10000米雲端之上的網路安全
主題:網路安全從IT驅動逐步轉向業務驅動,企業安全問題從傳統基礎設施架構安全上升到了業務流程邏輯安全,以及多層面業務生態安全。
在RSA 2019,作為安全技術發展風向標,除了呈現新技術、新產品及新領域等重要的技術趨勢與方向,“企業業務安全風險及控制”也成為大會的熱點,涉及行業領域如政府、金融、交通、能源、航空、航天、醫療、教育等。
以下筆者將結合Emily Heath(美聯航副總裁&首席安全官)與Pete Cooper(IATA網路戰略顧問)的觀點,以“航空交通”展開介紹:
從航空的核心業務視角來看,航空領域安全需要從“客戶”“員工”“生態”三個維度的不同業務考慮,例如:
- “客戶”:售票、旅客安檢、資訊查詢、會員服務、空中娛樂、空中wifi等;
- “員工”: 空中交通管理、飛行資料通訊、飛機維護、身份識別、GPS等;
- “生態”:航空公司(航空聯盟)、機場、航空供應鏈、航空維護、地面站、衛星通訊、航空資料及零件供應商等。
我們可以把上述三個維度統一看做“航空生態系統”,“系統”涉及到的IT業務應用廣泛而複雜,部分關鍵業務之間有很強的資料關聯性,因此航空領域網路安全,不能僅獨立某個維度的基礎架構考慮,要站在多領域業務協同安全形度來更關注業務安全。
一、 10000米高空的飛機資料連線
站立在航空安全核心關注點——飛機,其網路通訊連線主要是飛機的通訊節點、塔臺的空中交通管理通訊節點以及衛星通訊&GPS節點。飛機的完整飛行過程分為滑行、起飛、爬升、巡航、下降與著陸6個階段,在不同飛行階段,飛機會接入不同的網路節點進行通訊。滑行、起飛、下降著陸階段,飛機要與機場塔臺之間建立無線通訊。巡航階段,飛機接入衛星通訊節點,以及與地面基站連結接入地面網路。
不難發現,如果在完整的“航空生態系統”的資料通訊關聯性視角,網路通訊節點將會擴充套件而複雜,還包括遠端資料連線、機場地面支援網路、地面基站通訊連線、資料中心網路以及Internet。因此,當飛機在多種無線網路連結覆蓋度情況下,“航空生態系統”通訊的可靠性及完整性就顯得尤為重要。
二、 “航空生態系統”中的威脅複雜性
“航空生態系統”網路要求資訊系統能夠適應多種異構系統整合並能夠移植和推廣,我國航空網路的資訊系統大多為國外廠商,通過運營商專線來實現空中網路管理系統之間的連線。但是,各“生態”領域系統網路之間的安全隔離機制並不完善,且大部分空管資訊系統也缺失加密技術,IT運維人員也缺乏安全技能,導致病毒、資料竊取及空管資訊篡改等風險依然存在。
美國審計署(GAO)就曾怒批美國聯邦航空局(FAA)的地空通訊和空管網路(NAS)存在大量安全漏洞,資訊保安管理水平極其低下,對航空網路甚至乘客安全造成威脅。
另外,資料安全也是航空領域目前遇到的巨大挑戰之一,大量面相網際網路的航空系統上線,比如航空售票系統、會員服務、航空資訊資料系統、遠端管理系統等。龐大的資料合規性管理,資料洩露、篡改等問題,近兩年已經是全球航空領域管理者最為頭疼的問題。
因此,Pete Cooper認為航空領域網路攻擊經歷了2個階段:
- 第一代:主要以涵蓋空中/地面/空中的系統可用性及資料保密性為主;
- 第二代:以資料完整性為主,特別是GDPR釋出以後。
三、 構建安全架構模型
Emily Heath圍繞“航空生態系統”客戶、員工、生態的三個維度核心業務建立安全防護目標:基礎設施&網路安全、敏感資料安全、關鍵業務系統安全、航空生態之間的關聯性通訊安全。
Pete Cooper則是以安全生命週期的角度來設計架構,依據美國NIST SP 800-53(Revision 4)中對於提高關鍵基礎設施網路安全的框架,從識別,檢測,保護,響應和恢復五個維度加強網路安全風險管理。
其中識別(設計)階段:主要是安全架構設計識別風險階段,要區分航空領域中“Safety”、“Cyber Security”,根本上識別出可能意外發生(Safety)或可能故意造成(Cyber Security)的任何風險;
比如:飛機機艙網路設計,需要充分考慮網路安全威脅及對應隔離機制:
飛機網路一般分為3個通訊子網:
- 飛機控制子網:主要傳輸飛機飛行感測資料以及飛行員操作指令,屬於直接影響飛機駕駛安全的核心的網路;
- 航空公司資訊服務子網:是針對機組成員之間相互通訊的網路;
- 乘客通訊子網:至面向機上乘客通訊服務的網,又分為機載裝置子網(如娛樂、諮詢服務網路)和乘客自用裝置(手機、pad等接入wifi)。
其中,乘客通訊子網是最不可信網路,必須與其它兩個網路物理隔離,各子網內還需要加強網路訪問控制、無線身份認證等機制。同時,還需要考慮機上乘客對外通訊時的資料安全問題,比如資料傳輸、隱私保護及資料完整性。
對於檢測,保護,響應和恢復階段,除了傳統的資產管理、安全策略、日誌管理、人員評估、安全意識培訓、響應恢復等方面外,還特別強調了威脅監測、漏洞閉環管理以及威脅情報的結合,這與我國網路安全戰略以及對於關鍵基礎設施保障的方向是一致的。
綠盟科技2018年釋出“安全運營”架構的理念中,也同樣涵蓋了上述觀點,也可以提供對應安全服務和產品。
四、 總結
最後,Pete Cooper的最後觀點“這同樣是對其它領域關鍵基礎設施的挑戰!”
的確如此,對於交通、金融、能源、醫療、網際網路等關鍵行業,業務流程邏輯安全,以及各行業多層面業務生態安全值得重點關注。這是業務邏輯設計存在問題,但是採用傳統安全防護方式無法有效解決,或者安全防護機制尚未關注到業務邏輯缺陷本身。另外,即使業務邏輯沒問題,但是支撐業務的組織、流程等方面出現安全風險,風險會依然存在。
相關文章
- 網路安全 | 雲上安全的舞步,能否跟上雲端計算的節奏?
- 網際網路與資訊保安 ——雲端計算及其安全
- 構建在雲端計算之上的企業效益薦
- 深度學習之上,圖神經網路(GNN )崛起深度學習神經網路GNN
- “大資料、雲端計算”決勝企業網路安全大資料
- 程式碼安全之上傳檔案
- 漫談雲端計算網路(二): 雲端計算網路的應用場景
- 一週雲事|雲端計算也需要網路安全免疫
- 上雲實踐操作(漫步雲端)之上雲動力
- 運維學網路安全還是雲端計算好?哪個更有前景?運維
- 【網路安全】你必須知道的幾個網路安全概念
- 【網路安全】知名網路安全企業有哪些?
- 雲端計算帶動網際網路革命
- 如何加強辦公網路中的網路安全
- 網路安全需要學習哪些技能?網路安全學習
- 網路安全需要掌握哪些技能?網路安全怎麼學?
- 網路安全真的很重要嗎?學網路安全
- 網路安全難學嗎?網路安全需要掌握哪些技能?
- 淺談大型網際網路的安全
- 【網路安全分享】移動網際網路所面臨的安全威脅有哪些?
- 物理安全和網路安全的交點在哪?
- 如何組建安全的網路
- 打造網路安全的利劍
- 更安全的本地Docker網路Docker
- 網路安全的發展方向是什麼?網路安全基礎入門
- 網路管理經驗談:初級網管的網路安全
- 網路安全學什麼基礎?網路安全哪個好些?
- 網路安全需要掌握哪些技能?網路安全入門學習
- 網路安全自學能學會嗎?網路安全如何學習
- 什麼是網路安全?網路安全包括哪幾個方面?
- 網路安全常見問題有哪些?網路安全學習
- 網路安全名詞概念有哪些?網路安全技能學習
- 網路安全技能大賽首登網路安全周舞臺
- 什麼是網路安全?網路安全主要涉及哪些方面?
- 網路安全“法時代”守護“網際網路+”
- 10個企業網路安全建議,解決99%的網路安全問題
- 常見的網路安全防禦體系有幾種?網路安全入門
- 網路安全的優點是什麼?網路安全都學什麼知識