绿盟科技民航业务安全解决方案

　　安全挑战

　　在大力发展信息化战略、积极开展互联网+业务的背景下，民航各个机构的信息化系统和互联网系统快速增长，为客户提供更加灵活便捷的服务体验，以及更出色的工作效率，但安全事件也随之不断增多。

　　随着“智慧民航”的推动，大量线上核心业务系统安全形势日益严峻。民航业务系统和关键数据的安全性、网络运营的可靠性时刻遭受挑战。恶意入侵、DDoS攻击、恶意篡改等事件层出不穷；暴力撞库、非法破解、伪造数据流量、黄牛党和薅羊毛党对业务运营造成巨大影响，严重损害民航利益。

　　1. 网络层攻击：面对大规模DOS、DDOS攻击，避免业务系统宕机，保障业务连续性；SQL注入、CSRF、XSS跨站脚本等应用层攻击防护......

　　2. 爬虫攻击：通过内容爬虫肆意侵犯版权，窃取者获得极大利益的同时损害了自身利益；通过价格爬虫进行非法商业竞争，使用商业爬虫窃取竞争对手产品定价数据导致恶性价格竞争；

　　3. 隐私泄露：通过暴力撞库、调用关键接口骚扰用户，暴力破解查询接口获取用户隐私信息等，损害公司和公户利益，影响公司形象，乃至危害社会公共安全；

　　4. 内容风险：通过篡改网站内容、批量式的机器发布政治敏感、垃圾内容，给民航企业带来巨大涉政风险，给国家和社会带来巨大不安定因素；

　　5. 客户端数据篡改：用户通过随意修改客户端数据，非法请求网络资源，给业务系统带来巨大的经济损失和数据泄露风险；

　　6. 黄牛：抢购特价商品、恶意抢拍等行为影响民航企业营销效果，严重妨碍平台公平性；

　　7. 薅羊毛：通过机器批量注册、自动化领取优惠券，大批量低价购买平台商品和资源，造成民航企业承受巨大经济损失。

　　方案概述

　　信息安全建设是一个动态的过程，并不是一成不变的，它是一个需要不断调整、不断完善的过程。

　　针对民航而言，我们应着眼于整个安全生命周期，从各个层面解决当前所面临的安全问题，同时依照“重点先行、急用先上”的原则，进行总体安全规划的分步和分期执行。

　　图：基于安全事件生命周期进行安全规划示意图

　　如上图所示，基于安全事件生命周期进行安全规划，以保护业务管理系统及数据的完整性、可用性、私密性为核心目标，针对事前、事中、事后三个阶段进行适当的安全建设，并随着资产、威胁、脆弱性风险三要素的改变而进行灵活调整，最终实现整体安全的动态保障。

　　方案设计按照安全事件生命周期的事前、事中、事后三个阶段分别进行相应的安全建设，来达到各个阶段的安全业务使命目标，从而达到最终的安全建设目标。

　　1、事前阶段

　　目标：识别并降低风险，达到安全基线。

　　安全措施：安全风险评估、安全意识培训等。

　　2、事中阶段

　　目标：实现系统被访问及使用过程中的威胁识别以及记录留存，能够及时采取防御措施防止安全事件的发生。

　　网络层安全措施：DDoS攻击防护。

　　应用层安全措施：WEB应用防护、自动化攻击防护、网页防篡改、网站安全监测服务等。

　　3、事后阶段

　　目标：保障业务的持续性，在出现安全事件后及时响应及时恢复，尽最大可能减少安全事件所造成的损失。

　　安全措施：安全事件应急处置等。

　　绿盟科技处理应急安全事件之后，根据系统的安全性和威胁，提供相应的事后安全分析和可行性安全建议，并进行事后安全加固，帮助民航单位解决存在的或者可能存在的安全问题。

　　特点优势

　　01防护硬实力

　　安全产品均基于绿盟科技自主研发的独特的防护算法，有效防护各种类型的网络攻击，同时可与绿盟云SaaS服务联合，可抵御更大规模的网络攻击，有效应对大流量和全协议层攻击，充分保障业务系统连续性

　　绿盟web应用防火墙产品连续四年进入Gartner魔力象限，在中国市场只此一家。抗DDoS攻击系统、web应用防火墙市场占有率在大中国区市场排名第一

　　02细致高效的防护体系

　　通过应用自主研发的网络攻击算法，针对不同种类的网络攻击采用不同的算法（例如流量建模、反欺骗、协议栈行为模式分析、特定应用防护、用户行为模式分析、动态指纹识别等）识别，从而准确地区分出恶意流量报文。同时安全产品规则库基于多年网络安全研究积累，已高度细化，基于规则的防护功能包括：服务器漏洞防护、Web插件漏洞防护、爬虫防护、跨站脚本防护、SQL注入防护、LDAP注入防护、SSI指令防护、XPATH注入防护、命令行注入防护、路径穿越防护、远程文件包含防护等

　　03安全专家团队全天候远程支持

　　绿盟安全专家团队拥有多名具有行业认证和产品认证资格的安全专家（CISSP、CISP、ISO 27001LA等），具备丰富的安全专业知识、技能和实战经验。绿盟安全专家团队已主导和参与多年应急响应与防护工作。绿盟安全专家团队提供7x24小时全时服务，快速响应客户反馈

　　04创新的机器人识别技术

　　聚焦于目前常见的自动化工具识别技术，提出了创新的机器人检测技术，并基于此技术推出了层次递进校验的策略，根据脚本执行环境检测、客户端浏览器环境检测、客户操作特征检测以及机器学习建模分析来进行机器人检测，能有效的防护基于自动化工具发起的攻击行为，保障客户业务的正常运行

　　05主动出击、漏洞隐藏

　　传统的安全防护策略都是被动根据漏洞特征进行规则编写来进行防御的，此种方式不能防护未知漏洞，且规则维护成本较高，绿盟安全产品在防护策略上进行升级，提出了混沌防御的策略，混沌防御下设备会主动对网站代码进行混淆处理，让攻击者无法有效分析网站漏洞，提升攻击者攻击的门槛

　　06机器学习智能检测

　　绿盟安全产品加入了机器学习能力，让设备更加智能化，能够自动学习请求流量建立网站基线，形成白名单特征，防止恶意用户的访问。同时，还能基于机器学习能力对日志进行分析处理，寻找到攻击者的关联以及特征应用到策略中， 达到智能检测的效果

　　客户价值

　　01主动分析风险

　　实时检测用户对恶意信息源的访问情况，有效拦截威胁，保护用户的访问不受侵害。

　　02保障业务连续性

　　控制非法访问、恶意请求，对网络流量进行全面分析和检测，对于其中恶意访问和请求给予实时阻断，避免由于DoS、DDoS攻击导致业务中断。

　　03降低数据泄露风险

　　有效识别各种常规的，以及变形的攻击，协助管理员及时做出响应，从而防止关键数据库的非授权修改、敏感信息外泄、数据恶意篡改等安全事件的发生，保障网站的数据安全和完整性。

　　04防止恶意扫描

　　实时发现和阻断源自内部网络的探测和入侵，阻断从内部发起的非法攻击行为。

　　05防黄牛、薅羊毛等

　　有效甄别出通过自动化工具发起的黄牛党刷票以及针对活动期间的薅羊毛事件，保障客户经济不遭受损失。

　　06安全状态可视化

　　7*24小时监测业务系统安全状况，当发生安全问题时及时通知管理员进行相应处置，服务每天按时推送前一天的安全简报，让安全管理人员随时随地了解业务系统的安全状态。

　　07分析攻击行为，降低运维成本

　　通过机器学习建模，结合设备指纹、攻击日志、访问日志等信息，进行离线日志分析，通过关联算法和设备指纹信息能够有效的对攻击者的攻击行为进行分析，得出完整的攻击者行为画像，并进行可视化呈现，方便客户进行追踪溯源以及事后复盘，大大的降低运维成本。

　　责任编辑：广汉