10天实现4.51公里施工路线、、3天实现15000平米高尺度路线硬化、、73天实现3199根灌注桩、、1天外运土方量峰值高达5万方……西安咸阳国际机场三期扩建工程项目现场机械轰鸣，“空中丝路”的建设正在跑出属于自己的“加快度”。。预计项目建成后，西安咸阳国际机场将形成4条跑道、、4座航站楼、、器材航站区双轮驱动的发展格局。。

    与此同时，作为掌管西安咸阳国际机场建设和运营治理的西部机场集团，近年来，积极践行数字化转型战术，以数字化、、智能化的利用为西安咸阳“智慧机场”提升服务质量、、提高效能奠定基础。。

    图片来自网络

    随着业务利用的全面上云，安全的重要性就越发凸显。。作为国度关键信息基础设施之一，机场其一旦遭逢网络攻击、、恶意粉碎，极有可能会导致重大财富损失，甚至人员伤亡，拥有很大的粉碎性和杀伤力。。

    为加强网络安全纵深防御和全天候、、无死角态势感知能力，实现从被动防御向自动防护的进阶，西部机场集团与AB钱包达成了合作，创新式打造了“1+3+2”网络安全防护系统，为徐徐升起的“空中丝路”保驾护航。。

    全面上云后的三大挑战

    “智慧机场网络架构复杂，业务系统繁多，目前现有利用系统超过50余个，并且全数运行在智慧机场云平台上。。！！蔽鞑炕〖磐绨踩乒苋私樯，分歧的系统之间只管职能不尽一样，但相互之间存在着缜密的联系，在分歧系统之间通过API接口等大局进行职能和数据的挪用。。

    随着搭客对于出行服务效能、、服务质量的要求不休提高，利用的数量还在急剧攀升，随之而来的各类网络安全风险，也成为数字化持续深刻的重要挑战。。

    就目前而言，智慧机排场对的安全挑战重要蕴含以下几个方面：

    首先是云天堑安全防护。。持久以来，西部机场集团对网络安全建设都有着很高的器重水平，在基础纵深防护能力建设方面，防火墙、、IDS、、WAF等，都维持了较高的运营水平，根基可能满足从前安全防护的需要。。但随着越来越多的利用系统上云，智慧机场云平台的服务天堑正在不休扩大，传统的网络天堑日渐：，所有接入云服务的利用、、终端，都成为了云平台的边缘设施，这给以传统防火墙、、WAF、、IDS为主题的天堑防御系统带来了极度大的挑战。。

    其次是云工作负载安全防护。。目前，云平台上已经运营超过50个利用系统，虚构机、、容器等云上工作负载也日渐增多，一旦攻击者突破网络天堑，很容易使用弱口令暴破、、缝隙利用等伎俩，在内部工作负载之间横向渗入。。因而，若何针对重大的资产进行统一治理，做好资配漏补的闭环运营，收缩露出面，同时做到实时、、精准的威胁检测与响应，急剧定位并措置失陷终端，显得极度重要。。

    第三是安全监测与协同防御。。通常情况下，高水平网络攻击并不会局限在某一点，而是有针对性的系列行动。。为了寻求入侵高价值指标，攻击者会针对云平台内部多个主机、、数据库、、利用进行攻击，每一步之间看起来相互独立但却缜密相连。。因而，安全防护系统该当是一个有机的整体，依附全局视角实现整体的态势感知、、统一运营，能力还原整个攻击链条，各自为战只会导致视野受限，首尾难以相顾，不能满足实战化网络攻防的需要。。

    “作为国度关键基础设施，网络安全建设还应切合国度对关键基础设施的要求，切合等级；ぐ踩，切合国度的网络安全法及《‘十四五’民用航空发展规划》指标。。！！蔽鞑炕〖磐绨踩乒苋瞬钩渌档。。

    规划先行，走向业务安全深度融合

    面对上述挑战，基于“以查漏补缺”为主的传统建设伎俩已经失效，必要用内生安全来脱节安全能力的部门与外挂，实现网络安全能力与智慧机场业务环境的融合内生。。

    “持久以来，网络安满是以部门整改为主的安全建设模式，这种模式会导致网络安整个系化缺失、、碎片化严重、、协同能力较差。。！！盇B钱包有关项目掌管人暗示，将来越发强调全面、、综合的能力建设，必要利用系统工程的思想，实现网络安全、、信息化和现实业务深度融合。。

    为此，西部机场集团选择了规划先行的战术，结合智慧机场的现实运行情况，针对规划架构、、产品参数、、产品职能等方面进行了反复打磨，创新的提“1+3+2”的“智慧机场”综合网络安全保险框架，全面满足国度《网络安全法》、、《关键信息基础设施；ぬ趵、、《网络安全等级；じ蟆返人痉俺叨，实现网络安全与智慧机场的同步规划、、同步建设与同步运营。。

    ?“1”是指一个态势感知与安全运营中心，实现针对系统、、产品、、设备、、战术、、网络安全事务、、操作流程等的统一治理；

    ?“3”是指构建安全区域天堑、、安全推算环境、、安全通讯网络三维一体的技术防护；

    ?“2”是指：形成安全防护系统、、安全感知系统，两个别系相互融合、、相互补充，形成一个整体的综合网络安全保险系统。。

    “三重防护”，打造三位一体的纵深防御架构

    依照事前的安全规划，在持续的安全建设中，AB钱包但愿援手西部机场集团打造多档次的纵深防御架构。。该架构应具备三重防护能力，形成安全网络通讯、、安全区域天堑和安全推算环境的三位一体。。

    在通讯网络层，AB钱包通过部署安全接入网关实现远程用户的安全接见，从用户接入身份的安全性、、终端设备的合法性、、接见业务系统的权限合法性、、业务数据传输的安全性等多个层面保险用户跨互联网远程接入的安全，确保每一次接见的合理性与安全性

    在天堑安全层，针对新的天堑安全威胁，通过部署新一代智慧防火墙、、防病毒网关、、上网行为治理系统，为智慧机场广域网出口、、互联网出口、、搭客无线网出口、、海关网、、边检网等各个安全域之间，做好网络安全隔离与流量检测。。与此同时，防火墙、、探针等设备可还原网络流量中的文件，将其发送至沙箱中进行深度检测。。沙箱通过仿照文件执行环境来网络和分析文件的静态和动态行为数据，实现对未知恶意文件的检测，有效预防以文件为载体的未知威胁攻击扩散和主题信息资产损失。。

    在推算环境层面，AB钱包通过部署统一服务器安全治理系统，通过网络微隔离、、多引擎协同文件防护、、主机网络入侵防御等伎俩，做到器材向流量防护，解除推算环境中的恶意扫描、、缝隙攻击、、病毒习染及横向传布等安全威胁。。

    值妥贴心是，三层安全防护能力之间并非相互独立，而是一个三位一体的防御架构。。在发现安全威胁时，分歧安全设备之间可实现联动防御。。好比，虚构化安全平台当发现云平台内部失陷终端后，能够急剧下线并隔离实现终端，并挪用反病毒产品第一功夫对病毒、、木马进行断根，同时挪用防火墙对攻击IP进行阻断。。

    一体化态势感知，实现自动防御进阶

    在上述能力基础上，AB钱包为西部机场集团构建了深度融合、、全面覆盖的云内云外一体化安全能力，从而实现了自动防御的进阶。。

    AB钱包统一服务器安全治理系统具备壮大的流量采集转发能力，可能在不扭转云网络结构和流量战术前提下，可全面采集云平台流量并引流到态势感知与安全运营中心NGSOC软探针上，软探针接管、、解析并分析引流代理发过来的流量，并把数据送到态势感知与安全运营中心进行分析出现。。

    作为态势感知与安全运营的主题抓手平台，AB钱包新版NGSOC可能急剧整合现有安全工具和能力，精准检测天堑、、网络、、端点、、身份、、利用和云等六大维度的网络威胁，提供跨数据源的全局威胁可视性，开箱即用的安全内容包。。

    在事务响应方面，NGSOC可将有关联告警自动汇聚形成齐全事务卷宗，自动补充高低文证据，自动映射MITRE ATT&CK攻击者战术和技术，自动解读攻击者意图、、自动鉴别关键攻击痕迹！、、自动评估影响面并推算措置对象，即便是复杂事务，也能轻松看懂事务的来龙去脉和齐全信息。。

    丝路漫漫，连通器材，纵贯古今。。当前，西安咸阳国际机场三期扩建工程正在如火如荼建设中，预计2024年底具备投运前提，机场业务规模将实现指数级跃升，形成“丝路贯通、、欧美直达、、五洲相连”的国际航空枢纽，AB钱包面对网络安全产业发展的大好局势和“一带一路”的战术机缘，依附一流的网络安全技术、、产品和能力，将为“空中丝绸之路”提供保驾护航，为“一带一路”地域及沿线国度提供高质量的网络安全服务。。