今日頭條
官方微信
官方抖音
案例頻道★馬霄,董保開,宋銳,白彥茹,田曉揚北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司
關(guān)鍵詞:機場網(wǎng)絡(luò)安全;關(guān)鍵信息基礎(chǔ)設(shè)施;縱深防御
1 項目概況
1.1 項目背景
近年來,隨著民航行業(yè)快速發(fā)展,旅客吞吐量和貨運吞吐量快速增長,我國民航業(yè)的機場建設(shè)規(guī)模逐年擴大,每年均有機場新建、改擴建項目開展建設(shè)或投入使用。同時在我國數(shù)字化轉(zhuǎn)型戰(zhàn)略推進下,我國機場智慧化程度不斷升級,各大機場把“智慧機場”的建設(shè)作為推動民航信息化和智能化建設(shè)的重要舉措。然而,智慧機場在大規(guī)模應(yīng)用大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、云計算等新一代信息技術(shù)的同時,不可避免遭受到各類網(wǎng)絡(luò)安全威脅,惡意軟件肆虐、黑客攻擊、旅客信息泄露等都嚴重影響“智慧機場”信息系統(tǒng)的正常運行及業(yè)務(wù)的順利開展。
此外,網(wǎng)絡(luò)安全作為民航安全的重要內(nèi)容和“智慧機場”建設(shè)的基礎(chǔ)保障,民航局多次在全國民航工作報告中指出,需完善民航網(wǎng)絡(luò)安全治理和綜合防控,加強行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護;另外《“十四五”民用航空發(fā)展規(guī)劃》中也明確提出,要提升網(wǎng)絡(luò)安全監(jiān)管能力,強化網(wǎng)絡(luò)信息系統(tǒng)安全保障能力等。
因此,在行業(yè)安全事件及國家法律法規(guī)的雙輪驅(qū)動下,提升“智慧機場”網(wǎng)絡(luò)安全保障能力,確保民航關(guān)鍵信息基礎(chǔ)設(shè)施、重要業(yè)務(wù)信息系統(tǒng)和關(guān)鍵數(shù)據(jù)資源安全,成為民航行業(yè)重點關(guān)注的焦點之一。
1.2 項目簡介
機場作為一個涉及多方作業(yè)人員的龐大復雜基礎(chǔ)服務(wù)設(shè)施,擁有航站樓、空側(cè)、路側(cè)等多方面復雜業(yè)務(wù)場景。本項目安全設(shè)計面向機場航站樓的生產(chǎn)網(wǎng),其擁有自助值機、自助安檢、自助行李托運等多種應(yīng)用場景,各種自助服務(wù)為旅客的值機、行李、安檢、登機等環(huán)節(jié)提供便捷服務(wù)。
該項目在安全建設(shè)過程中嚴格遵守《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護指南》《MH/T3035-2023民用航空生產(chǎn)運行工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)要求》等國家及行業(yè)相關(guān)政策標準要求,應(yīng)用邊界防護、主機防護、入侵檢測、安全審計、安全管理等多種技術(shù)手段,實現(xiàn)機場生產(chǎn)網(wǎng)絡(luò)區(qū)域邊界安全隔離、工業(yè)主機安全管控、外部入侵防范、日志關(guān)聯(lián)分析、安全設(shè)備集中化管理及策略聯(lián)動等多維度安全能力,并以此為基礎(chǔ)構(gòu)建面向“智慧機場”生產(chǎn)網(wǎng)的綜合網(wǎng)絡(luò)安全防御體系,強化生產(chǎn)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測及預(yù)警能力。
1.3 項目目標
民航行業(yè)作為高度國際化、信息化的技術(shù)密集型行業(yè),其在生產(chǎn)運行過程中高度依賴網(wǎng)絡(luò)信息系統(tǒng)。但是,在當前復雜嚴峻的網(wǎng)絡(luò)安全形勢下,民航行業(yè)遭受到的網(wǎng)絡(luò)攻擊處于高發(fā)態(tài)勢,網(wǎng)絡(luò)病毒、篡改、攻擊等事件層出不窮,對民航業(yè)務(wù)安全運營帶來極大風險。通過對該“智慧機場”生產(chǎn)網(wǎng)業(yè)務(wù)流程進行梳理與摸底,了解到其存在網(wǎng)絡(luò)邊界模糊、外來入侵攻擊、漏洞攻擊、運維過程不規(guī)范、工業(yè)主機接口濫用等安全威脅。
針對該“智慧機場”生產(chǎn)網(wǎng)面臨的安全風險及安全建設(shè)的不足,本項目遵循以“白名單為主,黑名單為輔”的黑白結(jié)合方式,并加以深度分析的技術(shù)手段,重點從風險識別、安全防御、安全檢測、安全響應(yīng)、安全恢復等方面完善“智慧機場”綜合網(wǎng)絡(luò)安全防御體系,形成全方位、細粒度、多層次、動態(tài)閉環(huán)的深度防護能力,有效抵御生產(chǎn)網(wǎng)面臨的攻擊威脅,降低安全事件的發(fā)生。基于IPDRR安全框架的“智慧機場”綜合網(wǎng)絡(luò)安全防御體系如圖1所示。
圖1 基于IPDRR安全框架的“智慧機場”綜合網(wǎng)絡(luò)安全防御體系
2 項目實施
2.1 應(yīng)用場景分析
“智慧機場”網(wǎng)絡(luò)布局復雜,業(yè)務(wù)系統(tǒng)多,網(wǎng)絡(luò)中心從總體上可以分為終端接入網(wǎng)、骨干傳輸網(wǎng)及數(shù)據(jù)中心網(wǎng)。終端接入網(wǎng)主要由離崗網(wǎng)、動力能源網(wǎng)、安防網(wǎng)、生產(chǎn)網(wǎng)、綜合業(yè)務(wù)網(wǎng)及對外服務(wù)網(wǎng)等網(wǎng)絡(luò)組成,這些網(wǎng)絡(luò)通過各自業(yè)務(wù)網(wǎng)絡(luò)核心設(shè)備匯接到骨干傳輸網(wǎng),形成全網(wǎng)的互聯(lián)互通。各子網(wǎng)的業(yè)務(wù)服務(wù)器區(qū)均統(tǒng)一部署在數(shù)據(jù)中心網(wǎng),通過骨干網(wǎng)絡(luò)連接各自業(yè)務(wù)子網(wǎng)的交換機。其中機場生產(chǎn)網(wǎng)主要承載的業(yè)務(wù)有行李信息系統(tǒng)、安檢信息系統(tǒng)、自助值機系統(tǒng)、自助行李系統(tǒng)等,各子系統(tǒng)通過交換機設(shè)備連接至骨干傳輸網(wǎng),通過骨干網(wǎng)與部署在數(shù)據(jù)中心網(wǎng)的業(yè)務(wù)服務(wù)器實現(xiàn)數(shù)據(jù)交互。機場業(yè)務(wù)架構(gòu)圖如圖2所示。
圖2 機場業(yè)務(wù)架構(gòu)圖
2.2 技術(shù)方案
(1)機場生產(chǎn)網(wǎng)、動力能源網(wǎng)、綜合業(yè)務(wù)網(wǎng)等不同區(qū)域邊界安全隔離與訪問控制
在機場生產(chǎn)網(wǎng)、動力能源網(wǎng)、綜合業(yè)務(wù)網(wǎng)、離港網(wǎng)、工控服務(wù)器區(qū)、調(diào)度中心各區(qū)域邊界應(yīng)用技術(shù)隔離手段,通過基于工業(yè)協(xié)議的深度識別,對不同區(qū)域之間的網(wǎng)絡(luò)通信行為進行細粒度管控,限制區(qū)域間訪問控制,保證對進出各區(qū)域的流量進行有效管控,阻止非法流量惡意訪問并進行報警。在安防網(wǎng)區(qū)域邊界部署物聯(lián)網(wǎng)安全網(wǎng)關(guān),對各終端設(shè)備的通信協(xié)議制定黑白名單業(yè)務(wù)規(guī)則,對資產(chǎn)、通信協(xié)議進行識別和控制。在對外網(wǎng)區(qū)域邊界應(yīng)用防火墻,配置訪問控制策略,對非法訪問進行控制。
(2)機場生產(chǎn)網(wǎng)入侵檢測與惡意程序識別能力設(shè)計
在骨干網(wǎng)核心交換機處應(yīng)用入侵檢測手段,對網(wǎng)絡(luò)中的數(shù)據(jù)流量進行深度檢測、實時分析,并對網(wǎng)絡(luò)中的攻擊行為進行監(jiān)測,動態(tài)地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為,進行報警,同時可與工業(yè)防火墻聯(lián)動進行阻斷。
(3)工控主機病毒防范能力設(shè)計
在操作員站及服務(wù)器上應(yīng)用基于“白名單”的工業(yè)防護產(chǎn)品,通過白名單防護、外設(shè)管理、基線加固等措施,提升工業(yè)主機安全防護能力。同時支持安全策略統(tǒng)一下發(fā),提升運維管理能力。安全建設(shè)部署如圖3所示。
圖3 安全建設(shè)部署圖
(4)機場生產(chǎn)網(wǎng)脆弱性識別與檢測能力設(shè)計
采用工業(yè)漏洞掃描、安全基線核查滲透測試等方式,全方位、高效地檢測機場生產(chǎn)網(wǎng)絡(luò)中的各類脆弱性風險以及配置合規(guī)情況,為企業(yè)進行網(wǎng)絡(luò)安全加固建設(shè)提供依據(jù)。
(5)機場生產(chǎn)網(wǎng)日志信息收集與分析能力設(shè)計
采用日志收集與分析系統(tǒng),對機場生產(chǎn)網(wǎng)網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等日志信息進行收集匯總并關(guān)聯(lián)性分析,方便機場管理人員了解生產(chǎn)網(wǎng)安全狀況。
(6)機場生產(chǎn)網(wǎng)運維人員操作過程監(jiān)管設(shè)計
采用運維審計手段,實現(xiàn)對用戶、角色資源和行為的集中授權(quán)、賬號集中管理、身份認證,以達到對權(quán)限的細粒度控制,最大限度保護用戶資源安全。
(7)機場生產(chǎn)網(wǎng)安全設(shè)備、安全策略集中管控能力設(shè)計
為滿足機場管理人員對安全防護設(shè)備進行集中管控的要求,在運維管理區(qū)部署工業(yè)安全集中管理平臺,通過管理平臺對安全設(shè)備配置統(tǒng)一的安全策略,對全網(wǎng)的安全設(shè)備狀態(tài)進行統(tǒng)一監(jiān)控,對安全日志進行統(tǒng)計分析,實現(xiàn)全網(wǎng)安全狀態(tài)快速預(yù)警。
(8)機場生產(chǎn)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢監(jiān)測與運營設(shè)計
應(yīng)用工業(yè)互聯(lián)網(wǎng)態(tài)勢感知技術(shù),依據(jù)安全基礎(chǔ)能力的建設(shè),形成安全策略聯(lián)動、動態(tài)感知的安全分析能力,實現(xiàn)對全網(wǎng)業(yè)務(wù)態(tài)勢監(jiān)測預(yù)警及安全事件快速處置,通過事件監(jiān)測、威脅預(yù)警、攻擊溯源等多種手段相結(jié)合的方式提升“智慧機場”生產(chǎn)網(wǎng)絡(luò)的安全運營水平。
2.3 安全應(yīng)用模式
(1)運營模式
從防御的角度考慮,通過部署覆蓋網(wǎng)絡(luò)、主機、應(yīng)用等多個層面的安全產(chǎn)品,構(gòu)建一個涵蓋感知、分析、防護的閉環(huán)保障機制,通過工業(yè)安全集中管理平臺進行整體聯(lián)動與策略下發(fā)。
(2)服務(wù)模式
本應(yīng)用案例面向并貫穿于整個機場生產(chǎn)網(wǎng),為其構(gòu)建綜合安全防護體系,從主機安全、邊界安全、網(wǎng)絡(luò)安全等多維度展開安全能力建設(shè),服務(wù)模式包括綜合安全防護體系建設(shè)服務(wù)和安全運維服務(wù)。
2.4 實際應(yīng)用效果
本項目方案設(shè)計貼合實際業(yè)務(wù)場景,從設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全等角度出發(fā),構(gòu)建“智慧機場”關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全縱深防御體系。本項目建設(shè)完成后,全面提升了“智慧機場”生產(chǎn)網(wǎng)絡(luò)整體安全性,確保了設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的穩(wěn)定性、可靠性以及業(yè)務(wù)的正常運行。
(1)增強威脅發(fā)現(xiàn)能力,降低安全事件發(fā)生概率
通過本項目建設(shè),可以及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的威脅并進行報警,可以快速消除安全風險隱患,可以降低網(wǎng)絡(luò)攻擊事件發(fā)生的概率,同時可提高“智慧機場”生產(chǎn)網(wǎng)絡(luò)應(yīng)對突發(fā)安全事件的能力,避免造成更大的經(jīng)濟損失。
(2)動態(tài)進行安全防御,提升安全事件響應(yīng)速度
通過聯(lián)動網(wǎng)內(nèi)各類安全設(shè)備,可以對發(fā)現(xiàn)的安全問題快速定位,并可制定有效的安全防御手段。利用系統(tǒng)的安全策略集中管理能力,可以動態(tài)調(diào)整設(shè)備安全策略、快速封堵安全漏洞、及時處置安全事件,最大程度地降低事件影響范圍。
(3)提升安全運維效率,助力企業(yè)降本增效
本項目可以幫助機場全面掌握安全運行數(shù)據(jù)和安全情報、全局洞悉“智慧機場”生產(chǎn)網(wǎng)絡(luò)安全態(tài)勢,并結(jié)合安全資源,及時發(fā)現(xiàn)可能面臨的安全威脅和風險,并可對安全事件及時追蹤溯源,提升了安全運維效率,減少了安全運維人員工作量,降低了企業(yè)人力資源投入。
3 案例亮點及創(chuàng)新性
3.1 推廣價值
本項目的落實,保障了“智慧機場”生產(chǎn)網(wǎng)絡(luò)安全、穩(wěn)定、優(yōu)質(zhì)運行,提升了企業(yè)社會效益和經(jīng)濟效益,在“智慧機場”行業(yè)形成了良好的示范效應(yīng),為“智慧機場”生產(chǎn)網(wǎng)絡(luò)安全建設(shè)提供了指引以及指導,并可借助此項目的建設(shè)經(jīng)驗以及安全技術(shù)手段,在同行業(yè)進行推廣復制應(yīng)用。
3.2 商業(yè)價值和社會價值
(1)符合國家重大發(fā)展戰(zhàn)略要求
該項目的落地應(yīng)用,可有效促進“智慧機場”生產(chǎn)網(wǎng)絡(luò)安全現(xiàn)狀提升,為“智慧機場”生產(chǎn)網(wǎng)絡(luò)安全防護體系建設(shè)樹立標桿;同時可營造良好的產(chǎn)業(yè)發(fā)展生態(tài),保障國民經(jīng)濟生產(chǎn)及國家建設(shè),為我國深化“互聯(lián)網(wǎng)+先進制造業(yè)”國家重大發(fā)展戰(zhàn)略的順利推進起到積極作用。
(2)為“智慧機場”生產(chǎn)網(wǎng)絡(luò)安全運維提供全面支持
本項目的建設(shè)實施,將安全檢測、安全防御、安全恢復等技術(shù)在“智慧機場”生產(chǎn)網(wǎng)絡(luò)安全防護建設(shè)中廣泛應(yīng)用,為“智慧機場”生產(chǎn)網(wǎng)絡(luò)的安全、持續(xù)、不間斷運行提供了有力的支撐保障,同時可更好地服務(wù)于社會公眾。
3.3 亮點與創(chuàng)新性
(1)基于數(shù)據(jù)變化率監(jiān)測技術(shù)
通過對機場生產(chǎn)網(wǎng)絡(luò)中流量的數(shù)據(jù)報文進行完整性還原,識別報文中的控制指令,依據(jù)業(yè)務(wù)的通信行為與指令進行關(guān)聯(lián)分析,并建立業(yè)務(wù)的控制行為基線,通過行為基線構(gòu)建深度分析體系,同時與態(tài)勢感知安全信息進行匹配分析,識別異常控制行為。
(2)建立動態(tài)安全模型,構(gòu)建動態(tài)、閉環(huán)安全防御體系
該項目建設(shè)方案創(chuàng)新性地將動態(tài)持續(xù)性安全防護理念引入其中,以IPDRR動態(tài)安全模型為參照,結(jié)合機場生產(chǎn)網(wǎng)絡(luò)分層結(jié)構(gòu)及網(wǎng)絡(luò)特性,在系統(tǒng)各層級內(nèi)部及邊界構(gòu)建風險識別、安全防御、安全檢測、安全響應(yīng)及安全恢復的動態(tài)、閉環(huán)安全防御體系,全面提升安全運營能力。
(3)通過安全策略聯(lián)動,實現(xiàn)安全事件快速處置
通過收集并分析機場生產(chǎn)網(wǎng)絡(luò)的資產(chǎn)、流量、日志、設(shè)備運行狀態(tài)等相關(guān)安全數(shù)據(jù),建立“智慧機場”生產(chǎn)網(wǎng)絡(luò)安全態(tài)勢模型,借助大數(shù)據(jù)分析技術(shù),進行安全態(tài)勢全方位分析、監(jiān)測與預(yù)警。同時通過安全策略聯(lián)動,為安全事件快速處置提供決策支撐。
作者簡介
馬 霄(1988-),男,河北人,學士,現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司,主要從事工業(yè)控制安全、工業(yè)互聯(lián)網(wǎng)安全、云安全、大數(shù)據(jù)、物聯(lián)網(wǎng)安全方面的研究。
董保開(1992-),男,河北辛集人,現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司,主要從事工業(yè)信息安全、數(shù)據(jù)安全方面的研究。
宋 銳(1990-),男,吉林吉林人,現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司,主要從事工業(yè)信息安全、數(shù)據(jù)安全方面的研究。
白彥茹(1983-),河北人,中級工程師,學士,現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司,主要從事為工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全方面的研究。
田曉揚(1994-),河北人,本科,現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司,主要研究方向為工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號