赵国全：各位专家，非常感谢各位同仁，上午民航局的几位领导都提到数字化和数据安全，上午也有其他同事讲了一部分数据安全的工作，我站在数据安全的角度向各位汇报，我今天汇报的主题是《智慧民航时代的网络安全新挑战》。我会从智慧机场带来的网络安全变化、新业务与新网络安全能力、新业务的上线即安全三个角度向各位汇报。

第一、智慧机场带来的网络安全变化

民航作为国家关键基础设施，我国在2020年运输旅客量超过4亿人次，为了支持各类民航信息系统的正常运行，空管、航司、机场都采用了很多信息化技术去支撑信息化业务系统的稳定运行，在这些信息系统里就有很多包括运价、航油、收费、旅客等相关敏感信息，这些信息在国内外黑客组织里就垂涎已久。2015年6月，波兰航空公司地面操作系统受到黑客攻击，致使信息系统瘫痪长达5小时，至少有10个班次的航班被取消，1400多名旅客滞留。2017年，纽约斯图尔特国际机场750GB内部敏感数据泄露，包括员工信息、设备信息以及各种网络安全信息。在2018年，业务信息发生泄露。2020年3月，旧金山国际机场遭到黑客入侵，黑客入侵主要是利用Windows的操作系统和非SFO维护的设备进行攻击，黑客在这里面安插了一些恶意代码，并且通过浏览器的形式去将恶意的敏感文件向远端服务器传递，进行敏感数据的窃取。2020年5月也发生了一起安全事件。以上我说的五起安全事件，通过这五起事件可以看到，黑客所攻击的这些信息系统最终想获取的是我们的敏感数据，这些数据最终可以为它带来很多经济价值，最后他们在攻击时，他们透过你的网络，透过你的业务系统对你进行攻击，这些攻击最终作用到了哪儿？最终都是作用到了我们的云环境的信息系统，这些服务器上。前面我们部署的各种安全防护设备为什么没有起到应有的安全防护效果？这对我们来说是非常大的挑战。我们经常说发现问题时我部署一些产品不就可以了吗？从目前的状态来看，我们部署的产品不代表一定能去解决这种问题。所以，我今天会顺着这个问题向各位领导进行分享。

这是说的外部变化，我们说说内部变化。在内部变化过程中，第一个变化就来自于我们的网络和我们信息系统的结构变了。我走访过很多航司，也走过很多机场，现在云计算的环境应用得越来越多，有一部分公司在开始时是在一个物理服务器上通过虚拟化软件虚拟出多个业务服务器，以承载各种业务，然后加大业务动态的负载能力。第二个趋势是很多业务系统之间的数据更加开放了，我有幸在几年前参加过一个叫价格综合监管系统，这个系统就需要从各大航司各机场获取很多数据，这个数据里就包括燃油价格数据、乘客个人信息数据以及航班航次飞行数据，这些数据需要从多个机构里共同获取进行整合分析，通过这种情况，业务的开放以及业务的共享现在是行业内非常重大的趋势。还有一个趋势，多业务系统之间的数据共享，我们从很多例子都说明了我们的业务系统变了、网络结构变了，这些结构变了之后，我们发现网络安全威胁也变了。以前我们的数据中心去做安全防护时我们只需要在边界层面上部署防火墙、入侵检测等一系列的安全产品，我们的边界可能就安全了，但是现在这种只在外部层面上层层设墙的形式对于我们当前的网络安全形势而言已经不太适用了，因为我们还需要在云环境内部再次建立起各种网络安全防护能力，防护能力还要清楚我们的数据究竟在哪儿。因为我们刚才提到了我们有云，私有云的情况下是数据一定控制在自己的手里，在引入公有云的情况下我还知道云里面的数据在哪儿吗？所以安全的形势变了、数据的威胁变了以及新的应用情况下导致安全防护层面也变了，所以我们既要满足国家法律法规要求，又要对业务系统进行有效的安全防护，所以我们需要面临这些挑战，转变我们的安全防护思路。

在防护过程中，我们怎么根据威胁，根据要求定期改变我们的能力？所以我们需要对新业务新网络进行重新定义和赋能。我之前说到了网络安全。之前的一些网络我刚才提到虚拟化初期时我们做的是网络安全的边界防护，在内部私有云建立起来之后，很多机构引入安全资源池，也就是说我们把内部流量通过技术转化到外部的安全资源池里，通过安全资源池进行安全防护清洗之后再把干净的流量还给我，这样就形成了外部能力清洗的过程。在第三阶段时，我们刚才说到私有云、公有云，有了这么多的云，我们怎么去在多云的情况下有效管理起来？这又是我们的挑战。在这三种挑战情况下，云环境目前的基本三段过程，很多机场、航司基本都处在中间的第二个阶段。

有了这么多问题之后，国内外很多安全机构都开始对云安全加大安全防护研究，Gartner提出三个云安全管理工具，分别是CASB，这主要是解决影子资产的问题。因为我们都知道新系统在部署过程中，以前我们关注的是一个实体化的服务器，后来我们关注的是服务器上部署了哪些虚拟系统，这些虚拟系统间的资产就存在很多重合点的问题，所以CASB解决的是影子资产问题。第二是CSPM，这个解决的是云安全配置以及合规问题，等级保护给我们提供了很多合规性要求，在这些要求下，各航司、各机场为了满足等保基本要求，会建立安全防护配置的策略，随着业务不断的部署，不断的消融，我们发现里面很多配置已经不再是当初我们做的安全配置了，就导致配置逐渐发生变形，这种配置变形以及随着业务带来的安全问题让我们在云安全防护层面就雪上加霜了。第三是CWPP，云工作负载平台指的是云上面的操作系统、数据库、中间件所承担的安全防护能力。

深信服基于Gartner提出的三大工具，就提出民航人的安全架构环境，在这其中我们关注云平台安全、云业务安全、云平台硬件安全虚拟化安全、边界安全、数据安全，我们在利用安全管理及安全运营，为安全防护进行有效落地。因为时间问题，所以我今天只讲CWPP以及云平台的安全防护。

先说第一项安全能力，资产梳理。很多机构尤其在固防演练期间经常自己的资产是一团糊涂账，经常说我有多少IP端口，我有多少服务，我开放了哪些他都不清楚，导致安全事件发生时，在做故障定位时就很难定位到根本点，尤其外部的真实IP虚拟IP进行转化过程中就更难定位IP问题，所以CWPP解决的第一项问题是资产梳理问题，它就可以去做从主机管理视角、主机信息视角以及资产指纹视角多个层面对资产进行梳理，从而形成标准的资产台账。第二是资产曝露面管理。黑客攻击时他们做的第一件事情就是通过互联网形式去扫描你这个网络在外面究竟开放了哪些端口、哪些服务，我基于一家公司，那家公司为了在业务运行期间让业务能够快速调通，把所有端口所有服务全部开放到互联网上，正值在固防演练期间，就导致它为业务带来便利的同时也为攻击团队打开了方便之门，所以第二项能力是要做资产曝露面的梳理和收敛。再有是风险评估。资产梳理完了，曝露面也检查完了，我要做风险评估了，因为我要知道我的系统有没有木马，有没有被系统提权，就需要定期开展漏洞扫描、弱密码检测、基线检查、自定义规则、策略配置等，有些人会说你的策略是固化了，和我的业务不相关，不相信你的检查策略能对我的系统做有效检查，这时候我们就提供了自定义规则，您可以根据具体要求结合自己的检查规则进行检查，比如有的机构说我的密码要在8位以上，有的用户就说我把它设置成ABC+123456符合8位了，但这样的8位安全吗？我们很多时候都知道这种密码是默认的固态化密码，我们就可以把这种检测规则结合自身的业务状态自定义出这种规则，这样检测才能对你的情况做到有的放矢的管理检测。第四是恶意文件检测。刚才我提到的这些安全事件都不约而同地反映出了一件事情：勒索病毒，他们经常把里面很多的恶意文件去做打包，很多时候这种检测能力是不够的，所以我们经常要去把里面有哪些恶意文件也要检测出来，恶意文件检测以后，还要关注内存安全，还要关注行为审计，还要对目前攻击链条进行全源性分析。再有对目前的进程流程进行检测，检测完成之后，我们还要以开放化的形式向所有厂商进行能力化开放。

以上说的是CWPP的能力。做到这些能力，是不是意味着我们说的安全就真的安全了？云安全是非常大的范畴，深信服目前秉承着开放共享心态，我们要把我们的平台向所有厂商开放，向业务厂商开放，我们希望通过一种平台+组件+服务的形式把各种安全服务能力进行有效整合，整合完成支撑基于你的业务做定制化打包，这样就可以让业务上线即安全。

以上就是我提供的一些见解，谢谢各位。