一、民航業信息安全現狀

國家信息安全頂層設計

黨的十八大以來，中央對信息安全工作尤為重視，中央成立信息安全領導小組，習近平總書記親自擔任組長；習總書記說：“沒有信息安全就沒有國家安全，沒有信息化就沒有現代化”。

2017年實施的《網路安全法》為維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展提供了法律保障，是我國的基礎性法律，是網絡安全法制體系的重要基礎。

民航業信息安全要求

2011年至今，交通運輸部和民航局發布一系列政策，例如：交通部《關于進一步開展交通運輸行業信息安全等級保護工作的通知》以及《民航網絡與信息安全管理暫行辦法》中明確要求按照“誰主管、誰負責”、“誰運維、誰負責”的原則，信息系統的主管部門及運營、使用單位按照等級保護的管理規范和技術標準進行信息安全建設和管理。

民航業信息安全事件持續引人關注

2015年6月21號波蘭最大的國有航空企業——波蘭航空公司，其地面操作系統遭遇黑客襲擊，致使系統癱瘓長達5小時，至少10個班次的航班被取消，1400多名乘客滯留華沙弗雷德里克·肖邦機場。這是全球首次航空公司信息系統被黑的網絡安全事件。

2017年6月浙江省溫州市公安局網安支隊破獲黑客入侵國內航空公司案件，自2016年下半年以來，犯罪嫌疑人林某等人利用各航空類公司網站的漏洞，多次非法侵入50多家網站獲取最新公民航空機票票務信息，現場繳獲了30多萬條民航旅客信息以及登錄各大涉案網站的大量賬號、密碼；并將這些民航旅客信息以每條5元的價格出售，非法獲利達150多萬元。

圖1：民航業網站評價情況

注：2016年1月-2016年底，共42家航空公司（包涵在中國進行備案，并存在中文網站或中文頁面的國外航空公司），其中19家（45%）評價為“良好”；16家（38%）評價為“一般”；7家（17%）評價為“較差”。整體評價為 “一般”。

民航業公司之間投入情況不同

民航公司發展不平衡，民航業各公司之間重視程度不同，少數民航公司信息化和安全建設能力強、投入高，但總體相對于其他行業信息安全水平相對滯后。

民航業公司技術現狀

多數民航業公司對信息安全投入不足，信息安全專業人員儲備不足，相對于其他行業技術力量薄弱；普遍存在以下情況：有設備沒有策略；有安全技術缺少信息安全管理體系；注重規劃建設，輕運維管理；重視硬件設備，輕軟件投入。

二、航空公司安全保障體系建設方法

航空公司整體的信息安全保障體系建設分為三部分：網絡安全技術體系、網絡安全管理體系以及信息安全運維體系，三個體系并不是孤立的存在，而是相互依存，相互促進、協同統一的關系。網絡安全管理體系是實現信息安全技術體系的保障；網絡安全技術體系是實現網絡安全基礎設施和服務，它反過來又支持網絡安全管理流程的改進和優化。網絡安全管理體系為推廣和落實網絡安全運維體系建立了管理環境和流程基礎，而網絡安全運維體系本身也是網絡安全管理中風險管理的成果。網絡安全運維體系的建設對網絡安全技術體系提出要求，反過來，網絡安全技術體系又是網絡安全技術運維的物質實現。網絡安全的技術體系、管理體系與運維體系共同構建起了航空公司全面的安全保障體系，為航空公司業務系統的持續安全穩定運行保駕護航。三個體系間的關系如下圖所示：

圖2：體系相互作用

航空公司的網絡安全技術體系建設充分參考與汲取了美國國家安全局提出的的IATF框架的縱深防御戰略核心思想、美國ISS公司提出的P2DR（policy安全策略、protection防護、detection檢測和response響應）動態網絡安全模型以及等保2.0提出的構建“打防管控”一體化的網絡安全綜合防控體系理念等等國際與國內最為先進的安全保障框架理念，按照“重點系統，重點防護”的原則，在分區分域的安全訪問控制基礎之上，通過建設航空公司集團統一的安全管理中心，具體包括統一的物理環境安全監控平臺、統一的終端安全平臺、統一的網絡安全平臺、統一的主機安全平臺、統一的數據安全平臺、統一的應用安全平臺等“六統一”的平臺建設，實現涵蓋物理、終端、網絡、主機、 數據、應用六個方面，基于等保的“一個中心、三層防護”框架圖如下所示：

圖3：安全管理中心

基于ISO 27001以及國家信息系統安全等級保護安全管理方面的基本要求，開展航空公司網絡安全管理體系的建設。網絡安全管理體系的設計主要從安全組織架構與人員、安全管理制度與安全管理流程三個方面著手，設計符合自身安全管理需求的網絡安全管理體系。在安全組織架構上進行一定的調整與優化，組建包括安全管理與決策、監督層、安全執行層三個層次的合理架構，由上到下確定相應的安全職責崗位，將集團信息安全的責任層層分解， 責任到人， 落到實處，同時加強人員錄用、調動、離崗、考核、培訓教育和第三方人員管理等多方面的人員安全管理。在安全管理制度上，建立起以網絡安全方針、安全策略、安全管理制度、安全技術規范以及流程表單為一體的層次清晰、覆蓋全面、實用高效的網絡安全管理制度體系。安全管理制度體系如下圖所示：

圖4：制度體系

在安全管理流程上，通過建立起組織內部的安全監督檢查與改進機制、風險管理的規范與流程，并在日常工作中注重提升公司全員網絡安全意識的提升以及網絡安全管理人員與技術人員專業安全技能的培訓和教育，在內部形成PDCA的良性循環。航空公司整個網絡安全管理體系的建設經歷了安全現狀調研與差距分析、信息資產識別與風險評估、風險處置與體系規劃、體系建立與試運行、全面推廣與持續改進等幾個階段，體系建設流程如下圖所示：

圖5：體系建設流程

通過發起集團整體安全運維體系建設項目，依托外部專業的安全咨詢能力，依據 IS020000、 ITIL與等級保護有關安全運維要求設計航空公司整體的安全運維管理框架，通過安全運維支撐平臺的建設、安全運維制度與流程三個方面的建設，將內部人員與第三方訪問人員、系統建設、系統運維、物理環境的日常管理規范化，將日常的變更管理、問題管理、事件管理、配置管理、發布管理等電子化、流程化與標準化。安全運維體系框架圖如下圖所示：

圖6：網絡安全運維體系

三、航空公司信息網絡安全階段性建設目標

航空公司管理體系建設目標

為提升航空公司整體網絡安全管理水平和抗風險能力，基于航空公司自身特點，依據ISO27001標準、信息系統等級保護管理要求、信息系統總體控制要求及其他相應的國際標準、國家標準或行業標準，建立符合《中華人員共和國網絡安全法》《民航網絡信息安全管理規定（暫行）》（征求意見稿）相關信息系統安全要求的安全體系。

體系建設包括安全現狀調研、安全風險評估、規劃網絡安全建設發展的藍圖、設計和建立網絡安全管理體系、設計和規劃網絡安全技術架構、體系試運行與落地、持續監督與改進等。

航空公司網絡安全管理體系建設成果

圖7：網絡安全管理體系成果

經過近一階段的網絡安全體系建設和試運行，航空公司建立的完善的網絡安全管理體系：網絡安全組織、網絡安全流程、網絡安全制度。并且結合航空公司現狀制定了網絡安全技術手冊、網絡安全管理手冊、員工網絡安全手冊等安全管理制度。

航空公司IT服務體系建設目標

專業的網絡安全專業咨詢單位根據ISO27001項目方法將基于客戶的業務現狀、對網絡安全的要求及建立網絡安全策略和目標。在客戶的整體業務風險框架內，依據ISO27001新版標準，以風險評估為基礎，根據風險處置計劃建立和實施信息安全管理體系（ISMS）以管理網絡安全風險。并通過建立相關監控體系評估ISMS的有效性，最終將針對監測結果對網絡安全管理體系進行持續改進。

圖8：安全管理體系持續改進

航空公司IT服務體系建設成果

建設基于ISO20000 IT服務管理體系與基于ISO27001信息安全管理體系的同時，依照ITIL最佳運維管理實踐改進航空公司運維與運營模式。依托華為提供的ITIL運維工具對IT服務管理體系進行試運行與落地推廣。

現通過工具已開展事件管理、問題管理、變更管理、服務管理、配置管理、發布管理等流程模塊的試運行，試運行階段，單周工單處理量已經超過400件。取得了良好的效果。

技術體系建設成果

航空公司通過技術體系建設，初步建成了統一的物理環境安全監控平臺、統一的終端安全平臺、統一的網絡安全平臺（SOC）、統一的主機安全平臺、統一的數據安全平臺、統一的應用安全平臺，符合、滿足交通部、民航局和公安部的安全監管要求，實現涵蓋物理、終端、網絡、主機、 數據、應用六大層面安全體系。

總結

經過近階段的建設，結合國家和民航業的相關要求，結合航空公司實際情況，民航業和航空公司做好網絡安全工作建議從三方面入手：1、依據ISO27001建立健全網絡安全管理體系；2、依據ISO20000與ITIL最佳實踐建立健全網絡安全運維服務體系；3、依據IATF框架和等保2.0一個中心三層防護技術框架建立健全網絡安全技術體系；

從以上三個體系建設入手，借鑒國內外優秀安全服務公司行業經驗，同時結合民航業自身安全現狀與業務需求，構建民航業立體多層次的縱深網絡安全保障體系，相信民航業網絡安全工作一定能夠邁向新臺階。