管制综合信息系统多节点自动重启案例分析

吴多荣

摘  要：近年来，随着科技的迅猛发展，电子化管制工作已完全替代原有的纸质办公，管制支持系统FIPS、TOMS和CDM经过不断的更新发展已经升级为管制综合信息系统，除了原有的3个系统外还新增了飞行计划集中处理系统等多个管制运行支持系统。该系统功能强大，具有良好的人机界面，在管制工作中的作用越来越重要。同时对值班员人的故障排除、应急处置能力提出了更严峻的挑战，因此有必要对管制综合信息系统的典型案例进行分析研究。

关键词：管制综合信息系统  网络安全  病毒  FIPS

中图分类号：TP315                                 文献标识码：A                          文章编号：1672-3791（2019）03（a）-0223-02

随着航空运输量持续快速增长，机场、空管等配套基础设施也在不断的建设和完善，先进的通信、导航、监视设备也被逐步广泛应用。管制综合信息系统是近年来空管局开发的新建系统，其采用刀框服务器和虚拟化网络技术将机场协同决策系统（Collaborative Decision Making，简称CDM）、航班信息处理系统（Flight Information Process System，简称FIPS）、塔台运行管理系统（Tower Operation Management System，简称TOMS）等搭建在共用的硬件平台。管制综合信息系统的网络规模越来越大，管制工作对网络技术依赖日益增强，管制综合信息系统的网络信息的共享性和开放性给整个空管保障工作带来方便的同时，也存在着非常大的安全隐患。因此空管网络安全迎来了新的挑战，确保空管网络信息安全，保证空管网络信息系统的连续、可靠、正常运行才能保障民航航班安全正常飞行。该文将以海口本地情况为例，对管制综合信息系统因网络安全问题导致多台终端自动重启的典型故障案例进行分析。

1  管制综合信息系统简介

管制综合信息系统包含FIPS系统、TOMS系统和CDM系统等子系统，三者共享硬件核心资源以及部分软件监控资源。

FIPS系统主要为管制员提供实时的航班动态信息操作平台，可提供更完善、自动化程度更高的电报及航班信息处理、统计等功能。TOMS系统以电子进程单为基础，集成自动化、场监、航班信息、气象等数据，实现全新数字化塔台管制模式，对机场范围航班从申请放行、地面滑行、跑道起飞到管制移交的航班飞行动态进行全过程管理。CDM系统是一种基于资源共享和信息交互的多主体（空管、机场、航空公司等） 联合协作运行的应用平台，用于建立公平、透明、高效的运行环境。其中TOMS系统和CDM系统以FIPS系统作为基础数据源，同步航班动态信息。

与海口管制综合信息系统存在互联的有自动转报系统、自动化系统、广州CDM系統、外联CDM系统、机坪移交等多套系统，系统之间虽然有部署天融信防火墙进行隔离，但仍然存在网络信息安全等隐患问题。

2  典型案例分析

在近几年的该系统运行过程中，运行状态稳定可靠，但也出现了一些典型问题，现对具有代表性的故障进行案例分析。

2.1 异常事件现象

2018年11月30日至2018年12月15日期间，海口管制综合信息系统多台终端先后出现了自动重启，异常终端涉及塔台、进近、区管等多个管制室，管制员观察到终端重启前弹出“mssecsvc.exe包含Generic.adm特洛伊，已成功删除”和“关键系统进程lsass.exe失败，现在必须重启计算机”等信息窗口。

2.2 异常事件影响

管制综合信息系统前台终端在重启期间，管制员无法使用前台终端，无法对飞行动态进行查看与更改，航班量大时对管制工作影响较大，但未造成管制方式的改变。

2.3 异常事件分析

（1）经常查询自动重启的终端的Windows日志分析，发现异常的终端均有“关键系统进程C：＼windows＼system32＼lsass.exe失败，状态代码是c0000374。现在必须重新启动计算机”和“文件C：＼windows＼mssecsvc.exe包含Generic.adm特洛伊，未确定的清理错误，OAS拒绝访问并继续”等错误报告。

（2）经查询本地McAfee服务器日志记录分析，发现之前多个终端出现mssecsvc.exe恶意软件，且已删除的记录。如图1所示。

根据以上两点信息，基本确认管制综合信息系统感染了“Wannacry永恒之蓝”病毒，其利用此前披露的Windows SMB服务漏洞（对应微软漏洞公告：MS17-010）攻击手段，向终端用户进行渗透传播。

2.4 异常事件处理经过

（1）在基本确认管制综合信息系统感染了永恒之蓝病毒后，通报中南网络中心获取技术支持。通过中南网络中心下发的最新的永恒之蓝补丁，对管制综合信息系统终端主机逐台打补丁和全盘扫描查杀，并且手动关闭了445端口。

（2）协调管制运行部禁用了塔台、进近及站调终端USB接口，仅留背面左边两个接口作为鼠标键盘使用，切断了因违规使用USB接口导致传播病毒的可能性。

（3）为了彻底清除隐患，协调广州光天科技有限公司工程师上门部署一台旁路的“深度威胁发现设备”进行病毒检测。发现管制综合信息系统多台终端和Vcenter等虚拟机仍然有病毒感染及高度危险的网络访问事件，检测结果如图2所示。

值班人员在中南网络中心工程师及广州光天科技有限公司工程师协助下对异常的虚拟机的操作系统进行了相应的操作系统升级和打补丁，并安装了Mcafee防病毒软件并全盘杀毒。

（4）“深度威胁发现设备”上线2d后检测到33.11和33.12两台机坪移交系统终端存在高度危险的网络访问事件，协调广州网络中心对异常的终端打补丁，并且在管综和机坪移交的防火墙上均修改了策略配置和关闭空闲端口。

通过采取以上处理措施后，有效地解决了感染病毒的问题。并且经过一段时间的观察，管制综合信息系统未发现有威胁事件的存在，如图3所示。

2.5 异常事件经验总结

针对此次案例无论是从业务能力和管理上还是设备配置问题上有都一定的经验教训。

（1）异常事件的处理过程中暴露了值班人员业务能力存在短板的情况，导致问题的处理不够及时有效，应加强人员业务能力培训，提高业务水平。

（2）管理上，应继续加强落实管制综合信息系统的管理主体责任，持续对风险进行管控，进一步完善设备巡视维护内容，对于设备存在的问题做到早发现早处理，确保系统运行平稳。

（3）管制综合信息系统作为信息安全等级保护三级系统，在等保测评中发现的网络安全问题应加快推进整改工作，进一步稳固系统保障防护能力。

3  结语

随着民航事业的飞速发展，空管系统的设备会越来越多，设备结构越来越复杂，管制综合信息系统将传统的多套系统集成一体，节省了大量的硬件资源和人工成本，是空管设备不断发展的体现，同时对运维人员的业务水平要求也越来越高，运维人员应加强自身业务能力的提升，面对设备问题时能及时启动应急处置措施，有效解决问题，将因设备问题对管制工作的影响降到最低，从而为管制提供可靠稳定的服务。

参考文献

[1] 张遒哲.浅谈民航管制综合信息系统的运维管理[J].信息与电脑，2016（1）：191-192.

[2] 冯秋霜，孙雨兰.浅析计算机网络安全与防范技术[J].黑龙江冶金，2009（1）：51-52.

[3] 王宏伟.网络安全威胁与对策[J].科技创业月刊，2006（5）：179-180.

本文由： 科学技术创新杂志社编辑部整理发布，如需转载，请注明来源。

科学技术创新杂志社

2019-10-09