文 | 中国航信安质部信息安全管理处 衡闻琦
关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。民航业是《网络安全法》明确规定的重要行业和领域之一,一旦民航业遭到破坏、丧失功能或数据泄露,可能会严重危害国家安全、国计民生以及公共利益。相较于其他交通运输行业,中国民航业的信息化起步较早,国际化运营要求也更高,这为行业的网络安全工作带来了更大的挑战。作为中国民航业的网络安全从业者,在《关键信息基础设施安全保护条例》颁布实施两周年之际,基于对《网络安全法》《关键信息基础设施安全保护条例》和相关标准的理解,结合民航行业实际运营的特点,对民航行业开展关键信息基础设施安全防护相关工作情况进行摘述。
一、法律条例标准构建了关基保护的普适性要求
(一)网络安全法明确了等保和关保的地位和关系
2016 年 11 月 7 日,《网络安全法》颁布,成为网络空间安全的基础法律。该法明确提出了“网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”“对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”等要求。这些要求正式明确了网络安全等级保护和关键信息基础设施保护的法律地位。
(二)条例进一步明确了各方的保护职责
2021 年 4 月 27 日,《关键信息基础设施安全保护条例》(以下简称《条例》)已经国务院第 133 次常务会议通过并公布,自 2021 年 9 月 1 日起施行。《条例》除了明确了国家网信部门、公安部门、电信主管部门等的工作责任,还按照“谁主管、谁负责”“谁运营、谁负责”的原则,分别明确了本行业、本领域关键信息基础设施保护工作部门的责任及关键信息基础设施运营者的主体责任。在《条例》的第三章“运营者责任义务”部分,通过十条法规要求规范了关键信息基础设施运营者应该承担的责任和义务。
(三)标准有效细化了关键信息基础设施的保护要求
2022 年 10 月 12 日,国家标准化管理委员会发布公告,正式批准发布《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204—2022)(以下简称《关保要求》),并于 2023 年5 月 1 日实施。《关保要求》属于安全保护类标准,针对关基的安全保护需求,规定了分析识别、安全防护、检测评估、监测预警、主动防御和事件处置等六个环节的安全要求,是各运营者开展安全保护工作时的重要依据。
二、民航业网络安全保障的形势与挑战
聚焦行业,民航业作为国家交通运输的重要产业,其正常运营关系到国家安全和国计民生。中国民航业的信息化建设最早可以追溯到 1985 年,当时中国民航业首个航班控制系统投入使用,也标志着中国民航业的快速发展拉开了序幕。1985年中国民航年旅客量仅为 0.07 亿人次,1990 年已经达到了 0.17 亿人次,而在 2004 年更是达到了 1.21 亿人次。随着民航业信息技术的不断演进,该行业始终处在高速安全发展的态势。2016 年年旅客量达到了 4.88 亿人次,在新冠肺炎疫情之前,年旅客量达到了 6.6 亿人次。长期以来,各国民航业一直是网络攻击关注的重点目标之一。民航业信息系统承载着大量旅客的个人行踪信息,近年来,随着信息技术的不断发展,个人信息的价值不断凸显,各类黑客和黑色产业也对民航业持续关注。中国民航业为了更好地服务全球旅客,相较于其他运输行业,信息化和数字化起步较早,且开放程度也较高。
相较于铁路等其他运输行业,民航业的产业链条更长。该行业的信息化产品已覆盖了旅客服务和民航运营的全生命周期。各行业单位围绕着旅客订票、航班准备、离港、飞行、中转、到达等一系列服务环节提供了相应的信息化服务,并采用了多种企业内部工具化、自动化的信息化运营管理手段。我们可以看到,旅客个人数据和航班数据在整个行业的产业链条中充分流动,贯穿了系统服务商、航空公司、机场、代理人、空管局等全行业单位,涵盖了旅客服务和航班运营的各个环节。这种多家单位协同处理,多种数据实时流转的行业信息化现状,给民航业的网络安全防控带来了巨大的挑战。
三、民航业各单位开展网络安全保障的情况综述
习近平总书记在网络安全和信息化工作座谈会上指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”“我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。”习近平总书记的重要指示为我们开展关键信息基础设施安全保护工作指明了方向。同时,习近平总书记针对民航行业提出了“安全是民航业的生命线”和“头等大事”的重要论断,深刻揭示了民航业的本质内涵和安全工作的主基调。基于《条例》的职责分工,保护工作部门和各运营者各司其职,通力协作。近年来,民航业的网络安全保障,特别是关键信息基础设施安全保障水平持续提高。
(一)保护工作部门引领行业关基保护整体布局
1. 持续推进行业整章建制
《条例》第八条明确要求“本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)”,清晰明确了行业管理单位在关键信息基础设施安全保护工作的角色和定位。中国民用航空局(以下简称“民航局”)作为民航业的保护工作部门,长期以来一直高度重视包括飞行安全、网络安全等在内的民航安全保障工作。特别是在网络安全方面,多年来,依据《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》(以下简称“三法一条例”)等法律法规要求,并借鉴了包括《计算机信息系统安全保护等级划分准则》《信息安全技术网络安全等级保护定级指南》《信息安全技术网络安全等级保护实施指南》等 17 项相关国家网络安全标准,共编制《民航网络与信息安全管理暂行办法》《民航网络与信息安全信息通报办法》《民用航空网络安全保障方案》等 5 项行业网络安全规章和规范性文件。此外,还建立了《民用航空信息安全事件分类分级指南》《民用航空信息系统安全等级保护实施指南》《民用航空跨网数据交换安全技术要求》等 9 项行业网络安全标准。
特别是近期编制发布的《民用航空网络安全保障方案》,在贯彻“三法一条例”等法律法规和网络安全等级保护制度的基础上,有机结合了《国际民用航空公约》网络安全相关附件和国际民航组织网络安全相关标准和建议措施,充分体现了民航行业全球化发展和与国际接轨的行业特点。该方案还将国家网络安全相关要求和标准与民航业实际业务需求有效结合,进行了有效的最佳实践解读,为国家网络安全相关要求和标准在中国民航业的切实落地提供了有益的指导。
2. 落实民航业关键信息基础设施认定
《条例》第九条明确要求“保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案”,并明确了认定规则应当主要考虑的因素,为各具体行业开展关键信息基础设施认定明确了工作机制和具体标准。中国民航业在保护工作部门的统一组织部署下,关键信息基础设施的认定工作得到了有序开展。保护工作部门先行结合行业的实际情况,特别是聚焦行业核心业务,经过反复调查研究和行业内外专家会商,制定了行业的关键信息基础设施认定标准。该标准以民航业的实际业务作为划分维度,切实落实了基于网络安全等级保护制度的关键信息基础设施安全保护要求,将认定条件与网络安全等级保护深度结合,切实指导了行业各相关单位的关键信息基础设施认定申报工作。
经各行业重点保障单位申报,保护工作部门组织国家及行业相关专家进行综合评审。民航业已初步完成了行业内的申报评审工作,并已向国务院公安部门备案。行业各相关单位也在不断加强网络安全保护工作的基础上,承担起了关键信息基础设施运营者的安全保护职责。
(二)运营者持续强化自身网络安全保障能力
1. 落实网络安全等级保护
《条例》第六条明确要求“关键信息基础设施保护制度是在网络安全等级保护制度的基础上,采取技术保护措施和其他必要措施,保障完整性、保密性和可用性”。可见,做好关键信息基础设施保护的工作,网络安全等级保护工作是基础。运营者在履行关键信息基础设施安全保护职责时,首先要充分考虑所辖网络系统的网络安全等级保护工作。
民航业各单位在所辖重要信息系统的网络安全等级保护工作上起步较早。2007 年,相关信息安全等级保护规则标准出台后,行业各单位根据要求对所辖重要信息系统进行了等级保护的定级、备案和整改等工作。当年,行业已完成了近 20 个主营业务系统的定级和备案。同时,自 2008 年起,行业单位逐年聘请网络安全等级保护测评机构对等保三级系统进行安全等级测评,并对当年测评中发现的风险项逐一、持续进行整改。从 2020 年开始,随着网络安全等级保护标准 2.0 的发布,行业相关单位又及时按照等保 2.0 的标准开展了所辖等保三级系统的年度安全测评工作。经过多年持续加固和完善,民航业的网络安全保障能力已取得显著成效。
2. 制定关键信息基础设施安全保护工作方案
《条例》第三章明确了运营者的责任和义务,包括以下要求:“建立健全网络安全保护制度和责任制,保障人力、财力、物力投入”“设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查”“建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划”等。《关保要求》则在此基础上,根据关键信息基础设施所运营的业务,规范了运营者履行责任和义务的标准。
可以看出,网络安全等级保护 2.0 是我们开展网络安全工作的基线,而关键信息基础设施安全保护是在此基础上,通过加强对人、财、物和机制等方面的“保护”来进一步确保安全。特别是在保护对象方面,《关保要求》提出关键信息基础设施可能承载多个网络和信息系统,对关基的防护要覆盖到业务(业务链)上的每一个系统,同时要优先保障关键业务系统的安全。
民航业各运营者单位,根据上述要求,在保护工作部门的统一部署下,结合本单位的实际情况,已完成所辖关键信息基础设施安全保护工作方案的制定。该方案以法律法规及相关政策文件为依据,以网络安全等级保护为基础,坚持“依法保护,结合实际”的原则;以采取积极防御、有效应对为方针,聚焦人、财、物、机制的关键环节,实施“综合保障,形成合力”的策略;以应对实际网络安全威胁为引领,以管理信息化手段为辅助,持续开展关键信息基础设施相关的风险管理,落实“问题导向、实战引领”的工作原则。方案切实有效地在行业逐级落实明确了关键信息基础设施安全保护的工作思路和目标、工作组织架构及组织内部责任分工、人财物支持保障机制,以及持续开展网络安全综合防御体系建设的具体方案和年度工作实施计划。行业各运营者的工作方案已经过保护工作部门组织的专家评审,将有效指导和规范各行业单位的关键信息基础设施安全保护工作。
四、结 语
《条例》颁布实施已有两年时间,随着《关保要求》的发布,中国民航业已自上而下的行动起来。作为关键信息基础设施运营者的各行业单位,都紧锣密鼓地完善机制措施,进一步夯实网络安全等级保护基础,重点强化自身的关键信息基础设施安全保障能力,切实做到了“守土有责,守土尽责”。
后续关键信息基础设施相关安全防护的其它标准要求也势必将陆续出台,关键信息基础设施运营者还需要持续夯实基础,加大投入,守好安全红线。网络安全永远在路上,我们要持续深刻认识贯彻习近平总书记“没有网络安全就没有国家安全,没有信息化就没有现代化”的重要论断,坚持“万无一失,一失万无”的工作理念,以对党和人民高度负责的精神,不断增强落实好各项责任措施,切实保障好国家关键信息基础设施的安全。
(本文刊登于《中国信息安全》杂志2023年第9期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。