“网络安全是第一道防线,也是最后一道防线。”
作为客流量全球Top3的民航机场,成都双流机场(简称双流机场)并没有将网络安全局限于防病毒防黑客、防数据泄密等层面,而是将保障业务平稳运行作为了安全建设的重要使命。
成都双流机场是中国中西部地区最大的国际机场,其客流量一直保持着高速增长。不久前,2020年全球民航机场客流量TOP10名单出炉,双流国际机场以4071.2万人次跻身全球第三。航旅纵横大数据则显示,2021年春节期间,双流机场的国内旅客吞吐量排名第一,成为全国最繁忙的机场。
图:成都双流机场(来源于网络)
承载如此大的旅客吞吐量,并保持业务连续不中断,不出现重大安全事件,要归功于双流机场强大的信息化系统,以及匹配的网络安全保障。从2016年开始,双流机场就和国内网络安全龙头企业奇安信达成了合作,并在5年的历程中不断进阶,完成了从架构安全到被动防御,再到积极防御的跃迁。
IT环境越复杂 安全挑战越严峻
习近平总书记曾指出,安全是民航业的生命线,“要坚持安全底线,对安全隐患零容忍”。不过,作为最现代化的交通运输方式,民航经常成为网络攻击重要目标。
2018年9月,英国机场航空显示系统遭勒索软件干扰;2019年9月,泰国狮航数千万条旅客记录泄露,在地下论坛上曝光和交换;2020年5月,英国易捷航空遭遇网络攻击造成900万客户数据泄露……近年来全球范围针对民航系统的网络攻击屡见不鲜,频频造成巨大损失。
“民航行业的IT环境非常复杂,业务系统繁多,资产类型冗杂,各个单位之间,如机场与航司、机场与空管等横向连接千丝万缕,做好安全防护的难度很高。如果只是从单一的维度去做防护或者检测,很难面面俱到,无法全面解决网络安全各种问题;而网络安全的木桶效应又很明显,如果一个点没有做好,就可能被全面攻破。”双流机场网络安全项目负责人归纳了三点挑战。
首先是复杂网络带来的挑战。双流机场目前共有信息网、安防网、综合业务网等8大生产专网,以及办公区网络、贵宾专网等,各类PC终端和物理服务器数千台,这给安全运维和安全风险分析等工作带来很大挑战。
其次是部门繁杂、终端多样带来的病毒入侵挑战。双流机场部门众多,终端类型复杂,过去防病毒措施和U盘管控机制不严格,终端中了病毒很难定位问题源头,只能治标不治本,导致总是反复感染病毒。
最后是对安全事件缺乏溯源分析的手段。在几年前,双流机场在接收到监管单位的安全事件通报时,尤其是出口IP有连接恶意域名的访问请求时,往往没有手段可以分析定位问题终端;以前在发生了安全事件时,也无法进行分析溯源,不知道为什么被攻击,这也导致防御非常被动。
先后部署网站和终端防护 安全从加固底板开始
面对繁杂如麻的安全挑战,双流机场没有“眉毛胡子一把抓”、追求一步到位,而是遵循分布实施、循序渐进的原则。
2015年,美国系统网络安全协会(SANS)首次提出了网络安全滑动标尺模型(The Sliding Scale of Cyber Security),它将企业在应对外部攻击时分为五个信息安全能力阶段,分别是基础架构、被动防御、积极防御、威胁情报以及进攻反制。该模型给双流机场提供了清晰的建设路径。
图:网络安全滑动标尺模型
根据滑动标尺模型,安全建设从滑动标尺模型从左到右,是一种明确的演进关系,而最早双流机场和奇安信的合作,就始于一次官网安全防护项目。
2016年9月,双流机场的官方网站,突然遭到了异常攻击。客户首先意识到,需要借助专业的安全厂商,增强网站安全能力。这也是双流机场第一次接触奇安信。
图:双流机场信息系统安全建设总体设计
基于双方在安全方面有众多共同的理解和认知,通过交流、招投标等一系列的项目环节,最后由奇安信提供网站安全防护方案。在该项目中,双流机场部署了奇安信网站云监测、云防护系统(安域)、网页防篡改等产品,持续使用到现在。
在使用过程中,双流机场对奇安信的产品性能、技术能力和专业服务等有了更深刻的了解,不久后双方又达成终端防病毒的合作。在该项目中,通过部署天擎终端一体化安全管理系统,奇安信为双流机场构建了集中统一的防病毒体系,实现了新型病毒查杀能力。同时还集成补丁管理、终端运维管控、移动存储介质管理、终端准入控制、企业软件管家等多种终端安全管理功能,进而提供良好的终端安全运维管理能力,改变了相互割裂、各自为阵的局面。
从网站安全到终端防病毒等项目建设,双流机场在基础架构防护和被动防御方面的安全能力已显著增强。但随着2017年6月1日《网络安全法》的正式实施,#FormatImgID_3##FormatImgID_4#双流机场开启了强化态势感知能力、实现积极防御的网络安全升级。
践行态势感知与安全运营 强化积极防御能力
据相关负责人回忆,根据《网络安全法》要求,系统日志至少要保存6个月以上,这个给双流机场当时的IT部署带来了一定的挑战。
当时,双流机场网络安全团队比较了日志服务器及 “态势感知与安全运营平台”等几种方案,最终发现,后者无论从综合建设成本、合规性、日志审计存储、溯源分析等方面,都显著优于日志服务器方案。
因此,双流机场选择了多家主流安全厂商来调研和比较,其中只有奇安信提供了基于全流量的数据存储和事后人工分析,可基于流量进行人工溯源。同时奇安信的威胁情报能力在业内首屈一指,能为态势感知提供很好的支撑,加上产品强大的多源数据关联分析能力,最终双流机场确定了奇安信提供的“态势感知与安全运营平台”(NGSOC)解决方案。
图:态势感知与安全运营平台(NGSOC)组成
相较于传统被动防御等安全产品,NGSOC可以全面收集网络中的所有设备日志,进行统一的存储、分析、可视化展示,从而为制定安全策略、问题排查、了解全网安全状态提供支撑。它不仅可替代传统的日志审计类和入侵检测产品,还能解决传统的日志审计类产品性能不足、采集能力有限的问题,并避免传统IDS产品大量误报的问题。
图:双流机场内网威胁态势
在使用过程中,双流机场对NGSOC在资产管理(CMDB)方面的卓越表现印象深刻。据介绍,与很多基于产品视角所不同的是,NGSOC可以更基于运营者的视角,通过结合资产价值、脆弱性信息、威胁信息,对全网资产进行风险评估,量化风险指标,帮助用户更好了解和掌控安全风险,为用户提供有力的决策支撑。
得益于NGSOC的稳定表现,双流机场进行了数次升级和扩容,大幅提升检测和响应能力,为打造积极防御、构建完善的安全运营闭环奠定了坚实基础。
安全建设“三同步” 将“事后补救”转为“事前防控”
从部署网站安全防护,到终端一体化安全管理,再到民航行业践行网络安全态势感知与安全运营方案的引领者,双流机场在信息化和网络安全建设中,越来越深刻意识到,网络安全正在前所未有的紧密嵌入到业务流程之中,安全风险等同于业务风险,安全建设也亟待从“事后补救”思维转向“事前防控”的过程。
2020年,奇安信向业界发布了内生安全框架,董事长齐向东表示,“在未来的数字经济时代,网络攻击带来的后果往往不可承受,整个行业需用内生安全框架,建立完善的、‘事前防控’的网络安全协同联动防御体系,推动网络安全产业更上一层楼。”
“安全公司需要具备更强的顶层设计和咨询规划能力,能够立足甲方视角、信息化视角,将网络安全和数字化做到‘三同步’:同步规划、同步建设、同步运行,才能给业务稳定运行提供保障。” 双流机场网络安全相关负责人也持类似观点。
“民航安全无小事”,网络攻防是一场永无终场的战争。作为国内客流量最繁忙、信息化水平极高、业务环境非常复杂的双流机场,其网络安全建设方面的进阶和探索,对同行无疑具备很好的借鉴意义。