周景贤：新形势下机场网络安全挑战及应对

 　　网络信息安全是当前民航安全发展面临的新挑战，也是未来不可忽视的重要课题。近日，民航信息安全管理与测试中心博士周景贤在第六届中国民用机场安全(安保)大会期间以“新形势下机场网络安全挑战及应对”为主题发表专题演讲，从当前机场智慧化、智能化发展趋势下伴随着严峻的网络安全挑战，应对建议，行业邀请共同促进三大方面进行了详实地分享，引发了与会人士的全新、广泛关注。

　　机场智慧化、智能化发展趋势伴随着严峻的网络安全挑战

　　一、机场智慧化和智能化的发展带来的挑战

　　对于旅客流程来说，从购票到安检、托运、登机、落地，可以说在每个环节上都逐步地实现了一系列的智慧化和智能化，特别在自助行李托运和安检验证登机两个环节上，民航行业推出了很多创新性的成果，让旅客方便了很多。当然还有个性化的信息推送与人工智能机器人。信息推送的服务越来越完善，而机器人可以随时显示出机场的布局和引导旅客的走向，旅客想去哪，机器人就可以把路线指出来，非常方便。

　　与此同时，随着网络化的发展，机场具备了高实时性、安全性、可靠性和保密性的无线宽带数据业务和集群通信业务，这使得机场在业务调度平台上，可以显示航班动态无线派工，资源和飞行器位置、服务进程以及现场视频。同时，飞机可以现实机载数据交互，飞行员可以现实情报资料、气象资料、地面服务动态等信息交互，乘务员可以实现旅客信息和服务的汇报交互，机务人员可以现实航班计划动态、维修记录等信息交互，地面服务人员可以实现航班计划动态、工作任务、行李旅客等生产指令下发与回复。

　　但是，智慧意味着更加复杂，复杂意味着风险越来越大。

　　众所周知，去年的勒索病毒影响重大，我们通过调研发现，机场终端深受影响。因为机场的终端和公安网是联网的，这就说明一个问题，我们交互联接的越多，风险就越大。

　　二、机场大数据应用新形势带来的挑战

　　大数据是一个不可避免的趋势。例如：机场的商业，我们可以对机场进行现场实时的人流监测，可以分析旅客在某个点驻留的时间与客流的密度分析，然后与店铺进行关联分析。然而大数据成为竞争新焦点同时，带来了更多安全风险。

　　首先大数据意味着集中，容易成为网络攻击的显著目标，无形中降低了黑客的进攻成本，增加了黑客的收益率;其次加大了隐私泄露的风险，这个后果不堪设想;第三是存储风险，大数据对现有的存储和安防措施提出了严峻地挑战，比如：目前人们考虑最多的前端设备的问题，很少有人提到实时的监控数据来了如何保证安全传输和安全存储，如果我们费了很大功夫把机场周围全设了摄象头，如果哪天黑客把数据库黑了，就能够清楚地知道机场的所有部署，包括人员状况;第四是APT攻击，也就是说大数据将成为高级可持续攻击的载体。

　　对于旅客来说，他的所有数据都在机场，包括姓名、身份证号、单位、联系电话等所有信息，这也就是说大数据不仅意味着海量的数据，更多智慧、智能化的服务，也意味着更复杂、更敏感的数据，以及更大隐私。如果信息被泄露了，对于机场将是灾难性的。

　　最近，剑桥分析公司成功“窃取”了5000万脸书用户的信息，根据2011年，Facebook与联邦贸易委员会就网站个人信息保护达成相关协议，即2011和解令，强调Facebook在隐私设置变化时要事先征得用户同意，否则每泄露一个用户信息可判处40000美元罚款。此次事件涉及用户达8700万用户罚金将高达3.4万亿美元，这个处罚相当严厉。

　　我们国家也经常有信息泄露的情况，但是貌似也没有什么手段，没有什么处罚。不过作为数据的收集方，机场有理由要保证数据的安全。

　　此外，当前，很多网站的信息都是可以购买的，比如：个人的所有信息，甚至包括其购物的信息等。有些信息花一分钱就可以买到，而且可以批量购买。民航的网站也存在同样严重的问题，比如机务人员信息、空乘人员信息等。

　　三、物联网带来的挑战

　　物联网即万物互联。比如：企业的职工工牌，它不是一个简单的工牌，因为在企业上班随时都要刷门禁进出，这就是人与物的互联。还有摄象头，目前的摄像头不是简单的摄象头，实际上是一台网络设备，都是带IP地址与后台实时相连的。如果把这一台终端换掉或者控制了，就可以获得这个设备的所有信息。这种情况不乏案例，很多摄象头被远程控制的，国内外都有。

　　例如：美国东部时间2016年10月21日7点10分-17点(北京时间21日19点10分-22日5点)，黑客操控数百万网络摄像头及相关DVR录像机作为“肉鸡”，通过Mirail僵尸网络以DDoS劫持攻击方式瘫痪了美国主要域名服务器(DNS)供应商Dyn公司的服务器，导致包括Twitter,Paypal,Spotifyy,Netflix,Airbnb,Github,Reddit以及纽约时报等在内的美国知名网站无法访问，半个美国陷入断网状态。

　　从时间节点上看，“Mirai发动Ddos攻击源码公布”新闻爆出仅仅间隔1天后，黑客组织便使用Mirai僵尸网络对Dyn公司服务器发起三波Ddos劫持攻击，而且后续两波次攻击都是在Dyn工程师“成功”解决上一波次攻击后所发起，这一切都使得本次“美国断网Ddos攻击事件”更像是一次目的性明确地实战验证演练。

　　黑客物联网攻击的战略布局过程：

　　第1步，挖掘物联网安全漏洞，使用恶意软件爱你感染物联网设备;

　　第2步，布设IOT僵尸网络;

　　第3步，检验并升级物联网攻击恶意代码;

　　第4步，感染针对性物联网设备，完善僵尸网络;

　　第5步，继续寻找，挖掘物联网设备漏洞，发现适合度高的攻击目标

　　第6步，在合适时间点发起测试性广度、深度攻击，验证物联网攻击效果;

　　第7步，继续完善物联网攻击生态环境;

　　第8步，潜伏;

　　第9步，在关键时间节点发起致命攻击;

　　第10步，探寻新物联网恶意攻击面。。。。循环步骤1～10步。

　　所以，我们应该考虑的问题不光是大范围的建设摄像头，其安全问题我们一定要考虑在内。

　　除了上述的问题之外，还有“云”的问题。

　　“云”已经不是什么新技术了，好几年前就开始用了。就是把我的数据托管出去，也相当于把我的安全托管出去。在使用“云”成为普遍现象之后，如果对方的服务出现了问题，对于用户来说是非常大的安全隐患。因为托管出去后用户的数据是在“云”服务商的服务器那里，用户的安全性是受其控制的。

　　去年，我们做了关键性基础设施的检查，有家单位对此深受其苦。某个云服务商说：你把数据放在我这不要钱。两年后，该单位已经对“云”形成了依赖，云服务商开始收费了，并给该单位一个报价清单，告诉这个单位如果业务想达到一级安全，需要多少钱，达到二级安全需要多少钱。这个时候就不得不用了，因为把业务托管出去以后，就没有再培养这方面的人才了，机制已经这样了，这个单位没有能力再把业务拿回来自行处理了，也就处处受制于云服务商了。这里面一是涉及到高昂托管费的问题，二要涉及稳定性。

　　四、主动安全威胁呈现新特点，从炫技到获利。

　　以往黑客攻击一个网站只是留一句话而已，主要为了炫耀自己的技术，现在黑客攻击网站则变成了获利。纵所周知的勒索病毒和挖矿病毒就是如此，他们是为了获取高额的暴利而进行攻击。

　　应对建议

　　第一，业务安全基础上的安全合规。

　　从安全角度，从信息化网络角度，这个安全包括几个方面：业务安全、开发安全、数据安全、安全运营、安全合规。

　　其中，安全基础就是开发安全和数据安全。我们接触了很多企业，他们号称自己开发的软件非常好，但是事实上更本经不起几个测试的代码。而数据安全，我们现在都在谈大数据，但如果我们保护不了数据的话，对我们来说，我们手里握着的数据就是一颗定时炸弹。

　　企业底线就是业务安全和安全运营，这两个底线是不能破的，必须保证业务正常运行，保证整个机场的流畅性。机场的信息化部门在2013年之前甚至2015年之前是不受重视的，就是投钱但看不到效果的一个部门。但信息化部门之所以存在，其目的和意义就在于为了机场的业务安全和机场整体运行的安全。

　　上层驱动就是安全合规，也就是说，我们无论做得如何好，无论保护得如何好，但要符合国家相关部门的管理规定，以便可以随时接受政府相关部门的检查。业务安全、开发安全、数据安全、安全运营这四个方面，每个机场单位都会非常重视，这是机场的底线。但就是安全合规方面做得不完善。

　　目前，从国家层面来说，国家网络安全就是一部法律——《网络安全法》，两个手段——关键信息基础设施保护和安全等级保护，三个平台——通报平台，检测预警平台，应急指挥平台。

　　其中，《网络安全法》主要是对网络的所有者、服务提供者提供了非常多的要求。此外，还有欧盟刚通过的《数据保护通用条例》，该《条例》对航空公司和机场而言非常厉害，我们的飞往欧盟地区的航班，以及从欧盟到我国的境外航班，在数据均要达到该《条例》的保护的要求。

　　与此同时，各相关政府部门还推出了一系列的“网络安全法及配套规定标准”，诸如：

　　2016.11.07 全国人民代表大会常务委员会《中华人民共和国网络安全法》

　　2017.01.10 中央网信办《国家网络安全事件应急预案》

　　2017.05.02 国家网信办《网络产品和服务安全审查办法(试行)》

　　2017.05.02 国家网信办《互联网新闻信息服务管理规定》

　　2017.05.02 国家网信办《互联网信息内容管理行政执法程序规定》

　　2017.05.09 最高人民法院和最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

　　2017.06.01 国家网信办、工信部、公安部和国家认监委《网络关键设备和网络安全专用产品目录(第一批)》

　　2017.06.27 全国人民代表大会常务委员会《中华人民共和国国家情报法》

　　2016.10.19 工业和信息化部《工业控制系统信息安全防护指南》

　　2017.05.31 工业和信息化部《工业控制系统信息安全事件应急管理工作指南》

　　2017.08.11 工业和信息化部《工业控制系统信息安全防护能力评估工作管理办法》

　　2017.08.25 国家网信办《互联网跟帖评论服务管理规定》

　　2017.08.25 国家网信办《互联网论坛社区服务管理规定》

　　2017.09.07 国家网信办《互联网用户公众账号信息服务管理规定》

　　2017.09.07 国家网信办《互联网群组信息服务管理规定》

　　2017.04.11 国家网信办《个人信息和重要数据出境安全评估办法(征求意见稿)》

　　2017.05.24 全国信息安全标准化技术委员会《信息安全技术 大数据安全管理指南》

　　2017.07.01 国家网信办《关键信息基础设施安全保护条例(征求意见稿)》

　　另外，在等级保护上，我国也推出了一系列的“等级保护相关规定标准”(如下图)。目前，我国网络信息安全已经由原来的等级保护1.0上升到现在的2.0了，把虚拟化、大数据、云计算等都包括在里面了。

　　今年6月27日，公安部刚刚发布了《网络安全等级保护条例(征求意见稿)》，这是一部法律，大家也必须要熟悉和了解，里面有些条款涉及到了系统，包括系统保护到什么程度等，以便未来公安部门的检查。

　　去年12月底，《民航局关于成立网络安全和信息化工作领导小组的通知》正式发布，根据该文件，民航网络安全的具体工作落在了领导小组办公室，下图为民航网络安全工作框架，民航网络安全管理是通过下图的框架体系来实施工作的。

　　其中，民航网络安全规章政策体系和民航网络安全标准体系为基础，正在建设民航重要信息系统网络安全保障示范工程和民航网络安全管理和监控平台两大平台建设。以关键信息基础设施和等级保护为抓手，以网络安全监察员、技术支持团队、安全管理与技术人员为人员队伍培养，在工作方式上实施安全检查、重点保障、监测评估、安全通报、事件调查、信息统计、人才培养、技术研究、宣传教育九个层面。

　　民航网络安全规章政策体系，目前有三个办法，两个标准，一项规定。最早的民航网络安全工作就靠三个办法，即《民航网络与信息安全检查办法》、《民航网络与信息安全信息通报办法》、《民航网络与信息安全管理暂行办法》;两个标准指的是《民航信息系统安全等级保护定级指南》与《民用航空关键信息基础设施确定指南》这两项标准今年会发出来;一项规定指的是《民航网络信息安全管理暂行规定》这是民航的网络安全法，现在法规部门正在做相关工作，预计很快也会发布。

　　第二是结合自身情况，充分重视外部情报。

　　当前，很多民航机场单位也重视网络安全，也有很强的手段，也有很多公司提供了很强的服务，比如：买了很多网络设备，到处都设置了防火墙、杀毒软件，进行代码检测、漏洞扫描、资产识别等，但是设备刚上的时候发现了很多问题，而运行一个月后什么问题也没有了，貌似系统所有的漏洞都堵住了，系统完全安全了。但是，你要知道，我们的系统数量是有限的，黑客进行外部攻击的时候不一定选择常规性的漏洞，有些我们没有发现的漏洞就会成为外部攻击的突破口，这时候我们就需要获得一些外部的资源，比如威胁情报。所以，我们要给技术供应方提个要求，让对方定期给我们提供威胁情报。

　　我们加了一个微信群，每天都有很多的微信情报处理，会通报哪个地方出现漏洞了，哪个地方出现攻击了，机场可以加入这个微信群，对标有没有存在这个漏洞和问题。

　　第三是网络安全人才战略。

　　其实网络安全对抗实际上是人与人的对抗，其核心是建设人才培养体系。

　　说白了发现问题、解决问题，最终还是由人来解决，我们现在有很多机器，但是最终解决问题的还是人，我们布置了很多网络设备，它们不会第一时间给我们报告漏洞，都是需要人去分析的。习总书记2017年讲话的时候指出，我们要爱才惜才，创新人才体制机制，推进人才流动，建网络强国。人才方面确实是当下民航网络信息安全的一个缺口，家里有小孩的报专业，建议报网络安全专业，这个专业不愁不到工作，因为这个专业缺口太大了。

　　行业邀请共同促进

　　第一项邀请——希望大家加入行业安全监测体系。

　　国家要建设国家级的网络安全监测平台，数据一定要从行业要，而民航行业的数据一定要从民航的各个单位里来。目前，我们建设了两个平台——民航网络与信息安全管理平台与发改委态势预警及应急处置平台。

　　民航网络与信息安全管理平台：其目的在于提升监管效率，管理工作平台化，提高监测能力，全面覆盖行业重要网站、基本覆盖行业重要信息系统。也是态势预警及应急处置平台，这是由国航首都机场、空管局、民航大学代表民航局等单位共同建设的，目前所有批复工作、招标工作几乎已经完成，现在正在建设过程中，预计明年上半年可以完成，完成之后会选择有特点的单位进行示范，然后面向全国推广。

　　我们的想法是，先看示范效果，并面向行业下发通知，要求有兴趣的单位主动加入大数据对接。当然，如果有必要，国家重视力度大，可能就会强制要求民航各单位必须把系统接过来。

　　第二项邀请——欢迎各单位继续参与行业的标准建设。

　　当前参与制定行业信息安全标准的人非常少，积极性不是很高，相对来说是一项空白。民航标准化管理工作目前有航科院标准化计量所总体负责，民航大学协助他们做网络安全标准的立项、验收、发布等工作，我们希望学习全国信息安全标准委员会的方式，希望全行业的人共同参与建设这个标准，这样效率也会提升。

责编：admin