随着国内民航运输业的快速发展，机场进出港旅客数量不断增加，要求机场能够给旅客提供更加可靠、快捷的离港到港服务，行李系统是其中的关键环节之一。

行李系统的主要运作原理如下：系统依据控制和运行维护要求,进行了PLC选型和相关硬件方案的设计,完成了系统上电处理、柜台状态检测、安检机信号处理、窗口申请及注入、输送机控制等PLC程序的编写。经过设备单元调试,各机构联动调试及全系统联合测试,包括一系列现场验证和不断改进的过程,最终实现了行李处理的自动化控制过程。

因此，该系统由复杂的自动传送带网络构成，确保乘客和行李一起到达同一个目的地。同时，该系统也是机场弱电系统中新增且面向客户的业务信息系统，目前整合应用了包括工业控制、物联网、射频识别、机器人与区块链等多种新兴技术，网络安全风险随之产生。在进行网络安全建设时，需在传统安全防护的基础上同步防范工业控制、物联网等新兴技术引入所带来的安全风险。

出于各种原因，托运的行李常会被贴上需要额外安全检查的标签。黑客能轻松攻入行李处理系统，将某件行李转到另一趟航班，或者使之规避二次检查以走私非法或危险品到飞机上。

这些系统是极具吸引力的攻击目标，因为可以远程执行攻击，攻击者甚至都不需要登机。只要某个人上了网络钓鱼的钩，攻击者就可以向机场网络中引入针对工业控制系统、物联网体系等特殊场景的恶意软件。该恶意软件将自行侵入行李处理系统以执行攻击。例如：洛杉矶机场发生过针对行李处理系统的恶意网络攻击安全事件，导致机场的CUPPS和SCADA设备受损，攻击者成功感染了与其互连的其他业务系统和相关数据库。机场行李处理系统一般缺乏日志记录和审计功能，无法实现早期异常检测和应急响应。网络入侵导致了所提供的服务运行中断外，也普遍引发了数据被篡改的恶性事件。虽然大多数机场的不同业务使用独立网络域，但根据控制的有效性，级联效应有可能影响航空侧和陆地侧操作的安全运行。

经过分析调研，机场行李处理系统面临的网络安全威胁包括但不限于：

未经授权的访问：未采用有效的区域隔离管控手段，无法进行有效的阻断或报警；

误操作指令：动作行为均为合法操作，其非法部分主要存在于控制指令及控制设备地址中，故需要针对其协议进行深度的识别和防范；

缺少主机管控：黑客通过移动 U 盘等外设，将病毒、木马等恶意程序植入到主机中，对主机或通过主机对控制设备造成破坏，影响系统的正常运行；

安全整体管控困难：在安全监控及维护过程中缺少统一的安全集中管理手段，运维难度增大，运维整体效率低下；

旅客数据和隐私泄露隐患：行李处理系统与机场航班信息系统、安检系统、离港系统之间存在航班信息、行李报文等数据的交互，存在旅客数据和隐私泄露隐患的风险。

根据部分机场客户现场情况调研结果，以GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》其中“第二级安全要求”中的“通用要求”以及“7.5 工业控制系统安全扩展要求”项为参考依据，现针对机场行李系统提出以下发现次数较多的系统安全风险：

在行李系统与机场其他系统之间仅部署通用类型访问控制设备,未针对工业协议配置对应的访问控制策略；

行李系统内不同安全域之间的边界防护机制失效后，无法实现安全域内的安全事件及时报警功能；

未在关键现场层部署安全审计系统，无法对重要节点的数据流量进行分析；

未能实现对所有参与通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制。未能实现等级保护二级安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求;

大量系统建设时未配备口令复杂度校验功能；

大量系统建设时未配备登录失败处理功能及登录连接超时自动退出功能；

大量系统建设期未配备安全员、审计员账户，未实现管理用户的权限分离；

部分系统仅能记录用户末次登录时间以及末次操作时间，未记录关键操作行为，无法对重要的用户行为和重要安全事件进行审计；

数据库系统建设期未配备审核跟踪策略，未配备成功和失败的登录审核策略；

审计日志信息缺少具体操作类型或内容;

审计记录仅保存在本机，未进行定期备份;

未部署安全管理设备，无法统一管理、协调所有安全设备，无法查看安全日志、告警状态、分析结果等内容。

B/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》标准中针对工业控制系统安全部分提出的要求，以实现对机场系统相关物理环境、边界防护、身份认证、远程访问、资产数据、供应链等方面的全面安全管控；

《民用航空网络安全等级保护定级指南》《民用航空安全管理规定》《关键信息基础设施安全保护条例》中规定：年吞吐千万客流量以上的机场行李系统需满足的安全建设条款。

威努特为帮助机场快速应对相关风险、满足合规要求，设计了机场行李控制系统的工业安全防护解决方案。方案充分利用威努特工业协议检测管控、终端白名单防护等技术优势，为行李处理系统提供全方位、多层次的深度防护思路，实现事前预警、事中监控、事后溯源，确保行李处理系统安全稳定地运行。

在方案设计时，将机场集团行李系统的整个网络作为核心防护对象进行分析，其安全设备部署拓扑如下：

行李系统与机场的其它业务系统存在数据交互、传输，原系统出口处，部署有思科防火墙。因思科防火墙版本、型号落后，因此本次边界防火墙使用威努特第二代防火墙做替换，并且采用主备的方式部署。

由于中控运维区存在大量工业设备控制、管理终端，并且存在运维管理接入场景，因此需要对该区域单独实现区域访问控制。运维管理区交换机与核心交换机之间部署了工业防火墙，以防止针对工业管理、控制层设备的攻击发生，并且实现了安全域之间的访问隔离。工业防火墙采用主备的方式部署。

针对整个复杂、庞大的行李系统，以及现场数百个控制终端、运输中枢，针对系统整体运维管理的手段必不可少。因此在行李系统核心交换机旁，已建立完整的安全管理中心。

通过数据备份恢复系统，实现全系统重要数据的留存、保管；通过日志审计与分析系统，对全系统的重要设备日志进行范式化收集管理、分析；通过安全运维管理系统，实现系统内运维人员的权限严格划分，安全运维管理，并且由中控管理区统一指挥、操作；通过网络准入系统，实现对未知用户接入的全面限制统管；通过工业安全态势感知，实现对系统全局的安全风险告警处置、闭环，整体态势的呈现输出、可视画面，以及便于机场迎检展示。

经调研，现场共有十余组运输设备，每一组设备需要部署一套现场层的流量监测设备，因此通过部署威努特工控安全监测与审计系统，可以实时检测行李系统里，针对工业协议的网络攻击、运维人员误操作、违规操作、非法运维设备接入以及各类蠕虫、病毒等恶意软件，并实时报警，通报至配套的安全管理设备。

行李系统涉及部分服务器、工业控制终端，针对终端管控的手段，威努特采用白名单模式的工控主机卫士，实现针对终端客户端状态的监测、客户端分组的管理更新及同步。

行李系统相较于机场其它业务系统，整体更为封闭，系统自身运转基本未涉及联网、对外传输交互的场景。因此行李系统与其他业务系统实现逻辑隔离，可以有效防止该系统受其它联网系统影响，出现从一个业务系统提权渗透至其它系统，或恶意软件、病毒通过一个系统摆渡传播至其它系统的情况。

行李系统大多数在机场投入使用前均已完成建设，对应的安全防护手段匮乏，大量客户现场系统仅有出口安全防护设备，并且缺乏针对工业协议解析、工业安全防护的有效手段。因此通过行李系统安全管理中心的建立、系统内部不同安全域之间的访问控制手段实现、终端点对点防护策略的部署、针对工业协议解析识别功能配合，达到整体系统内工业安全防护体系全覆盖的效果。

在方案设计早期，整体流量监控设备被部署在核心交换机旁路。后经反复推敲、测试，发现现场工业设备可能存在高风险指令、错误执行动作等情况，并且核心交换机旁路部署的流量监测设备无法及时反馈甚至漏报风险事件的情况。

因此针对现场设备的流量监控审计方案被调整为，利用工业安全监测审计设备，部署在现场每一个现场交换机侧，一台设备负责一个区域的整体流量监测分析，并且统一上传至态势平台进行展示分析。保障现场每一台设备的工业操作均被详细记录，安全事件可以及时发现处置。

客户在方案建设前开展了等保测评工作，结果仅为过线、达标。在该工业安全整体防护方案部署之后，前期测评工作所体现的各类安全风险，大部分均已解决，针对工业安全防护的各类扩展要求，均已轻松满足。

邀请专业测评机构再次评定整体安全防护体系，获取了高分通过测评的效果。

随着我国智慧机场进程的全面推进，机场建设进入井喷发展的新阶段。大数据、物联网、工业互联网等技术在机场建设过程中均被广泛应用，同时这也为机场带来了新风险。

未来，威努特将持续助力智慧机场各系统的整体安全建设，保障每一个工业、传统安全场景方案的可靠、牢固性，共同筑牢机场网络安全防线，助力智慧出行，为民航业安全、稳定发展保驾护航。