“網(wǎng)絡安全是第一道防線，也是最后一道防線?！?

圖 成都雙流機場（來源于網(wǎng)絡）

作為客流量全球Top3的民航機場，成都雙流機場（簡稱雙流機場）并沒有將網(wǎng)絡安全局限于防病毒防黑客、防數(shù)據(jù)泄密等層面，而是將保障業(yè)務平穩(wěn)運行作為了安全建設的重要使命。

成都雙流機場是中國中西部地區(qū)最大的國際機場，其客流量一直保持著高速增長。不久前，2020年全球民航機場客流量Top10名單出爐，雙流國際機場以4071.2萬人次躋身全球第三。航旅縱橫大數(shù)據(jù)則顯示，2021年春節(jié)期間，雙流機場的國內(nèi)旅客吞吐量排名第一，成為全國最繁忙的機場。

承載如此大的旅客吞吐量，并保持業(yè)務連續(xù)不中斷，不出現(xiàn)重大安全事件，要歸功于雙流機場強大的信息化系統(tǒng)，以及匹配的網(wǎng)絡安全保障。從2016年開始，雙流機場就和國內(nèi)網(wǎng)絡安全龍頭企業(yè)奇安信達成了合作，并在5年的歷程中不斷進階，完成了從架構安全到被動防御，再到積極防御的躍遷。

IT環(huán)境越復雜 安全挑戰(zhàn)越嚴峻

習近平總書記曾指出，安全是民航業(yè)的生命線，“要堅持安全底線,對安全隱患零容忍”。不過，作為最現(xiàn)代化的交通運輸方式，民航經(jīng)常成為網(wǎng)絡攻擊重要目標。

2018年9月，英國機場航空顯示系統(tǒng)遭勒索軟件干擾；

2019年9月，泰國獅航數(shù)千萬條旅客記錄泄露，在地下論壇上曝光和交換；

2020年5月，英國易捷航空遭遇網(wǎng)絡攻擊造成900萬客戶數(shù)據(jù)泄露……

近年來全球范圍針對民航系統(tǒng)的網(wǎng)絡攻擊屢見不鮮，頻頻造成巨大損失。

“民航行業(yè)的IT環(huán)境非常復雜，業(yè)務系統(tǒng)繁多，資產(chǎn)類型冗雜，各個單位之間，如機場與航司、機場與空管等橫向連接千絲萬縷，做好安全防護的難度很高。如果只是從單一的維度去做防護或者檢測，很難面面俱到，無法全面解決網(wǎng)絡安全各種問題；而網(wǎng)絡安全的木桶效應又很明顯，如果一個點沒有做好，就可能被全面攻破?！?b>雙流機場網(wǎng)絡安全項目負責人歸納了三點挑戰(zhàn)。

• 首先是復雜網(wǎng)絡帶來的挑戰(zhàn)。雙流機場目前共有信息網(wǎng)、安防網(wǎng)、綜合業(yè)務網(wǎng)等8大生產(chǎn)專網(wǎng)，以及辦公區(qū)網(wǎng)絡、貴賓專網(wǎng)等，各類PC終端和物理服務器數(shù)千臺，這給安全運維和安全風險分析等工作帶來很大挑戰(zhàn)。
  
• 其次是部門繁雜、終端多樣帶來的病毒入侵挑戰(zhàn)。雙流機場部門眾多，終端類型復雜，過去防病毒措施和U盤管控機制不嚴格，終端中了病毒很難定位問題源頭，只能治標不治本，導致總是反復感染病毒。
  
• 最后是對安全事件缺乏溯源分析的手段。在幾年前，雙流機場在接收到監(jiān)管單位的安全事件通報時，尤其是出口IP有連接惡意域名的訪問請求時，往往沒有手段可以分析定位問題終端；以前在發(fā)生了安全事件時，也無法進行分析溯源，不知道為什么被攻擊，這也導致防御非常被動。

先后部署網(wǎng)站和終端防護 安全從加固底板開始

面對繁雜如麻的安全挑戰(zhàn)，雙流機場沒有“眉毛胡子一把抓”、追求一步到位，而是遵循分布實施、循序漸進的原則。

2015年，美國系統(tǒng)網(wǎng)絡安全協(xié)會（SANS）首次提出了網(wǎng)絡安全滑動標尺模型（The Sliding Scale of Cyber Security），它將企業(yè)在應對外部攻擊時分為五個信息安全能力階段，分別是基礎架構、被動防御、積極防御、威脅情報以及進攻反制。該模型給雙流機場提供了清晰的建設路徑。

圖 網(wǎng)絡安全滑動標尺模型

根據(jù)滑動標尺模型，安全建設從滑動標尺模型從左到右，是一種明確的演進關系，而最早雙流機場和奇安信的合作，就始于一次官網(wǎng)安全防護項目。

2016年9月，雙流機場的官方網(wǎng)站，突然遭到了異常攻擊?？蛻羰紫纫庾R到，需要借助專業(yè)的安全廠商，增強網(wǎng)站安全能力。這也是雙流機場第一次接觸奇安信。

圖 雙流機場信息系統(tǒng)安全建設總體設計

基于雙方在安全方面有眾多共同的理解和認知，通過交流、招投標等一系列的項目環(huán)節(jié)，最后由奇安信提供網(wǎng)站安全防護方案。在該項目中，雙流機場部署了奇安信網(wǎng)站云監(jiān)測、云防護系統(tǒng)（安域）、網(wǎng)頁防篡改等產(chǎn)品，持續(xù)使用到現(xiàn)在。

在使用過程中，雙流機場對奇安信的產(chǎn)品性能、技術能力和專業(yè)服務等有了更深刻的了解，不久后雙方又達成終端防病毒的合作。在該項目中，通過部署天擎終端一體化安全管理系統(tǒng)，奇安信為雙流機場構建了集中統(tǒng)一的防病毒體系，實現(xiàn)了新型病毒查殺能力。

同時還集成補丁管理、終端運維管控、移動存儲介質(zhì)管理、終端準入控制、企業(yè)軟件管家等多種終端安全管理功能，進而提供良好的終端安全運維管理能力，改變了相互割裂、各自為陣的局面。

從網(wǎng)站安全到終端防病毒等項目建設，雙流機場在基礎架構防護和被動防御方面的安全能力已顯著增強。但隨著2017年6月1日《網(wǎng)絡安全法》的正式實施，雙流機場開啟了強化態(tài)勢感知能力、實現(xiàn)積極防御的網(wǎng)絡安全升級。

踐行態(tài)勢感知與安全運營 強化積極防御能力

據(jù)相關負責人回憶，根據(jù)《網(wǎng)絡安全法》要求，系統(tǒng)日志至少要保存6個月以上，這個給雙流機場當時的IT部署帶來了一定的挑戰(zhàn)。

當時，雙流機場網(wǎng)絡安全團隊比較了日志服務器及 “態(tài)勢感知與安全運營平臺”等幾種方案，最終發(fā)現(xiàn)，后者無論從綜合建設成本、合規(guī)性、日志審計存儲、溯源分析等方面，都顯著優(yōu)于日志服務器方案。

因此，雙流機場選擇了多家主流安全廠商來調(diào)研和比較，其中只有奇安信提供了基于全流量的數(shù)據(jù)存儲和事后人工分析，可基于流量進行人工溯源。同時奇安信的威脅情報能力在業(yè)內(nèi)首屈一指，能為態(tài)勢感知提供很好的支撐，加上產(chǎn)品強大的多源數(shù)據(jù)關聯(lián)分析能力，最終雙流機場確定了奇安信提供的“態(tài)勢感知與安全運營平臺”（NGSOC）解決方案。

圖 態(tài)勢感知與安全運營平臺（NGSOC）組成

相較于傳統(tǒng)被動防御等安全產(chǎn)品，NGSOC可以全面收集網(wǎng)絡中的所有設備日志，進行統(tǒng)一的存儲、分析、可視化展示，從而為制定安全策略、問題排查、了解全網(wǎng)安全狀態(tài)提供支撐。

它不僅可替代傳統(tǒng)的日志審計類和入侵檢測產(chǎn)品，還能解決傳統(tǒng)的日志審計類產(chǎn)品性能不足、采集能力有限的問題，并避免傳統(tǒng)IDS產(chǎn)品大量誤報的問題。

圖 雙流機場內(nèi)網(wǎng)威脅態(tài)勢

在使用過程中，雙流機場對NGSOC在資產(chǎn)管理（CMDB）方面的卓越表現(xiàn)印象深刻。據(jù)介紹，與很多基于產(chǎn)品視角所不同的是，NGSOC可以更基于運營者的視角，通過結合資產(chǎn)價值、脆弱性信息、威脅信息，對全網(wǎng)資產(chǎn)進行風險評估，量化風險指標，幫助用戶更好了解和掌控安全風險，為用戶提供有力的決策支撐。

得益于NGSOC的穩(wěn)定表現(xiàn)，雙流機場進行了數(shù)次升級和擴容，大幅提升檢測和響應能力，為打造積極防御、構建完善的安全運營閉環(huán)奠定了堅實基礎。

安全建設“三同步”  將“事后補救”轉(zhuǎn)為“事前防控”

從部署網(wǎng)站安全防護，到終端一體化安全管理，再到民航行業(yè)踐行網(wǎng)絡安全態(tài)勢感知與安全運營方案的引領者，雙流機場在信息化和網(wǎng)絡安全建設中，越來越深刻意識到，網(wǎng)絡安全正在前所未有的緊密嵌入到業(yè)務流程之中，安全風險等同于業(yè)務風險，安全建設也亟待從“事后補救”思維轉(zhuǎn)向“事前防控”的過程。

2020年，奇安信向業(yè)界發(fā)布了內(nèi)生安全框架，董事長齊向東表示，“在未來的數(shù)字經(jīng)濟時代，網(wǎng)絡攻擊帶來的后果往往不可承受，整個行業(yè)需用內(nèi)生安全框架，建立完善的、‘事前防控’的網(wǎng)絡安全協(xié)同聯(lián)動防御體系，推動網(wǎng)絡安全產(chǎn)業(yè)更上一層樓。”

“安全公司需要具備更強的頂層設計和咨詢規(guī)劃能力，能夠立足甲方視角、信息化視角，將網(wǎng)絡安全和數(shù)字化做到‘三同步’：同步規(guī)劃、同步建設、同步運行，才能給業(yè)務穩(wěn)定運行提供保障?！?雙流機場網(wǎng)絡安全相關負責人也持類似觀點。

“民航安全無小事”，網(wǎng)絡攻防是一場永無終場的戰(zhàn)爭。作為國內(nèi)客流量最繁忙、信息化水平極高、業(yè)務環(huán)境非常復雜的雙流機場，其網(wǎng)絡安全建設方面的進階和探索，對同行無疑具備很好的借鑒意義。