深度解讀|全國最繁忙機場是如何建設網絡安全的?
釋出日期:2021-03-16 作者:奇安信
“網絡安全是第一道防線,也是最後一道防線。”
圖 成都雙流機場(來源於網絡)
作為客流量全球Top3的民航機場,成都雙流機場(簡稱雙流機場)並沒有將網絡安全侷限於防病毒防黑客、防數據泄密等層面,而是將保障業務平穩運行作為了安全建設的重要使命。
成都雙流機場是中國中西部地區最大的國際機場,其客流量一直保持着高速增長。不久前,2020年全球民航機場客流量Top10名單出爐,雙流國際機場以4071.2萬人次躋身全球第三。航旅縱橫大數據則顯示,2021年春節期間,雙流機場的國內旅客吞吐量排名第一,成為全國最繁忙的機場。
承載如此大的旅客吞吐量,並保持業務連續不中斷,不出現重大安全事件,要歸功於雙流機場強大的信息化系統,以及匹配的網絡安全保障。從2016年開始,雙流機場就和國內網絡安全龍頭企業奇安信達成了合作,並在5年的歷程中不斷進階,完成了從架構安全到被動防禦,再到積極防禦的躍遷。
IT環境越複雜 安全挑戰越嚴峻
習近平總書記曾指出,安全是民航業的生命線,“要堅持安全底線,對安全隱患零容忍”。不過,作為最現代化的交通運輸方式,民航經常成為網絡攻擊重要目標。
2018年9月,英國機場航空顯示系統遭勒索軟件干擾;2019年9月,泰國獅航數千萬條旅客記錄泄露,在地下論壇上曝光和交換;2020年5月,英國易捷航空遭遇網絡攻擊造成900萬客户數據泄露……近年來全球範圍針對民航系統的網絡攻擊屢見不鮮,頻頻造成巨大損失。
“民航行業的IT環境非常複雜,業務系統繁多,資產類型冗雜,各個單位之間,如機場與航司、機場與空管等橫向連接千絲萬縷,做好安全防護的難度很高。如果只是從單一的維度去做防護或者檢測,很難面面俱到,無法全面解決網絡安全各種問題;而網絡安全的木桶效應又很明顯,如果一個點沒有做好,就可能被全面攻破。”雙流機場網絡安全項目負責人歸納了三點挑戰。
首先是複雜網絡帶來的挑戰。雙流機場目前共有信息網、安防網、綜合業務網等8大生產專網,以及辦公區網絡、貴賓專網等,各類PC終端和物理服務器數千台,這給安全運維和安全風險分析等工作帶來很大挑戰。
其次是部門繁雜、終端多樣帶來的病毒入侵挑戰。雙流機場部門眾多,終端類型複雜,過去防病毒措施和U盤管控機制不嚴格,終端中了病毒很難定位問題源頭,只能治標不治本,導致總是反覆感染病毒。
最後是對安全事件缺乏溯源分析的手段。在幾年前,雙流機場在接收到監管單位的安全事件通報時,尤其是出口IP有連接惡意域名的訪問請求時,往往沒有手段可以分析定位問題終端;以前在發生了安全事件時,也無法進行分析溯源,不知道為什麼被攻擊,這也導致防禦非常被動。
先後部署網站和終端防護 安全從加固底板開始
面對繁雜如麻的安全挑戰,雙流機場沒有“眉毛鬍子一把抓”、追求一步到位,而是遵循分佈實施、循序漸進的原則。
2015年,美國系統網絡安全協會(SANS)首次提出了網絡安全滑動標尺模型(The Sliding Scale of Cyber Security),它將企業在應對外部攻擊時分為五個信息安全能力階段,分別是基礎架構、被動防禦、積極防禦、威脅情報以及進攻反制。該模型給雙流機場提供了清晰的建設路徑。
圖 網絡安全滑動標尺模型
根據滑動標尺模型,安全建設從滑動標尺模型從左到右,是一種明確的演進關係,而最早雙流機場和奇安信的合作,就始於一次官網安全防護項目。
2016年9月,雙流機場的官方網站,突然遭到了異常攻擊。客户首先意識到,需要藉助專業的安全廠商,增強網站安全能力。這也是雙流機場第一次接觸奇安信。
圖 雙流機場信息系統安全建設總體設計
基於雙方在安全方面有眾多共同的理解和認知,通過交流、招投標等一系列的項目環節,最後由奇安信提供網站安全防護方案。在該項目中,雙流機場部署了奇安信網站雲監測、雲防護系統(安域)、網頁防篡改等產品,持續使用到現在。
在使用過程中,雙流機場對奇安信的產品性能、技術能力和專業服務等有了更深刻的瞭解,不久後雙方又達成終端防病毒的合作。在該項目中,通過部署天擎終端一體化安全管理系統,奇安信為雙流機場構建了集中統一的防病毒體系,實現了新型病毒查殺能力。
同時還集成補丁管理、終端運維管控、移動存儲介質管理、終端准入控制、企業軟件管家等多種終端安全管理功能,進而提供良好的終端安全運維管理能力,改變了相互割裂、各自為陣的局面。
從網站安全到終端防病毒等項目建設,雙流機場在基礎架構防護和被動防禦方面的安全能力已顯著增強。但隨着2017年6月1日《網絡安全法》的正式實施,雙流機場開啓了強化態勢感知能力、實現積極防禦的網絡安全升級。
踐行態勢感知與安全運營 強化積極防禦能力
據相關負責人回憶,根據《網絡安全法》要求,系統日誌至少要保存6個月以上,這個給雙流機場當時的IT部署帶來了一定的挑戰。
當時,雙流機場網絡安全團隊比較了日誌服務器及 “態勢感知與安全運營平台”等幾種方案,最終發現,後者無論從綜合建設成本、合規性、日誌審計存儲、溯源分析等方面,都顯著優於日誌服務器方案。
因此,雙流機場選擇了多家主流安全廠商來調研和比較,其中只有奇安信提供了基於全流量的數據存儲和事後人工分析,可基於流量進行人工溯源。同時奇安信的威脅情報能力在業內首屈一指,能為態勢感知提供很好的支撐,加上產品強大的多源數據關聯分析能力,最終雙流機場確定了奇安信提供的“態勢感知與安全運營平台”(NGSOC)解決方案。
圖 態勢感知與安全運營平台(NGSOC)組成
相較於傳統被動防禦等安全產品,NGSOC可以全面收集網絡中的所有設備日誌,進行統一的存儲、分析、可視化展示,從而為制定安全策略、問題排查、瞭解全網安全狀態提供支撐。
它不僅可替代傳統的日誌審計類和入侵檢測產品,還能解決傳統的日誌審計類產品性能不足、採集能力有限的問題,並避免傳統IDS產品大量誤報的問題。
圖 雙流機場內網威脅態勢
在使用過程中,雙流機場對NGSOC在資產管理(CMDB)方面的卓越表現印象深刻。據介紹,與很多基於產品視角所不同的是,NGSOC可以更基於運營者的視角,通過結合資產價值、脆弱性信息、威脅信息,對全網資產進行風險評估,量化風險指標,幫助用户更好了解和掌控安全風險,為用户提供有力的決策支撐。
得益於NGSOC的穩定表現,雙流機場進行了數次升級和擴容,大幅提升檢測和響應能力,為打造積極防禦、構建完善的安全運營閉環奠定了堅實基礎。
安全建設“三同步” 將“事後補救”轉為“事前防控”
從部署網站安全防護,到終端一體化安全管理,再到民航行業踐行網絡安全態勢感知與安全運營方案的引領者,雙流機場在信息化和網絡安全建設中,越來越深刻意識到,網絡安全正在前所未有的緊密嵌入到業務流程之中,安全風險等同於業務風險,安全建設也亟待從“事後補救”思維轉向“事前防控”的過程。
2020年,奇安信向業界發佈了內生安全框架,董事長齊向東表示,“在未來的數字經濟時代,網絡攻擊帶來的後果往往不可承受,整個行業需用內生安全框架,建立完善的、‘事前防控’的網絡安全協同聯動防禦體系,推動網絡安全產業更上一層樓。”
“安全公司需要具備更強的頂層設計和諮詢規劃能力,能夠立足甲方視角、信息化視角,將網絡安全和數字化做到‘三同步’:同步規劃、同步建設、同步運行,才能給業務穩定運行提供保障。” 雙流機場網絡安全相關負責人也持類似觀點。
“民航安全無小事”,網絡攻防是一場永無終場的戰爭。作為國內客流量最繁忙、信息化水平極高、業務環境非常複雜的雙流機場,其網絡安全建設方面的進階和探索,對同行無疑具備很好的借鑑意義。