編者按

　　保障網絡信息安全是民航機場企業實現安全生產和運營的關鍵環節，對此每家機場都有自己獨到的處理方式，然而在機場企業之間往往缺少一個互動交流的平臺。為此，我們在本期特刊上特別安排了一組專門介紹首都國際機場、上海機場和廣州白云機場的信息安全解決之道的文章，以便讀者能夠從中得到借鑒，以收“取長補短”之效。

　　首都機場：安全建設步步為營

　　北京首都國際機場股份有限公司信息技術管理部王磊

　　北京首都國際機場的信息化建設可以分為三個歷史階段，在不同的歷史階段中，網絡安全的建設方向和建設重點也各不相同。第一階段：單機病毒查殺有術

　　1994年，當時的首都機場應急指揮中心和IBM公司合作建設了第一個機場地面信息系統(簡稱CATS-I)。由于當時信息資源的采集和使用都比較有限，因此該系統的終端用戶數只有40多臺聯網計算機，并使用同一個廣播域(網段)。

　　與此同時，機場所面臨的網絡安全問題也并不突出，采用公安部配發的KILL防病毒軟盤就可以查殺單機病毒，對當時的CATS-I系統沒有造成直接的影響。第二階段：網絡防毒成為主流

　　從1997年到1999年，由于建設2號航站樓的需要，首都機場開始大規模建設機場信息系統，網絡安全建設也進入了一個新的發展階段：首先是主干網絡要求高可靠和高效率，當時就引入了雙機熱備的方式進行主干網絡的設計；其次，隨著網絡病毒愈演愈烈，我們部署了賽門鐵克公司的企業版網絡防病毒系統；再有，隨著航站樓內各個系統的互連，在考慮安全的系統接口的情況下，我們使用了ELAN和路由技術，從網絡層將各個信息系統劃分成不同的網段，對不同的信息系統進行網絡隔離保護。第三階段：系統升級保障安全

　　2003年，隨著用戶需求不斷增長，我們對首都機場的辦公財務網絡進行了全面的升級工作。

　　第一，我們對原來基于ATM-155技術的單核心主干網絡進行升級，采用兩臺NORTEL8610千兆以太網絡核心交換機，提高了網絡傳輸的安全性。

　　第二，使用SONICWALL公司的硬件防火墻，提高了防火墻的性能和防護種類。在此基礎上我們又增加一臺NORTEL公司的CON�睺IVITY，構建內外防火墻聯動的方式，提高接入互聯網絡的安全性。

　　第三，對于部分需要通過遠程撥號接入辦公財務網絡的用戶，采用VPN加密的方式，進行網絡通訊的安全加密。在NORTEL公司的CONTIVITY設備上制定必須使用NORTEL公司提供的VPN軟件才能進行VPN的通訊連接。

　　第四，由于現階段網絡病毒泛濫，我們除了在各個用戶終端部署了賽門鐵克公司的企業版防病毒軟件之外，又在機場的郵件服務器上安裝了郵件服務器過濾產品和病毒網關過濾產品，同時對各個終端加裝個人防火墻和個人入侵監測產品。

　　第五，為配合機場分局網絡信息安全監控的實施，我們增加了信息內容過濾產品，對使用機場辦公網進行網頁瀏覽的用戶，進行瀏覽內容的過濾和瀏覽網站的監控。

　　綜上所述，隨著計算機網絡安全技術及其應用的不斷拓展，首都機場的網絡安全建設也在不斷完善，并將繼續發展，不斷創新。fz165

　　上海機場：完善管理全面防護

　　上海國際機場股份有限公司通訊信息工程分公司盧倩

　　上海機場信息系統包括浦東和虹橋機場的網絡系統、離港系統、安檢系統等30多個系統，為降低企業成本、提高生產效率、優化服務質量發揮了重要作用。作為上海機場的信息系統維護單位，通訊信息工程分公司的首要任務是保障生產系統的安全穩定運行。目前我們建立了較為完善的機場信息網絡安全管理制度。網絡安全“制度先行”

　　首先，我們對于每個信息系統都設立了一本系統維護保養手冊，其內容主要包括系統日常維護規范、應急預案和案例分析等三部分，并對每一次保養和報修進行全程跟蹤記錄，以記錄事實為原則確定責任。

　　與此同時，通信分公司一方面注意做好系統的優化升級工作；另一方面也注重對用戶的日常培訓，實行持證上崗，并定期召開用戶見面會，保證系統的平穩運行。

　　對于某些系統出現的疑難雜癥，分公司則將其作為QC活動小組的課題加以攻克，并制定項目管理制度，重點加強項目實施過程中的風險控制，確保項目施工時的生產信息系統安全。

　　此外，通信分公司還制定了系統信息安全管理規定，專門明確了對密碼的管理規定和要求，并對員工進行相關的信息安全教育，禁止安裝非系統使用的軟件。為了提高員工的日常維護和應急修理能力，我們還開展了將報修數量和處理報修時間作為考核點的“提高維護能力，降低報修數量競賽活動”，激勵員工采取各類方式降低報修數量，加快處理報修時間。

　　綜上所述，通過實施以上管理制度，分公司的信息系統得以實現安全穩定地運行。生產網絡的安全防護

　　目前浦東機場生產網絡的安全防護主要由分布在浦東機場網絡系統與駐場單位之間的五臺防火墻和部署在各個信息子系統中的趨勢防病毒系統完成。

　　部署防火墻，主要用于隔離機場內部用戶、場外用戶以及部分遠程訪問用戶的數據連接。具體的安全策略是根據業務流向及用戶分布進行詳細安排，采用“非明確通過則明確禁止”的原則，在保證安全性的前提下提供應用的靈活性。

　　此外，通信分公司還定時進行防火墻軟件系統的更新和補丁修正，同時根據業務流和用戶需求的變化進行安全策略更新，并注重安全策略的歸檔和整理記錄。

　　值得一提的是，部署在生產網絡的趨勢防病毒系統對各個生產子系統的服務器和桌面終端進行了全面防護，從而保障了信息系統的安全和穩定運行。

　　安全，是民航永恒的主題。上海機場通信分公司雖然已經形成了一些有效的安全管理手段和措施，但仍有許多課題有待進一步探索。我們將不斷完善上海機場的信息網絡安全體系，保證各信息系統的安全穩定運行，從而有力地保障航班正常生產，將上海機場建設成為亞太地區的航空樞紐港。fz164

　　白云機場：主動防御層層布防

　　廣州白云國際機場計算機中心劉劍波

　　對一個網絡進行安全方面的維護，不僅需要配套的安全防御措施，而且需要規范的管理制度和流程，更需要高素質的安全管理和操作人員。安全策略重在管理

　　在網絡安全系統建設過程中，廣州白云機場并沒有簡單地部署網絡安全產品，而是注重全局概念和整體的防御體系，在以下4個方面對網絡安全系統進行了完善。

　　1)規范安全管理。

　　以“三分技術、七分管理”為原則，白云機場建立了機場信息安全組織保證體系，實行安全責任追究制度；建立健全各種管理制度(如機房管理、操作管理、開發與維護管理等)；建立安全培訓機制，強化安全意識，提高技術和管理水平。

　　2)建立監控、應急響應體系。

　　網絡管理員需要密切監控網絡的訪問情況，對操作系統、應用系統、防火墻等日志進行分析，及時發現服務器上異常的活動，并在出現安全事件時，按照預先建立的應急響應流程，最大限度地降低系統的風險。

　　3)完善的備份與恢復策略。

　　對關鍵應用的數據與應用系統進行備份，確保能夠快速恢復數據與系統的可用性；對關鍵主機設備、網絡設備、防火墻等進行相應的熱備份與冷備份。

　　4)合理配置系統。

　　對網絡中的主機、網絡設備的配置進行檢查，關閉不必要的服務和協議，禁用缺省系統的默認配置，減少安全漏洞，及時更新系統，消除系統內核漏洞與后門。安全規劃未雨綢繆

　　網絡信息安全的建設并非一勞永逸，隨著網絡的擴展、應用系統的上線、黑客攻擊手段的發展，安全需求也會與時俱進，因此要及早進行安全的規劃設計，在安全體系建設中考慮一定的可擴充性，做到在一定時間內相對的安全。

　　根據目前白云機場網絡系統的現狀，我們采用防火墻技術、入侵監控技術、安全漏洞掃描技術、VPN加密技術、安全管理技術和防病毒技術，構成了主動的網絡安全防御體系，消除了以前網絡中存在的諸多安全隱患，如病毒的傳播、黑客的攻擊、非授權的訪問、敏感數據的泄密等風險，并且可以審計用戶在網絡中的所作所為，能夠及時定位安全事件的源，并通過災難恢復措施，極大地提高了系統的安全性。作者點評

　　白云機場的設計思想不僅僅局限在網絡中部署一些安全產品，而是針對系統的實際情況和安全需求，建立了一個整體和動態的主動防御系統，具有防護的層次性，從而初步實現了網絡安全中PDR模型(Protect防護、Detect檢測、React響應)的功能。

　　值得一提的是，白云機場的信息安全建設只是一個局部的成功例子。在更大范圍的網絡內進行安全建設時，我們需要站在更高的安全角度考慮安全需求，并會涉及到更多的安全技術，如對資產進行安全等級劃分、網絡邊界防護、應用服務的管理、數據加密和身份認證數字證書等。