规划背景
近年来,我国机场数量呈持续增长态势。据民航局公开数据,截至2021年底,我国境内运输机场(不含香港、澳门和台湾地区)248个,2022年预计新增8个,“十四五”末预计将达到270个以上。目前几乎所有的机场都即将或正在筹备智慧机场的建设。然而,智慧机场在大规模应用云计算、大数据、人工智能、虚拟现实、物联网、移动互联网等新一代信息技术的同时,也不可避免地受到各类信息和网络安全问题的威胁,病毒肆虐、黑客攻击、漏洞利用、敏感信息泄露等都严重影响到智慧机场信息系统的正常运行和业务的正常开展。因此,针对智慧机场的网络与信息安全建设及保障工作需要引起高度重视。
随着《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《“十四五”民用航空发展规划》《中国民航四型机场建设行动纲要》(2020-2035年)《四型机场建设导则》《智慧民航建设路线图》等国家及行业相关政策的密集发布,我国的智慧机场建设规划将逐步得到完善,而做好信息和网络安全建设规划工作,建立健全信息和网络安全保障体系,是全面推进智慧机场建设、大力推动民航数字化转型升级的基础保证,也是重要抓手。
新时期新形势背景下,绿盟科技基于多年在民航机场信息和网络安全方向的研究及实践,总结提出智慧机场安全建设规划思路,旨在为全国新建 (迁建)、 改建、 扩建的智慧机场提供借鉴,助力智慧机场建设。
规划目标与思路
绿盟科技认为智慧机场安全建设规划宜本着明确目标、统一规划、落地执行的方针,落实可信、可控、可管的工作目标,形成机场全网信息和网络安全规划指引文件,通过规划的落地与执行,明确各部门安全建设的目标和思路,逐步建立可信、可控、可管的统一安全防护体系,为机场全网业务安全平稳运行提供有力支撑和保障,进而有效提升机场生产和经营核心竞争力。
对于已建成机场,仍可实施信息和网络安全建设规划设计。可对现有安全技术体系进一步丰富和专项加强,对安全管理体系相关流程、相关制度进行完善及更新,对安全运维指标进行持续性优化,对内部安全考核机制的执行情况进行监督落实,对安全建设各项要求落实情况进行督导检查,贯彻落实好机场整体信息和网络安全保障工作,为机场智能安全运营提供有效支撑。
规划框架和任务
机场安全规划思路多以合规为出发点,侧重于宏观的安全框架设计和产品级的安全方案,缺乏体系化、场景化、实战化的设计和落地指导,而绿盟科技本次提出的智慧机场安全建设规划思路,从规划背景、规划目标及思路出发,构建体系化鲜明的规划框架,还重点提出六项场景化关键任务和内容,供机场用户参考。
规划框架
《四型机场建设导则》明确智慧机场建设应做好信息安全保障工作,建立健全信息安全保障体系。按照“同步规划、同步建设、同步运行”原则,在国家及行业相关法规、政策文件指导下,以保障业务平稳运行为重要使命,绿盟科技构建了智慧机场信息和网络安全建设规划框架,如下图所示:
智慧机场“121112”信息和网络安全建设规划框架
智慧机场“121112”信息和网络安全建设规划框架从下至上,从左至右,依次是:
“1”个对象:智慧机场的全业务、全流程,包括基础设施、数字平台、业务平台、生产运行系统、用户体验终端等;
“2”个重要抓手:以网络安全等级保护、关键信息基础设施保护两个合规建设任务为重要抓手;
“1”个核心:以建设好安全运营中心为智慧机场信息安全保障的核心;
“1”套策略、方针:围绕智慧机场物理安全、网络安全、终端安全、系统安全、应用安全、数据安全等制定策略及方针;
“1”个战略规划目标:智慧机场“十四五”期间信息化及网络安全发展具体战略;
“2”套支撑体系:国家网络安全法律法规体系和民航网络安全政策标准体系,既是支持指导,也是约束监督。
规划任务
智慧机场可在上述“121112”信息和网络安全建设规划框架下,结合自身现状、发展规划及定位,进一步论证研究具体建设任务和内容,确保因地制宜、切合实际。本文中规划了六项关键任务,以供参考。
加强机场基础网络安全建设
抓好机场安全管理工作必须突出“三基”建设:在基层、基础、基本功上真正下功夫,全面提升机场安全保障能力。弱电信息系统作为机场生产安全与旅客人身安全的“三基”保障,在机场的管理运行中具有不可替代的作用。弱电信息系统的合理设计能够为机场管理提供准确、及时的动态信息资料,提供工作人员的工作效率,方便机场的管理,保证旅客及机场等各方面的安全。信息网络系统作为智慧机场弱电信息系统的核心系统,对其开展基础安全建设规划,夯实信息和网络安全的底座,正是落实“三基”建设要求的重要举措。
加强机场基础网络安全建设任务宜以“纵深防御”为指导思想,遵照等级保护2.0相关标准,在分析机场业务系统安全需求的基础上,建立预警、防护、检测、响应,自适应闭环的安全防护体系,同时为提供可定制的安全服务,全面控制遇到的网络的安全风险,提升机场的整体安全防御能力。
机场云及云上业务安全保护
机场云及云上业务安全保护任务宜遵循“一个中心,三重防护”设计,综合软件定义安全、大数据安全分析、威胁情报等技术,将传统安全产品服务化,从机场云平台和云上业务系统(如OA、ERP、邮件等)两个层面建立纵深安全防护体系;将安全状态可视化,建立云整体安全态势;利用安全运营服务,辅助机场单位安全上云和用云;从而实现主动的云安全防护架构,形成安全事件的事前预警、事中防护和事后审计的安全闭环,并对整体安全持续监测和优化。
提升数据资源安全防护能力
提升机场数据资源安全防护能力任务宜围绕旅客服务、生产协同、综合交通等关键数据资源,结合智慧机场建设数据安全保障具体需求,运用业界成熟的数据安全体系建设方法论,围绕数据生命周期安全要求,综合考虑组织建设、制度流程,技术工具和人员能力建设需要,并按照业务梳理、分级分类、策略制定、技术管控、优化改进这五个阶段进行分步建设,规划建设一套“以数据安全防护为中心”的体系。通过体系建设,能够帮助机场建立较完备的数据安全保障能力,保障智慧机场数据提供者和使用者在开展数据交互时,能够抵御或应对常见的威胁,能将受到破坏后的损失控制在有限的范围和程度内,确保机场信息化平台、数据应用平台、通信网络等可以安全可靠地运行,满足保密性、完整性、可用性等安全能力的要求。
物联网等新技术应用安全保护
智慧机场在空侧、航站楼、路侧区域实现对航班、旅客、行李、车辆的精细化、协同化、可视化、智能化的运行与管理时,广泛应用了物联网、云计算、大数据、人工智能、虚拟现实、移动互联网等新一代信息技术。智慧机场物联网等新技术应用安全保护任务宜通过Al自动化终端可信安全SDK、物联网安全网关、威胁流量检测探针、云安全资源池、安全运营平台等防护产品,构建感知侧-传输侧-应用侧全方位安全防护体系,实现监测、检测、预警、防御、响应与应急处置,结合安全咨询、渗透测试、全生命周期安全风控等安全服务,打造智慧机场物联网“出行一张脸”集成业务场景下“全流程、全环节”网络安全保障体系,利用先进的信息安全技术,积极应对新技术新应用伴生的网络安全风险,助力四型机场建设,护航智慧机场的可持续发展。
关键信息基础设施安全保护
智慧机场关键信息基础设施安全保护任务宜以安全方针、策略作为安全工作的指导与依据,构建一套安全保障框架体系,即以建立供应链安全保障体系为底座,将供应链的“命门”掌握在自己手里,筑牢基础安全屏障;以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为抓手,在满足合规基线基础上,适当针对性加强;以保护机场关键信息基础设施、重要网络和数据安全为重点,切实加强保卫、保护和保障;以建设安全态势感知平台为核心驱动力,以其他信息共享系统、安全运营服务、安全工具等关基保护配套服务工具作为辅助,全面加强机场网络安全防范管理、监测预警、应急处置等各项措施,及时监测、处置网络安全风险和威胁(尤其是定向性的APT攻击、0Day漏洞、未知恶意软件等) ;以机场网络安全现状和业务发展需求为导向,评估机场在关键信息基础设施保护方面存在的风险,为机场运营者提供有针对性的安全解决方案,更好地为其信息化发展保驾护航。
提高机场整体安全运营能力
安全运营是体系化地运用安全技术、安全管理和安全服务手段持续降低企业或机构的面临的安全风险。提高机场整体安全运营能力任务宜以实战化安全运营为目标,遵循“管理与技术并重,预防与保护并举”理念,覆盖“预警、防护、检测、响应”的全过程,提供全天候、全方位的信息和网络安全防护,实现“整体安全、全面保障”总体目标。将在建设完善的安全技术体系、安全运维体系和安全管理体系的基础上,统筹智慧机场网络安全运营体系建设规划,为机场持续长久安全运行保驾护航。通过安全运营的工作实践积累,不断地优化和完善安全技术体系、安全运维体系和安全管理体系,进而更有效地支撑安全运营工作,以达成机场安全建设的总体目标。
建设路线规划
智慧机场信息和网络安全的建设并非一蹴而就,需要清晰、长远、系统的建设路线总体规划,那些模糊、短期、零散的安全行动和规划最终会造成头痛医头、顾此失彼、重复建设等问题。智慧机场安全建设路线规划宜依据机场安全建设规划总体目标及思路,以若干规划任务建设为支撑指导,分年度(如:T+1、 T+2、 T+3)分阶段(可信阶段、可控阶段、可管阶段)有序构筑、叠加演进各项安全能力,通过“四维度规划”内容的映射匹配和生态融合,即可逐步落实“可信、可控、可管”的统一安全防护体系建设工作,如下图所示。
智慧机场“四维度”安全建设路线图
可信阶段:实现有效识别、重点防御、责任明晰,具体落实在构建安全域划分、安全准入、入侵检测、病毒防护等有效机制,达成安全防护体系初步建立目标;
可控阶段:实现全面纵深、及时响应、集中管控,具体体现在具备丰富实用的安全能力和安全管理中心/平台建立和有效使用,达成安全防护体系基本建立目标;
可管阶段:实现整体主动、联防联控、精准高效,具体落实在引用高新技术和服务重点协防、专项协管,以安全运营中心/平台为安全保障核心,达成安全防护体系建立完成目标,并建立信息和网络安全实战化、体系化、常态化机制。
总结与展望
“十四五”时期是机场行业服务“民航强国”战略、推进“四型机场”建设、实现机场高质量发展的关键期。绿盟科技提出的智慧机场安全建设规划思路,是以保障新时期新形势下机场业务平稳运行为重要使命,以体系化、场景化、实战化设计思路为指引,为全国智慧机场安全建设规划项目的顺利开展和真正落地提供详细指导,确保其关键信息基础设施、重要业务信息系统和关键数据资源安全。
来源:绿盟科技
