首都国际机场主机安全解决方案探讨与研究

张立斌，韩燕征，王勇

（北京首都国际机场股份有限公司，北京 100621）

1 引言

首都国际机场作为国家重要的民航运输基础设施，不仅是中国最繁忙的机场，也是亚太地区最繁忙的机场，每年的起降航班超过55万架次，每年的旅客吞吐量超过8，300万人次，稳居世界第二，连续多年的高效运营，离不开机场各信息系统的安全稳定运行和相关保障部门的精心维护。党的十八大以来，网络安全上升为国家战略，机场做为国家重要基础设施的关键组成部分，网络安全保障工作显现尤为重要。如何实时感知内部资产变化、对主机资产进行持续的安全监控、应对未知威胁时从容不迫，都是我们值得去思考的。因此，在网络威胁高发的时代，要建立完善的网络安全纵深防护体系，全天候、全方位的应对网络入侵，持续的分析和可视化能力都是保障主机安全的“最后一公里”。

2 主机安全保护发展趋势

伴随着网络安全发展和攻击手段不断的演进，主机安全保护也在不断更新迭代，衍生出了一系列不同细分类别的主机安全产品。大体上可以概括为五个阶段。

阶段一：基础性的主机安全产品，实现目标是一个相对清晰的资产清单，以及基础性的主机加固，可以防止木马病毒入侵，防止核心数据被破坏、被偷窥、被篡改、被窃取，保证了系统的安全性。

阶段二：以应用为核心的主机安全管理，企业组织会利用补丁管理、漏洞管理、钓鱼防护等产品进行主机的安全防护，并制定差距分析和计划来消除差距。

阶段三：以检测响应为核心的主机安全管理，为捕获更多的机会主义攻击，这个阶段的主机安全保护产品重点已经从恶意软件预防和基础主机加固扩展到检测和响应。

阶段四：以主动防御为核心的主机安全产品，重点放在减少攻击面。检测活动上升到设备和用户行为级别。逐步使用默认的拒绝控制，如应用程序白名单，网络隔离和Web隔离，以减少攻击表面，并开始考虑先进的工具，如欺骗防御等。

阶段五：新形态下的主机安全产品，市场定义为基于主机的解决方案，主要满足现代混合数据中心架构中，服务器工作负载的保护要求。它为信息安全领导者提供了一种集成的方式，通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载，而不用考虑工作负载运行的位置。

3 首都机场主机安全风险与挑战

为推进民航重点基础设施和业务应用安全研究取得跨越，应从长远出发，规划和建设整体信息安全保障体系，从业务安全需求角度出发，按突出重点、适度防护的原则，通过技术和管理两方面措施确保首都机场信息系统的持续安全运行。技术部分其设计思路主要是确定安全保护的目标，通过风险评估识别当前目标的安全风险，同时依据目标风险的不断变化，及时调整安全策略和控制点；并引入PDR模型（防护、检测、响应）增强动态检测和防护能力。目前，首都机场生产环境的主机安全防护缺少平台化的安全建设，资产数据尚不能做到实时和清晰，针对安全风险的感知、发现和响应缺少重要的基础和关键锚点。

（1）应以网络安全等级保护制度为抓手，对生产环境现有主机资产进行识别与梳理，形成资产清单，依据资产清单进行设备自身安全性和安全保障策略差距评估，对发现的安全问题提出安全建议，充分保障主机部分达到等级保护要求。

（2）充分利用已有信息安全建设项目成果，完善基础安全防护能力，做到全面监控、重点防护、技术松耦合、业务紧耦合，避免大而全的“铁桶式”一刀切防护，真正做到事前预防、事中监控、事后可追溯。

（3）业务服务器分散，服务器变化、使用情况不能集中管控，因此加强对主机系统的监管，是落实国家等级保护政策和企业相关要求的有效手段。

（4）实施策略标准与安全体系建设并行，不断完善防护体系与防护策略，建立一个长效、稳定的主机安全防护体系。

3.1 漏洞发现及修复需求

近两年漏洞已经成为当前IT领域的热门话题之一。首先，漏洞传播速度高速化，借助各大社区、社交平台，漏洞的传播速度惊人，早上披露的漏洞，到下午可能已经有了利用代码，到了晚上很多攻击可能已经发生。其次，漏洞数量越来越多，信息技术与人们的生活越来越近，五花八门的应用，海量的数据，技术在持续发展，应用在大面积推广，大量的漏洞正在影响着每一个人的生活。最后，漏洞利用不再是少数专业技术人员的专宠。随着漏洞利用带来的庞大利益，越来越多的人投身于漏洞研究，越来越多的漏洞利用脚本被开发应用，普通人不需要具备专业知识，就可以成为一名破坏力十足的黑客。

从内部来看，很多安全主管都有这样的疑问，内部已经制定了漏洞管理制度，有专人负责漏洞扫描和修补，但实际情况是，出现紧急发生的漏洞还是手忙脚乱，仍然是疲于应付不断发现的漏洞，在接受上级单位检查的时候总是被发现存在漏洞。经常存在四种现象。

（1）漏洞事件反映缓慢

现有的漏洞管理过程，从漏洞公布出来，到漏洞修补有一个时间窗，这个时间窗相对较长，攻击者对漏洞的利用就是抢在这个时间窗内完成。一个不起眼的网络安全漏洞在早上时还没造成什么不良影响，可到了晚上，它就可能成为你的噩梦。这些安全隐患传播的速度一直在增长，与之相适应，传统的安全扫描往往按月为周期的扫描、报告、修补过程，相对于越来越快的漏洞利用速度，已经显得过于缓慢。

（2）流程指标难以量化

漏洞管理是一个管理流程。从Gartner定义的漏洞管理过程来看，漏洞管理包括了多个环节，每一个环节往往都需要多个部门，多个角色的互相合作。很多漏洞管理制度，只关注了每个环节本身，流程执行的效率如何，是否全面，是否达到预期，目前很少有管理制度能做到量化要求，也很少有安全管理产品能够支撑漏洞管理量化的要求。

（3）管理难度太高

在过去以合规为驱动的安全建设模式中，大量购买了专业漏扫产品，这些漏扫产品数量庞大，需要管理的对象和运营的数据都非常巨大，运维人员饱受其苦，管理难度太高。

（4）漏洞修补困难

安全厂商提供的漏洞修补建议，往往需要客户根据实际网络情况进行调整，无论是安全厂商还是内部的安全管理人员，漏洞修补都是一件非常困难的事情。譬如，“心脏出血漏洞”出现时补丁并没有马上随之发布，对于一些网站：如果考虑安全，则需要停掉对外的服务；如果考虑业务，这个漏洞就只能暴露在外。怎么能够找到折中的办法，如果不是对业务和系统都了解的人，几乎是没有办法的事情。

3.2 安全基线管理需求

3.2.1 安全基线标准不统一

在运行的各种设备安全配置标准不统一，并且部分设备存在默认配置弱点。乏安全配置符合性检查手段，无法对运行的主机和设备的符合性进行安全检查与评估，并通过评估结果对设备进行加固与维护，无法保持设备安全性不断提升。并且，在运行的主机设备可能存在安全弱点而未被发现。

3.2.2 缺乏整体安全分析

对全网业务主机的整体安全状况缺乏全面分析，由于缺乏实时的主动的安全事件与日志检测机制，对于事件的检测和报告还仅局限于单个的安全事件本身，而不是整合成为全网业务主机整体威胁的剖面视图，导致安全保障人员对于全网业务主机的整体安全状况缺乏实时全面了解。

3.2.3 安全检查频率低

无法应对瞬息万变的安全内外环境，在完成测试的下一秒，外部安全形势可能就会发生变化，而移动互联网时代也面临着业务变化相比之前更加复杂频繁的情况。

3.3 安全管理需求

3.3.1 安全风险管理滞后

缺乏主机设备弱点管理工具，无法对主机及设备的安全弱点进行管理与维护，由于弱点缺乏管理可能被利用造成主机系统内的信息资产损失。安全硬件很难快速的更迭，受到硬件自身性能限制，很难适应日新月异的网络变化和最新的安全攻击特点。

3.3.2 无法形成有效地纵深防御体系

数据分散，信息量极大，网络环境中部署了多种异构的安全产品，包括防火墙、防病毒、IDS等，这些安全产品来自不同厂商，每个产品均有一套安全信息告警功能，产品间的安全日志彼此孤立，由于缺乏针对所有IT设备的安全事件与日志的关联分析，安全保障人员无法使用肉眼从海量的分散的信息中发现真正的安全事件。

3.3.3 缺乏内部违规操作审计

无法主动发现第三方人员对信息系统的违规操作，系统内有较多信息系统由第三方厂家提供日常运维服务，但由于缺乏操作行为审计，很难及时发现第三人员对信息系统的违规操作，如数据篡改。

4 主机安全防护能力

基于首都机场信息化建设总体要求，加强主机安全管理，利用信息技术手段高效、准确、便捷实现业务主机全覆盖的安全监控，提升业务主机安全风险感知、发现和响应能力，建立可持续的安全运营体系。具体目标有四个。

全企业的统一管理：实现对首都机场业务系统主机安全的统一管理、分析。

全覆盖的安全监控：实现对首都机场业务系统主机的全覆盖。

全周期的风险处理：实现对业务主机的风险发现、响应能力，进行实时告警。

全方位的安全保护：实现对业务主机入侵检测能力，全面保护业务主机安全。

参考国内外厂商的主机安全防护技术，结合我国对主机安全防护的要求和首都机场的现状，主机安全工作涉及到业务主机的监控、分析、响应、处理的各个方面，需建立完善的主机安全保障体系，保障主机系统可用性、完整性，系统操作保密性、可追溯性，实现业务主机的“可控、可信、可管、可视化”，全面保护首都机场内部核心业务系统资产。

现阶段主机安全防护系统主要涉及DMZ区、OA业务及运营业务服务器、东区安检信息系统、西区安检信息系统、股份相关OA业务服务器、网管服务器、集团相关OA业务服务器、集团下属托管服务器（除集团本部和股份）、西区门禁监控、VoIP、视频会议、GIS等区域业务服务器。

现阶段主机安全防护系统主要涉及的业务组86个，其中包含邮件系统、航显系统、ERP系统、GPS系统、飞行区交通管理系统等。

从业务主机的安全防护和集中运维角度，采用主机统一管理控制（事前预防）、风险发现响应和入侵实时告警（事中管控）、可疑非法操作的审计和溯源（事后追溯）等机制，实现业务主机的可知、可控、可审计，补充和完善了首都机场信息安全防护体系。

实施按照先试点、后推广的原则，在测试环境对产品的功能性、技术性、高可用性和可扩展性进行验证，在生产环境中从普通业务到重要业务的逐步推进的策略，为后续其他业务系统独立部署实施奠定基础。

采用国产化成熟产品并结合首都机场安全管控的需求进行定制化开发，利用“自适应安全架构”“大数据分析”“机器学习”等技术形成基于业务主机的自适应安全管理，并制定一系列管理规范和制度，保障该系统的高效执行。

5 技术关键能力和优势

5.1 技术关键能力

系统采用多层的计算架构设计，模块化的部署方式，不仅具备灵活的扩展能力，还能应用大量任务下发和海量数据分析处理，保障系统性能，系统总体架构如图1所示。

（1）前端展示层

展示视图层主要负责系统数据的显示，展示模式层主要负责系统数据的管理，展示控制层主要负责协调上述两个层面。整合起来主要为控制中心提供各类信息的清晰展示，对重大威胁进行实时告警，帮助用户更好、更快地处理问题，方便用户对系统进行配置和管理。

（2）服务端逻辑层

主要提供三方面的功能：一是与外部系统接口间的互通，可以实现系统与外部系统的数据交互、消息传输；二是业务处理层，可以实现本系统内业务功能的实现，发布和订阅系统、服务端配置等；三是数据处理访问层，对业务处理提供数据服务，将各种不同数据的访问权限进行归集。

（3）服务端支撑层

主要实现对系统资源、服务、接口等内容的调度，属于系统自身控制机制，服务安全层实现对自身系统安全能力的保障，如数据加密传输、加密访问、系统安全检查等；服务容错层实现系统的高可用能力保障；服务监控层实现系统各项服务的监控，保障系统的稳定性。

（4）服务端通信层

图1 系统总体架构

服务端通信层主要实现三个能力：一是客户端连接保证，保证所有客户端属于正常状态，收集各客户端状态；二是保障所有客户端与系统间的访问流量的负载，避免因单一流量较大造成的单点故障；三是通信代理层是在特殊部署情况下，与代理服务器通信的组件。

（5）客户端架构层

客户端架构层主要实现对各客户端功能调用、业务保持、资源监控等能力的保障。通信层负责与服务端通信层进行会话保持，监控层负责对Agent资源监控和存活性检测；另一方面提供实时入侵检测模块、本地数据读写模块和安全脚本引入模块的调用。

主机安全防护共包含一套管理控制服务平台、主机Agent和Web可视化展示页面三部分，提供资产管理、漏洞管理、风险管理、入侵检测、合规基线和安全日志六部分功能。资产管理功能可实现对内部主机的资产清查和变动监控；漏洞管理功能可实现对内部主机系统和应用补丁发现及漏洞监控；风险管理功能可实现对内部主机系统和应用存在的安全风险进行发现、修复和管理；入侵检测功能可实现对内部主机的入侵事件进行实时发现和相应；合规基线功能可实现对内部主机进行系统基线、应用基线、等保基线和CIS基线的安全检查；安全日志功能可实现对内部主机的操作、安全事件、账号变更等日志的收集和审计。

5.2 技术优势

5.2.1 安全稳定低资源的主机探针

主机探针纯绿色软件，不嵌入系统内核，杜绝由于探针软件的问题而影响操作系统的稳定。在系统负载过高时，独特的降级机制会主动降级运行，严格限制对系统资源的占用，确保业务系统正常运行。

自动适配各种物理机、虚拟机和云环境。运行稳定、消耗低，能够持续收集主机进程、端口、账号、应用配置等信息，并实时监控进程、网络连接等行为，还能与Server端通信，执行其下发的任务，主动发现主机问题。

5.2.2 精准快速的主机发现

从安全角度自动化构建细粒度资产信息，支持对业务层资产精准识别和动态感知，让保护对象清晰可见。精确支持10余类主机关键信息清点，200余类业务应用自动识别，并拥有良好的扩展能力。

通过主机探针，可在15秒内，从正在运行的环境中，反向自动化构建主机业务资产结构，上报管控平台，集中统一管理；对Web资产与数据库资产等高价值高敏感业务资产，进行了针对性资产建模，确保不漏掉任何一个可用主机。

5.2.3 高效安全的检测技术

提供多控制点的检测能力，能够实时、准确地感知入侵事件，发现失陷主机，对攻击路径的每个节点都进行监控，并提供跨平台多系统的支持能力，保证能实时发现失陷主机，对入侵行为进行实时告警。

结合专家经验，威胁情报、大数据、机器学习等多种分析方法，通过对用户主机环境的实时监控和深度了解，有效发现包括“0day”在内的各种未知黑客攻击。

5.2.4 可持续的安全服务能力平台

基于云计算和大数据技术，将传统、单一的安全防护手段转移到云平台进行整合，为客户提供可持续的主机综合防护能力，并可按照用户的需求，定制检测服务。

通过主机安全防护强大的计算能力，实时处理随时爆发的新型攻击，更新信息数据，能够有效控制危险事件的大规模发生和传播。云节点和参与者越多，主机安全防护资源就越丰富，整个主机安全服务能力就会强大。

主机安全防护提供资源的灵活调度。主机被攻击发生时间、地点和规模的未知性，需要安全资源弹性配置、快速响应、易于扩充。通过实时监控系统状态、资源占用情况，精确调度、按需部署，使得安全部署更加紧凑，扩展兼顾，实现按需防护的能力。

主机安全防护提供安全专业人员的技术支持。在代为管理受保护的信息系统，提供实时事件监控和应急处理以及安全事件的历史分析和反馈，有利于及时下发安全策略。

主机安全防护资源迁移更加灵活。物理机之间的迁移依靠的是系统备份和恢复技术，云计算中虚拟化技术使得安全资源的迁移方式多样、迁移速度更为快捷，允许业务弹性变更，提升系统灾备和恢复能力。

6 结束语

网络安全威胁日益严峻，企业内部IT环境变化多端，黑客攻击日益隐蔽、专业，风险监控成为企业高度关注的安全问题。主机安全防护系统从内部安全管理的视角出发，关心企业内部资产的实时变化，寻求最佳“安全-成本”平衡点，提供“标本兼治”的解决方案。Adaptive Security架构能够在复杂变化的环境下有效抵御高级攻击，是整个安全行业的发展方向。其创新之处：一方面在于将安全视角转移到防火墙之后的业务系统内部，强调自内而外构建安全体系；另一方面将安全从传统的安全事件防护变成一项持续响应和处理的过程，从多个维度持续保护企业安全。同时，还克服了主机类产品跨平台、自身安全性等可能的技术瓶颈，为用户提供一种可靠的安全监控平台解决方案。

综上所述，着眼当前网络安全事件频发及众多企业高度重视的趋势，依托首都机场现有的安全基础设施，针对企业内部业务系统中主机安全风险，结合相关大型企业实践经验，遵循“民航科技十三五规划”中提出的愿景和目标，制定了首都机场业务主机安全防护的解决方案及实施计划，对于提升首都机场业务主机保护能力非常有益且必要。