張立斌，韓燕征，王勇

（北京首都國際機(jī)場股份有限公司，北京 100621）

1 引言

首都國際機(jī)場作為國家重要的民航運(yùn)輸基礎(chǔ)設(shè)施，不僅是中國最繁忙的機(jī)場，也是亞太地區(qū)最繁忙的機(jī)場，每年的起降航班超過55萬架次，每年的旅客吞吐量超過8，300萬人次，穩(wěn)居世界第二，連續(xù)多年的高效運(yùn)營，離不開機(jī)場各信息系統(tǒng)的安全穩(wěn)定運(yùn)行和相關(guān)保障部門的精心維護(hù)。黨的十八大以來，網(wǎng)絡(luò)安全上升為國家戰(zhàn)略，機(jī)場做為國家重要基礎(chǔ)設(shè)施的關(guān)鍵組成部分，網(wǎng)絡(luò)安全保障工作顯現(xiàn)尤為重要。如何實時感知內(nèi)部資產(chǎn)變化、對主機(jī)資產(chǎn)進(jìn)行持續(xù)的安全監(jiān)控、應(yīng)對未知威脅時從容不迫，都是我們值得去思考的。因此，在網(wǎng)絡(luò)威脅高發(fā)的時代，要建立完善的網(wǎng)絡(luò)安全縱深防護(hù)體系，全天候、全方位的應(yīng)對網(wǎng)絡(luò)入侵，持續(xù)的分析和可視化能力都是保障主機(jī)安全的“最后一公里”。

2 主機(jī)安全保護(hù)發(fā)展趨勢

伴隨著網(wǎng)絡(luò)安全發(fā)展和攻擊手段不斷的演進(jìn)，主機(jī)安全保護(hù)也在不斷更新迭代，衍生出了一系列不同細(xì)分類別的主機(jī)安全產(chǎn)品。大體上可以概括為五個階段。

階段一：基礎(chǔ)性的主機(jī)安全產(chǎn)品，實現(xiàn)目標(biāo)是一個相對清晰的資產(chǎn)清單，以及基礎(chǔ)性的主機(jī)加固，可以防止木馬病毒入侵，防止核心數(shù)據(jù)被破壞、被偷窺、被篡改、被竊取，保證了系統(tǒng)的安全性。

階段二：以應(yīng)用為核心的主機(jī)安全管理，企業(yè)組織會利用補(bǔ)丁管理、漏洞管理、釣魚防護(hù)等產(chǎn)品進(jìn)行主機(jī)的安全防護(hù)，并制定差距分析和計劃來消除差距。

階段三：以檢測響應(yīng)為核心的主機(jī)安全管理，為捕獲更多的機(jī)會主義攻擊，這個階段的主機(jī)安全保護(hù)產(chǎn)品重點已經(jīng)從惡意軟件預(yù)防和基礎(chǔ)主機(jī)加固擴(kuò)展到檢測和響應(yīng)。

階段四：以主動防御為核心的主機(jī)安全產(chǎn)品，重點放在減少攻擊面。檢測活動上升到設(shè)備和用戶行為級別。逐步使用默認(rèn)的拒絕控制，如應(yīng)用程序白名單，網(wǎng)絡(luò)隔離和Web隔離，以減少攻擊表面，并開始考慮先進(jìn)的工具，如欺騙防御等。

階段五：新形態(tài)下的主機(jī)安全產(chǎn)品，市場定義為基于主機(jī)的解決方案，主要滿足現(xiàn)代混合數(shù)據(jù)中心架構(gòu)中，服務(wù)器工作負(fù)載的保護(hù)要求。它為信息安全領(lǐng)導(dǎo)者提供了一種集成的方式，通過使用單個管理控制臺和單一方式表達(dá)安全策略來保護(hù)這些工作負(fù)載，而不用考慮工作負(fù)載運(yùn)行的位置。

3 首都機(jī)場主機(jī)安全風(fēng)險與挑戰(zhàn)

為推進(jìn)民航重點基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用安全研究取得跨越，應(yīng)從長遠(yuǎn)出發(fā)，規(guī)劃和建設(shè)整體信息安全保障體系，從業(yè)務(wù)安全需求角度出發(fā)，按突出重點、適度防護(hù)的原則，通過技術(shù)和管理兩方面措施確保首都機(jī)場信息系統(tǒng)的持續(xù)安全運(yùn)行。技術(shù)部分其設(shè)計思路主要是確定安全保護(hù)的目標(biāo)，通過風(fēng)險評估識別當(dāng)前目標(biāo)的安全風(fēng)險，同時依據(jù)目標(biāo)風(fēng)險的不斷變化，及時調(diào)整安全策略和控制點；并引入PDR模型（防護(hù)、檢測、響應(yīng)）增強(qiáng)動態(tài)檢測和防護(hù)能力。目前，首都機(jī)場生產(chǎn)環(huán)境的主機(jī)安全防護(hù)缺少平臺化的安全建設(shè)，資產(chǎn)數(shù)據(jù)尚不能做到實時和清晰，針對安全風(fēng)險的感知、發(fā)現(xiàn)和響應(yīng)缺少重要的基礎(chǔ)和關(guān)鍵錨點。

（1）應(yīng)以網(wǎng)絡(luò)安全等級保護(hù)制度為抓手，對生產(chǎn)環(huán)境現(xiàn)有主機(jī)資產(chǎn)進(jìn)行識別與梳理，形成資產(chǎn)清單，依據(jù)資產(chǎn)清單進(jìn)行設(shè)備自身安全性和安全保障策略差距評估，對發(fā)現(xiàn)的安全問題提出安全建議，充分保障主機(jī)部分達(dá)到等級保護(hù)要求。

（2）充分利用已有信息安全建設(shè)項目成果，完善基礎(chǔ)安全防護(hù)能力，做到全面監(jiān)控、重點防護(hù)、技術(shù)松耦合、業(yè)務(wù)緊耦合，避免大而全的“鐵桶式”一刀切防護(hù)，真正做到事前預(yù)防、事中監(jiān)控、事后可追溯。

（3）業(yè)務(wù)服務(wù)器分散，服務(wù)器變化、使用情況不能集中管控，因此加強(qiáng)對主機(jī)系統(tǒng)的監(jiān)管，是落實國家等級保護(hù)政策和企業(yè)相關(guān)要求的有效手段。

（4）實施策略標(biāo)準(zhǔn)與安全體系建設(shè)并行，不斷完善防護(hù)體系與防護(hù)策略，建立一個長效、穩(wěn)定的主機(jī)安全防護(hù)體系。

3.1 漏洞發(fā)現(xiàn)及修復(fù)需求

近兩年漏洞已經(jīng)成為當(dāng)前IT領(lǐng)域的熱門話題之一。首先，漏洞傳播速度高速化，借助各大社區(qū)、社交平臺，漏洞的傳播速度驚人，早上披露的漏洞，到下午可能已經(jīng)有了利用代碼，到了晚上很多攻擊可能已經(jīng)發(fā)生。其次，漏洞數(shù)量越來越多，信息技術(shù)與人們的生活越來越近，五花八門的應(yīng)用，海量的數(shù)據(jù)，技術(shù)在持續(xù)發(fā)展，應(yīng)用在大面積推廣，大量的漏洞正在影響著每一個人的生活。最后，漏洞利用不再是少數(shù)專業(yè)技術(shù)人員的專寵。隨著漏洞利用帶來的龐大利益，越來越多的人投身于漏洞研究，越來越多的漏洞利用腳本被開發(fā)應(yīng)用，普通人不需要具備專業(yè)知識，就可以成為一名破壞力十足的黑客。

從內(nèi)部來看，很多安全主管都有這樣的疑問，內(nèi)部已經(jīng)制定了漏洞管理制度，有專人負(fù)責(zé)漏洞掃描和修補(bǔ)，但實際情況是，出現(xiàn)緊急發(fā)生的漏洞還是手忙腳亂，仍然是疲于應(yīng)付不斷發(fā)現(xiàn)的漏洞，在接受上級單位檢查的時候總是被發(fā)現(xiàn)存在漏洞。經(jīng)常存在四種現(xiàn)象。

（1）漏洞事件反映緩慢

現(xiàn)有的漏洞管理過程，從漏洞公布出來，到漏洞修補(bǔ)有一個時間窗，這個時間窗相對較長，攻擊者對漏洞的利用就是搶在這個時間窗內(nèi)完成。一個不起眼的網(wǎng)絡(luò)安全漏洞在早上時還沒造成什么不良影響，可到了晚上，它就可能成為你的噩夢。這些安全隱患傳播的速度一直在增長，與之相適應(yīng)，傳統(tǒng)的安全掃描往往按月為周期的掃描、報告、修補(bǔ)過程，相對于越來越快的漏洞利用速度，已經(jīng)顯得過于緩慢。

（2）流程指標(biāo)難以量化

漏洞管理是一個管理流程。從Gartner定義的漏洞管理過程來看，漏洞管理包括了多個環(huán)節(jié)，每一個環(huán)節(jié)往往都需要多個部門，多個角色的互相合作。很多漏洞管理制度，只關(guān)注了每個環(huán)節(jié)本身，流程執(zhí)行的效率如何，是否全面，是否達(dá)到預(yù)期，目前很少有管理制度能做到量化要求，也很少有安全管理產(chǎn)品能夠支撐漏洞管理量化的要求。

（3）管理難度太高

在過去以合規(guī)為驅(qū)動的安全建設(shè)模式中，大量購買了專業(yè)漏掃產(chǎn)品，這些漏掃產(chǎn)品數(shù)量龐大，需要管理的對象和運(yùn)營的數(shù)據(jù)都非常巨大，運(yùn)維人員飽受其苦，管理難度太高。

（4）漏洞修補(bǔ)困難

安全廠商提供的漏洞修補(bǔ)建議，往往需要客戶根據(jù)實際網(wǎng)絡(luò)情況進(jìn)行調(diào)整，無論是安全廠商還是內(nèi)部的安全管理人員，漏洞修補(bǔ)都是一件非常困難的事情。譬如，“心臟出血漏洞”出現(xiàn)時補(bǔ)丁并沒有馬上隨之發(fā)布，對于一些網(wǎng)站：如果考慮安全，則需要停掉對外的服務(wù)；如果考慮業(yè)務(wù)，這個漏洞就只能暴露在外。怎么能夠找到折中的辦法，如果不是對業(yè)務(wù)和系統(tǒng)都了解的人，幾乎是沒有辦法的事情。

3.2 安全基線管理需求

3.2.1 安全基線標(biāo)準(zhǔn)不統(tǒng)一

在運(yùn)行的各種設(shè)備安全配置標(biāo)準(zhǔn)不統(tǒng)一，并且部分設(shè)備存在默認(rèn)配置弱點。乏安全配置符合性檢查手段，無法對運(yùn)行的主機(jī)和設(shè)備的符合性進(jìn)行安全檢查與評估，并通過評估結(jié)果對設(shè)備進(jìn)行加固與維護(hù)，無法保持設(shè)備安全性不斷提升。并且，在運(yùn)行的主機(jī)設(shè)備可能存在安全弱點而未被發(fā)現(xiàn)。

3.2.2 缺乏整體安全分析

對全網(wǎng)業(yè)務(wù)主機(jī)的整體安全狀況缺乏全面分析，由于缺乏實時的主動的安全事件與日志檢測機(jī)制，對于事件的檢測和報告還僅局限于單個的安全事件本身，而不是整合成為全網(wǎng)業(yè)務(wù)主機(jī)整體威脅的剖面視圖，導(dǎo)致安全保障人員對于全網(wǎng)業(yè)務(wù)主機(jī)的整體安全狀況缺乏實時全面了解。

3.2.3 安全檢查頻率低

無法應(yīng)對瞬息萬變的安全內(nèi)外環(huán)境，在完成測試的下一秒，外部安全形勢可能就會發(fā)生變化，而移動互聯(lián)網(wǎng)時代也面臨著業(yè)務(wù)變化相比之前更加復(fù)雜頻繁的情況。

3.3 安全管理需求

3.3.1 安全風(fēng)險管理滯后

缺乏主機(jī)設(shè)備弱點管理工具，無法對主機(jī)及設(shè)備的安全弱點進(jìn)行管理與維護(hù)，由于弱點缺乏管理可能被利用造成主機(jī)系統(tǒng)內(nèi)的信息資產(chǎn)損失。安全硬件很難快速的更迭，受到硬件自身性能限制，很難適應(yīng)日新月異的網(wǎng)絡(luò)變化和最新的安全攻擊特點。

3.3.2 無法形成有效地縱深防御體系

數(shù)據(jù)分散，信息量極大，網(wǎng)絡(luò)環(huán)境中部署了多種異構(gòu)的安全產(chǎn)品，包括防火墻、防病毒、IDS等，這些安全產(chǎn)品來自不同廠商，每個產(chǎn)品均有一套安全信息告警功能，產(chǎn)品間的安全日志彼此孤立，由于缺乏針對所有IT設(shè)備的安全事件與日志的關(guān)聯(lián)分析，安全保障人員無法使用肉眼從海量的分散的信息中發(fā)現(xiàn)真正的安全事件。

3.3.3 缺乏內(nèi)部違規(guī)操作審計

無法主動發(fā)現(xiàn)第三方人員對信息系統(tǒng)的違規(guī)操作，系統(tǒng)內(nèi)有較多信息系統(tǒng)由第三方廠家提供日常運(yùn)維服務(wù)，但由于缺乏操作行為審計，很難及時發(fā)現(xiàn)第三人員對信息系統(tǒng)的違規(guī)操作，如數(shù)據(jù)篡改。

4 主機(jī)安全防護(hù)能力

基于首都機(jī)場信息化建設(shè)總體要求，加強(qiáng)主機(jī)安全管理，利用信息技術(shù)手段高效、準(zhǔn)確、便捷實現(xiàn)業(yè)務(wù)主機(jī)全覆蓋的安全監(jiān)控，提升業(yè)務(wù)主機(jī)安全風(fēng)險感知、發(fā)現(xiàn)和響應(yīng)能力，建立可持續(xù)的安全運(yùn)營體系。具體目標(biāo)有四個。

全企業(yè)的統(tǒng)一管理：實現(xiàn)對首都機(jī)場業(yè)務(wù)系統(tǒng)主機(jī)安全的統(tǒng)一管理、分析。

全覆蓋的安全監(jiān)控：實現(xiàn)對首都機(jī)場業(yè)務(wù)系統(tǒng)主機(jī)的全覆蓋。

全周期的風(fēng)險處理：實現(xiàn)對業(yè)務(wù)主機(jī)的風(fēng)險發(fā)現(xiàn)、響應(yīng)能力，進(jìn)行實時告警。

全方位的安全保護(hù)：實現(xiàn)對業(yè)務(wù)主機(jī)入侵檢測能力，全面保護(hù)業(yè)務(wù)主機(jī)安全。

參考國內(nèi)外廠商的主機(jī)安全防護(hù)技術(shù)，結(jié)合我國對主機(jī)安全防護(hù)的要求和首都機(jī)場的現(xiàn)狀，主機(jī)安全工作涉及到業(yè)務(wù)主機(jī)的監(jiān)控、分析、響應(yīng)、處理的各個方面，需建立完善的主機(jī)安全保障體系，保障主機(jī)系統(tǒng)可用性、完整性，系統(tǒng)操作保密性、可追溯性，實現(xiàn)業(yè)務(wù)主機(jī)的“可控、可信、可管、可視化”，全面保護(hù)首都機(jī)場內(nèi)部核心業(yè)務(wù)系統(tǒng)資產(chǎn)。

現(xiàn)階段主機(jī)安全防護(hù)系統(tǒng)主要涉及DMZ區(qū)、OA業(yè)務(wù)及運(yùn)營業(yè)務(wù)服務(wù)器、東區(qū)安檢信息系統(tǒng)、西區(qū)安檢信息系統(tǒng)、股份相關(guān)OA業(yè)務(wù)服務(wù)器、網(wǎng)管服務(wù)器、集團(tuán)相關(guān)OA業(yè)務(wù)服務(wù)器、集團(tuán)下屬托管服務(wù)器（除集團(tuán)本部和股份）、西區(qū)門禁監(jiān)控、VoIP、視頻會議、GIS等區(qū)域業(yè)務(wù)服務(wù)器。

現(xiàn)階段主機(jī)安全防護(hù)系統(tǒng)主要涉及的業(yè)務(wù)組86個，其中包含郵件系統(tǒng)、航顯系統(tǒng)、ERP系統(tǒng)、GPS系統(tǒng)、飛行區(qū)交通管理系統(tǒng)等。

從業(yè)務(wù)主機(jī)的安全防護(hù)和集中運(yùn)維角度，采用主機(jī)統(tǒng)一管理控制（事前預(yù)防）、風(fēng)險發(fā)現(xiàn)響應(yīng)和入侵實時告警（事中管控）、可疑非法操作的審計和溯源（事后追溯）等機(jī)制，實現(xiàn)業(yè)務(wù)主機(jī)的可知、可控、可審計，補(bǔ)充和完善了首都機(jī)場信息安全防護(hù)體系。

實施按照先試點、后推廣的原則，在測試環(huán)境對產(chǎn)品的功能性、技術(shù)性、高可用性和可擴(kuò)展性進(jìn)行驗證，在生產(chǎn)環(huán)境中從普通業(yè)務(wù)到重要業(yè)務(wù)的逐步推進(jìn)的策略，為后續(xù)其他業(yè)務(wù)系統(tǒng)獨(dú)立部署實施奠定基礎(chǔ)。

采用國產(chǎn)化成熟產(chǎn)品并結(jié)合首都機(jī)場安全管控的需求進(jìn)行定制化開發(fā)，利用“自適應(yīng)安全架構(gòu)”“大數(shù)據(jù)分析”“機(jī)器學(xué)習(xí)”等技術(shù)形成基于業(yè)務(wù)主機(jī)的自適應(yīng)安全管理，并制定一系列管理規(guī)范和制度，保障該系統(tǒng)的高效執(zhí)行。

5 技術(shù)關(guān)鍵能力和優(yōu)勢

5.1 技術(shù)關(guān)鍵能力

系統(tǒng)采用多層的計算架構(gòu)設(shè)計，模塊化的部署方式，不僅具備靈活的擴(kuò)展能力，還能應(yīng)用大量任務(wù)下發(fā)和海量數(shù)據(jù)分析處理，保障系統(tǒng)性能，系統(tǒng)總體架構(gòu)如圖1所示。

（1）前端展示層

展示視圖層主要負(fù)責(zé)系統(tǒng)數(shù)據(jù)的顯示，展示模式層主要負(fù)責(zé)系統(tǒng)數(shù)據(jù)的管理，展示控制層主要負(fù)責(zé)協(xié)調(diào)上述兩個層面。整合起來主要為控制中心提供各類信息的清晰展示，對重大威脅進(jìn)行實時告警，幫助用戶更好、更快地處理問題，方便用戶對系統(tǒng)進(jìn)行配置和管理。

（2）服務(wù)端邏輯層

主要提供三方面的功能：一是與外部系統(tǒng)接口間的互通，可以實現(xiàn)系統(tǒng)與外部系統(tǒng)的數(shù)據(jù)交互、消息傳輸；二是業(yè)務(wù)處理層，可以實現(xiàn)本系統(tǒng)內(nèi)業(yè)務(wù)功能的實現(xiàn)，發(fā)布和訂閱系統(tǒng)、服務(wù)端配置等；三是數(shù)據(jù)處理訪問層，對業(yè)務(wù)處理提供數(shù)據(jù)服務(wù)，將各種不同數(shù)據(jù)的訪問權(quán)限進(jìn)行歸集。

（3）服務(wù)端支撐層

主要實現(xiàn)對系統(tǒng)資源、服務(wù)、接口等內(nèi)容的調(diào)度，屬于系統(tǒng)自身控制機(jī)制，服務(wù)安全層實現(xiàn)對自身系統(tǒng)安全能力的保障，如數(shù)據(jù)加密傳輸、加密訪問、系統(tǒng)安全檢查等；服務(wù)容錯層實現(xiàn)系統(tǒng)的高可用能力保障；服務(wù)監(jiān)控層實現(xiàn)系統(tǒng)各項服務(wù)的監(jiān)控，保障系統(tǒng)的穩(wěn)定性。

（4）服務(wù)端通信層

圖1 系統(tǒng)總體架構(gòu)

服務(wù)端通信層主要實現(xiàn)三個能力：一是客戶端連接保證，保證所有客戶端屬于正常狀態(tài)，收集各客戶端狀態(tài)；二是保障所有客戶端與系統(tǒng)間的訪問流量的負(fù)載，避免因單一流量較大造成的單點故障；三是通信代理層是在特殊部署情況下，與代理服務(wù)器通信的組件。

（5）客戶端架構(gòu)層

客戶端架構(gòu)層主要實現(xiàn)對各客戶端功能調(diào)用、業(yè)務(wù)保持、資源監(jiān)控等能力的保障。通信層負(fù)責(zé)與服務(wù)端通信層進(jìn)行會話保持，監(jiān)控層負(fù)責(zé)對Agent資源監(jiān)控和存活性檢測；另一方面提供實時入侵檢測模塊、本地數(shù)據(jù)讀寫模塊和安全腳本引入模塊的調(diào)用。

主機(jī)安全防護(hù)共包含一套管理控制服務(wù)平臺、主機(jī)Agent和Web可視化展示頁面三部分，提供資產(chǎn)管理、漏洞管理、風(fēng)險管理、入侵檢測、合規(guī)基線和安全日志六部分功能。資產(chǎn)管理功能可實現(xiàn)對內(nèi)部主機(jī)的資產(chǎn)清查和變動監(jiān)控；漏洞管理功能可實現(xiàn)對內(nèi)部主機(jī)系統(tǒng)和應(yīng)用補(bǔ)丁發(fā)現(xiàn)及漏洞監(jiān)控；風(fēng)險管理功能可實現(xiàn)對內(nèi)部主機(jī)系統(tǒng)和應(yīng)用存在的安全風(fēng)險進(jìn)行發(fā)現(xiàn)、修復(fù)和管理；入侵檢測功能可實現(xiàn)對內(nèi)部主機(jī)的入侵事件進(jìn)行實時發(fā)現(xiàn)和相應(yīng)；合規(guī)基線功能可實現(xiàn)對內(nèi)部主機(jī)進(jìn)行系統(tǒng)基線、應(yīng)用基線、等?；€和CIS基線的安全檢查；安全日志功能可實現(xiàn)對內(nèi)部主機(jī)的操作、安全事件、賬號變更等日志的收集和審計。

5.2 技術(shù)優(yōu)勢

5.2.1 安全穩(wěn)定低資源的主機(jī)探針

主機(jī)探針純綠色軟件，不嵌入系統(tǒng)內(nèi)核，杜絕由于探針軟件的問題而影響操作系統(tǒng)的穩(wěn)定。在系統(tǒng)負(fù)載過高時，獨(dú)特的降級機(jī)制會主動降級運(yùn)行，嚴(yán)格限制對系統(tǒng)資源的占用，確保業(yè)務(wù)系統(tǒng)正常運(yùn)行。

自動適配各種物理機(jī)、虛擬機(jī)和云環(huán)境。運(yùn)行穩(wěn)定、消耗低，能夠持續(xù)收集主機(jī)進(jìn)程、端口、賬號、應(yīng)用配置等信息，并實時監(jiān)控進(jìn)程、網(wǎng)絡(luò)連接等行為，還能與Server端通信，執(zhí)行其下發(fā)的任務(wù)，主動發(fā)現(xiàn)主機(jī)問題。

5.2.2 精準(zhǔn)快速的主機(jī)發(fā)現(xiàn)

從安全角度自動化構(gòu)建細(xì)粒度資產(chǎn)信息，支持對業(yè)務(wù)層資產(chǎn)精準(zhǔn)識別和動態(tài)感知，讓保護(hù)對象清晰可見。精確支持10余類主機(jī)關(guān)鍵信息清點，200余類業(yè)務(wù)應(yīng)用自動識別，并擁有良好的擴(kuò)展能力。

通過主機(jī)探針，可在15秒內(nèi)，從正在運(yùn)行的環(huán)境中，反向自動化構(gòu)建主機(jī)業(yè)務(wù)資產(chǎn)結(jié)構(gòu)，上報管控平臺，集中統(tǒng)一管理；對Web資產(chǎn)與數(shù)據(jù)庫資產(chǎn)等高價值高敏感業(yè)務(wù)資產(chǎn)，進(jìn)行了針對性資產(chǎn)建模，確保不漏掉任何一個可用主機(jī)。

5.2.3 高效安全的檢測技術(shù)

提供多控制點的檢測能力，能夠?qū)崟r、準(zhǔn)確地感知入侵事件，發(fā)現(xiàn)失陷主機(jī)，對攻擊路徑的每個節(jié)點都進(jìn)行監(jiān)控，并提供跨平臺多系統(tǒng)的支持能力，保證能實時發(fā)現(xiàn)失陷主機(jī)，對入侵行為進(jìn)行實時告警。

結(jié)合專家經(jīng)驗，威脅情報、大數(shù)據(jù)、機(jī)器學(xué)習(xí)等多種分析方法，通過對用戶主機(jī)環(huán)境的實時監(jiān)控和深度了解，有效發(fā)現(xiàn)包括“0day”在內(nèi)的各種未知黑客攻擊。

5.2.4 可持續(xù)的安全服務(wù)能力平臺

基于云計算和大數(shù)據(jù)技術(shù)，將傳統(tǒng)、單一的安全防護(hù)手段轉(zhuǎn)移到云平臺進(jìn)行整合，為客戶提供可持續(xù)的主機(jī)綜合防護(hù)能力，并可按照用戶的需求，定制檢測服務(wù)。

通過主機(jī)安全防護(hù)強(qiáng)大的計算能力，實時處理隨時爆發(fā)的新型攻擊，更新信息數(shù)據(jù)，能夠有效控制危險事件的大規(guī)模發(fā)生和傳播。云節(jié)點和參與者越多，主機(jī)安全防護(hù)資源就越豐富，整個主機(jī)安全服務(wù)能力就會強(qiáng)大。

主機(jī)安全防護(hù)提供資源的靈活調(diào)度。主機(jī)被攻擊發(fā)生時間、地點和規(guī)模的未知性，需要安全資源彈性配置、快速響應(yīng)、易于擴(kuò)充。通過實時監(jiān)控系統(tǒng)狀態(tài)、資源占用情況，精確調(diào)度、按需部署，使得安全部署更加緊湊，擴(kuò)展兼顧，實現(xiàn)按需防護(hù)的能力。

主機(jī)安全防護(hù)提供安全專業(yè)人員的技術(shù)支持。在代為管理受保護(hù)的信息系統(tǒng)，提供實時事件監(jiān)控和應(yīng)急處理以及安全事件的歷史分析和反饋，有利于及時下發(fā)安全策略。

主機(jī)安全防護(hù)資源遷移更加靈活。物理機(jī)之間的遷移依靠的是系統(tǒng)備份和恢復(fù)技術(shù)，云計算中虛擬化技術(shù)使得安全資源的遷移方式多樣、遷移速度更為快捷，允許業(yè)務(wù)彈性變更，提升系統(tǒng)災(zāi)備和恢復(fù)能力。

6 結(jié)束語

網(wǎng)絡(luò)安全威脅日益嚴(yán)峻，企業(yè)內(nèi)部IT環(huán)境變化多端，黑客攻擊日益隱蔽、專業(yè)，風(fēng)險監(jiān)控成為企業(yè)高度關(guān)注的安全問題。主機(jī)安全防護(hù)系統(tǒng)從內(nèi)部安全管理的視角出發(fā)，關(guān)心企業(yè)內(nèi)部資產(chǎn)的實時變化，尋求最佳“安全-成本”平衡點，提供“標(biāo)本兼治”的解決方案。Adaptive Security架構(gòu)能夠在復(fù)雜變化的環(huán)境下有效抵御高級攻擊，是整個安全行業(yè)的發(fā)展方向。其創(chuàng)新之處：一方面在于將安全視角轉(zhuǎn)移到防火墻之后的業(yè)務(wù)系統(tǒng)內(nèi)部，強(qiáng)調(diào)自內(nèi)而外構(gòu)建安全體系；另一方面將安全從傳統(tǒng)的安全事件防護(hù)變成一項持續(xù)響應(yīng)和處理的過程，從多個維度持續(xù)保護(hù)企業(yè)安全。同時，還克服了主機(jī)類產(chǎn)品跨平臺、自身安全性等可能的技術(shù)瓶頸，為用戶提供一種可靠的安全監(jiān)控平臺解決方案。

綜上所述，著眼當(dāng)前網(wǎng)絡(luò)安全事件頻發(fā)及眾多企業(yè)高度重視的趨勢，依托首都機(jī)場現(xiàn)有的安全基礎(chǔ)設(shè)施，針對企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)中主機(jī)安全風(fēng)險，結(jié)合相關(guān)大型企業(yè)實踐經(jīng)驗，遵循“民航科技十三五規(guī)劃”中提出的愿景和目標(biāo)，制定了首都機(jī)場業(yè)務(wù)主機(jī)安全防護(hù)的解決方案及實施計劃，對于提升首都機(jī)場業(yè)務(wù)主機(jī)保護(hù)能力非常有益且必要。