□ 中國民航管理干部學(xué)院 李 磊/文

當前，以移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)為代表的信息技術(shù)超快速發(fā)展。信息通過技術(shù)將自身從特定的時空中抽離出來，實現(xiàn)了網(wǎng)絡(luò)上的交互，極大地便利了我們的工作和生活。民航是專業(yè)性強、技術(shù)含量高的行業(yè)，其對信息技術(shù)的倚重不言而喻。一方面，民航業(yè)利用信息技術(shù)極大地改善了旅客出行體驗，也大幅度提升了民航的工作效率，另一方面，近年頻繁發(fā)生的網(wǎng)絡(luò)信息安全問題也給民航安全高效運行帶來了新的挑戰(zhàn)。因此，迫切要求民航各企事業(yè)單位進一步加強對信息網(wǎng)絡(luò)安全建設(shè)的重視，通過各種有效手段確保民航信息網(wǎng)絡(luò)安全。本文通過分析我國民航企事業(yè)單位信息網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀，梳理其存在的主要問題并提出對策性建議。

民航企事業(yè)單位信息網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀

隨著民航信息化建設(shè)工作的不斷推進，民航信息網(wǎng)絡(luò)安全的重要性日益凸顯。民航局對網(wǎng)絡(luò)與信息安全工作高度重視，明確信息網(wǎng)絡(luò)安全的主要目標、基本要求、工作任務(wù)和保護措施，建立健全信息網(wǎng)絡(luò)安全責任制，將信息網(wǎng)絡(luò)安全工作納入議事日程。先后制定了《民航網(wǎng)絡(luò)信息安全管理規(guī)定》、《民航網(wǎng)絡(luò)與信息安全檢查辦法》和《民航網(wǎng)絡(luò)與信息安全信息通報辦法》等規(guī)定，明確提出民航網(wǎng)絡(luò)與信息安全工作按照“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，實行統(tǒng)一協(xié)調(diào)、分級管理、分工負責。

經(jīng)過近幾十年的發(fā)展，民航企事業(yè)單位信息化建設(shè)成果顯著，涵蓋了民用航空運輸業(yè)的各個環(huán)節(jié)，在辦公自動化、民航信息系統(tǒng)建設(shè)、內(nèi)部運行管理系統(tǒng)建設(shè)等各方面都有了明顯的提升。信息化建設(shè)為民航事業(yè)的發(fā)展提供了源源不斷的動力，有效提升了運行效率。

隨著信息化建設(shè)不斷推進、信息化水平持續(xù)提高，民航業(yè)對于信息化的依賴程度也越來越高，但其風險也越來越大。因為安全事件頻發(fā)，侵犯個人隱私、損害行業(yè)聲譽、影響社會穩(wěn)定，所以，信息網(wǎng)絡(luò)安全不僅事關(guān)行業(yè)安全，更關(guān)系國家安全。

民航企事業(yè)單位信息網(wǎng)絡(luò)安全建設(shè)中存在的主要問題

明晰民航企事業(yè)單位信息網(wǎng)絡(luò)安全建設(shè)中存在的問題，對于促進民航各單位在信息安全方面找準方向、精準施策具有極為重要的意義。民航企事業(yè)單位信息網(wǎng)絡(luò)安全建設(shè)中存在的主要問題主要有如下幾個：

（一）對信息網(wǎng)絡(luò)安全重要性的認識能力不足，防范意識差

雖然經(jīng)過幾十年的發(fā)展，民航企事業(yè)單位的信息系化建設(shè)取得了可喜的成績，但是很多單位內(nèi)部仍然存在著僥幸心理，防范意識不強，對信息網(wǎng)絡(luò)安全重要性意識不足等問題。民航事業(yè)的信息網(wǎng)絡(luò)安全問題，除由于信息系統(tǒng)自身安全漏洞和防護能力缺失造成的安全問題之外，很大一部分信息網(wǎng)絡(luò)安全問題的發(fā)生都是由于人為因素造成的。之所以如此，很重要的一個原因就在于負責信息網(wǎng)絡(luò)安全的工作人員在日常工作中的防護意識不強，沒有將信息安全和網(wǎng)絡(luò)安全工作真正落實到位。因此，當發(fā)生網(wǎng)絡(luò)安全問題時無法做到第一時間及時處置，容易造成嚴重的信息網(wǎng)絡(luò)安全事件，為單位帶來極大損失。另外，部分民航企事業(yè)單位也缺乏針對網(wǎng)絡(luò)安全運維人員的定期專項培訓(xùn)，運維人員的防護意識和技術(shù)能力無法得到持續(xù)地加強和提升，制約了單位信息網(wǎng)絡(luò)安全工作的穩(wěn)定開展。

（二）缺乏協(xié)調(diào)和整體聯(lián)動機制，網(wǎng)絡(luò)安全防護能力弱

經(jīng)過多年發(fā)展，民航事業(yè)的各種信息系統(tǒng)無論是從數(shù)量還是規(guī)模上都極其龐大且復(fù)雜，需要專門管理、協(xié)同合作。按照民航局的要求，民航企事業(yè)單位基本都設(shè)立了信息網(wǎng)絡(luò)安全管理部門，對各種信息系統(tǒng)專門管理，但是很多單位的安全管理部門缺乏協(xié)調(diào)和整體聯(lián)動，沒有整體規(guī)劃和協(xié)調(diào)，各個信息系統(tǒng)各自為政，系統(tǒng)與系統(tǒng)之間缺乏有效且穩(wěn)固的連接，相關(guān)組織不完善、監(jiān)管不到位、權(quán)責不明確，致使不同時期建設(shè)的信息系統(tǒng)之間的安全防護能力參差不齊，尤其是建設(shè)年代較早的系統(tǒng)，其安全防護能力和安全防護措施落后。因為這些信息系統(tǒng)之間的相互不銜接、不協(xié)調(diào)，并容易發(fā)生單個系統(tǒng)的防護問題，導(dǎo)致多個信息系統(tǒng)的信息泄露和安全問題，進而影響民航業(yè)的安全可持續(xù)運行能力和應(yīng)急響應(yīng)能力。

（三）缺乏專業(yè)信息網(wǎng)絡(luò)安全方面人才，網(wǎng)絡(luò)安全隱患大

雖然民航企事業(yè)單位基本都有自己的信息網(wǎng)絡(luò)安全管理部門，但是隨著民航信息系統(tǒng)建設(shè)的數(shù)量急劇增加，民航企事業(yè)單位大多缺乏具備專業(yè)技術(shù)能力的專職安全負責人員，工作效率低下，對各信息系統(tǒng)的運行維護壓力非常大。出于對人力和財力方面的考慮，很多民航企事業(yè)單位一般會選擇將系統(tǒng)的網(wǎng)絡(luò)安全和運維工作委托軟件系統(tǒng)開發(fā)公司進行，也有的單位會選擇專業(yè)從事網(wǎng)絡(luò)安全運維的第三方公司提供服務(wù)。這樣的模式下，各個廠商只會負責自己所屬系統(tǒng)的安全防護，單位的管理者無法及時了解整個單位內(nèi)部各個信息系統(tǒng)的整體運行和安全防護狀態(tài)。不同廠商由于其技術(shù)能力差異，單位內(nèi)部的眾多信息系統(tǒng)一旦在運行過程中出現(xiàn)信息網(wǎng)絡(luò)安全問題，很難針對信息安全問題進行快速定位和及時排故，發(fā)現(xiàn)和解決安全問題需要耗費大量時間，造成很多時候都是在問題發(fā)生之后才開始亡羊補牢式的補救。而且，因為缺乏具備專業(yè)技術(shù)能力的專職安全負責人員，上級單位對下級單位的信息網(wǎng)絡(luò)安全問題掌握不清，監(jiān)管工作力度不夠，監(jiān)管工作效果不好，無法及時獲悉和洞察信息安全和網(wǎng)絡(luò)安全發(fā)展態(tài)勢。

此外，有些單位還存在系統(tǒng)維護及運維資金不足的問題，在系統(tǒng)建設(shè)階段將信息網(wǎng)絡(luò)安全的工作交由建設(shè)方來承擔，一旦超過系統(tǒng)的免費運維期，將面臨運維費用急劇增長的問題，如果不能夠在經(jīng)費上給予充分的支持，會造成信息系統(tǒng)缺乏定期升級維護，埋下安全隱患，發(fā)生信息網(wǎng)絡(luò)安全問題。

民航企事業(yè)單位信息網(wǎng)絡(luò)安全建設(shè)的建議

為促進民航企事業(yè)單位信息化建設(shè)的順利發(fā)展，為民航高質(zhì)量發(fā)展提供更加穩(wěn)固的網(wǎng)絡(luò)安全保障，我們要精準謀劃，有針對性地解決問題，預(yù)防和減少網(wǎng)絡(luò)安全事件的發(fā)生，加強和改進信息網(wǎng)絡(luò)安全工作。具體建議主要有如下幾點：

（一）高標準編制信息網(wǎng)絡(luò)安全規(guī)劃

規(guī)劃是行動的綱領(lǐng)。民航企事業(yè)單位應(yīng)提高認識，加強防范意識，根據(jù)自身信息化建設(shè)的特點，結(jié)合新形勢下信息網(wǎng)絡(luò)安全事件呈現(xiàn)出的復(fù)雜化、多元化特征，立足單位信息化與網(wǎng)絡(luò)安全現(xiàn)狀，以高質(zhì)量、高標準、高可靠的要求針對信息網(wǎng)絡(luò)安全進行整體規(guī)劃。各企事業(yè)單位應(yīng)摒棄局部整改、輔助配套式的“打補丁”安全建設(shè)模式，以提升安全防護能力為導(dǎo)向推進信息安全和網(wǎng)絡(luò)安全體系規(guī)劃建設(shè)，提升網(wǎng)絡(luò)安全規(guī)劃建設(shè)的整體水平，為信息化建設(shè)的開展保駕護航。

按照民航局對信息網(wǎng)絡(luò)安全工作的要求，民航企事業(yè)單位針對信息系統(tǒng)安全應(yīng)做到“誰主管誰負責、誰運行誰負責、誰使用誰負責”，并根據(jù)不同的階段制定信息網(wǎng)絡(luò)安全短期和長期規(guī)劃，明確信息化建設(shè)方向，確保信息化建設(shè)工作高效及安全推進。在制定規(guī)劃的過程中，應(yīng)當對存在的問題進行深入分析，結(jié)合單位業(yè)務(wù)特點健全信息網(wǎng)絡(luò)安全管理和考核制度，明確責任、優(yōu)化流程，將信息網(wǎng)絡(luò)安全工作的責任落實到位。信息網(wǎng)絡(luò)安全規(guī)劃還需要完善信息安全管理制度，加強用戶管理、網(wǎng)絡(luò)安全檢查和數(shù)據(jù)安全管理、病毒防護等日常網(wǎng)絡(luò)應(yīng)用制度，提高信息網(wǎng)絡(luò)安全管理效果。

（二）健全信息網(wǎng)絡(luò)安全工作標準規(guī)范

民航各企事業(yè)單位要認真執(zhí)行民航局已經(jīng)發(fā)布實施的一系列民航業(yè)信息網(wǎng)絡(luò)安全標準規(guī)范，從安全設(shè)備、安全技術(shù)和安全管理等各個層面確保信息網(wǎng)絡(luò)安全的規(guī)范建設(shè)及信息系統(tǒng)的安全運行，全方位提升單位整體安全防護水平。同時，應(yīng)當根據(jù)企事業(yè)單位自身發(fā)展和特點，建立健全單位內(nèi)部信息網(wǎng)絡(luò)安全規(guī)范和制度，明確內(nèi)部職責并定期對信息網(wǎng)絡(luò)安全工作進行自查，確保信息網(wǎng)絡(luò)建設(shè)依照相關(guān)標準規(guī)范執(zhí)行，從各個層面確保信息網(wǎng)絡(luò)安全標準規(guī)范的建設(shè)，全面提升整體安全管理水平。

（三）加大資金投入和人才培養(yǎng)力度

為了保證信息網(wǎng)絡(luò)安全工作順利、有效和持續(xù)開展，必須要加大網(wǎng)絡(luò)安全經(jīng)費的投入。信息網(wǎng)絡(luò)安全建設(shè)是一項長期系統(tǒng)工程，需要持續(xù)不斷的資金投入。充足的資金投入是安全工作的前提條件。各類信息網(wǎng)絡(luò)安全軟硬件設(shè)備和安全防護系統(tǒng)的搭建、信息系統(tǒng)和安全軟件的升級、規(guī)范標準和管理制度的完善都需要大量經(jīng)費支持，只有持續(xù)的投入資金，才能夠確保安全防護工作的充分和到位。另外，信息網(wǎng)絡(luò)安全的建設(shè)和運維需要大量的專業(yè)技術(shù)人才，民航企事業(yè)單位在借助外部安全廠商力量的同時，逐步建設(shè)并加強自身的信息網(wǎng)絡(luò)安全人才力量，重視信息安全的人才培養(yǎng)，針對本單位系統(tǒng)運維人員和信息安全管理人員進行定期的安全技能和安全理論培訓(xùn)，著力培養(yǎng)本單位高素質(zhì)信息網(wǎng)絡(luò)安全技術(shù)和管理人才。

（四）進一步完善應(yīng)急工作機制

大量統(tǒng)計數(shù)據(jù)和研究證明，絕大部分信息網(wǎng)絡(luò)安全問題都來自于單位內(nèi)部，因此建立內(nèi)部網(wǎng)絡(luò)安全管理制度和加強網(wǎng)絡(luò)安全教育、完善應(yīng)急工作機制、提高網(wǎng)絡(luò)安全意識是增強信息網(wǎng)絡(luò)安全管理水平的重要手段。民航企事業(yè)單位要對單位內(nèi)部的信息網(wǎng)絡(luò)安全工作開展多方面分析研究，充分了解系統(tǒng)的運行狀態(tài)，加強網(wǎng)絡(luò)風險監(jiān)測和評估，完善應(yīng)急預(yù)案，綜合運用成熟的信息網(wǎng)絡(luò)安全技術(shù)，如防火墻、防DDoS（流量清洗系統(tǒng)）、網(wǎng)絡(luò)安全審計、漏洞掃描、入侵檢測等系統(tǒng)，同時結(jié)合各種備份軟件系統(tǒng)，針對核心數(shù)據(jù)庫和應(yīng)用服務(wù)進行備份，建立綜合性、結(jié)構(gòu)化、立體化的信息網(wǎng)絡(luò)安全防護及運維體系。針對民航企事業(yè)單位內(nèi)部的各類軟硬件設(shè)備、網(wǎng)絡(luò)交換機、業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫進行全過程防控，做到事前檢測、事中防御和事后追蹤。根據(jù)重要性的不同將內(nèi)部網(wǎng)絡(luò)進行劃分，把局域網(wǎng)絡(luò)劃分為多個VLAN（虛擬局域網(wǎng)），例如核心區(qū)、應(yīng)用服務(wù)區(qū)、內(nèi)部辦公區(qū)、安全管理區(qū)等，各個VLAN之間根據(jù)安全訪問級別的不同實現(xiàn)安全訪問控制，同時合理部署及配置各種安全設(shè)備，實現(xiàn)立體多層級防護，實時檢測和阻斷入侵和惡意行為。

應(yīng)急預(yù)案應(yīng)針對不同級別的網(wǎng)絡(luò)安全事件逐一制定相應(yīng)的管理和技術(shù)對策，并明確處置和上報機制以及應(yīng)急處置中涉及到的相關(guān)部門和責任人。在完成應(yīng)急預(yù)案的制定后，民航企事業(yè)單位必須要依照不同級別、不同層級的安全事件，定期進行應(yīng)急處置演練。通過應(yīng)急演練可以檢測應(yīng)急預(yù)案的有效性和科學(xué)性，同時也可以查漏補缺，完善安全防護不足，根據(jù)應(yīng)急演練中暴露出來的各種問題對應(yīng)急預(yù)案進行調(diào)整和修改，確保應(yīng)急預(yù)案起到最后屏障的作用。還應(yīng)定期對各種核心業(yè)務(wù)系統(tǒng)和重要應(yīng)用系統(tǒng)的數(shù)據(jù)進行備份，保證信息系統(tǒng)在發(fā)生安全事件后還能夠進行恢復(fù)和還原，最大限度的減少損失。

總之，信息網(wǎng)絡(luò)安全建設(shè)是一項長期的、系統(tǒng)性工程，要把信息網(wǎng)絡(luò)安全工作上升到行業(yè)治理體系和治理能力現(xiàn)代化的層面，以高標準、嚴要求、細措施把民航信息網(wǎng)絡(luò)安全落實到位。將各種安全技術(shù)、安全設(shè)備、安全規(guī)范制度和應(yīng)急預(yù)案進行有機的結(jié)合，構(gòu)建安全可靠、自主可控的信息網(wǎng)絡(luò)安全防護體系，為民航高質(zhì)量發(fā)展保駕護航。