航空公司網(wǎng)絡(luò)安全管理研究

□ 南航北京分公司 胡海青 王珍發(fā)/文

當(dāng)前，我國正處于多領(lǐng)域民航強國建設(shè)的新階段，航空公司需要樹立高質(zhì)量發(fā)展的新理念，在新格局框架下積極開展數(shù)字化轉(zhuǎn)型，推動數(shù)字技術(shù)與航空運輸業(yè)務(wù)的融合，以數(shù)字化方式驅(qū)動公司生產(chǎn)運營、業(yè)務(wù)流程和管理服務(wù)的變革，取得相對競爭優(yōu)勢。數(shù)字化建設(shè)需要營造良好的數(shù)字生態(tài)。在宏觀上，需要政府建立健全完善的數(shù)據(jù)要素市場規(guī)則和有序的政策環(huán)境。在微觀上，需要航空公司加強網(wǎng)絡(luò)安全保護，提升對網(wǎng)絡(luò)問題的發(fā)現(xiàn)和處置能力。習(xí)近平總書記強調(diào)，安全是民航業(yè)的生命線，任何時候任何環(huán)節(jié)都不能麻痹大意，要求民航主管部門和有關(guān)地方、企業(yè)要牢固樹立以人民為中心的思想，正確處理安全與發(fā)展、安全與效益的關(guān)系，始終把安全作為頭等大事來抓。在數(shù)字化時代，航空公司履行好網(wǎng)絡(luò)安全管理職責(zé)，是落實黨中央總體部署，踐行人民航空為人民的初心使命，保障民航運行安全的必須之舉。

發(fā)展成果

網(wǎng)絡(luò)安全是數(shù)字化時代的特殊產(chǎn)物，是大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、智能化等數(shù)字化技術(shù)與傳統(tǒng)生產(chǎn)力高度結(jié)合后凸顯出來的新現(xiàn)象。民航業(yè)作為重要的國民經(jīng)濟基礎(chǔ)設(shè)施領(lǐng)域，對網(wǎng)絡(luò)技術(shù)的使用比較充分，對網(wǎng)絡(luò)安全比較重視。由于國家法律和民航政策的嚴格要求，網(wǎng)絡(luò)安全防護工作取得明顯進展。

一是執(zhí)行了標準化的網(wǎng)絡(luò)安全法規(guī)。航空公司尤其是大型國有航空公司，嚴格執(zhí)行網(wǎng)絡(luò)安全的法律法規(guī)，嚴格落實分級體系。作為非傳統(tǒng)安全的重要內(nèi)容，國家實施了一整套完善的安全管理法律法規(guī)和技術(shù)標準體系，其中最重要的是2017年6月1日起執(zhí)行的《中華人民共和國網(wǎng)絡(luò)安全法》，各航空公司按照網(wǎng)絡(luò)安全等級保護條例的要求，實施了等級保護2.0規(guī)范，如某大型航企，共認證實施了3個等保三級，52個等保二級，對生產(chǎn)運行、營銷商務(wù)、指揮控制等關(guān)鍵基礎(chǔ)信息系統(tǒng)實施了嚴格保護。

二是確立了規(guī)范化的網(wǎng)絡(luò)安全體系。網(wǎng)絡(luò)安全防護七分靠管理，關(guān)鍵是體系建設(shè)。建立日常運行體系。以某大型國有運輸航空公司為例，在組織上建立了三級指揮保障機構(gòu)：網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全管理，網(wǎng)絡(luò)安全委員會具體負責(zé)網(wǎng)絡(luò)安全管理，網(wǎng)絡(luò)安全專家委員會輔助進行網(wǎng)絡(luò)安全研究決策。健全應(yīng)急處置體系。民航歷來高度重視應(yīng)急處置能力的建設(shè)，形成了以民航局運行監(jiān)控中心為樞紐、行業(yè)各企事業(yè)單位共同參與的民航特色應(yīng)急指揮體系，基層應(yīng)急救援能力不斷提升。以筆者所在公司為例，公司高度重視網(wǎng)絡(luò)安全應(yīng)急防護能力建設(shè)，定期組織全公司級別的網(wǎng)絡(luò)安全應(yīng)急演練，不斷提升各業(yè)務(wù)系統(tǒng)的處置水平。

三是形成了實戰(zhàn)化的網(wǎng)絡(luò)安全能力。網(wǎng)絡(luò)安全防護三分靠基礎(chǔ)，重點是能力建設(shè)。運用先進安全防護技術(shù)。大型國有航空運輸企業(yè)，普遍加強了信息安全防護技術(shù)手段研發(fā)與應(yīng)用，如入侵檢測技術(shù)的應(yīng)用取得了較好的效果，實時判斷網(wǎng)絡(luò)入侵企圖，實時開展網(wǎng)絡(luò)安全監(jiān)控，盡可能減少網(wǎng)絡(luò)入侵所造成的損耗與威脅。運用可靠網(wǎng)絡(luò)安全防護策略。安全策略是指在航空公司網(wǎng)絡(luò)系統(tǒng)形成的安全區(qū)域內(nèi)，用于所有與安全相關(guān)活動的一套規(guī)則，信息管理部門作為安全權(quán)力機構(gòu)，描述、實施了普遍的安全策略，如某大型航空公司，其網(wǎng)絡(luò)安全相關(guān)的策略多達上萬條，實現(xiàn)了網(wǎng)絡(luò)安全的安全暢通。

四是樹立了普遍化的網(wǎng)絡(luò)安全意識。航空公司尤其是大型公共航空公司，在政治上與黨中央保持高度一致，樹立正確的網(wǎng)絡(luò)安全觀。黨的十八大以來，黨中央高度重視網(wǎng)絡(luò)安全問題。2018年4月20日，習(xí)近平總書記出席全國網(wǎng)絡(luò)安全和信息化工作會議時發(fā)表重要講話，指出“要深入開展網(wǎng)絡(luò)安全知識技能宣傳普及，提高廣大人民群眾網(wǎng)絡(luò)安全意識和防護技能?！背蔀樾聲r代航空公司網(wǎng)絡(luò)安全建設(shè)的重要指導(dǎo)精神。航空公司積極落實指示批示，努力提升全員的網(wǎng)絡(luò)安全意識，增強全員網(wǎng)絡(luò)安全防護技能，努力構(gòu)建了全民網(wǎng)絡(luò)安全防線。目前，航空公司全員對日常遇到的詐騙信息和郵件都能做到積極報告并正確應(yīng)對。

問題趨勢

作為國民經(jīng)濟的重要組成部分，國家對民航網(wǎng)絡(luò)安全建設(shè)高度重視，尤其重視大型國有運輸航空公司的網(wǎng)絡(luò)安全防護。由于越來越多的新技術(shù)進入網(wǎng)絡(luò)安全領(lǐng)域，尤其是人工智能的引入，使得網(wǎng)絡(luò)安全呈現(xiàn)出極度不平穩(wěn)、快速顛覆的態(tài)勢。航空公司要實現(xiàn)高質(zhì)量的網(wǎng)絡(luò)安全防護，需要對網(wǎng)絡(luò)安全發(fā)生的薄弱之處進行認真分析總結(jié)。

一是網(wǎng)絡(luò)安全意識有待進一步增強。網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民，在航空公司，這不是一句空洞的口號，而是有著實質(zhì)的內(nèi)容。航空公司需要加強全員網(wǎng)絡(luò)安全觀，共筑網(wǎng)絡(luò)安全防線。由于成本限制，航空公司的網(wǎng)絡(luò)系統(tǒng)大部分采用的是內(nèi)外網(wǎng)混合的部署模式。在此架構(gòu)基礎(chǔ)上，安全意識不足的員工在互聯(lián)網(wǎng)設(shè)備上的行為，就可能成為壓死駱駝的最后一根稻草。歷次演練結(jié)果顯示，攻擊者通過釣魚攻擊某一名員工電腦，從失守的邊緣系統(tǒng)開始擴大戰(zhàn)果，利用系統(tǒng)的內(nèi)在相關(guān)性逐層突破，最終打穿目標系統(tǒng)甚至整個數(shù)字化業(yè)務(wù)系統(tǒng)，給航空公司造成網(wǎng)絡(luò)安全威脅。

二是網(wǎng)絡(luò)安全能力有待進一步提高。據(jù)研究報告顯示，2020年全年大中型政企機構(gòu)安全事件攻擊類型，排名前三的類型分別是：惡意程序（54.5%）、漏洞利用（27.7%）、釣魚郵件（4.8%），弱口令、永恒之藍漏洞仍是大中型政企機構(gòu)被攻陷的重要原因。網(wǎng)絡(luò)安全能力不足導(dǎo)致安全隱患巨大，且造成嚴重后果。在民航各數(shù)字化系統(tǒng)中，系統(tǒng)軟、硬件漏洞，是網(wǎng)絡(luò)安全問題的根本原因。缺乏自主可控的安全架構(gòu)，是網(wǎng)絡(luò)安全問題發(fā)生的重要原因。員工行為不慎導(dǎo)致的木馬病毒一定范圍內(nèi)存在，是網(wǎng)絡(luò)安全問題發(fā)生的直接原因。缺乏完善的監(jiān)測能力，是網(wǎng)絡(luò)安全問題難以避免的客觀原因。應(yīng)急水平偏低，是網(wǎng)絡(luò)安全損失擴大的主要原因。

三是網(wǎng)絡(luò)安全保障有待進一步投入。網(wǎng)絡(luò)安全的目標達成，需要軟件統(tǒng)籌規(guī)劃、安全設(shè)備采購、安全系統(tǒng)投入、人員培訓(xùn)管理等大量資源投入。隊伍建設(shè)薄弱。舉例來說，在四型機場的運營航空公司，在網(wǎng)絡(luò)安全方面，專職人員幾乎都少于兩人或不設(shè)置，隊伍極為薄弱，人員來自IT、市場、保障或運行等多個部門，能力無法確保。專項費用較少。研究顯示，目前全國網(wǎng)絡(luò)安全市場規(guī)模約為750億，而民航這方面的專項基本缺失，推測總投入不超過數(shù)億，在整體支出中比重過低。專項程度較低。某民航監(jiān)管局法定自查結(jié)果顯示，轄區(qū)絕大部分單位沒有劃撥網(wǎng)絡(luò)安全專項預(yù)算。

對策建議

網(wǎng)絡(luò)安全是整體的、動態(tài)的、開放的、相對的、共同的，而不是孤立的、靜態(tài)的、封閉的、絕對的、割裂的，本質(zhì)在對抗。由于航空業(yè)務(wù)有較高的社會影響力，旅客信息具有較高的經(jīng)濟價值，很可能成為潛在的網(wǎng)絡(luò)攻擊目標。在這個意義上，網(wǎng)絡(luò)安全與飛行安全、業(yè)務(wù)增長和創(chuàng)新同等重要。維護網(wǎng)絡(luò)安全，必須發(fā)揮主體作用和各自優(yōu)勢，完善網(wǎng)絡(luò)安全管理方式方法，提高網(wǎng)絡(luò)安全檢測、處置和恢復(fù)能力，努力實現(xiàn)“兩可五不”，即“可追溯、可恢復(fù)”，“攻不破、找不到、改不動、帶不走、毀不掉”，切實增加網(wǎng)絡(luò)安全保障，壯大網(wǎng)絡(luò)安全隊伍。

一是在思想上充分重視。思想重視是基礎(chǔ)。維護網(wǎng)絡(luò)安全是全社會共同責(zé)任，對航空公司來說，網(wǎng)絡(luò)安全需要所有部門、各級干部、全體員工共同參與，共筑網(wǎng)絡(luò)安全防線。提高政治站位。認真學(xué)習(xí)貫徹黨中央關(guān)于網(wǎng)絡(luò)安全的指示批示，嚴格落實執(zhí)行網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，切實制定實施網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)責(zé)任制。厘清觀念誤區(qū)。處理好安全和發(fā)展的關(guān)系，做到協(xié)調(diào)一致、齊頭并進。網(wǎng)絡(luò)安全可能會影響到業(yè)務(wù)的便利，但不會影響業(yè)務(wù)的發(fā)展，因為發(fā)展不等于便利，兩者沒有絕對聯(lián)系。加強教育宣貫。建立多渠道多維度全覆蓋的宣貫策略，樹立網(wǎng)絡(luò)安全與飛行安全同等重要的理念。

二是在方法上積極創(chuàng)新。方法創(chuàng)新是策略。網(wǎng)絡(luò)安全防護，需要在組織領(lǐng)導(dǎo)和安全策略上扎實提高。統(tǒng)籌組織領(lǐng)導(dǎo)。建立高質(zhì)量網(wǎng)絡(luò)安全管理體系，建立統(tǒng)籌機制很重要，以南航在北京地區(qū)的實踐為例，34個在京單位和部門共同組建了南航北京地區(qū)網(wǎng)絡(luò)安全委員會，在網(wǎng)絡(luò)安全的統(tǒng)籌協(xié)調(diào)、開放共享上發(fā)揮了重要作用，促進了可持續(xù)的網(wǎng)絡(luò)安全。創(chuàng)新管理方式。對網(wǎng)絡(luò)關(guān)系和業(yè)務(wù)需求進行全面排查，對核心業(yè)務(wù)系統(tǒng)、核心操作區(qū)域和辦公區(qū)域進行嚴格區(qū)分，對核心人員和普通人員進行嚴格篩查，實施全面覆蓋、最小信任、多因子認證的網(wǎng)絡(luò)接入策略，是網(wǎng)絡(luò)安全防護的有效措施。

三是在能力上穩(wěn)步提升。能力提高是重點。深刻認識航空公司在網(wǎng)絡(luò)安全一般性業(yè)務(wù)中的特殊性。構(gòu)建航空公司特色。飛機的生命周期較長，因此需要合理配置 IT系統(tǒng)更新的周期性，避免影響實現(xiàn)飛行安全；需要確實提升 IT 組件變更的透明性，嚴格控制所有進出飛機的數(shù)據(jù)流。提高監(jiān)測水平。采用智能設(shè)備實時監(jiān)控、記錄、審計網(wǎng)絡(luò)運行，實現(xiàn)網(wǎng)絡(luò)環(huán)境的全過程監(jiān)控。部署安全算法。要積極研究并實施自主可控的安全算法尤其是加密算法， 對敏感數(shù)據(jù)進行對稱加密，增強數(shù)據(jù)傳遞中的加密解密。完善系統(tǒng)架構(gòu)。對所有信息系統(tǒng)激活單獨的隔離策略，在登錄端，使用密碼、物理證書和手機號進行多因子驗證，對于有條件的系統(tǒng)或單位，采用基于區(qū)塊鏈的防串改技術(shù)。

四是在保障上持續(xù)投入。保障投入是要素。加強網(wǎng)絡(luò)安全資金保障。積極爭取局方支持。落實民航局工作要求，持續(xù)研發(fā)技術(shù)手段， 提高管控水平， 結(jié)合實際加大網(wǎng)絡(luò)安全資金投入力度，建立穩(wěn)定的網(wǎng)絡(luò)安全經(jīng)費投入機制， 將網(wǎng)絡(luò)安全工作經(jīng)費納入年度預(yù)算，設(shè)立專項經(jīng)費， 重點支持網(wǎng)絡(luò)安全等級保護、安全防護能力提升、網(wǎng)絡(luò)安全服務(wù)、網(wǎng)絡(luò)安全應(yīng)急演練等工作。加強專業(yè)人才隊伍建設(shè)。組建民航網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)型人才、復(fù)合型人才、領(lǐng)軍型人才隊伍，推動航空公司與高等院校的協(xié)同創(chuàng)新。加強網(wǎng)絡(luò)安全生態(tài)圈融合。要建立健全行業(yè)內(nèi)外的業(yè)務(wù)交流機制，充分發(fā)揮專業(yè)隊伍的積極性、創(chuàng)造性，大膽借助外部力量，為航空公司網(wǎng)絡(luò)安全建設(shè)提供技術(shù)支撐。