今年年初,中国民航局正式发布《智慧民航建设路线图》(以下简称“路线图”)。路线图中明确,智慧出行、智慧空管、智慧机场、智慧监管是智慧民航运输系统建设的核心抓手和重要内容。智慧空管作为四大关键抓手之一,在智慧民航建设过程中扮演着重要角色。
根据《路线图》,未来5年-10年将以民航“四强空管”建设为依托,着力构建安全稳、效率高、智慧强、协同好的新一代空中交通管理系统,实现广域覆盖感知、深度网络互联、数据融合赋能、智能协同响应以及智慧高效运行,从而有效提升空中交通全局化、精细化、智慧化运行能力和服务水平。
01网络安全合规成为智慧空管建设必选项
在《十四五民航空管系统发展规划(2021-2025)》文件中明确强调:“强化网络安全防护,构建全系统网络安全和信息安全防护体系,制定空管系统网络安全规划,加强空管信息系统网络安全等级保护和关键信息基础设施安全保护。”
空管局作为管理全国空中交通服务、民用航空通信、导航、航空气象、航行情报等方面的职能机构,气象、飞行服务、空中管制等核心系统是空管体系网络安全建设的重点对象,而空管自动化系统又是重中之重,发挥着非常关键的作用。然而,在业务系统建设落地过程中,空管自动化系统网络安全建设面临着诸多现实问题:
相关单位缺少配套的建设指导规范
空管自动化系统具有行业壁垒高、业务特色强的特点,业务系统对于安全性和稳定性的要求非常高。一套自动化管制系统部署会涉及到地区空管局、空管分局/站、机场塔台多级架构,一套软件系统在等保建设测评环节中也往往有多家单位参与,影响整体业务效率的同时也伴随着较高的合规风险。全国空管局各级单位缺少相配套的建设指导来保证安全建设的高效落地。
核心内网安全建设风险隐患突出
应用系统层面的安全问题更为复杂,软件系统自身bug、脆弱性、漏洞、操作系统等安全隐患都会导致自动化系统在内网被攻击。另外,由于其自身架构复杂性,自动化系统一旦缺乏体系化、标准化、系统化的安全防护措施,将会面临严峻的安全风险。
行业安全监测预警与响应处置体系亟待完善
由于空管多套业务系统呈现“孤岛式”建设,对于行业而言,暂未建立完整的安全管理与安全运营体系。同时,因为行业内安全人才梯队建设还未体系化,往往导致安全威胁发现较为滞后、安全事件处理较慢。基于以上两大行业痛点,用户需要进一步推进完善安全运营管理流程体系(具体包含监测、响应、处置等方面)、统筹规划相关安全工具能力、补足安全管理人员能力或相应外部力量。
安全事件被动响应,安全应急处置能力不足
各大地区空管局内部安全建设良莠不齐,部分单位对于资产全生命周期及其脆弱性管理不足,在威胁事件发生时只能被动应对、无法快速定位问题范围;同时,在定位出安全问题后也面临不知如何处置、处置后难以判断是否生效、生效后难以明确具体影响的业务范围。总结来看,以上问题的深层原因是由于缺乏安全预警、即时处置、问题闭环的全流程安全运营体系建设。
02匹配业务,一站式满足等保合规要求
参照等级保护建设标准,深信服发现传统建设方案存在着较多易被忽略的问题。例如,在安全区域边界防护中,用户访问控制策略设置过于简单,网络安全边界防护能力普遍缺失。因此,空管自动化系统等级保护三级建设需重点围绕外部接口区、数据接引区、核心业务安全访问控制做重点建设。
深信服空管自动化系统等保三级解决方案围绕一中心三防护的核心理念,提出了“安全可视、协同防御、持续检测”的建设方向,增强对安全管理中心、安全通信网络、安全区域边界、安全计算环境的整体防护。通过深信服合规自检平台实现提前自查、快速整改,同时帮助用户提升整体系统网络安全防护水平,实现统一的安全运营及管理建设,完成自动化系统等保三级合规建设一站式落地。
方案针对自动化系统的外部信号区、数据隔离区、核心业务区、安全运维管理区、系统维护区和数据输出区这六大区域,匹配了相应的防护策略:
1、外部信号区(系统1区):非自动化系统软件,不涉及等保三级建设。
2、数据隔离区(系统2区):在与外部信号区网络边界侧部署深信服下一代防火墙AF冗余架构、IPS设备冗余架构,用于两个区域之间系统与数据通信和传输的安全防护、入侵检测等。同时,在交换机旁路部署深信服威胁检测探针,将采集到的数据流量同步到安全管理区的安全态势感知平台SIP。
3、核心业务区(系统3区):该区域包含了业务操作区,为自动化软件核心业务区,用于运行空管自动化系统,包括核心业务软件平台、前端管制中心的操作机,通过A、B、S网连接。在通信网络边界防护侧,部署深信服下一代防火墙AF冗余架构、终端检测。
4、安全运维管理区(系统4区):承担着监测整网内部设备、流量、各类安全事件的职能,包括主机和网络设备状况监控、链路流量采集、用户行为监测、防病毒监测、漏洞扫描、各类日志综合分析审计、对安全事件告警和响应。在该区域部署深信服安全态势感知平台、堡垒机、全网行为管理、漏洞扫描、日志审计、数据库审计等产品。
5、系统维护区(系统5区):用于业务维护的操作间,完成业务维护并增加安全维护保障能力。在与核心生产区做网络通信时,通过部署深信服下一代防火墙AF形成冗余架构,实现区域安全访问防护。
6、数据输出区(系统6区):用于连接远程进近管制中心、小型现场管制中心、机场塔台的区域。在与核心生产区进行网络通信与访问时,通过部署深信服下一代防火墙AF形成冗余架构,实现区域安全访问防护。
03持续保护,构建全面安全防护能力
等级保护建设是深信服擅长的业务领域之一,深信服积极联合行业核心合作伙伴,编写完成首个面向空管自动化系统等保三级建设指南规范。该指南结合国家等级保护2.0建设标准、民航等保建设行业标准以及自动化系统等级保护当前建设现状,围绕“一中心、三防护”的建设框架,为全国各地空管单位自动化系统等保三级建设提供了非常具有参考意义的指引。合规之上,为各个业务系统提供全面的持续保护。
解决用户内网自动化系统安全防护问题
深信服将自动化系统平台按照部署逻辑划分为六大安全建设域,每个区域之间采用下一代防火墙实现边界安全访问防护与控制,同时采用IPS入侵检测实现访问流量分析,新增安全运维管理区以便后期安全运维管理,在完全满足自动化系统等级保护三级建设要求的同时,大幅提升了内网的整体安全防护能力。
安全监测预警与响应处置体系建设与完善
深信服安全态势感知平台SIP为空管行业用户提供安全事件的响应与处置平台,在满足自动化系统等级保护三级建设要求的同时,通过监测平台看清内网安全状况,为事件应急指挥、安全加固提供决策支撑,实现安全运维可视化、安全态势全局化。
提升安全运营能力解决资产及管理问题
解决方案还同步加强了安全运营能力建设,在不影响内网自动化系统生产运行的前提下,通过发送微量包扫描的方式探测整网资产情况、识别脆弱性问题,协助空管行业用户全面掌握自动化系统多级架构部署情况,以及相关安全事件、资产、访问等详细情况,整体提升从各地区空管局到机场塔台多级平台的安全管理效率。
04全程护航,守护新时期空管数字化建设
智慧民航建设作为“十四五”民航发展主线,涉及民航业全领域、全主体、全要素、全周期,在此过程中为智慧空管在内的各个模块做好高效的网络安全保障,是智慧民航高质量发展的必要前提。
深信服将充分发挥自身在空管领域的技术优势和经验,围绕“智慧空管、数字空管、安全空管”的核心目标,全面、长期、面向未来地助力民航行业空管数字化建设,安全护航智慧民航的建设与发展。凝心聚力,守护美好出行。