久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★馬霄，董保開，宋銳，白彥茹，田曉揚(yáng)北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司

關(guān)鍵詞：機(jī)場網(wǎng)絡(luò)安全；關(guān)鍵信息基礎(chǔ)設(shè)施；縱深防御

1　項目概況

1.1　項目背景

近年來，隨著民航行業(yè)快速發(fā)展，旅客吞吐量和貨運(yùn)吞吐量快速增長，我國民航業(yè)的機(jī)場建設(shè)規(guī)模逐年擴(kuò)大，每年均有機(jī)場新建、改擴(kuò)建項目開展建設(shè)或投入使用。同時在我國數(shù)字化轉(zhuǎn)型戰(zhàn)略推進(jìn)下，我國機(jī)場智慧化程度不斷升級，各大機(jī)場把“智慧機(jī)場”的建設(shè)作為推動民航信息化和智能化建設(shè)的重要舉措。然而，智慧機(jī)場在大規(guī)模應(yīng)用大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、云計算等新一代信息技術(shù)的同時，不可避免遭受到各類網(wǎng)絡(luò)安全威脅，惡意軟件肆虐、黑客攻擊、旅客信息泄露等都嚴(yán)重影響“智慧機(jī)場”信息系統(tǒng)的正常運(yùn)行及業(yè)務(wù)的順利開展。

此外，網(wǎng)絡(luò)安全作為民航安全的重要內(nèi)容和“智慧機(jī)場”建設(shè)的基礎(chǔ)保障，民航局多次在全國民航工作報告中指出，需完善民航網(wǎng)絡(luò)安全治理和綜合防控，加強(qiáng)行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)；另外《“十四五”民用航空發(fā)展規(guī)劃》中也明確提出，要提升網(wǎng)絡(luò)安全監(jiān)管能力，強(qiáng)化網(wǎng)絡(luò)信息系統(tǒng)安全保障能力等。

因此，在行業(yè)安全事件及國家法律法規(guī)的雙輪驅(qū)動下，提升“智慧機(jī)場”網(wǎng)絡(luò)安全保障能力，確保民航關(guān)鍵信息基礎(chǔ)設(shè)施、重要業(yè)務(wù)信息系統(tǒng)和關(guān)鍵數(shù)據(jù)資源安全，成為民航行業(yè)重點(diǎn)關(guān)注的焦點(diǎn)之一。

1.2　項目簡介

機(jī)場作為一個涉及多方作業(yè)人員的龐大復(fù)雜基礎(chǔ)服務(wù)設(shè)施，擁有航站樓、空側(cè)、路側(cè)等多方面復(fù)雜業(yè)務(wù)場景。本項目安全設(shè)計面向機(jī)場航站樓的生產(chǎn)網(wǎng)，其擁有自助值機(jī)、自助安檢、自助行李托運(yùn)等多種應(yīng)用場景，各種自助服務(wù)為旅客的值機(jī)、行李、安檢、登機(jī)等環(huán)節(jié)提供便捷服務(wù)。

該項目在安全建設(shè)過程中嚴(yán)格遵守《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》《MH/T3035-2023民用航空生產(chǎn)運(yùn)行工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)要求》等國家及行業(yè)相關(guān)政策標(biāo)準(zhǔn)要求，應(yīng)用邊界防護(hù)、主機(jī)防護(hù)、入侵檢測、安全審計、安全管理等多種技術(shù)手段，實(shí)現(xiàn)機(jī)場生產(chǎn)網(wǎng)絡(luò)區(qū)域邊界安全隔離、工業(yè)主機(jī)安全管控、外部入侵防范、日志關(guān)聯(lián)分析、安全設(shè)備集中化管理及策略聯(lián)動等多維度安全能力，并以此為基礎(chǔ)構(gòu)建面向“智慧機(jī)場”生產(chǎn)網(wǎng)的綜合網(wǎng)絡(luò)安全防御體系，強(qiáng)化生產(chǎn)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測及預(yù)警能力。

1.3　項目目標(biāo)

民航行業(yè)作為高度國際化、信息化的技術(shù)密集型行業(yè)，其在生產(chǎn)運(yùn)行過程中高度依賴網(wǎng)絡(luò)信息系統(tǒng)。但是，在當(dāng)前復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢下，民航行業(yè)遭受到的網(wǎng)絡(luò)攻擊處于高發(fā)態(tài)勢，網(wǎng)絡(luò)病毒、篡改、攻擊等事件層出不窮，對民航業(yè)務(wù)安全運(yùn)營帶來極大風(fēng)險。通過對該“智慧機(jī)場”生產(chǎn)網(wǎng)業(yè)務(wù)流程進(jìn)行梳理與摸底，了解到其存在網(wǎng)絡(luò)邊界模糊、外來入侵攻擊、漏洞攻擊、運(yùn)維過程不規(guī)范、工業(yè)主機(jī)接口濫用等安全威脅。

針對該“智慧機(jī)場”生產(chǎn)網(wǎng)面臨的安全風(fēng)險及安全建設(shè)的不足，本項目遵循以“白名單為主，黑名單為輔”的黑白結(jié)合方式，并加以深度分析的技術(shù)手段，重點(diǎn)從風(fēng)險識別、安全防御、安全檢測、安全響應(yīng)、安全恢復(fù)等方面完善“智慧機(jī)場”綜合網(wǎng)絡(luò)安全防御體系，形成全方位、細(xì)粒度、多層次、動態(tài)閉環(huán)的深度防護(hù)能力，有效抵御生產(chǎn)網(wǎng)面臨的攻擊威脅，降低安全事件的發(fā)生?；贗PDRR安全框架的“智慧機(jī)場”綜合網(wǎng)絡(luò)安全防御體系如圖1所示。

圖1 基于IPDRR安全框架的“智慧機(jī)場”綜合網(wǎng)絡(luò)安全防御體系

2　項目實(shí)施

2.1　應(yīng)用場景分析

“智慧機(jī)場”網(wǎng)絡(luò)布局復(fù)雜，業(yè)務(wù)系統(tǒng)多，網(wǎng)絡(luò)中心從總體上可以分為終端接入網(wǎng)、骨干傳輸網(wǎng)及數(shù)據(jù)中心網(wǎng)。終端接入網(wǎng)主要由離崗網(wǎng)、動力能源網(wǎng)、安防網(wǎng)、生產(chǎn)網(wǎng)、綜合業(yè)務(wù)網(wǎng)及對外服務(wù)網(wǎng)等網(wǎng)絡(luò)組成，這些網(wǎng)絡(luò)通過各自業(yè)務(wù)網(wǎng)絡(luò)核心設(shè)備匯接到骨干傳輸網(wǎng)，形成全網(wǎng)的互聯(lián)互通。各子網(wǎng)的業(yè)務(wù)服務(wù)器區(qū)均統(tǒng)一部署在數(shù)據(jù)中心網(wǎng)，通過骨干網(wǎng)絡(luò)連接各自業(yè)務(wù)子網(wǎng)的交換機(jī)。其中機(jī)場生產(chǎn)網(wǎng)主要承載的業(yè)務(wù)有行李信息系統(tǒng)、安檢信息系統(tǒng)、自助值機(jī)系統(tǒng)、自助行李系統(tǒng)等，各子系統(tǒng)通過交換機(jī)設(shè)備連接至骨干傳輸網(wǎng)，通過骨干網(wǎng)與部署在數(shù)據(jù)中心網(wǎng)的業(yè)務(wù)服務(wù)器實(shí)現(xiàn)數(shù)據(jù)交互。機(jī)場業(yè)務(wù)架構(gòu)圖如圖2所示。

圖2 機(jī)場業(yè)務(wù)架構(gòu)圖

2.2　技術(shù)方案

（1）機(jī)場生產(chǎn)網(wǎng)、動力能源網(wǎng)、綜合業(yè)務(wù)網(wǎng)等不同區(qū)域邊界安全隔離與訪問控制

在機(jī)場生產(chǎn)網(wǎng)、動力能源網(wǎng)、綜合業(yè)務(wù)網(wǎng)、離港網(wǎng)、工控服務(wù)器區(qū)、調(diào)度中心各區(qū)域邊界應(yīng)用技術(shù)隔離手段，通過基于工業(yè)協(xié)議的深度識別，對不同區(qū)域之間的網(wǎng)絡(luò)通信行為進(jìn)行細(xì)粒度管控，限制區(qū)域間訪問控制，保證對進(jìn)出各區(qū)域的流量進(jìn)行有效管控，阻止非法流量惡意訪問并進(jìn)行報警。在安防網(wǎng)區(qū)域邊界部署物聯(lián)網(wǎng)安全網(wǎng)關(guān)，對各終端設(shè)備的通信協(xié)議制定黑白名單業(yè)務(wù)規(guī)則，對資產(chǎn)、通信協(xié)議進(jìn)行識別和控制。在對外網(wǎng)區(qū)域邊界應(yīng)用防火墻，配置訪問控制策略，對非法訪問進(jìn)行控制。

（2）機(jī)場生產(chǎn)網(wǎng)入侵檢測與惡意程序識別能力設(shè)計

在骨干網(wǎng)核心交換機(jī)處應(yīng)用入侵檢測手段，對網(wǎng)絡(luò)中的數(shù)據(jù)流量進(jìn)行深度檢測、實(shí)時分析，并對網(wǎng)絡(luò)中的攻擊行為進(jìn)行監(jiān)測，動態(tài)地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為，進(jìn)行報警，同時可與工業(yè)防火墻聯(lián)動進(jìn)行阻斷。

（3）工控主機(jī)病毒防范能力設(shè)計

在操作員站及服務(wù)器上應(yīng)用基于“白名單”的工業(yè)防護(hù)產(chǎn)品，通過白名單防護(hù)、外設(shè)管理、基線加固等措施，提升工業(yè)主機(jī)安全防護(hù)能力。同時支持安全策略統(tǒng)一下發(fā)，提升運(yùn)維管理能力。安全建設(shè)部署如圖3所示。

圖3 安全建設(shè)部署圖

（4）機(jī)場生產(chǎn)網(wǎng)脆弱性識別與檢測能力設(shè)計

采用工業(yè)漏洞掃描、安全基線核查滲透測試等方式，全方位、高效地檢測機(jī)場生產(chǎn)網(wǎng)絡(luò)中的各類脆弱性風(fēng)險以及配置合規(guī)情況，為企業(yè)進(jìn)行網(wǎng)絡(luò)安全加固建設(shè)提供依據(jù)。

（5）機(jī)場生產(chǎn)網(wǎng)日志信息收集與分析能力設(shè)計

采用日志收集與分析系統(tǒng)，對機(jī)場生產(chǎn)網(wǎng)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等日志信息進(jìn)行收集匯總并關(guān)聯(lián)性分析，方便機(jī)場管理人員了解生產(chǎn)網(wǎng)安全狀況。

（6）機(jī)場生產(chǎn)網(wǎng)運(yùn)維人員操作過程監(jiān)管設(shè)計

采用運(yùn)維審計手段，實(shí)現(xiàn)對用戶、角色資源和行為的集中授權(quán)、賬號集中管理、身份認(rèn)證，以達(dá)到對權(quán)限的細(xì)粒度控制，最大限度保護(hù)用戶資源安全。

（7）機(jī)場生產(chǎn)網(wǎng)安全設(shè)備、安全策略集中管控能力設(shè)計

為滿足機(jī)場管理人員對安全防護(hù)設(shè)備進(jìn)行集中管控的要求，在運(yùn)維管理區(qū)部署工業(yè)安全集中管理平臺，通過管理平臺對安全設(shè)備配置統(tǒng)一的安全策略，對全網(wǎng)的安全設(shè)備狀態(tài)進(jìn)行統(tǒng)一監(jiān)控，對安全日志進(jìn)行統(tǒng)計分析，實(shí)現(xiàn)全網(wǎng)安全狀態(tài)快速預(yù)警。

（8）機(jī)場生產(chǎn)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢監(jiān)測與運(yùn)營設(shè)計

應(yīng)用工業(yè)互聯(lián)網(wǎng)態(tài)勢感知技術(shù)，依據(jù)安全基礎(chǔ)能力的建設(shè)，形成安全策略聯(lián)動、動態(tài)感知的安全分析能力，實(shí)現(xiàn)對全網(wǎng)業(yè)務(wù)態(tài)勢監(jiān)測預(yù)警及安全事件快速處置，通過事件監(jiān)測、威脅預(yù)警、攻擊溯源等多種手段相結(jié)合的方式提升“智慧機(jī)場”生產(chǎn)網(wǎng)絡(luò)的安全運(yùn)營水平。

2.3　安全應(yīng)用模式

（1）運(yùn)營模式

從防御的角度考慮，通過部署覆蓋網(wǎng)絡(luò)、主機(jī)、應(yīng)用等多個層面的安全產(chǎn)品，構(gòu)建一個涵蓋感知、分析、防護(hù)的閉環(huán)保障機(jī)制，通過工業(yè)安全集中管理平臺進(jìn)行整體聯(lián)動與策略下發(fā)。

（2）服務(wù)模式

本應(yīng)用案例面向并貫穿于整個機(jī)場生產(chǎn)網(wǎng)，為其構(gòu)建綜合安全防護(hù)體系，從主機(jī)安全、邊界安全、網(wǎng)絡(luò)安全等多維度展開安全能力建設(shè)，服務(wù)模式包括綜合安全防護(hù)體系建設(shè)服務(wù)和安全運(yùn)維服務(wù)。

2.4　實(shí)際應(yīng)用效果

本項目方案設(shè)計貼合實(shí)際業(yè)務(wù)場景，從設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全等角度出發(fā)，構(gòu)建“智慧機(jī)場”關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全縱深防御體系。本項目建設(shè)完成后，全面提升了“智慧機(jī)場”生產(chǎn)網(wǎng)絡(luò)整體安全性，確保了設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的穩(wěn)定性、可靠性以及業(yè)務(wù)的正常運(yùn)行。

（1）增強(qiáng)威脅發(fā)現(xiàn)能力，降低安全事件發(fā)生概率

通過本項目建設(shè)，可以及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的威脅并進(jìn)行報警，可以快速消除安全風(fēng)險隱患，可以降低網(wǎng)絡(luò)攻擊事件發(fā)生的概率，同時可提高“智慧機(jī)場”生產(chǎn)網(wǎng)絡(luò)應(yīng)對突發(fā)安全事件的能力，避免造成更大的經(jīng)濟(jì)損失。

（2）動態(tài)進(jìn)行安全防御，提升安全事件響應(yīng)速度

通過聯(lián)動網(wǎng)內(nèi)各類安全設(shè)備，可以對發(fā)現(xiàn)的安全問題快速定位，并可制定有效的安全防御手段。利用系統(tǒng)的安全策略集中管理能力，可以動態(tài)調(diào)整設(shè)備安全策略、快速封堵安全漏洞、及時處置安全事件，最大程度地降低事件影響范圍。

（3）提升安全運(yùn)維效率，助力企業(yè)降本增效

本項目可以幫助機(jī)場全面掌握安全運(yùn)行數(shù)據(jù)和安全情報、全局洞悉“智慧機(jī)場”生產(chǎn)網(wǎng)絡(luò)安全態(tài)勢，并結(jié)合安全資源，及時發(fā)現(xiàn)可能面臨的安全威脅和風(fēng)險，并可對安全事件及時追蹤溯源，提升了安全運(yùn)維效率，減少了安全運(yùn)維人員工作量，降低了企業(yè)人力資源投入。

3　案例亮點(diǎn)及創(chuàng)新性

3.1　推廣價值

本項目的落實(shí)，保障了“智慧機(jī)場”生產(chǎn)網(wǎng)絡(luò)安全、穩(wěn)定、優(yōu)質(zhì)運(yùn)行，提升了企業(yè)社會效益和經(jīng)濟(jì)效益，在“智慧機(jī)場”行業(yè)形成了良好的示范效應(yīng)，為“智慧機(jī)場”生產(chǎn)網(wǎng)絡(luò)安全建設(shè)提供了指引以及指導(dǎo)，并可借助此項目的建設(shè)經(jīng)驗以及安全技術(shù)手段，在同行業(yè)進(jìn)行推廣復(fù)制應(yīng)用。

3.2　商業(yè)價值和社會價值

（1）符合國家重大發(fā)展戰(zhàn)略要求

該項目的落地應(yīng)用，可有效促進(jìn)“智慧機(jī)場”生產(chǎn)網(wǎng)絡(luò)安全現(xiàn)狀提升，為“智慧機(jī)場”生產(chǎn)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)樹立標(biāo)桿；同時可營造良好的產(chǎn)業(yè)發(fā)展生態(tài)，保障國民經(jīng)濟(jì)生產(chǎn)及國家建設(shè)，為我國深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”國家重大發(fā)展戰(zhàn)略的順利推進(jìn)起到積極作用。

（2）為“智慧機(jī)場”生產(chǎn)網(wǎng)絡(luò)安全運(yùn)維提供全面支持

本項目的建設(shè)實(shí)施，將安全檢測、安全防御、安全恢復(fù)等技術(shù)在“智慧機(jī)場”生產(chǎn)網(wǎng)絡(luò)安全防護(hù)建設(shè)中廣泛應(yīng)用，為“智慧機(jī)場”生產(chǎn)網(wǎng)絡(luò)的安全、持續(xù)、不間斷運(yùn)行提供了有力的支撐保障，同時可更好地服務(wù)于社會公眾。

3.3　亮點(diǎn)與創(chuàng)新性

（1）基于數(shù)據(jù)變化率監(jiān)測技術(shù)

通過對機(jī)場生產(chǎn)網(wǎng)絡(luò)中流量的數(shù)據(jù)報文進(jìn)行完整性還原，識別報文中的控制指令，依據(jù)業(yè)務(wù)的通信行為與指令進(jìn)行關(guān)聯(lián)分析，并建立業(yè)務(wù)的控制行為基線，通過行為基線構(gòu)建深度分析體系，同時與態(tài)勢感知安全信息進(jìn)行匹配分析，識別異常控制行為。

（2）建立動態(tài)安全模型，構(gòu)建動態(tài)、閉環(huán)安全防御體系

該項目建設(shè)方案創(chuàng)新性地將動態(tài)持續(xù)性安全防護(hù)理念引入其中，以IPDRR動態(tài)安全模型為參照，結(jié)合機(jī)場生產(chǎn)網(wǎng)絡(luò)分層結(jié)構(gòu)及網(wǎng)絡(luò)特性，在系統(tǒng)各層級內(nèi)部及邊界構(gòu)建風(fēng)險識別、安全防御、安全檢測、安全響應(yīng)及安全恢復(fù)的動態(tài)、閉環(huán)安全防御體系，全面提升安全運(yùn)營能力。

（3）通過安全策略聯(lián)動，實(shí)現(xiàn)安全事件快速處置

通過收集并分析機(jī)場生產(chǎn)網(wǎng)絡(luò)的資產(chǎn)、流量、日志、設(shè)備運(yùn)行狀態(tài)等相關(guān)安全數(shù)據(jù)，建立“智慧機(jī)場”生產(chǎn)網(wǎng)絡(luò)安全態(tài)勢模型，借助大數(shù)據(jù)分析技術(shù)，進(jìn)行安全態(tài)勢全方位分析、監(jiān)測與預(yù)警。同時通過安全策略聯(lián)動，為安全事件快速處置提供決策支撐。

作者簡介

馬　霄（1988-），男，河北人，學(xué)士，現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司，主要從事工業(yè)控制安全、工業(yè)互聯(lián)網(wǎng)安全、云安全、大數(shù)據(jù)、物聯(lián)網(wǎng)安全方面的研究。

董保開（1992-），男，河北辛集人，現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司，主要從事工業(yè)信息安全、數(shù)據(jù)安全方面的研究。

宋　銳（1990-），男，吉林吉林人，現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司，主要從事工業(yè)信息安全、數(shù)據(jù)安全方面的研究。

白彥茹（1983-），河北人，中級工程師，學(xué)士，現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司，主要從事為工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全方面的研究。

田曉揚(yáng)（1994-），河北人，本科，現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司，主要研究方向為工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全。

摘自《自動化博覽》2024年1月刊