民航信息系統的網絡安全防范措施TOC\o"1-5"\h\z續 1\o"CurrentDocument"民航信息管理系統安全隱患分析 2\o"CurrentDocument"物理層的安全隱患 2\o"CurrentDocument"網絡層的安全隱患 2\o"CurrentDocument"系統層的安全隱患 3\o"CurrentDocument"應用層的安全隱患 3\o"CurrentDocument"信息系統安全和保護措施分類 31、 32、 3信息管理系統的安全管理分析 4\o"CurrentDocument"1、 網絡環境的安全管理 4\o"CurrentDocument"2、 應用系統的數據管理 4\o"CurrentDocument"3、 網絡通信的安全管理 4\o"CurrentDocument"典型信息安全解決方案介紹 5\o"CurrentDocument"1、 登錄控制 5\o"CurrentDocument"2、 權限控制 5\o"CurrentDocument"3、 網絡設備安全控制 5\o"CurrentDocument"4、 VLAN控制 5\o"CurrentDocument"5、 防火墻控制 5\o"CurrentDocument"6、 及時升級系統補丁和相關軟件 6隨著民航信息化的飛速發展，民航企業越來越依賴網絡開展辦公自動化系統，進行業務交易、進行內部資源共享和日常溝通，民航信息化大體上可以劃分為電子商務和電子政務二塊，民航綜合信息管理系統作為民航信息化建設的重要內容之一，是各個民航管理局和機場最先建立的信息系統，目前民航總局機關和華北、華東、中南、西南、西北、東北以及烏魯木齊等管理局都相繼完成民航綜合信息管理系統硬件和網絡建設，并初步實現了網絡互聯，構建了民航的internet/Intranet系統，民航系統利用民航信息管理系統極大地提高整體核心競爭力。但與此同時，由于民航各個局域網內機器的操作系統、殺毒軟件錯綜復雜，卻很少有一個統一的信息安全處理策略，信息化的安全問題正遭受不斷沖擊。最近爆發的沖擊波病毒就是個典型的案例，沖擊波病毒在國內互聯網和部分民航信息網絡上極速傳播，導致成千上萬臺個人計算機和企事業單位局域網癱瘓，而具有諷刺意味的是被蠕蟲感染的用戶大都是沒有及時下載并安裝微軟的補丁程序，從而被病毒侵害，使整個系統處于癱瘓狀態！介于網絡安全防范措施的前提下，做出了以下粗略的隱患分析：民航信息管理系統安全隱患分析信息系統具有系統開放性、資源共享性、介質存儲高密性、數據互訪性、信息聚生性、保密困難性、介質剩磁效應性、電磁泄露性、通信網絡的脆弱性等特性。信息系統的上述特性對其安全構成了潛在的危險。民航信息管理系統安全隱患可以劃分為四個層面中，即物理層、網絡層、系統層、應用層。而安全管理制度是各類安全保障措施的前提，也是其他安全保障措施的實施的基礎，在建立了健全的安全管理制度、明確不同的管理責權后才能從制度上保障各類安全措施的貫徹實施。1.物理層的安全隱患網絡的安全隱患風險主要指網絡周邊環境和物理特性引起的網絡設備和線路的不可用，而造成網絡系統的不可用。如設備被盜、被毀壞或設備老化、意外故障等。除此之外，由于民航網絡涉及專用業務網與辦公網兩個不同的網絡，需將兩個網絡從物理上隔斷。網絡層的安全隱患網絡層的安全風險主要包括重要數據的泄露與篡改、內網和外網的安全威脅。數據泄露與篡改的安全威脅包括本局域網和上下級網絡數據傳輸線路之間存在被竊聽的隱患，同時局域網內部也存在著內部攻擊，敏感信息可能被侵襲者搭線竊取和篡改。外網安全隱患主要因為目前大多數民航信息化網絡提供與INTERNET連接的基于WEB的電子政務服務，并且民航內部用戶也有上網需求，但現有的網絡安全防范措施還很薄弱，存在很多如探測掃描系統安全漏洞、網絡監聽等安全隱患。3? 系統層的安全隱患系統級的安全隱患主要針對民航專用網絡采用的操作系統、數據庫及相關商用產品的安全漏洞和病毒威脅。民航專用網絡通常采用的操作系統主要分為WINDOWSNT和UNIX系統，WINDOWS系統自身的安全漏洞較多，而雖然UNIX系統本身在安全方面有一定考慮，但服務器、數據庫的安全級別較低，存在一些安全隱患。4. 應用層的安全隱患應用層的安全隱患主要包括身份認證漏洞和非授權訪問：由于目前多數服務系統登錄和主機登錄使用的是靜態口令，而靜態口令很容易被非法用戶通過網絡竊聽、非法數據庫訪問、窮舉攻擊、重放攻擊等手段很容易得到。對業務服務器的非授權訪問是指為民航各類應用系統提供信息數據服務的服務器由于缺乏必要安全保護，可能會被非法用戶直接訪問網絡資源，造成機密信息外泄。信息系統安全和保護措施分類信息系統的安全就是為了防止系統外部對系統資源（特別是信息資源）不合法的使用和訪問，保證系統的硬件、軟件和數據不因偶然或人為的因素而遭受破壞、泄露、修改或復制，維護正當的信息活動，保證信息系統安全運行而采取的手段。與信息系統安全性相關的因素主要有：自然及不可抗拒因素，硬件及物理因素，電磁波因素，軟件因素，數據因素，人為及管理因素等。相對應的信息系統的安全保護措施分為管理層面和技術層面二大部分：1、 技術層面安全措施--是指通過采取與系統直接相關的技術手段防止安全事故的發生，如防火墻技術，數據加密技術，登陸的驗證技術，VPN技術，漏洞檢測與在線黑客檢測預警，數據安全存儲的數據存儲、備份和安全恢復等；2、 管理層面安全措施--指利用行政管理、法制保證和其他物理措施等防止安全事故的發生，它不受信息系統的控制，是施加于信息系統之上的，如安全組織管理體系、高效能的、職責分工明確的行政管理安全機構、業務組織體系和信息安全標準和評估體系等。信息管理系統的安全管理分析民航信息網絡擔負著辦公和相關業務管理的重任，具有訪問方式多樣、用戶群體龐大，網絡行為突發性高等特點，為保證民航信息系統的安全性，在安全保障過程中應按步驟分步實施。首先要建立一套完整的安全管理體系，進行信息安全機構及職能設計，建立高效能的、職責分工明確的行政管理和業務組織體系，建立信息安全標準和評估體系，可以通過安全評估、安全政策、安全標準、安全審計等四個環節來加以規范管理。其次要堅持安全建設的均衡性，安全措施的強度要一致。不同的民航信息管理應用系統，對于安全的要求是不同的，因此對各個系統的安全需求進行安全成本和效率分析是第一任務，在設計系統安全措施的時候，必須根據系統的實際應用情況，有針對分等級包含不同的信息系統，綜合考慮安全、成本、效率三者的權重，盡量降低安全管理成本，提高信息系統使用效率，保持安全的成本和效率之間的均衡，制定出不同安全防范級別的安全保障系統，。1、 網絡環境的安全管理在網絡設計中，對于存在隱患的主要方面，將內部辦公和信息發布兩套網絡物理分開；即，網絡服務器、交換機、傳輸介質全部采用兩套獨立方式解決；在桌面有瀏覽外網需求的終端采用雙網機或網絡隔離卡方式解決；對外接入，對于系統內的網絡之間采取防火墻方式隔離，對于非系統內不同局域網之間的連接，采取物理隔離；從而從根本上杜絕了非法侵入事件的發生；另對于網絡核心服務器的配置，應采取冗余設置，應用各種備份、災難恢復方案。同時，在服務器等設備配備防計算機病毒軟件防止病毒侵襲。在內部泄密問題上，可以考慮建立安全管理制度，定期更新密鑰，加強密鑰管理，限制系統管理員充當操作員，對上網進行傳輸操作。2、 應用系統的數據管理應用系統的數據大多保存在后臺數據庫中，應該充分利用數據庫系統的管理功能，對后臺數據庫的訪問進行管理、控制，對保存的部分敏感數據還要進行加密處理，以保護數據的安全。3、 網絡通信的安全管理對訪問數據的限制只是整個信息安全問題的一部分。在處理一些敏感數據的傳輸時，系統需要保證這些敏感數據能安全到達其目的地，而不發生改變或在途中丟失數據。所以，應該以加密的格式傳輸數據，來保證數據在傳輸過程中的完整性、安全性。目前常用的有數字安全證書等身份驗證手段。安全證書體制主要采用了公開密鑰體制，其它還包括對稱密鑰加密、數字簽名、數字信封等技術。典型信息安全解決方案介紹目前常用的信息安全解決方案有防止非法入侵和泄密的解決方案、數據安全存儲的解決方案和必不可少的防病毒解決方案等。具體的技術措施可以細分為以下幾種：1、 登錄控制民航信息系統是以辦公用戶為中心的系統，登錄控制能有效地控制用戶登錄到服務器、路由器和交換機等網絡設備并獲取資源，可以控制用戶進入網絡的時間和允許他們在什么地方進入網絡。用戶訪問網絡控制大致分為用戶名的識別和驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查三個步驟，通過登錄控制能有效地保證網絡的安全。2、 權限控制權限控制是針對網絡非法操作所提出的一種安全保護措施。對用戶和用戶組賦予一定的權限，可以限制用戶和用戶組對目錄、子目錄、文件、打印機和其他共享資源的訪問，可以限制用戶對共享文件、目錄和共享設備的操作。3、 網絡設備安全控制對網絡中的路由器和三層交換機開啟內置防火墻功能，并可通過設置ip訪問列表與MAC地址綁定等方案對網絡中的數據進行過濾，限制出入網絡的數據，從而增加網絡安全性。4、 VLAN控制采用交換式局域網技術組建的民航局域網絡，可以運用VLAN（虛擬網絡）技術來加強內部網絡管理。VLAN技術的核心是網絡分段，根據不同的部門及不同的安全機制，將網絡進行隔離，可以達到限制用戶非法訪問的目的。5、防火墻控制防火墻是目前使用最廣泛的一種網絡安