機(jī)場(chǎng)如何建設(shè)網(wǎng)絡(luò)安全?
“網(wǎng)絡(luò)安全是第一道防線,也是最后一道防線?!?
圖 成都雙流機(jī)場(chǎng)(來(lái)源于網(wǎng)絡(luò))
作為客流量全球Top3的民航機(jī)場(chǎng),成都雙流機(jī)場(chǎng)(簡(jiǎn)稱雙流機(jī)場(chǎng))并沒(méi)有將網(wǎng)絡(luò)安全局限于防病毒防黑客、防數(shù)據(jù)泄密等層面,而是將保障業(yè)務(wù)平穩(wěn)運(yùn)行作為了安全建設(shè)的重要使命。
成都雙流機(jī)場(chǎng)是中國(guó)中西部地區(qū)最大的國(guó)際機(jī)場(chǎng),其客流量一直保持著高速增長(zhǎng)。不久前,2020年全球民航機(jī)場(chǎng)客流量Top10名單出爐,雙流國(guó)際機(jī)場(chǎng)以4071.2萬(wàn)人次躋身全球第三。航旅縱橫大數(shù)據(jù)則顯示,2021年春節(jié)期間,雙流機(jī)場(chǎng)的國(guó)內(nèi)旅客吞吐量排名第一,成為全國(guó)最繁忙的機(jī)場(chǎng)。
承載如此大的旅客吞吐量,并保持業(yè)務(wù)連續(xù)不中斷,不出現(xiàn)重大安全事件,要?dú)w功于雙流機(jī)場(chǎng)強(qiáng)大的信息化系統(tǒng),以及匹配的網(wǎng)絡(luò)安全保障。從2016年開(kāi)始,雙流機(jī)場(chǎng)就和國(guó)內(nèi)網(wǎng)絡(luò)安全龍頭企業(yè)奇安信達(dá)成了合作,并在5年的歷程中不斷進(jìn)階,完成了從架構(gòu)安全到被動(dòng)防御,再到積極防御的躍遷。
IT環(huán)境越復(fù)雜 安全挑戰(zhàn)越嚴(yán)峻
習(xí)近平總書(shū)記曾指出,安全是民航業(yè)的生命線,“要堅(jiān)持安全底線,對(duì)安全隱患零容忍”。不過(guò),作為最現(xiàn)代化的交通運(yùn)輸方式,民航經(jīng)常成為網(wǎng)絡(luò)攻擊重要目標(biāo)。
2018年9月,英國(guó)機(jī)場(chǎng)航空顯示系統(tǒng)遭勒索軟件干擾;
2019年9月,泰國(guó)獅航數(shù)千萬(wàn)條旅客記錄泄露,在地下論壇上曝光和交換;
2020年5月,英國(guó)易捷航空遭遇網(wǎng)絡(luò)攻擊造成900萬(wàn)客戶數(shù)據(jù)泄露……
近年來(lái)全球范圍針對(duì)民航系統(tǒng)的網(wǎng)絡(luò)攻擊屢見(jiàn)不鮮,頻頻造成巨大損失。
“民航行業(yè)的IT環(huán)境非常復(fù)雜,業(yè)務(wù)系統(tǒng)繁多,資產(chǎn)類型冗雜,各個(gè)單位之間,如機(jī)場(chǎng)與航司、機(jī)場(chǎng)與空管等橫向連接千絲萬(wàn)縷,做好安全防護(hù)的難度很高。如果只是從單一的維度去做防護(hù)或者檢測(cè),很難面面俱到,無(wú)法全面解決網(wǎng)絡(luò)安全各種問(wèn)題;而網(wǎng)絡(luò)安全的木桶效應(yīng)又很明顯,如果一個(gè)點(diǎn)沒(méi)有做好,就可能被全面攻破?!?b>雙流機(jī)場(chǎng)網(wǎng)絡(luò)安全項(xiàng)目負(fù)責(zé)人歸納了三點(diǎn)挑戰(zhàn)。
-
首先是復(fù)雜網(wǎng)絡(luò)帶來(lái)的挑戰(zhàn)。雙流機(jī)場(chǎng)目前共有信息網(wǎng)、安防網(wǎng)、綜合業(yè)務(wù)網(wǎng)等8大生產(chǎn)專網(wǎng),以及辦公區(qū)網(wǎng)絡(luò)、貴賓專網(wǎng)等,各類PC終端和物理服務(wù)器數(shù)千臺(tái),這給安全運(yùn)維和安全風(fēng)險(xiǎn)分析等工作帶來(lái)很大挑戰(zhàn)。
-
其次是部門(mén)繁雜、終端多樣帶來(lái)的病毒入侵挑戰(zhàn)。雙流機(jī)場(chǎng)部門(mén)眾多,終端類型復(fù)雜,過(guò)去防病毒措施和U盤(pán)管控機(jī)制不嚴(yán)格,終端中了病毒很難定位問(wèn)題源頭,只能治標(biāo)不治本,導(dǎo)致總是反復(fù)感染病毒。
- 最后是對(duì)安全事件缺乏溯源分析的手段。在幾年前,雙流機(jī)場(chǎng)在接收到監(jiān)管單位的安全事件通報(bào)時(shí),尤其是出口IP有連接惡意域名的訪問(wèn)請(qǐng)求時(shí),往往沒(méi)有手段可以分析定位問(wèn)題終端;以前在發(fā)生了安全事件時(shí),也無(wú)法進(jìn)行分析溯源,不知道為什么被攻擊,這也導(dǎo)致防御非常被動(dòng)。
先后部署網(wǎng)站和終端防護(hù) 安全從加固底板開(kāi)始
面對(duì)繁雜如麻的安全挑戰(zhàn),雙流機(jī)場(chǎng)沒(méi)有“眉毛胡子一把抓”、追求一步到位,而是遵循分布實(shí)施、循序漸進(jìn)的原則。
2015年,美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)(SANS)首次提出了網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型(The Sliding Scale of Cyber Security),它將企業(yè)在應(yīng)對(duì)外部攻擊時(shí)分為五個(gè)信息安全能力階段,分別是基礎(chǔ)架構(gòu)、被動(dòng)防御、積極防御、威脅情報(bào)以及進(jìn)攻反制。該模型給雙流機(jī)場(chǎng)提供了清晰的建設(shè)路徑。
圖 網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型
根據(jù)滑動(dòng)標(biāo)尺模型,安全建設(shè)從滑動(dòng)標(biāo)尺模型從左到右,是一種明確的演進(jìn)關(guān)系,而最早雙流機(jī)場(chǎng)和奇安信的合作,就始于一次官網(wǎng)安全防護(hù)項(xiàng)目。
2016年9月,雙流機(jī)場(chǎng)的官方網(wǎng)站,突然遭到了異常攻擊??蛻羰紫纫庾R(shí)到,需要借助專業(yè)的安全廠商,增強(qiáng)網(wǎng)站安全能力。這也是雙流機(jī)場(chǎng)第一次接觸奇安信。
圖 雙流機(jī)場(chǎng)信息系統(tǒng)安全建設(shè)總體設(shè)計(jì)
基于雙方在安全方面有眾多共同的理解和認(rèn)知,通過(guò)交流、招投標(biāo)等一系列的項(xiàng)目環(huán)節(jié),最后由奇安信提供網(wǎng)站安全防護(hù)方案。在該項(xiàng)目中,雙流機(jī)場(chǎng)部署了奇安信網(wǎng)站云監(jiān)測(cè)、云防護(hù)系統(tǒng)(安域)、網(wǎng)頁(yè)防篡改等產(chǎn)品,持續(xù)使用到現(xiàn)在。
在使用過(guò)程中,雙流機(jī)場(chǎng)對(duì)奇安信的產(chǎn)品性能、技術(shù)能力和專業(yè)服務(wù)等有了更深刻的了解,不久后雙方又達(dá)成終端防病毒的合作。在該項(xiàng)目中,通過(guò)部署天擎終端一體化安全管理系統(tǒng),奇安信為雙流機(jī)場(chǎng)構(gòu)建了集中統(tǒng)一的防病毒體系,實(shí)現(xiàn)了新型病毒查殺能力。
同時(shí)還集成補(bǔ)丁管理、終端運(yùn)維管控、移動(dòng)存儲(chǔ)介質(zhì)管理、終端準(zhǔn)入控制、企業(yè)軟件管家等多種終端安全管理功能,進(jìn)而提供良好的終端安全運(yùn)維管理能力,改變了相互割裂、各自為陣的局面。
從網(wǎng)站安全到終端防病毒等項(xiàng)目建設(shè),雙流機(jī)場(chǎng)在基礎(chǔ)架構(gòu)防護(hù)和被動(dòng)防御方面的安全能力已顯著增強(qiáng)。但隨著2017年6月1日《網(wǎng)絡(luò)安全法》的正式實(shí)施,雙流機(jī)場(chǎng)開(kāi)啟了強(qiáng)化態(tài)勢(shì)感知能力、實(shí)現(xiàn)積極防御的網(wǎng)絡(luò)安全升級(jí)。
踐行態(tài)勢(shì)感知與安全運(yùn)營(yíng) 強(qiáng)化積極防御能力
據(jù)相關(guān)負(fù)責(zé)人回憶,根據(jù)《網(wǎng)絡(luò)安全法》要求,系統(tǒng)日志至少要保存6個(gè)月以上,這個(gè)給雙流機(jī)場(chǎng)當(dāng)時(shí)的IT部署帶來(lái)了一定的挑戰(zhàn)。
當(dāng)時(shí),雙流機(jī)場(chǎng)網(wǎng)絡(luò)安全團(tuán)隊(duì)比較了日志服務(wù)器及 “態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)”等幾種方案,最終發(fā)現(xiàn),后者無(wú)論從綜合建設(shè)成本、合規(guī)性、日志審計(jì)存儲(chǔ)、溯源分析等方面,都顯著優(yōu)于日志服務(wù)器方案。
因此,雙流機(jī)場(chǎng)選擇了多家主流安全廠商來(lái)調(diào)研和比較,其中只有奇安信提供了基于全流量的數(shù)據(jù)存儲(chǔ)和事后人工分析,可基于流量進(jìn)行人工溯源。同時(shí)奇安信的威脅情報(bào)能力在業(yè)內(nèi)首屈一指,能為態(tài)勢(shì)感知提供很好的支撐,加上產(chǎn)品強(qiáng)大的多源數(shù)據(jù)關(guān)聯(lián)分析能力,最終雙流機(jī)場(chǎng)確定了奇安信提供的“態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)”(NGSOC)解決方案。
圖 態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)(NGSOC)組成
相較于傳統(tǒng)被動(dòng)防御等安全產(chǎn)品,NGSOC可以全面收集網(wǎng)絡(luò)中的所有設(shè)備日志,進(jìn)行統(tǒng)一的存儲(chǔ)、分析、可視化展示,從而為制定安全策略、問(wèn)題排查、了解全網(wǎng)安全狀態(tài)提供支撐。
它不僅可替代傳統(tǒng)的日志審計(jì)類和入侵檢測(cè)產(chǎn)品,還能解決傳統(tǒng)的日志審計(jì)類產(chǎn)品性能不足、采集能力有限的問(wèn)題,并避免傳統(tǒng)IDS產(chǎn)品大量誤報(bào)的問(wèn)題。
圖 雙流機(jī)場(chǎng)內(nèi)網(wǎng)威脅態(tài)勢(shì)
在使用過(guò)程中,雙流機(jī)場(chǎng)對(duì)NGSOC在資產(chǎn)管理(CMDB)方面的卓越表現(xiàn)印象深刻。據(jù)介紹,與很多基于產(chǎn)品視角所不同的是,NGSOC可以更基于運(yùn)營(yíng)者的視角,通過(guò)結(jié)合資產(chǎn)價(jià)值、脆弱性信息、威脅信息,對(duì)全網(wǎng)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估,量化風(fēng)險(xiǎn)指標(biāo),幫助用戶更好了解和掌控安全風(fēng)險(xiǎn),為用戶提供有力的決策支撐。
得益于NGSOC的穩(wěn)定表現(xiàn),雙流機(jī)場(chǎng)進(jìn)行了數(shù)次升級(jí)和擴(kuò)容,大幅提升檢測(cè)和響應(yīng)能力,為打造積極防御、構(gòu)建完善的安全運(yùn)營(yíng)閉環(huán)奠定了堅(jiān)實(shí)基礎(chǔ)。
安全建設(shè)“三同步” 將“事后補(bǔ)救”轉(zhuǎn)為“事前防控”
從部署網(wǎng)站安全防護(hù),到終端一體化安全管理,再到民航行業(yè)踐行網(wǎng)絡(luò)安全態(tài)勢(shì)感知與安全運(yùn)營(yíng)方案的引領(lǐng)者,雙流機(jī)場(chǎng)在信息化和網(wǎng)絡(luò)安全建設(shè)中,越來(lái)越深刻意識(shí)到,網(wǎng)絡(luò)安全正在前所未有的緊密嵌入到業(yè)務(wù)流程之中,安全風(fēng)險(xiǎn)等同于業(yè)務(wù)風(fēng)險(xiǎn),安全建設(shè)也亟待從“事后補(bǔ)救”思維轉(zhuǎn)向“事前防控”的過(guò)程。
2020年,奇安信向業(yè)界發(fā)布了內(nèi)生安全框架,董事長(zhǎng)齊向東表示,“在未來(lái)的數(shù)字經(jīng)濟(jì)時(shí)代,網(wǎng)絡(luò)攻擊帶來(lái)的后果往往不可承受,整個(gè)行業(yè)需用內(nèi)生安全框架,建立完善的、‘事前防控’的網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)防御體系,推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)更上一層樓?!?
“安全公司需要具備更強(qiáng)的頂層設(shè)計(jì)和咨詢規(guī)劃能力,能夠立足甲方視角、信息化視角,將網(wǎng)絡(luò)安全和數(shù)字化做到‘三同步’:同步規(guī)劃、同步建設(shè)、同步運(yùn)行,才能給業(yè)務(wù)穩(wěn)定運(yùn)行提供保障?!?雙流機(jī)場(chǎng)網(wǎng)絡(luò)安全相關(guān)負(fù)責(zé)人也持類似觀點(diǎn)。
“民航安全無(wú)小事”,網(wǎng)絡(luò)攻防是一場(chǎng)永無(wú)終場(chǎng)的戰(zhàn)爭(zhēng)。作為國(guó)內(nèi)客流量最繁忙、信息化水平極高、業(yè)務(wù)環(huán)境非常復(fù)雜的雙流機(jī)場(chǎng),其網(wǎng)絡(luò)安全建設(shè)方面的進(jìn)階和探索,對(duì)同行無(wú)疑具備很好的借鑒意義。