空中丝路打造云上安全标杆 西安咸阳国际机场创新1+3+2安全体系

10天完成4.51公里施工道路、3天完成15000平米高标准道路硬化、73天完成3199根灌注桩、1天外运土方量峰值高达5万方……西安咸阳国际机场三期扩建工程项目现场机器轰鸣，“空中丝路”的建设正在跑出属于自己的“加速度”。预计项目建成后，西安咸阳国际机场将形成4条跑道、4座航站楼、东西航站区双轮驱动的发展格局。

与此同时，作为负责西安咸阳国际机场建设和运营管理的西部机场集团，近年来，积极践行数字化转型战略，以数字化、智能化的应用为西安咸阳“智慧机场”提升服务质量、提高效率奠定基础。

图片来自网络

随着业务应用的全面上云，安全的重要性就更加凸显。作为国家关键信息基础设施之一，机场其一旦遭遇网络攻击、恶意破坏，极有可能会导致重大财产损失，甚至人员伤亡，具有很大的破坏性和杀伤力。

为加强网络安全纵深防御和全天候、无死角态势感知能力，实现从被动防御向主动防护的进阶，西部机场集团与奇安信集团达成了合作，创新式打造了“1+3+2”网络安全防护体系，为冉冉升起的“空中丝路”保驾护航。

全面上云后的三大挑战

“智慧机场网络架构复杂，业务系统繁多，目前现有应用系统超过50余个，并且全部运行在智慧机场云平台上。”西部机场集团网络安全负责人介绍，不同的系统之间尽管功能不尽相同，但相互之间存在着紧密的联系，在不同系统之间通过API接口等形式进行功能和数据的调用。

随着旅客对于出行服务效率、服务质量的要求不断提高，应用的数量还在快速攀升，随之而来的各类网络安全风险，也成为数字化继续深入的重要挑战。

就目前而言，智慧机场面临的安全挑战主要包括以下几个方面：

首先是云边界安全防护。长期以来，西部机场集团对网络安全建设都有着很高的重视程度，在基础纵深防护能力建设方面，防火墙、IDS、WAF等，都保持了较高的运营水平，基本能够满足过去安全防护的需求。但随着越来越多的应用系统上云，智慧机场云平台的服务边界正在不断扩大，传统的网络边界日渐模糊，所有接入云服务的应用、终端，都成为了云平台的边缘设施，这给以传统防火墙、WAF、IDS为核心的边界防御体系带来了非常大的挑战。

其次是云工作负载安全防护。目前，云平台上已经运营超过50个应用系统，虚拟机、容器等云上工作负载也日渐增多，一旦攻击者突破网络边界，很容易使用弱口令暴破、漏洞利用等手段，在内部工作负载之间横向渗透。因此，如何针对庞大的资产进行统一管理，做好资配漏补的闭环运营，收缩暴露面，同时做到实时、精准的威胁检测与响应，快速定位并处置失陷终端，显得十分重要。

第三是安全监测与协同防御。通常情况下，高水平网络攻击并不会局限在某一点，而是有针对性的系列行动。为了寻求入侵高价值目标，攻击者会针对云平台内部多个主机、数据库、应用进行攻击，每一步之间看起来相互独立但却紧密相连。因此，安全防护体系应当是一个有机的整体，依靠全局视角实现整体的态势感知、统一运营，才能还原整个攻击链条，各自为战只会导致视野受限，首尾难以相顾，不能满足实战化网络攻防的需求。

“作为国家关键基础设施，网络安全建设还应符合国家对关键基础设施的要求，符合等级保护安全要求，符合国家的网络安全法及《‘十四五’民用航空发展规划》目标。”西部机场集团网络安全负责人补充说到。

规划先行，走向业务安全深度融合

面对上述挑战，基于“以查漏补缺”为主的传统建设手段已经失效，需要用内生安全来摆脱安全能力的局部与外挂，实现网络安全能力与智慧机场业务环境的融合内生。

“长期以来，网络安全是以局部整改为主的安全建设模式，这种模式会导致网络安全体系化缺失、碎片化严重、协同能力较差。”奇安信相关项目负责人表示，未来更加强调全面、综合的能力建设，需要利用系统工程的思想，实现网络安全、信息化和实际业务深度融合。

为此，西部机场集团选择了规划先行的战略，结合智慧机场的实际运行情况，针对方案架构、产品参数、产品功能等方面进行了反复打磨，创新的提“1+3+2”的“智慧机场”综合网络安全保障框架，全面满足国家《网络安全法》、《关键信息基础设施保护条例》、《网络安全等级保护基本要求》等法律及标准，实现网络安全与智慧机场的同步规划、同步建设与同步运营。

☞“1”是指一个态势感知与安全运营中心，实现针对系统、产品、设备、策略、网络安全事件、操作流程等的统一管理；

☞“3”是指构建安全区域边界、安全计算环境、安全通信网络三维一体的技术防护；

☞“2”是指：形成安全防护体系、安全感知体系，两个体系相互融合、相互补充，形成一个整体的综合网络安全保障体系。

“三重防护”，打造三位一体的纵深防御架构

按照事前的安全规划，在持续的安全建设中，奇安信希望帮助西部机场集团打造多层次的纵深防御架构。该架构应具备三重防护能力，形成安全网络通信、安全区域边界和安全计算环境的三位一体。

在通信网络层，奇安信通过部署安全接入网关实现远程用户的安全访问，从用户接入身份的安全性、终端设备的合法性、访问业务系统的权限合法性、业务数据传输的安全性等多个层面保障用户跨互联网远程接入的安全，确保每一次访问的合理性与安全性

在边界安全层，针对新的边界安全威胁，通过部署新一代智慧防火墙、防病毒网关、上网行为管理系统，为智慧机场广域网出口、互联网出口、旅客无线网出口、海关网、边检网等各个安全域之间，做好网络安全隔离与流量检测。与此同时，防火墙、探针等设备可还原网络流量中的文件，将其发送至沙箱中进行深度检测。沙箱通过模拟文件执行环境来收集和分析文件的静态和动态行为数据，实现对未知恶意文件的检测，有效避免以文件为载体的未知威胁攻击扩散和核心信息资产损失。

在计算环境层面，奇安信通过部署统一服务器安全管理系统，通过网络微隔离、多引擎协同文件防护、主机网络入侵防御等手段，做到东西向流量防护，消除计算环境中的恶意扫描、漏洞攻击、病毒感染及横向传播等安全威胁。

值得注意是，三层安全防护能力之间并非相互独立，而是一个三位一体的防御架构。在发现安全威胁时，不同安全设备之间可实现联动防御。比如，虚拟化安全平台当发现云平台内部失陷终端后，可以快速下线并隔离实现终端，并调用反病毒产品第一时间对病毒、木马进行清除，同时调用防火墙对攻击IP进行阻断。

一体化态势感知，完成主动防御进阶

在上述能力基础上，奇安信为西部机场集团构建了深度融合、全面覆盖的云内云外一体化安全能力，从而实现了主动防御的进阶。

奇安信统一服务器安全管理系统具备强大的流量采集转发能力，能够在不改变云网络结构和流量策略前提下，可全面采集云平台流量并引流到态势感知与安全运营中心NGSOC软探针上，软探针接收、解析并分析引流代理发过来的流量，并把数据送到态势感知与安全运营中心进行分析呈现。

作为态势感知与安全运营的核心抓手平台，奇安信新版NGSOC能够快速整合现有安全工具和能力，精准检测边界、网络、端点、身份、应用和云等六大维度的网络威胁，提供跨数据源的全局威胁可视性，开箱即用的安全内容包。

在事件响应方面，NGSOC可将相关联告警自动汇聚形成完整事件卷宗，自动补充上下文证据，自动映射MITRE ATT&CK攻击者战术和技术，自动解读攻击者意图、自动识别关键攻击痕迹、自动评估影响面并计算处置对象，即使是复杂事件，也能轻松看懂事件的来龙去脉和完整信息。

丝路漫漫，连通东西，纵贯古今。当前，西安咸阳国际机场三期扩建工程正在如火如荼建设中，预计2024年底具备投运条件，机场业务规模将实现指数级跃升，形成“丝路贯通、欧美直达、五洲相连”的国际航空枢纽，奇安信集团面对网络安全产业发展的大好形势和“一带一路”的战略机遇，依托一流的网络安全技术、产品和能力，将为“空中丝绸之路”提供保驾护航，为“一带一路”地区及沿线国家提供高质量的网络安全服务。