企業動態

“網絡安全是第一道防線，也是最後一道防線。”

圖 成都雙流機場（來源於網絡）

作為客流量全球Top3的民航機場，成都雙流機場（簡稱雙流機場）並沒有將網絡安全侷限於防病毒防黑客、防數據泄密等層面，而是將保障業務平穩運行作為了安全建設的重要使命。

成都雙流機場是中國中西部地區最大的國際機場，其客流量一直保持着高速增長。不久前，2020年全球民航機場客流量Top10名單出爐，雙流國際機場以4071.2萬人次躋身全球第三。航旅縱橫大數據則顯示，2021年春節期間，雙流機場的國內旅客吞吐量排名第一，成為全國最繁忙的機場。

承載如此大的旅客吞吐量，並保持業務連續不中斷，不出現重大安全事件，要歸功於雙流機場強大的信息化系統，以及匹配的網絡安全保障。從2016年開始，雙流機場就和國內網絡安全龍頭企業奇安信達成了合作，並在5年的歷程中不斷進階，完成了從架構安全到被動防禦，再到積極防禦的躍遷。

IT環境越複雜 安全挑戰越嚴峻

習近平總書記曾指出，安全是民航業的生命線，“要堅持安全底線,對安全隱患零容忍”。不過，作為最現代化的交通運輸方式，民航經常成為網絡攻擊重要目標。

2018年9月，英國機場航空顯示系統遭勒索軟件干擾；2019年9月，泰國獅航數千萬條旅客記錄泄露，在地下論壇上曝光和交換；2020年5月，英國易捷航空遭遇網絡攻擊造成900萬客户數據泄露……近年來全球範圍針對民航系統的網絡攻擊屢見不鮮，頻頻造成巨大損失。

“民航行業的IT環境非常複雜，業務系統繁多，資產類型冗雜，各個單位之間，如機場與航司、機場與空管等橫向連接千絲萬縷，做好安全防護的難度很高。如果只是從單一的維度去做防護或者檢測，很難面面俱到，無法全面解決網絡安全各種問題；而網絡安全的木桶效應又很明顯，如果一個點沒有做好，就可能被全面攻破。”雙流機場網絡安全項目負責人歸納了三點挑戰。

首先是複雜網絡帶來的挑戰。雙流機場目前共有信息網、安防網、綜合業務網等8大生產專網，以及辦公區網絡、貴賓專網等，各類PC終端和物理服務器數千台，這給安全運維和安全風險分析等工作帶來很大挑戰。

其次是部門繁雜、終端多樣帶來的病毒入侵挑戰。雙流機場部門眾多，終端類型複雜，過去防病毒措施和U盤管控機制不嚴格，終端中了病毒很難定位問題源頭，只能治標不治本，導致總是反覆感染病毒。

最後是對安全事件缺乏溯源分析的手段。在幾年前，雙流機場在接收到監管單位的安全事件通報時，尤其是出口IP有連接惡意域名的訪問請求時，往往沒有手段可以分析定位問題終端；以前在發生了安全事件時，也無法進行分析溯源，不知道為什麼被攻擊，這也導致防禦非常被動。

先後部署網站和終端防護 安全從加固底板開始

面對繁雜如麻的安全挑戰，雙流機場沒有“眉毛鬍子一把抓”、追求一步到位，而是遵循分佈實施、循序漸進的原則。

2015年，美國系統網絡安全協會（SANS）首次提出了網絡安全滑動標尺模型（The Sliding Scale of Cyber Security），它將企業在應對外部攻擊時分為五個信息安全能力階段，分別是基礎架構、被動防禦、積極防禦、威脅情報以及進攻反制。該模型給雙流機場提供了清晰的建設路徑。

圖 網絡安全滑動標尺模型

根據滑動標尺模型，安全建設從滑動標尺模型從左到右，是一種明確的演進關係，而最早雙流機場和奇安信的合作，就始於一次官網安全防護項目。

2016年9月，雙流機場的官方網站，突然遭到了異常攻擊。客户首先意識到，需要藉助專業的安全廠商，增強網站安全能力。這也是雙流機場第一次接觸奇安信。

圖 雙流機場信息系統安全建設總體設計

基於雙方在安全方面有眾多共同的理解和認知，通過交流、招投標等一系列的項目環節，最後由奇安信提供網站安全防護方案。在該項目中，雙流機場部署了奇安信網站雲監測、雲防護系統（安域）、網頁防篡改等產品，持續使用到現在。

在使用過程中，雙流機場對奇安信的產品性能、技術能力和專業服務等有了更深刻的瞭解，不久後雙方又達成終端防病毒的合作。在該項目中，通過部署天擎終端一體化安全管理系統，奇安信為雙流機場構建了集中統一的防病毒體系，實現了新型病毒查殺能力。

同時還集成補丁管理、終端運維管控、移動存儲介質管理、終端准入控制、企業軟件管家等多種終端安全管理功能，進而提供良好的終端安全運維管理能力，改變了相互割裂、各自為陣的局面。

從網站安全到終端防病毒等項目建設，雙流機場在基礎架構防護和被動防禦方面的安全能力已顯著增強。但隨着2017年6月1日《網絡安全法》的正式實施，雙流機場開啓了強化態勢感知能力、實現積極防禦的網絡安全升級。

踐行態勢感知與安全運營  強化積極防禦能力

據相關負責人回憶，根據《網絡安全法》要求，系統日誌至少要保存6個月以上，這個給雙流機場當時的IT部署帶來了一定的挑戰。

當時，雙流機場網絡安全團隊比較了日誌服務器及 “態勢感知與安全運營平台”等幾種方案，最終發現，後者無論從綜合建設成本、合規性、日誌審計存儲、溯源分析等方面，都顯著優於日誌服務器方案。

因此，雙流機場選擇了多家主流安全廠商來調研和比較，其中只有奇安信提供了基於全流量的數據存儲和事後人工分析，可基於流量進行人工溯源。同時奇安信的威脅情報能力在業內首屈一指，能為態勢感知提供很好的支撐，加上產品強大的多源數據關聯分析能力，最終雙流機場確定了奇安信提供的“態勢感知與安全運營平台”（NGSOC）解決方案。

圖 態勢感知與安全運營平台（NGSOC）組成

相較於傳統被動防禦等安全產品，NGSOC可以全面收集網絡中的所有設備日誌，進行統一的存儲、分析、可視化展示，從而為制定安全策略、問題排查、瞭解全網安全狀態提供支撐。

它不僅可替代傳統的日誌審計類和入侵檢測產品，還能解決傳統的日誌審計類產品性能不足、採集能力有限的問題，並避免傳統IDS產品大量誤報的問題。

圖 雙流機場內網威脅態勢

在使用過程中，雙流機場對NGSOC在資產管理（CMDB）方面的卓越表現印象深刻。據介紹，與很多基於產品視角所不同的是，NGSOC可以更基於運營者的視角，通過結合資產價值、脆弱性信息、威脅信息，對全網資產進行風險評估，量化風險指標，幫助用户更好了解和掌控安全風險，為用户提供有力的決策支撐。

得益於NGSOC的穩定表現，雙流機場進行了數次升級和擴容，大幅提升檢測和響應能力，為打造積極防禦、構建完善的安全運營閉環奠定了堅實基礎。

安全建設“三同步” 將“事後補救”轉為“事前防控”

從部署網站安全防護，到終端一體化安全管理，再到民航行業踐行網絡安全態勢感知與安全運營方案的引領者，雙流機場在信息化和網絡安全建設中，越來越深刻意識到，網絡安全正在前所未有的緊密嵌入到業務流程之中，安全風險等同於業務風險，安全建設也亟待從“事後補救”思維轉向“事前防控”的過程。

2020年，奇安信向業界發佈了內生安全框架，董事長齊向東表示，“在未來的數字經濟時代，網絡攻擊帶來的後果往往不可承受，整個行業需用內生安全框架，建立完善的、‘事前防控’的網絡安全協同聯動防禦體系，推動網絡安全產業更上一層樓。”

“安全公司需要具備更強的頂層設計和諮詢規劃能力，能夠立足甲方視角、信息化視角，將網絡安全和數字化做到‘三同步’：同步規劃、同步建設、同步運行，才能給業務穩定運行提供保障。” 雙流機場網絡安全相關負責人也持類似觀點。

“民航安全無小事”，網絡攻防是一場永無終場的戰爭。作為國內客流量最繁忙、信息化水平極高、業務環境非常複雜的雙流機場，其網絡安全建設方面的進階和探索，對同行無疑具備很好的借鑑意義。