近日,2021年全国民航工作会议、全国民航安全工作会议成功召开,“十四五”时期民航“一二三三四”总体工作思路确定为:践行一个理念、推动两翼齐飞、坚守三条底线、构建完善三个体系、开拓四个新局面。展望“十四五”时期,加快新型基础设施建设,以新基建筑牢发展新基石,将成为重点工作之一。
新基建的“数字化与智慧化”建设,是我国由航空运输大国向航空运输强国跨越的必由之路。然而,随着5G、AI、云计算、物联网等新一代信息技术在民航领域的不断深入和扩展,大量新型应用场景开始出现,安全风险挑战也越发严峻。因此,如何利用泛在的身份安全保障技术,保障航空企业各个业务部门与相关系统高度互联、相互依赖的安全性,已经成为推动民航产业智能化、数字化的核心条件之一。
安全责任高于一切 国航树立行业标杆
民航作为国家战略性基础支撑行业,同时也是“安全责任高于一切”的重点行业,其关键特征是各个单位(机场、航空公司、分销系统提供商(GDS)等)之间的高度相互依赖性,以及相关系统(如机场航班信息管理系统、航空公司电子商务系统和GDS订座离港系统等)的互连性。在此条生产线上,任何一点安全隐患都可能在其他领域产生严重后果,轻则会造成航班正常运行中断,重则会危及飞行安全。因此,为了应对持续升级的网络威胁趋势,全球各大航空公司都在密集新建或升级网络安全管理体系,其中不乏一些在统一身份认证领域的实践案例。
近期,由亚信安全负责建设的,中国国际航空股份有限公司(简称“国航”)统一账号管理系统项目便是其中一个。亚信安全以4A统一安全管理平台(融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计)为基础,为国航实现了存量及增量设备、存量及增量业务系统、内部员工和运维管理人员的统一账号管理,并且通过数据域流程同步,对外提供了身份安全及访问控制服务。
【图:新一代安全统一身份管理基础设施平台】
作为数字化转型安全保障的重点项目,新一代安全统一身份管理基础设施平台的意义重大,不仅打通了国航各个部门、各个业务系统的身份认证,全程保障了国航数字化业务的正常运转,同时也为我国推动智慧民航发展树立了“身份即服务、身份即安全”的行业标杆。
身份盗取盛行 泛在身份安全势在必行
在业界已知的重大网络安全事件中,身份盗窃(冒用)占据绝大多数。例如:在安全测试机构ImmuniWeb发布的全球大型机场网络安全研究报告显示,全球100个最大的机场中有97个存在安全风险;据Gemalto的报告,在企业级的用户应用系统中,平均每秒就有80个账户被盗;Verizon发布的数据泄漏调查报告中显示,约有81%泄密事件都是黑客通过窃取身份凭证来实现的。
随着航空业数字化转型进度的快速推进,复杂、多级、互联的用户权限策略管理和海量访问认证常常因为管理制度、落地工具之间的不匹配造成重大的数据泄密事件。为此,亚信安全推出了以身份为核心的统一身份认证管理平台(IAM平台),为设备、网络、应用、服务、数据提供泛在身份体系,为应用系统提供多样化的身份管理、访问管理服务,进而解决航空用户现有身份数据分散、跨系统身份互信互认以及用户体验不佳等问题。
亚信安全针对航空行业用户需求推出的泛在身份管理解决方案,包含了三个层面的细化:
以零信任架构为内核 实现全场景覆盖
与传统身份认证系统“一次认证”的运行机制不同,亚信安全提供的泛在身份安全解决方案采用了以“零信任”架构为内核,以身份为核心串联各类身份管理和认证业务场景的管理模式。
【图:零信任身份管理体系】
其中,“零信任”解决了安全领域存在已久但无法落地的三大原则(最小特权、需要知道、深层防御),其持续信任评估和动态访问控制的原则也是适应了5G、云网、虚拟化等新业务推倒传统网络边界之后的情况,为企业建立起全新的身份边界、数据边界,实现了安全定义边界。
在场景支撑方面,提供了内外网融合的统一身份认证、身份鉴权、授权访问控制等服务,支持内外部用户及合作伙伴之间的统一登录认证、实名身份核验、授权流程审批、单点登录、信任传递等业务场景,并且提供了包括堡垒机、等保2.0多因素认证、金库授权等统一应用管理,还可以通过API、SDK及标准协议为应用提供对接服务和集成服务。
【图:泛在身份管理能力全景】
在认证能力编排能力上,可利用电话、短信、动态令牌、扫描等多认证方式,以及生物识别、数字证书、FIDO认证、微信支付宝等快捷登录,实现了前端可信、后端权威核验的认证管理体系。
乘“新基建”数字东风 助“智慧机场”安全升级
以物联网、云计算、大数据、移动互联网、人工智能等为数字核心的“新基建”正在为民航业带来一次深刻的数字变革。而智慧机场的迭代更新,无疑对信息安全保障体系提出了更高要求。
亚信安全将依托身份安全、APT治理、态势感知、大数据安全、云安全等核心领域的技术优势,为民航行业提供信息安全战略规划设计与建议,用创新技术和周到服务,为航空用户提供信息安全能力的“智”变与“质”变。