★馬霄，董保開(kāi)，宋銳，白彥茹，田曉揚北京天融信網(wǎng)絡(luò )安全技術(shù)有限公司

關(guān)鍵詞：機場(chǎng)網(wǎng)絡(luò )安全；關(guān)鍵信息基礎設施；縱深防御

1　項目概況

1.1　項目背景

近年來(lái)，隨著(zhù)民航行業(yè)快速發(fā)展，旅客吞吐量和貨運吞吐量快速增長(cháng)，我國民航業(yè)的機場(chǎng)建設規模逐年擴大，每年均有機場(chǎng)新建、改擴建項目開(kāi)展建設或投入使用。同時(shí)在我國數字化轉型戰略推進(jìn)下，我國機場(chǎng)智慧化程度不斷升級，各大機場(chǎng)把“智慧機場(chǎng)”的建設作為推動(dòng)民航信息化和智能化建設的重要舉措。然而，智慧機場(chǎng)在大規模應用大數據、人工智能、物聯(lián)網(wǎng)、云計算等新一代信息技術(shù)的同時(shí)，不可避免遭受到各類(lèi)網(wǎng)絡(luò )安全威脅，惡意軟件肆虐、黑客攻擊、旅客信息泄露等都嚴重影響“智慧機場(chǎng)”信息系統的正常運行及業(yè)務(wù)的順利開(kāi)展。

此外，網(wǎng)絡(luò )安全作為民航安全的重要內容和“智慧機場(chǎng)”建設的基礎保障，民航局多次在全國民航工作報告中指出，需完善民航網(wǎng)絡(luò )安全治理和綜合防控，加強行業(yè)關(guān)鍵信息基礎設施安全保護；另外《“十四五”民用航空發(fā)展規劃》中也明確提出，要提升網(wǎng)絡(luò )安全監管能力，強化網(wǎng)絡(luò )信息系統安全保障能力等。

因此，在行業(yè)安全事件及國家法律法規的雙輪驅動(dòng)下，提升“智慧機場(chǎng)”網(wǎng)絡(luò )安全保障能力，確保民航關(guān)鍵信息基礎設施、重要業(yè)務(wù)信息系統和關(guān)鍵數據資源安全，成為民航行業(yè)重點(diǎn)關(guān)注的焦點(diǎn)之一。

1.2　項目簡(jiǎn)介

機場(chǎng)作為一個(gè)涉及多方作業(yè)人員的龐大復雜基礎服務(wù)設施，擁有航站樓、空側、路側等多方面復雜業(yè)務(wù)場(chǎng)景。本項目安全設計面向機場(chǎng)航站樓的生產(chǎn)網(wǎng)，其擁有自助值機、自助安檢、自助行李托運等多種應用場(chǎng)景，各種自助服務(wù)為旅客的值機、行李、安檢、登機等環(huán)節提供便捷服務(wù)。

該項目在安全建設過(guò)程中嚴格遵守《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》《工業(yè)控制系統網(wǎng)絡(luò )安全防護指南》《MH/T3035-2023民用航空生產(chǎn)運行工業(yè)控制系統網(wǎng)絡(luò )安全防護技術(shù)要求》等國家及行業(yè)相關(guān)政策標準要求，應用邊界防護、主機防護、入侵檢測、安全審計、安全管理等多種技術(shù)手段，實(shí)現機場(chǎng)生產(chǎn)網(wǎng)絡(luò )區域邊界安全隔離、工業(yè)主機安全管控、外部入侵防范、日志關(guān)聯(lián)分析、安全設備集中化管理及策略聯(lián)動(dòng)等多維度安全能力，并以此為基礎構建面向“智慧機場(chǎng)”生產(chǎn)網(wǎng)的綜合網(wǎng)絡(luò )安全防御體系，強化生產(chǎn)網(wǎng)網(wǎng)絡(luò )安全監測及預警能力。

1.3　項目目標

民航行業(yè)作為高度國際化、信息化的技術(shù)密集型行業(yè)，其在生產(chǎn)運行過(guò)程中高度依賴(lài)網(wǎng)絡(luò )信息系統。但是，在當前復雜嚴峻的網(wǎng)絡(luò )安全形勢下，民航行業(yè)遭受到的網(wǎng)絡(luò )攻擊處于高發(fā)態(tài)勢，網(wǎng)絡(luò )病毒、篡改、攻擊等事件層出不窮，對民航業(yè)務(wù)安全運營(yíng)帶來(lái)極大風(fēng)險。通過(guò)對該“智慧機場(chǎng)”生產(chǎn)網(wǎng)業(yè)務(wù)流程進(jìn)行梳理與摸底，了解到其存在網(wǎng)絡(luò )邊界模糊、外來(lái)入侵攻擊、漏洞攻擊、運維過(guò)程不規范、工業(yè)主機接口濫用等安全威脅。

針對該“智慧機場(chǎng)”生產(chǎn)網(wǎng)面臨的安全風(fēng)險及安全建設的不足，本項目遵循以“白名單為主，黑名單為輔”的黑白結合方式，并加以深度分析的技術(shù)手段，重點(diǎn)從風(fēng)險識別、安全防御、安全檢測、安全響應、安全恢復等方面完善“智慧機場(chǎng)”綜合網(wǎng)絡(luò )安全防御體系，形成全方位、細粒度、多層次、動(dòng)態(tài)閉環(huán)的深度防護能力，有效抵御生產(chǎn)網(wǎng)面臨的攻擊威脅，降低安全事件的發(fā)生?；贗PDRR安全框架的“智慧機場(chǎng)”綜合網(wǎng)絡(luò )安全防御體系如圖1所示。

圖1 基于IPDRR安全框架的“智慧機場(chǎng)”綜合網(wǎng)絡(luò )安全防御體系

2　項目實(shí)施

2.1　應用場(chǎng)景分析

“智慧機場(chǎng)”網(wǎng)絡(luò )布局復雜，業(yè)務(wù)系統多，網(wǎng)絡(luò )中心從總體上可以分為終端接入網(wǎng)、骨干傳輸網(wǎng)及數據中心網(wǎng)。終端接入網(wǎng)主要由離崗網(wǎng)、動(dòng)力能源網(wǎng)、安防網(wǎng)、生產(chǎn)網(wǎng)、綜合業(yè)務(wù)網(wǎng)及對外服務(wù)網(wǎng)等網(wǎng)絡(luò )組成，這些網(wǎng)絡(luò )通過(guò)各自業(yè)務(wù)網(wǎng)絡(luò )核心設備匯接到骨干傳輸網(wǎng)，形成全網(wǎng)的互聯(lián)互通。各子網(wǎng)的業(yè)務(wù)服務(wù)器區均統一部署在數據中心網(wǎng)，通過(guò)骨干網(wǎng)絡(luò )連接各自業(yè)務(wù)子網(wǎng)的交換機。其中機場(chǎng)生產(chǎn)網(wǎng)主要承載的業(yè)務(wù)有行李信息系統、安檢信息系統、自助值機系統、自助行李系統等，各子系統通過(guò)交換機設備連接至骨干傳輸網(wǎng)，通過(guò)骨干網(wǎng)與部署在數據中心網(wǎng)的業(yè)務(wù)服務(wù)器實(shí)現數據交互。機場(chǎng)業(yè)務(wù)架構圖如圖2所示。

圖2 機場(chǎng)業(yè)務(wù)架構圖

2.2　技術(shù)方案

（1）機場(chǎng)生產(chǎn)網(wǎng)、動(dòng)力能源網(wǎng)、綜合業(yè)務(wù)網(wǎng)等不同區域邊界安全隔離與訪(fǎng)問(wèn)控制

在機場(chǎng)生產(chǎn)網(wǎng)、動(dòng)力能源網(wǎng)、綜合業(yè)務(wù)網(wǎng)、離港網(wǎng)、工控服務(wù)器區、調度中心各區域邊界應用技術(shù)隔離手段，通過(guò)基于工業(yè)協(xié)議的深度識別，對不同區域之間的網(wǎng)絡(luò )通信行為進(jìn)行細粒度管控，限制區域間訪(fǎng)問(wèn)控制，保證對進(jìn)出各區域的流量進(jìn)行有效管控，阻止非法流量惡意訪(fǎng)問(wèn)并進(jìn)行報警。在安防網(wǎng)區域邊界部署物聯(lián)網(wǎng)安全網(wǎng)關(guān)，對各終端設備的通信協(xié)議制定黑白名單業(yè)務(wù)規則，對資產(chǎn)、通信協(xié)議進(jìn)行識別和控制。在對外網(wǎng)區域邊界應用防火墻，配置訪(fǎng)問(wèn)控制策略，對非法訪(fǎng)問(wèn)進(jìn)行控制。

（2）機場(chǎng)生產(chǎn)網(wǎng)入侵檢測與惡意程序識別能力設計

在骨干網(wǎng)核心交換機處應用入侵檢測手段，對網(wǎng)絡(luò )中的數據流量進(jìn)行深度檢測、實(shí)時(shí)分析，并對網(wǎng)絡(luò )中的攻擊行為進(jìn)行監測，動(dòng)態(tài)地發(fā)現網(wǎng)絡(luò )攻擊行為，進(jìn)行報警，同時(shí)可與工業(yè)防火墻聯(lián)動(dòng)進(jìn)行阻斷。

（3）工控主機病毒防范能力設計

在操作員站及服務(wù)器上應用基于“白名單”的工業(yè)防護產(chǎn)品，通過(guò)白名單防護、外設管理、基線(xiàn)加固等措施，提升工業(yè)主機安全防護能力。同時(shí)支持安全策略統一下發(fā)，提升運維管理能力。安全建設部署如圖3所示。

圖3 安全建設部署圖

（4）機場(chǎng)生產(chǎn)網(wǎng)脆弱性識別與檢測能力設計

采用工業(yè)漏洞掃描、安全基線(xiàn)核查滲透測試等方式，全方位、高效地檢測機場(chǎng)生產(chǎn)網(wǎng)絡(luò )中的各類(lèi)脆弱性風(fēng)險以及配置合規情況，為企業(yè)進(jìn)行網(wǎng)絡(luò )安全加固建設提供依據。

（5）機場(chǎng)生產(chǎn)網(wǎng)日志信息收集與分析能力設計

采用日志收集與分析系統，對機場(chǎng)生產(chǎn)網(wǎng)網(wǎng)絡(luò )設備運行狀況、網(wǎng)絡(luò )流量、用戶(hù)行為等日志信息進(jìn)行收集匯總并關(guān)聯(lián)性分析，方便機場(chǎng)管理人員了解生產(chǎn)網(wǎng)安全狀況。

（6）機場(chǎng)生產(chǎn)網(wǎng)運維人員操作過(guò)程監管設計

采用運維審計手段，實(shí)現對用戶(hù)、角色資源和行為的集中授權、賬號集中管理、身份認證，以達到對權限的細粒度控制，最大限度保護用戶(hù)資源安全。

（7）機場(chǎng)生產(chǎn)網(wǎng)安全設備、安全策略集中管控能力設計

為滿(mǎn)足機場(chǎng)管理人員對安全防護設備進(jìn)行集中管控的要求，在運維管理區部署工業(yè)安全集中管理平臺，通過(guò)管理平臺對安全設備配置統一的安全策略，對全網(wǎng)的安全設備狀態(tài)進(jìn)行統一監控，對安全日志進(jìn)行統計分析，實(shí)現全網(wǎng)安全狀態(tài)快速預警。

（8）機場(chǎng)生產(chǎn)網(wǎng)網(wǎng)絡(luò )安全態(tài)勢監測與運營(yíng)設計

應用工業(yè)互聯(lián)網(wǎng)態(tài)勢感知技術(shù)，依據安全基礎能力的建設，形成安全策略聯(lián)動(dòng)、動(dòng)態(tài)感知的安全分析能力，實(shí)現對全網(wǎng)業(yè)務(wù)態(tài)勢監測預警及安全事件快速處置，通過(guò)事件監測、威脅預警、攻擊溯源等多種手段相結合的方式提升“智慧機場(chǎng)”生產(chǎn)網(wǎng)絡(luò )的安全運營(yíng)水平。

2.3　安全應用模式

（1）運營(yíng)模式

從防御的角度考慮，通過(guò)部署覆蓋網(wǎng)絡(luò )、主機、應用等多個(gè)層面的安全產(chǎn)品，構建一個(gè)涵蓋感知、分析、防護的閉環(huán)保障機制，通過(guò)工業(yè)安全集中管理平臺進(jìn)行整體聯(lián)動(dòng)與策略下發(fā)。

（2）服務(wù)模式

本應用案例面向并貫穿于整個(gè)機場(chǎng)生產(chǎn)網(wǎng)，為其構建綜合安全防護體系，從主機安全、邊界安全、網(wǎng)絡(luò )安全等多維度展開(kāi)安全能力建設，服務(wù)模式包括綜合安全防護體系建設服務(wù)和安全運維服務(wù)。

2.4　實(shí)際應用效果

本項目方案設計貼合實(shí)際業(yè)務(wù)場(chǎng)景，從設備安全、控制安全、網(wǎng)絡(luò )安全、應用安全等角度出發(fā)，構建“智慧機場(chǎng)”關(guān)鍵基礎設施的網(wǎng)絡(luò )安全縱深防御體系。本項目建設完成后，全面提升了“智慧機場(chǎng)”生產(chǎn)網(wǎng)絡(luò )整體安全性，確保了設備、系統、網(wǎng)絡(luò )的穩定性、可靠性以及業(yè)務(wù)的正常運行。

（1）增強威脅發(fā)現能力，降低安全事件發(fā)生概率

通過(guò)本項目建設，可以及時(shí)發(fā)現網(wǎng)絡(luò )中存在的威脅并進(jìn)行報警，可以快速消除安全風(fēng)險隱患，可以降低網(wǎng)絡(luò )攻擊事件發(fā)生的概率，同時(shí)可提高“智慧機場(chǎng)”生產(chǎn)網(wǎng)絡(luò )應對突發(fā)安全事件的能力，避免造成更大的經(jīng)濟損失。

（2）動(dòng)態(tài)進(jìn)行安全防御，提升安全事件響應速度

通過(guò)聯(lián)動(dòng)網(wǎng)內各類(lèi)安全設備，可以對發(fā)現的安全問(wèn)題快速定位，并可制定有效的安全防御手段。利用系統的安全策略集中管理能力，可以動(dòng)態(tài)調整設備安全策略、快速封堵安全漏洞、及時(shí)處置安全事件，最大程度地降低事件影響范圍。

（3）提升安全運維效率，助力企業(yè)降本增效

本項目可以幫助機場(chǎng)全面掌握安全運行數據和安全情報、全局洞悉“智慧機場(chǎng)”生產(chǎn)網(wǎng)絡(luò )安全態(tài)勢，并結合安全資源，及時(shí)發(fā)現可能面臨的安全威脅和風(fēng)險，并可對安全事件及時(shí)追蹤溯源，提升了安全運維效率，減少了安全運維人員工作量，降低了企業(yè)人力資源投入。

3　案例亮點(diǎn)及創(chuàng )新性

3.1　推廣價(jià)值

本項目的落實(shí)，保障了“智慧機場(chǎng)”生產(chǎn)網(wǎng)絡(luò )安全、穩定、優(yōu)質(zhì)運行，提升了企業(yè)社會(huì )效益和經(jīng)濟效益，在“智慧機場(chǎng)”行業(yè)形成了良好的示范效應，為“智慧機場(chǎng)”生產(chǎn)網(wǎng)絡(luò )安全建設提供了指引以及指導，并可借助此項目的建設經(jīng)驗以及安全技術(shù)手段，在同行業(yè)進(jìn)行推廣復制應用。

3.2　商業(yè)價(jià)值和社會(huì )價(jià)值

（1）符合國家重大發(fā)展戰略要求

該項目的落地應用，可有效促進(jìn)“智慧機場(chǎng)”生產(chǎn)網(wǎng)絡(luò )安全現狀提升，為“智慧機場(chǎng)”生產(chǎn)網(wǎng)絡(luò )安全防護體系建設樹(shù)立標桿；同時(shí)可營(yíng)造良好的產(chǎn)業(yè)發(fā)展生態(tài)，保障國民經(jīng)濟生產(chǎn)及國家建設，為我國深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”國家重大發(fā)展戰略的順利推進(jìn)起到積極作用。

（2）為“智慧機場(chǎng)”生產(chǎn)網(wǎng)絡(luò )安全運維提供全面支持

本項目的建設實(shí)施，將安全檢測、安全防御、安全恢復等技術(shù)在“智慧機場(chǎng)”生產(chǎn)網(wǎng)絡(luò )安全防護建設中廣泛應用，為“智慧機場(chǎng)”生產(chǎn)網(wǎng)絡(luò )的安全、持續、不間斷運行提供了有力的支撐保障，同時(shí)可更好地服務(wù)于社會(huì )公眾。

3.3　亮點(diǎn)與創(chuàng )新性

（1）基于數據變化率監測技術(shù)

通過(guò)對機場(chǎng)生產(chǎn)網(wǎng)絡(luò )中流量的數據報文進(jìn)行完整性還原，識別報文中的控制指令，依據業(yè)務(wù)的通信行為與指令進(jìn)行關(guān)聯(lián)分析，并建立業(yè)務(wù)的控制行為基線(xiàn)，通過(guò)行為基線(xiàn)構建深度分析體系，同時(shí)與態(tài)勢感知安全信息進(jìn)行匹配分析，識別異?？刂菩袨?。

（2）建立動(dòng)態(tài)安全模型，構建動(dòng)態(tài)、閉環(huán)安全防御體系

該項目建設方案創(chuàng )新性地將動(dòng)態(tài)持續性安全防護理念引入其中，以IPDRR動(dòng)態(tài)安全模型為參照，結合機場(chǎng)生產(chǎn)網(wǎng)絡(luò )分層結構及網(wǎng)絡(luò )特性，在系統各層級內部及邊界構建風(fēng)險識別、安全防御、安全檢測、安全響應及安全恢復的動(dòng)態(tài)、閉環(huán)安全防御體系，全面提升安全運營(yíng)能力。

（3）通過(guò)安全策略聯(lián)動(dòng)，實(shí)現安全事件快速處置

通過(guò)收集并分析機場(chǎng)生產(chǎn)網(wǎng)絡(luò )的資產(chǎn)、流量、日志、設備運行狀態(tài)等相關(guān)安全數據，建立“智慧機場(chǎng)”生產(chǎn)網(wǎng)絡(luò )安全態(tài)勢模型，借助大數據分析技術(shù)，進(jìn)行安全態(tài)勢全方位分析、監測與預警。同時(shí)通過(guò)安全策略聯(lián)動(dòng)，為安全事件快速處置提供決策支撐。

作者簡(jiǎn)介

馬　霄（1988-），男，河北人，學(xué)士，現就職于北京天融信網(wǎng)絡(luò )安全技術(shù)有限公司，主要從事工業(yè)控制安全、工業(yè)互聯(lián)網(wǎng)安全、云安全、大數據、物聯(lián)網(wǎng)安全方面的研究。

董保開(kāi)（1992-），男，河北辛集人，現就職于北京天融信網(wǎng)絡(luò )安全技術(shù)有限公司，主要從事工業(yè)信息安全、數據安全方面的研究。

宋　銳（1990-），男，吉林吉林人，現就職于北京天融信網(wǎng)絡(luò )安全技術(shù)有限公司，主要從事工業(yè)信息安全、數據安全方面的研究。

白彥茹（1983-），河北人，中級工程師，學(xué)士，現就職于北京天融信網(wǎng)絡(luò )安全技術(shù)有限公司，主要從事為工業(yè)控制系統安全、工業(yè)互聯(lián)網(wǎng)安全方面的研究。

田曉揚（1994-），河北人，本科，現就職于北京天融信網(wǎng)絡(luò )安全技術(shù)有限公司，主要研究方向為工業(yè)控制系統安全、工業(yè)互聯(lián)網(wǎng)安全。

摘自《自動(dòng)化博覽》2024年1月刊