首都國際機場主機安全解決方案探討與研究

張立斌，韓燕征，王勇

（北京首都國際機場股份有限公司，北京 100621）

1 引言

首都國際機場作為國家重要的民航運輸基礎設施，不僅是中國最繁忙的機場，也是亞太地區最繁忙的機場，每年的起降航班超過55萬架次，每年的旅客吞吐量超過8，300萬人次，穩居世界第二，連續多年的高效運營，離不開機場各信息系統的安全穩定運行和相關保障部門的精心維護。黨的十八大以來，網絡安全上升為國家戰略，機場做為國家重要基礎設施的關鍵組成部分，網絡安全保障工作顯現尤為重要。如何實時感知內部資產變化、對主機資產進行持續的安全監控、應對未知威脅時從容不迫，都是我們值得去思考的。因此，在網絡威脅高發的時代，要建立完善的網絡安全縱深防護體系，全天候、全方位的應對網絡入侵，持續的分析和可視化能力都是保障主機安全的“最后一公里”。

2 主機安全保護發展趨勢

伴隨著網絡安全發展和攻擊手段不斷的演進，主機安全保護也在不斷更新迭代，衍生出了一系列不同細分類別的主機安全產品。大體上可以概括為五個階段。

階段一：基礎性的主機安全產品，實現目標是一個相對清晰的資產清單，以及基礎性的主機加固，可以防止木馬病毒入侵，防止核心數據被破壞、被偷窺、被篡改、被竊取，保證了系統的安全性。

階段二：以應用為核心的主機安全管理，企業組織會利用補丁管理、漏洞管理、釣魚防護等產品進行主機的安全防護，并制定差距分析和計劃來消除差距。

階段三：以檢測響應為核心的主機安全管理，為捕獲更多的機會主義攻擊，這個階段的主機安全保護產品重點已經從惡意軟件預防和基礎主機加固擴展到檢測和響應。

階段四：以主動防御為核心的主機安全產品，重點放在減少攻擊面。檢測活動上升到設備和用戶行為級別。逐步使用默認的拒絕控制，如應用程序白名單，網絡隔離和Web隔離，以減少攻擊表面，并開始考慮先進的工具，如欺騙防御等。

階段五：新形態下的主機安全產品，市場定義為基于主機的解決方案，主要滿足現代混合數據中心架構中，服務器工作負載的保護要求。它為信息安全領導者提供了一種集成的方式，通過使用單個管理控制臺和單一方式表達安全策略來保護這些工作負載，而不用考慮工作負載運行的位置。

3 首都機場主機安全風險與挑戰

為推進民航重點基礎設施和業務應用安全研究取得跨越，應從長遠出發，規劃和建設整體信息安全保障體系，從業務安全需求角度出發，按突出重點、適度防護的原則，通過技術和管理兩方面措施確保首都機場信息系統的持續安全運行。技術部分其設計思路主要是確定安全保護的目標，通過風險評估識別當前目標的安全風險，同時依據目標風險的不斷變化，及時調整安全策略和控制點；并引入PDR模型（防護、檢測、響應）增強動態檢測和防護能力。目前，首都機場生產環境的主機安全防護缺少平臺化的安全建設，資產數據尚不能做到實時和清晰，針對安全風險的感知、發現和響應缺少重要的基礎和關鍵錨點。

（1）應以網絡安全等級保護制度為抓手，對生產環境現有主機資產進行識別與梳理，形成資產清單，依據資產清單進行設備自身安全性和安全保障策略差距評估，對發現的安全問題提出安全建議，充分保障主機部分達到等級保護要求。

（2）充分利用已有信息安全建設項目成果，完善基礎安全防護能力，做到全面監控、重點防護、技術松耦合、業務緊耦合，避免大而全的“鐵桶式”一刀切防護，真正做到事前預防、事中監控、事后可追溯。

（3）業務服務器分散，服務器變化、使用情況不能集中管控，因此加強對主機系統的監管，是落實國家等級保護政策和企業相關要求的有效手段。

（4）實施策略標準與安全體系建設并行，不斷完善防護體系與防護策略，建立一個長效、穩定的主機安全防護體系。

3.1 漏洞發現及修復需求

近兩年漏洞已經成為當前IT領域的熱門話題之一。首先，漏洞傳播速度高速化，借助各大社區、社交平臺，漏洞的傳播速度驚人，早上披露的漏洞，到下午可能已經有了利用代碼，到了晚上很多攻擊可能已經發生。其次，漏洞數量越來越多，信息技術與人們的生活越來越近，五花八門的應用，海量的數據，技術在持續發展，應用在大面積推廣，大量的漏洞正在影響著每一個人的生活。最后，漏洞利用不再是少數專業技術人員的專寵。隨著漏洞利用帶來的龐大利益，越來越多的人投身于漏洞研究，越來越多的漏洞利用腳本被開發應用，普通人不需要具備專業知識，就可以成為一名破壞力十足的黑客。

從內部來看，很多安全主管都有這樣的疑問，內部已經制定了漏洞管理制度，有專人負責漏洞掃描和修補，但實際情況是，出現緊急發生的漏洞還是手忙腳亂，仍然是疲于應付不斷發現的漏洞，在接受上級單位檢查的時候總是被發現存在漏洞。經常存在四種現象。

（1）漏洞事件反映緩慢

現有的漏洞管理過程，從漏洞公布出來，到漏洞修補有一個時間窗，這個時間窗相對較長，攻擊者對漏洞的利用就是搶在這個時間窗內完成。一個不起眼的網絡安全漏洞在早上時還沒造成什么不良影響，可到了晚上，它就可能成為你的噩夢。這些安全隱患傳播的速度一直在增長，與之相適應，傳統的安全掃描往往按月為周期的掃描、報告、修補過程，相對于越來越快的漏洞利用速度，已經顯得過于緩慢。

（2）流程指標難以量化

漏洞管理是一個管理流程。從Gartner定義的漏洞管理過程來看，漏洞管理包括了多個環節，每一個環節往往都需要多個部門，多個角色的互相合作。很多漏洞管理制度，只關注了每個環節本身，流程執行的效率如何，是否全面，是否達到預期，目前很少有管理制度能做到量化要求，也很少有安全管理產品能夠支撐漏洞管理量化的要求。

（3）管理難度太高

在過去以合規為驅動的安全建設模式中，大量購買了專業漏掃產品，這些漏掃產品數量龐大，需要管理的對象和運營的數據都非常巨大，運維人員飽受其苦，管理難度太高。

（4）漏洞修補困難

安全廠商提供的漏洞修補建議，往往需要客戶根據實際網絡情況進行調整，無論是安全廠商還是內部的安全管理人員，漏洞修補都是一件非常困難的事情。譬如，“心臟出血漏洞”出現時補丁并沒有馬上隨之發布，對于一些網站：如果考慮安全，則需要停掉對外的服務；如果考慮業務，這個漏洞就只能暴露在外。怎么能夠找到折中的辦法，如果不是對業務和系統都了解的人，幾乎是沒有辦法的事情。

3.2 安全基線管理需求

3.2.1 安全基線標準不統一

在運行的各種設備安全配置標準不統一，并且部分設備存在默認配置弱點。乏安全配置符合性檢查手段，無法對運行的主機和設備的符合性進行安全檢查與評估，并通過評估結果對設備進行加固與維護，無法保持設備安全性不斷提升。并且，在運行的主機設備可能存在安全弱點而未被發現。

3.2.2 缺乏整體安全分析

對全網業務主機的整體安全狀況缺乏全面分析，由于缺乏實時的主動的安全事件與日志檢測機制，對于事件的檢測和報告還僅局限于單個的安全事件本身，而不是整合成為全網業務主機整體威脅的剖面視圖，導致安全保障人員對于全網業務主機的整體安全狀況缺乏實時全面了解。

3.2.3 安全檢查頻率低

無法應對瞬息萬變的安全內外環境，在完成測試的下一秒，外部安全形勢可能就會發生變化，而移動互聯網時代也面臨著業務變化相比之前更加復雜頻繁的情況。

3.3 安全管理需求

3.3.1 安全風險管理滯后

缺乏主機設備弱點管理工具，無法對主機及設備的安全弱點進行管理與維護，由于弱點缺乏管理可能被利用造成主機系統內的信息資產損失。安全硬件很難快速的更迭，受到硬件自身性能限制，很難適應日新月異的網絡變化和最新的安全攻擊特點。

3.3.2 無法形成有效地縱深防御體系

數據分散，信息量極大，網絡環境中部署了多種異構的安全產品，包括防火墻、防病毒、IDS等，這些安全產品來自不同廠商，每個產品均有一套安全信息告警功能，產品間的安全日志彼此孤立，由于缺乏針對所有IT設備的安全事件與日志的關聯分析，安全保障人員無法使用肉眼從海量的分散的信息中發現真正的安全事件。

3.3.3 缺乏內部違規操作審計

無法主動發現第三方人員對信息系統的違規操作，系統內有較多信息系統由第三方廠家提供日常運維服務，但由于缺乏操作行為審計，很難及時發現第三人員對信息系統的違規操作，如數據篡改。

4 主機安全防護能力

基于首都機場信息化建設總體要求，加強主機安全管理，利用信息技術手段高效、準確、便捷實現業務主機全覆蓋的安全監控，提升業務主機安全風險感知、發現和響應能力，建立可持續的安全運營體系。具體目標有四個。

全企業的統一管理：實現對首都機場業務系統主機安全的統一管理、分析。

全覆蓋的安全監控：實現對首都機場業務系統主機的全覆蓋。

全周期的風險處理：實現對業務主機的風險發現、響應能力，進行實時告警。

全方位的安全保護：實現對業務主機入侵檢測能力，全面保護業務主機安全。

參考國內外廠商的主機安全防護技術，結合我國對主機安全防護的要求和首都機場的現狀，主機安全工作涉及到業務主機的監控、分析、響應、處理的各個方面，需建立完善的主機安全保障體系，保障主機系統可用性、完整性，系統操作保密性、可追溯性，實現業務主機的“可控、可信、可管、可視化”，全面保護首都機場內部核心業務系統資產。

現階段主機安全防護系統主要涉及DMZ區、OA業務及運營業務服務器、東區安檢信息系統、西區安檢信息系統、股份相關OA業務服務器、網管服務器、集團相關OA業務服務器、集團下屬托管服務器（除集團本部和股份）、西區門禁監控、VoIP、視頻會議、GIS等區域業務服務器。

現階段主機安全防護系統主要涉及的業務組86個，其中包含郵件系統、航顯系統、ERP系統、GPS系統、飛行區交通管理系統等。

從業務主機的安全防護和集中運維角度，采用主機統一管理控制（事前預防）、風險發現響應和入侵實時告警（事中管控）、可疑非法操作的審計和溯源（事后追溯）等機制，實現業務主機的可知、可控、可審計，補充和完善了首都機場信息安全防護體系。

實施按照先試點、后推廣的原則，在測試環境對產品的功能性、技術性、高可用性和可擴展性進行驗證，在生產環境中從普通業務到重要業務的逐步推進的策略，為后續其他業務系統獨立部署實施奠定基礎。

采用國產化成熟產品并結合首都機場安全管控的需求進行定制化開發，利用“自適應安全架構”“大數據分析”“機器學習”等技術形成基于業務主機的自適應安全管理，并制定一系列管理規范和制度，保障該系統的高效執行。

5 技術關鍵能力和優勢

5.1 技術關鍵能力

系統采用多層的計算架構設計，模塊化的部署方式，不僅具備靈活的擴展能力，還能應用大量任務下發和海量數據分析處理，保障系統性能，系統總體架構如圖1所示。

（1）前端展示層

展示視圖層主要負責系統數據的顯示，展示模式層主要負責系統數據的管理，展示控制層主要負責協調上述兩個層面。整合起來主要為控制中心提供各類信息的清晰展示，對重大威脅進行實時告警，幫助用戶更好、更快地處理問題，方便用戶對系統進行配置和管理。

（2）服務端邏輯層

主要提供三方面的功能：一是與外部系統接口間的互通，可以實現系統與外部系統的數據交互、消息傳輸；二是業務處理層，可以實現本系統內業務功能的實現，發布和訂閱系統、服務端配置等；三是數據處理訪問層，對業務處理提供數據服務，將各種不同數據的訪問權限進行歸集。

（3）服務端支撐層

主要實現對系統資源、服務、接口等內容的調度，屬于系統自身控制機制，服務安全層實現對自身系統安全能力的保障，如數據加密傳輸、加密訪問、系統安全檢查等；服務容錯層實現系統的高可用能力保障；服務監控層實現系統各項服務的監控，保障系統的穩定性。

（4）服務端通信層

圖1 系統總體架構

服務端通信層主要實現三個能力：一是客戶端連接保證，保證所有客戶端屬于正常狀態，收集各客戶端狀態；二是保障所有客戶端與系統間的訪問流量的負載，避免因單一流量較大造成的單點故障；三是通信代理層是在特殊部署情況下，與代理服務器通信的組件。

（5）客戶端架構層

客戶端架構層主要實現對各客戶端功能調用、業務保持、資源監控等能力的保障。通信層負責與服務端通信層進行會話保持，監控層負責對Agent資源監控和存活性檢測；另一方面提供實時入侵檢測模塊、本地數據讀寫模塊和安全腳本引入模塊的調用。

主機安全防護共包含一套管理控制服務平臺、主機Agent和Web可視化展示頁面三部分，提供資產管理、漏洞管理、風險管理、入侵檢測、合規基線和安全日志六部分功能。資產管理功能可實現對內部主機的資產清查和變動監控；漏洞管理功能可實現對內部主機系統和應用補丁發現及漏洞監控；風險管理功能可實現對內部主機系統和應用存在的安全風險進行發現、修復和管理；入侵檢測功能可實現對內部主機的入侵事件進行實時發現和相應；合規基線功能可實現對內部主機進行系統基線、應用基線、等?；€和CIS基線的安全檢查；安全日志功能可實現對內部主機的操作、安全事件、賬號變更等日志的收集和審計。

5.2 技術優勢

5.2.1 安全穩定低資源的主機探針

主機探針純綠色軟件，不嵌入系統內核，杜絕由于探針軟件的問題而影響操作系統的穩定。在系統負載過高時，獨特的降級機制會主動降級運行，嚴格限制對系統資源的占用，確保業務系統正常運行。

自動適配各種物理機、虛擬機和云環境。運行穩定、消耗低，能夠持續收集主機進程、端口、賬號、應用配置等信息，并實時監控進程、網絡連接等行為，還能與Server端通信，執行其下發的任務，主動發現主機問題。

5.2.2 精準快速的主機發現

從安全角度自動化構建細粒度資產信息，支持對業務層資產精準識別和動態感知，讓保護對象清晰可見。精確支持10余類主機關鍵信息清點，200余類業務應用自動識別，并擁有良好的擴展能力。

通過主機探針，可在15秒內，從正在運行的環境中，反向自動化構建主機業務資產結構，上報管控平臺，集中統一管理；對Web資產與數據庫資產等高價值高敏感業務資產，進行了針對性資產建模，確保不漏掉任何一個可用主機。

5.2.3 高效安全的檢測技術

提供多控制點的檢測能力，能夠實時、準確地感知入侵事件，發現失陷主機，對攻擊路徑的每個節點都進行監控，并提供跨平臺多系統的支持能力，保證能實時發現失陷主機，對入侵行為進行實時告警。

結合專家經驗，威脅情報、大數據、機器學習等多種分析方法，通過對用戶主機環境的實時監控和深度了解，有效發現包括“0day”在內的各種未知黑客攻擊。

5.2.4 可持續的安全服務能力平臺

基于云計算和大數據技術，將傳統、單一的安全防護手段轉移到云平臺進行整合，為客戶提供可持續的主機綜合防護能力，并可按照用戶的需求，定制檢測服務。

通過主機安全防護強大的計算能力，實時處理隨時爆發的新型攻擊，更新信息數據，能夠有效控制危險事件的大規模發生和傳播。云節點和參與者越多，主機安全防護資源就越豐富，整個主機安全服務能力就會強大。

主機安全防護提供資源的靈活調度。主機被攻擊發生時間、地點和規模的未知性，需要安全資源彈性配置、快速響應、易于擴充。通過實時監控系統狀態、資源占用情況，精確調度、按需部署，使得安全部署更加緊湊，擴展兼顧，實現按需防護的能力。

主機安全防護提供安全專業人員的技術支持。在代為管理受保護的信息系統，提供實時事件監控和應急處理以及安全事件的歷史分析和反饋，有利于及時下發安全策略。

主機安全防護資源遷移更加靈活。物理機之間的遷移依靠的是系統備份和恢復技術，云計算中虛擬化技術使得安全資源的遷移方式多樣、遷移速度更為快捷，允許業務彈性變更，提升系統災備和恢復能力。

6 結束語

網絡安全威脅日益嚴峻，企業內部IT環境變化多端，黑客攻擊日益隱蔽、專業，風險監控成為企業高度關注的安全問題。主機安全防護系統從內部安全管理的視角出發，關心企業內部資產的實時變化，尋求最佳“安全-成本”平衡點，提供“標本兼治”的解決方案。Adaptive Security架構能夠在復雜變化的環境下有效抵御高級攻擊，是整個安全行業的發展方向。其創新之處：一方面在于將安全視角轉移到防火墻之后的業務系統內部，強調自內而外構建安全體系；另一方面將安全從傳統的安全事件防護變成一項持續響應和處理的過程，從多個維度持續保護企業安全。同時，還克服了主機類產品跨平臺、自身安全性等可能的技術瓶頸，為用戶提供一種可靠的安全監控平臺解決方案。

綜上所述，著眼當前網絡安全事件頻發及眾多企業高度重視的趨勢，依托首都機場現有的安全基礎設施，針對企業內部業務系統中主機安全風險，結合相關大型企業實踐經驗，遵循“民航科技十三五規劃”中提出的愿景和目標，制定了首都機場業務主機安全防護的解決方案及實施計劃，對于提升首都機場業務主機保護能力非常有益且必要。