摘要：民航业是一个“高科技、高风险、高投入”的行业，其全面安全管理状况将直接影响公共安全和国家安全。随着民航业的数字化革命，如何管控网络技术带来的潜藏风险及安全威胁，已成为当前世界民航业最关注的热点研究课题之一。本文通过对比我国与欧美发达国家的民航网络安全规章建设现状，分析我国民航网络安全规章建设存在的主要问题，并提出相关建议。 

　　一、 背景及选题意义 

　　网络技术的高速发展促进了经济发展与社会进步，也带来了新的安全风险和挑战。仅2019年，检测发现仿冒我国境内网站的假网页达8.5万个,我国境内检测到感染恶意程序的主机数量高达约582万台。面对严峻的网络安全形势，我国在2016年12月27日发布了《国家网络空间安全战略》，在2017年6月1日施行《中华人民共和国网络安全法》（下文简称《网络安全法》）。 

　　世界民航业正趋于完全数字化，网络技术已经应用到民航业各关键服务和生产环节，从传统的ATM（空中交通管理）、销售、离港及财务系统，到现在的电子货币支付、飞行机组签派、航班计划、飞机维护以及货仓装载。近年来，网络技术也逐步应用于飞机上，如IP数据通讯、空地互联、卫星接入以及使用无线数据网络更新飞行计算机软件等。 

　　图1-1  飞机信息通讯网络 

　　民航网络安全威胁和攻击不仅来自外部，也来自内部。2014年9月，FAA雇员纵火烧毁芝加哥ATC中心关键通讯设备，导致该中心2周无法工作，造成上千航班延误、取消，损失高达3.5亿美金； 2018年9月，英国布里斯托尔机场航班信息显示网络系统遭勒索攻击，机场工作人员不得不使用白板和记号笔发布航班信息。 

　　民航业的数字化革命提高了工作效率并增强了客户体验，同时网络技术隐藏的风险也带来了新的安全威胁，面对已经产生恶劣后果的网络安全问题，民航单位虽然已经意识到提高网络安全的必要性与紧迫性，但仍有部分民航单位没有采取具体措施全方位管理网络安全。究其原因，与民航业缺乏具有可操作性的相关网络安全规章、实施指南以及行业标准有一定关系。民航单位担心先行构建的网络安全管理体系有可能与未来颁布的规章制度或行业标准冲突，所以选择观望等待。 

　　网络安全管理涉及专业范围极广，本文以民航网络安全规章体系为研究对象，通过对比欧美发达国家的相关规章体系，分析我国民航网络安全规章建设存在的主要问题，尝试提出改进建议。 

　　二、 欧美民航网络安全规章体系建设现状 

　　(一) 战略规划明确，成立专项管理组织 

　　从图2-1可以看出， ICAO、欧盟以及美国从2010年就开始立项研究民航网络安全课题，成立网络安全专项管理机构，公布民航网络安全建设战略，加快规划建设民航网络安全管理体系，以应对已有的和未来可能产生的网络安全威胁。 

　　图2-1  欧美民航网络安全战略规划时间轴 

　　注：信息来源于faa.gov、transportation.gov、easa.europa.eu及icao.int 

　　(二) 行业规章体系完善，指导性及可操作性强 

　　欧美发达国家均已对网络安全立法，其民航管理机构也随之跟进，建立了行业网络安全规章体系，用于指导及规范本国民航单位实施网络安全管理。 

　　以英国为列，从图2-2可以看出，在欧盟及英国颁布网络安全法规之后，英国交通部及民航管理局（简称CAA）在2018年及2019年密集出台了配套行业规章和实施指南。 

　　图2-2  英国民航网络安全规章颁布时间轴 

　　注：信息来源于faa.gov、transportation.gov 

　　CAA在CAP 1753《民航网络安全管理流程》中，规定了民航网络安全管理的基本原则和各民航单位职责，明确了监督管理程序，推荐运用SMS风险管理方法实施网络安全管理。CAA随后颁布了《网络安全关键设备系统识别模板》、《民航网络安全评估框架》及CAP1850《民航网络安全评估框架指南》，详细提供了民航网络安全管理评估方法、实施标准及规范。英国民航网络安全配套规章颁布及时，构建了完整的规章体系，而且具有较强的可操作性，有利于本国民航各行业科学合理的管理网络安全，也有利于局方审核监管。 

　　(三) 积极研究飞机网络安全适航管理规章 

　　网络技术改变着飞机和地面的联系方法，除了传统的VHF/HF/Datalink方式以外，飞机已能够通过卫星通讯及地面基站接入互联网。如图2-3，1998年飞机和外界只有4个信息接口， 2018年信息接口已经增加到了13个。美国“911事件”证明飞机是恐怖分子的重要攻击目标，现代的互联飞机又成为网络攻击者的诱人猎物，采用隔离方式维护飞机信息通讯安全的日子已经过去，现在必须要研究有效的管控措施，以确保联网飞机的安全。 

   图2-3 1998年及2018年飞机对外信息接口 

　　FAA于2015年9月30日颁布AC 119-1《飞机网络安全适航性及操作管理规定》，建议航空公司评估飞机构型是否涉及网络安全，如涉及应实施飞机网络安全措施；于2016年8月22日批准颁布《飞机网络信息安全工作组ASISP报告》，提出8项规章修订措施，要求修订涉及飞机网络安全的相关适航管理法规。 

　　EASA与FAA保持同步，于2016年5月17日颁布RMT.0648 《飞机网络安全Aircraft Cybersecurity》，建议修订飞机初始适航及持续适航管理相关法规；并于2019年2月22日颁布NPA 2019-01 《飞机网络安全Aircraft Cybersecurity》，提出具体的法规修订意见并限期实施颁布。 

　　三、 我国民航网络安全规章体系建设的不足  

　　通过对比欧美发达国家的民航网络安全规章体系，分析我国民航网络安全规章体现建设现状，得出以下结论： 

　　(一) 规章体系不完善 

　　1. 规章制度更新不及时 

　　我国民航业目前执行的网络安全管理制度仅有1个，为2013年5月17日颁布的管理文件MD-PE-2013-01《民航网络与信息安全管理暂行办法》。2017年2月20日，交通部曾公开征求《民航网络安全管理规定（暂行）》意见，但至今未正式颁布。当前的管理制度颁布距今已经过去11年，不仅没有依据2017年颁布的《国家网络安全法》进行更新，内容和要求也不适应当前的网络安全新形势。 

　　2016年9月，民航局印发《民航“十三五”立法规划》。在2017年1月22日召开的民航局局务会中，会议要求在“十三五”立法规划的第一年即2017年开展“网络安全等直接关系航空安全制度的完善”工作。依据目前网络安全规章建设状况，规章制定进度落后于规划。值得注意的是，民航局也未将网络安全规章制定工作纳入2020年立法工作计划（参考民航函【2020】49号《关于印发民航局2020年立法工作安排的通知》）。 

　　2. 行业标准不健全 

　　迄今为止，全国信息安全标准化技术委员会共颁布网络安全国家标准313项，在编国家标准116项，民航局共颁布网络安全行业标准17项。从图3-1可以看出，2015年开始我国密集颁布网络安全国家标准，2018年高达58项， 2019年和2020年也达到30多项。民航局在2015年颁布网络安全行业标准3项，在2017年《网络安全法》施行后，民航局仅在2018年颁布了1项行业标准MH/T 0069-2018《民用航空网络安全等级保护定级指南》，内容仅涉及网络安全等级保护，民航网络安全行业标准制定进度明显落后。 

　　图3-1  2015年至今国家标准与民航行业标准颁布数量 

　　注：数据来源于www.tc260.org.cn及www.caac.gov.cn 

　　为便于社会大众掌握和使用大量国家标准，我国在2020年发布了《网络安全国家标准应用指南（2019版）》。民航局尚未依据行业特点，发布适用于民航业的国家标准解读或应用指南，不利于民航各单位执行适用的国家标准。 

　　3. 应急管理制度需要评估修订 

　　2020年2月3日，中共中央政治局常委会召开会议，针对疫情应对中暴露出来的不足，要求健全国家应急管理体系，提高处理急难险重任务能力。民航业的生产环节结合紧密，如果一个关键生产节点受到网络攻击，会影响到一定区域范围的生产运营，甚至造成重大安全事故，这就更要求民航各单位做好网络安全应急管理，不仅要做到安全事件发生后的应急反应和事故处置，更要完善以风险管理为基础的预防、监控及预案准备等事前管理环节。 

　　中央网信办于2017年1月10颁布《国家网络安全事件应急预案》，同年6月2日，《国家网络安全法》生效。我国民航业现行有效的网络安全应急管理制度分别为2008年3月17日颁布的MH/T0028-2008《民用航空信息系统应急管理规范》及2013年5月17日颁布的MD-PE-2013-01《民航网络与信息安全管理暂行办法》（第五章 “应急管理与处置” ）。从颁布时间上反映出我国民航业应急管理规章没有依照国家及行业最新法规制度进行更新，需要立即研究评估，视情修订。 

　　(二) 网络安全管理职责不匹配 

　　我国民航的网络安全管理职责在民航局人事科教司，由地方局综合办实施地方监管工作，同时民航局将网络安全建设纳入到“民航科技发展十三五规划”中。可以看出，民航局更多是将民航网络安全作为科技科研项目来看待，而非安全管理。 

　　FAA和CAA将网络安全管理划归为安全管理范畴，IATA也认为，现代民航的网络应用已经不仅仅是IT部门的职责，涉及相关网络安全的关键生产环节都应进行相应的安全风险管理。IATA 在《Aviation Cyber Security Toolkit 2nd Edition》中描述，网络安全管理是民航安全管理的重要组成部分之一，需依托于现代民航安全管理体系，使用SMS管理实施风险识别、分类、评估、制定措施以及实施监控。 

　　网络攻击是动态的，新网络技术可能带来的威胁是未知的，IT技术是应对网络攻击及威胁的预防和保护措施之一，实施现代安全风险管理才能全面有效地对网络安全进行实时管控。 

　　(三) 对飞机网络安全监管规章落后 

　　我国目前尚未颁布飞机网络安全相关适航管理规章。 

　　四、 完善我国民航网络安全规章体系的建议 

　　(一) 确定民航网络安全管理职责 

　　1. 明确民航网络安全管理属于民航安全管理职责范畴，建立网络安全管理专项，如同管理飞行安全、飞机维护安全一样管理民航网络安全。 

　　2. 建议民航局设立专项管理组织机构，主持相关规章、应急管理制度、指南及行业标准的起草制定，负责监督检查管理。 

　　3. 民航单位设置首席网络安全管理专员，负责网络安全管理工作，向安委会主任报告、负责。在涉及网络安全工作的关键生产环节中，设立专职或兼职网络安全专员，落实日常网络安全管理职责，通过现有的安全风险管理框架实施安全风险及质量管控。 

　　(二) 确定网络安全基本管理框架： 

　　1. 风险管控： 

　　（1）关键系统设备甄别：识别关键网络设备及系统。 

　　（2）风险评估：识别、评估及理解网络安全风险，建立全面的安全风险管控。 

　　（3）供应链防控：识别并管理来自第三方产品的网络安全风险。 

　　2. 防止网络攻击 

　　（1）规范工作程序：建立网络安全工作程序，规范安全作业。 

　　（2）培训与授权：对接近关键网络设备、系统的人员按照安全级别进行对应网络安全管理专项培训及工作授权管理。 

　　（3）数据安全：定期备份重要数据，持续保护重要数据流转。 

　　（4）系统安全：保护重要网络系统免受网络攻击。 

　　3. 监测网络安全事件 

　　（1）安全监测：确保安全防御措施实时有效，能够持续监测网络安全事件或疑似网络安全事件。 

　　（2）持续跟踪：持续跟踪评估现有安全措施的效果。 

　　4. 建立网络安全应急管理程序及机制 

　　针对网络安全，建立包含“预防与应急准备”、“监测与预警”、“应急处置与救援”以及“事后恢复与重建”四个环节的全流程应急管理程序及机制。 

　　5. 事件跟踪 

　　分析研究已发生的网络安全事件，修复网络安全漏洞，强化网络安全管理机制。 

　　(三) 完善行业配套规章 

　　将网络安全规章制度建设列入《民航十四五立法规划》，建议按照图4-1所示，完善行业配套规章，完成民航单位初始符合性审核。 

　　图4-1  民航网络安全配套规章制定流程 

　　1. 成立规章制定专家组 

　　建议民航局牵头，由各相关行业专家组成民航网络安全规章制定工作组，按照图4-2所示的专业职责范围细分为专业小组，每个小组配置IT及安全管理专业人员，负责对应专业的规章编制。 

　　图4-2  规章制定工作组专业职责划分 

　　2. 编制配套规章 

　　整理、解读相关国家网络安全法律、配套规章以及相关行业标准，根据民航业特点，编制民航网络安全管理制度、应急管理制度、行业标准规范及实施指南，帮助民航各单位解读众多的国家及行业网络安全法规政策及标准，指导及规范各民航单位履行网络安全管理职责。 

　　3. 征求意见、修订及颁布 

　　颁发网络安全管理制度、应急管理制度、行业标准规范及操作指南，征求各民航各单位意见。依据反馈意见，修订并颁布。 

　　4. 民航单位实施 

　　要求民航各单位依据相关法规、政策、操作指南及行业标准，建立网络安全管理机制，完成相关手册、应急管理制度、岗位职责、工作程序规范及培训授权等符合性工作。 

　　5. 符合性声明及抽审 

　　按照“谁主管谁负责、谁运营谁负责”的要求，民航各单位在完成第4步工作后，向地方管理局上报本单位满足民航网络安全规章的符合性声明，内容至少包括按照相应规章完成的具体工作。地方监管局对本地区民航单位进行抽查审核，对涉及专业网络技术的软硬件、系统及第三方服务的审核工作，可联合或委托院校及技术权威研究机构执行。 

　　6. 规章更新及日常监督审核 

　　民航网络安全规章需要依据国家相关法规、制度、行业标准、监督审核结果以及民航单位信息反馈进行评估，视情修订，对民航单位网络安全管理的监督审核也需要常态化。 

　　(四) 加快飞机网络信息系统监管规章的研究和颁布 

　　参考EASA和FAA对飞机通讯、互联的法规规章，组织飞机/设备制造商、空管及航司一起，对飞机网络信息系统建立初始适航审定标准，建立运营、维护规范及持续适航审定标准。关注飞机制造商网络信息新技术的应用，视情颁布相关适航管理文件。 

　　(五) 积极开展国际合作 

　　网络威胁和攻击跨越了地域国界的限制，世界民航都意识到加强合作、共享安全信息以及共同制定国际行业标准的重要性和迫切性。建议民航局积极与ICAO、IATA、EASA（欧盟）及FAA（美国）等组织建立信息共享机制（涉密信息除外），积极参与国际民航行业规范与标准制定，适时修订民航网络安全管理规章，指导民航业及时应对新的网络安全威胁。 

　　(六) 建立民航网络安全信息共享制度 

　　民航各单位构建的网络安全体系不可能完全防控内部及外部的网络威胁及攻击，需要民航业各单位共享最新的网络安全信息，及时分析评估安全威胁，及时采取安全管控措施，修补安全漏洞。我国各单位可使用现有的安全信息报告制度及系统，在SDR报告系统中建立安全信息报告专项，同时对各单位开放权限，共享信息报告及有效的预防整改措施。对于高级别风险或者已产生严重后果安全事件，借助科研院校技术力量，共同研究制定规避、减缓及解决措施，并予以推广。 

　　五、 结语 

　　要确保民航业的安全发展，必须要有完善的行业规章来支撑。“敬畏生命、敬畏规章、敬畏职责”，敬畏规章是民航安全发展的基石，建立体系化、科学化的规章是民航安全发展基石的基石。网络安全威胁不是新事物，但飞速发展的网络技术使得网络安全威胁瞬息万变，建立完善的网络安全管理规章体系是应对民航网络安全威胁的根本基础。 

　　本文旨在对比欧美国家民航网络安全管理规章现状，探明目前我国民航网络安全规章体系建设存在的不足，论证我国民航业需要立即完善网络安全规章体系的重要性和紧迫性，尝试提出相关改进建议，为民航业完善网络安全规章体系建设提供参考依据。（作者：徐康 春秋航空股份有限公司） 

　　参考文献 

　　［1］360法律研究院.中国网络安全法制绿皮书（2018）.［M］.法律出版社.2018 

　　［2］国家计算机网络应急技术处理协调中心.2017年中国互联网网络安全报告.［M］.人民邮电出版社.2018 

　　［3］中国电子信息产业发展研究院 黄子河.2018-2019年中国网络安全发展蓝皮书.［M］.电子工业出版社. 2019 

　　［4］国家计算机网络应急技术处理协调中心.2019我国互联网网络安全态势综述.［R］.www.cert.org.cn. 2020 

　　［5］IATA. Aviation Cyber Security Toolkit 2nd Edition.［M］，2015 

　　［6］皮特·库珀 韩晓涵.航空网络安全:提升与减负. ［J］.信息安全与通讯保密. 2018年2月期.P51-P73 

　　［7］美国交通部政策资料. www.transportation.gov 

　　［8］FAA政策资料. www.faa.gov 

　　［9］ICAO政策资料. www.icao.int 

　　［10］IATA政策资料. www.iata.org 

　　［11］CAA政策资料. www.caa.co.uk 

　　［12］EASA政策资料.www.easa.europa.eu