“我们的任务是过河,没有桥和船就过不去,不解决桥和船的问题,过河就是一句空话”–毛泽东。离港系统,分为旅客值机(CKI)、配载平衡(LDP)、航班数据控制(FDC)三大部分,涉及旅客值机、过检、登机等全流程环节,是信息安全等级测评中第三级系统,恰如机场生产运行稳定的“船”与“桥”。着力解决好离港系统、离港网络、离港终端问题,提升离港系统保障能力,就是解决好安全生产“船”与“桥”的问题。
受近期疫情影响,呼和浩特机场航班量大幅锐减,呼和浩特机场信息技术部利用难得的窗口期,多措并举提升机场离港系统保障能力,推动离港系统安全治理、终端治理和常态治理,坚决防范化解系统重大安全风险,确保持续安全运行。
技术人员同中航信开展指廊离港并网测试
抓源头、源头抓,将风险隐患消灭在萌芽状态
眼睛亮,见事早。“窗口期,更是机遇期,提供给我们在坐各位难得的静心思考的时间,我们需要静下心来,从纷繁复杂的工作中理清头绪,厘清权责界限,分区分类、分轻重缓急,从源头抓安全,在离港系统全流程、各节点研判风险。”信息技术部总经理在与中航信召开离港业务座谈会时说道。会上,双方共同探讨了制约离港系统服务质量的关键节点以及存在的风险隐患,并以拉干条式梳理任务11项,会议明确在窗口期集中技术力量和各类资源按期化解问题,在离港系统安全、离港系统应急处置以及离港业务服务方面全力做到“质”的提升。
抓重点、重点抓,为离港系统提升打牢基础
“见事早”转化为“发力准”。针对离港网络存在单一局域网易导致网络风暴产生的架构缺陷,信息技术部开展了离港网络优化扩容工作。通过对离港网络重新规划设计、模拟器网络拓扑预测试、实际环境测试,协同北京中航信总部路由联调联测、风险评估与回退方案设计阶段,于10月20日正式完成离港网络扩容网段切换以及终端离港系统配置更新。
在此次离港网络优化扩容工作中,信息技术部创新使用了可变长子网划分、多生成树、浮动路由、汇总路由技术,将单一局域网最少两台终端的最小网格划分,充分限制网络风暴产生与影响。在单区域产生网络风暴时,离港网络拥有短时间自愈能力,可在5秒内完成自动收敛恢复。同时,还对接入层离港交换机进行配置升级,使光纤链路、接入层交换机达到双备份状态,在规划设计中将同区域离港业务分布式部署,根本上改变原有离港网络结构,为值机岛、登机口、配载等重要离港业务模块套上“双保险”,网络健壮性大幅提升。
此次离港网络优化升级充分借鉴2020年呼和浩特机场生产网络大型割接经验,除了将原有离港网络按区域模块进行改造,还将过渡期提升改造工程中离港网络按计划并线主离港网。整体工作按照模块化作业、双线并行、无缝并轨的方式,实现了重要信息系统的“不停航施工”,改变了以往生产系统割接升级较长时间中断服务的模式。
技术人员夜晚手工照明配线间开展作业
抓细致、细致抓,打通离港系统的“最后一公里”
措施实、行动快。按照集团公司发布的《网络安全风险提示》以及机场公司发布的《关于做好近期重点工作的通知》等相关文件要求,信息技术部主动对标对表,迅速落实离港业务座谈会会议部署,逐项分解细化节点安排和落实措施,加强过程跟踪督办,切实把各项工作抓紧抓实、抓出成效。
前期,信息技术部针对所辖生产、离港网络设备开展了全面摸排自查,并对离港系统家用分线盒、超期服役的接入设备进行统一更换,进一步加强离港网络及生产网络危险源识别与隐患排查治理。同时,强化对中航信外包业务监管,网络信息安全专员严格按照等保定级要求,对中航信维保区域终端巡检档案、换季维护记录、机房环境、备品备件,重保期排班及在值班人员在岗在位情况进行检查。组织力量对航信至北京总部专线情况进行摸排梳理,协助航信开展离港安全系统策略部署、服务器及终端病毒库升级、操作系统漏洞打补丁等工作。
11月2日晚上,信息技术部利用窗口期积极整顿“内务”。平时由于夜航结束时间都为凌晨,次日首航时间又很早,留给技术人员在夜航结束后断开离港网进行系统维护时间不充裕,线路梳理优化工作耗时长,致使此项工作较难开展。而现阶段的“窗口期”为技术人员争取了更多的时间–“20:30,出港航班结束,现在开始断网维护!”技术人员开始一根线路一根线路梳理,一项项记录、一个区域一个区域恢复,不放过任何一个细节。在梳理整线工作结束,技术人员联合中航信对值机岛、登机口、配载、控制等区域开展离港业务恢复测试、光功率测试、核心机房服务器组测试、AMB接口测试、数据库状态测试,整个过程配合有力、衔接顺畅。经过技术人员严谨细致的梳理,离港系统核心交换机上32条主干线路鳞次栉比,有效规避了线路混乱易造成线路传输质量损耗或中断的风险。
抓长期、长期抓,持续提升离港系统应急处置能力
为提升离港网络在突发情况下仍可提供可靠性服务的能力,信息技术部利用窗口期集中力量开展离港应急局域网搭建工作。搭建了从接入、汇聚、核心完全独立的离港应急局域网,应急局域网在离港主备网络均失效的紧急情况下,可提供值机岛、配载的离港服务。在充分模拟验证可靠性的前提下,信息技术部在11月1日20:15正式开展了离港应急局域网切换测试工作,切换工作持续5分钟,将值机岛、配载、服务器组业务全部从主用网络摘出,切换至应急局域网。“B岛正常、C岛正常、D岛正常、配载正常…”随着对讲机中一句句“正常”的回复,验证了离港应急局域网在真实环境的可用性。离港应急局域网在规划设计之初充分保证了灵活性以及执行切换操作的便捷性。在离港服务器及终端一切配置不变的基础上规划设计了B岛、C岛、D岛、配载、服务器组部分失效以及离港主用网络全部失效的6种启用状态,全面提升了离港系统支撑性网络架构的稳定性以及应急能力。
同时,为了提高离港系统出现应急情况下的处置能力,信息技术部联合中航信,组织地面服务部、国航内蒙古分公司等离港系统使用单位,充分预想可能出现的各类情况,进一步细化完善离港系统故障应急处置预案。预案中对应急处置工作要点、工作程序进行了规范,将离港系统故障后对机场生产运行产生的影响程度划分为初、中、高三级响应,并明确了主机模式、本地备份模式、人工模式的定义及启动条件。整体预案充分吸收各使用单位意见,确保预案“看的明白、通报的准确、执行的下去”。
此外,信息技术部将离港系统应急演练与培训常态化,每季度定期组织开展离港系统应急演练,通过设置不同场景、不同问题等按照实操练兵的方式协同各使用单位开展应急演练。还针对地面服务部值机人员流动性强且不固定的实际情况,按照“来一批培一批、即来即培”的方式组织非定期的离港系统专项培训,由航信技术人员对离港系统各模式进行培训,确保使用单位能够在任何模式下熟练操作。
持续开展离港系统培训
疫情既是挑战也是机遇。呼和浩特机场化不利为有利,找准发力点和突破口,准确识变、科学应变、主动求变,在夯实基础、苦练内功、精抓管理的宝贵时机,把握机遇、奋战攻坚,确保持续安全,为“过河”搭好“船”与“桥”。
来源:中国民航网,通讯员:牛昊轩 报道
