9月21日,一场聚焦关键信息基础设施安全保护的网络安全行业盛会——2024年度关键信息基础设施安全保护论坛,在北京圆满落下帷幕,取得圆满成功。会上,中国国际航空股份有限公司信息管理部信息安全中心经理杨晓旋就《网络攻防技术对抗之三——威胁情报获取与应用》发表了精彩演讲。杨经理指出,在当前网络空间成为第五大疆域的背景下,中航集团作为载旗航司,承担着保障国家网络安全的重要使命。
中国国际航空股份有限公司信息管理部信息安全中心经理 杨晓旋
一、形势背景分析
在演讲的开篇,杨晓旋经理详细介绍了中航集团的背景,作为中国民航业的领军企业,不仅承载着国家领导人出国访问的专机任务,还承担着外国元首和政府首脑在国内的专包机任务,突显了其在国家战略中的重要地位。然而,随着数字化转型的深入,中航集团面临的网络安全挑战也日益严峻。民航业作为国家关键基础设施,其网络安全不仅关系到企业自身的稳定运营,更关乎国家安全和社会稳定。因此,中航集团必须采取有效措施,确保在数字化转型的同时,建立起强大的网络安全防护体系。
杨晓旋经理指出,当前民航业面临的网络安全威胁多种多样,包括恶意软件、社工攻击、勒索攻击和挖矿攻击等。这些攻击手段的不断演变,对民航业的网络安全与数据安全构成了严重威胁。例如,2024年9月,西雅图-塔科马国际机场就曾因网络攻击导致互联网、电话、电子邮件等业务中断,严重影响了生产运行。此外,近年来针对民航各航司的退改签诈骗案件也愈演愈烈,旅客个人信息保护工作形势愈发严峻。这些现实案例表明,加强网络安全防护,提升威胁情报获取与应用能力,已成为中航集团乃至整个民航业亟待解决的问题。
二、网络安全运营体系构建
在网络安全运营体系构建方面,杨晓旋经理详细介绍了中航集团的做法和经验。他指出,中航集团构建了一个以安全运营平台为支撑、安全运营机制为基础、安全运营团队为保障、安全运营指标为导向的网络安全运营体系。这一体系的构建,实现了跨平台、跨层级的安全监测与指挥协同,有效提升了中航集团的网络安全防护能力。通过安全运营体系的整体规划,中航集团实现了从查缺补漏到统筹指挥的转变,从局部单一防护向整体综合防护的转变,以及从被动静态防护向主动动态防御的转变。
杨晓旋经理还强调了安全运营平台建设的重要性。中航集团通过安全运营平台,打通了安全运营制度、安全技术防护、安全运营人员之间的壁垒,实现了网络安全运营工作的可视化、高效协同和安全管理。此外,中航集团还制定了一套网络安全运营工作机制,通过安全运营制度的落地执行,有效将平台和团队有机结合,实现了安全运营工作的标准化、流程化。这些措施的实施,为中航集团提供了强有力的网络安全保障。
三、深入探索威胁情报
在深入探索威胁情报方面,杨晓旋经理首先对威胁情报的定义、分类、标准及相关技术进行了详细介绍。他指出,威胁情报是基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。威胁情报的主要内容为用于识别和检测威胁的失陷标识,如文件HASH、IP、域名、程序运行路径、注册表项等,以及相关的归属标签。
杨晓旋经理进一步指出,威胁情报的分类可以从多个维度进行,包括按属性、按方式等。例如,按属性可以分为TTP(战术、技术和程序)、工具、网络特征、域名、IP、文件Hash等;威胁情报的利用方式包括威胁预警、攻击者识别、溯源分析等。这些分类有助于更好地理解和利用威胁情报,提升网络安全防护能力。
杨晓旋经理还介绍了威胁情报的相关技术,包括逆向分析技术、漏洞分析技术、大数据分析技术和图关联分析技术。这些技术的应用,有助于实现恶意软件分析、攻击者行为模式、0DAY漏洞发现等,从而提升威胁情报的获取与应用能力。
四、融入实践
在融入实践方面,杨晓旋经理分享了中航集团如何将威胁情报应用于实际网络安全工作中。他指出,中航集团通过威胁情报库对多源威胁情报数据的聚合与分析后,输出高价值威胁情报数据,实现情报资产影响分析、情报查询、告警碰撞等威胁情报数据的利用。基于安全运营平台的预警功能,中航集团向各下属单位发布情报通告,由各下属单位相关责任人对威胁情报数据进行排查,及时加固风险源,同时为各下属单位提供威胁情报查询接口。
杨晓旋经理还强调了聚合多源威胁情报的重要性。中航集团通过导入自有情报研究及对接监管机构并汇聚第三方商业情报,及时发现关键威胁,提供安全预警能力、情报运营能力,提升安全威胁的监测分析能力。此外,中航集团还将威胁情报与安全策略进行了联动,根据平台推送的威胁情报,安全运营团队及时在安全设备上进行策略调整,从而快速阻断攻击的进一步蔓延扩散,帮助运营团队实现主动安全防御。
五、总结与展望
杨晓旋经理对中航集团网络安全运营体系的构建和威胁情报的获取与应用进行了总结,并对未来网络安全的发展趋势进行了展望。他强调,弹性化已成为未来网络空间安全的发展趋势,构建富有弹性的网络空间安全保障体系需要重点研究和创新弹性安全理论、技术和策略,从供应链、技术体系、未来挑战、基础设施和人才储备等方面全方位构建富有弹性的网络空间安全保障体系。
杨晓旋经理还提出了包括抗量子密码、大型语言模型安全、全密态多方联合计算、卫星互联网安全、工业控制系统安全、软件供应链安全和关键信息基础设施安全等七个关键领域的研究方向。这些领域的研究和发展对于构建一个全面、多层次的网络安全防护体系至关重要。通过这些研究,可以进一步提升中航集团乃至整个民航业的网络安全防护能力,确保在数字化转型的过程中,能够有效应对各种网络安全威胁和挑战。
编者注:
杨晓旋经理的演讲不仅为中航集团网络安全运营体系的构建提供了理论基础和实践指导,也为网络安全领域的专业人士提供了宝贵的经验和启示。通过他的演讲,我们可以看到,威胁情报的获取与应用是构建现代网络安全体系不可或缺的一环,而中航集团在这一领域的探索和实践,无疑为整个行业树立了标杆。
理事服务 | 会员服务
请联系:13810321968(微信同号)
商务合作 | 开白转载 | 媒体交流 | 文章投稿
请联系:13810321968(微信同号)
原文始发于微信公众号(关键信息基础设施安全保护联盟):杨晓旋:网络攻防技术对抗之威胁情报获取与应用
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论