加強(qiáng)民航單位信息網(wǎng)絡(luò)安全建設(shè)的思考

□ 中國(guó)民航管理干部學(xué)院 李 磊/文

當(dāng)前，以移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)為代表的信息技術(shù)超快速發(fā)展。信息通過(guò)技術(shù)將自身從特定的時(shí)空中抽離出來(lái)，實(shí)現(xiàn)了網(wǎng)絡(luò)上的交互，極大地便利了我們的工作和生活。民航是專業(yè)性強(qiáng)、技術(shù)含量高的行業(yè)，其對(duì)信息技術(shù)的倚重不言而喻。一方面，民航業(yè)利用信息技術(shù)極大地改善了旅客出行體驗(yàn)，也大幅度提升了民航的工作效率，另一方面，近年頻繁發(fā)生的網(wǎng)絡(luò)信息安全問(wèn)題也給民航安全高效運(yùn)行帶來(lái)了新的挑戰(zhàn)。因此，迫切要求民航各企事業(yè)單位進(jìn)一步加強(qiáng)對(duì)信息網(wǎng)絡(luò)安全建設(shè)的重視，通過(guò)各種有效手段確保民航信息網(wǎng)絡(luò)安全。本文通過(guò)分析我國(guó)民航企事業(yè)單位信息網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀，梳理其存在的主要問(wèn)題并提出對(duì)策性建議。

民航企事業(yè)單位信息網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀

隨著民航信息化建設(shè)工作的不斷推進(jìn)，民航信息網(wǎng)絡(luò)安全的重要性日益凸顯。民航局對(duì)網(wǎng)絡(luò)與信息安全工作高度重視，明確信息網(wǎng)絡(luò)安全的主要目標(biāo)、基本要求、工作任務(wù)和保護(hù)措施，建立健全信息網(wǎng)絡(luò)安全責(zé)任制，將信息網(wǎng)絡(luò)安全工作納入議事日程。先后制定了《民航網(wǎng)絡(luò)信息安全管理規(guī)定》、《民航網(wǎng)絡(luò)與信息安全檢查辦法》和《民航網(wǎng)絡(luò)與信息安全信息通報(bào)辦法》等規(guī)定，明確提出民航網(wǎng)絡(luò)與信息安全工作按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，實(shí)行統(tǒng)一協(xié)調(diào)、分級(jí)管理、分工負(fù)責(zé)。

經(jīng)過(guò)近幾十年的發(fā)展，民航企事業(yè)單位信息化建設(shè)成果顯著，涵蓋了民用航空運(yùn)輸業(yè)的各個(gè)環(huán)節(jié)，在辦公自動(dòng)化、民航信息系統(tǒng)建設(shè)、內(nèi)部運(yùn)行管理系統(tǒng)建設(shè)等各方面都有了明顯的提升。信息化建設(shè)為民航事業(yè)的發(fā)展提供了源源不斷的動(dòng)力，有效提升了運(yùn)行效率。

隨著信息化建設(shè)不斷推進(jìn)、信息化水平持續(xù)提高，民航業(yè)對(duì)于信息化的依賴程度也越來(lái)越高，但其風(fēng)險(xiǎn)也越來(lái)越大。因?yàn)榘踩录l發(fā)，侵犯?jìng)€(gè)人隱私、損害行業(yè)聲譽(yù)、影響社會(huì)穩(wěn)定，所以，信息網(wǎng)絡(luò)安全不僅事關(guān)行業(yè)安全，更關(guān)系國(guó)家安全。

民航企事業(yè)單位信息網(wǎng)絡(luò)安全建設(shè)中存在的主要問(wèn)題

明晰民航企事業(yè)單位信息網(wǎng)絡(luò)安全建設(shè)中存在的問(wèn)題，對(duì)于促進(jìn)民航各單位在信息安全方面找準(zhǔn)方向、精準(zhǔn)施策具有極為重要的意義。民航企事業(yè)單位信息網(wǎng)絡(luò)安全建設(shè)中存在的主要問(wèn)題主要有如下幾個(gè)：

（一）對(duì)信息網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)能力不足，防范意識(shí)差

雖然經(jīng)過(guò)幾十年的發(fā)展，民航企事業(yè)單位的信息系化建設(shè)取得了可喜的成績(jī)，但是很多單位內(nèi)部仍然存在著僥幸心理，防范意識(shí)不強(qiáng)，對(duì)信息網(wǎng)絡(luò)安全重要性意識(shí)不足等問(wèn)題。民航事業(yè)的信息網(wǎng)絡(luò)安全問(wèn)題，除由于信息系統(tǒng)自身安全漏洞和防護(hù)能力缺失造成的安全問(wèn)題之外，很大一部分信息網(wǎng)絡(luò)安全問(wèn)題的發(fā)生都是由于人為因素造成的。之所以如此，很重要的一個(gè)原因就在于負(fù)責(zé)信息網(wǎng)絡(luò)安全的工作人員在日常工作中的防護(hù)意識(shí)不強(qiáng)，沒(méi)有將信息安全和網(wǎng)絡(luò)安全工作真正落實(shí)到位。因此，當(dāng)發(fā)生網(wǎng)絡(luò)安全問(wèn)題時(shí)無(wú)法做到第一時(shí)間及時(shí)處置，容易造成嚴(yán)重的信息網(wǎng)絡(luò)安全事件，為單位帶來(lái)極大損失。另外，部分民航企事業(yè)單位也缺乏針對(duì)網(wǎng)絡(luò)安全運(yùn)維人員的定期專項(xiàng)培訓(xùn)，運(yùn)維人員的防護(hù)意識(shí)和技術(shù)能力無(wú)法得到持續(xù)地加強(qiáng)和提升，制約了單位信息網(wǎng)絡(luò)安全工作的穩(wěn)定開(kāi)展。

（二）缺乏協(xié)調(diào)和整體聯(lián)動(dòng)機(jī)制，網(wǎng)絡(luò)安全防護(hù)能力弱

經(jīng)過(guò)多年發(fā)展，民航事業(yè)的各種信息系統(tǒng)無(wú)論是從數(shù)量還是規(guī)模上都極其龐大且復(fù)雜，需要專門(mén)管理、協(xié)同合作。按照民航局的要求，民航企事業(yè)單位基本都設(shè)立了信息網(wǎng)絡(luò)安全管理部門(mén)，對(duì)各種信息系統(tǒng)專門(mén)管理，但是很多單位的安全管理部門(mén)缺乏協(xié)調(diào)和整體聯(lián)動(dòng)，沒(méi)有整體規(guī)劃和協(xié)調(diào)，各個(gè)信息系統(tǒng)各自為政，系統(tǒng)與系統(tǒng)之間缺乏有效且穩(wěn)固的連接，相關(guān)組織不完善、監(jiān)管不到位、權(quán)責(zé)不明確，致使不同時(shí)期建設(shè)的信息系統(tǒng)之間的安全防護(hù)能力參差不齊，尤其是建設(shè)年代較早的系統(tǒng)，其安全防護(hù)能力和安全防護(hù)措施落后。因?yàn)檫@些信息系統(tǒng)之間的相互不銜接、不協(xié)調(diào)，并容易發(fā)生單個(gè)系統(tǒng)的防護(hù)問(wèn)題，導(dǎo)致多個(gè)信息系統(tǒng)的信息泄露和安全問(wèn)題，進(jìn)而影響民航業(yè)的安全可持續(xù)運(yùn)行能力和應(yīng)急響應(yīng)能力。

（三）缺乏專業(yè)信息網(wǎng)絡(luò)安全方面人才，網(wǎng)絡(luò)安全隱患大

雖然民航企事業(yè)單位基本都有自己的信息網(wǎng)絡(luò)安全管理部門(mén)，但是隨著民航信息系統(tǒng)建設(shè)的數(shù)量急劇增加，民航企事業(yè)單位大多缺乏具備專業(yè)技術(shù)能力的專職安全負(fù)責(zé)人員，工作效率低下，對(duì)各信息系統(tǒng)的運(yùn)行維護(hù)壓力非常大。出于對(duì)人力和財(cái)力方面的考慮，很多民航企事業(yè)單位一般會(huì)選擇將系統(tǒng)的網(wǎng)絡(luò)安全和運(yùn)維工作委托軟件系統(tǒng)開(kāi)發(fā)公司進(jìn)行，也有的單位會(huì)選擇專業(yè)從事網(wǎng)絡(luò)安全運(yùn)維的第三方公司提供服務(wù)。這樣的模式下，各個(gè)廠商只會(huì)負(fù)責(zé)自己所屬系統(tǒng)的安全防護(hù)，單位的管理者無(wú)法及時(shí)了解整個(gè)單位內(nèi)部各個(gè)信息系統(tǒng)的整體運(yùn)行和安全防護(hù)狀態(tài)。不同廠商由于其技術(shù)能力差異，單位內(nèi)部的眾多信息系統(tǒng)一旦在運(yùn)行過(guò)程中出現(xiàn)信息網(wǎng)絡(luò)安全問(wèn)題，很難針對(duì)信息安全問(wèn)題進(jìn)行快速定位和及時(shí)排故，發(fā)現(xiàn)和解決安全問(wèn)題需要耗費(fèi)大量時(shí)間，造成很多時(shí)候都是在問(wèn)題發(fā)生之后才開(kāi)始亡羊補(bǔ)牢式的補(bǔ)救。而且，因?yàn)槿狈邆鋵I(yè)技術(shù)能力的專職安全負(fù)責(zé)人員，上級(jí)單位對(duì)下級(jí)單位的信息網(wǎng)絡(luò)安全問(wèn)題掌握不清，監(jiān)管工作力度不夠，監(jiān)管工作效果不好，無(wú)法及時(shí)獲悉和洞察信息安全和網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)。

此外，有些單位還存在系統(tǒng)維護(hù)及運(yùn)維資金不足的問(wèn)題，在系統(tǒng)建設(shè)階段將信息網(wǎng)絡(luò)安全的工作交由建設(shè)方來(lái)承擔(dān)，一旦超過(guò)系統(tǒng)的免費(fèi)運(yùn)維期，將面臨運(yùn)維費(fèi)用急劇增長(zhǎng)的問(wèn)題，如果不能夠在經(jīng)費(fèi)上給予充分的支持，會(huì)造成信息系統(tǒng)缺乏定期升級(jí)維護(hù)，埋下安全隱患，發(fā)生信息網(wǎng)絡(luò)安全問(wèn)題。

民航企事業(yè)單位信息網(wǎng)絡(luò)安全建設(shè)的建議

為促進(jìn)民航企事業(yè)單位信息化建設(shè)的順利發(fā)展，為民航高質(zhì)量發(fā)展提供更加穩(wěn)固的網(wǎng)絡(luò)安全保障，我們要精準(zhǔn)謀劃，有針對(duì)性地解決問(wèn)題，預(yù)防和減少網(wǎng)絡(luò)安全事件的發(fā)生，加強(qiáng)和改進(jìn)信息網(wǎng)絡(luò)安全工作。具體建議主要有如下幾點(diǎn)：

（一）高標(biāo)準(zhǔn)編制信息網(wǎng)絡(luò)安全規(guī)劃

規(guī)劃是行動(dòng)的綱領(lǐng)。民航企事業(yè)單位應(yīng)提高認(rèn)識(shí)，加強(qiáng)防范意識(shí)，根據(jù)自身信息化建設(shè)的特點(diǎn)，結(jié)合新形勢(shì)下信息網(wǎng)絡(luò)安全事件呈現(xiàn)出的復(fù)雜化、多元化特征，立足單位信息化與網(wǎng)絡(luò)安全現(xiàn)狀，以高質(zhì)量、高標(biāo)準(zhǔn)、高可靠的要求針對(duì)信息網(wǎng)絡(luò)安全進(jìn)行整體規(guī)劃。各企事業(yè)單位應(yīng)摒棄局部整改、輔助配套式的“打補(bǔ)丁”安全建設(shè)模式，以提升安全防護(hù)能力為導(dǎo)向推進(jìn)信息安全和網(wǎng)絡(luò)安全體系規(guī)劃建設(shè)，提升網(wǎng)絡(luò)安全規(guī)劃建設(shè)的整體水平，為信息化建設(shè)的開(kāi)展保駕護(hù)航。

按照民航局對(duì)信息網(wǎng)絡(luò)安全工作的要求，民航企事業(yè)單位針對(duì)信息系統(tǒng)安全應(yīng)做到“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”，并根據(jù)不同的階段制定信息網(wǎng)絡(luò)安全短期和長(zhǎng)期規(guī)劃，明確信息化建設(shè)方向，確保信息化建設(shè)工作高效及安全推進(jìn)。在制定規(guī)劃的過(guò)程中，應(yīng)當(dāng)對(duì)存在的問(wèn)題進(jìn)行深入分析，結(jié)合單位業(yè)務(wù)特點(diǎn)健全信息網(wǎng)絡(luò)安全管理和考核制度，明確責(zé)任、優(yōu)化流程，將信息網(wǎng)絡(luò)安全工作的責(zé)任落實(shí)到位。信息網(wǎng)絡(luò)安全規(guī)劃還需要完善信息安全管理制度，加強(qiáng)用戶管理、網(wǎng)絡(luò)安全檢查和數(shù)據(jù)安全管理、病毒防護(hù)等日常網(wǎng)絡(luò)應(yīng)用制度，提高信息網(wǎng)絡(luò)安全管理效果。

（二）健全信息網(wǎng)絡(luò)安全工作標(biāo)準(zhǔn)規(guī)范

民航各企事業(yè)單位要認(rèn)真執(zhí)行民航局已經(jīng)發(fā)布實(shí)施的一系列民航業(yè)信息網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范，從安全設(shè)備、安全技術(shù)和安全管理等各個(gè)層面確保信息網(wǎng)絡(luò)安全的規(guī)范建設(shè)及信息系統(tǒng)的安全運(yùn)行，全方位提升單位整體安全防護(hù)水平。同時(shí)，應(yīng)當(dāng)根據(jù)企事業(yè)單位自身發(fā)展和特點(diǎn)，建立健全單位內(nèi)部信息網(wǎng)絡(luò)安全規(guī)范和制度，明確內(nèi)部職責(zé)并定期對(duì)信息網(wǎng)絡(luò)安全工作進(jìn)行自查，確保信息網(wǎng)絡(luò)建設(shè)依照相關(guān)標(biāo)準(zhǔn)規(guī)范執(zhí)行，從各個(gè)層面確保信息網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范的建設(shè)，全面提升整體安全管理水平。

（三）加大資金投入和人才培養(yǎng)力度

為了保證信息網(wǎng)絡(luò)安全工作順利、有效和持續(xù)開(kāi)展，必須要加大網(wǎng)絡(luò)安全經(jīng)費(fèi)的投入。信息網(wǎng)絡(luò)安全建設(shè)是一項(xiàng)長(zhǎng)期系統(tǒng)工程，需要持續(xù)不斷的資金投入。充足的資金投入是安全工作的前提條件。各類信息網(wǎng)絡(luò)安全軟硬件設(shè)備和安全防護(hù)系統(tǒng)的搭建、信息系統(tǒng)和安全軟件的升級(jí)、規(guī)范標(biāo)準(zhǔn)和管理制度的完善都需要大量經(jīng)費(fèi)支持，只有持續(xù)的投入資金，才能夠確保安全防護(hù)工作的充分和到位。另外，信息網(wǎng)絡(luò)安全的建設(shè)和運(yùn)維需要大量的專業(yè)技術(shù)人才，民航企事業(yè)單位在借助外部安全廠商力量的同時(shí)，逐步建設(shè)并加強(qiáng)自身的信息網(wǎng)絡(luò)安全人才力量，重視信息安全的人才培養(yǎng)，針對(duì)本單位系統(tǒng)運(yùn)維人員和信息安全管理人員進(jìn)行定期的安全技能和安全理論培訓(xùn)，著力培養(yǎng)本單位高素質(zhì)信息網(wǎng)絡(luò)安全技術(shù)和管理人才。

（四）進(jìn)一步完善應(yīng)急工作機(jī)制

大量統(tǒng)計(jì)數(shù)據(jù)和研究證明，絕大部分信息網(wǎng)絡(luò)安全問(wèn)題都來(lái)自于單位內(nèi)部，因此建立內(nèi)部網(wǎng)絡(luò)安全管理制度和加強(qiáng)網(wǎng)絡(luò)安全教育、完善應(yīng)急工作機(jī)制、提高網(wǎng)絡(luò)安全意識(shí)是增強(qiáng)信息網(wǎng)絡(luò)安全管理水平的重要手段。民航企事業(yè)單位要對(duì)單位內(nèi)部的信息網(wǎng)絡(luò)安全工作開(kāi)展多方面分析研究，充分了解系統(tǒng)的運(yùn)行狀態(tài)，加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)測(cè)和評(píng)估，完善應(yīng)急預(yù)案，綜合運(yùn)用成熟的信息網(wǎng)絡(luò)安全技術(shù)，如防火墻、防DDoS（流量清洗系統(tǒng)）、網(wǎng)絡(luò)安全審計(jì)、漏洞掃描、入侵檢測(cè)等系統(tǒng)，同時(shí)結(jié)合各種備份軟件系統(tǒng)，針對(duì)核心數(shù)據(jù)庫(kù)和應(yīng)用服務(wù)進(jìn)行備份，建立綜合性、結(jié)構(gòu)化、立體化的信息網(wǎng)絡(luò)安全防護(hù)及運(yùn)維體系。針對(duì)民航企事業(yè)單位內(nèi)部的各類軟硬件設(shè)備、網(wǎng)絡(luò)交換機(jī)、業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行全過(guò)程防控，做到事前檢測(cè)、事中防御和事后追蹤。根據(jù)重要性的不同將內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，把局域網(wǎng)絡(luò)劃分為多個(gè)VLAN（虛擬局域網(wǎng)），例如核心區(qū)、應(yīng)用服務(wù)區(qū)、內(nèi)部辦公區(qū)、安全管理區(qū)等，各個(gè)VLAN之間根據(jù)安全訪問(wèn)級(jí)別的不同實(shí)現(xiàn)安全訪問(wèn)控制，同時(shí)合理部署及配置各種安全設(shè)備，實(shí)現(xiàn)立體多層級(jí)防護(hù)，實(shí)時(shí)檢測(cè)和阻斷入侵和惡意行為。

應(yīng)急預(yù)案應(yīng)針對(duì)不同級(jí)別的網(wǎng)絡(luò)安全事件逐一制定相應(yīng)的管理和技術(shù)對(duì)策，并明確處置和上報(bào)機(jī)制以及應(yīng)急處置中涉及到的相關(guān)部門(mén)和責(zé)任人。在完成應(yīng)急預(yù)案的制定后，民航企事業(yè)單位必須要依照不同級(jí)別、不同層級(jí)的安全事件，定期進(jìn)行應(yīng)急處置演練。通過(guò)應(yīng)急演練可以檢測(cè)應(yīng)急預(yù)案的有效性和科學(xué)性，同時(shí)也可以查漏補(bǔ)缺，完善安全防護(hù)不足，根據(jù)應(yīng)急演練中暴露出來(lái)的各種問(wèn)題對(duì)應(yīng)急預(yù)案進(jìn)行調(diào)整和修改，確保應(yīng)急預(yù)案起到最后屏障的作用。還應(yīng)定期對(duì)各種核心業(yè)務(wù)系統(tǒng)和重要應(yīng)用系統(tǒng)的數(shù)據(jù)進(jìn)行備份，保證信息系統(tǒng)在發(fā)生安全事件后還能夠進(jìn)行恢復(fù)和還原，最大限度的減少損失。

總之，信息網(wǎng)絡(luò)安全建設(shè)是一項(xiàng)長(zhǎng)期的、系統(tǒng)性工程，要把信息網(wǎng)絡(luò)安全工作上升到行業(yè)治理體系和治理能力現(xiàn)代化的層面，以高標(biāo)準(zhǔn)、嚴(yán)要求、細(xì)措施把民航信息網(wǎng)絡(luò)安全落實(shí)到位。將各種安全技術(shù)、安全設(shè)備、安全規(guī)范制度和應(yīng)急預(yù)案進(jìn)行有機(jī)的結(jié)合，構(gòu)建安全可靠、自主可控的信息網(wǎng)絡(luò)安全防護(hù)體系，為民航高質(zhì)量發(fā)展保駕護(hù)航。