张浚川

摘 要 本文通过介绍入侵检测系统，对民航空管CDM系统的安全分析，提出基于启明星辰“天阗”入侵检测系统的民航空管CDM系统安全方案，为设备的网络安全保障提供新的思路。

【关键词】CDM 网络安全 防火墙 入侵检测 天阗

1 引言

随着计算机系统在民用航空领域的广泛使用，设备的网络安全也面临越来越多挑战。随着网络攻击手段的复杂化、多样化，单纯依靠防火墙等被动防御手段已难以胜任安全需要，入侵检测技术是继防火墙等传统安全保护后的新一代网络安全保障技术。本文通过对民航空管CDM系统安全分析，提出通过加入启明星辰“天阗”入侵检测系统的民航空管CDM系统安全方案，为设备的网络安全保障提供新的思路。

2 IDS介绍

IDS即“入侵检测系统”。它以数据挖掘为基础，按照一定的安全策略，对网络、系统的运行状况进行监视，通过分析网络行为不断建立和完善针对性的规律库，尽可能识别各种攻击，以保证网络系统资源的安全。

2.1 IDS与防火墙的区别与联系

防火墙是設置在被保护网络（本地网络）和外部网络之间的一道防御系统，它可以通过检测、限制穿越防火墙的数据流，尽可能的对外屏蔽内部网络信息、结构和状态。而IDS是对入侵行为的发觉，通过从计算机网络收集信息并进行分析，从而发现网络或系统中违反安全策略的行为和被攻击的迹象。

通俗来讲，防火墙是一幢大楼的门，它根据条件限制人员出入，人员一旦通过大门便不受任何限制；而IDS是大楼里的监视预警系统，通过对进入大楼人员进行实时行为监控和分析，发现人员的不安全行为可立即做出反应。因此，IDS是对防火墙弱点的补充，是继防火墙之后的又一道防线。同时，IDS可以及时发现一些防火墙没有发现的入侵行为，总结出入侵行为的规律，而防火墙就可以将这些规律加入规则之中，提高保护力度。

2.2 启明星辰“天阗”IDS介绍

“天阗”是启明星辰新一代IDS产品，对于各种病毒、木马、网络攻击均有良好的检测效果。它可以事件进行关联分析，识别重要报警提醒用户。其特有的报表对比分析的方法，让使用者对近期的安全状况一目了然，不再需要在海量日志数据中进行人工分析，减轻了工作量和难度。

3 民航云南空管分局CDM系统现状分析

CDM（Airport Collaborative Decision Making机场协同决策机制），主要使空管、航空公司和机场三者利用互联的计算机平台进行信息交换和数据共享，通过合理的决策工具提高空中交通流量管理工作的效率，应对预计或突发的流量拥堵和冲突事件的一种协商解决机制。

民航云南空管分局使用的是北京民航数据通信公司（以下简称“数据公司”）的CDM系统，该系统运行稳定，逻辑高效，界面简洁，维护方便，但在安全性上略有不足。

（1）CDM系统的服务器及终端均为Windows操作系统，U盘等外部设备接口未做限制，感染病毒及木马的概率较高，即使是针对普通家用电脑的病毒和木马也可能使其感染，甚至崩溃.

（2）CDM系统结构虽然简单，且为内部专用网络，与互联网隔离，但是其设备与空管、机场多个外部系统相连，同时又为机场及航空公司等其他单位提供终端服务，风险节点多且分散，安全威胁较大。

（3）CDM系统仅使用一台防火墙作安全隔离，防护薄弱，一旦被外部入侵者突破即失去防御能力，而防火墙本身又需要复杂的配置才能发挥最大效用。

（4）该系统与电子进程单系统直接相连，中间并无边界隔离措施，倘若电子进程单系统出现安全威胁，CDM也将很大概率受到牵连。

4 “天阗”IDS在民航CDM系统中的应用分析

4.1 “天阗”IDS的部署

如图1所示，在民航云南空管分局的CDM系统拓扑中，成都CDM系统、AIMS系统引接数据以及机场和航空公司等外部用户均是通过路由器接入的，只有一台华为Secoway USG2000防火墙作为安全边界隔离。由于此网络规模较小，结构相对扁平，只需要在防火墙后端交换机上部署一台IDS，再在CDM的监控终端上安装相关软件和数据库，由CDM监控终端兼职IDS服务器。这样，由防火墙负责限制非法访问，屏蔽内部信息，由IDS负责实时检测分析入侵行为，两者相互合作相互补充，即可有效提高安全等级，如图2所示。

4.2 “天阗”IDS的使用

作为工作人员，我们可以在任意内部网络的计算机使用浏览器登录访问“天阗”入侵检测管理系统。

可以在“今日状态”页面中查看最近24小时的病毒事件及网络威胁状况，并提供最近30天内安全事件的日均发生次数，便于判断系统当下整体安全水平，如图3所示。

由于CDM系统专网专用，网络安全事件并不会像互联网中那样频繁。这时候“日志报表”功能就显得尤为重要了。它可以对报表的类型、周期或非周期时间段、文件格式等进行选择，然后设置导出任务让其自动执行。这样就方便系统维护人员在一个较长时间段内对系统的网络安全进行宏观把控，如图4所示。

“天阗”IDS除了自身可对一些威胁进行防御以外，还能通过SNMP TRAP的方式为第三方提供数据，并且能和防火墙联动，共同防御网络攻击。对于一些突发的、紧急且危险的安全威胁，系统可通过邮件（需要外网）或短信的方式给维护人员发送消息，方便及时处理。

“天阗”IDS功能还具备流量、升级、日志、组件等多个管理功能，可以便捷有效的对网络及IDS自身进行管控。

5 IDS的部署展望

启明星辰“天阗”IDS具备从百兆到超万兆的产品线，即便是在如CDM一样的全国性大规模分布式部署环境也能从容应对。“天阗”IDS支持组织化管理，若是由数据公司统一升级安装，则管理更加方便高效：整个CDM系统内的“天阗”IDS设备可通过“升级管理”功能向全系统IDS逐级分发升级数据包，自动完成升级；同时其特有的网络入侵定位系统，可以将看似毫无联系的实时报警信息通过地理信息、网络结构和IP定位结合显示在图形化的界面上，为从源头上消除网络威胁提供依据；另外，对于CDM系统安全性的宏观把握也有利于找出系统本身安全性的不足，对本系统乃至其他系统安全性的提升也有很大帮助。

参考文献

[1]北京启明星辰信息安全技术有限公司.天阗入侵检测与管理系统（内部资料）.

[2]付玉珍.计算机网络入侵检测技术研究进展[J].茂名学院学报，2007（12）：120-122.

[3]耿麦香.网络入侵检测技术研究综述[J].网络安全技术与应用，2004（06）：28-30.