新基建推動民航業數字化轉型,“泛在身份安全”滿足行業特需
責編:gltian |2021-02-08 14:03:36近日,2021年全國民航工作會議、全國民航安全工作會議成功召開,“十四五”時期民航“一二三三四”總體工作思路確定為:踐行一個理念、推動兩翼齊飛、堅守三條底線、構建完善三個體系、開拓四個新局面。展望“十四五”時期,加快新型基礎設施建設,以新基建筑牢發展新基石,將成為重點工作之一。
新基建的“數字化與智慧化”建設,是我國由航空運輸大國向航空運輸強國跨越的必由之路。然而,隨著5G、AI、云計算、物聯網等新一代信息技術在民航領域的不斷深入和擴展,大量新型應用場景開始出現,安全風險挑戰也越發嚴峻。因此,如何利用泛在的身份安全保障技術,保障航空企業各個業務部門與相關系統高度互聯、相互依賴的安全性,已經成為推動民航產業智能化、數字化的核心條件之一。
安全責任高于一切 國航樹立行業標桿
民航作為國家戰略性基礎支撐行業,同時也是“安全責任高于一切”的重點行業,其關鍵特征是各個單位(機場、航空公司、分銷系統提供商(GDS)等)之間的高度相互依賴性,以及相關系統(如機場航班信息管理系統、航空公司電子商務系統和GDS訂座離港系統等)的互連性。在此條生產線上,任何一點安全隱患都可能在其他領域產生嚴重后果,輕則會造成航班正常運行中斷,重則會危及飛行安全。因此,為了應對持續升級的網絡威脅趨勢,全球各大航空公司都在密集新建或升級網絡安全管理體系,其中不乏一些在統一身份認證領域的實踐案例。
近期,由亞信安全負責建設的,中國國際航空股份有限公司(簡稱“國航”)統一賬號管理系統項目便是其中一個。亞信安全以4A統一安全管理平臺(融合統一用戶賬號管理、統一認證管理、統一授權管理和統一安全審計)為基礎,為國航實現了存量及增量設備、存量及增量業務系統、內部員工和運維管理人員的統一賬號管理,并且通過數據域流程同步,對外提供了身份安全及訪問控制服務。
【圖:新一代安全統一身份管理基礎設施平臺】
作為數字化轉型安全保障的重點項目,新一代安全統一身份管理基礎設施平臺的意義重大,不僅打通了國航各個部門、各個業務系統的身份認證,全程保障了國航數字化業務的正常運轉,同時也為我國推動智慧民航發展樹立了“身份即服務、身份即安全”的行業標桿。
身份盜取盛行 泛在身份安全勢在必行
在業界已知的重大網絡安全事件中,身份盜竊(冒用)占據絕大多數。例如:在安全測試機構ImmuniWeb發布的全球大型機場網絡安全研究報告顯示,全球100個最大的機場中有97個存在安全風險;據Gemalto的報告,在企業級的用戶應用系統中,平均每秒就有80個賬戶被盜;Verizon發布的數據泄漏調查報告中顯示,約有81%泄密事件都是黑客通過竊取身份憑證來實現的。
隨著航空業數字化轉型進度的快速推進,復雜、多級、互聯的用戶權限策略管理和海量訪問認證常常因為管理制度、落地工具之間的不匹配造成重大的數據泄密事件。為此,亞信安全推出了以身份為核心的統一身份認證管理平臺(IAM平臺),為設備、網絡、應用、服務、數據提供泛在身份體系,為應用系統提供多樣化的身份管理、訪問管理服務,進而解決航空用戶現有身份數據分散、跨系統身份互信互認以及用戶體驗不佳等問題。
亞信安全針對航空行業用戶需求推出的泛在身份管理解決方案,包含了三個層面的細化:
- 萬事萬物皆有身份:這不僅包含了傳統模型下針對“人、網絡設備、IOT”的身份管理,同時也涵蓋了內部員工、外部合作伙伴以及各項業務之間的身份可信,即實現數據域、應用域、網絡域、設備域、用戶域的全場景覆蓋。
- 身份即安全:以安全身份標識貫穿所有業務應用,提供身份數據和隱私保護。用4A回答了“When”、“Where”、“What”、“Who”、“How”這樣的問題,從時間、位置、角色、行為等多個維度去維護業務系統的安全性,確保合法用戶安全方便使用特定資源。
- 身份即服務:提供了全功能化、全行業化、全形態化、全維度化的身份服務基礎設施建設方案,提供了內外融合、人物聯動的登錄認證和身份鑒別服務。
以零信任架構為內核 實現全場景覆蓋
與傳統身份認證系統“一次認證”的運行機制不同,亞信安全提供的泛在身份安全解決方案采用了以“零信任”架構為內核,以身份為核心串聯各類身份管理和認證業務場景的管理模式。
【圖:零信任身份管理體系】
其中,“零信任”解決了安全領域存在已久但無法落地的三大原則(最小特權、需要知道、深層防御),其持續信任評估和動態訪問控制的原則也是適應了5G、云網、虛擬化等新業務推倒傳統網絡邊界之后的情況,為企業建立起全新的身份邊界、數據邊界,實現了安全定義邊界。
在場景支撐方面,提供了內外網融合的統一身份認證、身份鑒權、授權訪問控制等服務,支持內外部用戶及合作伙伴之間的統一登錄認證、實名身份核驗、授權流程審批、單點登錄、信任傳遞等業務場景,并且提供了包括堡壘機、等保2.0多因素認證、金庫授權等統一應用管理,還可以通過API、SDK及標準協議為應用提供對接服務和集成服務。
【圖:泛在身份管理能力全景】
在認證能力編排能力上,可利用電話、短信、動態令牌、掃描等多認證方式,以及生物識別、數字證書、FIDO認證、微信支付寶等快捷登錄,實現了前端可信、后端權威核驗的認證管理體系。
乘“新基建”數字東風 助“智慧機場”安全升級
以物聯網、云計算、大數據、移動互聯網、人工智能等為數字核心的“新基建”正在為民航業帶來一次深刻的數字變革。而智慧機場的迭代更新,無疑對信息安全保障體系提出了更高要求。
亞信安全將依托身份安全、APT治理、態勢感知、大數據安全、云安全等核心領域的技術優勢,為民航行業提供信息安全戰略規劃設計與建議,用創新技術和周到服務,為航空用戶提供信息安全能力的“智”變與“質”變。