民航機場關鍵信息基礎設施網絡安全保障體系研究

龐彬彬

(北京神州綠盟科技有限公司，北京 100089)

0 引言

民航機場是公共基礎設施，是指為航空運輸服務和航空客貨出行及航空貨物流動提供公共服務的工程設施，是航空運輸經濟賴以生存發展的基本物質條件，是服務于國家或地區社會經濟活動的公共服務系統[1]。機場系統龐大而復雜，其中信息集成系統、離港控制系統等多套重要信息系統被確定為國家關鍵信息基礎設施[2]。民航局多次在全國民航工作報告中提出，需完善民航網絡安全治理和綜合防控，加強行業關鍵信息基礎設施安全保護[3]。

“三法一條例”的頒布實施，對民航機場信息安全工作提出了更高的要求。民航局后續出臺的《“十四五”民用航空發展規劃》《中國民航四型機場建設行動綱要(2020-2035年)》《四型機場建設導則》《智慧民航建設路線圖》等行業相關規劃及標準中，網絡安全要求也都是必不可少的一部分內容。民航機場做好信息和網絡安全建設工作，建立健全信息和網絡安全保障體系，一方面對維護社會安定，確保民航服務安全具有重大意義[4]；另一方面也是大力推動民航數字化轉型升級、全面推進智慧機場建設的基礎保證，也是重要抓手。

在以上背景下，民航機場需要結合機場網絡安全現狀存在的突出問題，采取動態防護、主動防護、縱深防護、精準防護等措施，統籌安全綜合防御，建立機場安全綜合保障體系，強化關鍵信息基礎設施網絡安全監測預警和主動防御能力，有效應對機場信息化高速發展態勢下的各類網絡、數據、供應鏈等安全風險，落實國家相關法律法規和關鍵信息基礎設施安全保護要求，實現機場安全總體發展目標，推動機場數字化變革與發展。

1 面臨突出的網絡安全問題

在當前嚴峻復雜的信息和網絡安全形式下，民航機場關鍵信息基礎設施面臨的突出安全問題聚焦在以下幾個方面[5]：

近年來，許多地區已經對古樹名木進行了摸底調查，但調查指標設置不合理，數據較為粗放，不能準確反映當前古樹名木的生存現狀。筆者以濟源市王屋鎮為例，通過設置一些完善的調查指標，對古樹名木的樹種構成、生長狀況、存在問題等進行調查分析，并針對性地提出一系列保護措施，以期為古樹名木調查指標的合理化、標準化提供參考，也為古樹名木的精準保護提供支持。

(1)幕后“黑手”愈發強大

民航機場關鍵信息基礎設施涉及國家經濟命脈，地位十分重要。威脅機場關鍵信息基礎設施安全的幕后“黑手”早已不局限于單打獨斗的網絡黑客、小團體，還包括裝備精良、資源充足、戰術復雜的黑客組織、間諜情報機關等。

(2)供應鏈攻擊威脅局勢嚴峻

隨著機場關鍵信息基礎設施功能日益豐富，其涉及的相關信息系統和軟件產品也越來越復雜，軟件供應商多、供應鏈長，暴露給攻擊者的攻擊面也越來越多。針對機場的供應鏈攻擊通常也會和APT攻擊、勒索攻擊結合在一起，攻擊者加密機場關鍵基礎設施設備、系統或數據，以此勒索機場牟取暴利。

(3)攻擊手段越發隱秘高超

在20世紀80年代初期，奧林匹克運動遭受來自國際社會各種政治力量的持續攻擊，奧林匹克組織內部由于缺乏團結、共同的行為準則，再加上任何財政資源讓它能夠保持足夠的獨立性來抵抗政治勢力的干擾，幾乎成為全球緊張局勢的人質。到了20世紀90年代，奧林匹克運動包括主辦城市、電視轉播機構、贊助商以及其他一些組織等各個利益共享者在組織內部達成廣泛一致，奧林匹克運動在組織的協同一致中發展迅速。

3.1.2 供應商安全評估檢查

(4)安全運營建設挑戰重重

當前機場關鍵信息基礎設施安全運營面臨安全數據分散管理、整體態勢難掌握、安全產品報警日志龐大、人工審計工作量大、物理資產數量多、安全問題定位難、安全產品獨立防控、缺乏事件關聯性分析等諸多問題，機場關鍵信息基礎設施安全運營建設挑戰重重。

總的來說，當攻擊組織越強大，攻擊路徑越多，攻擊目標越精準，攻擊手段越隱秘，關乎國家經濟、人民生命安全的機場關鍵基礎設施遭遇攻擊所帶來的危害性、破壞性就越發難以估量和防范。因此，加強機場關鍵信息基礎設施網絡安全保障工作不容忽視、不容懈怠，而且更是勢在必行、刻不容緩。

2 安全保障框架體系構建

基于多年在民航機場信息和網絡安全方向的研究及實踐，本文認為機場關鍵信息基礎設施網絡安全建設宜以安全方針策略作為安全工作的指導與依據，構建一套安全保障框架體系，如圖1所示。具體需要：以建立供應鏈安全保障體系為底座，將供應鏈的“命門”掌握在自己手里，筑牢基礎安全屏障；以貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度為抓手，在滿足合規基線基礎上，適當針對性加強；以保護機場關鍵信息基礎設施、重要網絡和數據安全為重點，切實加強保衛、保護和保障；以建設安全態勢感知平臺為核心驅動力，以其他信息共享系統、安全運營服務、安全工具等配套服務工具作為輔助，全面加強機場網絡安全防范管理、監測預警、應急處置等各項措施，及時監測、處置網絡安全風險和威脅(尤其是定向性的APT攻擊、0day漏洞、未知惡意軟件等)；以機場網絡安全現狀和業務發展需求為導向，定期組織評估機場在關鍵信息基礎設施保護方面存在的風險，為機場運營者提供有針對性的安全解決方案，更好地為其信息化發展保駕護航。

式中，p k為相應于作用的標準組合時，基礎底面處的平均壓力值，kPa；f a為修正后復合地基承載力特征值，kPa，只進行深度修正且修正系數為1；f spk為復合地基承載力特征值，kPa；γm為基礎底面以上土的加權平均重度，kN/m3；d為基礎埋置深度，m。

圖1 民航機場關鍵信息基礎設施安全保障框架體系

3 安全保障體系建設要點

本文將對民航機場供應鏈安全管理體系建設、安全態勢感知平臺建設、關基保護配套服務工具以及關基設施安全檢測評估等要點進行重點闡述，而其網絡安全等級保護、關鍵信息基礎設施保護合規建設情況本文不做詳細介紹。

3.1 供應鏈安全管理體系建設

機場安全態勢感知平臺主要實現民航機場安全態勢感知平臺技術支撐體系的內容。從框架上，基于威脅建模能力支撐，實現從態勢感知到決策響應到聯動處置的閉環。總體技術架構圖如圖4所示。

本文針對國家法律法規、交通監管以及行業最佳實踐，將民航機場關鍵信息基礎設施供應鏈安全建設分成四個方面：機場自身的供應鏈安全體系建設、對供應商的安全評估及檢查、產品技術能力建設以及漏洞應急能力建設，并設計專項的解決方案[7]。解決方案框架如圖2所示。

圖2 民航機場供應鏈安全管理解決方案框架

3.1.1 機場自身供應鏈安全保護

(1)供應鏈安全管理及咨詢服務

參考《網絡安全審查辦法》《網絡安全法》等相關法律法規以及民航業最佳實踐，通過對機場單位的供應鏈管理組織架構、供應鏈管理體系、供應商管理制度以及開發管理體系進行安全評估。幫助機場單位了解其可能存在的外部供應商管理問題，第三方組件風險及自身管理體系缺陷問題，并提出相應的整改建議。實現加強供應鏈安全管理，防范供應鏈風險的目標。

(2)安全開發咨詢服務

通過開發業務場景分析識別安全需求、制定相應的安全設計方案、協助編寫安全編碼規范等技術咨詢服務。完善安全開發技術體系，全面提升軟件開發供應鏈安全能力。

展覽位于圖書館5樓，目前已接待20余批校內外團體參觀，參觀者紛紛留言表示收獲頗多：在藝術的氛圍中了解了外科醫學發展史，同時感受了醫學和藝術的神秘與崇高，醫者眼中的憐惜與思考等。

(3)開源或免費軟件安全技術檢測服務

對開源或免費軟件等第三方組件進行漏洞評估、安全基線評估、病毒檢測、沙箱檢測以及代碼審計，并對發現存在的安全隱患提供整改建議。

當前境外間諜情報機關針對我國航空行業精心謀劃、秘密實施的針對性竊密攻擊仍在持續性進行，攻擊過程使用針對性系統漏洞，并且都異常注重隱蔽性，構建的C2回傳網絡復雜多變，與傳統的魚叉、水坑攻擊不在同一維度。

(1)供應商安全風險評估服務

根據機場單位外包項目建設需求以及監管時間節點要求，制定每個供應商現場核實的詳細計劃并開展實施，根據計劃對供應商進行現場檢查并做風險評估，總結問題提出改進建議并上報機場安全管理部門。

(2)商業產品第三方安全評估服務

例2：在課堂活動視頻中，給教室全景畫面添加“視頻搖動和縮放”濾鏡，打開自定義屬性窗口，根據情節需要，設置結束幀的中心點“+”在“答問”的主體學生上，縮放率設置大于100%，模擬一個推鏡頭的效果，逐漸將畫面推向答問主體，其他學生不斷移出畫面外，所要表現的主體學生逐漸放大并充滿整個畫面，引導觀眾視線從教室全景逐漸集中到被關注的主體學生上，突出了主體學生和重點形象。

在獲得供應商許可的前提下對商業產品進行滲透測試、開源組件漏洞分析以及代碼審計。

(3)軟件動態安全檢測

防治科學越軌行為，不僅要在相關的科研機構以及高校中樹立嚴謹的學術之風，在社會的各行各業都應當樹立對待工作嚴謹求真之風，社會生活中更要杜絕越軌造假行為，在社會求真之風大環境的影響下，人民群眾對于學術越軌行為不沒能容忍，會直接減少學術越軌行為。同時要建立完善完備的法律體制，對于科學越軌行為作出相應的法律制裁，使科學越軌行為需要付出嚴重的代價。

(1)安全漏洞掃描

利用系統漏洞掃描工具，為機場用戶提供包括操作系統、數據庫、常見應用服務器及Web應用等范圍的漏洞掃描以及覆蓋設備的賬號管理、口令管理、認證授權、日志配置、進程服務、外部端口等多方面的安全配置檢查能力。

(2)網站安全測試

算法要求:在前期有較高的全局搜索能力以得到合適的位置,找到合適的位置后,a值能迅速減小進入局部搜索以加快收斂速度,在后期要求有較高的局部開發能力,以提高算法收斂精度。本文提出一種基于對數遞減策略的非線性動態變化收斂因子更新公式:

星雨回想起他們進到萬花谷半年來的點點滴滴，進而想起冷雨飛雪里尋找到萬花因通道的不易，覺得又傷感又甜蜜，一邊將自己的苦惱和盤托出來，希望得到兩位伙伴的開解。李離入谷以來，已經變成了內功機關派，古籍整理派，平日向袁安討論內功既多，得空就去工部，請教僧一行師父，又跟司徒一一先生的幾個入門弟子牛星羅、冉間選等來往密切。星雨與萬花諸圣學種花栽草，琴棋書畫，他雖然也不無興趣，總覺得太慢、太迂、太文藝，不如內功修習循序漸進，機甲機關切實痛快。

利用Web應用漏洞掃描工具對機場外部研發或托管外包的網站，作為人工滲透測試的輔助工具，自動獲取網站包含的所有資源，并全面模擬網站訪問的各種行為，比如按鈕點擊、鼠標移動、表單復雜填充等，通過內建的“安全模型”，協助滲透測試人員發現Web應用系統潛在的各種漏洞，通過權威CVSS漏洞評級模型對漏洞定級，為用戶構建了從急到緩的修補流程，以及易讀易懂、權威有效的分析報告。

3.1.3 供應鏈安全產品能力

利用威脅分析工具檢測通過外部采購的商業產品及其他供應商提供服務過程中通過網頁、電子郵件或其他的在線文件共享方式進入網絡的已知和未知的惡意軟件，通過病毒掃描以及虛擬執行方式發現利用0day漏洞的APT攻擊行為，保護客戶網絡免遭0day等攻擊造成的各種風險，如敏感信息泄露、基礎設施破壞等。

(4)第三方組件漏洞發現

利用代碼安全審計工具(SDA)對機場基礎設施的第三方開源組件資產識別、開源組件漏洞管理、源代碼缺陷審計。在不改變機場單位內部及供應商側現有開發測試流程的前提下，將代碼審計以工具的形式嵌入到已有的開發、運維流程中。在不增加項目開發人員的工作量的情況下，與軟件版本管理、缺陷追蹤等系統進行集成，實現多個功能，包括：代碼安全目標的統一管理、漏洞修復指引、自動化檢測、Bug修復追蹤等。同時SDA提供與WAF聯動的方案，保證系統在安全的環境中正常上線，即可以降低由開源組件帶來的安全風險。

3.1.4 供應鏈漏洞應急能力

(1)威脅情報中心

通過威脅情報中心，為機場用戶提供及時準確的威脅情報數據。用戶可及時洞悉公網資產面臨的安全威脅進行準確預警，了解最新的威脅動態，實施積極主動的威脅防御和快速響應策略，結合安全數據的深度分析全面掌握安全威脅態勢，并準確地進行威脅追蹤和攻擊溯源。

(2)供應鏈產品安全風險持續監測

威脅情報中心利用已知的威脅，可通過關聯分析，對未知威脅進行預測，可幫助機場用戶預測安全事件的走向；威脅情報中心具備IT資產管理能力，提供機場用戶環境內的資產發現功能，可以有效地管理動態的機場環境防止內部安全問題影響到軟件供應鏈安全；威脅情報中心可以從互聯網空間每天發生的海量安全事件提煉最受關注的熱門威脅事件，如與機場運行相關的漏洞、惡意樣本、數據泄露事件等，并提供深度分析，幫助機場用戶跟蹤熱點，了解最新威脅和及時采取防御措施。

(1)配套系統

安全態勢感知平臺提供有效的安全分析模型和管理工具，準確、高效地感知整個網絡的安全狀態以及發展趨勢，對網絡的資源做出合理的安全加固，對外部的攻擊與危害行為可以及時地發現并進行應急響應，有效地實現防外及安內，保障信息系統安全。

軟件供應鏈安全分析及事件響應中的多種工作同樣可以依賴威脅情報來更簡單、高效地進行處理。在報警分流中，通過威脅情報區分不同類型的攻擊，從中識別出可能的APT類型高危級別攻擊，以保證及時、有效的應對。在攻擊范圍確定、溯源分析中可以利用預測類型的指標，預測已發現攻擊線索之前或之后可能的惡意活動，來更快速地明確攻擊范圍；同時可以將前期的工作成果作為威脅情報，輸入高級威脅分析系統，進行歷史性索引，更全面地得到可能受影響的資產清單或者其他線索。

3.2 安全態勢感知平臺建設

作為設計吞吐量過千萬人次/年的大型國際機場，信息化資產數量規模龐大、系統的關聯性和復雜度高，信息安全防護工作面臨巨大的困難和挑戰。為了更好監控和保障機場關鍵信息基礎設施運行，及時識別和防范安全風險，同時滿足國家和重點行業監管要求，保證民航機場網絡安全管理工作的依法合規，需建立機場安全態勢感知平臺，尤其是等保2.0國家標準的正式發布，安全管理、安全運營等平臺已成為安全保障體系建設的“標配”。

面向民航機場行業的信息化場景，構建以安全能力中臺為核心，具備積極、主動、彈性、快速響應的安全防御體系，實現從安全監測、全局態勢、能力調度到編排響應的防護理念，精準落實“三化六防”[8]，打造針對關鍵基礎設施由識別、監測、預警到防御、應急、處置和治理恢復多位一體的安全態勢感知平臺，全面提升機場安全風險防范和應急處置水平。

基于威脅情報數據，可以生成深度包檢測采集探針等產品規則，用于對軟件供應鏈攻擊的檢測。如果是簡單的IP、域名、URL等指標，除了以上用途，還可以考慮直接使用在線設備進行實時阻截防御。在線設備可以使用威脅情報數據來增強檢測和防御能力。

3.2.1 技術支撐體系

安全體系的不斷演變，從原來的PD/P2DR/PDRR/PPDRR等以策略為中心的安全模型[9]，向以數據為中心、強調自適應性的ASA、CARTA等模型發展，平臺的“大腦”作用越來越重要，要求高可擴展性、高靈活性的軟件架構支撐，相對穩定的技術框架與多變性高速發展的業務分離。

許沁抿了抿嘴，露出一絲譏笑，嘲諷道，我明確告訴你，她早加入了外國國籍。我不知道你所說的法律，對一個外國人來說，是否具有法律效力。

參考流行安全模型，機場安全態勢感知平臺技術支撐體系如圖3所示。

圖3 民航機場安全態勢感知平臺技術支撐體系

通過各類安全設備或探針，結合集中管理平臺，引入專家安全服務及日常安全應急響應，形成安全防護框架、安全運維框架、安全驗證框架、安全度量框架等。

3.2.2 平臺架構設計

黨中央和國務院高度重視關鍵信息基礎設施的供應鏈安全，習近平總書記曾經指出“供應鏈的‘命門’掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經不起風雨，甚至會不堪一擊”[6]。IT服務外包商、承包商、供應商自身的安全威脅給機場單位造成的風險不容忽視。機場單位應當加強供應鏈安全管理，建立完整的供應鏈安全風險管理流程，對供應商進行安全評估，選擇可信的、具備完善的安全體系的供應商；適當為供應商提供指導，幫助他們增強網絡安全水平。

圖4 民航機場安全態勢感知平臺架構

機場安全態勢感知平臺采用高可擴展性的組件化架構，從底層為模塊快速加入調整提供基礎。組件設計遵循高內聚、低耦合原則，對外接口盡量穩定，減少組件內部邏輯調整引起的聯動修改。架構分層上，越底層通用性越強，越上層業務性越強。隔離不同層次的變化影響。

在“互聯網＋”時代，成人學生的特點有了新的變化，比如碎片化、不成體系的知識儲備，思維活躍、偏好問題導向式學習，善于表達，樂于分享與展示，偏好合作學習與在線學習等。教師應在充分了解和分析這些特點的基礎上，結合課程內容和教學過程，提出相應對策，以實現學生的知識、能力在原有基礎上的建構與生成，如表1所示。

數據采集層：態勢感知平臺通過配合流量采集探針、日志采集器、漏洞掃描探針、終端探針、蜜罐、沙箱等，可有效柔性接入各類安全數據，如安全告警和各類安全日志數據、流量采集數據、環境配置基線、資產采集數據和各類情報數據(IP信譽、樣本規則、MD5、漏洞情報等)，解決海量數據采集困難以及無法統一的問題，為安全分析人員提供基礎數據信息和支撐。

數據分析層：為業務應用提供能力特性支持，包含行為與威脅分析子系統、資產運維子系統、脆弱性管理子系統、運維處置子系統、安全治理子系統及情報與知識庫子系統。其中情報與知識庫子系統主要包含情報組件、威脅建模庫、漏洞庫、資產指紋庫、合規模板庫、地理庫等，為上層分析提供各種知識、模型、情報等數據。行為與威脅分析子系統在威脅建模知識庫基礎上，實現實體行為的分析及威脅分析和推理，完成從日志到事件乃至于具體威脅場景或攻擊過程的轉化輸出。資產運維子系統獲取環境數據，實現資產發現以及資產全生命周期管理。脆弱性管理子系統實現對漏洞及配置信息的管理分析，漏洞全生命周期管理邏輯。運維處置子系統實現基于規則的自動預判及專家研判，響應處置策略編排等邏輯。安全治理子系統實現安全治理量化評估指標體系，把技術手段與管理流程相結合，實現整體業務流程可度量，基于不同的指標特性，采用定性與定量評估，持續評估與周期性評估相結合的方式，完成對風險管理、合規的績效評定與有效反饋。

業務應用層：主要包括環境感知、運維響應、威脅管理、脆弱性管理、威脅情報、安全編排、合規審計等內容。業務功能層覆蓋傳統的態勢感知功能，資產、威脅及脆弱性管理和分析功能，結合等保2.0安全管理中心的標準，支持合規審計特性，實現環境感知能力，支持零信任體系建設，實現安全運維響應閉環，支撐安全運營體系建設。

3.2.3 關鍵能力建設

機場安全態勢感知平臺的關鍵能力主要由平臺側的環境感知、運維響應、威脅管理、脆弱性管理、威脅情報、安全編排、合規審計、態勢感知、一鍵封堵處置、分級管理等應用呈現的能力，以及機場各安全域部署的安全設備及探針提供的能力組成，主要包括防火墻、入侵檢測/防御、APT攻擊/勒索病毒/挖礦/僵木蠕/0day漏洞檢測、網站安全監測、Web防火墻、網絡流量分析、抗拒絕服務攻擊、全流量威脅分析、日志審計、數據庫審計、漏洞掃描、配置核查、終端安全管理等。

3.2.4 平臺部署效果

民航機場安全態勢感知平臺部署示意圖如圖5所示。

圖5 民航機場安全態勢感知平臺部署示意圖

民航機場設置數據中心骨干節點與出口路由節點，承擔機場數據中心各安全區域的流量。通過在數據中心骨干節點部署安全探針，收集分析整個數據中心骨干流量中的惡意文件及入侵行為，將分析結果匯總到機場安全態勢感知平臺，掌握整個數據中心網的安全態勢；通過在出口路由節點部署安全探針，收集分析外聯專網區與互聯網區流量中的Web應用檢測及入侵行為，將分析結果匯總到機場安全態勢感知平臺，對外部接入流量所帶來的外部風險態勢進行清晰重點展示；通過接收其他安全區部署的網絡設備、安全設備和安全探針反饋的安全日志信息，機場安全態勢感知平臺經過集中分析研判后，客觀展示各區域內部運行安全態勢，并共享威脅情報、生成防控指令，保障各區域安全。

在機場關基設施域強化安全保障措施，需部署若干安全設備及探針，類型包括：多合一硬探針、異常流量檢測探針、APT攻擊檢測探針、系統脆弱性檢測引擎、網絡安全云監測引擎等。

另外，平臺與關鍵安全設備進行了聯動配置，實現了“一鍵處置”功能；平臺還提供了標準的二次開發接口，實現了與上級單位態勢感知平臺、OA辦公平臺等系統的數據對接。

粗粉分離器是鍋爐制粉系統的的主要設備，其性能直接影響著制粉系統的安全、經濟運行。其原理是由磨煤機出來的氣粉混合物以15～20m/s的速度經進口短管進入分離器后，由于內外錐體間環形截面積增大，氣流速度驟降至4～6m/s，較粗的煤粉在重力的作用下從煤粉氣流中分離落下。氣粉混合物流過分離器上部折向門間隙時，防線便宜，在分離器外錐體上部形成倒漏斗狀旋轉氣流。在離心力的作用下，較大顆粒被壓到分離器外殼壁分離落下，而較粗的煤粉被拋向錐帽落入錐體內，經回粉管返回至磨煤機內重新磨制，合格的煤粉隨氣流從粗粉分離器短管引出至細分分離器。

3.3 關基保護配套服務工具

(3)供應商安全風險持續監測

機場關基設施保護配套系統主要包括網管與IT運維管理系統、信息共享平臺等其他信息共享系統。

M2和M3是運用分層多元回歸分析的方法關于H2的檢驗結果。M2中，引入現金冗余FS、股票期權激勵OPT和控制變量，發現FS與RD顯著正相關（β=0.0014，p＜0.01），與H1保持一致。M3在M2的基礎上引入OPT×FS，發現交互項與研發投入顯著正相關（β=0.0022，p＜0.1），且FS與RD始終保持顯著正相關關系，表明實施股票期權激勵會增強現金冗余與研發投入的關系，H2得到支持。通過對高管實施股票期權激勵，將其收益與未來股價緊密掛鉤，可抑制其操縱現金冗余尋求收益補償的行為，增加其研發動力。

(2)安全運營

機場關基保護配套安全運營服務包括資產掃描、漏洞掃描、配置核查、滲透測試、事件排查、應急防護等基礎運維服務，也包括安全合規測評、安全設備巡檢、安全設備運行監控等運維保障服務，還包括資產信息管理、脆弱性管理、威脅監控的安全運維流程管理，為民航機場關鍵信息基礎設施日常運維管理、應急演練、迎接檢查、紅藍對抗等場景提供能力支持。

(3)安全工具

機場關基保護配套安全工具包括安全監測評估探針、安全防護探針等。

3.4 關基設施安全檢測評估

《關鍵信息基礎設施安全保護條例》第十九條明確“運營者應當優先采購安全可信的網絡產品和服務”。國家網信辦牽頭，會同工信部、國資委以及有關保護工作部門持續開展中央部門和關鍵信息基礎設施運營者供應鏈安全督促檢查工作，了解各單位供應鏈安全管理情況，重點檢查運營者優先采購安全可信的網絡產品和服務方面的組織保障、制度建設和執行情況，提高運營者對供應鏈安全管理的重視程度，促進運營者加快開展供應鏈安全風險評估，嚴格按照國家有關要求開展重要網絡產品和服務的采購、部署、使用和維護，降低供應鏈安全風險[10]。

本門課程的三個學習角度：第一，從“新疆軟件園常見的Java就業需求”開始，了解目前新疆IT就業市場上提供的主要職位及這些職位技術要求，幫助學生清晰定位。第二，“JavaSE基礎案例”要求學生具有一定Java語言基礎，通過案例讓學生體會到學習Java語言的樂趣，深入掌握面向對象思想，熟練使用常用的API，鞏固和拓展Java程序設計。第三，“前沿技術介紹”主要實現“機器學習”的基礎案例，該階段內容是IT行業的前沿技術，可以開闊學生的視野，感受編程的魅力。

關鍵基礎設施業務的復雜性要求網絡風險管理在各種因素和載體上持續且始終如一地積極主動。民航機場關鍵信息基礎設施安全評估規劃以機場網絡安全現狀和業務發展需求為導向，持續評估機場關鍵信息基礎設施保護方面存在的風險，為機場運營者提供針對性的安全解決方案，更好地為其信息化發展保駕護航。

民航機場關鍵信息基礎設施的安全評估框架構建主要依據《信息安全技術 關鍵信息基礎設施安全檢查評估指南》(報批稿)，同時對關保相關標準規范進行細化，另外還需了解等保及其他安全評估的落實情況，主動評估、優先排序和管理威脅，實現以評促建，如圖6所示。

圖6 民航機場關鍵信息基礎設施安全檢測評估框架

民航機場關鍵信息基礎設施安全檢查評估工作從資產識別與梳理、威脅評估、脆弱性評估、合規性評估以及基于評估結果的風險分析與處置等維度，從技術、管理兩方面開展；管理層面主要包括安全管理機構及人員、安全管理制度體系、安全建設及安全運維等內容；技術層面主要包括系統、終端、應用、網絡方面等內容。重點評估關鍵基礎設施防護過程中的供應鏈安全、安全監測預警、應急事件與處置等內容。

4 結論

總的來說，建立民航機場關鍵信息基礎設施網絡安全保障體系，為機場帶來的價值如下：

(1)機場整體網絡安全建設以滿足等保合規為基礎，針對機場關鍵信息基礎設施、重要網絡和數據做到針對性地監控與保護，具備對常規攻擊、復雜攻擊、未知攻擊以及定向攻擊等的偵察及防御能力；

(2)建立機場供應鏈安全管理體系，建立完整的供應鏈安全風險管理流程，能夠有效規避機場關鍵信息基礎設施IT服務外包商、承包商、供應商自身的安全威脅；

(3)機場具備集態勢感知、風險預警、聯動處置和應急指揮為一體的網絡安全運營支撐體系，網絡安全威脅發現、監測預警、應急指揮、攻擊溯源能力得到大大提升，運營者不僅能看得見威脅關鍵信息基礎設施安全的幕后“黑手”，還能抓得出、防得住；

(4)機場具備有效的風險評估體系，能夠掌握平衡好關鍵信息基礎設施存在的各種安全風險，為關鍵信息基礎設施安全保護策略、安全管理制度的完善提供有力支撐。