首都國(guó)際機(jī)場(chǎng)主機(jī)安全解決方案探討與研究

張立斌，韓燕征，王勇

（北京首都國(guó)際機(jī)場(chǎng)股份有限公司，北京 100621）

1 引言

首都國(guó)際機(jī)場(chǎng)作為國(guó)家重要的民航運(yùn)輸基礎(chǔ)設(shè)施，不僅是中國(guó)最繁忙的機(jī)場(chǎng)，也是亞太地區(qū)最繁忙的機(jī)場(chǎng)，每年的起降航班超過55萬架次，每年的旅客吞吐量超過8，300萬人次，穩(wěn)居世界第二，連續(xù)多年的高效運(yùn)營(yíng)，離不開機(jī)場(chǎng)各信息系統(tǒng)的安全穩(wěn)定運(yùn)行和相關(guān)保障部門的精心維護(hù)。黨的十八大以來，網(wǎng)絡(luò)安全上升為國(guó)家戰(zhàn)略，機(jī)場(chǎng)做為國(guó)家重要基礎(chǔ)設(shè)施的關(guān)鍵組成部分，網(wǎng)絡(luò)安全保障工作顯現(xiàn)尤為重要。如何實(shí)時(shí)感知內(nèi)部資產(chǎn)變化、對(duì)主機(jī)資產(chǎn)進(jìn)行持續(xù)的安全監(jiān)控、應(yīng)對(duì)未知威脅時(shí)從容不迫，都是我們值得去思考的。因此，在網(wǎng)絡(luò)威脅高發(fā)的時(shí)代，要建立完善的網(wǎng)絡(luò)安全縱深防護(hù)體系，全天候、全方位的應(yīng)對(duì)網(wǎng)絡(luò)入侵，持續(xù)的分析和可視化能力都是保障主機(jī)安全的“最后一公里”。

2 主機(jī)安全保護(hù)發(fā)展趨勢(shì)

伴隨著網(wǎng)絡(luò)安全發(fā)展和攻擊手段不斷的演進(jìn)，主機(jī)安全保護(hù)也在不斷更新迭代，衍生出了一系列不同細(xì)分類別的主機(jī)安全產(chǎn)品。大體上可以概括為五個(gè)階段。

階段一：基礎(chǔ)性的主機(jī)安全產(chǎn)品，實(shí)現(xiàn)目標(biāo)是一個(gè)相對(duì)清晰的資產(chǎn)清單，以及基礎(chǔ)性的主機(jī)加固，可以防止木馬病毒入侵，防止核心數(shù)據(jù)被破壞、被偷窺、被篡改、被竊取，保證了系統(tǒng)的安全性。

階段二：以應(yīng)用為核心的主機(jī)安全管理，企業(yè)組織會(huì)利用補(bǔ)丁管理、漏洞管理、釣魚防護(hù)等產(chǎn)品進(jìn)行主機(jī)的安全防護(hù)，并制定差距分析和計(jì)劃來消除差距。

階段三：以檢測(cè)響應(yīng)為核心的主機(jī)安全管理，為捕獲更多的機(jī)會(huì)主義攻擊，這個(gè)階段的主機(jī)安全保護(hù)產(chǎn)品重點(diǎn)已經(jīng)從惡意軟件預(yù)防和基礎(chǔ)主機(jī)加固擴(kuò)展到檢測(cè)和響應(yīng)。

階段四：以主動(dòng)防御為核心的主機(jī)安全產(chǎn)品，重點(diǎn)放在減少攻擊面。檢測(cè)活動(dòng)上升到設(shè)備和用戶行為級(jí)別。逐步使用默認(rèn)的拒絕控制，如應(yīng)用程序白名單，網(wǎng)絡(luò)隔離和Web隔離，以減少攻擊表面，并開始考慮先進(jìn)的工具，如欺騙防御等。

階段五：新形態(tài)下的主機(jī)安全產(chǎn)品，市場(chǎng)定義為基于主機(jī)的解決方案，主要滿足現(xiàn)代混合數(shù)據(jù)中心架構(gòu)中，服務(wù)器工作負(fù)載的保護(hù)要求。它為信息安全領(lǐng)導(dǎo)者提供了一種集成的方式，通過使用單個(gè)管理控制臺(tái)和單一方式表達(dá)安全策略來保護(hù)這些工作負(fù)載，而不用考慮工作負(fù)載運(yùn)行的位置。

3 首都機(jī)場(chǎng)主機(jī)安全風(fēng)險(xiǎn)與挑戰(zhàn)

為推進(jìn)民航重點(diǎn)基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用安全研究取得跨越，應(yīng)從長(zhǎng)遠(yuǎn)出發(fā)，規(guī)劃和建設(shè)整體信息安全保障體系，從業(yè)務(wù)安全需求角度出發(fā)，按突出重點(diǎn)、適度防護(hù)的原則，通過技術(shù)和管理兩方面措施確保首都機(jī)場(chǎng)信息系統(tǒng)的持續(xù)安全運(yùn)行。技術(shù)部分其設(shè)計(jì)思路主要是確定安全保護(hù)的目標(biāo)，通過風(fēng)險(xiǎn)評(píng)估識(shí)別當(dāng)前目標(biāo)的安全風(fēng)險(xiǎn)，同時(shí)依據(jù)目標(biāo)風(fēng)險(xiǎn)的不斷變化，及時(shí)調(diào)整安全策略和控制點(diǎn)；并引入PDR模型（防護(hù)、檢測(cè)、響應(yīng)）增強(qiáng)動(dòng)態(tài)檢測(cè)和防護(hù)能力。目前，首都機(jī)場(chǎng)生產(chǎn)環(huán)境的主機(jī)安全防護(hù)缺少平臺(tái)化的安全建設(shè)，資產(chǎn)數(shù)據(jù)尚不能做到實(shí)時(shí)和清晰，針對(duì)安全風(fēng)險(xiǎn)的感知、發(fā)現(xiàn)和響應(yīng)缺少重要的基礎(chǔ)和關(guān)鍵錨點(diǎn)。

（1）應(yīng)以網(wǎng)絡(luò)安全等級(jí)保護(hù)制度為抓手，對(duì)生產(chǎn)環(huán)境現(xiàn)有主機(jī)資產(chǎn)進(jìn)行識(shí)別與梳理，形成資產(chǎn)清單，依據(jù)資產(chǎn)清單進(jìn)行設(shè)備自身安全性和安全保障策略差距評(píng)估，對(duì)發(fā)現(xiàn)的安全問題提出安全建議，充分保障主機(jī)部分達(dá)到等級(jí)保護(hù)要求。

（2）充分利用已有信息安全建設(shè)項(xiàng)目成果，完善基礎(chǔ)安全防護(hù)能力，做到全面監(jiān)控、重點(diǎn)防護(hù)、技術(shù)松耦合、業(yè)務(wù)緊耦合，避免大而全的“鐵桶式”一刀切防護(hù)，真正做到事前預(yù)防、事中監(jiān)控、事后可追溯。

（3）業(yè)務(wù)服務(wù)器分散，服務(wù)器變化、使用情況不能集中管控，因此加強(qiáng)對(duì)主機(jī)系統(tǒng)的監(jiān)管，是落實(shí)國(guó)家等級(jí)保護(hù)政策和企業(yè)相關(guān)要求的有效手段。

（4）實(shí)施策略標(biāo)準(zhǔn)與安全體系建設(shè)并行，不斷完善防護(hù)體系與防護(hù)策略，建立一個(gè)長(zhǎng)效、穩(wěn)定的主機(jī)安全防護(hù)體系。

3.1 漏洞發(fā)現(xiàn)及修復(fù)需求

近兩年漏洞已經(jīng)成為當(dāng)前IT領(lǐng)域的熱門話題之一。首先，漏洞傳播速度高速化，借助各大社區(qū)、社交平臺(tái)，漏洞的傳播速度驚人，早上披露的漏洞，到下午可能已經(jīng)有了利用代碼，到了晚上很多攻擊可能已經(jīng)發(fā)生。其次，漏洞數(shù)量越來越多，信息技術(shù)與人們的生活越來越近，五花八門的應(yīng)用，海量的數(shù)據(jù)，技術(shù)在持續(xù)發(fā)展，應(yīng)用在大面積推廣，大量的漏洞正在影響著每一個(gè)人的生活。最后，漏洞利用不再是少數(shù)專業(yè)技術(shù)人員的專寵。隨著漏洞利用帶來的龐大利益，越來越多的人投身于漏洞研究，越來越多的漏洞利用腳本被開發(fā)應(yīng)用，普通人不需要具備專業(yè)知識(shí)，就可以成為一名破壞力十足的黑客。

從內(nèi)部來看，很多安全主管都有這樣的疑問，內(nèi)部已經(jīng)制定了漏洞管理制度，有專人負(fù)責(zé)漏洞掃描和修補(bǔ)，但實(shí)際情況是，出現(xiàn)緊急發(fā)生的漏洞還是手忙腳亂，仍然是疲于應(yīng)付不斷發(fā)現(xiàn)的漏洞，在接受上級(jí)單位檢查的時(shí)候總是被發(fā)現(xiàn)存在漏洞。經(jīng)常存在四種現(xiàn)象。

（1）漏洞事件反映緩慢

現(xiàn)有的漏洞管理過程，從漏洞公布出來，到漏洞修補(bǔ)有一個(gè)時(shí)間窗，這個(gè)時(shí)間窗相對(duì)較長(zhǎng)，攻擊者對(duì)漏洞的利用就是搶在這個(gè)時(shí)間窗內(nèi)完成。一個(gè)不起眼的網(wǎng)絡(luò)安全漏洞在早上時(shí)還沒造成什么不良影響，可到了晚上，它就可能成為你的噩夢(mèng)。這些安全隱患傳播的速度一直在增長(zhǎng)，與之相適應(yīng)，傳統(tǒng)的安全掃描往往按月為周期的掃描、報(bào)告、修補(bǔ)過程，相對(duì)于越來越快的漏洞利用速度，已經(jīng)顯得過于緩慢。

（2）流程指標(biāo)難以量化

漏洞管理是一個(gè)管理流程。從Gartner定義的漏洞管理過程來看，漏洞管理包括了多個(gè)環(huán)節(jié)，每一個(gè)環(huán)節(jié)往往都需要多個(gè)部門，多個(gè)角色的互相合作。很多漏洞管理制度，只關(guān)注了每個(gè)環(huán)節(jié)本身，流程執(zhí)行的效率如何，是否全面，是否達(dá)到預(yù)期，目前很少有管理制度能做到量化要求，也很少有安全管理產(chǎn)品能夠支撐漏洞管理量化的要求。

（3）管理難度太高

在過去以合規(guī)為驅(qū)動(dòng)的安全建設(shè)模式中，大量購(gòu)買了專業(yè)漏掃產(chǎn)品，這些漏掃產(chǎn)品數(shù)量龐大，需要管理的對(duì)象和運(yùn)營(yíng)的數(shù)據(jù)都非常巨大，運(yùn)維人員飽受其苦，管理難度太高。

（4）漏洞修補(bǔ)困難

安全廠商提供的漏洞修補(bǔ)建議，往往需要客戶根據(jù)實(shí)際網(wǎng)絡(luò)情況進(jìn)行調(diào)整，無論是安全廠商還是內(nèi)部的安全管理人員，漏洞修補(bǔ)都是一件非常困難的事情。譬如，“心臟出血漏洞”出現(xiàn)時(shí)補(bǔ)丁并沒有馬上隨之發(fā)布，對(duì)于一些網(wǎng)站：如果考慮安全，則需要停掉對(duì)外的服務(wù)；如果考慮業(yè)務(wù)，這個(gè)漏洞就只能暴露在外。怎么能夠找到折中的辦法，如果不是對(duì)業(yè)務(wù)和系統(tǒng)都了解的人，幾乎是沒有辦法的事情。

3.2 安全基線管理需求

3.2.1 安全基線標(biāo)準(zhǔn)不統(tǒng)一

在運(yùn)行的各種設(shè)備安全配置標(biāo)準(zhǔn)不統(tǒng)一，并且部分設(shè)備存在默認(rèn)配置弱點(diǎn)。乏安全配置符合性檢查手段，無法對(duì)運(yùn)行的主機(jī)和設(shè)備的符合性進(jìn)行安全檢查與評(píng)估，并通過評(píng)估結(jié)果對(duì)設(shè)備進(jìn)行加固與維護(hù)，無法保持設(shè)備安全性不斷提升。并且，在運(yùn)行的主機(jī)設(shè)備可能存在安全弱點(diǎn)而未被發(fā)現(xiàn)。

3.2.2 缺乏整體安全分析

對(duì)全網(wǎng)業(yè)務(wù)主機(jī)的整體安全狀況缺乏全面分析，由于缺乏實(shí)時(shí)的主動(dòng)的安全事件與日志檢測(cè)機(jī)制，對(duì)于事件的檢測(cè)和報(bào)告還僅局限于單個(gè)的安全事件本身，而不是整合成為全網(wǎng)業(yè)務(wù)主機(jī)整體威脅的剖面視圖，導(dǎo)致安全保障人員對(duì)于全網(wǎng)業(yè)務(wù)主機(jī)的整體安全狀況缺乏實(shí)時(shí)全面了解。

3.2.3 安全檢查頻率低

無法應(yīng)對(duì)瞬息萬變的安全內(nèi)外環(huán)境，在完成測(cè)試的下一秒，外部安全形勢(shì)可能就會(huì)發(fā)生變化，而移動(dòng)互聯(lián)網(wǎng)時(shí)代也面臨著業(yè)務(wù)變化相比之前更加復(fù)雜頻繁的情況。

3.3 安全管理需求

3.3.1 安全風(fēng)險(xiǎn)管理滯后

缺乏主機(jī)設(shè)備弱點(diǎn)管理工具，無法對(duì)主機(jī)及設(shè)備的安全弱點(diǎn)進(jìn)行管理與維護(hù)，由于弱點(diǎn)缺乏管理可能被利用造成主機(jī)系統(tǒng)內(nèi)的信息資產(chǎn)損失。安全硬件很難快速的更迭，受到硬件自身性能限制，很難適應(yīng)日新月異的網(wǎng)絡(luò)變化和最新的安全攻擊特點(diǎn)。

3.3.2 無法形成有效地縱深防御體系

數(shù)據(jù)分散，信息量極大，網(wǎng)絡(luò)環(huán)境中部署了多種異構(gòu)的安全產(chǎn)品，包括防火墻、防病毒、IDS等，這些安全產(chǎn)品來自不同廠商，每個(gè)產(chǎn)品均有一套安全信息告警功能，產(chǎn)品間的安全日志彼此孤立，由于缺乏針對(duì)所有IT設(shè)備的安全事件與日志的關(guān)聯(lián)分析，安全保障人員無法使用肉眼從海量的分散的信息中發(fā)現(xiàn)真正的安全事件。

3.3.3 缺乏內(nèi)部違規(guī)操作審計(jì)

無法主動(dòng)發(fā)現(xiàn)第三方人員對(duì)信息系統(tǒng)的違規(guī)操作，系統(tǒng)內(nèi)有較多信息系統(tǒng)由第三方廠家提供日常運(yùn)維服務(wù)，但由于缺乏操作行為審計(jì)，很難及時(shí)發(fā)現(xiàn)第三人員對(duì)信息系統(tǒng)的違規(guī)操作，如數(shù)據(jù)篡改。

4 主機(jī)安全防護(hù)能力

基于首都機(jī)場(chǎng)信息化建設(shè)總體要求，加強(qiáng)主機(jī)安全管理，利用信息技術(shù)手段高效、準(zhǔn)確、便捷實(shí)現(xiàn)業(yè)務(wù)主機(jī)全覆蓋的安全監(jiān)控，提升業(yè)務(wù)主機(jī)安全風(fēng)險(xiǎn)感知、發(fā)現(xiàn)和響應(yīng)能力，建立可持續(xù)的安全運(yùn)營(yíng)體系。具體目標(biāo)有四個(gè)。

全企業(yè)的統(tǒng)一管理：實(shí)現(xiàn)對(duì)首都機(jī)場(chǎng)業(yè)務(wù)系統(tǒng)主機(jī)安全的統(tǒng)一管理、分析。

全覆蓋的安全監(jiān)控：實(shí)現(xiàn)對(duì)首都機(jī)場(chǎng)業(yè)務(wù)系統(tǒng)主機(jī)的全覆蓋。

全周期的風(fēng)險(xiǎn)處理：實(shí)現(xiàn)對(duì)業(yè)務(wù)主機(jī)的風(fēng)險(xiǎn)發(fā)現(xiàn)、響應(yīng)能力，進(jìn)行實(shí)時(shí)告警。

全方位的安全保護(hù)：實(shí)現(xiàn)對(duì)業(yè)務(wù)主機(jī)入侵檢測(cè)能力，全面保護(hù)業(yè)務(wù)主機(jī)安全。

參考國(guó)內(nèi)外廠商的主機(jī)安全防護(hù)技術(shù)，結(jié)合我國(guó)對(duì)主機(jī)安全防護(hù)的要求和首都機(jī)場(chǎng)的現(xiàn)狀，主機(jī)安全工作涉及到業(yè)務(wù)主機(jī)的監(jiān)控、分析、響應(yīng)、處理的各個(gè)方面，需建立完善的主機(jī)安全保障體系，保障主機(jī)系統(tǒng)可用性、完整性，系統(tǒng)操作保密性、可追溯性，實(shí)現(xiàn)業(yè)務(wù)主機(jī)的“可控、可信、可管、可視化”，全面保護(hù)首都機(jī)場(chǎng)內(nèi)部核心業(yè)務(wù)系統(tǒng)資產(chǎn)。

現(xiàn)階段主機(jī)安全防護(hù)系統(tǒng)主要涉及DMZ區(qū)、OA業(yè)務(wù)及運(yùn)營(yíng)業(yè)務(wù)服務(wù)器、東區(qū)安檢信息系統(tǒng)、西區(qū)安檢信息系統(tǒng)、股份相關(guān)OA業(yè)務(wù)服務(wù)器、網(wǎng)管服務(wù)器、集團(tuán)相關(guān)OA業(yè)務(wù)服務(wù)器、集團(tuán)下屬托管服務(wù)器（除集團(tuán)本部和股份）、西區(qū)門禁監(jiān)控、VoIP、視頻會(huì)議、GIS等區(qū)域業(yè)務(wù)服務(wù)器。

現(xiàn)階段主機(jī)安全防護(hù)系統(tǒng)主要涉及的業(yè)務(wù)組86個(gè)，其中包含郵件系統(tǒng)、航顯系統(tǒng)、ERP系統(tǒng)、GPS系統(tǒng)、飛行區(qū)交通管理系統(tǒng)等。

從業(yè)務(wù)主機(jī)的安全防護(hù)和集中運(yùn)維角度，采用主機(jī)統(tǒng)一管理控制（事前預(yù)防）、風(fēng)險(xiǎn)發(fā)現(xiàn)響應(yīng)和入侵實(shí)時(shí)告警（事中管控）、可疑非法操作的審計(jì)和溯源（事后追溯）等機(jī)制，實(shí)現(xiàn)業(yè)務(wù)主機(jī)的可知、可控、可審計(jì)，補(bǔ)充和完善了首都機(jī)場(chǎng)信息安全防護(hù)體系。

實(shí)施按照先試點(diǎn)、后推廣的原則，在測(cè)試環(huán)境對(duì)產(chǎn)品的功能性、技術(shù)性、高可用性和可擴(kuò)展性進(jìn)行驗(yàn)證，在生產(chǎn)環(huán)境中從普通業(yè)務(wù)到重要業(yè)務(wù)的逐步推進(jìn)的策略，為后續(xù)其他業(yè)務(wù)系統(tǒng)獨(dú)立部署實(shí)施奠定基礎(chǔ)。

采用國(guó)產(chǎn)化成熟產(chǎn)品并結(jié)合首都機(jī)場(chǎng)安全管控的需求進(jìn)行定制化開發(fā)，利用“自適應(yīng)安全架構(gòu)”“大數(shù)據(jù)分析”“機(jī)器學(xué)習(xí)”等技術(shù)形成基于業(yè)務(wù)主機(jī)的自適應(yīng)安全管理，并制定一系列管理規(guī)范和制度，保障該系統(tǒng)的高效執(zhí)行。

5 技術(shù)關(guān)鍵能力和優(yōu)勢(shì)

5.1 技術(shù)關(guān)鍵能力

系統(tǒng)采用多層的計(jì)算架構(gòu)設(shè)計(jì)，模塊化的部署方式，不僅具備靈活的擴(kuò)展能力，還能應(yīng)用大量任務(wù)下發(fā)和海量數(shù)據(jù)分析處理，保障系統(tǒng)性能，系統(tǒng)總體架構(gòu)如圖1所示。

（1）前端展示層

展示視圖層主要負(fù)責(zé)系統(tǒng)數(shù)據(jù)的顯示，展示模式層主要負(fù)責(zé)系統(tǒng)數(shù)據(jù)的管理，展示控制層主要負(fù)責(zé)協(xié)調(diào)上述兩個(gè)層面。整合起來主要為控制中心提供各類信息的清晰展示，對(duì)重大威脅進(jìn)行實(shí)時(shí)告警，幫助用戶更好、更快地處理問題，方便用戶對(duì)系統(tǒng)進(jìn)行配置和管理。

（2）服務(wù)端邏輯層

主要提供三方面的功能：一是與外部系統(tǒng)接口間的互通，可以實(shí)現(xiàn)系統(tǒng)與外部系統(tǒng)的數(shù)據(jù)交互、消息傳輸；二是業(yè)務(wù)處理層，可以實(shí)現(xiàn)本系統(tǒng)內(nèi)業(yè)務(wù)功能的實(shí)現(xiàn)，發(fā)布和訂閱系統(tǒng)、服務(wù)端配置等；三是數(shù)據(jù)處理訪問層，對(duì)業(yè)務(wù)處理提供數(shù)據(jù)服務(wù)，將各種不同數(shù)據(jù)的訪問權(quán)限進(jìn)行歸集。

（3）服務(wù)端支撐層

主要實(shí)現(xiàn)對(duì)系統(tǒng)資源、服務(wù)、接口等內(nèi)容的調(diào)度，屬于系統(tǒng)自身控制機(jī)制，服務(wù)安全層實(shí)現(xiàn)對(duì)自身系統(tǒng)安全能力的保障，如數(shù)據(jù)加密傳輸、加密訪問、系統(tǒng)安全檢查等；服務(wù)容錯(cuò)層實(shí)現(xiàn)系統(tǒng)的高可用能力保障；服務(wù)監(jiān)控層實(shí)現(xiàn)系統(tǒng)各項(xiàng)服務(wù)的監(jiān)控，保障系統(tǒng)的穩(wěn)定性。

（4）服務(wù)端通信層

圖1 系統(tǒng)總體架構(gòu)

服務(wù)端通信層主要實(shí)現(xiàn)三個(gè)能力：一是客戶端連接保證，保證所有客戶端屬于正常狀態(tài)，收集各客戶端狀態(tài)；二是保障所有客戶端與系統(tǒng)間的訪問流量的負(fù)載，避免因單一流量較大造成的單點(diǎn)故障；三是通信代理層是在特殊部署情況下，與代理服務(wù)器通信的組件。

（5）客戶端架構(gòu)層

客戶端架構(gòu)層主要實(shí)現(xiàn)對(duì)各客戶端功能調(diào)用、業(yè)務(wù)保持、資源監(jiān)控等能力的保障。通信層負(fù)責(zé)與服務(wù)端通信層進(jìn)行會(huì)話保持，監(jiān)控層負(fù)責(zé)對(duì)Agent資源監(jiān)控和存活性檢測(cè)；另一方面提供實(shí)時(shí)入侵檢測(cè)模塊、本地?cái)?shù)據(jù)讀寫模塊和安全腳本引入模塊的調(diào)用。

主機(jī)安全防護(hù)共包含一套管理控制服務(wù)平臺(tái)、主機(jī)Agent和Web可視化展示頁(yè)面三部分，提供資產(chǎn)管理、漏洞管理、風(fēng)險(xiǎn)管理、入侵檢測(cè)、合規(guī)基線和安全日志六部分功能。資產(chǎn)管理功能可實(shí)現(xiàn)對(duì)內(nèi)部主機(jī)的資產(chǎn)清查和變動(dòng)監(jiān)控；漏洞管理功能可實(shí)現(xiàn)對(duì)內(nèi)部主機(jī)系統(tǒng)和應(yīng)用補(bǔ)丁發(fā)現(xiàn)及漏洞監(jiān)控；風(fēng)險(xiǎn)管理功能可實(shí)現(xiàn)對(duì)內(nèi)部主機(jī)系統(tǒng)和應(yīng)用存在的安全風(fēng)險(xiǎn)進(jìn)行發(fā)現(xiàn)、修復(fù)和管理；入侵檢測(cè)功能可實(shí)現(xiàn)對(duì)內(nèi)部主機(jī)的入侵事件進(jìn)行實(shí)時(shí)發(fā)現(xiàn)和相應(yīng)；合規(guī)基線功能可實(shí)現(xiàn)對(duì)內(nèi)部主機(jī)進(jìn)行系統(tǒng)基線、應(yīng)用基線、等保基線和CIS基線的安全檢查；安全日志功能可實(shí)現(xiàn)對(duì)內(nèi)部主機(jī)的操作、安全事件、賬號(hào)變更等日志的收集和審計(jì)。

5.2 技術(shù)優(yōu)勢(shì)

5.2.1 安全穩(wěn)定低資源的主機(jī)探針

主機(jī)探針純綠色軟件，不嵌入系統(tǒng)內(nèi)核，杜絕由于探針軟件的問題而影響操作系統(tǒng)的穩(wěn)定。在系統(tǒng)負(fù)載過高時(shí)，獨(dú)特的降級(jí)機(jī)制會(huì)主動(dòng)降級(jí)運(yùn)行，嚴(yán)格限制對(duì)系統(tǒng)資源的占用，確保業(yè)務(wù)系統(tǒng)正常運(yùn)行。

自動(dòng)適配各種物理機(jī)、虛擬機(jī)和云環(huán)境。運(yùn)行穩(wěn)定、消耗低，能夠持續(xù)收集主機(jī)進(jìn)程、端口、賬號(hào)、應(yīng)用配置等信息，并實(shí)時(shí)監(jiān)控進(jìn)程、網(wǎng)絡(luò)連接等行為，還能與Server端通信，執(zhí)行其下發(fā)的任務(wù)，主動(dòng)發(fā)現(xiàn)主機(jī)問題。

5.2.2 精準(zhǔn)快速的主機(jī)發(fā)現(xiàn)

從安全角度自動(dòng)化構(gòu)建細(xì)粒度資產(chǎn)信息，支持對(duì)業(yè)務(wù)層資產(chǎn)精準(zhǔn)識(shí)別和動(dòng)態(tài)感知，讓保護(hù)對(duì)象清晰可見。精確支持10余類主機(jī)關(guān)鍵信息清點(diǎn)，200余類業(yè)務(wù)應(yīng)用自動(dòng)識(shí)別，并擁有良好的擴(kuò)展能力。

通過主機(jī)探針，可在15秒內(nèi)，從正在運(yùn)行的環(huán)境中，反向自動(dòng)化構(gòu)建主機(jī)業(yè)務(wù)資產(chǎn)結(jié)構(gòu)，上報(bào)管控平臺(tái)，集中統(tǒng)一管理；對(duì)Web資產(chǎn)與數(shù)據(jù)庫(kù)資產(chǎn)等高價(jià)值高敏感業(yè)務(wù)資產(chǎn)，進(jìn)行了針對(duì)性資產(chǎn)建模，確保不漏掉任何一個(gè)可用主機(jī)。

5.2.3 高效安全的檢測(cè)技術(shù)

提供多控制點(diǎn)的檢測(cè)能力，能夠?qū)崟r(shí)、準(zhǔn)確地感知入侵事件，發(fā)現(xiàn)失陷主機(jī)，對(duì)攻擊路徑的每個(gè)節(jié)點(diǎn)都進(jìn)行監(jiān)控，并提供跨平臺(tái)多系統(tǒng)的支持能力，保證能實(shí)時(shí)發(fā)現(xiàn)失陷主機(jī)，對(duì)入侵行為進(jìn)行實(shí)時(shí)告警。

結(jié)合專家經(jīng)驗(yàn)，威脅情報(bào)、大數(shù)據(jù)、機(jī)器學(xué)習(xí)等多種分析方法，通過對(duì)用戶主機(jī)環(huán)境的實(shí)時(shí)監(jiān)控和深度了解，有效發(fā)現(xiàn)包括“0day”在內(nèi)的各種未知黑客攻擊。

5.2.4 可持續(xù)的安全服務(wù)能力平臺(tái)

基于云計(jì)算和大數(shù)據(jù)技術(shù)，將傳統(tǒng)、單一的安全防護(hù)手段轉(zhuǎn)移到云平臺(tái)進(jìn)行整合，為客戶提供可持續(xù)的主機(jī)綜合防護(hù)能力，并可按照用戶的需求，定制檢測(cè)服務(wù)。

通過主機(jī)安全防護(hù)強(qiáng)大的計(jì)算能力，實(shí)時(shí)處理隨時(shí)爆發(fā)的新型攻擊，更新信息數(shù)據(jù)，能夠有效控制危險(xiǎn)事件的大規(guī)模發(fā)生和傳播。云節(jié)點(diǎn)和參與者越多，主機(jī)安全防護(hù)資源就越豐富，整個(gè)主機(jī)安全服務(wù)能力就會(huì)強(qiáng)大。

主機(jī)安全防護(hù)提供資源的靈活調(diào)度。主機(jī)被攻擊發(fā)生時(shí)間、地點(diǎn)和規(guī)模的未知性，需要安全資源彈性配置、快速響應(yīng)、易于擴(kuò)充。通過實(shí)時(shí)監(jiān)控系統(tǒng)狀態(tài)、資源占用情況，精確調(diào)度、按需部署，使得安全部署更加緊湊，擴(kuò)展兼顧，實(shí)現(xiàn)按需防護(hù)的能力。

主機(jī)安全防護(hù)提供安全專業(yè)人員的技術(shù)支持。在代為管理受保護(hù)的信息系統(tǒng)，提供實(shí)時(shí)事件監(jiān)控和應(yīng)急處理以及安全事件的歷史分析和反饋，有利于及時(shí)下發(fā)安全策略。

主機(jī)安全防護(hù)資源遷移更加靈活。物理機(jī)之間的遷移依靠的是系統(tǒng)備份和恢復(fù)技術(shù)，云計(jì)算中虛擬化技術(shù)使得安全資源的遷移方式多樣、遷移速度更為快捷，允許業(yè)務(wù)彈性變更，提升系統(tǒng)災(zāi)備和恢復(fù)能力。

6 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全威脅日益嚴(yán)峻，企業(yè)內(nèi)部IT環(huán)境變化多端，黑客攻擊日益隱蔽、專業(yè)，風(fēng)險(xiǎn)監(jiān)控成為企業(yè)高度關(guān)注的安全問題。主機(jī)安全防護(hù)系統(tǒng)從內(nèi)部安全管理的視角出發(fā)，關(guān)心企業(yè)內(nèi)部資產(chǎn)的實(shí)時(shí)變化，尋求最佳“安全-成本”平衡點(diǎn)，提供“標(biāo)本兼治”的解決方案。Adaptive Security架構(gòu)能夠在復(fù)雜變化的環(huán)境下有效抵御高級(jí)攻擊，是整個(gè)安全行業(yè)的發(fā)展方向。其創(chuàng)新之處：一方面在于將安全視角轉(zhuǎn)移到防火墻之后的業(yè)務(wù)系統(tǒng)內(nèi)部，強(qiáng)調(diào)自內(nèi)而外構(gòu)建安全體系；另一方面將安全從傳統(tǒng)的安全事件防護(hù)變成一項(xiàng)持續(xù)響應(yīng)和處理的過程，從多個(gè)維度持續(xù)保護(hù)企業(yè)安全。同時(shí)，還克服了主機(jī)類產(chǎn)品跨平臺(tái)、自身安全性等可能的技術(shù)瓶頸，為用戶提供一種可靠的安全監(jiān)控平臺(tái)解決方案。

綜上所述，著眼當(dāng)前網(wǎng)絡(luò)安全事件頻發(fā)及眾多企業(yè)高度重視的趨勢(shì)，依托首都機(jī)場(chǎng)現(xiàn)有的安全基礎(chǔ)設(shè)施，針對(duì)企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)中主機(jī)安全風(fēng)險(xiǎn)，結(jié)合相關(guān)大型企業(yè)實(shí)踐經(jīng)驗(yàn)，遵循“民航科技十三五規(guī)劃”中提出的愿景和目標(biāo)，制定了首都機(jī)場(chǎng)業(yè)務(wù)主機(jī)安全防護(hù)的解決方案及實(shí)施計(jì)劃，對(duì)于提升首都機(jī)場(chǎng)業(yè)務(wù)主機(jī)保護(hù)能力非常有益且必要。