2012年，國務院在《關于促進民航業(yè)發(fā)展的若干意見》（國發(fā)〔2012〕24號）中明確指出，民航業(yè)是我國經(jīng)濟社會發(fā)展重要的戰(zhàn)略產(chǎn)業(yè)，為我國改革開放和社會主義現(xiàn)代化建設作出了突出貢獻。民航與國家安全、經(jīng)濟運行、社會秩序和公眾利益息息相關，民航是國家信息安全保障工作重點行業(yè)，行業(yè)網(wǎng)絡和重要信息系統(tǒng)是國家信息安全防護的組成部分。

民航信息化正朝著可視化、智能化，交互共享式發(fā)展。世界各國民航業(yè)都把加快信息化建設作為民航發(fā)展的重要戰(zhàn)略。在信息化新技術高速應用于各個行業(yè)的大形勢下，“智慧機場”、“移動辦理業(yè)務”、“大數(shù)據(jù)分析”等工程的建設也在民航業(yè)內轟轟烈烈進行，民航業(yè)發(fā)展越來越多的依賴于信息化的發(fā)展。在民航領域，一旦出現(xiàn)信息系統(tǒng)被攻擊、無線電通信系統(tǒng)受到干擾、重要專機信息被泄密、信息系統(tǒng)出現(xiàn)各種故障等，都會使飛行安全受到嚴重威脅，輕者會造成航班正常運作中斷，重者會危及飛行安全甚至國家安全。民航信息安全與飛行安全、空防安全具有同等重要地位。

一、我國民航網(wǎng)絡安全保障工作

1.加強頂層設計，重視法制化建設

在“十二五”期間，民航局十分重視信息安全頂層設計工作，不斷完善行業(yè)信息安全標準體系，累計出臺相關標準規(guī)定20余項；以國家信息系統(tǒng)等級保護定級工作和關鍵信息基礎設施檢查作為主要抓手，編制系統(tǒng)名錄，研發(fā)信息系統(tǒng)管理系統(tǒng)，進一步掌握了民航行業(yè)網(wǎng)絡與信息系統(tǒng)基本情況，為民航信息安全管理工作提供依據(jù)；組織開展行業(yè)網(wǎng)絡安全管理規(guī)定編制，使得民航信息安全管理工作有法可依。

2.轉變工作思路，構建多層次管理體系

民航行業(yè)采用“走出去”的思路開展網(wǎng)絡與信息安全管理工作，并積極落實國家各項政策措施，建立民航局、地區(qū)管理局和地方監(jiān)管局三級管理機制，組織部署年度信息安全檢查，持續(xù)開展重要時期網(wǎng)絡與信息安全保障工作，建設民航信息安全管理與測評中心，培養(yǎng)信息安全技術支撐力量，并通過開展重要網(wǎng)站監(jiān)測、信息安全事件通報等工作，進一步提升行業(yè)信息安全監(jiān)管能力。

3.信息共享機制逐漸完善，數(shù)據(jù)安全成為重要特征

在行業(yè)層面，各服務單位、航空公司、機場等部門之間存在錯綜復雜的信息共享，在企業(yè)之間，電子客票系統(tǒng)將中航信、航空公司和代理人緊密聯(lián)系在一起，中航信、機場和各駐場單位通過離港系統(tǒng)建立信息共享機制，空中交通管理、機場和航空公司之間也通過導航系統(tǒng)成為一體。隨著各企事業(yè)單位之間共享機制日益成熟，航空公司、機場、電商等敏感信息數(shù)據(jù)匯集需求增強，導致行業(yè)敏感信息泄漏風險增大，無論企業(yè)還是個人，數(shù)據(jù)安全都成為焦點問題。同時，隨著移動、云計算和虛擬化技術在民航行業(yè)的快速應用，用戶信息化、智能化程度明顯提高，繼而推動數(shù)據(jù)集中化趨勢，數(shù)據(jù)成為用戶信息的核心資產(chǎn)，數(shù)據(jù)安全自然成為信息安全的高地。

4.整合資源，建設全行業(yè)一體化的全網(wǎng)絡信息安全體系

全行業(yè)整體規(guī)劃各單位的信息安全管控、監(jiān)測機制，整合各單位現(xiàn)有的技術體系，擴大信息安全體系覆蓋范圍，消除盲區(qū)，形成統(tǒng)一調度、協(xié)同作戰(zhàn)的有效整體，進一步提高全行業(yè)信息安全的掌控能力。

向專業(yè)化方向發(fā)展。業(yè)內不斷提升信息安全專業(yè)能力，加強信息安全人才隊伍培養(yǎng)。通過不斷的創(chuàng)新、完善，行業(yè)內形成一套行之有效的信息安全理論體系，并以之指導實踐，有效布局行業(yè)信息安全建設的規(guī)劃及發(fā)展。

向精益化方向發(fā)展。信息安全體系在為全行業(yè)提供先進的信息安全保護同時，也應充分考慮成本問題。民航業(yè)的信息安全體系要通過不斷優(yōu)化制度體系，加強各單位的橫向協(xié)作，提高技術水平，優(yōu)化接口，提升效率，實現(xiàn)降本增效。

向系統(tǒng)化、動態(tài)縱深防御方向發(fā)展。信息安全保障逐步由傳統(tǒng)的被動防護轉向“主動式”的動態(tài)縱深安全防御，信息安全技術正朝著構建完整、聯(lián)動、可信、監(jiān)控、策略調整的全覆蓋動態(tài)縱深防御系統(tǒng)方向發(fā)展，信息安全產(chǎn)品間自適應聯(lián)動防護、多層次防御水平不斷提高。?

向服務化方向發(fā)展。民航信息安全結構逐漸豐富和完整，正從技術創(chuàng)新、系統(tǒng)建設，向監(jiān)管、規(guī)劃、產(chǎn)品選型、服務并重調整，安全服務逐步成為行業(yè)信息安全保障工作發(fā)展的重點。

二、我國民航業(yè)面臨的信息安全風險

近段時間，國際民航行業(yè)由于信息系統(tǒng)故障，導致航班延誤或取消的事件不斷發(fā)生。2017年5月27日，英國航空公司因信息系統(tǒng)出現(xiàn)了全球性崩潰，導致希思羅機場以及蓋特威克機場取消了27號下午6點前的所有英國航空公司的航班。2017年1月22日晚間，美國聯(lián)合航空公司由于電腦系統(tǒng)故障，決定臨時停飛所有美國國內航班，導致其航班運營中斷了兩個小時。值得注意的是，美聯(lián)航的骨干網(wǎng)絡——機票預訂系統(tǒng)自2012年以來故障頻發(fā)，較為嚴重的一次是2016年8月達美航空發(fā)生的IT系統(tǒng)故障，曾迫使達美取消了約2000個航班，影響運營達數(shù)天時間。技術問題以及對員工培訓不足導致航班延誤和取消的情況大幅上升。

筆者為民航業(yè)提供信息安全服務多年，現(xiàn)對我國民航業(yè)的信息安全風險進行簡單分析：

1.行業(yè)信息安全指導框架有待進一步完善。自2003年起，中國民用航空局相繼頒布實施了一系列的信息安全規(guī)范和辦法，包括2003年頒布的《民航網(wǎng)絡與信息安全信息通報管理暫行辦法》，2013年頒布《民航網(wǎng)絡與信息安全管理暫行辦法》、《民航網(wǎng)絡與信息安全檢查辦法》、《民航網(wǎng)絡與信息安全信息通報辦法》。2017年2月20日，中國民用航空局起草了《民航網(wǎng)絡信息安全管理規(guī)定（暫行）（征求意見稿）》，向社會公開征求意見。但這些尚不能形成具備行業(yè)業(yè)務特點的信息安全保障標準體系，還需要完善配套標準規(guī)定，來指導行業(yè)內信息安全的發(fā)展。

2.信息安全管理和技術體系有待進一步科學化、規(guī)范化。安全技術是信息系統(tǒng)安全控制的重要手段,信息系統(tǒng)的安全性保障都要依靠技術手段來實現(xiàn),但光有安全技術還不行,要讓安全技術發(fā)揮應有的作用,必然要有管理的支持。信息安全體系的建立，不是僅僅依靠幾種安全設備的堆砌就能夠實現(xiàn)的，還需要涉及管理制度、人員素質和意識、操作流程和規(guī)范、組織結構的健全性等眾多方面。縱觀全國，怎樣選擇最符合自身信息系統(tǒng)特點的技術實現(xiàn)手段，將既定的各項策略落到實處，科學有效地進行信息安全防護，對于不同行業(yè)的相同從業(yè)者來說，都是一道共同面對的難題。

3.全國空管一張網(wǎng)信息安全形勢嚴峻，信息安全可控性需進一步加強。隨著空管信息化建設不斷發(fā)展，網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡終端及計算機接入設備持續(xù)增加，信息系統(tǒng)應用越來越廣泛，信息系統(tǒng)之間互聯(lián)互通，我國空管網(wǎng)絡已覆蓋全國7個空管局和44個空管分局站，民航空管網(wǎng)絡已成為國家重要信息網(wǎng)絡，運維如此一個巨大網(wǎng)絡極有可能出現(xiàn)一些意想不到的安全問題，網(wǎng)絡與信息安全面臨更大更嚴峻的挑戰(zhàn)。同時，北上廣的機場信息化建設主要從“十五”開始，首都機場、廣州白云機場信息系統(tǒng)集成商為美國優(yōu)利公司，上海浦東機場、虹橋機場信息系統(tǒng)集成商為德國西門子利多富公司。如此關鍵的工作，信息系統(tǒng)和設備的安全狀況由國外集成商負責，無法將主動權掌控在自己手中，在信息安全層面帶來的風險不可想象。

4.行業(yè)牽扯面巨大，應加強對相關行業(yè)的管控。民航業(yè)包含內容豐富，從業(yè)務指導單位到技術合作單位，從航空公司到機場，從設備生產(chǎn)公司到機票分銷代理，同時，各類安防、可視、生物識別、監(jiān)控設備、旅游、代理的公司不計其數(shù)，這些相關信息化企業(yè)眾多但份額不大，市場占有率不相上下。由此造成的后果就是，不但沒有統(tǒng)一標準可遵循，不易樹立行業(yè)信息安全標桿，而且旅客數(shù)據(jù)鏈條過長、數(shù)據(jù)泄露途徑過多、監(jiān)管部門心有余而力不足。

5.安全漏洞逐年上升，應更加重視技術手段。國家信息安全漏洞共享平臺統(tǒng)計顯示，近3年，“民用航空領域”相關漏洞信息1077條。正如前文所說，信息安全事故，輕者會造成航班正常運作中斷，重者會危及飛行安全甚至國家安全。

三、我國民航業(yè)信息安全的建議及對策

1.從行業(yè)的角度來說，民航業(yè)信息系統(tǒng)已經(jīng)同銀行、證券、保險、鐵路、電力、海關、稅務、廣電、電信等，共同被列為國家關鍵基礎設施和重要信息系統(tǒng)。作為“8+2”的一員，各個行業(yè)都已為自身行業(yè)的發(fā)展制定了保障措施和長期規(guī)劃，正所謂他山之石，可以攻玉，民航業(yè)可以借鑒其他行業(yè)的經(jīng)驗和已有的系列規(guī)范，來為自身的長遠規(guī)劃做指導。

（1）加強管理、明確責任，落實規(guī)范。充分認識網(wǎng)絡安全保障工作的重要性和緊迫性，將其列入議事日程，切實加強領導，建立健全信息安全管理體制。要按照“誰主管誰負責，誰運營誰負責”的原則，明確主管領導，落實責任部門，設立專職安全崗位，逐級建立信息安全責任制。各單位要實施嚴格的信息安全目標考核制和安全責任追究制，建立有效的信息安全工作獎懲制度，對重大信息安全事件的責任要嚴格落實。

（2）制定行業(yè)特色信息安全標準，落實信息安全策略。要從安全技術、管理和人員三個方面綜合支持信息安全保障體系，在符合行業(yè)要求的標準指導下，使用了解行業(yè)特點的技術人員和管理人員，確保行業(yè)內安全技術的穩(wěn)固發(fā)展。

（3）信息安全建設同步信息化建設。加快電子政務網(wǎng)、空管數(shù)據(jù)通信網(wǎng)和商務數(shù)據(jù)網(wǎng)的安全構建，在信息化建設飛速發(fā)展之時，要保證信息安全的建設。千里之堤，毀于蟻穴，即使基礎建設再完善，沒有匹配的安全保衛(wèi)，使得基礎設施處于不安全的運行狀態(tài)，終將造成整個基礎設施的坍塌。

（4）加大人財投入，保證安全可靠。依托民航科研基地、聯(lián)合國家級信息安全服務隊伍，大力研究發(fā)展國產(chǎn)化安全技術，從信息化建設開始到結束的生命周期各個環(huán)節(jié)。并統(tǒng)一行業(yè)產(chǎn)品標準，樹立行業(yè)標桿。

（5）對分銷鏈嚴格監(jiān)管，保護個人隱私。電信詐騙必須有“信息流”“資金流”“人員流”，雖然民航業(yè)不能對詐騙犯的“資金流”“人員流”進行管控限制，但是可以對民航乘客的“信息流”進行監(jiān)管，通過安全教育、技術監(jiān)管手段、行政處罰等方式對分銷鏈進行監(jiān)管，發(fā)現(xiàn)向他人出售或者提供乘客信息的工作人員嚴肅處理、發(fā)現(xiàn)竊取或者以其他方法非法獲得乘客信息的情況及時報警。

（6）風險評估和等級保護常態(tài)化。將信息安全作為常態(tài)化任務執(zhí)行，在信息安全法實施的背景下，在國家大力發(fā)展信息安全的便利條件下，對民航各重要系統(tǒng)進行信息安全檢查。

2.從國家的角度來說，民航信息化的發(fā)展、網(wǎng)絡安全面臨的問題，既包括通用的，也有行業(yè)特有的。在這些問題中，有些問題通過行業(yè)、民航企事業(yè)單位的積極努力，可以得到有效解決，比如人才創(chuàng)新、部門間的協(xié)調、安全管理等。同樣，也有許多問題，需要借助于國家相關部門的資源投入、組織力量來進行保障。主要內容包括以下幾個方面。

（1）開展民航網(wǎng)絡安全保護技術研究。民航網(wǎng)絡安全，特別是關鍵信息基礎設施安全保護技術研究，基本處于剛剛起步階段，只有少量的人員和機構投入其中。隨著C919國產(chǎn)大飛機的正式下線、下一代空中交通控制系統(tǒng)的逐步落地、新一代民航商務系統(tǒng)的持續(xù)投入建設，僅僅依靠行業(yè)的投入，已經(jīng)不能滿足行業(yè)網(wǎng)絡安全的需求，亟待國家投入資源，建立專門的研究機構，例如民航關鍵信息基礎設施保護研究中心/實驗室等，?并開展機載信息系統(tǒng)安全技術、空中交通管理系統(tǒng)安全可靠技術及云計算、大數(shù)據(jù)等新技術在民航應用安全技術等方面的研究。

（2）爭取民航網(wǎng)絡安全標準國際話語權。民航標準化，特別是民航信息相關的標準化，目前被歐美國家所引領，我國一直處于被動接受階段，行業(yè)中多部行標，是由國外相關標準翻譯而成。民航信息化要實現(xiàn)安全可靠，爭取民航業(yè)相關標準的國際話語權成為必由之路。我國急需建立民航網(wǎng)絡安全標準國際化研究小組并制定民航網(wǎng)絡安全標準國際化進程規(guī)劃。

（3）加強民航高層次網(wǎng)絡安全人才培養(yǎng)機制建設。民航網(wǎng)絡與信息安全人才方面還存在諸多困境，例如人才培養(yǎng)力量不足、專業(yè)人才較少等，特別是高層次安全人才極度缺乏，遠遠不能滿足行業(yè)可持續(xù)發(fā)展的需要，行業(yè)在培養(yǎng)機制、培養(yǎng)資源等方面支持不足，建立健全國家層次網(wǎng)絡安全人才交流機制、建立民航專用信息基礎設施安全專業(yè)及民航網(wǎng)絡安全學院等人才培養(yǎng)機構已是當務之急。

（本文刊登于《中國信息安全》雜志2018年第10期? ? 作者：白云波 劉孝男； 顧兆軍 周景賢）