■ 中国信息安全测评中心 白云波 刘孝男;中国民航大学 顾兆军 周景贤
2012年,国务院在《关于促进民航业发展的若干意见》(国发〔2012〕24号)中明确指出,民航业是我国经济社会发展重要的战略产业,为我国改革开放和社会主义现代化建设作出了突出贡献。民航与国家安全、经济运行、社会秩序和公众利益息息相关,民航是国家信息安全保障工作重点行业,行业网络和重要信息系统是国家信息安全防护的组成部分。
民航信息化正朝着可视化、智能化,交互共享式发展。世界各国民航业都把加快信息化建设作为民航发展的重要战略。在信息化新技术高速应用于各个行业的大形势下,“智慧机场”、“移动办理业务”、“大数据分析”等工程的建设也在民航业内轰轰烈烈进行,民航业发展越来越多的依赖于信息化的发展。在民航领域,一旦出现信息系统被攻击、无线电通信系统受到干扰、重要专机信息被泄密、信息系统出现各种故障等,都会使飞行安全受到严重威胁,轻者会造成航班正常运作中断,重者会危及飞行安全甚至国家安全。民航信息安全与飞行安全、空防安全具有同等重要地位。
一、我国民航网络安全保障工作
1.加强顶层设计,重视法制化建设
在“十二五”期间,民航局十分重视信息安全顶层设计工作,不断完善行业信息安全标准体系,累计出台相关标准规定20余项;以国家信息系统等级保护定级工作和关键信息基础设施检查作为主要抓手,编制系统名录,研发信息系统管理系统,进一步掌握了民航行业网络与信息系统基本情况,为民航信息安全管理工作提供依据;组织开展行业网络安全管理规定编制,使得民航信息安全管理工作有法可依。
2.转变工作思路,构建多层次管理体系
民航行业采用“走出去”的思路开展网络与信息安全管理工作,并积极落实国家各项政策措施,建立民航局、地区管理局和地方监管局三级管理机制,组织部署年度信息安全检查,持续开展重要时期网络与信息安全保障工作,建设民航信息安全管理与测评中心,培养信息安全技术支撑力量,并通过开展重要网站监测、信息安全事件通报等工作,进一步提升行业信息安全监管能力。
3.信息共享机制逐渐完善,数据安全成为重要特征
在行业层面,各服务单位、航空公司、机场等部门之间存在错综复杂的信息共享,在企业之间,电子客票系统将中航信、航空公司和代理人紧密联系在一起,中航信、机场和各驻场单位通过离港系统建立信息共享机制,空中交通管理、机场和航空公司之间也通过导航系统成为一体。随着各企事业单位之间共享机制日益成熟,航空公司、机场、电商等敏感信息数据汇集需求增强,导致行业敏感信息泄漏风险增大,无论企业还是个人,数据安全都成为焦点问题。同时,随着移动、云计算和虚拟化技术在民航行业的快速应用,用户信息化、智能化程度明显提高,继而推动数据集中化趋势,数据成为用户信息的核心资产,数据安全自然成为信息安全的高地。
4.整合资源,建设全行业一体化的全网络信息安全体系
全行业整体规划各单位的信息安全管控、监测机制,整合各单位现有的技术体系,扩大信息安全体系覆盖范围,消除盲区,形成统一调度、协同作战的有效整体,进一步提高全行业信息安全的掌控能力。
向专业化方向发展。业内不断提升信息安全专业能力,加强信息安全人才队伍培养。通过不断的创新、完善,行业内形成一套行之有效的信息安全理论体系,并以之指导实践,有效布局行业信息安全建设的规划及发展。
向精益化方向发展。信息安全体系在为全行业提供先进的信息安全保护同时,也应充分考虑成本问题。民航业的信息安全体系要通过不断优化制度体系,加强各单位的横向协作,提高技术水平,优化接口,提升效率,实现降本增效。
向系统化、动态纵深防御方向发展。信息安全保障逐步由传统的被动防护转向“主动式”的动态纵深安全防御,信息安全技术正朝着构建完整、联动、可信、监控、策略调整的全覆盖动态纵深防御系统方向发展,信息安全产品间自适应联动防护、多层次防御水平不断提高。
向服务化方向发展。民航信息安全结构逐渐丰富和完整,正从技术创新、系统建设,向监管、规划、产品选型、服务并重调整,安全服务逐步成为行业信息安全保障工作发展的重点。
二、我国民航业面临的信息安全风险
近段时间,国际民航行业由于信息系统故障,导致航班延误或取消的事件不断发生。2017年5月27日,英国航空公司因信息系统出现了全球性崩溃,导致希思罗机场以及盖特威克机场取消了27号下午6点前的所有英国航空公司的航班。2017年1月22日晚间,美国联合航空公司由于电脑系统故障,决定临时停飞所有美国国内航班,导致其航班运营中断了两个小时。值得注意的是,美联航的骨干网络——机票预订系统自2012年以来故障频发,较为严重的一次是2016年8月达美航空发生的IT系统故障,曾迫使达美取消了约2000个航班,影响运营达数天时间。技术问题以及对员工培训不足导致航班延误和取消的情况大幅上升。
笔者为民航业提供信息安全服务多年,现对我国民航业的信息安全风险进行简单分析:
1.行业信息安全指导框架有待进一步完善。自2003年起,中国民用航空局相继颁布实施了一系列的信息安全规范和办法,包括2003年颁布的《民航网络与信息安全信息通报管理暂行办法》,2013年颁布《民航网络与信息安全管理暂行办法》、《民航网络与信息安全检查办法》、《民航网络与信息安全信息通报办法》。2017年2月20日,中国民用航空局起草了《民航网络信息安全管理规定(暂行)(征求意见稿)》,向社会公开征求意见。但这些尚不能形成具备行业业务特点的信息安全保障标准体系,还需要完善配套标准规定,来指导行业内信息安全的发展。
2.信息安全管理和技术体系有待进一步科学化、规范化。安全技术是信息系统安全控制的重要手段,信息系统的安全性保障都要依靠技术手段来实现,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有管理的支持。信息安全体系的建立,不是仅仅依靠几种安全设备的堆砌就能够实现的,还需要涉及管理制度、人员素质和意识、操作流程和规范、组织结构的健全性等众多方面。纵观全国,怎样选择最符合自身信息系统特点的技术实现手段,将既定的各项策略落到实处,科学有效地进行信息安全防护,对于不同行业的相同从业者来说,都是一道共同面对的难题。
3.全国空管一张网信息安全形势严峻,信息安全可控性需进一步加强。随着空管信息化建设不断发展,网络规模不断扩大,网络终端及计算机接入设备持续增加,信息系统应用越来越广泛,信息系统之间互联互通,我国空管网络已覆盖全国7个空管局和44个空管分局站,民航空管网络已成为国家重要信息网络,运维如此一个巨大网络极有可能出现一些意想不到的安全问题,网络与信息安全面临更大更严峻的挑战。同时,北上广的机场信息化建设主要从“十五”开始,首都机场、广州白云机场信息系统集成商为美国优利公司,上海浦东机场、虹桥机场信息系统集成商为德国西门子利多富公司。如此关键的工作,信息系统和设备的安全状况由国外集成商负责,无法将主动权掌控在自己手中,在信息安全层面带来的风险不可想象。
4.行业牵扯面巨大,应加强对相关行业的管控。民航业包含内容丰富,从业务指导单位到技术合作单位,从航空公司到机场,从设备生产公司到机票分销代理,同时,各类安防、可视、生物识别、监控设备、旅游、代理的公司不计其数,这些相关信息化企业众多但份额不大,市场占有率不相上下。由此造成的后果就是,不但没有统一标准可遵循,不易树立行业信息安全标杆,而且旅客数据链条过长、数据泄露途径过多、监管部门心有余而力不足。
5.安全漏洞逐年上升,应更加重视技术手段。国家信息安全漏洞共享平台统计显示,近3年,“民用航空领域”相关漏洞信息1077条。正如前文所说,信息安全事故,轻者会造成航班正常运作中断,重者会危及飞行安全甚至国家安全。
三、我国民航业信息安全的建议及对策
1.从行业的角度来说,民航业信息系统已经同银行、证券、保险、铁路、电力、海关、税务、广电、电信等,共同被列为国家关键基础设施和重要信息系统。作为“8+2”的一员,各个行业都已为自身行业的发展制定了保障措施和长期规划,正所谓他山之石,可以攻玉,民航业可以借鉴其他行业的经验和已有的系列规范,来为自身的长远规划做指导。
(1)加强管理、明确责任,落实规范。充分认识网络安全保障工作的重要性和紧迫性,将其列入议事日程,切实加强领导,建立健全信息安全管理体制。要按照“谁主管谁负责,谁运营谁负责”的原则,明确主管领导,落实责任部门,设立专职安全岗位,逐级建立信息安全责任制。各单位要实施严格的信息安全目标考核制和安全责任追究制,建立有效的信息安全工作奖惩制度,对重大信息安全事件的责任要严格落实。
(2)制定行业特色信息安全标准,落实信息安全策略。要从安全技术、管理和人员三个方面综合支持信息安全保障体系,在符合行业要求的标准指导下,使用了解行业特点的技术人员和管理人员,确保行业内安全技术的稳固发展。
(3)信息安全建设同步信息化建设。加快电子政务网、空管数据通信网和商务数据网的安全构建,在信息化建设飞速发展之时,要保证信息安全的建设。千里之堤,毁于蚁穴,即使基础建设再完善,没有匹配的安全保卫,使得基础设施处于不安全的运行状态,终将造成整个基础设施的坍塌。
(4)加大人财投入,保证安全可靠。依托民航科研基地、联合国家级信息安全服务队伍,大力研究发展国产化安全技术,从信息化建设开始到结束的生命周期各个环节。并统一行业产品标准,树立行业标杆。
(5)对分销链严格监管,保护个人隐私。电信诈骗必须有“信息流”“资金流”“人员流”,虽然民航业不能对诈骗犯的“资金流”“人员流”进行管控限制,但是可以对民航乘客的“信息流”进行监管,通过安全教育、技术监管手段、行政处罚等方式对分销链进行监管,发现向他人出售或者提供乘客信息的工作人员严肃处理、发现窃取或者以其他方法非法获得乘客信息的情况及时报警。
(6)风险评估和等级保护常态化。将信息安全作为常态化任务执行,在信息安全法实施的背景下,在国家大力发展信息安全的便利条件下,对民航各重要系统进行信息安全检查。
2.从国家的角度来说,民航信息化的发展、网络安全面临的问题,既包括通用的,也有行业特有的。在这些问题中,有些问题通过行业、民航企事业单位的积极努力,可以得到有效解决,比如人才创新、部门间的协调、安全管理等。同样,也有许多问题,需要借助于国家相关部门的资源投入、组织力量来进行保障。主要内容包括以下几个方面。
(1)开展民航网络安全保护技术研究。民航网络安全,特别是关键信息基础设施安全保护技术研究,基本处于刚刚起步阶段,只有少量的人员和机构投入其中。随着C919国产大飞机的正式下线、下一代空中交通控制系统的逐步落地、新一代民航商务系统的持续投入建设,仅仅依靠行业的投入,已经不能满足行业网络安全的需求,亟待国家投入资源,建立专门的研究机构,例如民航关键信息基础设施保护研究中心/实验室等, 并开展机载信息系统安全技术、空中交通管理系统安全可靠技术及云计算、大数据等新技术在民航应用安全技术等方面的研究。
(2)争取民航网络安全标准国际话语权。民航标准化,特别是民航信息相关的标准化,目前被欧美国家所引领,我国一直处于被动接受阶段,行业中多部行标,是由国外相关标准翻译而成。民航信息化要实现安全可靠,争取民航业相关标准的国际话语权成为必由之路。我国急需建立民航网络安全标准国际化研究小组并制定民航网络安全标准国际化进程规划。
(3)加强民航高层次网络安全人才培养机制建设。民航网络与信息安全人才方面还存在诸多困境,例如人才培养力量不足、专业人才较少等,特别是高层次安全人才极度缺乏,远远不能满足行业可持续发展的需要,行业在培养机制、培养资源等方面支持不足,建立健全国家层次网络安全人才交流机制、建立民航专用信息基础设施安全专业及民航网络安全学院等人才培养机构已是当务之急。
(本文刊登于《中国信息安全》杂志2018年第10期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。