空管局自动化系统 等级保护方案

空管自动化系统定级为空管等级保护三级系统，是空管局网络安全等级保护建设中的重要系统。而全国各地区空管局尚未统一规划、建设、实施该软件系统平台的等级安全保护建设，甚至全国大部分地区空管局、分局站还不清楚如何去规划该系统平台的安全合规建设，其中也有该软件系统过于核心复杂等原因。为此深信服联合三大ISV软件厂商共同推动用户完成空管自动化软件系统安全合规建设。

深信服根据等级保护2.0核心标准GB/T 22239–2019《信息安全技术网络安全等级保护基本要求》、MH/T 0069-2018 《民用航空网络安全等级保护定级指南》、MH/T 0076-2020 《民用航空网络安全等级保护基本要求》对空管自动化软件平台划分不同的区域进行保护，结合针对不同安全保护等级对象应该具有的安全保护能力提出安全要求，同时围绕一中心（安全管理中心）、三防护（安全通信、安全边界、安全计算）做好系统平台的安全保护。

自动化系统各区域边界中，要求跨越边界的访问和数据流通过边界设备提供的受控接口进行通信，信号接入区与隔离区边界，隔离区边界与核心业务区边界，核心业务区与运维管理区、系统维护区，核心业务区与远程子网/塔台区，通过采用深信服下一代防火墙设备实现边界访问控制技术防止未授权访问发生。边界访问控制采用VLAN划分配置防火墙设备，同时采用统一准入管理方案实现非法外联检测和控制。

实现原有系统的等级保护并提升软件安全防护级别：

构建空管自动化软件系统不同业务边界的安全防护。从外部信号接入区与数据隔离区，从核心业务系统区到安全管理区及系统维护区，从核心业务系统区到远程进近终端管制中心区、机场塔台区全部新建部署下一代防火墙产品，实现两个不同分区之间有效的安全隔离。

统一化安全平台展示、安全行为分析：

在地区空管局区域管制中心设立安全管理区，采用整体安全防护产品后，建立从整体网络态势感知到终端体系闭环的安全防护，以及从网络安全设备到安全服务的多层次联动机制，在整个内网平台发挥一体化优势，基于虚拟安全组件实现整张网络的安全无死角监测。