|
中国民航局第二研究所高级工程师 马勇
中国民航局第二研究所高级工程师 马勇(张哈斯巴根/摄)
马勇:尊敬的各位领导,各位专家,大家上午好!今天我给大家带来的题目是《民航盾护航智慧民航建设》。 随着智慧民航建设工作的持续推进,越来越多的信息系统开始部署在互联网上提供服务,不仅丰富了我们民航信息系统功能,还提升了民航旅客服务效率,使民航业务更智慧,服务更人文,但是这些部署到互联网上的信息系统也不得不面对来自互联网的各种威胁和攻击,如黑客入侵、信息泄漏、拒绝服务攻击、网页篡改等,这些攻击不仅仅可以对我们信息系统正常运行造成严重的影响,还会影响到我们民航行业的正面形象,给我们带来很多不利的因素和影响。 其次,不法分子还利用我们信息系统存在的安全问题或Bug进行薅羊毛或恶意爬虫,使我们民航很多单遭受巨大的经济损失,这些都给我们带来了很多不利影响。 在智慧民航推进过程中,这些问题给我们带来了很大困惑和隐患,如何面对这性问题?先从几个案例开始,也是我们开展智慧民航护航建设工作的一个动力。 第一个案例,2017年我有幸参加了浙江省温州市公安局网安支队、苍南县公安局网警大队破获了一起黑客攻击窃取国内航空公司网站的案件,黑客非法入侵50多家民用航空类的公司网站,窃取乘客票务信息,并且利用这些信息实施网络诈骗,最终骗取金额高达1000多万元,警方抓获黑客犯罪嫌疑人30余名,缴获航空票务类信息30多万条,以及我们民航自己大量的帐号醚好信息,当时造成的影响非常大。 在和网安支队进行交流的时候,了解到其实这个攻击是同一个黑客林某采用了最初级的方法“密码报警破解”,对我们民航多个网站进行后台报警特点攻击,在调研中也发现个别网站识别了这种攻击,并对这种攻击进行阻拦,但没有一个信息共享渠道,导致其它在网站遭受攻击的时候并不知情,或者没有进行很好的联动防御,使黑客肆无忌惮对其它网站进行攻击。 第二个案例,2019年多家民航单位遭受攻击,部分门户网站,甚至业务系统受到影响,一开始我们接到相关咨询以为是个例,相当于分散,但后来通过了解信息越来越多,进行了挖掘分析,发现这些攻击进行相同的攻击源,性质就发生了很大的变化,由原来的个例的攻击已经上升到有组织、有目的的行业的攻击,这种攻击范围广、力度大、时间长,这也是这次攻击的特点,同时我们对此进行分析也发现了很有意思的特点,这次攻击大量来源于物联网设备,也就是说甚至一些智能水壶都作为攻击源来对我们行业进行攻击。 第一个案例,就是2020年6月初,17岁的小陈因为新冠疫情的因素被强制滞留在国外疫情重区,无法购买回国的机票,因此他就产生的不满的情绪,冲动之下他在境外就购买攻击套餐,利用拒绝服务攻击等手段多次持续攻击某航司的客票计算机系统,这次的入侵导致航空公司对外服务的网络全部瘫痪,为5000余万用户提供服务的计算机系统不能正常运行累计4个小时,这对该航司造成了巨大的经济损失和负面的网络舆情的评价。 我们通过搜集的这些信息,发现行业里针对这种网络攻击,特别是拒绝服务攻击的能力是非常薄弱的,缺乏一个联动机制,基于这些思想,我们开始了我们的思考,前面各位领导都提到了我们的数据要共享,因为信息系统存在孤岛的问题,我们通过数据共享将它联通,网络安全是不是也存在信息孤岛的问题,其实通过第一和第二,我们可以很明确的感受到我们网络安全的防护也是存在这种孤岛的问题,如果我们能够实现情报共享也就是数据共享,那么能解决这个问题吗?或者是能够更好的进行防御吗?因此在这里面在互联网时代要擅用互联网思维解决问题。 我们提出了群防群治、情报共享这个理念,并在这个理念的基础上深入研究行业的一些信息系统的网络安全特征,并在此基础上打造联防行业的专属的云防护平台,我们打造的云防护平台主要分两个部分,一个民航盾,也就是为用户提供防护的部分,另一个是民航云防护态势感知,就是综合挖掘分析对行业整体态势感悟提供威胁情报的平台。 这个平台在民用防护模块可以提供云防护、抗拒绝服务攻击的防护还有CDN加速的功能,通过云防护和抗拒这些功能,可以有效的抵御刚刚提到的黑客的入侵、网页的篡改、数据的泄露、拒绝服务攻击、防爬虫还有薅羊毛这些不法分子他们的攻击的行为。 同时通过我们的云防护态势感知,我们可以更加直观的掌握整个接入系统的行业的网络安全态势,同时通过数据挖掘可以根据拦截的攻击信息,更好的分析攻击员的特点,比如说攻击员来自于哪里,还有一个就是这些攻击者对民航的哪些信息感兴趣,为什么感兴趣,挖掘出一些更好的信息来严堵整个行业的安全防护的措施,提升整个行业的安全防护能力。 我们通过对数据挖掘分析,可以为行业进一步提供威胁情报服务以及为监管部门提供决策支持,我们每个月依据我们的民航盾它拦截的数据给行业提供月报,通过月报可以更好的掌握整个安全态势,比如说我们在重大活动期间它的攻击量是否有所增加,我们该如何防护,什么时候攻击区域平缓,我们的防护措施要做动态的调整。 民航盾自运行以来,为多个民航为提供安全防护服务,包括民航西南地区管理局、四川省建设集团、广西建设集团、昆明航空、四川航空、大连机场、烟台机场、绵阳机场等单位,我们都提供了相关的安全服务,也经受了建党一百周年和党的二十大重大保障活动的考验,圆满的完成了各项保障任务,我们也更有信心给行业提供更强有力的安全防护,同时我们思考这个民航盾优秀在哪里? 第一是民航盾是基于云上的防护,它的优势在于威胁情报全面的共享,也就是像前面各位领导提到的,我们要数据共享,这样更全面。 第二是安全策略的实时调整,通过云的智能化的策略可以实时的进行动态调整。 第三是防护资源的动态优化,比如像拒绝服务攻击,如果是本地防护的话是固定的,很难再动态调整,如果是基于云的防护可以实时的调整防护资源,使我们的防护更及时,更有利。 当然了我们也感谢行业单位对我们的支持和信任,我们也收到了各个单位对我们的感谢,对我们民航盾也是一种强有力的认可,其实在刚刚胜利开幕党的二十大期间,我们充分地发挥民航盾的群防群治的防护理念,依托云防护平台为民航各单位提供了云防护的服务,同时对拦截的攻击信息进行深度的挖掘,在为提供威胁情报。 在此基础上我们通过同时发现的有多个攻击源对我们民航单位进行长期持续的攻击,我们把这些供给源进行梳理并同步给行业单位,在党的二十大召开期间为各个单位的重大保障提供了强有力的支持,这是我们在党的二十大期间拦截的攻击数据,通过这个攻击数据显示,我们可以看到在党的二十大召开之前,攻击量是非常大的,之后它的攻击数据是在持续下降的,这也表明前期各单位做了大量的保障工作,黑客进行大量渗透攻击以后发现没有效果,后面的攻击量会持续下降这么一个总体的态势,当然我们也检测到个别单位它的系统来自国外的攻击量是发生了突变,原来可能很少关注,但是到了二十大期间突然增加,一般像这种单位是咱们行业的行政管理单位,它的攻击量会出现这么大的变化。 其次是关于攻击类型的统计,我们发现攻击最多的还是拒绝服务攻击,也就是它打不进来,但是它想办法采用拒绝服务攻击的方式让我们的系统不能正常使用,这也是我们在党的二十大保障期间发现的一个重要的特征。 但是在这个过程中刚刚我们提到了通过二十大持续的检测我们也挖掘出一些相对直观的攻击特征,比如说我们发现一些攻击源是相同的IP或者相同的IP段,它对我们民航的多个单位进行攻击扫描探测,我们检测发现其实很直观的可以识别为是一个同源的攻击,这些攻击源是有目的性、有针对性的对我们的行业进行攻击,我们及时的把这种情报同步给行业单位,他们对这些IP进行封堵,也有助于各单位提升我们的安全保证的能力。 其实我们从事网络安全工作多年,根据2018年统计数据显示,我们民航行业有近2000个域名,当然随着时间的发展,我们面向互联网服务会越来越多,特别像智慧民航的建设推进、智慧服务等等这些都离不开互联网的支持,但是目前只有少部分的这路系统接入到我们的系统中,我们的系统现在只能是管中窥豹,通过一点的数据来展现可能是整个行业的趋势,系统越多越能体现我们行业群防群治,情报共享的理念。我们接下来的工作。 一,进一步加强行业整体的防护能力,将威胁情报优化。 二,更好挖掘提升威胁情报的监管效能。 三,继续完善平台的功能,为我们行业提供更好的服务,最终实现行业群防群治情报共享的理念,来提升整个行业的网络安全防护能力,护航智慧民航的建设。 各位专家、各位领导,我的汇报到此结束,谢谢大家。 |
中国民航报社 版权所有 京ICP备05024158 如有意见和建议,请惠赐E-mail至 news@caacnews.com.cn |