信息安全为我国民航保驾护航

网域前沿

Infosec Spotlights

信息安全为我国民航保驾护航

中国信息安全测评中心

白云波 刘孝男

中国民航大学

顾兆军 周景贤

2012年，国务院在《关于促进民航业发展的若

信息系统出现各种故障等，都会使飞行安全受到严重

干意见》（国发〔2012〕24号）中明确指出，民航

威胁，轻者会造成航班正常运作中断，重者会危及

业是我国经济社会发展重要的战略产业，为我国改革

飞行安全甚至国家安全。民航信息安全与飞行安全、

开放和社会主义现代化建设作出了突出贡献。民航与

空防安全具有同等重要地位。

国家安全、经济运行、社会秩序和公众利益息息相关，

民航是国家信息安全保障工作重点行业，行业网络

一、我国民航网络安全保障工作

和重要信息系统是国家信息安全防护的组成部分。

1.加强顶层设计，重视法制化建设

民航信息化正朝着可视化、智能化，交互共享式

在“十二五”期间，民航局十分重视信息安全顶

发展。世界各国民航业都把加快信息化建设作为民

层设计工作，不断完善行业信息安全标准体系，累计

航发展的重要战略。在信息化新技术高速应用于各

出台相关标准规定20余项；以国家信息系统等级保

个行业的大形势下，“智慧机场”、“移动办理业

护定级工作和关键信息基础设施检查作为主要抓手，

务”、“大数据分析”等工程的建设也在民航业内

编制系统名录，研发信息系统管理系统，进一步掌握

轰轰烈烈进行，民航业发展越来越多的依赖于信息

了民航行业网络与信息系统基本情况，为民航信息

化的发展。在民航领域，一旦出现信息系统被攻击、

安全管理工作提供依据；组织开展行业网络安全管

无线电通信系统受到干扰、重要专机信息被泄密、

理规定编制，使得民航信息安全管理工作有法可依。

2018.10

/

109

C

N

I

T

S

E

C

I

网域前沿

nfosec Spotlights

2.转变工作思路，构建多层次管理体系

民航行业采用“走出去”的思路开展网络与信息

安全管理工作，并积极落实国家各项政策措施，建

立民航局、地区管理局和地方监管局三级管理机制，

组织部署年度信息安全检查，持续开展重要时期网

络与信息安全保障工作，建设民航信息安全管理与

测评中心，培养信息安全技术支撑力量，并通过开

展重要网站监测、信息安全事件通报等工作，进一

步提升行业信息安全监管能力。

3.信息共享机制逐渐完善，数据安全成为重

要特征

在行业层面，各服务单位、航空公司、机场等部

门之间存在错综复杂的信息共享，在企业之间，电子

客票系统将中航信、航空公司和代理人紧密联系在一

C

起，中航信、机场和各驻场单位通过离港系统建立信

E

S

T

息共享机制，空中交通管理、机场和航空公司之间也

I

N

通过导航系统成为一体。随着各企事业单位之间共享

C

机制日益成熟，航空公司、机场、电商等敏感信息数

据汇集需求增强，导致行业敏感信息泄漏风险增大，

无论企业还是个人，数据安全都成为焦点问题。同时，

随着移动、云计算和虚拟化技术在民航行业的快速

应用，用户信息化、智能化程度明显提高，继而推

动数据集中化趋势，数据成为用户信息的核心资产，

数据安全自然成为信息安全的高地。

4.整合资源，建设全行业一体化的全网络信

息安全体系

全行业整体规划各单位的信息安全管控、监测机

制，整合各单位现有的技术体系，扩大信息安全体系

覆盖范围，消除盲区，形成统一调度、协同作战的

有效整体，进一步提高全行业信息安全的掌控能力。

向专业化方向发展。业内不断提升信息安全专业

能力，加强信息安全人才队伍培养。通过不断的创新、

完善，行业内形成一套行之有效的信息安全理论体

系，并以之指导实践，有效布局行业信息安全建设

的规划及发展。

向精益化方向发展。信息安全体系在为全行业提

110

/

2018.10

供先进的信息安全保护同时，也应充分考虑成本问

题。民航业的信息安全体系要通过不断优化制度体

系，加强各单位的横向协作，提高技术水平，优化

接口，提升效率，实现降本增效。

向系统化、动态纵深防御方向发展。信息安全保

障逐步由传统的被动防护转向“主动式”的动态纵

深安全防御，信息安全技术正朝着构建完整、联动、

可信、监控、策略调整的全覆盖动态纵深防御系统

方向发展，信息安全产品间自适应联动防护、多层

次防御水平不断提高。

向服务化方向发展。民航信息安全结构逐渐丰富

和完整，正从技术创新、系统建设，向监管、规划、

产品选型、服务并重调整，安全服务逐步成为行业

信息安全保障工作发展的重点。

二、我国民航业面临的信息安全风险

近段时间，国际民航行业由于信息系统故障，导

致航班延误或取消的事件不断发生。2017年5月27

日，英国航空公司因信息系统出现了全球性崩溃，导

致希思罗机场以及盖特威克机场取消了27号下午6

点前的所有英国航空公司的航班。2017年1月22日

晚间，美国联合航空公司由于电脑系统故障，决定

临时停飞所有美国国内航班，导致其航班运营中断

了两个小时。值得注意的是，美联航的骨干网络——

机票预订系统自2012年以来故障频发，较为严重的

一次是2016年8月达美航空发生的IT系统故障，曾

迫使达美取消了约2000个航班，影响运营达数天时

间。技术问题以及对员工培训不足导致航班延误和

取消的情况大幅上升。

笔者为民航业提供信息安全服务多年，现对我国

民航业的信息安全风险进行简单分析：

1.行业信息安全指导框架有待进一步完善。自

2003年起，中国民用航空局相继颁布实施了一系列

的信息安全规范和办法，包括2003年颁布的《民航

网络与信息安全信息通报管理暂行办法》，2013年

颁布《民航网络与信息安全管理暂行办法》、《民

航网络与信息安全检查办法》、《民航网络与信息安

全信息通报办法》。2017年2月20日，中国民用航

空局起草了《民航网络信息安全管理规定（暂行）（征

求意见稿）》，向社会公开征求意见。但这些尚不

能形成具备行业业务特点的信息安全保障标准体系，

还需要完善配套标准规定，来指导行业内信息安全

的发展。

2.信息安全管理和技术体系有待进一步科学化、

规范化。安全技术是信息系统安全控制的重要手段,

信息系统的安全性保障都要依靠技术手段来实现,但

光有安全技术还不行,要让安全技术发挥应有的作用,

必然要有管理的支持。信息安全体系的建立，不是仅

仅依靠几种安全设备的堆砌就能够实现的，还需要

涉及管理制度、人员素质和意识、操作流程和规范、

组织结构的健全性等众多方面。纵观全国，怎样选择

最符合自身信息系统特点的技术实现手段，将既定的

各项策略落到实处，科学有效地进行信息安全防护，

对于不同行业的相同从业者来说，都是一道共同面

对的难题。

3.全国空管一张网信息安全形势严峻，信息安全

可控性需进一步加强。随着空管信息化建设不断发展，

网络规模不断扩大，网络终端及计算机接入设备持续

增加，信息系统应用越来越广泛，信息系统之间互联

互通，我国空管网络已覆盖全国7个空管局和44个

空管分局站，民航空管网络已成为国家重要信息网

络，运维如此一个巨大网络极有可能出现一些意想不

到的安全问题，网络与信息安全面临更大更严峻的挑

战。同时，北上广的机场信息化建设主要从“十五”

开始，首都机场、广州白云机场信息系统集成商为

美国优利公司，上海浦东机场、虹桥机场信息系统

集成商为德国西门子利多富公司。如此关键的工作，

信息系统和设备的安全状况由国外集成商负责，无

法将主动权掌控在自己手中，在信息安全层面带来

的风险不可想象。

4.行业牵扯面巨大，应加强对相关行业的管控。民

航业包含内容丰富，从业务指导单位到技术合作单

网域前沿

Infosec Spotlights

位，从航空公司到机场，从设备生产公司到机票分

销代理，同时，各类安防、可视、生物识别、监控

设备、旅游、代理的公司不计其数，这些相关信息

化企业众多但份额不大，市场占有率不相上下。由

此造成的后果就是，不但没有统一标准可遵循，不

易树立行业信息安全标杆，而且旅客数据链条过长、

数据泄露途径过多、监管部门心有余而力不足。

5.安全漏洞逐年上升，应更加重视技术手段。国家

信息安全漏洞共享平台统计显示，近3年，“民用航

空领域”相关漏洞信息1077条。正如前文所说，信

息安全事故，轻者会造成航班正常运作中断，重者

会危及飞行安全甚至国家安全。

三、我国民航业信息安全的建议及对策

1.从行业的角度来说，民航业信息系统已经同银

行、证券、保险、铁路、电力、海关、税务、广电、

电信等，共同被列为国家关键基础设施和重要信息

系统。作为“8+2”的一员，各个行业都已为自身行

业的发展制定了保障措施和长期规划，正所谓他山

之石，可以攻玉，民航业可以借鉴其他行业的经验

和已有的系列规范，来为自身的长远规划做指导。

（1）加强管理、明确责任，落实规范。充分认

识网络安全保障工作的重要性和紧迫性，将其列入议

事日程，切实加强领导，建立健全信息安全管理体制。

要按照“谁主管谁负责，谁运营谁负责”的原则，明

2018.10

/

111

C

N

I

T

S

E

C

I

网域前沿

nfosec Spotlights

确主管领导，落实责任部门，设立专职安全岗位，

逐级建立信息安全责任制。各单位要实施严格的

信息安全目标考核制和安全责任追究制，建立有

效的信息安全工作奖惩制度，对重大信息安全事

件的责任要严格落实。

（2）制定行业特色信息安全标准，落实信息

安全策略。要从安全技术、管理和人员三个方面

综合支持信息安全保障体系，在符合行业要求的

标准指导下，使用了解行业特点的技术人员和管

理人员，确保行业内安全技术的稳固发展。

（3）信息安全建设同步信息化建设。加快电

子政务网、空管数据通信网和商务数据网的安全

构建，在信息化建设飞速发展之时，要保证信息

安全的建设。千里之堤，毁于蚁穴，即使基础建

C

设再完善，没有匹配的安全保卫，使得基础设施

E

S

T

处于不安全的运行状态，终将造成整个基础设施

I

N

的坍塌。

C

（4）加大人财投入，保证安全可靠。依托民

航科研基地、联合国家级信息安全服务队伍，大

力研究发展国产化安全技术，从信息化建设开始

到结束的生命周期各个环节。并统一行业产品标

准，树立行业标杆。

（5）对分销链严格监管，保护个人隐私。电

信诈骗必须有“信息流”“资金流”“人员流”，

虽然民航业不能对诈骗犯的“资金流”“人员流”

进行管控限制，但是可以对民航乘客的“信息流”

进行监管，通过安全教育、技术监管手段、行政

处罚等方式对分销链进行监管，发现向他人出售

或者提供乘客信息的工作人员严肃处理、发现窃

取或者以其他方法非法获得乘客信息的情况及时

报警。

（6）风险评估和等级保护常态化。将信息安

全作为常态化任务执行，在信息安全法实施的背

景下，在国家大力发展信息安全的便利条件下，

对民航各重要系统进行信息安全检查。

2.从国家的角度来说，民航信息化的发展、

112

/

2018.10

网络安全面临的问题，既包括通用的，也有行业

特有的。在这些问题中，有些问题通过行业、民

航企事业单位的积极努力，可以得到有效解决，

比如人才创新、部门间的协调、安全管理等。同样，

也有许多问题，需要借助于国家相关部门的资源

投入、组织力量来进行保障。主要内容包括以下

几个方面。

（1）开展民航网络安全保护技术研究。民航

网络安全，特别是关键信息基础设施安全保护技

术研究，基本处于刚刚起步阶段，只有少量的人

员和机构投入其中。随着C919国产大飞机的正式

下线、下一代空中交通控制系统的逐步落地、新

一代民航商务系统的持续投入建设，仅仅依靠行

业的投入，已经不能满足行业网络安全的需求，

亟待国家投入资源，建立专门的研究机构，例如

民航关键信息基础设施保护研究中心/实验室等，

并开展机载信息系统安全技术、空中交通管理系

统安全可靠技术及云计算、大数据等新技术在民

航应用安全技术等方面的研究。

（2）争取民航网络安全标准国际话语权。民

航标准化，特别是民航信息相关的标准化，目前

被欧美国家所引领，我国一直处于被动接受阶段，

行业中多部行标，是由国外相关标准翻译而成。

民航信息化要实现安全可靠，争取民航业相关标

准的国际话语权成为必由之路。我国急需建立民

航网络安全标准国际化研究小组并制定民航网络

安全标准国际化进程规划。

（3）加强民航高层次网络安全人才培养机制

建设。民航网络与信息安全人才方面还存在诸多

困境，例如人才培养力量不足、专业人才较少等，

特别是高层次安全人才极度缺乏，远远不能满足

行业可持续发展的需要，行业在培养机制、培养

资源等方面支持不足，建立健全国家层次网络安

全人才交流机制、建立民航专用信息基础设施安

全专业及民航网络安全学院等人才培养机构已是

当务之急。

（本栏责编：冯雪竹）