今年年初,中國民航局正式發布《智慧民航建設路線圖》(以下簡稱“路線圖”)。路線圖中明確,智慧出行、智慧空管、智慧機場、智慧監管是智慧民航運輸系統建設的核心抓手和重要內容。智慧空管作為四大關鍵抓手之一,在智慧民航建設過程中扮演著重要角色。
根據《路線圖》,未來5年-10年將以民航“四強空管”建設為依托,著力構建安全穩、效率高、智慧強、協同好的新一代空中交通管理系統,實現廣域覆蓋感知、深度網絡互聯、數據融合賦能、智能協同響應以及智慧高效運行,從而有效提升空中交通全局化、精細化、智慧化運行能力和服務水平。
01
網絡安全合規成為智慧空管建設必選項
在《十四五民航空管系統發展規劃(2021-2025)》文件中明確強調:“強化網絡安全防護,構建全系統網絡安全和信息安全防護體系,制定空管系統網絡安全規劃,加強空管信息系統網絡安全等級保護和關鍵信息基礎設施安全保護?!?/div>
空管局作為管理全國空中交通服務、民用航空通信、導航、航空氣象、航行情報等方面的職能機構,氣象、飛行服務、空中管制等核心系統是空管體系網絡安全建設的重點對象,而空管自動化系統又是重中之重,發揮著非常關鍵的作用。然而,在業務系統建設落地過程中,空管自動化系統網絡安全建設面臨著諸多現實問題:
相關單位缺少配套的建設指導規范
空管自動化系統具有行業壁壘高、業務特色強的特點,業務系統對于安全性和穩定性的要求非常高。一套自動化管制系統部署會涉及到地區空管局、空管分局/站、機場塔臺多級架構,一套軟件系統在等保建設測評環節中也往往有多家單位參與,影響整體業務效率的同時也伴隨著較高的合規風險。全國空管局各級單位缺少相配套的建設指導來保證安全建設的高效落地。
核心內網安全建設風險隱患突出
應用系統層面的安全問題更為復雜,軟件系統自身bug、脆弱性、漏洞、操作系統等安全隱患都會導致自動化系統在內網被攻擊。另外,由于其自身架構復雜性,自動化系統一旦缺乏體系化、標準化、系統化的安全防護措施,將會面臨嚴峻的安全風險。
行業安全監測預警與響應處置體系亟待完善
由于空管多套業務系統呈現“孤島式”建設,對于行業而言,暫未建立完整的安全管理與安全運營體系。同時,因為行業內安全人才梯隊建設還未體系化,往往導致安全威脅發現較為滯后、安全事件處理較慢?;谝陨蟽纱笮袠I痛點,用戶需要進一步推進完善安全運營管理流程體系(具體包含監測、響應、處置等方面)、統籌規劃相關安全工具能力、補足安全管理人員能力或相應外部力量。
安全事件被動響應,安全應急處置能力不足
各大地區空管局內部安全建設良莠不齊,部分單位對于資產全生命周期及其脆弱性管理不足,在威脅事件發生時只能被動應對、無法快速定位問題范圍;同時,在定位出安全問題后也面臨不知如何處置、處置后難以判斷是否生效、生效后難以明確具體影響的業務范圍??偨Y來看,以上問題的深層原因是由于缺乏安全預警、即時處置、問題閉環的全流程安全運營體系建設。
02
匹配業務,一站式滿足等保合規要求
參照等級保護建設標準,深信服發現傳統建設方案存在著較多易被忽略的問題。例如,在安全區域邊界防護中,用戶訪問控制策略設置過于簡單,網絡安全邊界防護能力普遍缺失。因此,空管自動化系統等級保護三級建設需重點圍繞外部接口區、數據接引區、核心業務安全訪問控制做重點建設。
深信服空管自動化系統等保三級解決方案圍繞一中心三防護的核心理念,提出了“安全可視、協同防御、持續檢測”的建設方向,增強對安全管理中心、安全通信網絡、安全區域邊界、安全計算環境的整體防護。通過深信服合規自檢平臺實現提前自查、快速整改,同時幫助用戶提升整體系統網絡安全防護水平,實現統一的安全運營及管理建設,完成自動化系統等保三級合規建設一站式落地。
方案針對自動化系統的外部信號區、數據隔離區、核心業務區、安全運維管理區、系統維護區和數據輸出區這六大區域,匹配了相應的防護策略:
1、外部信號區(系統1區):非自動化系統軟件,不涉及等保三級建設。
2、數據隔離區(系統2區):在與外部信號區網絡邊界側部署深信服下一代防火墻AF冗余架構、IPS設備冗余架構,用于兩個區域之間系統與數據通信和傳輸的安全防護、入侵檢測等。同時,在交換機旁路部署深信服威脅檢測探針,將采集到的數據流量同步到安全管理區的安全態勢感知平臺SIP。
3、核心業務區(系統3區):該區域包含了業務操作區,為自動化軟件核心業務區,用于運行空管自動化系統,包括核心業務軟件平臺、前端管制中心的操作機,通過A、B、S網連接。在通信網絡邊界防護側,部署深信服下一代防火墻AF冗余架構、終端檢測。
4、安全運維管理區(系統4區):承擔著監測整網內部設備、流量、各類安全事件的職能,包括主機和網絡設備狀況監控、鏈路流量采集、用戶行為監測、防病毒監測、漏洞掃描、各類日志綜合分析審計、對安全事件告警和響應。在該區域部署深信服安全態勢感知平臺、堡壘機、全網行為管理、漏洞掃描、日志審計、數據庫審計等產品。
5、系統維護區(系統5區):用于業務維護的操作間,完成業務維護并增加安全維護保障能力。在與核心生產區做網絡通信時,通過部署深信服下一代防火墻AF形成冗余架構,實現區域安全訪問防護。
6、數據輸出區(系統6區):用于連接遠程進近管制中心、小型現場管制中心、機場塔臺的區域。在與核心生產區進行網絡通信與訪問時,通過部署深信服下一代防火墻AF形成冗余架構,實現區域安全訪問防護。
03
持續保護,構建全面安全防護能力
等級保護建設是深信服擅長的業務領域之一,深信服積極聯合行業核心合作伙伴,編寫完成首個面向空管自動化系統等保三級建設指南規范。該指南結合國家等級保護2.0建設標準、民航等保建設行業標準以及自動化系統等級保護當前建設現狀,圍繞“一中心、三防護”的建設框架,為全國各地空管單位自動化系統等保三級建設提供了非常具有參考意義的指引。合規之上,為各個業務系統提供全面的持續保護。
解決用戶內網自動化系統安全防護問題
深信服將自動化系統平臺按照部署邏輯劃分為六大安全建設域,每個區域之間采用下一代防火墻實現邊界安全訪問防護與控制,同時采用IPS入侵檢測實現訪問流量分析,新增安全運維管理區以便后期安全運維管理,在完全滿足自動化系統等級保護三級建設要求的同時,大幅提升了內網的整體安全防護能力。
安全監測預警與響應處置體系建設與完善
深信服安全態勢感知平臺SIP為空管行業用戶提供安全事件的響應與處置平臺,在滿足自動化系統等級保護三級建設要求的同時,通過監測平臺看清內網安全狀況,為事件應急指揮、安全加固提供決策支撐,實現安全運維可視化、安全態勢全局化。
提升安全運營能力解決資產及管理問題
解決方案還同步加強了安全運營能力建設,在不影響內網自動化系統生產運行的前提下,通過發送微量包掃描的方式探測整網資產情況、識別脆弱性問題,協助空管行業用戶全面掌握自動化系統多級架構部署情況,以及相關安全事件、資產、訪問等詳細情況,整體提升從各地區空管局到機場塔臺多級平臺的安全管理效率。
04
全程護航,守護新時期空管數字化建設
智慧民航建設作為“十四五”民航發展主線,涉及民航業全領域、全主體、全要素、全周期,在此過程中為智慧空管在內的各個模塊做好高效的網絡安全保障,是智慧民航高質量發展的必要前提。
深信服將充分發揮自身在空管領域的技術優勢和經驗,圍繞“智慧空管、數字空管、安全空管”的核心目標,全面、長期、面向未來地助力民航行業空管數字化建設,安全護航智慧民航的建設與發展。凝心聚力,守護美好出行。
2022-05-25