“专精特新”企业高质量发展典型应用案例展示(七)|安博通助力大兴机场实现全网安全策略可视化
技术领域:网络安全
针对大兴机场面临的网络边界不明确、大量接入设备管理难、数据交换风险大等挑战,安博通晶石策略可视化平台帮助机场掌握全网安全现状,统一管理异构网络安全设备,自动形成全网安全地图,并在此基础上优化全网安全策略、缩小自身网络攻击面。该平台还支撑大兴机场实现策略变更全流程自动化,规避人为失误带来的安全风险,释放业务变更的敏捷性。
北京大兴国际机场为4F级国际机场、世界级航空枢纽、国家发展新动力源。机场存在大量外部协作单位,包括空管、航空公司、联检单位、商贸餐饮、旅客服务等,这些驻场单位的信息系统需要与机场互联互通,因旅客服务需要进行消息交换和共享。
01应用需求
大兴机场具有网络结构复杂、承载信息量巨大、数据交换接口多、信息交换频繁等特点,存在网络边界难以明确划分、大量设备接入管理难、数据交换安全风险大等挑战。具体表现如下:
第一,内部系统错综复杂。内部系统多、网络结构复杂,各系统之间需要进行大量数据交换,存在数据接口不规范、网络边界不清晰的挑战。
第二,外部信息统一共享需求高。机场上百个业务系统需要与外部信息系统互联互通,保持信息共享,实现协同工作,因此存在数据交换风险大、异构设备接入管理难的挑战。
第三,信息安全架构混合。机场采用混合架构,既有传统的网络安全框架,也有云计算、大数据环境框架。同时还要求所有信息系统都具有开放型接口,便于后期功能扩展和项目扩容。
第四,安全策略须满足合规需求。在等保2.0中,对安全策略提出了最小化原则,要求对访问控制做到源地址、目的地址、源端口、目的端口和协议等级的细粒度。
02方案优势
为了应对这些挑战,大兴机场部署了安博通“晶石”安全策略智能运维平台(以下简称“晶石”产品)。值得一提的是,成立于2011年的安博通一直专注可视化网络安全领域,且重研发投入和工程师文化,专注核心技术研发。
传统的安全管理产品将硬件设备作为管理对象,存在较大局限,原因在于对网络安全真正起作用的是硬件设备上运行的安全策略。安博通突破安全策略路径相关核心算法,将10000节点规模大型网络的策略路径计算时间控制在5-10分钟,达到国外竞争对手同级水平。
2015年,依托于核心算法的突破,安博通推出“晶石”产品,为行业用户提供自有知识产权的产品方案,改变了他们在该领域只能选用国外产品的现状,规避核心信息泄露风险。“晶石”产品通过计算安全策略访问路径,可以得到整网业务的交互地图,配合正确的业务安全基线,帮助用户计算准确的业务访问路径,伴随着策略变化而实现自动变更和实时告警。
目前,“晶石”产品已进入成熟稳定阶段,入选工信部网络安全试点示范项目,获评省级科学技术奖三等奖,入选国家级重点研发计划。
03应用效果
“晶石”产品与大兴机场现有态势感知平台进行对接,实现安全策略的智能运维,其混合IT架构具有强大的可扩展性。针对机场业务安全策略频繁变更的特点,随时根据航班信息的变动对业务策略进行自动调整。此外,该平台完全满足安全建设与管理合规的各项要求。“晶石”产品的应用价值具体表现为:
第一,网络拓扑清晰可见,掌握网络全貌。统一管理接入网络的异构设备,可兼容95%以上主流防火墙品牌,对网络安全基础架构进行建模分析,生成全网的网络拓扑地图,为大兴机场的日常运维和安全防护提供有力支撑。
第二,安全策略优化避险,缩减攻击面。对安全策略进行精细化管理,挖掘各类问题策略并提出优化处置建议。缩小网络攻击面,降低网络安全风险。同时,降低设备的性能负载,提升防火墙运行效率。
第三,监控策略违规风险,主动安全运维。梳理各安全域之间的访问控制关系,建立域间安全互访的合规基线矩阵。并通过持续监测,及时发现违反白名单的违规路径和策略,主动感知,及时告警。
第四,策略变更全流程运维,快速应急响应。实现防火墙策略变更的全流程智能闭环运维管理,结合工作流和用户权限,实现策略变更的申请、分析、设计、验证与审批全生命周期自动化,大幅提高策略变更工作的准确和效率,释放业务敏捷性。还可与SOC、态势感知等第三方平台联动,实现安全事件智能应急处置,提升大兴机场的安全防护能力。
04案例可推广价值
安全策略管理需求具有普适性,“晶石”产品可有效提升用户网络的安全性和网络资源的可用性,极大降低在维护网络安全、保障业务持续方面的投入。该平台主要面向政府、金融、运营商、大企业等。
本项目综合运用了云计算、大数据、网络安全可视化技术,契合国家相关示范工程方向,推动供给侧改革。现已拥有水利部、中信银行、中国移动、国家能源集团等典型用户,可在多行业大面积推广。
机场业务系统多,系统之间数据交换多,内外部网络互通多,导致我们的网络结构特别复杂,日常运维工作量大。“晶石”产品帮助我们建立一张清晰的内部业务地图和安全矩阵,自动评估新开通的安全策略合规性,切实解决了策略管理和策略开通的问题,让工作效率和效果都得到了提升,为核心业务的不间断运行和快速变更提供保障。
——大兴机场信息管理部相关负责人
关于“专精特新”企业高质量发展典型应用案例展示
“专精特新”企业成功的关键,是以成为细分领域掌握独门绝技的“单打冠军”“配套专家”为目标,专注并深耕产业链某一环节或某一产品。对于软件和信息服务业来说,“专精特新”企业成功与否,与其“专业化、精细化、特色化、新颖化”的产品和解决方案能否落地到具体应用场景密切相关。与此同时,“专精特新”企业对于产业互联网的强链补链效应,将对产业的高质量发展起到积极的促进作用。
为了充分展示北京软件和信息服务领域“专精特新”中小企业的活力,北京软件和信息服务业协会推出“‘专精特新’企业高质量发展典型应用案例展示”活动,旨在总结软件和信息服务领域“专精特新”企业的产品和解决方案在应用场景创新、产业链等方面的经验,探索更为科学、高效的中小企业成长路径。
- End -