安全資訊

“網(wǎng)絡(luò )安全是第一道防線(xiàn)，也是最后一道防線(xiàn)?！?

圖 成都雙流機場(chǎng)（來(lái)源于網(wǎng)絡(luò )）

作為客流量全球Top3的民航機場(chǎng)，成都雙流機場(chǎng)（簡(jiǎn)稱(chēng)雙流機場(chǎng)）并沒(méi)有將網(wǎng)絡(luò )安全局限于防病毒防黑客、防數據泄密等層面，而是將保障業(yè)務(wù)平穩運行作為了安全建設的重要使命。

成都雙流機場(chǎng)是中國中西部地區最大的國際機場(chǎng)，其客流量一直保持著(zhù)高速增長(cháng)。不久前，2020年全球民航機場(chǎng)客流量Top10名單出爐，雙流國際機場(chǎng)以4071.2萬(wàn)人次躋身全球第三。航旅縱橫大數據則顯示，2021年春節期間，雙流機場(chǎng)的國內旅客吞吐量排名第一，成為全國最繁忙的機場(chǎng)。

承載如此大的旅客吞吐量，并保持業(yè)務(wù)連續不中斷，不出現重大安全事件，要歸功于雙流機場(chǎng)強大的信息化系統，以及匹配的網(wǎng)絡(luò )安全保障。從2016年開(kāi)始，雙流機場(chǎng)就和國內網(wǎng)絡(luò )安全龍頭企業(yè)奇安信達成了合作，并在5年的歷程中不斷進(jìn)階，完成了從架構安全到被動(dòng)防御，再到積極防御的躍遷。

IT環(huán)境越復雜 安全挑戰越嚴峻

習近平總書(shū)記曾指出，安全是民航業(yè)的生命線(xiàn)，“要堅持安全底線(xiàn),對安全隱患零容忍”。不過(guò)，作為最現代化的交通運輸方式，民航經(jīng)常成為網(wǎng)絡(luò )攻擊重要目標。

2018年9月，英國機場(chǎng)航空顯示系統遭勒索軟件干擾；

2019年9月，泰國獅航數千萬(wàn)條旅客記錄泄露，在地下論壇上曝光和交換；

2020年5月，英國易捷航空遭遇網(wǎng)絡(luò )攻擊造成900萬(wàn)客戶(hù)數據泄露……

近年來(lái)全球范圍針對民航系統的網(wǎng)絡(luò )攻擊屢見(jiàn)不鮮，頻頻造成巨大損失。

“民航行業(yè)的IT環(huán)境非常復雜，業(yè)務(wù)系統繁多，資產(chǎn)類(lèi)型冗雜，各個(gè)單位之間，如機場(chǎng)與航司、機場(chǎng)與空管等橫向連接千絲萬(wàn)縷，做好安全防護的難度很高。如果只是從單一的維度去做防護或者檢測，很難面面俱到，無(wú)法全面解決網(wǎng)絡(luò )安全各種問(wèn)題；而網(wǎng)絡(luò )安全的木桶效應又很明顯，如果一個(gè)點(diǎn)沒(méi)有做好，就可能被全面攻破?！?b>雙流機場(chǎng)網(wǎng)絡(luò )安全項目負責人歸納了三點(diǎn)挑戰。

• 首先是復雜網(wǎng)絡(luò )帶來(lái)的挑戰。雙流機場(chǎng)目前共有信息網(wǎng)、安防網(wǎng)、綜合業(yè)務(wù)網(wǎng)等8大生產(chǎn)專(zhuān)網(wǎng)，以及辦公區網(wǎng)絡(luò )、貴賓專(zhuān)網(wǎng)等，各類(lèi)PC終端和物理服務(wù)器數千臺，這給安全運維和安全風(fēng)險分析等工作帶來(lái)很大挑戰。
  
• 其次是部門(mén)繁雜、終端多樣帶來(lái)的病毒入侵挑戰。雙流機場(chǎng)部門(mén)眾多，終端類(lèi)型復雜，過(guò)去防病毒措施和U盤(pán)管控機制不嚴格，終端中了病毒很難定位問(wèn)題源頭，只能治標不治本，導致總是反復感染病毒。
  
• 最后是對安全事件缺乏溯源分析的手段。在幾年前，雙流機場(chǎng)在接收到監管單位的安全事件通報時(shí)，尤其是出口IP有連接惡意域名的訪(fǎng)問(wèn)請求時(shí)，往往沒(méi)有手段可以分析定位問(wèn)題終端；以前在發(fā)生了安全事件時(shí)，也無(wú)法進(jìn)行分析溯源，不知道為什么被攻擊，這也導致防御非常被動(dòng)。

先后部署網(wǎng)站和終端防護 安全從加固底板開(kāi)始

面對繁雜如麻的安全挑戰，雙流機場(chǎng)沒(méi)有“眉毛胡子一把抓”、追求一步到位，而是遵循分布實(shí)施、循序漸進(jìn)的原則。

2015年，美國系統網(wǎng)絡(luò )安全協(xié)會(huì )（SANS）首次提出了網(wǎng)絡(luò )安全滑動(dòng)標尺模型（The Sliding Scale of Cyber Security），它將企業(yè)在應對外部攻擊時(shí)分為五個(gè)信息安全能力階段，分別是基礎架構、被動(dòng)防御、積極防御、威脅情報以及進(jìn)攻反制。該模型給雙流機場(chǎng)提供了清晰的建設路徑。

圖 網(wǎng)絡(luò )安全滑動(dòng)標尺模型

根據滑動(dòng)標尺模型，安全建設從滑動(dòng)標尺模型從左到右，是一種明確的演進(jìn)關(guān)系，而最早雙流機場(chǎng)和奇安信的合作，就始于一次官網(wǎng)安全防護項目。

2016年9月，雙流機場(chǎng)的官方網(wǎng)站，突然遭到了異常攻擊?？蛻?hù)首先意識到，需要借助專(zhuān)業(yè)的安全廠(chǎng)商，增強網(wǎng)站安全能力。這也是雙流機場(chǎng)第一次接觸奇安信。

圖 雙流機場(chǎng)信息系統安全建設總體設計

基于雙方在安全方面有眾多共同的理解和認知，通過(guò)交流、招投標等一系列的項目環(huán)節，最后由奇安信提供網(wǎng)站安全防護方案。在該項目中，雙流機場(chǎng)部署了奇安信網(wǎng)站云監測、云防護系統（安域）、網(wǎng)頁(yè)防篡改等產(chǎn)品，持續使用到現在。

在使用過(guò)程中，雙流機場(chǎng)對奇安信的產(chǎn)品性能、技術(shù)能力和專(zhuān)業(yè)服務(wù)等有了更深刻的了解，不久后雙方又達成終端防病毒的合作。在該項目中，通過(guò)部署天擎終端一體化安全管理系統，奇安信為雙流機場(chǎng)構建了集中統一的防病毒體系，實(shí)現了新型病毒查殺能力。

同時(shí)還集成補丁管理、終端運維管控、移動(dòng)存儲介質(zhì)管理、終端準入控制、企業(yè)軟件管家等多種終端安全管理功能，進(jìn)而提供良好的終端安全運維管理能力，改變了相互割裂、各自為陣的局面。

從網(wǎng)站安全到終端防病毒等項目建設，雙流機場(chǎng)在基礎架構防護和被動(dòng)防御方面的安全能力已顯著(zhù)增強。但隨著(zhù)2017年6月1日《網(wǎng)絡(luò )安全法》的正式實(shí)施，雙流機場(chǎng)開(kāi)啟了強化態(tài)勢感知能力、實(shí)現積極防御的網(wǎng)絡(luò )安全升級。

踐行態(tài)勢感知與安全運營(yíng) 強化積極防御能力

據相關(guān)負責人回憶，根據《網(wǎng)絡(luò )安全法》要求，系統日志至少要保存6個(gè)月以上，這個(gè)給雙流機場(chǎng)當時(shí)的IT部署帶來(lái)了一定的挑戰。

當時(shí)，雙流機場(chǎng)網(wǎng)絡(luò )安全團隊比較了日志服務(wù)器及 “態(tài)勢感知與安全運營(yíng)平臺”等幾種方案，最終發(fā)現，后者無(wú)論從綜合建設成本、合規性、日志審計存儲、溯源分析等方面，都顯著(zhù)優(yōu)于日志服務(wù)器方案。

因此，雙流機場(chǎng)選擇了多家主流安全廠(chǎng)商來(lái)調研和比較，其中只有奇安信提供了基于全流量的數據存儲和事后人工分析，可基于流量進(jìn)行人工溯源。同時(shí)奇安信的威脅情報能力在業(yè)內首屈一指，能為態(tài)勢感知提供很好的支撐，加上產(chǎn)品強大的多源數據關(guān)聯(lián)分析能力，最終雙流機場(chǎng)確定了奇安信提供的“態(tài)勢感知與安全運營(yíng)平臺”（NGSOC）解決方案。

圖 態(tài)勢感知與安全運營(yíng)平臺（NGSOC）組成

相較于傳統被動(dòng)防御等安全產(chǎn)品，NGSOC可以全面收集網(wǎng)絡(luò )中的所有設備日志，進(jìn)行統一的存儲、分析、可視化展示，從而為制定安全策略、問(wèn)題排查、了解全網(wǎng)安全狀態(tài)提供支撐。

它不僅可替代傳統的日志審計類(lèi)和入侵檢測產(chǎn)品，還能解決傳統的日志審計類(lèi)產(chǎn)品性能不足、采集能力有限的問(wèn)題，并避免傳統IDS產(chǎn)品大量誤報的問(wèn)題。

圖 雙流機場(chǎng)內網(wǎng)威脅態(tài)勢

在使用過(guò)程中，雙流機場(chǎng)對NGSOC在資產(chǎn)管理（CMDB）方面的卓越表現印象深刻。據介紹，與很多基于產(chǎn)品視角所不同的是，NGSOC可以更基于運營(yíng)者的視角，通過(guò)結合資產(chǎn)價(jià)值、脆弱性信息、威脅信息，對全網(wǎng)資產(chǎn)進(jìn)行風(fēng)險評估，量化風(fēng)險指標，幫助用戶(hù)更好了解和掌控安全風(fēng)險，為用戶(hù)提供有力的決策支撐。

得益于NGSOC的穩定表現，雙流機場(chǎng)進(jìn)行了數次升級和擴容，大幅提升檢測和響應能力，為打造積極防御、構建完善的安全運營(yíng)閉環(huán)奠定了堅實(shí)基礎。

安全建設“三同步”  將“事后補救”轉為“事前防控”

從部署網(wǎng)站安全防護，到終端一體化安全管理，再到民航行業(yè)踐行網(wǎng)絡(luò )安全態(tài)勢感知與安全運營(yíng)方案的引領(lǐng)者，雙流機場(chǎng)在信息化和網(wǎng)絡(luò )安全建設中，越來(lái)越深刻意識到，網(wǎng)絡(luò )安全正在前所未有的緊密嵌入到業(yè)務(wù)流程之中，安全風(fēng)險等同于業(yè)務(wù)風(fēng)險，安全建設也亟待從“事后補救”思維轉向“事前防控”的過(guò)程。

2020年，奇安信向業(yè)界發(fā)布了內生安全框架，董事長(cháng)齊向東表示，“在未來(lái)的數字經(jīng)濟時(shí)代，網(wǎng)絡(luò )攻擊帶來(lái)的后果往往不可承受，整個(gè)行業(yè)需用內生安全框架，建立完善的、‘事前防控’的網(wǎng)絡(luò )安全協(xié)同聯(lián)動(dòng)防御體系，推動(dòng)網(wǎng)絡(luò )安全產(chǎn)業(yè)更上一層樓?！?

“安全公司需要具備更強的頂層設計和咨詢(xún)規劃能力，能夠立足甲方視角、信息化視角，將網(wǎng)絡(luò )安全和數字化做到‘三同步’：同步規劃、同步建設、同步運行，才能給業(yè)務(wù)穩定運行提供保障?！?雙流機場(chǎng)網(wǎng)絡(luò )安全相關(guān)負責人也持類(lèi)似觀(guān)點(diǎn)。

“民航安全無(wú)小事”，網(wǎng)絡(luò )攻防是一場(chǎng)永無(wú)終場(chǎng)的戰爭。作為國內客流量最繁忙、信息化水平極高、業(yè)務(wù)環(huán)境非常復雜的雙流機場(chǎng)，其網(wǎng)絡(luò )安全建設方面的進(jìn)階和探索，對同行無(wú)疑具備很好的借鑒意義。