腾讯民航行业安全负责人 杨忠
 
腾讯民航行业安全负责人 杨忠(张哈斯巴根/摄)

杨忠:各位领导大家早上好,我是腾讯安全的杨忠,我今天汇报的主题是“保障民航行业高质量发展下的安全建设思路及最佳实践分享”。

整个汇报的内容主要分为四个部分。

首先安全工作的重要性其实现在已经不言而喻了,从2014年国安委第一次全会将网络安全首次纳入国家安全的范围,其次在福州《网络安全法》的实施,网络安全已经上升到了国家法律的层面,到2017年的8月《党委党组网络安全工作责任制》的实施,网络安全实际上已经成为一把手工程,在2019年等保2.0标准的实施,我们的合规建设迈入的2.0时代,2021年《数字安全法》、《个人信息保护法》、《关键信息注册保护条例》等多部法律法规的实施,实际上再次将网络安全的重要性拔到一个新的高度。

实际上网络安全既是国家安全问题,也是一个重大的民生问题,网络安全出现了问题,整体的信息化建设的价值会回归到零,在民航局,网络安全是我们在智慧民航建设过程当中的一个重要保障,从2018年至今,民航局发布了多部的跟网络安全相关法律标准,这其中还不包括通知、专项行动或者是检查等方式在网络安全里面的体现,今年1月6日发布的智慧民航线路图里面也明确提出了提升网络安全检测预警和态势感知能力,提升全国民航网络安全威胁情报共享能力的相关要求,次日发布的“十四五”规划里面再次强调从网络安全规章制度、网络安全检测预警能力、网络信息系统安全保障和应急处置能力四个方面的明确要求。

在我们的智慧民航的建设过程当中,是将数据治理作为一个基础,我们通过主动采集的方式,致力于将分散在全场的异构业务系统当中的结构化、半结构化、非结构化的数据按照统一的标准进行规范,实现高质量的数据采集、汇聚、清洗、融合之后,最终赋能到我们的信息系统当中,实现一次采集,多次运用,而接下来信息共享是我们在整个数据治理的基础,也是数据治理的目标,通过打通不同平台之间的壁垒,以数据这种方式借助于信息各个系统,实现了机场、旅客、航司之间的数据服务,同时也支撑了民航各主体单位之间跨部门的合作,而最终得益于前期的数据治理和信息共享为智慧民航奠定了一个最重要的基础,最终实现了通过智慧化服务的方式展现出来,例如实现旅客全流程的引导,无感化通关、差异化安检、海关防疫一次检测、出行一张脸等服务,真正的落实了人民航空为人民的宗旨。

然而在我们整个过程当中,我们却发现我们是危机重重的,总结下来有六大危机即“看不全、管不着、流通快、范围广、影响大”,整体说下来归根结底就是三大因素。

第一,人的因素,我们很难招募到有经验的网络安全专家,安全专家到组织以后也不知道如何融入团体,因为其实有一个很大的特点,网络安全专家到位以后,会对原先的信息系统的使用便捷性带来很大的挑战,网络安全团队成长慢,成就感低导致了离组率的大幅上升。

第二,事的因素,我们在现在缺乏成熟的,经得起实战验证的安全运营流程,这其中包括了安全评估体系、事件管理、漏洞管理以及情报管理体系。

第三,物的因素,大量的安全设备哪些有效,哪些无效,我们缺乏一个有效的系统性的评估,而各类安全概念的落地也没有因为新技术而导致传统的网络安全问题得到有效的解决。

此外近年来在网络安全法律法规体系的逐渐完善,以《网络安全法》和《密码法》为基础,仅在2021年就有《数据安全法》、《个人信息保护法》、《关键信息技术保护条例》以及《网络安全审查办法》等相关法律的颁布实施,这些法律法规与智慧民航的发展是息息相关的,此外还发布了多部跟网络安全相关的标准制度,因此法律法规成为我们整个智慧民航建设的一条无形缰绳。

总结起来,从规划层面来看,由于业务和技术的不断发展,安全所涉猎的范围也变的越来越大,加之各类法律法规国标航标的不断出台,对安全能力的建设提出了一个更严苛的要求,所以网络安全从早期的附加品变成了继网络、计算、存储之后的IP第四大必备品也成为了数字化、信息化、智慧化所发展的必要条件之一。

接下来从攻击者的视角来看一下我们的安全建设尚有不足,作为一个攻击者我们会对  有兴趣,其实从小到毛贼,大到国家级的对抗,我们的兴趣点是逐渐上升的,首先最基础的层面我们可能会对旅客数据感兴趣,接下来可能是飞行数据,这个可能是到国家级的对抗,接下来一旦涉及到恐怖分子或者是国家级的真实对抗当中,我们会对管制数据、飞行控制这些相关的东西越来越感兴趣。

实际上在今年的2022年国家级攻防演练当中,我们也是针对了民航系统的两大核心平台进行了推演,确实能够证实在我们还是可以通过相关措施同供应链的打击能够打击到飞机的前舱,从攻击者的视角下看一下我们如何来进行内页网的突破。我们可以模拟两条线路,一条是通过供应链的打击,一条是通过进场打击,黑客可以通过正常渠道获取到机场登机口验证设备的供应商,之后从供应商的运维人员发起定向攻击,下一步利用该人员通过运维相关设备的时候,进一步感染某前置系统,利用系统的漏洞,我们能够达到更深一步的打到里面的系统。

由于相关的前系统和机场的信息系统是相关,我们只要打通了机场的信息集成系统,其实整个机场的核心系统我们是基本上能够实现控制,这个是从供应链的一条路径。

第二条路径的话是利用机场大量存在的自主终端,我们通过对自主终端进行投毒,感染值机系统,由值机系统与我们的信息集成系统之间有数据交互,我们可以轻而易举的突破在信息集成系统与骨干网之间的边界,进一步攻击到我们机场的核心系统。这一切的目标实际上就是通过打击信息集成系统,逐步的瘫痪整个机场的业务,围绕着信息集成系统,我们还可以反向打通空管、航信或者是其它航司的相关应用系统,这一切我们是经过实战化的推演,明确可以实现相关的过程。

接下来我们面对攻击需要如何应对,我们需要知道我们自己的家底,这个家底包括我们的风险、资源以及我们能够有效借助的安全运营机制,打造网络安全视线保障圈,实现全局的网络安全的统一协调指挥,而这一切总结下来就是我们通过建立有效的网络安全运营体系,来提升我们整体的网络安全对抗能力。

我们腾讯安全是怎么做的?跟民航业务比起来,我们其实还是有比较多的相似地方,腾讯安全源于我们自身的发展需求,通过20多年打磨到各个行业,成立了我们自己的腾讯安全团队,最终赋能到全国的各行各业。

我们腾讯自身的安全防护体系特点是:

1、面对的是300多条业务线的稳定和安全需求。

2、是多数据中心海量数据处理的需求,而这一切带来的风险是大量的网络暴露面、复杂的网络环境和高并发的流量;

3、是我们海量快速迭代的应用系统及各个相互系统之间错综复杂的逻辑调用模式,这一系列逻辑对我们安全防护、策略设置提出了非常眼科的要求。

4、我们核心业务系统承载了大量个人信息,数据安全不容有事,不管在我们微信,还是QQ上,都有个人的敏感信息,但这么多年来没有发生过一起围绕过QQ或微信产生的个人数据泄漏的相关案例。

5、自身运营上面的需求,我们不光要满足我们对外的各个业务系统,还需要满足我们11万+员工和远超这个数量合作伙伴的运营和服务人员的安全管控,而这一切的东西我们都把它做成产品化,最终赋能到社会各界。

要解决安全问题,首先需要有一个安全管理组织,腾讯如何去做安全管理,腾讯安全组织长什么样子?是大家比较有兴趣的地方,我们的整个安全组织主要分为三个层次(决策层、管理层、执行层)。

决策层,有三个机构组成(信息安全决策委员会、数据隐私保护委员会、金融数据合规委员会),信息安全决策委员会是我们的一个核心团队,也是一个虚拟组织,剩下两个机构是围绕着数据隐私和金融合规两个专业化组织。

管理层,有不同BG根据自身业务特点构建不同形态的业务组织,拉通整个腾讯集团业务的话,则是由TEG所属安全平台部门承担整个漏洞的风险闭环,并协助各类平台部门建立健全整个公司级的安全公共基础设施。

执行层,则以虚拟组织为依托,实现了特定安全风险的闭环,从而形成了具有特色安全治理环境。例如微信支付,游戏安全,金融支付等。

在执行方面,我们则是以业务保障部门和信息安全部门构成基础的安全运营体系,同时根据业务的需求设置专门的治理机构,承接各个BG之间的特殊安全诉求,并通过虚拟组织实现TEG以及我们职能线的各个业务部门之间的工作互通,最终呈现了我们整个腾讯集团的安全运营体系。

围绕这套安全运营体系,我们在多年护网当中没有发生过一起被攻破的案例,而要做好这些东西,边界的划分尤为重要,我们通过引入身份管理系统,这套身份管理系统是我们腾讯自研的,同时也赋能到全国的各行各业,目前大规模覆盖的包括顺丰、贝壳等,单家都是几十万点的部署量,同时实现了我们身份的认证,通过零信任的技术回避了VPN带来的问题。

把这些东西解决,需要引入的是身份管控问题,我们要落实到我们的应用,他们需要拥有自己的权责来实现他们的应用安全权责划分,此外我们需要有专业的人来做专业的事,整个腾讯安全平台部、企业IT部门聚焦在提供安全、可靠的基础平台和运营环境,对数据应用服务的共性安全进行响应了支撑,同时也承担了对数据服务的安全风险评估以及运营。

整个下来我们实现了明确边界划分、权责划分,为我们整个安全运营体系奠定了良好基础。

腾讯安全思路,内部的安全思路是围绕着外防恶意攻击,内控合法访问,以及动态的安全运营,我们的工具防护实际上是围绕着预警、防御、检测、响应标准化流程,这也是我们的模型,虽然很简单,但这么多年实施下来是行之有效的。

在访问防护方面我们主要围绕着发现、访问、监控以及管理,来实现我们身份认证,资源有效管控。

最后,通过持续的监测发现来完善我们整个安全策略调整,实施监控以及调整过程,而这一切都是我们自身的经验。

对比今年来说,在今年国家级护网开展期间,我们自己内部的安全策略做了一个重大调整,原来内网不需要做双因子认证,但在护网期间通过双因子认证解决了身份健全的问题,而整个流程的下发大概只花了十几万PC终端,基本上同等数量的移动终端策略下发上我们平台部门3-5人大概花了十几分钟把策略制定好,然后整体下发,对我们整个生产没有任何影响。

护网大概9点钟结束,9点05分以后我们的策略第一时间改回到传统模式,不再进行二次身份校验,以此来增加我们办公的便捷性。

我们腾讯自己如何对抗别人的攻击,攻防的核心就是和攻击者比拼速度,只有先发现敌人,先向敌人开火,才能够有效地应对,以以攻带防的模式来进行快速响应,再面对饱和式打击的存活能力,这一切实现是基于我们自身对AI流量的分析,可视化策略编排界面,以及块自定义的逻辑,实现了支持快速API阻断,不管在腾讯内部,还是在大量客户里,都得到了有效验证,在今年国家级护网里,我自己组防的队伍日均拦截量达到了接近1.1亿次,但没有一条策略是漏防的。

此外,针对难以修复的老旧系统补丁,可以通过智能热补丁方式来实现漏洞修复,同时在智能芯片里,在今年国家级护网中我们发现了25支攻击队都是实打实地存在的,同时还在护网期间发现两起境外黑客组织对国内关键信息基础设施发起攻击的情况。这一切的东西我们实际上已经产品化、商业化了。

为什么选择腾讯安全?我们一直以来都是以客户价值为依规,将社会责任融合到我们的产品和服务之中,推动科技与社会的创新与文化传承,助力各行各业的升级,促进社会可持续发展。我们其实是把我们在自身应用到的各类安全经验或企业发展经验赋能到各行各业,来提升大家网络安全应急能力。可以自豪地说,在近3年国家级攻防演练里腾讯安全的团队不光在攻击队、还是防守队,拿的成绩都是第一,尤其在防守方面,我们做到了凡是腾讯主防的团队,没有任何一家丢失过靶标。

20年来的安全管理经验,在我们给客户做咨询的时候,能够给大家推行一套有效管理体系,而这套管理体系则是围绕着管理制度、绩效考核、流程规范进行,只有这三要素合理配合,才能落地一个真正有效的安全策略。

腾讯安全,首先我们有20余年的服务互联网10亿级用户的自身海量级运营经验,能够为企业提供各类的最佳安全实践。

其次,有7大安全实验室,拥有全球顶级的网络安全专家。

最后,能够覆盖手机、电脑管家、企业邮箱,以及各类云安全的数据,能够构建实时、全面的威胁情报数据库。

最终,把我们所有威胁情报利用大数据技术进行分析,打造了我们最强的态势感知,以及威胁分析能力。

在开放联合方面,不管在政企,还是在合作平台上,是一个很开放的态度,我们和中国银行、华夏建设银行、滴滴等都成立了大量安全实验室,将我们的能力赋能到各各个行业。

在落地方面,腾讯安全有包括身份认证、身份安全、网络安全、终端安全、应用安全、数据安全、安全管理等所有全维度的安全产品,近两年我作为民航的负责人,参加了包括在国家级的护网攻击队、防守队、以及沙盘推演各个全流程,也看到了我们在民航领域网络安全发现的一些问题,以及我们自己的变化。

之前,民航网络安全防护体系是相对较弱的,但随着近年来攻防演练的加强,整个民航体系还是有了很大的进步。

我的汇报就到这里,谢谢各位领导!

中国民航报社 版权所有 京ICP备05024158
如有意见和建议,请惠赐E-mail至 news@caacnews.com.cn
./t20221101_1356385_sj.html