国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★馬霄，董保開，宋銳，白彥茹，田曉揚北京天融信網絡安全技術有限公司

關鍵詞：機場網絡安全；關鍵信息基礎設施；縱深防御

1　項目概況

1.1　項目背景

近年來，隨著民航行業快速發展，旅客吞吐量和貨運吞吐量快速增長，我國民航業的機場建設規模逐年擴大，每年均有機場新建、改擴建項目開展建設或投入使用。同時在我國數字化轉型戰略推進下，我國機場智慧化程度不斷升級，各大機場把“智慧機場”的建設作為推動民航信息化和智能化建設的重要舉措。然而，智慧機場在大規模應用大數據、人工智能、物聯網、云計算等新一代信息技術的同時，不可避免遭受到各類網絡安全威脅，惡意軟件肆虐、黑客攻擊、旅客信息泄露等都嚴重影響“智慧機場”信息系統的正常運行及業務的順利開展。

此外，網絡安全作為民航安全的重要內容和“智慧機場”建設的基礎保障，民航局多次在全國民航工作報告中指出，需完善民航網絡安全治理和綜合防控，加強行業關鍵信息基礎設施安全保護；另外《“十四五”民用航空發展規劃》中也明確提出，要提升網絡安全監管能力，強化網絡信息系統安全保障能力等。

因此，在行業安全事件及國家法律法規的雙輪驅動下，提升“智慧機場”網絡安全保障能力，確保民航關鍵信息基礎設施、重要業務信息系統和關鍵數據資源安全，成為民航行業重點關注的焦點之一。

1.2　項目簡介

機場作為一個涉及多方作業人員的龐大復雜基礎服務設施，擁有航站樓、空側、路側等多方面復雜業務場景。本項目安全設計面向機場航站樓的生產網，其擁有自助值機、自助安檢、自助行李托運等多種應用場景，各種自助服務為旅客的值機、行李、安檢、登機等環節提供便捷服務。

該項目在安全建設過程中嚴格遵守《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》《工業控制系統網絡安全防護指南》《MH/T3035-2023民用航空生產運行工業控制系統網絡安全防護技術要求》等國家及行業相關政策標準要求，應用邊界防護、主機防護、入侵檢測、安全審計、安全管理等多種技術手段，實現機場生產網絡區域邊界安全隔離、工業主機安全管控、外部入侵防范、日志關聯分析、安全設備集中化管理及策略聯動等多維度安全能力，并以此為基礎構建面向“智慧機場”生產網的綜合網絡安全防御體系，強化生產網網絡安全監測及預警能力。

1.3　項目目標

民航行業作為高度國際化、信息化的技術密集型行業，其在生產運行過程中高度依賴網絡信息系統。但是，在當前復雜嚴峻的網絡安全形勢下，民航行業遭受到的網絡攻擊處于高發態勢，網絡病毒、篡改、攻擊等事件層出不窮，對民航業務安全運營帶來極大風險。通過對該“智慧機場”生產網業務流程進行梳理與摸底，了解到其存在網絡邊界模糊、外來入侵攻擊、漏洞攻擊、運維過程不規范、工業主機接口濫用等安全威脅。

針對該“智慧機場”生產網面臨的安全風險及安全建設的不足，本項目遵循以“白名單為主，黑名單為輔”的黑白結合方式，并加以深度分析的技術手段，重點從風險識別、安全防御、安全檢測、安全響應、安全恢復等方面完善“智慧機場”綜合網絡安全防御體系，形成全方位、細粒度、多層次、動態閉環的深度防護能力，有效抵御生產網面臨的攻擊威脅，降低安全事件的發生?；贗PDRR安全框架的“智慧機場”綜合網絡安全防御體系如圖1所示。

圖1 基于IPDRR安全框架的“智慧機場”綜合網絡安全防御體系

2　項目實施

2.1　應用場景分析

“智慧機場”網絡布局復雜，業務系統多，網絡中心從總體上可以分為終端接入網、骨干傳輸網及數據中心網。終端接入網主要由離崗網、動力能源網、安防網、生產網、綜合業務網及對外服務網等網絡組成，這些網絡通過各自業務網絡核心設備匯接到骨干傳輸網，形成全網的互聯互通。各子網的業務服務器區均統一部署在數據中心網，通過骨干網絡連接各自業務子網的交換機。其中機場生產網主要承載的業務有行李信息系統、安檢信息系統、自助值機系統、自助行李系統等，各子系統通過交換機設備連接至骨干傳輸網，通過骨干網與部署在數據中心網的業務服務器實現數據交互。機場業務架構圖如圖2所示。

圖2 機場業務架構圖

2.2　技術方案

（1）機場生產網、動力能源網、綜合業務網等不同區域邊界安全隔離與訪問控制

在機場生產網、動力能源網、綜合業務網、離港網、工控服務器區、調度中心各區域邊界應用技術隔離手段，通過基于工業協議的深度識別，對不同區域之間的網絡通信行為進行細粒度管控，限制區域間訪問控制，保證對進出各區域的流量進行有效管控，阻止非法流量惡意訪問并進行報警。在安防網區域邊界部署物聯網安全網關，對各終端設備的通信協議制定黑白名單業務規則，對資產、通信協議進行識別和控制。在對外網區域邊界應用防火墻，配置訪問控制策略，對非法訪問進行控制。

（2）機場生產網入侵檢測與惡意程序識別能力設計

在骨干網核心交換機處應用入侵檢測手段，對網絡中的數據流量進行深度檢測、實時分析，并對網絡中的攻擊行為進行監測，動態地發現網絡攻擊行為，進行報警，同時可與工業防火墻聯動進行阻斷。

（3）工控主機病毒防范能力設計

在操作員站及服務器上應用基于“白名單”的工業防護產品，通過白名單防護、外設管理、基線加固等措施，提升工業主機安全防護能力。同時支持安全策略統一下發，提升運維管理能力。安全建設部署如圖3所示。

圖3 安全建設部署圖

（4）機場生產網脆弱性識別與檢測能力設計

采用工業漏洞掃描、安全基線核查滲透測試等方式，全方位、高效地檢測機場生產網絡中的各類脆弱性風險以及配置合規情況，為企業進行網絡安全加固建設提供依據。

（5）機場生產網日志信息收集與分析能力設計

采用日志收集與分析系統，對機場生產網網絡設備運行狀況、網絡流量、用戶行為等日志信息進行收集匯總并關聯性分析，方便機場管理人員了解生產網安全狀況。

（6）機場生產網運維人員操作過程監管設計

采用運維審計手段，實現對用戶、角色資源和行為的集中授權、賬號集中管理、身份認證，以達到對權限的細粒度控制，最大限度保護用戶資源安全。

（7）機場生產網安全設備、安全策略集中管控能力設計

為滿足機場管理人員對安全防護設備進行集中管控的要求，在運維管理區部署工業安全集中管理平臺，通過管理平臺對安全設備配置統一的安全策略，對全網的安全設備狀態進行統一監控，對安全日志進行統計分析，實現全網安全狀態快速預警。

（8）機場生產網網絡安全態勢監測與運營設計

應用工業互聯網態勢感知技術，依據安全基礎能力的建設，形成安全策略聯動、動態感知的安全分析能力，實現對全網業務態勢監測預警及安全事件快速處置，通過事件監測、威脅預警、攻擊溯源等多種手段相結合的方式提升“智慧機場”生產網絡的安全運營水平。

2.3　安全應用模式

（1）運營模式

從防御的角度考慮，通過部署覆蓋網絡、主機、應用等多個層面的安全產品，構建一個涵蓋感知、分析、防護的閉環保障機制，通過工業安全集中管理平臺進行整體聯動與策略下發。

（2）服務模式

本應用案例面向并貫穿于整個機場生產網，為其構建綜合安全防護體系，從主機安全、邊界安全、網絡安全等多維度展開安全能力建設，服務模式包括綜合安全防護體系建設服務和安全運維服務。

2.4　實際應用效果

本項目方案設計貼合實際業務場景，從設備安全、控制安全、網絡安全、應用安全等角度出發，構建“智慧機場”關鍵基礎設施的網絡安全縱深防御體系。本項目建設完成后，全面提升了“智慧機場”生產網絡整體安全性，確保了設備、系統、網絡的穩定性、可靠性以及業務的正常運行。

（1）增強威脅發現能力，降低安全事件發生概率

通過本項目建設，可以及時發現網絡中存在的威脅并進行報警，可以快速消除安全風險隱患，可以降低網絡攻擊事件發生的概率，同時可提高“智慧機場”生產網絡應對突發安全事件的能力，避免造成更大的經濟損失。

（2）動態進行安全防御，提升安全事件響應速度

通過聯動網內各類安全設備，可以對發現的安全問題快速定位，并可制定有效的安全防御手段。利用系統的安全策略集中管理能力，可以動態調整設備安全策略、快速封堵安全漏洞、及時處置安全事件，最大程度地降低事件影響范圍。

（3）提升安全運維效率，助力企業降本增效

本項目可以幫助機場全面掌握安全運行數據和安全情報、全局洞悉“智慧機場”生產網絡安全態勢，并結合安全資源，及時發現可能面臨的安全威脅和風險，并可對安全事件及時追蹤溯源，提升了安全運維效率，減少了安全運維人員工作量，降低了企業人力資源投入。

3　案例亮點及創新性

3.1　推廣價值

本項目的落實，保障了“智慧機場”生產網絡安全、穩定、優質運行，提升了企業社會效益和經濟效益，在“智慧機場”行業形成了良好的示范效應，為“智慧機場”生產網絡安全建設提供了指引以及指導，并可借助此項目的建設經驗以及安全技術手段，在同行業進行推廣復制應用。

3.2　商業價值和社會價值

（1）符合國家重大發展戰略要求

該項目的落地應用，可有效促進“智慧機場”生產網絡安全現狀提升，為“智慧機場”生產網絡安全防護體系建設樹立標桿；同時可營造良好的產業發展生態，保障國民經濟生產及國家建設，為我國深化“互聯網+先進制造業”國家重大發展戰略的順利推進起到積極作用。

（2）為“智慧機場”生產網絡安全運維提供全面支持

本項目的建設實施，將安全檢測、安全防御、安全恢復等技術在“智慧機場”生產網絡安全防護建設中廣泛應用，為“智慧機場”生產網絡的安全、持續、不間斷運行提供了有力的支撐保障，同時可更好地服務于社會公眾。

3.3　亮點與創新性

（1）基于數據變化率監測技術

通過對機場生產網絡中流量的數據報文進行完整性還原，識別報文中的控制指令，依據業務的通信行為與指令進行關聯分析，并建立業務的控制行為基線，通過行為基線構建深度分析體系，同時與態勢感知安全信息進行匹配分析，識別異常控制行為。

（2）建立動態安全模型，構建動態、閉環安全防御體系

該項目建設方案創新性地將動態持續性安全防護理念引入其中，以IPDRR動態安全模型為參照，結合機場生產網絡分層結構及網絡特性，在系統各層級內部及邊界構建風險識別、安全防御、安全檢測、安全響應及安全恢復的動態、閉環安全防御體系，全面提升安全運營能力。

（3）通過安全策略聯動，實現安全事件快速處置

通過收集并分析機場生產網絡的資產、流量、日志、設備運行狀態等相關安全數據，建立“智慧機場”生產網絡安全態勢模型，借助大數據分析技術，進行安全態勢全方位分析、監測與預警。同時通過安全策略聯動，為安全事件快速處置提供決策支撐。

作者簡介

馬　霄（1988-），男，河北人，學士，現就職于北京天融信網絡安全技術有限公司，主要從事工業控制安全、工業互聯網安全、云安全、大數據、物聯網安全方面的研究。

董保開（1992-），男，河北辛集人，現就職于北京天融信網絡安全技術有限公司，主要從事工業信息安全、數據安全方面的研究。

宋　銳（1990-），男，吉林吉林人，現就職于北京天融信網絡安全技術有限公司，主要從事工業信息安全、數據安全方面的研究。

白彥茹（1983-），河北人，中級工程師，學士，現就職于北京天融信網絡安全技術有限公司，主要從事為工業控制系統安全、工業互聯網安全方面的研究。

田曉揚（1994-），河北人，本科，現就職于北京天融信網絡安全技術有限公司，主要研究方向為工業控制系統安全、工業互聯網安全。

摘自《自動化博覽》2024年1月刊