对民航业网络安全服务发展的建议

文│ 中国航信安质部信息安全管理处负责人 衡闻琦

近年来，随着互联网、物联网等新技术的飞速发展，世界经济正在向数字化转型。特别是本次新冠疫情，给全球经济运行带来了明显的影响，也对正处于进行时的数字化转型带来了一定的催化作用，给转型后的需求释放出了新的应用机遇。本次疫情中，民航业的营业受到了较大的冲击，同时随着国内外网络安全、数据合规等相关法律法规的发布实施，中国民航业的网络安全发展面临着新的挑战。

整体安全形势给中国民航业带来的安全挑战

民航业作为国家交通运输的重要产业，其正常运营关系到国家安全、国计民生。近年来，各国民航业一直是网络攻击关注的重点目标之一：2015年6月，波兰航空公司地面操作系统遭遇黑客袭击，致使系统瘫痪5小时；2016年8月，越南首都河内国际机场和胡志明市国际机场的航班显示屏及广播系统遭黑客入侵；2018年9月，英国机场航空信息显示系统遭勒索软件干扰。

国家对民航业的网络安全高度重视，《网络安全法》规定对信息服务、能源、交通等重要行业和领域进行重点保护。近期公安部下发了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，包括民航业在内的各行业都开展了所辖关键信息基础设施的认定工作，作为其运营者的民航业各单位肩上的安全责任更加重大。

民航业信息系统承载着大量旅客的个人行踪信息，随着公民个人信息的价值不断显现，各类黑客、黑色产业也对民航业乘客信息持续关注：2015年3月，英国航空公司的数以万计的常客账户被非法访问；2017年2月，纽约斯图尔特国际机场的750GB内部敏感数据遭泄露；2018年7月，英国托马斯库克航空公司系统被爆出漏洞，可轻易获取乘客出行数据。这些案例都给中国民航业的安全保障工作敲响了警钟。

中国民航业为了更好地服务全球旅客，较之其他运输行业信息化、数字化起步较早，开放程度也较高。面对不断严峻的网络安全形势，中国民航业在打造更便捷、更智慧的国际化旅客服务能力的同时，也面临着进一步加大网络安全投入，进一步加强系统、数据安全防护能力建设双重的挑战。

民航业自身的特殊性带来的安全挑战

较之铁路等运输行业，民航业产业链条更长。行业的信息化产品已覆盖了旅客服务、民航运营的全生命周期。各行业单位围绕着旅客订票、航班准备、离港、飞行、中转、到达等一系列服务环节提供了相应的信息化服务，并内建了多种企业内部工具化、自动化的信息化运营管理手段。我们可以看到，旅客个人数据、航班数据在全行业的产业链条中充分流动，贯穿了系统服务商、航空公司、机场、代理人、空管局等全行业单位，覆盖了旅客服务、航班运营的各个环节。这种多家单位协同处理，多种数据实时流转的行业信息化现状，给民航业的网络安全防控带来了巨大的挑战。

同时，中国民航行业除做好自身网络安全防护工作外，还面临着来自国际相关法规的合规性挑战。如欧盟通用数据保护法案（GDPR）、美国加州消费者隐私法案（CCPA）的实施，作为全球运营的中国民航业不得不积极应对，但是作为数据控制者还是数据处理者，数据安全责任如何划分等问题，使得各相关单位的商务关系、经营策略等事务无形中与传统的网络安全工作产生了交织，形成了相互的影响。

对民航业网络安全服务工作的建议

在中国民航业民航业的产业链条上，客票销售代理、航空公司、机场、空管局、系统服务商等各行业单位已形成了一套经过多年检验的合作运营模式。面对中国民航业蓬勃发展的业务所带来的增长压力，为了保障民航信息服务系统的持续平稳运营，民航业从专用网络到设备、数据、服务等方面，已搭建了一整套高可用性的安全运营服务体系，同时一直坚持开展极端情况下应急预案的演练工作，服务连续性保障已非常成熟。

同时，为了保护每一位旅客的合法权益，中国民航业在满足各类销售平台进驻、直销分销并存等民航业态现状的同时，一直高度重视旅客个人数据安全保护，利用双因素认证、大数据分析、生物特征识别、数据脱敏等技术手段，从账号认证、授权管控、行为监控、敏感数据匿名化等多方面对旅客个人信息等重要数据的使用，进行了多维度的安全防控。

近年来网络安全形势持续严峻，按照公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》的有关要求，结合当前民航业的实际情况和安全挑战，中国民航业的安全发展可从以下四方面进行深化。

第一是持续引入可靠优秀的安全服务机构提供专业的安全技术支持。《网络安全法》《网络安全审查办法》都规定关键信息基础设施的运营者开展可能带来国家安全风险的网络产品和服务采购时，应申报网络安全审查。随着国家关键信息基础设施认定保护工作的推进，民航业也将认定多个关键信息基础设施。行业各运营者迫切需要一批优秀可靠的安全服务机构，提供专业化、高质量的安全服务，以便进一步加强自身安全防护能力，并确保安全服务的供应链安全。

第二是持续推进企业内生的安全防护能力建设。随着国家关键信息基础设施的认定，民航业各单位作为运营者，后续还需进一步在安全策略规划设计、内部机制建设、人员能力提升等方面做好准备。特别是要重点贯彻落实网络安全防护措施与业务功能“同步规划、同步建设、同步使用”的“三同步”原则，强化核心岗位人员的意识教育、安全管理，加强网络安全应急处置机制建设，以赛带练培养自身专业化的网络安全人才队伍。这样才能在引入网络安全“外脑”的协助下，建设自身的安全防护能力，进而真正做到“守土有责、守土尽责”。

第三是持续优化行业单位间及与公安机关的协调联动机制。在中国民航业的产业链条中，公安机关、行业各单位的合作由来已久，已经形成了比较通畅的联动机制。同时，随着民航业网络安全建设的进展，以及中国民航各单位的协作创新，在网络安全监控预警及应急处置、数据安全交换、可信认证、国密算法应用等方面都有了较好的试点实现。希望这些经过实际验证、切实可行的网络安全解决方案，在行业内可以得到更广泛的推广，进而推动民航业各单位进一步形成网络安全合力，在公安机关的支持帮助下，更好地应对当前的安全挑战。

最后是创新实现通用安全技术与行业特有业务的深度结合。引入优秀安全服务机构，建立健全内生的安全防护能力，加强横向及纵向的协作联动，最本质的目标是要建设符合民航实际情况、能有效落地的网络安全防护体系，这离不开行业各有关单位的管理创新和技术创新。这需要行业运营企业与业内专家、专业院校的通力配合，形成“产学研一体化”创新与实践的网络安全建设模式；需要通过行业级研讨会议、安全论坛等交流平台，建立定期的网络安全技术与行业实际应用相互沟通的机制。最终实现民航网络安全技术解决方案不断推陈出新，推动民航业网络安全实际能力的不断提升。

（本文刊登于《中国信息安全》杂志2020年第10期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。