1. 引言
纵观国内外民航网络安全事件,2025年9月,欧洲多个主要机场(包括比利时布鲁塞尔机场、德国柏林勃兰登堡机场、英国伦敦希思罗机场等)的航班值机和登机系统同时陷入瘫痪。直接导致布鲁塞尔机场当天上午即有9个航班被取消,15个航班延误超过1小时,影响约3.5万名旅客。几乎是同一时间,美国得克萨斯州达拉斯地区两座主要机场(达拉斯–沃思堡国际机场和达拉斯拉夫菲尔德机场)因当地电信公司设备发生故障,导致美国联邦航空局发布停飞令。事件造成至少1800架次航班延误,数百架次航班取消。仅美国航空公司一家就取消逾200架次航班,西南航空公司延误航班超过1100架次,影响范围巨大。这些事件暴露出民航信息系统的网络安全性短板,尤其是在近年来国家网安法及等保2.0的要求,关乎航空飞行安全的气象信息系统,需要提高其安全防护等级,以应对日益复杂的网络威胁。
2. 等级保护标准与系统定级
2.1. 等级保护的相关标准
目前,全国信息安全标准化技术委员会颁布了GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》[1]、GB/T 28448-2019《信息安全技术 网络安全等级保护安全设计技术要求》[2]、GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》[3]作为全国信息安全的指导性文件。据此,民航行业颁布标准MHT 0069-2018《民用航空网络安全等级保护定级指南》[4]。根据以上技术标准,民航气象信息系统也开展了相应定级、备案和测评工作。
2.2. 民航气象信息服务系统等保定级
民航气象信息服务作为民航空管体系的重要组成部分,其作用是最大限度地减少天气对航空运行安全与效率造成的危害,是民航安全、快速、持续、有效发展的重要保障。气象各业务系统的建设就是为保障航空气象部门给空管、航空公司、机场等航空用户提供及时、准确的气象服务信息,为优化空域结构和流量管理提供可靠的气象情报[5]。若该信息遭到破坏、篡改将可能无法为民航气象单位提供正确的飞行情报,从而在极端天气下对社会秩序和公共利益造成严重损害,根据上述定级指南,由表1中的对应项,该系统被定级为第三级。
Table 1. Determination of the system service security level
表1. 系统服务安全保护等级的确定
业务信息安全被破坏时所侵害的客体 |
对相应客体的侵害程度 |
一般损害 |
严重损害 |
特别严重损害 |
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
国家安全 |
第三级 |
第四级 |
第五级 |
2.3. 第三级等级保护相关技术要求
确定系统为第三级等级保护后,系统需满足三级等保的基本技术要求:系统机房内应安装视频监控系统、电子门禁系统、自动消防系统,还应具备防雷击、防水防潮、温湿度控制、烟感监测、漏水监测等功能。当前空管气象楼内,UPS系统、机房人脸识别门禁系统、电磁防护、防火及动环监控系统已经严格按照标准部署到位并通过系统行业验收。对于外来人员进入机房需审查来访人员的从业背景经授权后方可进入特定区域,并由专人全程陪同,确保外来技术人员的操作可以审计、行为有所追溯,对机房环境实行7 × 24小时有效监控。因此,物理环境安全已具备。
根据要求,应落实安全通信网络和安全区域边界技术要求。目前气象信息业务系统已划分安全区域进行分区分域管理和防护。不同安全区域间,配置安全策略进行访问控制。此外,在网络边界部署的防火墙、防DDOS攻击、入侵检测等安全隔离设备。与互联网信息系统相接的入口进行网闸安全隔离。网络安全管理保持独立的安全域,建立独立的传输路径使网管数据与业务数据分离。因此,系统防护边界及网络安全设备基本满足要求。后续章节主要针对系统硬件系统、软件漏洞等方面测评和整改实施进行研究。
3. 系统架构与安全建设规划
3.1. 系统网络构架
结合气象信息对外服务的需求,兼顾网络安全管理体系建设要求与气象信息计算处理效率的整体网络架构设计,将网络架构规划为对内服务区、对外服务区、数据交换区等安全区域,网络业务架构见图1。
Figure 1. System network architecture
图1. 系统网络架构图
3.2. 系统软件架构
气象信息系统主要是将制作和收集预警预报产品发布至相关用户组。遵循气象信息发布流程,完成信息的采集、传输、收集、处理、发布等环节,流程见图2。
Figure 2. Meteorological information release process
图2. 气象信息发布流程
气象数据的特点是数据量大、实时性、可靠性要求高,因此在系统设计时,为保证数据传输的快速性和稳定性,在气象信息管理区中单节点支持并行线程传输。各传输节点的通信线路和传输队列优先级统一管控,使系统具备高可靠性和高可用性。
4. 现场测评与主要风险整改
4.1. 现场测评
测评公司根据等保2.0的相关要求,对现场民航气象信息系统进行漏洞扫描并出具测试报告[6]。初步测评发现系统存在可入侵风险漏洞3个,存在高风险漏洞96个,具体见表2。
Table 2. Evaluation results
表2. 测评结果
危险级别 |
控制项数量 |
危险程度说明 |
可入侵漏洞 (严重) |
3 |
有公开利用方法,已验证可远程执行任意命令或者代码,或对系统进行远程拒绝服务攻击,或可获取重要敏感数据。 |
高风险漏洞 |
96 |
攻击者可以远程执行任意命令或者代码,或对系统进行远程拒绝服务攻击,或可获取重要敏感数据。 |
中风险漏洞 |
182 |
攻击者可以远程创建、修改、删除部分文件或数据,或对普通服务进行拒绝服务攻击。 |
低风险漏洞 |
84 |
攻击者可以获取某些系统、服务的信息,或读取某些系统文件和数据。 |
4.2. 安全加固技术选型与论证
针对现场测评所发现的高危风险,本节通过分析和对比技术解决方案,确保安全投入的效益最大化。
4.2.1. WEB应用防火墙选型
以上高危漏洞,可通过部署WAF进行技术拦截。可选的技术方案有云WAF、硬件WAF及开源的WAF三种方式。云WAF的优点为可快速实现部署、无需新增硬件;新增WAF硬件具有数据的保密性好且工作性能稳定的优点;开源WAF部署则成本相对更低、灵活度高。
结合气象信息数据的业务特点,需要保证气象数据的高效、稳定及数据保密等安全要求。因此选择部署国产品牌的WAF硬件(HTTP吞吐量为1 Gbps)以满足业务高峰期的流量通过,且国产品牌具有较好的技术支持和政策扶持。
4.2.2. 网页防篡改方案论证
目前,实现网页防篡改的方式有核心文件监控、驱动级防篡改、备份恢复等。为确保气象信息服务的高可用性,选择通过备份恢复的方法,在WEB服务器备机上对所发布的网页进行存储备份,在检测到目前在用网页与备份网页有差异时进行网页文件的备份替换,以此达到网页不被黑客篡改。
4.3. 风险项整改
整改工作主要针对测评报告中的可入侵漏洞、高风险漏洞进行以下网络加固。从增强网页防篡改和应用防护、增强防火墙策略和增加日志收集等方面着手。
4.3.1. WEB应用防护功能加固
梳理检查WEB应用防火(WAF)的配置,增加防护资产配置,添加代理网关(透明代理规则),配置完成后验证WAF的WEB防护功能,对正常访问受保护的网站见图3。
Figure 3. Meteorological information release web page
图3. 气象信息发布网页
加上攻击参数“?id=1 and 1=1”再次访问网站后,网站返回404错误,见图4。
Figure 4. Loss of interface access following parameter attack
图4. 加攻击参数后访问失败
此时,在WAF上查看攻击日志,可以看到攻击拦截的详细信息,证明WAF已经正常防护。
4.3.2. 网页防篡改功能加固
网页防篡改需要安装客户端到网站服务器上,客户端的管理中心集成在WAF设备中。将下载的防护程序软件上传到防护服务器,网页防篡改实现原理见图5所示。防篡改客户端安装好之后,管理端会探测到服务器的相关信息,填写配置发布服务器后查看“防护端状态”,状态显示为“已连接”。
Figure 5. Web anti-tampering protection
图5. 网页防篡改防护
验证效果见防篡改日志见图6所示。
Figure 6. WAF anti-tampering log records
图6. WAF防篡改日志记录
4.3.3. 增加主机防火墙策略
结合气象信息服务业务,将防火墙和IPS设备上的策略逐一进行考量,将开放的网段地址收紧为具体主机IP地址,将服务为any项改为具体开放端口,并检查是否有any到any全通项,关闭icmp服务。更新防火墙特征库至最新版本,图7(a)和图7(b)为防火墙各类特征库升级前后对比。
(a) (b)
Figure 7. (a) Pre-upgrade firewall version, (b) Post-upgrade firewall version
图7. (a) 防火墙升级前版本,(b) 防火墙升级后版本
4.3.4. 完善日志收集功能
根据三级等保的相关要求,系统需保存不少于6个月的日志,检查各类服务器、网络设备、网络安全设备(如图8),将部分未开启syslog外发设备开启配置。
Figure 8. Log data collection schematic diagram
图8. 日志数据收集示意图
由于气象信息系统的日志数据来源广泛、数据量大、存储分布,存在着众多噪音、空白、重叠等,且数据格式不一致。因此,对原始日志数据进行预处理,再进行数据转换,即对原始的日志进行重要属性的提取,再以同种格式存储,用于后续调取与分析。
在此基础上,利用算法对安全历史日志进行分析和深度挖掘提取,形成日志分析告警系统。系统模块如图9所示。
Figure 9. Log analysis system architecture
图9. 日志分析系统构架
抽取日志数据库中的数据,进行数据读取与解析,进而进行攻击事件的检测。在此过程中建立攻击场景和事件的对应关系库,形成攻击事件集合,结合专家知识库及AI系统,最终根据攻击场景与攻击事件的规则计算攻击场景发生的概率,若最终发生概率大于阈值,系统则自动产生报警,并显示输出用户可视化相关信息,以此将网络设备上的告警调查时间从平均数小时缩短至几分钟。
4.3.5. OpenSSH漏洞解决
低版本OpenSSH存在拒绝服务漏洞、任意命令执行漏洞、X11 Cookie本地绕过认证漏洞及JPAKE授权问题漏洞等,目前厂商已发布升级补丁以修复上述安全问题。对于测评出存在低版本OpenSSH的服务器进行统一升级到最新版本,且将不需要使用SSH的服务器通过主机防火墙关闭该端口(见图10)。
Figure 10. Disabling SSH on the host
图10. 关闭主机SSH
关闭后,使用漏洞扫描工具再次扫描,已无法检测出OpenSSH相关漏洞。
5. 结语
民航气象系统的等保测评和建设工作仍处于探索阶段,在网络安全测评开展的过程中遇到了些许问题,但也是在不断积累经验的过程[7]。通过测评、整改的工作,为以后系统建设的规划设计提供了设计参考依据,根据以上对网络边界、安全设备、主机加固等方面进行漏洞修复,此次系统完成了高危漏洞的整改,做到高危漏洞的清零,顺利通过等保2.0测评工作。然而,也发现系统虽配备多种安全设备,在检测到攻击行为时,各类设备日志只能记录到攻击行为而无法进行实时弹窗报警,系统维护人员无法及时发现入侵行为,从而采取相应的处置,系统仍有遭到破坏的可能。后续工作中,将加强系统边界实时告警的安全防护建设,利用人工智能,实现“监测–防护–响应”协同的民航气象安全建设范式,不断提高网络安全防护水平[8]。