现在:运维权限分配复杂、系统密码管理不足、操作风险难以控制、共享账号安全隐患、系统资源授权不清晰、访问控制策略不严格、重要操作无法有效审计等。而以上这些信息安全问题,通过引入内控堡垒主机并结合管理措施之后基本得到了有效解决。
1 内控堡垒主机介绍
1.1 什么是内控堡垒主机?
最早的堡垒主机主要定位于防御外部进攻[3]。通过将其部署在防火墙或路由器之外,可以使那些需要面向外部的服务集中于堡垒主机上进行集中保护,以此来换取内部网络的安全。
而随着信息化应用的日趋复杂,由被动防御型的堡垒主机发展出来了更加偏重于对内部网络、应用和数据进行综合安全保护的管理控制平台,也就是我们所说的内控堡垒主机。它从网络内部出发,通过多种信息安全技术(访问控制、身份认证、虚拟化、协议、操作审计等)实现用户对内部网络资源的安全访问,同时对用户的操作过程形成完整的审计记录。这样的内控平台正可以有效地解决我们在日常运维和内控管理中遇到的难题。
1.2 功能特点
1.2.1 设备的集中管控
内控堡垒主机可以将服务器和网络设备的信息,以及用户信息和访问权限提前配置在堡垒主机中,这样便从传统的分布式管理模式转变成可控的集中式管理模式,以此为基础带来了设备管理效率和安全稳定性的提升。
1.2.2 操作的集中审计
内控堡垒主机通过协议的方式,将原来从某台内网终端直接通过远程连接对网络设备和服务器进行操作的不可控的分散管理方式,转变成为了用户必须集中至堡垒主机的统一入口再对有授权的设备进行操作。而全部操作都通过协议录制得到记录,实现了精细化的集中操作审计。
总之,内控堡垒主机结合了传统的4A 理念,即账号管理、认证管理、授权管理、安全审计,与应用技术,形成了一个完善且可控的远程接入解决方案。一方面,统一身份认证和统一访问授权使得远程接入用户需要通过多种身份认证手段以及基于角色的授权管理才可以接入设备,满足了信息安全等级保护的要求;另一方面,全面的审计功能让管理员不但可以完整录制会话过程,还可以实时监视远程访问会话并及时终止非法操作。
2 制定解决方案
2.1 信息安全等级保护要求
根据信息安全等级保护第三级[4]的相关要求制定内控堡垒主机的解决方案,可以满足在要求中涉及到的网络安全、主机安全、应用安全、数据安全及备份恢复五项技术方面的要求,以及安全管理机构、人员安全管理、系统运维管理三项管理方面的要求。根据要求中的内容以及内控堡垒主机针对每一项提供的解决方案,整理如下表1。
2.2 设计原则
2.2.1 整体安全和全网统一的原则
资源访问的安全设计需要综合考虑信息网络的各个环节和全部实体,然后在不同层次上综合使用多种安全手段,为内部信息网络和安全业务提供管理和服务。
2.2.2 标准化原则
项目的安全体系设计严格遵循了国家标准,如《信息系统安全等级保护基本要求》。在达到标准要求的同时能够使企业内部的信息系统在可控范围内实现安全的互联互通。
2.2.3 需求、风险、成本平衡原则
任何信息系统都无法做到绝对安全,所以设计时就需要明确性能要求以及侧重点,然后从需求出发,在功能、风险和成本之间进行平衡和折中[5]。
2.2.4 实用、高效、可扩展原则
无论现状如何,随着技术发展信息系统仍将不断变化,哪怕在系统实施过程中,系统的结构、配置也会发生变化。所以系统需要有一定的灵活性来适应这些变化,使其符合“有层次、成体系”的标准,既有利于系统安全,又有利于扩展。
2.2.5 技术、管理相结合原则
为了使内控堡垒主机可以发挥其应有的效果,管理者必须首先根据系统的功能特点来重新梳理和完善现有的运行管理机制和安全规章制度,同时对技术人员进行思想教育和技术培训。通过合理的规定和具体培训,才能完成系统的应用。
2.3 设计思路
2.3.1 集中管理模式
管理模式决定了管理的高度,所以明确管理模式应当是我们要确定首要因素。根据多年的运维实践发现,我们对维护人员及其操作的管理手段并未伴随着信息化进程的推进而得到加强,这样导致了人为因素造成的运行故障比例居高不下,缺少有效的审计手段。因此迫使我们必须由分散的管理模式转变为集中的管理模式。集中管理是运维管理思想的必然发展趋势和唯一选择[6]。通常,集中管理包括:集中的资源访问入口、集中的账号管理、集中的授权管理、集中的认证管理、集中的审计管理等等。
2.3.2 访问协议
内控堡垒主机通过对各平台所使用的协议进行来实现对操作行为的审计和监控[7]。比如SSH、TELNET、FTP、RDP、VNC等等Windows或Linux平台上的访问协议。
2.3.3 身份授权分离
为避免传统方式的共享账号、弱口令账号等问题导致的安全漏洞,我们的解决思路是将身份和授权分离。首先建立用于身份认证的独立账号体系,然后保留各系统账号但使其由堡垒主机接管并定期更新密码,使得被管理设备本身的系统账号仅用于系统授权而剥离其身份认证功能,有效增强了身份认证和系统授权的可靠性。
2.4 系统构架
我们部署的内控堡垒主机由展现层、核心服务层、接口管理层三层结构组成。
展现层面向用户,集成了多种包括匙扣令牌在内的强身份认证方式,分别对系统管理员和运维用户提供不同的访问操作页面。
核心服务层面向授权和协议,部署在服务器上。在核心服务层上完成账号管理、授权管理及策略设置等操作。其中的协议包含用户输入模块、命令捕获引擎、策略控制和日志服务,所以具备对用户行为进行监视、控制和记录的功能。
接口管理层面向个信息系统,用于实现审计结合、账号同步、认证结合等方面的数据接口工作。另外它还包含应用服务,以此来实现对B/S、C/S、半B/S半C/S系统的单点登录及审计工作。
3 内控堡垒主机的实施
系统的实施过程中,我们将堡垒主机及其应用服务器的部署位置单独剥离开划分为管理区,把内部网络的其他设备如服务器、网络设备、数据库等等划分为业务区。在内控堡垒主机部署上架后,运维人员将集中通过内控堡垒主机对业务区的目标设备进行日常运维操作。
设备上架后,我们需要通过防火墙策略配置解除客户端到堡垒主机及堡垒主机到目标服务器的端口限制。这样当用户访问设备时,堡垒主机才可以完成对TELNET(端口23)、SSH(端口22)、RDP(端口3389)等协议的访问具体设备,并在堡垒主机上完成对设备的单点登录及会话的完整审计。
4 结语
在信息化水平快速发展的今天,技术发展与管理模式相辅相成。信息安全不仅需要先进的设备和娴熟的技术,更需要完善的制度和审计手段。内控堡垒主机的实施切实有效地规范了内外部维护人员对IT基础设施的维护行为,弥补了操作审计空白。它通过集中管理的模式,借助于协议、身份授权分离等技术,极大地减少了维护人员误操作或恶意操作的概率,缩短了故障定位时间。这次内控堡垒主机的实施完善了笔者所在单位的信息安全保护体系,将有助于提高信息系统运行的安全性和稳定性。
参考文献:
[1]潘玉. 新一代堡垒主机[J]. 信息安全与通信保密,2011,05:45.
[2]韩荣杰,于晓谊. 基于堡垒主机概念的运维审计系统[J]. 信息化建设,2012,01:56-59.
[3]赵瑞霞,王会平. 构建堡垒主机抵御网络攻击[J]. 网络安全技术与应用,2010,08:26-27.
[4] 公安部信息安全等级保护评估中心. GB/T 22239-2008, 信息安全技术信息系统安全等级保护基本要求[S]. 北京:中国标准出版社,2008.
[5]韩海航,王久辉. 大型交通网络系统安全保障体系研究[J]. 计算机安全,2007,10:77-80.
[6]吴国良. 面向NGB的网络与信息管控建设[J]. 广播与电视技术,2013,10:28+30-33.
[7]陈旭. IT运维操作管理有效降低企业风险[J]. 高科技与产业化,2010,05:116-119.
