時間:2023-11-23 10:16:13
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇民航信息安全,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】信息安全分布式監控綜合監控系統設計
一、引言
隨著信息技術的日益進步,網絡監控技術從早期的單一技術逐漸發展為一種綜合應用,它將監測技術和系統管理集成在一起,并利用網絡傳輸技術來遠程獲取被管網絡中設備的運行信息,通過智能分析手段來提供一種安全的管理服務。目前民航氣象信息服務的特點及面臨困難:
第一、信息種類和應用的多樣性使得信息維護工作量大
民航氣象服務所需要應用的信息有地面和高空風溫資料、氣象雷達圖形資料、氣象衛星資料、航路及機場實況資料、各類Micaps資料及報文產品等,資料的獲取途徑也各不相同,應用的形式多樣。因此,應用終端多,網絡結構復雜,這給氣象設備維護人員保障信息安全帶來了較大的工作量。
第二、信息接收、要求及時,而信息安全監控難度大
目前民航空管系統的氣象觀測、預報業務及其它用戶服務終端設備分布較分散,包括機場飛行區觀測室、航管樓塔臺、預報室和雷達塔等有之間存在一定空間跨度,設備維護工作要同時兼顧所有氣象信息終端的監控巡視維護工作。目前,民航空管氣象信息安全監控主要通過設備維護人員定時巡視為主,其次是氣象信息應用人員的監督。但民航氣象信息中各類數據接收、發送時間并不一致。而設備人員巡視時間間隔固定,信息不安全事件是隨機發生的。因此,信息不安全事件在巡視時間間隔內發生時,不易被維護人員及時發現,并采取有效措施解決。直到應用人員使用時發現,一方面必然給氣象服務保障工作造成一定程度的影響;另一方面,給設備維護人員的應急處置造成一定程度的緊迫性。
本文所設計開發的民航氣象信息安全綜合監控系統,目的為了進一步提高信息安全保障服務質量和氣象信息應用質量,有效減少氣象設備保障中錯、忘、漏等情況的發生。
該系統通過實時監控氣象服務的各個終端的運行環境、硬件、系統、網絡、數據接收情況等信息,并將監控結果集中顯示到監控平臺上。當發生信息不安全情況時,在監控端通過圖形、聲音、文本或短信的方式進行預警,并以文字形式提供建議性處理方案。將各個系統運行情況存入日志文件中,可以按年、月、日統計生成設備運行報表。本系統在實際應用中能夠進一步提高氣象信息安全和氣象服務質量,同時在一定程度上提高氣象設備維護人員和氣象信息應用人員的工作質量,有效緩解設備維護人員的工作壓力。
二、系統總體設計
在民航氣象信息安全綜合監控系統中,通過網絡遠程監控技術實現對氣象信息的各終端的重要信息進行監控。本系統擬采用網絡化、集成化的C/S與B/S相結合總體架構模式,通過在各終端安裝監控,監控在終端上采集相應的信息,并進行安全性判斷,將判斷結果發送給服務器,在服務器端將信息分類整理存入數據庫。并根據監控顯示終端的要求將相關信息提取顯示到監控界面上或管理員的手機上,同時服務器也支持WEB訪問,終端運行情況通過WEB獲取。該數據流向分別如圖1所示。
三、系統模塊設計
民航氣象信息安全綜合監控系統包含監控服務器系統和監控系統兩個子系統。監控系統用于監控信息的采集和簡單診斷,監控服務器系統主要用于對監控發送的監控信息的接收、存儲管理、智能決策、告警信息、案例收集、統計分析等。
四、系統主要功能設計
4.1監控功能
網絡:氣象信息服務局域網網絡運行實況;CPU、內存:終端的cpu、內存使用率;
進程:終端重要進程監控; USB:終端usb使用情況;資料接收:終端氣象資料接收情況監控(氣象資料接收、采集的完整性、有效性、及時性);機房環境:機房的溫、濕、煙監控。
4.2案例收集和智能決策功能
在本系統設置智能決策模塊,管理員將信息安全處理方案和應急預案不斷積累整理錄入解決方案數據庫中,存儲在監控服務器中。當發生不正常情況,用戶確認收到告警信息時,系統智能決策模塊根據當前情況進行判斷,從解決方案數據庫中搜索相應或相近的處理方案和應急預案顯示到監控終端上,以供用戶解決問題時參考。
4.3告警功能
本系統對監控的到異常信息進行實時告警,以便維護人員及時關注設備狀況。告警的形式為聲音告警、圖像、文本、短信告警相結合的方式。當故障出現5分鐘內值班員還沒有確認知道告警時,GPRS模塊以短信的方式將告警內容的簡述發送到值班人員的手機中,以防值班員離開監控終端時影響監控的及時性。
4.4信息安全事件日志管理功能
在監控過程中,如果發生信息安全事件,在監控服務器中記錄所有發生的信息安全事件發生的時間、主機或網絡設備名稱、內容等信息以便后期工作中查閱。
4.5設備運行統計和報告功能
系統可以按小時、天、月、年統計對設備按類型進行故障統計,并形成報告文檔。對于設備風險評估、設備更新有情業務提供有力的科學依據。
五、系統安全性設計
本系統應用過程中要將監控分系統安裝至被監控終端上,監控信息從各個被監控的終端上匯總到監控服務器中。為了保證業務系統能夠正常運行,監控系統要求安全可靠。因此,設計過程中將系統的可靠性和安全性,如表1所示。
六、總結
本系統的設計立足在信息安全保障的監控過程中,減少人的參與度。同時利用信息化和智能化,在信息不安全事件處理過程中,充分發揮人的作用。有助于縮小因維護人員水平差距對信息安全保障帶來的影響。民航氣象信息安全監控系統的設計,實現對民航空管氣象服務局域網網絡內部設備、運行環境、資料等進行實時監控。從本根上解決民航氣象服務中數據交換、處理等服務中面臨的困難,有效提高氣象信息服務保障效率和水平,減少工作中錯、忘、漏等情況。信息化在空中交通管理行業應用的前景還很廣闊,需要不斷地學習和積累,才能使我們更好地建設集成度更高的信息化空管服務。
參考文獻
[1]張友生.系統分析師教程[M].機械工業出版社.2010.
[2] Leszek A Maciaszek , Bruc Lee Liong . Practical Software Engineering: A Case Study Approach[M] . Pearson Education 2005.
關鍵詞:民航信息系統安全;風險評估;決策依據;可持續發展
1.引言
目前,世界各國航空公司紛紛從維護信息時代根本利益的高度認識信息安全的重要性,美國、日本、英國、法國等許多國家航空公司也都先后成立了高級別的信息安全機構。與此對比,國內民航企業在信息系統安全保障方面還處在一
個比較初級的階段,基本遵循著“出現事故一解決事故”的傳統模式。因此建設適合民航系統的信息安全管理體系,建立“安全評估一發現漏洞一解決漏洞—制定科學管理措施一預防事故”的新安全模式,已經成為開展民航信息化的當務之急,是民航信息化工作中不可避免的問題。
2.研究方案
本研究方案分作三個階段進行實施:
第一階段,在
國家評估標準
GB/T20984---2007《信息安全技術信息安全風險評估規范》的基礎上,對典型的民航信息系統安全風險進行評估。這一階段的工作內容有:分析并描述民航信息系統內涵,對其
內在拓撲結構、應用系統和業務流程進行分析;劃分評估對象的范圍并對其分類賦值;識別可能由人為因素或環境因素所引發的安全威脅,并將其分類賦值;從技術和管理兩個方面對信息系統
中可能存在
的脆弱點進行識別、分類,并依照其各
自嚴重程度的不同定級賦值;在對信息系統的資產、威脅和脆弱性安全賦值基礎上,計算信息系統的安全風險值;最后對風險結果進行分析,討論現有安全管理規定的隱患和不足之處,制定風險處理計劃,制定出新的更合理的安全管理規定。
第二階段,在現有傳統評估方法和評估模型研
究的基礎上,針對民用航空行業的特殊性需求,提出新的評估模型算法,并加以應用實踐。這一階段的工作內容有:分析傳統評估算法和評估模型,指出其存在的不足;分析民航業信息系統評估的特別的安全需求和評估指標;在傳統評估模型的基礎上,提出新的評估模型,從而更好地符合
民航業信息系統安全評估;利用得出的新的評估模型,對信息系統進行評估應用實踐,并對最終實踐數據進行分析、驗證。
第三個階段,深入開展信息安全知識普及和實施信息安全人才培訓計劃。這一階段的工作內容有:深入到民航公司和相關部門,通過靈活多樣的方式,開展普及信息安全的活動。制定安全人才培訓計劃,培訓信息安全相關規范和有關國
家法律知識,提高民航單位工作人員的信息安全意識,加強規范信息系統工作制度,提高防范意識。
3.實施方案
3.1民航信息系統安全評估
內容:如圖
l所示,確定評估范圍、目標;
指定評估方案:資產評估;威脅識別;脆弱性識別;風險計算;已有安全措施的確認;評估結論。
風險值=R
(A,1.,V)=
(L(T,V),F(Ia,Va))。
其中,R
表示安全風險計算函數;A
表示資
產;T表示威脅:V表示脆弱性;Ia表示安全事件
所作用的資產價值;Va表示脆弱性嚴重程度;L
表示威脅利用資產的脆弱性導致安全事件的可能性;F表示安全事件發生后造成的損失。
指標:評估出民航信息系統中的安全風險,清楚地了解系統中目前的安全現狀,找到潛在的威脅和安全隱患。
圖
1民航信息安全的評估內容
3.2民航信息系統安全管理分析
內容:風險等級劃分:評估已有的安全控制
措施是否可接受;對不可接受的部分提出相應的
整改建議;對殘余風險的評估。
指標:根據風險評估結果,指出現有安全管
理規范中不合理的因素,制定出更加有效的安全
管理規范。
3.3傳統評估算法模型的研究
內容:定性的評估方法研究;定量的評估方
法研究;綜合的評估方法研究;傳統評估方法和模型的不足之處;改進的思路。
(1)概率風險評估
概率風險評估(PRA)以定性評估和定量計算相結合,將系統逐步分解轉化為初始事件進行分析。確定系統失效的事件組合及失效概率。能識別風險及原因,給出導致風險的事故序列和事故發生的概率。
(2)費用.效益分析
費用.效益分析是系統評價的經典方法之一。
在學術界、福利經濟學理論的基礎上,該方法要求從經濟總體上考慮費用和效益的關系,以達到資源的最優化分配。
(3)關聯矩陣法
關聯矩陣法應用于多目標系統。它是用矩陣形式來表示各替代方案有關評價項目的平均值。
然后計算各方案評估值的加權和,再通過分析比較,綜合評估價值、評估值加權和最大的方案即為最優方案。
(4)關聯樹法
關聯樹法是作為一種有助于對復雜問題進行評價的方法而產生的。最初它是用來對國家戰略性的技術預測和設計的評價,后來在開拓市場、
投資分析等不確定狀態下進行評價時也廣泛應用起來。
指標:現有傳統評估方法應用與民航信息系統安全評估中所存在的問題,并指出其不足之處。
3.4新的評估模型算法的研究
內容:民航信息系統的評估需求分析:改進傳統評估模型的方法研究;新的評估模型框架;新的評估算法;新的評估模型應用實踐;實踐數據的驗證。
(1)層次分析法
層次分析法對系統進行分層次、定量、規范化處理。為決策者提供定量形式的決策依據。
(2)動態風險評估法
動態風險評估法,能夠與時間緊密結合,確定系統失效的事件組合及失效概率。
指標:新算法模型更符合民航業信息系統的
實際需求,具有良好的科學性、合理性和可操作性。
3.5安全人才培訓計劃
內容:培訓對象為民航公司相關單位工作人員。開展信息安全普及活動;開展信息安全技術
培訓班:編寫信息安全培訓教材:設立信息安全培訓實驗室。
指標:通過該計劃,能切實提高民航單位工作人員的信息安全意識,規范信息安全操作,提高保障信息安全的能力。
本文涵蓋了民航信息系統保障機制的 各個方面,與民航日常工作和安全保障密切相關,有著非常重要的學術意義和應用意義。在提高民航安全管理質量,評估民航安全信息系統,制定民航安全管理規范,培訓
民航安全管理素質等各方面,都有著重要的意義。
參考文獻:
[1]范紅.信息安全風險評估規范國家標準理解與實施【M】.北京:中國標準出版社,2008:l—49
民航是我國的基礎行業之一,對我國經濟發展有著重大而深遠的影響,尤其是現在航空公司的基本業務都已經實現電子化,信息系統安全本身的穩定、可靠成為整個航空公司業務開展的基礎。
萬事俱備,只欠東風
某航空公司作為全球最大航空聯盟――星空聯盟成員之一,是民航業一家非常有代表性的公司。在信息化建設上,該航空公司信息系統規模非常龐大,信息化工作人員就達到100多人,包括基礎IT設施保障人員、系統開發與維護人員、網絡運維管理人員等。相對信息系統安全保障而言,該航空公司目前還缺少專職專崗的安全運維人員。
面對未來世博會上大量客流及信息系統數據處理需求,該航空公司領導決定盡早提升系統的信息安全保障力度,提升整體團隊信息安全技術能力。
作為國家基礎性行業,民航業必須要遵從國家頒布的等級保護政策,所以,該航空公司領導非常注重信息安全等級保護體系的建設,并且面向社會進行信息安全服務供應商招標。東軟安全服務部部長席斐對記者說:“該航空公司信息系統基礎建設很好,技術人員團隊素質高,可以說萬事俱備,而獨缺專業安全體系這一塊的行業規劃。東軟NetEye憑借13年專業的安全技術積淀,全面、完善的實施方案贏得了為此用戶提供信息安全體系建設咨詢和評估服務的機會。”
“三業”保障信息系統安全
在信息化建設中,東軟一直注重業務系統和信息化建設的整體融合與推動,并致力于為客戶提供優秀且可操作的安全解決方案。
經過對該航空公司系統業務情況以及安全現狀的充分溝通和詳細分析后,東軟NetEye安全服務團隊對其總部等幾個營業點進行了全面的信息安全風險評估,特別是對互聯網公開的B/S架構的電子商務業務系統和呼叫中心系統、運行準備系統、HR系統、招聘系統、貨運系統等進行了詳細的評估,全面了解系統安全狀況,明確當前風險,并完成壓力測試、滲透測試、等級保護差距分析、系統加固等。同時,在本次項目中,東軟NetEye團隊協助該航空公司對其原有的信息化管理規章進行了重新梳理,并制定和建立起一套信息安全專項管理手冊,提高了安全制度和安全管理規范的可操作性。
在完成信息安全風險評估工作之后,東軟還協助該航空公司一起制定了未來三年詳盡的信息安全整體建設規劃方案,為其在世博期間乃至今后的信息安全運維保障工作奠定了有力基石。
“更重要的是我們通過這一次項目為用戶培養了一支具備信息安全風險評估能力的技術團隊。”席斐說,“這是用戶方領導對我們最為稱道的一項。”
關鍵詞 空管網絡;網絡安全;管理維護
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2014)15-0161-01
隨著現代信息化建設的發展,計算機信息網絡技術已經廣泛應用于我國的眾多政府機關和企事業單位。然而計算機網絡環境的復雜性、多變性及開放性等特點,導致了無論在廣域網還是局域網,都存在著黑客攻擊、計算機病毒擴散、網絡犯罪等諸多潛在威脅。空管網絡與信息系統是國家重要的網絡與信息安全系統,所以對技術、安全和服務要求很高。其業務繁瑣、資金密集等特點使得空管信息網絡一旦破壞,會造成公共利益和人民安全造成嚴重損害[1]。
1 空管信息網絡安全的重要性
空管擔負著保障空中交通、氣象、服務、通信等工作正常開展的任務,而信息化系統作為空管系統正常運行的載體,其數據網絡信息安全傳輸極其重要。假如空管的關鍵業務對外停止服務或飛機飛行高度、起降落時間等信息在傳輸過程中被泄露篡改、航行信息服務系統遭到破壞,那么將會造成民航空公司和機場將無法正常運營,導致社會秩序混亂,還會對人民的人身財產安全及國家安全造成嚴重威脅[2]。
為了適應國家信息系統安全等級保護的規定,有效降低信息安全風險,保證空管信息網絡系統業務持續正常開展及安全運行,必須增強空管信息安全風險的防范能力,建立有效的信息網絡安全保障體系。因此,確保空管計算機信息網絡安全已成為保障飛機安全飛行和航空公司正常運營的重要工作之一。
2 空管信息網絡系統的安全隱患
計算機信息網絡技術在給人們巨大便利的同時,也面臨著復雜多樣的網絡威脅,與之產生網絡安全問題益突出。目前計算機網絡常見的安全威脅有:網絡外部的入侵、攻擊等惡意破壞;計算機病毒泛濫;計算機系統漏洞;內部用戶的攻擊和濫用網絡資源;垃圾郵件、不良信息廣泛傳播等。而快速發展的空管網絡規模、日趨復雜的網絡結構和互聯應用需求,也給空管信息網絡安全管理與維護帶來了新的挑戰[3]。
1)部分空管網絡系統對某些電信商的網絡基礎設施依賴性太大。某些重要信息系統維護和管理工作需要借助電信網絡的平臺展開。這也就導致黑客更容易進行竊聽、攻擊等非法行為。
2)隨著空管信息網絡系統業務從單純的數據通信向包含視頻、語音等綜合信息業務發展,對內部生產、管理、協同辦公等信息系統之間的信息共享與交流要求也逐步提高。空管信息網絡與機場、政府、航空公司等機構聯系更加緊密的同時,信息被非法侵害風險也越來越大。
3)目前正在運行的在信息網絡系統中,安全防范建設意識欠缺;而對于在建信息網絡系統,對其安全的規劃及建設并無的明確的國家標準及行業規范可以參考。另外,空管內部管理及技術人員的專業能力和技術水平與信息網絡的迅速發展不相匹配。
3 空管信息網絡安全問題的解決方案
隨著空管業務向系統化、多元化發展,空管系統對信息網絡的依賴性增強,網絡的安全問題便顯得極其重要。要解決空管信息網絡中存在的安全隱患,需要從空管網絡的應用著手分析,重點研究安全防范的關鍵技術和才策略,實現綜合全面的安全保護體系。
3.1 防火墻技術
防火墻是一種基于網絡邊界的被動安全技術,具體包括應用網關、數據包過濾和服務等手段。它可以通過企業設置的不同安全政策,控制進出企業的網絡信息流,因此較適合于網絡服務種類集中,與外部網絡的互聯方式有限的內部獨立
網絡。
3.2 防病毒技術
防病毒技術是一種通過讀寫控制、磁盤引導區保護、系統監控和加密可執行程序等手段識別并消滅惡意程序的技術。它根據計算機病毒的關鍵字、特征程序段內容、病毒特征及傳染方式、文件長度的變化,以特征分類來檢測病毒或是對某個文件、數據段進行檢驗和計算,通過保存的結果對該文件或數據段進行檢驗。如果檢驗出現差異,則表示其完整性己遭到破壞,即遭受到病毒的攻擊。
3.3 入侵檢測技術(Intrusion Detection)
所謂網絡入侵就是試圖破壞計算機網絡的可信性、完整性、機密性的入侵行為。入侵檢測在檢測出來自于計算機網絡外部的入侵行為的同時,又可以檢測出來自于內部未授權用戶的非法操作行為,及時發現針對計算機網絡惡意攻擊和破壞企圖,采取有效的防范措施。
3.4 漏洞掃描技術
漏洞掃描技術作為一種主動防御技術,通過對計算機網絡中的計算機操作系統、重要服務器、路由器、主干交換機、防火墻和重要的應用程序等進行漏洞檢查,及時發現并報告存在的漏洞和安全隱患,評估這些設備、系統及程序的安全狀態,從而采取有效地補救措施。
3.5 數據加密與用戶授權訪問控制技術
數據加密主要用于對動態信息的保護,是將以符號為基礎的數據進行移位和置換。與傳統的加密算法不同,用戶授權訪問控制是在操作系統支持下實現對靜態信息的保護。在開放的網絡環境中,數據加密與用戶授權訪問控制技術較防火墻更加靈活、適用。
4 結束語
空管網絡與信息安全是關系我國空管信息化發展的一個重要工程,同時也是一個非常艱巨、復雜的系統工程。在計算機網絡的安全問題日益嚴峻的新形勢下,我們除了采取一些有效技術手段外,還應該建立健全網絡與信息安全管理規章標準,建立健全網絡信息安全管理責任制,加強信息安全技術監管,加強高素質的管理技術隊伍建設,這樣才能實現不斷提升空管信息網絡的安全保障能力與服務水平的項目目標。
參考文獻
[1]李大海.民航空管網絡與信息安全管理體系的構建研究[D].天津大學,2009.
[2]詹菁晶.淺談民航空管信息安全[J].現代計算機,2012(06).
[3]馬紅云.對空管網絡安全系統構建的建議[J].計算機科學,2013(02).
關鍵詞:民航;空管運行;危險源;識別;管理
中圖分類號:V355 文獻標識碼:A 文章編號:1671-2064(2017)08-0217-01
近些年來,我國民航事業的不斷飛速發展,為我國創造了巨大的經濟效益與社會效益。但是由于現階段我國的航空器種類相對繁雜,飛行空域、飛行環境以及飛行的時間有著不確定性因素,飛行的安全問題開始不斷的凸顯。因此,充分的了解到民航飛行安全的各種影響因素,掌握識別并控制危險源的方式,以科學發展觀念來建立一套和我國的民航發展程度相識的安全管理體系,不斷的提升我國民航的安全管理工作水平成為現階段的重要課題。
1 民航空管運行中危險源的識別
1.1 民航空管運行中危險源的分類
在民航的領域中,危險源是指影響到飛機的飛行安全、直接導致降低或者損失功能的一種情況,主要有自然危險源(暴風、雷雨、地震、能見度、流行病、不利地理條件等等)、技術危險源(水壓、燃油、風壓、軟件或硬件的故障、報警事故等等)、經濟危險源(設備成本的變化、材料成本的波動、經濟發展形勢的變化等等)[1]。在民航的航空運行管理中,這三類的危險源都會存在,自然和經濟的危險源是必須考慮的兩個方面,但是更加應該將眼光投放在技術的危險源上,比如能夠為航空的運行提供能源以及確保飛行安全的功能上。
1.2 民航空管運行中危險源的識別
首先,在識別危險源之前需要進行差距的分析,觀察所處狀態的不同,其次,詳細并具體的分析危險源所構成的因素,并有意識的將其分解成為一般的危險源或者特定的危險源。最后,分析危險源可能在爆發之后帶來的危險,從而做到及早的防范。
2 民航空管運行中危險源的管理措施
要想從根本上保障航班的飛行安全,促進民航事業整體的健康發展,就必須建立一個高校、完整的安全管理體系。在民航的空管過程中需要以“安全第一、預防為主”的原則,制定出一套行之有效的安全管理體系及措施,從而從根本上提高民航空管的危險源管理水平。充分的了解到民航飛行安全的各種影響因素,掌握識別并控制危險源的方式,以科學發展觀念來建立一套和我國的民航發展程度相識的安全管理體系,不斷的提升我國民航的安全管理工作水平成為現階段的重要課題[2]。
2.1 貫徹安全的管理理念,建立安全責任制度
要想從根本上杜絕民航空管運行中的危險源,就必須將安全管理的理念貫徹到日常的工作各個方面中,提高警惕。民航的工作人員需要將安全的理念建立重視起來,在實際工作中包括日常的思想中都要堅持“安全第一”的基本原則,將安全作為日常工作的核心目標。人人都需要具備一種創新精神,在民航的安全管理工作中也是@樣。在不同的階段民航的安全管理模式需要進行不斷更新,要求也更加的嚴格,從而在根本上保障飛行的安全性。
2.2 完善民航空管安全信息管理系統
信息管理系統作為安全管理體系的重要依據,應當加強完善,以提高飛行的安全性。對一些飛行安全的信息例如航空器運行的數據、事故數據、航空的運輸監察信息等進行一個有效的收集并進行詳細分析,將整理完成的信息做好共享的工作,以此形成安全管理的重要依據。除此之外,還應完善民航管理的相關政策,同時將操作流程規范化,及時并準確的處理各種信息的報告,在進行歸納和整理之后來建立一個完善的信息安全管理系統。只有這樣操作,空管部門才可以根據信息庫的數據來快速的分析飛行事故產生的原因,并根據分析來發出爭取的指令,從而有效的避免類似事件的發生,提高安全管理的效率。
2.3 制定有效的事故預防措施和應急救援措施
在民航的安全管理工作中,做好預防措施是非常重要的一個方面。只有做到“防患于未然”,將一切可能發生的災難事故做好預防和應急的準備。在民航的安全管理中必須要建立一個完善的事故預防體系,將災難遏制在萌芽之中,同時建立行之有效的應急救援措施,一旦事故產生,有充足的應急救援的準備。在制定預防措施的時候不僅要針對事故的真實危險源,還需要設置專門的事故調查機構,來完善事故的調查體系,合理規范在飛行事故中的各項規定,并充分的給予監督,只有這樣才能夠始終保持工作人員的責任心和警惕性,保證民航運行安全管理部門工作的有效開展,從而確保航班飛行的安全。
3 結語
做好民航空管的安全管理工作不僅是對乘客的一個責任,也是從根本上提升民航運行的重要方式,充分的分析危險源的來源,貫徹安全的管理理念,建立安全責任制度,完善民航空管安全信息管理系統,制定有效的事故預防措施和應急救援措施,才能夠保證我國民航事業的有序發展。
參考文獻
“棱鏡計劃”重點“關照”中國
不斷崛起的中國一直是美國監視監聽重點“關照”的對象。6月13日,“棱鏡計劃”泄密者愛德華·斯諾登在媒體刊登的專訪中披露,美國政府15年來一直從事針對中國個人和機構的網絡攻擊。
美國在華的一些信息巨頭是美國對中國實施信息監控的重要通道。思科公司就是一個典型的例子。
斯諾登稱,美國國家安全局通過思科路由器監控中國網絡和電腦,而思科參與了中國幾乎所有大型網絡項目的建設,涉及政府、海關、郵政、金融、鐵路、民航、醫療、軍警等要害部門,以及中國電信、中國聯通等電信運營商的網絡基礎建設。在另外一個方面,思科卻是美國政府和軍方的通信設備和網絡技術設備主力供應商。
通過思科的系統,我國究竟有多少重要信息泄密,給我國造成多大的損失,目前還是一個未知數。
“梯隊系統”監視全球
郝建軍表示,當今美國等軍事強國已經建立起多層次、全方位、大縱隊、高立體的覆蓋全球的電子監聽網絡系統,利用這些偵察網絡,廣泛地收集對手或潛在對手的電子情報。
除了本次被曝光的“棱鏡計劃”,美國國家安全局建立的“梯隊系統”在監視中國方面也發揮了重要作用。該系統動用了120顆衛星,在加拿大、新西蘭和澳大利亞設置了數十個大型地面接收站,在美國和英國設有兩個數據中心。“梯隊系統”的強大功能令人吃驚。據了解,全世界95%的通信信息都要經過這一系統的“過濾”,包括電話、文傳、電子郵件等都會被它截獲。
闞凱力表示,為了保障我國的信息安全,軍事單位、政府關鍵部門和重要企業一定要使用隔離并得到嚴格安全檢查的信息設備,核心部門一定要使用國產設備。另外進入人員也要實行信息嚴格隔離的制度,關鍵部門不能隨便使用移動存儲設備或者往家里攜帶單位信息,使用移動通信也要做好信息安全防范。
事實上,去年美國封殺華為、中興之時,就不斷有安全專家呼吁政府應重視我國的網絡安全問題。“棱鏡門事件”是一個更大的警示,或許接下來我國將會對網絡安全立法,對政府、央企、軍方等采購的國產化作出明文規定。
闞凱力表示,從企業技術儲備上來看,目前我國的通信技術水平已經達到世界水準,本土企業已經有能力承載網絡的全面建設和安全運營。因此,升級國家信息安全戰略已經十分重要。
國內信息企業大量掌握私人信息令人憂
我國的一些信息企業對公民信息的侵犯也十分令人擔憂。這些年,我國的一些電信企業、網絡公司以及其他一些信息企業掌握著大量的個人信息和數據,一旦被用到了錯誤的地方,就會給個人信息安全帶來極大的隱患。
曾經在華為工作9年并有4年海外管理經驗的集奧聚合首席運營官林佳婕在接受記者采訪時表示,大數據行業必須要安全先行。因為在大數據時代會有越來越多的數據被開放,被交叉使用,在這個過程中,最需要考慮的問題是對于用戶隱私的保護。
“尤其涉及公民個人自然信息和個人隱私的信息。這部分信息必須被每個從業人員認真對待:應該被存儲在獨立的數據庫內,嚴格保護,只有被用戶許可,用戶隱私信息才能在有限范圍內被使用。”林佳婕表示。
[關鍵詞]ATM網;航空情報系統;應用
中圖分類號:V355;F562 文獻標識碼:A 文章編號:1009-914X(2016)06-0110-01
前言:我國近年來在航空情報系統建設方面已取得較多突破性的成就,表現出明顯自動化與網絡化特征,為航空管理工作提供重要的技術保障。然而在民航快速發展與情報服務質量要求不斷提高的背景下,依托于現有的自動化情報系統將很難達到實際情報服務要求,需在發展規劃中將ATM網絡引入其中,對于空管系統效率、航空情報水平的提升能夠發揮至關重要的作用。因此,對航空情報系統中ATM網的應用研究具有十分重要的意義。
一、ATM網的相關概述
關于ATM網絡,其又被稱之為異步傳輸模式,其中的信息會以信元的形式呈現出來,但由于用戶信息各信元并非以周期性的形式呈現,這樣在信息傳輸中具有明顯的異步特征。從ATM網的優勢看,其能夠將包交換、電路交換等所有優勢融于一體,帶寬具有可伸縮性特征,與同步復用技術相比更具優勢。但需注意的是ATM網應用下要求通訊前,便考慮在ATM網中進行VC的構建。另外,也可發現,ATM網應用下更側重于服務寬帶業務用戶,在接入方式上多以2M-155M為主。經過長期實踐應用,ATM網也開始在其他如多媒體領域中進行滲透,相關的專線業務、數據組建都可高效完成,而且在QoS功能上也體現出一定的優勢。因此,將ATM用于現代航空情報系統建設中能夠起到至關重要的作用[1]。
二、航空情報系統中ATM網的應用特征與應用前景分析
(一) ATM技術應用的特征與應用現狀
ATM技術主要為滿足通信需要而形成,能夠將復用、傳輸、交換等方式提供給寬帶業務,這樣業務中許多信號如視頻、圖形、數據以及文本都可按照一定長度的信元進行傳輸。尤其需注意其中的信元,一般其在構成上主要以相應的標頭與數據為主,其中標頭為5個字節,而數據為48個字節。事實上,從帶寬使用上看,ATM網與以往數據包相同,都是在有數據情況下對帶寬進行使用,然而由于ATM網以固定長度的信元完成傳輸過程,在服務質量上要高出傳統數據包許多。所以,ATM網利用下可使信息的傳輸更為可靠、安全,加上其自身的分組交換功能,能夠使帶寬被有效利用,即使對于不同信息仍可完成傳輸過程。
目前,ATM在不斷完善中開始將更多實用性協議引入其中,具體包括:第一,ATM應用中可與幀中繼進行交互,這樣幀中繼將以ATM作為載體,這樣提供給用戶的服務質量會明顯提高。第二,LAN仿真融入ATM網中,能夠進行傳統局域網的模擬構建,為ATM網與其交互提供可能。第三,ATM網絡中可使IP網進行運行,而且自身能夠進行電路的模擬仿真,這樣傳輸時可保持恒定的速路率[2]。
(二) 民航情報系統對ATM網的應用需求分析
現行民航事業發展中,需利用較為先進的技術如寬帶接入技術等使通信需求得以滿足,如在視頻信息傳輸過程中要求民航網絡系統具有較強的傳輸能力。根據現行民航網絡系統特征,ATM網引入其中主要需考慮在業務接入方面進行完善,包括局域網的連接、ATM業務以及電路仿真等內容。同時,在數據網完善中首先應滿足轉報業務需求,如航站與省市區局、地區管理局;地區相關部門與民航空管部門;自動處理系統接入電報終端等,這些都需體現在數據網轉報業務層面。其次,應做好氣象數據庫的構建。現行在信息技術快速發展的背景下,許多數據氣象產品都需在數據庫作用下進行不斷交換,如數據庫系統設置中可圍繞首都機場進行,將其與國內其他地區進行數據傳輸,若按原有大多系統傳輸的64kbit/s為主,信息傳輸將較為緩慢,對此通過氣象數據系統的關聯,在傳輸速率上控制在2Mbit/s以上。而為滿足情報數據庫完善要求,主要需保證區域的民航局空管局能夠與其他中心保持一定的傳輸速率。另外,數據網完善中也要求對各管制中心構建相應的關聯系統,主要體現在公安、財務等各方面系統聯網,如干線傳輸在管理局、民航局中,可保持在2Mbit/s速率。當前民航情報系統建設中還需做好局域網建設以及遙控信號傳輸等工作,其中局域網建設既涉及區域空管局與民航局空管局局域網部分,且體現在雷達聯網上,要求在傳輸速率上進行控制。而對于遙控信號的傳輸,主要考慮能夠遙控指揮AOC系統。綜合來看,民航數據網在數據互通上有較多的要求,將ATM技術引入其中可發揮明顯的效果[3]。
三、民航航空情報系統中ATM網絡的具體應用
以我國某航空情報系統建設為例,其將ATM網引入其中,選取相應的中心節點,并將遠程控制技術應用于系統中,能夠達到遠程監控的目標,整個網絡覆蓋范圍包含國內十個區域。在ATM網利用中,主要結合十個區域的情報系統特點,通過ATM MPLS技術使各區域情報系統能夠接入PRM模塊中,且各區域節點都進行MPLS接入交換機的設置,這樣能夠有效完成情報數字傳輸的過程。完成這些設置之后還需做好異地備份系統設計,其作用在于當其中某個區域發生系統故障后,整個航空情報服務不會發生中斷,系統運行較為安全可靠。
在系統建設完成后,可發現該民航情報系統所體現的網絡化、電子化等特征上都較為明顯,符合現代民航情報系統信息化建設需求。事實上,為提高民航情報服務質量,整個系統都需以網絡技術作為依托,如相關情報、信息處理以及數據上報等許多業務系統功能的實現都需利用網絡技術。同時能夠發現,該民航情報系統在過去幾年建設中也將ATM網引入其中,但在共享的帶寬僅為256K,盡管可與其區域系統進行互聯并備份,但在網絡互聯效果上極差,很難滿足現代情報服務要求,因此需在建設過程中將ATM MPLS技術引入其中使情報廣域VPN得以構建,這樣系統能夠滿足廣域寬帶互聯需求。同時結合民航情報系統需求進行數字傳輸平臺的構建,能夠使各方面業務需求如數字傳輸、數據交換以及PIB提取等都得到滿足,既符合民航情報系統功能需要,且可不斷進行業務的拓展[4]。
結論:民航情報系統建設中引入ATM網是提升情報系統整體服務質量的重要途徑。實際應用ATM網絡中,應正確認識其基本內涵,挖掘ATM網中的技術特征,在此基礎上分析現代民航情報系統建設需求,使ATM網的技術優勢能夠與實際需求相結合。這種ATM網絡用于情報系統建設的方式在國內許多民航系統中都逐漸應用,通過實際驗證發現能夠取得良好的效果。
參考文獻
[1]金華. ATM網在民航航空情報系統中的應用[J]. 中國民航飛行學院學報,2012,02:29-31.
[2]高潔. 基于ATM網在民航航空情報系統中的應用探析[J]. 科技資訊,2013,14:7.
關鍵詞:民航通信網;工程建設;維護手段;新標準
隨著新技術、新設備、新手段的廣泛運用,民航通信網的建設水平、發展速度、建設規模還不能完全適應信息技術發展的要求,不能完全滿足信息化發展對民航通信保障的要求。對此,我們必須加強通信網建設研究。
一、更新思維,確立工程建設的新模式
目前,國內電信事業發展迅猛,數字化、高速率的通信網已經覆蓋全國。民航通信網采用開放模式,以自建、合建、租用等方式,與電信運營商骨干網建設融于一體。在使用上利用終端加密、多路由使用、交換組網等方式開發新的接口協議和網中網軟件,做到開放而不公開,以最少的經費投入達成通信網建設工程的最快發展。與此同時,對原有通信工程應充分挖掘潛力、改制創新,建成多手段、全頻域的柵格狀通信網。隨著通信網絡的發展,信息共享和開放程度更高,網絡可靠性和安全性問題也更加突出。這主要體現在:網絡結構的變化促使信息源更具有開放性,使網絡安全防衛措施的實施面臨重重阻力。資源的共享和分布增加了網絡受攻擊的可能性。信息源不再是高度集中、絕對封閉的唯一源頭,信息流的多渠道交叉反饋,使對信息的監控難度加大,因此,必須加強對網絡安全管理和信息安全技術的研究,建立完善的網絡安全管理體系,加強網絡管理系統的技術改造,確保民航通信網的安全和高效運行。
二、注重效能,更新維護手段
一是組建通信設備維護管理中心,變單一維護為層次維護。由通信設備維護管理中心負責網絡運行監控、網絡組織調整、設備預檢測試、故障設備維修及技術改造,并為一線臺站提供技術支援。二是利用光纜巡檢系統,改革傳統線路巡檢方式,該系統為計算機管理,對完成線路維護任務情況進行量化評定,為線路維護建立直觀有效的管理模式。三是突出新裝備的科學管理。與市電信運營商和設備廠家合建備品備件管理資料數據庫,確定配備儲存標準,為一線臺站提供有力的物質保障。四是構筑集中監控平臺,實行網絡監管,變被動式經驗維護為主動式科學維護。建立以各級通信網絡技術管理中心為龍頭的運行管理機制,是由網管中心在通信網絡運行管理中所處的地位和作用決定的。實踐證明,現代化的通信網絡必須依靠現代化的手段來管理,必須運用現代管理理論和先進的網絡管理技術,加強網管系統建設,全面推進網絡管理機制的創新。
三、講求效益,進一步深化維護制度改革
目前,民航通信設備的可靠性達到一定程度,主要通信設備都能達到平均開機近萬小時無自然故障的水平,并且大都具備自動診斷功能,機房環境也日趨穩定,這些優勢為實現集中維護和遠程控管提供了可能。二是推行大機房工作方式。在加強機房維護人員一專多能訓練的基礎上,明確應急預案,保證緊急或突發事件時,相關電路暢通無阻。完善遠程網絡監控技術。要求遠程網絡監控技術即要互相兼容,還要功能強大。重點是完善遠程網絡故障管理技術,要能定期對監控的網絡生成網絡運行質量報告、告警監測、故障定位、故障修正、測試及障礙管理等功能集。對網絡出現的損傷和設備運行障礙,要能及時作出反應,使監控指揮人員能夠采取諸如緊急調度、搶修及遠程技術支援等措施,以確保網絡高效、安全運行。 wWw.gWyoO.Com
四、加強管理,制定各類新標準
一是在原有通信管理規定的基礎上,不斷增加、補充針對新型通信設備維護管理的相關內容;二是著眼新裝備、新系統,制定通信網維護管理在崗制度;三是明確網絡管理維護人員工作職責,進一步規范維護管理程序、業務處理程序、配合協作程序、線路故障檢修程序、業務處理程序、配合協作程序、線路故障檢修程序、技術支援與指導工作程序、器材備件供應保障程序等各項工作流程;四是保證層次維護有明確的依據,制定好各類標準;隨著民航通信網絡的高速發展及其它外部情況的變化,原有的法規有些已經不適應通信網絡管理發展的要求,必須按照依法管理民航通信網的要求,建立健全民航通信網網絡管理法規。各級網管中心必須明確職責,理順業務協調關系。同時協調好各網管中心、維修中心和一線機房間的業務關系,使網管中心真正成為全網的技術協調、裝備維修、應急搶修中心。要建立和完善各種突況下的應急通信保障預案,加強對重要通信系統設備的巡檢巡修,建立故障預防處理機制,定期對全網進行質量分析,及時處理日常維護中存在的問題,結合設備及維護保養的實際情況,指定通信設備質量評定標準、通信網絡運行質量評定標準、通信專業技術人員考核評定標準等一系列量化指標,為民航通信網的科學化管理打下良好的基礎。
參考文獻:
[1]關山,張新程,田韜,李坤江.HSDPA 網絡技術.北京:機械工業出版社,2007
【關鍵詞】 民航空管 通信網 可靠性
時下正是信息化與互聯網技術迅速發展的時代,在這個信息的時代,通信網也越來越普及,而民航空管通信網屬于通信網的小型專用通信網,其主要根據實際的需求來鋪設通信路線。主要受到民航空管通信行業的特性影響,對其可靠性也需要重視和加強
一、民航空管通信網的特性
在我國,由于民用航空的發展時間較短,所以還存在著一些缺陷。初期。民用航空只是作為航空公司內部專用的網絡,用來傳輸機密信息或者對內部活動進行調控和管理。所以我國通信網的公網起步較晚,使得民航的發展需求遠遠大于公網的功能性,也就導致了民航空管通信網是航空公司自行鋪設的專網。到了建設的初期,又收到人們認識水平的限制,民航空管多余通信專網的重視程度有所欠缺,所以過度專注于專網的自主性方面,希望通過這一方面的發展獲得社會收益。所以就目前的發展情況來看,通信網的可靠性需要進行進一步的研究,重視如何提高通信網的可靠性,確保民航事業的發展穩固而扎實。
二、民航空管通信網可靠性的影響因素
通信網作為一個整體性的系統有著它獨有的特性和結構。所謂可靠性,是指通信網在實際運行時保證用戶正常通信的能力,主要側重用戶的角度。所以影響民航空管通信網的可靠性的因素主要分為外部因素和內部因素:外部因素主要指通信網絡及其他通信設備所依存的環境條件,又可分為不可控因素與可控因素,不可控因素多指突發事件、緊急事件、自然災害等,而可控因素多指通信網運行時的工作條件,如溫度、濕度等;內部因素則多指通信網的可靠性、管維護等,由于通信網的可靠性主要通過抗毀性、生存性、有效性三個指標評估,所以即使在通信網的建設過程中,具備獨立的備份系統,但在實際操作過程中還是存在一些問題,所以通信網的可靠性還需要更多的重視和研究
三、民航空管通信網可靠性的提高的措施
3.1優化拓撲結構
民航空管通信網與常規的通信網相比在結構上更為復雜,其影響因素更多,因此在民航空管通信網的可靠性設計上應該考慮更過的方面。一是,通信網各部件自身的可靠性,通信網是由多個通信系統及設備和部件共同構成的,需要保證整個系統的可靠性則需要對各個組成部分的可靠性做出控制,才能降低部件在運行中出現問題的故障率。比如,在通信網絡設計時可以采用MTTF較小的產品,降低部件之間的串接;二是,對于拓撲結構的選擇和優化。拓撲結構在通信網絡中起著關鍵的作用,一般情況下,環形和網狀的拓撲結構更具有優勢,所以在民航空管通信網絡的結構進行設計時,應該選擇這兩種拓撲結構,盡可能的提高通信網的可靠性。在實行過程中需要注意的是拓撲結構的選擇必須符合實際情況,需要具備實用和經濟的特點,確保可行性。因此,在使用網狀或者環形的拓撲結構時,還需要選擇鏈型或樹形的結構構成復合型的結構,才能更好的保證通信網的可靠性,并且何以降低成本;三是路由的選擇。路由作為交換網絡的核心,在選擇方式和技術上也影響著通信網的可靠運行。
3.2提升通信網備份系統的可靠性
由于民航空管通信網的實際評估對象包括許多方面,有網絡通信設備、附件等, 起評價的基本思路為通過平均故障間隔、平均運行、平均修復的參數進行評估。所以對于通信網的可靠性的評估實際上是對真個通信系統和子系統的可靠性評估,近幾年采取的拓撲系統則大大提高了網絡系統的可靠性等級。隨著近幾年我國社會經濟的迅速發展和我國人民的生活水平提高,我們在空管行業的發展也越來越迅速,通信網的使用量大大增加,業務量也進一步的提升,所以對于通信網的可靠性的提高提出了更高的要求和標準。所以由此出現了備用系統,即在主要系統的創建中保留多個模塊或原件使得在系統在出現故障時,可以迅速的切斷故障源頭,使得備用的部件能夠繼續投入到運行中,從而保證了通信網的正常運行,這樣一來可以大大降低了故障率,并且提高了通信網的可靠性。所以民航空管通信網為了保證可靠性,采用了“兩地一空”的體系進行數據的傳輸與共享。這樣一來就大大提升了通信網的可靠性,相比常規的通信網,如果投入相同的元件,則已經無法滿足空管通信網的使用了。
四、結束語
綜上作者所說,對于空管通信網有著有別于常規通信網的特性核結構,所以對于影響其可靠性的因素也需要更多的考慮和反應,本文就對當下的民航空管通信網的特性做出分析,分析了影響空管通信網的可靠性的因素,并提出了提升可靠性的措施,希望為建設者提供可行性的一些建議,保證空管通信網的暢通運行。
參 考 文 獻
[1]潘誠,韓宣宗.民航空管通信網可靠性初探[J].信息安全與技術,2012(10)
1.1盡快研究出臺與三網融合進程相適應的我國廣電網絡信息安全總體戰略規劃
按照2010年國務院批復的《推進三網融合的總體方案》要求,2013~2015年為推廣階段,該階段目標為:“總結推廣試點經驗,全面推進三網融合;自主創新技術研發和產業化取得突破性進展,掌握一批核心技術,寬帶通信網、數字電視網、下一代互聯網的網絡承載能力進一步提升;網絡信息資源、文化內容產品得到充分開發利用,融合業務應用更加普及,適度競爭的網絡產業格局基本形成;適應三網融合的體制機制基本建立,相關法律法規基本健全,職責清晰、協調順暢、決策科學、管理高效的新型監管體系基本形成;網絡信息安全和文化安全監管機制不斷完善,安全保障能力顯著提高。”根據上述階段目標,總體方案對網絡信息安全保障能力提出了明確的要求,為適應三網融合進程,我國廣電行業在實現技術突破,完成業務融合等措施的同時,需要從戰略的高度統籌考慮網絡信息安全保障問題,從機構調整、立法、關鍵基礎設施保護、技術研發、加強教育培訓、加強多方合作等角度全面的制定我國廣電網絡信息安全總體戰略規劃,分階段制定網絡信息安全總體目標,依據總體目標制定信息安全基本政策及具體措施,并依此來指導未來幾年內面臨三網融合不斷推進形勢下的廣電網絡信息安全保障工作。
1.2盡快建立適合三網融合新形勢的廣電網絡信息安全機制
隨著三網融合進程的不斷深入,電信、互聯網、廣電主體業務將相互開放和相互進入,網絡承載業務的變化必將對現有廣電網絡信息安全機制提出嚴峻的挑戰。因此,當前廣電行業對節目內容以及傳輸網絡的一些管理方式及監管機制也應因勢利導,系統分析及評估當前網絡信息安全風險及未來可能產生的變化,并針對這些新的變化調整自身管理方式和監管機制,盡快建立與三網融合進程相適應的新的廣電網絡信息安全機制。
1.3完善并制定新形勢下廣電網絡信息安全相關法律法規
自三網融合進程啟動以來,針對IPTV、網絡視頻等新媒體內容,我國廣電行業已出臺了一系列相關的法律法規對其進行監督管理。然而,隨著三網融合進程的不斷深入,電信、互聯網、廣電主體業務將不斷相互開放和相互進入,廣電網絡承載業務將不斷擴大,網絡覆蓋方式將涵蓋有線、無線、衛星等多種方式,用戶終端將從客廳電視擴展到PC、移動終端、手持終端等多種終端,業務運營模式也將多種多樣,面對上述不斷激增的新的變化,目前我國廣電行業的相關法律法規已不能全面系統地保障廣電網絡的信息安全。因此,完善并制定新形勢下廣電網絡相關法律法規的工作就迫在眉睫。
1.4完善新技術在廣電網絡應用的安全性及風險評估機制
當前,我國廣電運營商在三網融合進程不斷推進的形勢下,正受到來自電信以及互聯網運營商方面巨大的壓力,面對這種壓力,我國廣電運營商在穩固發展自身視頻業務的同時,也不斷嘗試開展新的融合業務,而支撐這些新業務的新技術也被引入到了廣電網絡中,這些新技術包括物聯網技術、移動互聯網技術、云計算、大數據技術等。新技術的應用推動了新業務的應用,提升了廣電網絡的競爭力,然而任何一種新技術的應用必然會帶來一定的安全威脅,如云計算的應用可能會對存在云端的用戶信息帶來一定安全威脅,物聯網大量使用無線通信、電子標簽和無人值守設備,這使得物聯網應用層隱私信息威脅問題會非常突出。而諸如移動互聯網、大數據等新技術也同樣存在不同的安全威脅。新技術在廣電網絡的應用是提升廣電網絡競爭力的必然需求,但如何安全的應用這些新的技術,盡量減少安全風險,這就要求我們盡早的對新技術在廣電網絡的應用安全性及風險進行系統的評估,建立科學的風險評估機制,分析這些新技術可能在哪些技術環節出現安全威脅,從而針對性的制定網絡信息安全對策,進而采取有效的網絡信息安全措施。
2三網融合背景下我國廣電網絡信息安全技術措施建議
2.1推進具有自主知識產權的廣電核心技術研發
2013年6月,美國前中情局(CIA)職員愛德華•斯諾登向全世界披露了美國國家安全局一項代號為“棱鏡”的秘密項目,棱鏡計劃(PRISM)是一項由美國國家安全局(NSA)自2007年小布什時期起開始實施的絕密電子監聽計劃,該計劃的正式名號為“US-984XN”。美國情報機構可通過直接接觸位于美國的互聯網和科技巨頭的用戶數據,從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個人的聯系方式與行動。監控的類型有10類:信息電郵,即時消息,視頻,照片,存儲數據,語音聊天,文件傳輸,視頻會議,登錄時間,社交網絡資料的細節。這些巨頭主要包括谷歌、雅虎、微軟、蘋果、Facebook、美國在線、PalTalk、Skype、YouTube、思科等,他們向美國兩大情報機構開放服務器,使美國政府能夠輕而易舉地監控全球。在我國,以思科為例,思科參與了中國幾乎所有大型網絡項目的建設,涉及政府、海關、郵政、金融、鐵路、民航、醫療、軍警等要害部門的網絡建設,以及中國電信、中國聯通以及我國廣電網絡基礎設施建設。而微軟、Google和蘋果則掌握了中國的PC操作系統份額,在移動終端操作系統領域,蘋果的IOS及Google的Android操作系統更是平分天下。在廣電行業,智能電視操作系統及機頂盒也有部分采用Google的Android系統,這都為我國廣電網絡信息安全埋下了安全隱患。因此,需要研發一批具有自主知識產權的廣電網絡核心技術、關鍵技術、共性技術,以先進的自主技術支撐廣播電視裝備、軟件、系統的自主開發和應用,從而切實提高我國廣播電視領域的自主創新能力和技術裝備水平,排除因采用國外技術而可能隱藏的網絡信息安全隱患。
2.2推進適應融合網絡架構的網絡信息安全技術研發
隨著三網融合進程的推進,廣電網絡、電信網絡以及互聯網三網邊界日益模糊,同時,為提高廣電網絡的承載和覆蓋能力,有線、無線和衛星傳輸網絡的互聯互通和智能協同覆蓋也被提上了日程,此外,基于無線頻譜開展無線互聯網接入業務的呼聲也日益高漲。由此可見,當前的廣電網絡正在經歷著巨大的變革,與互聯網、電信網的融合,自身不同傳輸網絡之間的融合,新的移動互聯接入網絡的需求都使得處于“融合形態”廣電網絡架構發生了巨大的變化,這種變化相應地也帶來了新的安全威脅。因此,如何適應融合形態下的新型廣電網絡信息安全,推進適應融合網絡架構的網絡信息安全技術的研發也需要相關研究機構考慮,并加緊相關研究工作的實施。
2.3推進適應融合業務的網絡信息安全技術研發
網絡的融合,必然帶來的是網絡承載業務的融合,當前廣電網絡承載業務已不僅僅是客廳電視機終端上的視頻業務,點播業務、時移業務也經歷了很長時間的發展,基于移動終端的視頻業務正方興未艾,同時,各種數據業務也正由廣電網絡運營商提供給用戶使用,未來物聯網等新型業務也將由廣電網絡承載并提供給家庭用戶使用。融合業務給廣電網絡帶來了新的機遇,同時也給廣電網絡的信息安全帶來了極大的挑戰,為應對傳統視頻業務而采用的一系列信息安全技術在面臨新的融合業務時已經不足以保障用戶安全的使用和享受這些業務形式。因此,需要推進適應融合業務的網絡信息安全技術研發,真正使用戶放心安全的享受廣電網絡承載的多種融合業務。
2.4推進面向云計算、物聯網等新技術應用的網絡信息安全技術研發
通過之前的研究我們發現,進入21世紀第二個十年后,以云計算、物聯網為代表的新技術正在加快在廣電網絡的應用。然而,新技術在推動廣電網絡的巨大變革的同時,也帶來了新的安全隱患。以云計算為例,2010年3月云計算安全聯盟(CSA)的一份云計算主要威脅的報告中,就提出了云計算目前存在的七大安全威脅,而如果我們沒有及早對這些可能的安全威脅采取相應的安全技術和安全措施,一旦發生安全事故,就極有可能導致整個網絡的癱瘓,導致所有用戶信息的泄露,后果不堪設想。物聯網同樣存在著巨大的安全隱患,如果物聯網出現了被攻擊、數據被篡改等,并致使其出現了與所期望的功能不一致的情況,或者不再發揮應有的功能,那么依賴于物聯網的控制結果將會出現災難性的問題,如工廠停產或出現錯誤的操控結果此外,黑客等惡意攻擊者還有可能通過物聯網來獲取、處理、傳輸的用戶的隱私數據,如果物聯網沒有防范措施則會導致用戶隱私的泄露。因此,我們在推動云計算、物聯網等新技術在廣電網絡應用的同時,務必需要對這些新技術可能產生的安全威脅進行系統的估量,并加緊推進面向云計算、物聯網等新技術應用的網絡信息安全技術研發,從而在享受新技術帶來的“技術紅利”的同時,以技術的手段堵著可能的安全漏洞,真正確保新技術在廣電網絡的安全應用。
3結束語
關鍵詞:在線考試系統;安全性;數據庫
中圖分類號:TP391文獻標識碼:A文章編號:1009-3044(2012)15-3564-02
Online Examination System Security Policy Analysis
ZHOU Xiu-yuan
(Lanzhou Industrial College , Lanzhou 730050,China)
Abstract: Online examination system for the safety of a higher demand, the design of the system, security has become the primary critical considerations, including server, database, program logic safety and examination process safety and other aspects, through the analysis and put forward the corresponding security solutions.
Key words: online examination system; database security
考試的本質是為了檢查教學成果,特定采取的方法之一,以此來反映學生的學習狀態及情況。系統的穩定性是考試系統運行正常的重要保障之一,其中安全性又是考試的真實性和公平性的重要的保障條件[1][2]。
1在線考試系統安全性分析
在線考試系統安全性從整體上主要包括:數據庫安全性;服務器的安全性;程序邏輯安全性和考試過程安全。
服務器安全性包括:拒絕服務,網絡黑客的攻擊,甚至造成服務器癱瘓。電腦黒客主要是利用郵件.消息等來傳播電腦病毒,部分也是以廣告或是文件的形式來進行攻擊,是造成服務的重要的安全隱患。
考試系統也應該加強數據庫的安全保障,可以加密碼.登陸保護等信息安全性,像考試試卷,考試結果等都應該進行專業的保密軟件升級等。
2在線考試系統的安全設計
根據上述安全威脅以及相關的需求,可以對在線考試系統通過以下幾方面來進行安全方面的設計。
2.1 Web證服務器的硬件、軟件安全
1)確保網絡的傳輸過程中的安全性,UPS保障等。
2)要具備一個安全可靠的網絡服務器,其核心就是保證網絡服務器的安全。IIS安全即是確保Windows Server 2003操作系統的安全。
2.2數據的安全性[3][4]
1)數據加密
所謂數據加密(Data Encryption)技術是指將一個信息(或稱明文,plain text)經過加密鑰匙(Encryption key)或加密函數轉換,變成無意義的密文(cipher text),而接收方則需將此密文經過解密函數、解密鑰匙(Decryption key)才能還原成明文。數據加密后別人無法得到數據包含的真實信息。常用的兩種加密體制為:對稱加密體系與非對稱加密體系。
加密與解密的密鑰相同(對稱加密),即:P=D(K,E(K,P))。也稱單密鑰算法,或傳統加密算法。如DES,IDEA等。
非對稱加密體制的典型算法是RSA,RSA是建立于大整數分解上分組的密碼特制。
運用RSA算法對數據加密的具體實現分如下幾個步驟:密鑰生成階段;加密階段、解密階段和明文正確性分析階段。
2)數字簽名
數字簽名,就是只有信息的發送者才能產生的別人無法偽造的一段數字串,這段數字串同時也是對信息的發送者發送信息真實性的一個有效證明。
3)防火墻設置方法
防火墻為計算機的硬件與軟件的相結合的一種組合,與無法信任的外界網絡以及可信網絡來進行核對于一個安全的網關,以此方法來保護網絡的使用安全,保障信息的安全性與穩定性。
4)應用加密技術
作為考試信息系統運行中所產生的一系列的數據。數據庫的加密以及解密的密鑰往往采用對稱密碼機制。這樣可以加強對于信息的保護。確實考試的公平、公正性。
5)數據存儲備份的方法
作為考試系統,應該進行一下數據的備份,以防止數據丟失,而損失重要的信息。所以,在做考試系統軟件開發時,應該注意備份相應的數據,防止數據的丟失。要對于系統備份的保密性進行相應的處理,因如備份數據,丟失信息的可能性會加大,所以備份的數據應該進行保密軟件的開發,這樣的話備份軟件不易被黑客攻擊。最大程度上保護了考試系統的信息安全。
3結束語
通過線考試系統安全性決定了考試的合理性、保密性、公平性和考試結果的真實性。而系統的安全則是相對的,要確保考試系統的安全,除了對網絡和系統進行安全設計,對系統的定期維護,并且管理人員和使用人員的安全防范意識的提高也是必不可少的。
參考文獻:
[1]陳明.信息安全技術[M].北京:清華大學出版社.2007,4.
[2]張純星.民航商務數據網網絡安全體系建設[J].計算機工程,2005,S1.
關鍵詞:堡壘主機;內控管理;運維審計;實踐案例
中圖分類號: TP393.08 文獻標識碼:A 文章編號:1672-3791(2015)05(c)-0000-00
近年來,筆者所在民航系統內的信息化水平正在逐步從初級應用階段發展至高級應用階段,而伴隨著這個過程產生的信息化應用與信息安全管理的矛盾也愈發突出[1]。筆者所在單位近年來在局域網內先后部署了多項網絡安全和網絡分析產品,已經形成了較為完善的信息安全防護體系,主要技術人員也積累了運維經驗。但信息系統故障等網絡安全問題仍然時有發生。通過分析故障產生的原因,發現大部分違規行為竟然來源于一些合法用戶的例行操作。傳統意義的安全防護系統可以從技術角度解決一些潛在的安全問題,但對于內部人員操作的管理手段不完善帶來的數據破壞和泄露可能比技術原因造成的損害更為嚴重。
國家公安部《信息系統安全等級保護基本要求》中明確規定了二級(含)以上的重要信息系統網絡安全、主機安全、應用安全都需要具備安全審計功能[2],所以,根據等級保護要求以及本單位的實際情況,我們迫切需要一種有效的手段來對內部人員的設備維護行為進行控制和審計,解決信息安全管理中遇到的難題。難題具體體現在:運維權限分配復雜、系統密碼管理不足、操作風險難以控制、共享賬號安全隱患、系統資源授權不清晰、訪問控制策略不嚴格、重要操作無法有效審計等。而以上這些信息安全問題,通過引入內控堡壘主機并結合管理措施之后基本得到了有效解決。
1 內控堡壘主機介紹
1.1 什么是內控堡壘主機?
最早的堡壘主機主要定位于防御外部進攻[3]。通過將其部署在防火墻或路由器之外,可以使那些需要面向外部的服務集中于堡壘主機上進行集中保護,以此來換取內部網絡的安全。
而隨著信息化應用的日趨復雜,由被動防御型的堡壘主機發展出來了更加偏重于對內部網絡、應用和數據進行綜合安全保護的管理控制平臺,也就是我們所說的內控堡壘主機。它從網絡內部出發,通過多種信息安全技術(訪問控制、身份認證、虛擬化、協議、操作審計等)實現用戶對內部網絡資源的安全訪問,同時對用戶的操作過程形成完整的審計記錄。這樣的內控平臺正可以有效地解決我們在日常運維和內控管理中遇到的難題。
1.2 功能特點
1.2.1 設備的集中管控
內控堡壘主機可以將服務器和網絡設備的信息,以及用戶信息和訪問權限提前配置在堡壘主機中,這樣便從傳統的分布式管理模式轉變成可控的集中式管理模式,以此為基礎帶來了設備管理效率和安全穩定性的提升。
1.2.2 操作的集中審計
內控堡壘主機通過協議的方式,將原來從某臺內網終端直接通過遠程連接對網絡設備和服務器進行操作的不可控的分散管理方式,轉變成為了用戶必須集中至堡壘主機的統一入口再對有授權的設備進行操作。而全部操作都通過協議錄制得到記錄,實現了精細化的集中操作審計。
總之,內控堡壘主機結合了傳統的4A 理念,即賬號管理、認證管理、授權管理、安全審計,與應用技術,形成了一個完善且可控的遠程接入解決方案。一方面,統一身份認證和統一訪問授權使得遠程接入用戶需要通過多種身份認證手段以及基于角色的授權管理才可以接入設備,滿足了信息安全等級保護的要求;另一方面,全面的審計功能讓管理員不但可以完整錄制會話過程,還可以實時監視遠程訪問會話并及時終止非法操作。
2 制定解決方案
2.1 信息安全等級保護要求
根據信息安全等級保護第三級[4]的相關要求制定內控堡壘主機的解決方案,可以滿足在要求中涉及到的網絡安全、主機安全、應用安全、數據安全及備份恢復五項技術方面的要求,以及安全管理機構、人員安全管理、系統運維管理三項管理方面的要求。根據要求中的內容以及內控堡壘主機針對每一項提供的解決方案,整理如下表1。
2.2 設計原則
2.2.1 整體安全和全網統一的原則
資源訪問的安全設計需要綜合考慮信息網絡的各個環節和全部實體,然后在不同層次上綜合使用多種安全手段,為內部信息網絡和安全業務提供管理和服務。
2.2.2 標準化原則
項目的安全體系設計嚴格遵循了國家標準,如《信息系統安全等級保護基本要求》。在達到標準要求的同時能夠使企業內部的信息系統在可控范圍內實現安全的互聯互通。
2.2.3 需求、風險、成本平衡原則
任何信息系統都無法做到絕對安全,所以設計時就需要明確性能要求以及側重點,然后從需求出發,在功能、風險和成本之間進行平衡和折中[5]。
2.2.4 實用、高效、可擴展原則
無論現狀如何,隨著技術發展信息系統仍將不斷變化,哪怕在系統實施過程中,系統的結構、配置也會發生變化。所以系統需要有一定的靈活性來適應這些變化,使其符合“有層次、成體系”的標準,既有利于系統安全,又有利于擴展。
2.2.5 技術、管理相結合原則
為了使內控堡壘主機可以發揮其應有的效果,管理者必須首先根據系統的功能特點來重新梳理和完善現有的運行管理機制和安全規章制度,同時對技術人員進行思想教育和技術培訓。通過合理的規定和具體培訓,才能完成系統的應用。
2.3 設計思路
2.3.1 集中管理模式
管理模式決定了管理的高度,所以明確管理模式應當是我們要確定首要因素。根據多年的運維實踐發現,我們對維護人員及其操作的管理手段并未伴隨著信息化進程的推進而得到加強,這樣導致了人為因素造成的運行故障比例居高不下,缺少有效的審計手段。因此迫使我們必須由分散的管理模式轉變為集中的管理模式。集中管理是運維管理思想的必然發展趨勢和唯一選擇[6]。通常,集中管理包括:集中的資源訪問入口、集中的賬號管理、集中的授權管理、集中的認證管理、集中的審計管理等等。
2.3.2 訪問協議
內控堡壘主機通過對各平臺所使用的協議進行來實現對操作行為的審計和監控[7]。比如SSH、TELNET、FTP、RDP、VNC等等Windows或Linux平臺上的訪問協議。
2.3.3 身份授權分離
為避免傳統方式的共享賬號、弱口令賬號等問題導致的安全漏洞,我們的解決思路是將身份和授權分離。首先建立用于身份認證的獨立賬號體系,然后保留各系統賬號但使其由堡壘主機接管并定期更新密碼,使得被管理設備本身的系統賬號僅用于系統授權而剝離其身份認證功能,有效增強了身份認證和系統授權的可靠性。
2.4 系統構架
我們部署的內控堡壘主機由展現層、核心服務層、接口管理層三層結構組成。
展現層面向用戶,集成了多種包括匙扣令牌在內的強身份認證方式,分別對系統管理員和運維用戶提供不同的訪問操作頁面。
核心服務層面向授權和協議,部署在服務器上。在核心服務層上完成賬號管理、授權管理及策略設置等操作。其中的協議包含用戶輸入模塊、命令捕獲引擎、策略控制和日志服務,所以具備對用戶行為進行監視、控制和記錄的功能。
接口管理層面向個信息系統,用于實現審計結合、賬號同步、認證結合等方面的數據接口工作。另外它還包含應用服務,以此來實現對B/S、C/S、半B/S半C/S系統的單點登錄及審計工作。
3 內控堡壘主機的實施
系統的實施過程中,我們將堡壘主機及其應用服務器的部署位置單獨剝離開劃分為管理區,把內部網絡的其他設備如服務器、網絡設備、數據庫等等劃分為業務區。在內控堡壘主機部署上架后,運維人員將集中通過內控堡壘主機對業務區的目標設備進行日常運維操作。
設備上架后,我們需要通過防火墻策略配置解除客戶端到堡壘主機及堡壘主機到目標服務器的端口限制。這樣當用戶訪問設備時,堡壘主機才可以完成對TELNET(端口23)、SSH(端口22)、RDP(端口3389)等協議的訪問具體設備,并在堡壘主機上完成對設備的單點登錄及會話的完整審計。
4 結語
在信息化水平快速發展的今天,技術發展與管理模式相輔相成。信息安全不僅需要先進的設備和嫻熟的技術,更需要完善的制度和審計手段。內控堡壘主機的實施切實有效地規范了內外部維護人員對IT基礎設施的維護行為,彌補了操作審計空白。它通過集中管理的模式,借助于協議、身份授權分離等技術,極大地減少了維護人員誤操作或惡意操作的概率,縮短了故障定位時間。這次內控堡壘主機的實施完善了筆者所在單位的信息安全保護體系,將有助于提高信息系統運行的安全性和穩定性。
參考文獻:
[1]潘玉. 新一代堡壘主機[J]. 信息安全與通信保密,2011,05:45.
[2]韓榮杰,于曉誼. 基于堡壘主機概念的運維審計系統[J]. 信息化建設,2012,01:56-59.
[3]趙瑞霞,王會平. 構建堡壘主機抵御網絡攻擊[J]. 網絡安全技術與應用,2010,08:26-27.
[4] 公安部信息安全等級保護評估中心. GB/T 22239-2008, 信息安全技術信息系統安全等級保護基本要求[S]. 北京:中國標準出版社,2008.
[5]韓海航,王久輝. 大型交通網絡系統安全保障體系研究[J]. 計算機安全,2007,10:77-80.
[6]吳國良. 面向NGB的網絡與信息管控建設[J]. 廣播與電視技術,2013,10:28+30-33.
[7]陳旭. IT運維操作管理有效降低企業風險[J]. 高科技與產業化,2010,05:116-119.
