机场网络安全技术浅析.pdf
机 场 网 络 安 全 技 术 浅 析目 录1. 研 究 的 依 据 及 必 要 性 .11.1 研 究 背 景 .11.1.1 国 外 机 场 网 络 安 全 形 势 .11.1.2 国 内 机 场 网 络 安 全 形 势 .21.2 国 内 外 研 究 现 状 .31.3 研 究 建 设 必 要 性 .52. 研 究 研 究 技 术 路 线 和 方 法 .62.1 网 络 边 界 监 测 与 访 问 控 制 研 究 的 技 术 路 线 .62.2 APT 攻 击 态 势 感 知 研 究 的 技 术 路 线 .82.2.1 基 于 异 常 的 流 量 检 测 技 术 .82.2.2 基 于 访 问 控 制 权 限 的 检 测 技 术 . 82.2.3 基 于 海 量 日 志 的 智 能 APT 攻 击 检 测 技 术 . 92.3 网 络 日 志 智 能 分 析 研 究 的 技 术 路 线 . 92.3.1 通 用 日 志 采 集 器 技 术 .102.3.2 统 一 日 志 监 控 .102.3.3 日 志 归 一 化 与 机 器 学 习 算 法 分 析 .112.3.4 机 场 信 息 系 统 安 全 建 设 规 范 研 究 的 技 术 路 线 .112.4 解 决 的 主 要 技 术 问 题 .112.4.1 边 界 监 测 与 访 问 控 制 技 术 . 122.4.2 智 能 安 全 审 计 技 术 .122.4.3 APT 攻 击 态 势 感 知 技 术 .123. 研 究 内 容 取 得 的 成 果 .133.1 机 场 信 息 系 统 网 络 安 全 现 状 分 析 报 告 . 133.2 机 场 信 息 系 统 网 络 安 全 建 设 规 范 . 143.3 原 型 系 统 .163.3.1 基 于 零 信 任 的 安 全 架 构 . 163.3.2 机 场 信 息 系 统 流 量 特 征 . 213.3.3 基 于 异 常 流 量 ( 威 胁 情 报 ) 的 APT 攻 击 检 测 技 术 .223.3.4 基 于 访 问 控 制 权 限 的 攻 击 检 测 技 术 .273.3.5 基 于 设 备 指 纹 识 别 的 边 界 监 测 与 访 问 控 制 技 术 .393.4 基 于 机 器 学 习 算 法 的 网 络 日 志 审 计 技 术 .443.4.1 层 次 聚 类 方 法 的 基 本 思 想 . 443.4.2 数 据 预 处 理 .443.4.3 数 据 聚 类 .453.5 主 要 创 新 点 .473.5.1 基 于 设 备 指 纹 识 别 的 边 界 监 测 与 访 问 控 制 技 术 .473.5.2 基 于 机 器 学 习 算 法 的 智 能 安 全 审 计 技 术 .483.5.3 基 于 网 络 异 常 行 为 的 APT 攻 击 态 势 感 知 技 术 .484. 成 果 推 广 应 用 前 景 分 析 .494.1 提 高 了 民 航 机 场 整 体 网 络 安 全 防 护 水 平 .494.2 完 善 了 民 航 机 场 网 络 安 全 防 护 技 术 体 系 .494.3 丰 富 了 民 航 机 场 网 络 安 全 防 护 的 手 段 . 495. 存 在 的 问 题 、 建 议 及 下 一 步 研 究 工 作 设 想 . 51附 件 一 . 52附 件 二 . 错 误 ! 未 定 义 书 签 。序 言 . 错 误 ! 未 定 义 书 签 。1. 适 用 范 围 .错 误 ! 未 定 义 书 签 。2. 适 用 原 则 .错 误 ! 未 定 义 书 签 。3. 规 范 内 容 架 构 .错 误 ! 未 定 义 书 签 。4. 规 范 内 容 .错 误 ! 未 定 义 书 签 。11. 研 究 的 依 据 及 必 要 性1.1 研 究 背 景近 年 来 我 国 民 航 业 快 速 发 展 , 旅 客 吞 吐 量 和 货 运 吞 吐 量 快 速增 长 。 作 为 民 航 的 重 要 基 础 设 施 之 一 , 机 场 建 设 的 规 模 和 数 量 都在 不 断 的 扩 大 , 截 至 2016年 底 , 我 国 共 有 218家 民 用 机 场 。 机场 信 息 系 统 作 为 保 障 机 场 业 务 运 行 的 中 枢 神 经 , 其 重 要 性 也 越 来越 受 到 重 视 。 机 场 围 绕 相 关 业 务 开 发 和 部 署 了 多 种 信 息 系 统 , 提高 工 作 效 率 和 旅 客 服 务 质 量 。 机 场 在 大 规 模 应 用 信 息 化 技 术 的 同时 , 也 不 可 避 免 的 受 到 各 类 网 络 安 全 问 题 的 威 胁 。 病 毒 肆 虐 、 黑客 攻 击 、 敏 感 信 息 泄 露 都 严 重 的 影 响 到 机 场 信 息 的 系 统 正 常 运 行和 业 务 的 正 常 开 展 , 针 对 机 场 信 息 系 统 的 安 全 问 题 引 起 广 泛 的 关注 。1.1.1 国 外 机 场 网 络 安 全 形 势近 年 来 , 黑 客 针 对 民 航 系 统 的 攻 击 越 来 越 频 繁 , 造 成 的 影 响和 损 失 也 越 来 越 大 。 民 航 机 场 的 信 息 系 统 多 次 遭 受 到 黑 客 以 及 恶意 软 件 的 攻 击 , 严 重 的 影 响 到 正 常 业 务 的 开 展 。2015年 10 月 , 日 本 成 田 机 场 与 中 部 机 场 日 前 曾 经 遭 到 黑 客攻 击 。 网 络 攻 击 造 成 田 机 场 的 官 方 网 站 无 法 连 入 , 这 一 情 况 持 续了 大 约 8 个 小 时 ; 而 就 在 同 一 时 间 , 日 本 中 部 机 场 的 计 算 机 系 统 ,也 同 样 受 到 攻 击 。 所 幸 是 在 深 夜 时 分 , 没 有 班 机 起 降 , 因 此 没 有2对 机 场 营 运 造 成 影 响 。2015年 12 月 , 乌 克 兰 首 辅 国 际 机 场 遭 受 BlackEnergy病 毒攻 击 , 导 致 机 场 信 息 系 统 中 断 , 影 响 到 机 场 业 务 的 正 常 运 行 。2016 年 7 月 , 河 内 和 胡 志 明 这 2 家 越 南 最 主 要 机 场 , 其 航班 资 讯 、 柜 台 报 到 系 统 显 示 屏 突 然 改 变 , 屏 幕 上 显 示 不 雅 词 汇 。同 时 , 两 个 机 场 广 播 系 统 也 失 去 控 制 , 自 动 播 放 类 似 内 容 。 机场 人 员 随 后 关 闭 遭 入 侵 的 电 脑 和 广 播 系 统 , 使 用 扩 音 器 通 知 乘 客以 及 以 “ 手 工 ” 方 式 办 理 登 机 等 手 续 , 部 分 航 班 被 迫 延 迟 起 飞 。2017 年 6 月 , 乌 克 兰 首 辅 国 际 机 场 再 次 遭 受 到 勒 索 病 毒 的攻 击 , 机 场 信 息 系 统 瘫 痪 , 导 致 大 量 旅 客 滞 留 机 场 , 航 班 大 面 积延 误 。2018 年 8 月 , 英 国 第 二 繁 忙 的 盖 特 威 克 机 场 , 由 于 光 缆 损坏 导 致 IT 系 统 出 现 故 障 , 电 子 显 示 屏 无 法 正 常 工 作 , 机 场 工 作人 员 在 白 板 上 手 动 更 新 航 班 信 息 , 致 使 部 分 乘 客 错 过 了 航 班 。1.1.2 国 内 机 场 网 络 安 全 形 势我 国 民 航 机 场 目 前 也 深 受 网 络 安 全 之 苦 , 很 多 机 场 都 遭 受 到ARP 病 毒 、 勒 索 病 毒 以 及 其 它 恶 意 软 件 的 攻 击 , 同 时 黑 客 对 民 航机 场 的 渗 透 攻 击 也 屡 屡 发 生 。 此 外 物 理 安 全 问 题 也 是 民 航 机 场 网络 安 全 事 件 频 发 的 一 个 重 要 原 因 。31.2 国 内 外 研 究 现 状本 研 究 涉 及 的 研 究 点 主 要 涉 及 安 全 架 构 设 计 、 威 胁 情 报 、 访问 控 制 权 限 、 日 志 智 能 分 析 等 技 术 , 上 述 技 术 在 国 内 外 其 它 领 域已 经 进 行 大 量 的 研 究 并 进 行 了 应 用 。在 安 全 架 构 设 计 方 面 , 本 课 题 结 合 零 信 任 网 络 安 全 架 构 进 行机 场 整 体 安 全 防 护 架 构 的 设 计 。 零 信 任 安 全 ( 或 零 信 任 网 络 、 零信 任 架 构 、 零 信 任 ) 最 早 由 约 翰 .金 德 维 格 ( John Kindervag)在 2010年 提 出 , 约 翰 .金 德 维 格 当 时 是 著 名 研 究 机 构 Forrester的 首 席 分 析 师 。 如 今 8年 过 去 了 , 零 信 任 安 全 已 逐 步 被 业 界 所 认可 , 各 组 织 机 构 的 CIO、 CISO们 也 言 必 称 零 信 任 了 , 特 别 是 2017年 Google基 于 零 信 任 构 建 的 BeyondCorp研 究 成 功 完 成 , 零 信 任俨 然 已 成 为 安 全 界 的 新 宠 。 零 信 任 安 全 正 在 对 传 统 的 基 于 边 界 的网 络 安 全 架 构 形 成 强 有 力 的 颠 覆 , 甚 至 Forrester 的 分 析 师 认 为3 年 内 零 信 任 就 将 成 为 网 络 安 全 流 行 框 架 之 一 。在 威 胁 情 报 方 面 , 为 保 证 本 研 究 的 顺 利 实 施 , 课 题 组 对 研 究的 工 作 内 容 进 行 深 入 的 研 究 。 目 前 国 内 外 对 网 络 安 全 威 胁 情 报 平台 的 研 究 工 作 取 得 了 一 些 成 果 , 国 内 外 一 些 知 名 的 信 息 安 全 公 司均 在 进 行 相 关 的 应 用 研 究 : 如 checkpoint、 RSA、 IBM、 MCAFEE等 公 司 均 在 网 络 安 全 威 胁 情 报 平 台 方 面 进 行 了 大 量 的 工 作 。 同 时在 政 策 标 准 方 面 也 相 继 出 台 一 些 文 件 , 如 : Structured TreatInformation expression、 Trusted Automated exchange ofindicator information 、 Cyber observable expression 、4Malware Attribute enumeration and characterization等 。在 访 问 控 制 权 限 方 面 , 思 科 ( Cisco) 公 司 为 了 应 对 网 络 安全 中 出 现 的 这 种 情 况 , 率 先 提 出 了 网 络 准 入 控 制 ( NetworkAdmission Control, NAC) 和 自 防 御 网 络 ( SDN) 的 概 念 , 并 联合 Network Associates、 Symantec、 Trend Micro 及 IBM 等 厂商 共 同 开 发 和 推 广 NAC。 微 软 公 司 也 迅 速 做 出 反 应 , 提 供 了 具 有同 样 功 能 的 网 络 准 许 接 入 保 护 方 案 ( Network AccessProtection,NAP) 。 思 科 公 司 的 NAC和 微 软 的 NAP其 原 理 和 本 质 是 一 致 的 , 不仅 对 用 户 身 份 进 行 认 证 , 还 对 用 户 的 接 入 设 备 进 行 安 全 状 态 评 估( 包 括 防 病 毒 软 件 、 系 统 补 丁 等 ) , 使 每 个 接 入 点 都 具 有 较 高 的可 信 度 和 健 壮 性 , 从 而 保 护 网 络 基 础 设 施 。 随 后 , 国 内 外 厂 商 在准 入 控 制 技 术 产 品 开 发 方 面 进 行 一 场 激 烈 的 竞 争 。 思 科 公 司 推 出准 入 控 制 产 品 解 决 方 案 之 后 , 华 为 公 司 也 紧 随 其 后 , 推 出 了 端 点准 入 防 御 ( Endpoint Admission Defense, EAD) 产 品 , SYGATE也 公 布 了 SNAC通 用 解 决 方 案 。在 日 志 智 能 分 析 方 面 , 目 前 针 对 日 志 的 智 能 分 析 方 面 采 用 了多 种 方 法 , 当 前 机 器 学 习 算 法 是 日 志 分 析 工 作 的 主 要 方 法 。 企 业的 安 全 防 护 设 备 也 日 益 增 多 , 各 类 安 全 设 备 每 天 产 生 大 量 的 告 警日 志 成 千 上 万 条 。 所 存 储 的 日 志 量 每 天 可 以 按 10G 为 单 位 计 算 。庞 大 的 运 维 告 警 日 志 , 难 以 有 效 的 进 行 管 理 和 分 析 。 对 于 当 前 的安 全 运 营 管 理 人 员 和 团 队 来 说 已 经 呈 现 出 疲 劳 态 势 。 IT 运 维 领域 涉 及 的 运 维 数 据 涵 盖 应 用 日 志 、 系 统 日 志 、 性 能 数 据 、 网 络 数5据 、 流 量 管 理 数 据 、 资 产 配 置 数 据 、 数 据 库 日 志 、 漏 洞 管 理 数 据 、安 全 态 势 等 。 上 述 信 息 整 体 上 数 据 量 大 , 格 式 差 异 大 且 分 散 在 不同 的 服 务 器 中 , 如 何 搭 建 日 志 智 能 分 析 平 台 , 将 数 据 集 中 整 合 、加 工 处 理 并 应 用 和 展 现 在 运 维 管 理 中 , 进 而 提 升 运 维 管 理 能 力 、提 高 运 维 服 务 质 量 和 效 率 , 是 当 前 研 究 的 重 点 问 题 和 热 点 问 题 。针 对 机 场 网 络 安 全 防 护 体 系 建 设 来 讲 , 目 前 相 关 研 究 内 容 较少 , 这 也 是 本 研 究 重 点 研 究 的 方 向 和 内 容 。1.3 研 究 建 设 必 要 性通 过 学 习 研 究 发 现 现 有 的 标 准 规 范 对 物 理 环 境 、 备 份 措 施 等要 求 较 为 严 格 , 但 是 对 于 防 护 网 络 攻 击 的 相 关 要 求 和 设 计 相 对 较少 , 机 场 信 息 系 统 在 设 计 、 建 设 和 验 收 阶 段 忽 视 了 网 络 安 全 的 相关 需 求 , 导 致 在 当 前 严 峻 的 网 络 安 全 形 势 下 , 遵 照 上 述 规 范 标 准设 计 的 信 息 系 统 网 络 安 全 防 护 能 力 堪 忧 。对 国 内 外 机 场 信 息 系 统 的 研 究 发 现 , 目 前 机 场 信 息 系 统 主 要停 留 在 防 火 墙 、 IDS 等 作 为 主 要 网 络 安 全 防 护 手 段 的 层 面 上 , 针对 新 型 的 网 络 攻 击 缺 乏 有 效 的 防 护 措 施 和 手 段 。62. 研 究 研 究 技 术 路 线 和 方 法本 研 究 的 总 体 技 术 路 线 是 关 注 信 息 系 统 整 个 生 命 周 期 的 安全 , 制 定 信 息 系 统 安 全 建 设 规 范 , 重 点 研 究 网 络 边 界 监 测 与 控 制 、APT 攻 击 态 势 感 知 、 网 络 日 志 智 能 分 析 三 项 关 键 技 术 , 如 图 1 所示 。图 1 机 场 信 息 安 全 研 究 技 术 路 线 图2.1 网 络 边 界 监 测 与 访 问 控 制 研 究 的 技 术 路 线本 研 究 提 出 一 种 网 络 边 界 安 全 监 测 的 方 法 ,通 过 使 用 多 线 程周 期 扫 描 和 SNMP 陷 阱 技 术 获 取 实 时 的 网 络 信 息 ,并 将 其 与 存 储的 历 史 信 息 进 行 比 对 ,将 异 常 状 态 以 醒 目 的 图 形 标 示 在 管 理 界 面7上 并 发 送 报 警 通 知 ,使 得 网 络 管 理 人 员 能 够 实 时 掌 握 网 络 结 构 与边 界 的 状 态 变 化 , 对 于 异 常 的 接 入 情 况 能 够 及 时 采 取 管 制 措 施 ,保 障 信 息 网 络 的 边 界 安 全 。 这 样 在 一 定 程 度 上 解 决 现 有 网 络 应 用中 无 法 全 面 监 控 网 络 结 构 的 变 化 和 无 法 详 细 了 解 网 络 边 界 接 入状 况 的 问 题 。图 2 网 络 边 界 监 测 与 控 制 技 术PC 设 备 和 智 能 终 端 在 网 络 中 的 身 份 标 识 有 着 巨 大 的 差 异 ,利 用 这 一 特 点 建 立 基 于 设 备 指 纹 的 身 份 标 识 库 , 采 用 特 征 匹 配 的方 法 对 机 场 网 络 中 设 备 进 行 安 全 识 别 , 首 先 判 断 设 备 是 否 为 PC或 笔 记 本 , 这 类 设 备 采 用 客 户 端 的 方 式 进 行 验 证 , 如 果 是 智 能 终端 则 采 取 身 份 标 识 或 MAC 系 统 的 方 式 进 行 授 权 和 验 证 , 这 样 对 未经 授 权 的 网 络 设 备 拒 绝 接 入 网 络 , 从 而 防 止 外 来 设 备 的 非 法 接 入 ,提 高 机 场 网 络 边 界 的 管 控 能 力 。82.2 APT 攻 击 态 势 感 知 研 究 的 技 术 路 线对 于 APT 攻 击 态 势 感 知 技 术 , 研 究 组 采 用 图 3 所 示 的 研 究 方案 。图 3 APT 攻 击 等 异 常 行 为 监 测在 本 研 究 中 对 于 APT 攻 击 的 监 测 主 要 用 到 以 下 技 术 :2.2.1 基 于 异 常 的 流 量 检 测 技 术本 研 究 通 过 对 APT 攻 击 特 征 的 分 析 提 出 一 种 基 于 异 常 的 流量 检 测 技 术 , 通 过 建 立 流 量 行 为 轮 廓 和 学 习 模 型 来 识 别 流 量 异 常 ,进 而 识 别 0day攻 击 、 C&C 通 讯 , 以 及 信 息 渗 出 。2.2.2 基 于 访 问 控 制 权 限 的 检 测 技 术在 网 络 中 每 台 设 备 、 每 个 系 统 都 应 该 设 定 好 自 己 的 访 问 控 制9权 限 , 一 旦 访 问 者 超 出 了 赋 予 的 访 问 控 制 权 限 , 那 么 就 判 定 他 在违 规 使 用 , 这 种 违 规 操 作 很 可 能 来 自 于 攻 击 者 。 将 这 一 思 路 运 用到 APT 防 御 中 , 本 研 究 提 出 一 种 基 于 访 问 控 制 权 限 的 APT 防 御 手段 。2.2.3 基 于 海 量 日 志 的 智 能 APT攻 击 检 测 技 术单 一 安 全 防 护 设 备 无 法 做 到 对 APT 攻 击 的 检 测 , 本 研 究 通 过将 所 有 的 安 全 设 备 日 志 集 中 在 一 起 , 从 不 同 纬 度 分 析 日 志 中 潜 在的 安 全 威 胁 : 一 方 面 在 时 间 轴 上 将 基 于 单 个 时 间 点 的 实 时 检 测 转变 为 基 于 历 史 时 间 窗 的 异 步 检 测 , 另 一 方 面 从 空 间 轴 上 将 单 个IP地 址 的 访 问 行 为 和 其 他 IP的 访 问 行 为 通 过 机 器 学 习 分 析 进 行检 测 。 深 入 挖 掘 已 有 安 全 设 备 的 潜 力 , 同 时 在 新 的 检 测 机 制 下 丰富 判 定 机 制 , 在 检 测 已 知 攻 击 同 时 能 兼 顾 对 未 知 攻 击 的 检 测 。2.3 网 络 日 志 智 能 分 析 研 究 的 技 术 路 线对 于 网 络 日 志 智 能 分 析 技 术 , 研 究 组 拟 采 用 图 4 所 示 的 研 究方 案 。10图 4 网 络 日 志 智 能 分 析在 本 研 究 中 对 于 网 络 日 志 智 能 分 析 主 要 用 到 以 下 技 术 :2.3.1 通 用 日 志 采 集 器 技 术通 用 日 志 采 集 器 应 能 够 主 动 的 收 集 网 络 设 备 、 主 机 、 服 务 器和 应 用 系 统 产 生 的 日 志 和 告 警 信 息 , 例 如 Microsoft Windows 操作 系 统 和 主 机 防 火 墙 日 志 , 瑞 星 的 病 毒 日 志 , Oracle、 SQL Server等 数 据 库 日 志 , Microsoft IIS、 Apache 等 WEB 服 务 器 的 日 志 ,中 间 件 系 统 日 志 , 应 用 系 统 日 志 , 防 火 墙 、 IDS 等 。 这 就 需 要 研究 组 成 员 认 真 分 析 日 志 类 型 , 设 计 好 日 志 收 集 框 架 。2.3.2 统 一 日 志 监 控通 过 将 机 场 信 息 系 统 中 的 各 类 网 络 或 安 全 设 备 、 安 全 系 统 、主 机 操 作 系 统 、 数 据 库 以 及 各 种 应 用 系 统 的 日 志 、 事 件 、 告 警 全11部 汇 集 起 来 , 使 得 通 过 单 一 的 管 理 控 制 台 对 机 场 信 息 系 统 的 安 全信 息 ( 日 志 ) 进 行 统 一 监 控 。 利 用 统 一 日 志 监 控 , 提 高 机 场 运 维人 员 的 工 作 效 率 。 同 时 将 机 场 的 所 有 安 全 信 息 都 汇 聚 到 一 起 , 可以 全 面 掌 控 网 络 环 境 的 安 全 状 况 , 对 安 全 威 胁 做 出 更 加 准 确 的 判断 。2.3.3 日 志 归 一 化 与 机 器 学 习 算 法 分 析通 过 将 各 类 日 志 的 格 式 进 行 归 一 化 处 理 , 利 用 数 据 挖 掘 和 机器 学 习 算 法 对 日 志 信 息 进 行 智 能 处 理 分 析 , 深 入 挖 掘 系 统 存 在 的安 全 威 胁 。 同 时 信 息 安 全 事 件 发 生 后 可 以 快 速 定 位 , 并 能 对 信 息安 全 事 件 进 行 回 溯 。 通 过 综 合 分 析 来 自 防 火 墙 、 IDS、 系 统 日 志 、网 络 等 等 一 系 列 的 信 息 , 因 而 能 够 更 为 精 确 地 定 位 安 全 威 胁 , 使得 针 对 APT 攻 击 的 检 测 和 自 动 阻 止 攻 击 变 得 更 加 可 行 。2.3.4 机 场 信 息 系 统 安 全 建 设 规 范 研 究 的 技 术 路 线针 对 机 场 在 信 息 化 建 设 时 没 有 一 个 整 体 的 信 息 安 全 建 设 规范 去 指 导 , 缺 乏 整 体 层 面 的 信 息 安 全 规 划 的 问 题 。 本 研 究 通 过 对机 场 信 息 系 统 特 点 和 信 息 安 全 关 键 技 术 的 研 究 , 针 对 机 场 的 信 息系 统 制 定 一 套 信 息 安 全 建 设 规 范 , 指 导 机 场 的 信 息 化 建 设 。2.4 解 决 的 主 要 技 术 问 题122.4.1 边 界 监 测 与 访 问 控 制 技 术BYOD 在 机 场 办 公 和 生 产 环 境 的 大 量 应 用 提 升 了 机 场 的 办 公效 率 , 但 是 基 于 BYOD自 身 的 特 点 , 其 也 已 经 成 为 黑 客 的 突 破 口 。本 研 究 通 过 对 机 场 信 息 系 统 的 边 界 监 测 和 访 问 控 制 技 术 进 行 深入 研 究 , 采 用 网 络 扫 描 和 特 征 识 别 技 术 着 力 解 决 对 BYOD 的 安 全管 控 , 提 高 机 场 信 息 系 统 的 安 全 防 护 能 力 。2.4.2 智 能 安 全 审 计 技 术当 前 机 场 的 网 络 系 统 十 分 复 杂 , 网 络 设 备 和 系 统 繁 杂 。 利 用人 工 进 行 安 全 审 计 成 为 不 可 能 完 成 的 任 务 , 即 便 是 当 前 的 一 些 日志 审 计 设 备 也 仅 仅 是 一 些 日 志 简 单 的 统 计 和 堆 叠 。 本 研 究 一 方 面结 合 传 统 的 日 志 分 析 系 统 对 各 种 日 志 进 行 收 集 和 归 一 化 处 理 , 另一 方 面 对 收 集 到 的 日 志 进 行 深 入 的 数 据 挖 掘 工 作 , 从 横 向 和 纵 向两 个 方 向 对 数 据 进 行 关 联 分 析 , 找 到 系 统 中 可 能 存 在 的 安 全 威 胁 ,并 对 发 生 的 信 息 安 全 事 件 进 行 回 溯 。2.4.3 APT 攻 击 态 势 感 知 技 术对 于 APT 攻 击 , 基 于 传 统 的 白 名 单 和 黑 名 单 的 入 侵 检 测 和 防御 技 术 对 这 种 新 型 的 攻 击 作 用 有 限 。 本 研 究 通 过 分 析 APT 攻 击 的特 征 , 研 究 APT 攻 击 的 态 势 感 知 技 术 。133. 研 究 内 容 取 得 的 成 果3.1 机 场 信 息 系 统 网 络 安 全 现 状 分 析 报 告针 对 民 航 机 场 当 前 的 主 要 信 息 系 统 网 络 安 全 情 况 开 展 调 研工 作 , 从 管 理 层 面 和 技 术 层 面 发 现 和 分 析 机 场 信 息 系 统 存 在 的 安全 问 题 : 机 场 信 息 系 统 安 全 建 设 规 范 缺 失 、 缺 乏 总 体 网 络 安 全 设计 、 缺 乏 专 业 的 网 络 安 全 技 术 人 才 、 缺 乏 网 络 安 全 管 理 中 心 、 物理 安 全 防 护 意 识 单 薄 、 网 络 安 全 防 护 薄 弱 、 主 机 安 全 防 护 疏 忽 、应 用 安 全 方 面 漏 洞 层 出 不 穷 、 数 据 安 全 管 理 缺 位 等 , 上 述 问 题 严重 的 影 响 了 民 航 机 场 的 信 息 系 统 安 全 运 行 。近 年 来 , 黑 客 针 对 民 航 系 统 的 攻 击 越 来 越 频 繁 , 造 成 的 影 响和 损 失 也 越 来 越 大 。 民 航 机 场 的 信 息 系 统 多 次 遭 受 到 黑 客 以 及 恶意 软 件 的 攻 击 , 严 重 的 影 响 到 正 常 业 务 的 开 展 。 通 过 对 我 国 多 个机 场 的 调 研 、 测 评 和 检 查 , 发 现 目 前 多 个 机 场 的 信 息 系 统 在 网 络安 全 方 面 存 在 网 络 安 全 问 题 , 主 要 问 题 如 下 。强 调 物 理 隔 离 , 忽 视 内 部 安 全 : 多 数 机 场 的 信 息 系 统 都 与互 联 网 进 行 了 物 理 隔 离 , 但 是 内 部 生 产 网 络 中 各 个 信 息 系 统 之 间没 有 进 行 严 格 的 访 问 权 限 控 制 , 导 致 一 旦 一 个 系 统 被 攻 破 , 整 个机 场 的 信 息 系 统 都 可 能 遭 到 破 坏 ; 网 络 区 域 划 分 不 清 , 导 致 服 务器 与 终 端 , 子 网 与 子 网 之 间 没 有 有 效 的 进 行 隔 离 ; 缺 乏 内 部 网 络安 全 监 测 手 段 , 导 致 无 法 发 现 系 统 内 部 存 在 的 病 毒 或 网 络 攻 击 行14为 。 架 构 不 合 理 , 忽 视 网 络 边 界 的 完 整 性 : 对 于 大 中 型 机 场 来 讲 ,生 产 环 境 中 终 端 众 多 , 如 果 加 强 终 端 的 安 全 管 理 一 直 是 机 场 在 网络 安 全 管 理 方 面 存 在 的 薄 弱 环 节 。 ARP 病 毒 、 勒 索 病 毒 都 多 次 出现 在 机 场 的 生 产 网 络 中 , U 盘 病 毒 、 权 限 滥 用 以 及 非 法 外 联 都 给机 场 信 息 系 统 的 安 全 运 行 带 来 了 极 大 的 威 胁 。 没 有 部 署 准 入 认 证系 统 , 攻 击 者 可 能 非 法 的 接 入 到 生 产 系 统 导 致 网 络 边 界 防 护 设 备失 效 , 使 之 成 为 攻 击 者 进 入 内 部 网 络 的 通 道 。业 务 系 统 重 功 能 , 轻 安 全 : 通 过 对 各 个 机 场 的 调 研 、 测 评 和检 查 , 发 现 多 个 机 场 的 信 息 系 统 在 应 用 安 全 层 面 “ 重 功 能 , 轻 安全 ” , 导 致 存 在 严 重 的 安 全 问 题 。 越 权 访 问 、 权 限 滥 用 等 问 题 是应 用 安 全 方 面 的 主 要 问 题 。“ 智 慧 机 场 ” 带 来 了 新 威 胁 : 物 联 网 等 多 种 技 术 在 民 航 机 场的 应 用 极 大 的 推 动 了 民 航 业 务 的 发 展 , 推 动 了 “ 智 慧 机 场 ” 在 民航 的 快 速 应 用 发 展 , 但 是 这 些 新 技 术 的 应 用 也 为 民 航 网 络 安 全带 来 了 新 的 挑 战 。 如 物 联 网 中 IOT 设 备 的 大 量 使 用 , 使 设 备 走出 了 可 控 的 物 理 范 围 , 设 备 是 否 真 实 的 、 是 否 是 授 权 的 等 问 题 ,传 统 的 防 护 手 段 已 不 足 以 应 对 这 些 新 威 胁 , 具 体 见 附 件 。3.2 机 场 信 息 系 统 网 络 安 全 建 设 规 范通 过 学 习 研 究 发 现 现 有 的 标 准 规 范 对 物 理 环 境 、 备 份 措 施 等要 求 较 为 严 格 , 但 是 对 于 防 护 网 络 攻 击 的 相 关 要 求 和 设 计 相 对 较15少 , 机 场 信 息 系 统 在 设 计 、 建 设 和 验 收 阶 段 忽 视 了 网 络 安 全 的 相关 需 求 , 导 致 在 当 前 严 峻 的 网 络 安 全 形 势 下 , 遵 照 上 述 规 范 标 准设 计 的 信 息 系 统 网 络 安 全 防 护 能 力 堪 忧 。 同 时 发 现 各 个 机 场 已 建的 信 息 系 统 在 设 计 阶 段 均 忽 视 了 网 络 安 全 的 相 关 要 求 , 系 统 在 设计 时 只 需 满 足 业 务 需 求 即 可 , 较 少 考 虑 到 网 络 安 全 的 问 题 。 对 于新 建 信 息 系 统 现 阶 段 也 有 大 部 分 缺 失 了 网 络 安 全 设 计 的 环 节 , 导致 系 统 建 设 完 成 以 后 不 满 足 相 关 政 策 要 求 或 者 自 身 业 务 防 护 能力 的 需 求 , 导 致 回 头 在 考 虑 网 络 安 全 防 护 的 问 题 , 导 致 付 出 更 大的 代 价 。 具 体 体 现 在 以 下 几 个 方 面 : ( 1) 网 络 安 全 防 护 措 施 不 完善 , 导 致 无 法 防 御 某 些 网 络 攻 击 ; ( 2) 机 场 信 息 系 统 的 整 体 架 构没 有 进 行 安 全 考 虑 , 各 个 系 统 没 有 设 计 安 全 的 数 据 交 换 策 略 和 防护 措 施 ; ( 3) 系 统 的 安 全 设 计 不 到 位 , 导 致 不 符 合 国 家 相 关 政 策法 规 要 求 。基 于 上 述 原 因 编 写 了 机 场 信 息 系 统 网 络 安 全 建 设 规 范 ( 具体 见 附 件 ) , 用 于 指 导 机 场 信 息 系 统 的 安 全 设 计 、 安 全 建 设 和 安全 运 行 , 以 提 高 机 场 信 息 系 统 的 网 络 安 全 防 护 能 力 。 当 前 机 场 所采 用 的 信 息 化 技 术 主 要 有 : 传 统 信 息 系 统 集 成 技 术 、 云 平 台 技 术 、移 动 互 联 技 术 、 物 联 网 技 术 、 工 控 技 术 、 大 数 据 技 术 以 及 人 工 智能 技 术 。 本 规 范 参 照 信 息 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要求 的 等 保 三 级 内 容 , 首 先 编 制 机 场 信 息 系 统 基 本 安 全 建 设 规 范 、然 后 再 就 所 采 用 的 新 技 术 分 别 制 定 安 全 建 设 规 范 。 在 具 体 实 施 时 ,可 根 据 自 身 系 统 的 安 全 保 护 级 别 进 行 调 整 。163.3 原 型 系 统3.3.1 基 于 零 信 任 的 安 全 架 构通 过 对 民 航 机 场 信 息 系 统 现 有 的 安 全 结 构 进 行 深 入 的 分 析 ,发 现 需 要 对 网 络 访 问 、 终 端 接 入 以 及 应 用 系 统 的 使 用 建 立 严 格 的授 权 机 制 , 通 过 建 立 一 套 完 善 的 零 信 任 安 全 防 护 架 构 可 以 有 效 的应 对 上 述 问 题 , 显 著 提 高 当 前 民 航 信 息 系 统 的 网 络 安 全 防 护 能 力 。零 信 任 安 全 架 构 的 基 本 原 理 : 任 何 时 间 、 任 何 位 置 , 设 备 和用 户 都 是 不 可 信 任 的 , 只 有 经 过 安 全 状 态 检 测 的 设 备 以 及 使 用 该设 备 且 经 过 身 份 验 证 的 用 户 才 可 以 依 照 既 定 的 安 全 策 略 访 问 资源 。 零 信 任 安 全 架 构 基 于 访 问 控 制 模 型 , 建 立 信 任 和 数 据 流 控 制的 新 规 则 。 一 方 面 , 在 主 体 、 客 体 间 建 立 信 任 , 访 问 控 制 基 于 信任 进 行 ; 一 方 面 , 基 于 度 量 因 子 对 主 体 、 客 体 进 行 计 算 评 估 , 动态 匹 配 最 小 权 限 ; 最 后 , 基 于 主 体 、 客 体 属 性 信 息 , 实 现 强 制 访问 控 制 。 针 对 零 信 任 安 全 架 构 有 三 个 要 素 : 主 体 、 客 体 、 数 据 流 。图 5 零 信 任 安 全 架 构 基 本 原 理 图主 体 包 括 : 人 、 设 备 、 应 用 等 接 入 系 统 的 各 类 要 素17客 体 包 括 : 应 用 、 服 务 、 接 口 、 数 据 等 主 体 要 访 问 或 者 操 作的 各 类 要 素 。数 据 流 : 主 体 和 客 体 之 间 数 据 交 互 的 数 据 流 量 。零 信 任 安 全 架 构 主 要 对 主 体 进 行 以 下 安 全 状 态 的 检 测 :( 1) 要 接 入 设 备 自 身 的 安 全 性( 2) 要 接 入 设 备 的 是 否 受 控 设 备( 3) 要 访 问 用 户 是 否 获 得 授 权( 4) 访 问 是 否 遵 循 制 定 的 安 全 访 问 控 制 策 略( 5) 访 问 路 径 是 否 可 以 被 绕 过( 6) 通 过 对 访 问 记 录 的 审 计 , 识 别 异 常 的 访 问零 信 任