加强民航单位信息网络安全建设的思考

□ 中国民航管理干部学院 李 磊/文

当前，以移动互联网、云计算、大数据、物联网为代表的信息技术超快速发展。信息通过技术将自身从特定的时空中抽离出来，实现了网络上的交互，极大地便利了我们的工作和生活。民航是专业性强、技术含量高的行业，其对信息技术的倚重不言而喻。一方面，民航业利用信息技术极大地改善了旅客出行体验，也大幅度提升了民航的工作效率，另一方面，近年频繁发生的网络信息安全问题也给民航安全高效运行带来了新的挑战。因此，迫切要求民航各企事业单位进一步加强对信息网络安全建设的重视，通过各种有效手段确保民航信息网络安全。本文通过分析我国民航企事业单位信息网络安全建设的现状，梳理其存在的主要问题并提出对策性建议。

民航企事业单位信息网络安全建设的现状

随着民航信息化建设工作的不断推进，民航信息网络安全的重要性日益凸显。民航局对网络与信息安全工作高度重视，明确信息网络安全的主要目标、基本要求、工作任务和保护措施，建立健全信息网络安全责任制，将信息网络安全工作纳入议事日程。先后制定了《民航网络信息安全管理规定》、《民航网络与信息安全检查办法》和《民航网络与信息安全信息通报办法》等规定，明确提出民航网络与信息安全工作按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，实行统一协调、分级管理、分工负责。

经过近几十年的发展，民航企事业单位信息化建设成果显著，涵盖了民用航空运输业的各个环节，在办公自动化、民航信息系统建设、内部运行管理系统建设等各方面都有了明显的提升。信息化建设为民航事业的发展提供了源源不断的动力，有效提升了运行效率。

随着信息化建设不断推进、信息化水平持续提高，民航业对于信息化的依赖程度也越来越高，但其风险也越来越大。因为安全事件频发，侵犯个人隐私、损害行业声誉、影响社会稳定，所以，信息网络安全不仅事关行业安全，更关系国家安全。

民航企事业单位信息网络安全建设中存在的主要问题

明晰民航企事业单位信息网络安全建设中存在的问题，对于促进民航各单位在信息安全方面找准方向、精准施策具有极为重要的意义。民航企事业单位信息网络安全建设中存在的主要问题主要有如下几个：

（一）对信息网络安全重要性的认识能力不足，防范意识差

虽然经过几十年的发展，民航企事业单位的信息系化建设取得了可喜的成绩，但是很多单位内部仍然存在着侥幸心理，防范意识不强，对信息网络安全重要性意识不足等问题。民航事业的信息网络安全问题，除由于信息系统自身安全漏洞和防护能力缺失造成的安全问题之外，很大一部分信息网络安全问题的发生都是由于人为因素造成的。之所以如此，很重要的一个原因就在于负责信息网络安全的工作人员在日常工作中的防护意识不强，没有将信息安全和网络安全工作真正落实到位。因此，当发生网络安全问题时无法做到第一时间及时处置，容易造成严重的信息网络安全事件，为单位带来极大损失。另外，部分民航企事业单位也缺乏针对网络安全运维人员的定期专项培训，运维人员的防护意识和技术能力无法得到持续地加强和提升，制约了单位信息网络安全工作的稳定开展。

（二）缺乏协调和整体联动机制，网络安全防护能力弱

经过多年发展，民航事业的各种信息系统无论是从数量还是规模上都极其庞大且复杂，需要专门管理、协同合作。按照民航局的要求，民航企事业单位基本都设立了信息网络安全管理部门，对各种信息系统专门管理，但是很多单位的安全管理部门缺乏协调和整体联动，没有整体规划和协调，各个信息系统各自为政，系统与系统之间缺乏有效且稳固的连接，相关组织不完善、监管不到位、权责不明确，致使不同时期建设的信息系统之间的安全防护能力参差不齐，尤其是建设年代较早的系统，其安全防护能力和安全防护措施落后。因为这些信息系统之间的相互不衔接、不协调，并容易发生单个系统的防护问题，导致多个信息系统的信息泄露和安全问题，进而影响民航业的安全可持续运行能力和应急响应能力。

（三）缺乏专业信息网络安全方面人才，网络安全隐患大

虽然民航企事业单位基本都有自己的信息网络安全管理部门，但是随着民航信息系统建设的数量急剧增加，民航企事业单位大多缺乏具备专业技术能力的专职安全负责人员，工作效率低下，对各信息系统的运行维护压力非常大。出于对人力和财力方面的考虑，很多民航企事业单位一般会选择将系统的网络安全和运维工作委托软件系统开发公司进行，也有的单位会选择专业从事网络安全运维的第三方公司提供服务。这样的模式下，各个厂商只会负责自己所属系统的安全防护，单位的管理者无法及时了解整个单位内部各个信息系统的整体运行和安全防护状态。不同厂商由于其技术能力差异，单位内部的众多信息系统一旦在运行过程中出现信息网络安全问题，很难针对信息安全问题进行快速定位和及时排故，发现和解决安全问题需要耗费大量时间，造成很多时候都是在问题发生之后才开始亡羊补牢式的补救。而且，因为缺乏具备专业技术能力的专职安全负责人员，上级单位对下级单位的信息网络安全问题掌握不清，监管工作力度不够，监管工作效果不好，无法及时获悉和洞察信息安全和网络安全发展态势。

此外，有些单位还存在系统维护及运维资金不足的问题，在系统建设阶段将信息网络安全的工作交由建设方来承担，一旦超过系统的免费运维期，将面临运维费用急剧增长的问题，如果不能够在经费上给予充分的支持，会造成信息系统缺乏定期升级维护，埋下安全隐患，发生信息网络安全问题。

民航企事业单位信息网络安全建设的建议

为促进民航企事业单位信息化建设的顺利发展，为民航高质量发展提供更加稳固的网络安全保障，我们要精准谋划，有针对性地解决问题，预防和减少网络安全事件的发生，加强和改进信息网络安全工作。具体建议主要有如下几点：

（一）高标准编制信息网络安全规划

规划是行动的纲领。民航企事业单位应提高认识，加强防范意识，根据自身信息化建设的特点，结合新形势下信息网络安全事件呈现出的复杂化、多元化特征，立足单位信息化与网络安全现状，以高质量、高标准、高可靠的要求针对信息网络安全进行整体规划。各企事业单位应摒弃局部整改、辅助配套式的“打补丁”安全建设模式，以提升安全防护能力为导向推进信息安全和网络安全体系规划建设，提升网络安全规划建设的整体水平，为信息化建设的开展保驾护航。

按照民航局对信息网络安全工作的要求，民航企事业单位针对信息系统安全应做到“谁主管谁负责、谁运行谁负责、谁使用谁负责”，并根据不同的阶段制定信息网络安全短期和长期规划，明确信息化建设方向，确保信息化建设工作高效及安全推进。在制定规划的过程中，应当对存在的问题进行深入分析，结合单位业务特点健全信息网络安全管理和考核制度，明确责任、优化流程，将信息网络安全工作的责任落实到位。信息网络安全规划还需要完善信息安全管理制度，加强用户管理、网络安全检查和数据安全管理、病毒防护等日常网络应用制度，提高信息网络安全管理效果。

（二）健全信息网络安全工作标准规范

民航各企事业单位要认真执行民航局已经发布实施的一系列民航业信息网络安全标准规范，从安全设备、安全技术和安全管理等各个层面确保信息网络安全的规范建设及信息系统的安全运行，全方位提升单位整体安全防护水平。同时，应当根据企事业单位自身发展和特点，建立健全单位内部信息网络安全规范和制度，明确内部职责并定期对信息网络安全工作进行自查，确保信息网络建设依照相关标准规范执行，从各个层面确保信息网络安全标准规范的建设，全面提升整体安全管理水平。

（三）加大资金投入和人才培养力度

为了保证信息网络安全工作顺利、有效和持续开展，必须要加大网络安全经费的投入。信息网络安全建设是一项长期系统工程，需要持续不断的资金投入。充足的资金投入是安全工作的前提条件。各类信息网络安全软硬件设备和安全防护系统的搭建、信息系统和安全软件的升级、规范标准和管理制度的完善都需要大量经费支持，只有持续的投入资金，才能够确保安全防护工作的充分和到位。另外，信息网络安全的建设和运维需要大量的专业技术人才，民航企事业单位在借助外部安全厂商力量的同时，逐步建设并加强自身的信息网络安全人才力量，重视信息安全的人才培养，针对本单位系统运维人员和信息安全管理人员进行定期的安全技能和安全理论培训，着力培养本单位高素质信息网络安全技术和管理人才。

（四）进一步完善应急工作机制

大量统计数据和研究证明，绝大部分信息网络安全问题都来自于单位内部，因此建立内部网络安全管理制度和加强网络安全教育、完善应急工作机制、提高网络安全意识是增强信息网络安全管理水平的重要手段。民航企事业单位要对单位内部的信息网络安全工作开展多方面分析研究，充分了解系统的运行状态，加强网络风险监测和评估，完善应急预案，综合运用成熟的信息网络安全技术，如防火墙、防DDoS（流量清洗系统）、网络安全审计、漏洞扫描、入侵检测等系统，同时结合各种备份软件系统，针对核心数据库和应用服务进行备份，建立综合性、结构化、立体化的信息网络安全防护及运维体系。针对民航企事业单位内部的各类软硬件设备、网络交换机、业务应用系统和数据库进行全过程防控，做到事前检测、事中防御和事后追踪。根据重要性的不同将内部网络进行划分，把局域网络划分为多个VLAN（虚拟局域网），例如核心区、应用服务区、内部办公区、安全管理区等，各个VLAN之间根据安全访问级别的不同实现安全访问控制，同时合理部署及配置各种安全设备，实现立体多层级防护，实时检测和阻断入侵和恶意行为。

应急预案应针对不同级别的网络安全事件逐一制定相应的管理和技术对策，并明确处置和上报机制以及应急处置中涉及到的相关部门和责任人。在完成应急预案的制定后，民航企事业单位必须要依照不同级别、不同层级的安全事件，定期进行应急处置演练。通过应急演练可以检测应急预案的有效性和科学性，同时也可以查漏补缺，完善安全防护不足，根据应急演练中暴露出来的各种问题对应急预案进行调整和修改，确保应急预案起到最后屏障的作用。还应定期对各种核心业务系统和重要应用系统的数据进行备份，保证信息系统在发生安全事件后还能够进行恢复和还原，最大限度的减少损失。

总之，信息网络安全建设是一项长期的、系统性工程，要把信息网络安全工作上升到行业治理体系和治理能力现代化的层面，以高标准、严要求、细措施把民航信息网络安全落实到位。将各种安全技术、安全设备、安全规范制度和应急预案进行有机的结合，构建安全可靠、自主可控的信息网络安全防护体系，为民航高质量发展保驾护航。