網絡信息安全是當前民航安全發展面臨的新挑戰，也是未來不可忽視的重要課題。近日，民航信息安全管理與測試中心博士周景賢在第六屆中國民用機場安全(安保)大會期間以“新形勢下機場網絡安全挑戰及應對”為主題發表專題演講，從當前機場智慧化、智能化發展趨勢下伴隨著嚴峻的網絡安全挑戰，應對建議，行業邀請共同促進三大方面進行了詳實地分享，引發了與會人士的全新、廣泛關注。

　　機場智慧化、智能化發展趨勢伴隨著嚴峻的網絡安全挑戰

　　一、機場智慧化和智能化的發展帶來的挑戰

　　對于旅客流程來說，從購票到安檢、托運、登機、落地，可以說在每個環節上都逐步地實現了一系列的智慧化和智能化，特別在自助行李托運和安檢驗證登機兩個環節上，民航行業推出了很多創新性的成果，讓旅客方便了很多。當然還有個性化的信息推送與人工智能機器人。信息推送的服務越來越完善，而機器人可以隨時顯示出機場的布局和引導旅客的走向，旅客想去哪，機器人就可以把路線指出來，非常方便。

　　與此同時，隨著網絡化的發展，機場具備了高實時性、安全性、可靠性和保密性的無線寬帶數據業務和集群通信業務，這使得機場在業務調度平臺上，可以顯示航班動態無線派工，資源和飛行器位置、服務進程以及現場視頻。同時，飛機可以現實機載數據交互，飛行員可以現實情報資料、氣象資料、地面服務動態等信息交互，乘務員可以實現旅客信息和服務的匯報交互，機務人員可以現實航班計劃動態、維修記錄等信息交互，地面服務人員可以實現航班計劃動態、工作任務、行李旅客等生產指令下發與回復。

　　但是，智慧意味著更加復雜，復雜意味著風險越來越大。

　　眾所周知，去年的勒索病毒影響重大，我們通過調研發現，機場終端深受影響。因為機場的終端和公安網是聯網的，這就說明一個問題，我們交互聯接的越多，風險就越大。

　　二、機場大數據應用新形勢帶來的挑戰

　　大數據是一個不可避免的趨勢。例如：機場的商業，我們可以對機場進行現場實時的人流監測，可以分析旅客在某個點駐留的時間與客流的密度分析，然后與店鋪進行關聯分析。然而大數據成為競爭新焦點同時，帶來了更多安全風險。

　　首先大數據意味著集中，容易成為網絡攻擊的顯著目標，無形中降低了黑客的進攻成本，增加了黑客的收益率;其次加大了隱私泄露的風險，這個后果不堪設想;第三是存儲風險，大數據對現有的存儲和安防措施提出了嚴峻地挑戰，比如：目前人們考慮最多的前端設備的問題，很少有人提到實時的監控數據來了如何保證安全傳輸和安全存儲，如果我們費了很大功夫把機場周圍全設了攝象頭，如果哪天黑客把數據庫黑了，就能夠清楚地知道機場的所有部署，包括人員狀況;第四是APT攻擊，也就是說大數據將成為高級可持續攻擊的載體。

　　對于旅客來說，他的所有數據都在機場，包括姓名、身份證號、單位、聯系電話等所有信息，這也就是說大數據不僅意味著海量的數據，更多智慧、智能化的服務，也意味著更復雜、更敏感的數據，以及更大隱私。如果信息被泄露了，對于機場將是災難性的。

　　最近，劍橋分析公司成功“竊取”了5000萬臉書用戶的信息，根據2011年，Facebook與聯邦貿易委員會就網站個人信息保護達成相關協議，即2011和解令，強調Facebook在隱私設置變化時要事先征得用戶同意，否則每泄露一個用戶信息可判處40000美元罰款。此次事件涉及用戶達8700萬用戶罰金將高達3.4萬億美元，這個處罰相當嚴厲。

　　我們國家也經常有信息泄露的情況，但是貌似也沒有什么手段，沒有什么處罰。不過作為數據的收集方，機場有理由要保證數據的安全。

　　此外，當前，很多網站的信息都是可以購買的，比如：個人的所有信息，甚至包括其購物的信息等。有些信息花一分錢就可以買到，而且可以批量購買。民航的網站也存在同樣嚴重的問題，比如機務人員信息、空乘人員信息等。

　　三、物聯網帶來的挑戰

　　物聯網即萬物互聯。比如：企業的職工工牌，它不是一個簡單的工牌，因為在企業上班隨時都要刷門禁進出，這就是人與物的互聯。還有攝象頭，目前的攝像頭不是簡單的攝象頭，實際上是一臺網絡設備，都是帶IP地址與后臺實時相連的。如果把這一臺終端換掉或者控制了，就可以獲得這個設備的所有信息。這種情況不乏案例，很多攝象頭被遠程控制的，國內外都有。

　　例如：美國東部時間2016年10月21日7點10分-17點(北京時間21日19點10分-22日5點)，黑客操控數百萬網絡攝像頭及相關DVR錄像機作為“肉雞”，通過Mirail僵尸網絡以DDoS劫持攻擊方式癱瘓了美國主要域名服務器(DNS)供應商Dyn公司的服務器，導致包括Twitter,Paypal,Spotifyy,Netflix,Airbnb,Github,Reddit以及紐約時報等在內的美國知名網站無法訪問，半個美國陷入斷網狀態。

　　從時間節點上看，“Mirai發動Ddos攻擊源碼公布”新聞爆出僅僅間隔1天后，黑客組織便使用Mirai僵尸網絡對Dyn公司服務器發起三波Ddos劫持攻擊，而且后續兩波次攻擊都是在Dyn工程師“成功”解決上一波次攻擊后所發起，這一切都使得本次“美國斷網Ddos攻擊事件”更像是一次目的性明確地實戰驗證演練。

　　黑客物聯網攻擊的戰略布局過程：

　　第1步，挖掘物聯網安全漏洞，使用惡意軟件愛你感染物聯網設備;

　　第2步，布設IOT僵尸網絡;

　　第3步，檢驗并升級物聯網攻擊惡意代碼;

　　第4步，感染針對性物聯網設備，完善僵尸網絡;

　　第5步，繼續尋找，挖掘物聯網設備漏洞，發現適合度高的攻擊目標

　　第6步，在合適時間點發起測試性廣度、深度攻擊，驗證物聯網攻擊效果;

　　第7步，繼續完善物聯網攻擊生態環境;

　　第8步，潛伏;

　　第9步，在關鍵時間節點發起致命攻擊;

　　第10步，探尋新物聯網惡意攻擊面。。。。循環步驟1～10步。

　　所以，我們應該考慮的問題不光是大范圍的建設攝像頭，其安全問題我們一定要考慮在內。

　　除了上述的問題之外，還有“云”的問題。

　　“云”已經不是什么新技術了，好幾年前就開始用了。就是把我的數據托管出去，也相當于把我的安全托管出去。在使用“云”成為普遍現象之后，如果對方的服務出現了問題，對于用戶來說是非常大的安全隱患。因為托管出去后用戶的數據是在“云”服務商的服務器那里，用戶的安全性是受其控制的。

　　去年，我們做了關鍵性基礎設施的檢查，有家單位對此深受其苦。某個云服務商說：你把數據放在我這不要錢。兩年后，該單位已經對“云”形成了依賴，云服務商開始收費了，并給該單位一個報價清單，告訴這個單位如果業務想達到一級安全，需要多少錢，達到二級安全需要多少錢。這個時候就不得不用了，因為把業務托管出去以后，就沒有再培養這方面的人才了，機制已經這樣了，這個單位沒有能力再把業務拿回來自行處理了，也就處處受制于云服務商了。這里面一是涉及到高昂托管費的問題，二要涉及穩定性。

　　四、主動安全威脅呈現新特點，從炫技到獲利。

　　以往黑客攻擊一個網站只是留一句話而已，主要為了炫耀自己的技術，現在黑客攻擊網站則變成了獲利。縱所周知的勒索病毒和挖礦病毒就是如此，他們是為了獲取高額的暴利而進行攻擊。

　　應對建議

　　第一，業務安全基礎上的安全合規。

　　從安全角度，從信息化網絡角度，這個安全包括幾個方面：業務安全、開發安全、數據安全、安全運營、安全合規。

　　其中，安全基礎就是開發安全和數據安全。我們接觸了很多企業，他們號稱自己開發的軟件非常好，但是事實上更本經不起幾個測試的代碼。而數據安全，我們現在都在談大數據，但如果我們保護不了數據的話，對我們來說，我們手里握著的數據就是一顆定時炸彈。

　　企業底線就是業務安全和安全運營，這兩個底線是不能破的，必須保證業務正常運行，保證整個機場的流暢性。機場的信息化部門在2013年之前甚至2015年之前是不受重視的，就是投錢但看不到效果的一個部門。但信息化部門之所以存在，其目的和意義就在于為了機場的業務安全和機場整體運行的安全。

　　上層驅動就是安全合規，也就是說，我們無論做得如何好，無論保護得如何好，但要符合國家相關部門的管理規定，以便可以隨時接受政府相關部門的檢查。業務安全、開發安全、數據安全、安全運營這四個方面，每個機場單位都會非常重視，這是機場的底線。但就是安全合規方面做得不完善。

　　目前，從國家層面來說，國家網絡安全就是一部法律——《網絡安全法》，兩個手段——關鍵信息基礎設施保護和安全等級保護，三個平臺——通報平臺，檢測預警平臺，應急指揮平臺。

　　其中，《網絡安全法》主要是對網絡的所有者、服務提供者提供了非常多的要求。此外，還有歐盟剛通過的《數據保護通用條例》，該《條例》對航空公司和機場而言非常厲害，我們的飛往歐盟地區的航班，以及從歐盟到我國的境外航班，在數據均要達到該《條例》的保護的要求。

　　與此同時，各相關政府部門還推出了一系列的“網絡安全法及配套規定標準”，諸如：

　　2016.11.07 全國人民代表大會常務委員會《中華人民共和國網絡安全法》

　　2017.01.10 中央網信辦《國家網絡安全事件應急預案》

　　2017.05.02 國家網信辦《網絡產品和服務安全審查辦法(試行)》

　　2017.05.02 國家網信辦《互聯網新聞信息服務管理規定》

　　2017.05.02 國家網信辦《互聯網信息內容管理行政執法程序規定》

　　2017.05.09 最高人民法院和最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》

　　2017.06.01 國家網信辦、工信部、公安部和國家認監委《網絡關鍵設備和網絡安全專用產品目錄(第一批)》

　　2017.06.27 全國人民代表大會常務委員會《中華人民共和國國家情報法》

　　2016.10.19 工業和信息化部《工業控制系統信息安全防護指南》

　　2017.05.31 工業和信息化部《工業控制系統信息安全事件應急管理工作指南》

　　2017.08.11 工業和信息化部《工業控制系統信息安全防護能力評估工作管理辦法》

　　2017.08.25 國家網信辦《互聯網跟帖評論服務管理規定》

　　2017.08.25 國家網信辦《互聯網論壇社區服務管理規定》

　　2017.09.07 國家網信辦《互聯網用戶公眾賬號信息服務管理規定》

　　2017.09.07 國家網信辦《互聯網群組信息服務管理規定》

　　2017.04.11 國家網信辦《個人信息和重要數據出境安全評估辦法(征求意見稿)》

　　2017.05.24 全國信息安全標準化技術委員會《信息安全技術 大數據安全管理指南》

　　2017.07.01 國家網信辦《關鍵信息基礎設施安全保護條例(征求意見稿)》

　　另外，在等級保護上，我國也推出了一系列的“等級保護相關規定標準”(如下圖)。目前，我國網絡信息安全已經由原來的等級保護1.0上升到現在的2.0了，把虛擬化、大數據、云計算等都包括在里面了。

　　今年6月27日，公安部剛剛發布了《網絡安全等級保護條例(征求意見稿)》，這是一部法律，大家也必須要熟悉和了解，里面有些條款涉及到了系統，包括系統保護到什么程度等，以便未來公安部門的檢查。

　　去年12月底，《民航局關于成立網絡安全和信息化工作領導小組的通知》正式發布，根據該文件，民航網絡安全的具體工作落在了領導小組辦公室，下圖為民航網絡安全工作框架，民航網絡安全管理是通過下圖的框架體系來實施工作的。

　　其中，民航網絡安全規章政策體系和民航網絡安全標準體系為基礎，正在建設民航重要信息系統網絡安全保障示范工程和民航網絡安全管理和監控平臺兩大平臺建設。以關鍵信息基礎設施和等級保護為抓手，以網絡安全監察員、技術支持團隊、安全管理與技術人員為人員隊伍培養，在工作方式上實施安全檢查、重點保障、監測評估、安全通報、事件調查、信息統計、人才培養、技術研究、宣傳教育九個層面。

　　民航網絡安全規章政策體系，目前有三個辦法，兩個標準，一項規定。最早的民航網絡安全工作就靠三個辦法，即《民航網絡與信息安全檢查辦法》、《民航網絡與信息安全信息通報辦法》、《民航網絡與信息安全管理暫行辦法》;兩個標準指的是《民航信息系統安全等級保護定級指南》與《民用航空關鍵信息基礎設施確定指南》這兩項標準今年會發出來;一項規定指的是《民航網絡信息安全管理暫行規定》這是民航的網絡安全法，現在法規部門正在做相關工作，預計很快也會發布。

　　第二是結合自身情況，充分重視外部情報。

　　當前，很多民航機場單位也重視網絡安全，也有很強的手段，也有很多公司提供了很強的服務，比如：買了很多網絡設備，到處都設置了防火墻、殺毒軟件，進行代碼檢測、漏洞掃描、資產識別等，但是設備剛上的時候發現了很多問題，而運行一個月后什么問題也沒有了，貌似系統所有的漏洞都堵住了，系統完全安全了。但是，你要知道，我們的系統數量是有限的，黑客進行外部攻擊的時候不一定選擇常規性的漏洞，有些我們沒有發現的漏洞就會成為外部攻擊的突破口，這時候我們就需要獲得一些外部的資源，比如威脅情報。所以，我們要給技術供應方提個要求，讓對方定期給我們提供威脅情報。

　　我們加了一個微信群，每天都有很多的微信情報處理，會通報哪個地方出現漏洞了，哪個地方出現攻擊了，機場可以加入這個微信群，對標有沒有存在這個漏洞和問題。

　　第三是網絡安全人才戰略。

　　其實網絡安全對抗實際上是人與人的對抗，其核心是建設人才培養體系。

　　說白了發現問題、解決問題，最終還是由人來解決，我們現在有很多機器，但是最終解決問題的還是人，我們布置了很多網絡設備，它們不會第一時間給我們報告漏洞，都是需要人去分析的。習總書記2017年講話的時候指出，我們要愛才惜才，創新人才體制機制，推進人才流動，建網絡強國。人才方面確實是當下民航網絡信息安全的一個缺口，家里有小孩的報專業，建議報網絡安全專業，這個專業不愁不到工作，因為這個專業缺口太大了。

　　行業邀請共同促進

　　第一項邀請——希望大家加入行業安全監測體系。

　　國家要建設國家級的網絡安全監測平臺，數據一定要從行業要，而民航行業的數據一定要從民航的各個單位里來。目前，我們建設了兩個平臺——民航網絡與信息安全管理平臺與發改委態勢預警及應急處置平臺。

　　民航網絡與信息安全管理平臺：其目的在于提升監管效率，管理工作平臺化，提高監測能力，全面覆蓋行業重要網站、基本覆蓋行業重要信息系統。也是態勢預警及應急處置平臺，這是由國航首都機場、空管局、民航大學代表民航局等單位共同建設的，目前所有批復工作、招標工作幾乎已經完成，現在正在建設過程中，預計明年上半年可以完成，完成之后會選擇有特點的單位進行示范，然后面向全國推廣。

　　我們的想法是，先看示范效果，并面向行業下發通知，要求有興趣的單位主動加入大數據對接。當然，如果有必要，國家重視力度大，可能就會強制要求民航各單位必須把系統接過來。

　　第二項邀請——歡迎各單位繼續參與行業的標準建設。

　　當前參與制定行業信息安全標準的人非常少，積極性不是很高，相對來說是一項空白。民航標準化管理工作目前有航科院標準化計量所總體負責，民航大學協助他們做網絡安全標準的立項、驗收、發布等工作，我們希望學習全國信息安全標準委員會的方式，希望全行業的人共同參與建設這個標準，這樣效率也會提升。

責編：admin