关于构建新时代民航网络信息安全监管体系的探讨
摘要:习近平总书记多次强调网络安全对国家安全的重要影响,在新时代总体国家安全观的框架下,网络安全已经成为国家安全体系的11个基本组成之一。民航作为高度依托于网络和现代信息技术的国家战略性产业,网络信息安全也必然是民航安全运行的基石和底线。当前民航网络信息安全监管工作存在诸多困境和难点,监管工作还难以触及问题核心,事件调查和应急处置能力落后,传统安全风险和新型安全风险叠加,网络安全工作面临的风险挑战前所未有。通过民航重庆地区多年网络安全监管实践成果,探讨构建新时代民航网络信息安全监管体系,确保“十四五”期间顺利推动“智慧民航”建设。
关键词:网络信息安全 监管体系
习近平总书记多次在中央网信座谈会、国安委会议、政治局集体学习时强调网络安全对国家安全的重要影响,在新时代总体国家安全观的框架下,网络安全已经成为国家安全体系的11个基本组成之一。民航信息系统覆盖率与金融、能源等行业接近,信息系统的安全稳定直接影响民航安全生产和运行秩序。当前民航网络信息安全监管工作存在诸多困境和难点,监管工作还难以触及问题核心,监管手段跟不上信息技术发展速度,区块链、边缘计算、工业控制系统、物联网等处于监管盲区,事件调查和应急处置能力相对落后,传统安全风险和新型安全风险叠加,网络安全工作面临的风险挑战前所未有。通过民航重庆地区多年网络安全监管实践成果,探讨构建新时代民航网络信息安全监管体系,确保“十四五”期间顺利推动“智慧民航”建设。
一、民航重庆地区网络安全监管工作概述
民航信息化建设从“七五”起步,到2020年底“十三五”规划结束时已经基本完成民航政务、机场、空管、航司等主要信息系统建设,仅重庆地区21家民航主要企事业单位信息系统数量就达到152个(统计截至2021年1月6日),其中三级系统 19个,二级系统 9个,一级系统 0 个,未定级 124个。黔江机场、巫山机场已经启动定级测评工作,计划2021年内完成。
2020年,重庆机场集团生产调度系统因其对枢纽机场运行秩序影响较大,被民航局评定为关键信息基础设施,实施更高等级的安全防护标准;空管分局4个三级信息系统对民航飞行安全影响最为直接;各基地运输航空公司运行控制系统是否正常直接影响公司飞行计划、调度和运行控制,票务系统影响旅客权益。从重庆民航信息系统分布情况(见表1-1)可以明确看出,民航各类型企事业单位信息系统重要程度及对民航安全和运行的影响大小依次为枢纽机场>空管>运输航空公司(主要是独立121运行的基地航空公司)>航信、航油、配餐、维修等服务保障单位>支线机场>通用航空公司,近20年来各类系统数量增加了80.26%,管理局及监管局所在地网络信息安全监管压力明显增大,但2003年(监管局挂牌成立时间)至今,各监管局编制人数没有增加,网络信息安全监管专业人员仍平均1.2人/个单位,人均监管的信息系统数量增长了近百倍,当前民航网络信息安全监管工作存在诸多困境。
表1-1 重庆民航信息系统分布情况
|
单位 |
单位数量 |
系统数量 |
三级系统数量 |
相比2003年系统增长数量 |
|
重庆机场集团 |
1 |
57 |
5 |
46 |
|
空管分局 |
1 |
30 |
4 |
19 |
|
支线机场 |
4 |
25 |
0 |
25 |
|
运输航空公司 |
7 |
21 |
7 |
18 |
|
服务保障单位 |
8 |
19 |
3 |
14 |
|
|
21 |
152 |
19 |
122 |
(一)民航网络信息安全规章制度不健全
2017年1月,《国家网络安全事件应急预案》颁布实施;2017年6月,《中华人民共和国网络安全法》生效;2019月12月,《信息安全技术网络安全等级保护要求》(GB/T 22239-2019)生效;2020年6月,《中华人民共和国数据安全法》初次审议,国家网络信息安全法规体系已经逐渐建构完成。目前,民航相关规章制度仅有2013年颁布的《民航网络与信息安全管理(暂行)办法》《民航网络与信息安全检查办法》《民航网络与信息安全信息通报办法》等规范性文件,完全无法匹配国家网络信息安全法律法规需求和发展趋势,不能大力支持民航信息化建设,不能给民航网络信息安全管理提供足够的标准和规范,不能解决当前民航面临的严重数据安全和公民个人信息安全威胁,无法给监管一线网络信息安全行政执法、监督检查提供足够的法治遵循和执法指引,部分规定与国家现行法律法规相矛盾,事件分类分级不规范,应急处置流程不科学,特别缺失了大数据、云计算、物联网、数据安全、机载网络系统等重要内容,难以助力民航高质量发展、“四型机场”建设和“智慧民航”战略。
(二)民航网络信息安全监管手段匮乏
网络信息安全监管工作未纳入民航安全监管效能考核,虽然管理局、监管局承担大量民航网络信息安全监管工作和重大活动期间网络信息安全保障任务,但网络信息安全专业未纳入《民航全监管效能考核办法》和相关考核指标。监管一线单位缺少监管专业设施设备,缺少第三方技术力量支持,缺少民航网络信息安全态势感知平台或监管系统,行业监管事项库不够完善。目前部分第三方信息安全公司出于商业目的愿意配合局方开展网络信息安全检查工作,但是这种形式难以制度化、常态化。
(三)民航网络信息安全监管人才稀缺
2003年以来,民航信息系统数量急速增长,但截至2021年3月23日,全国网络信息安全专业监察员人数仅4人,约占监察员总人数的0.16%(见图1-1)。目前基本由综合类、应急类、市场类等专业监察员兼职开展检查,监管资源分配严重失衡;高等教育专业为网络信息安全或计算机的占该类监察员比例仅约26%,专业能力难以达到监管工作要求。
图1-1 全国民航网络信息安全监察员人数和比例
从SES系统数据(见图1-2)来看,2020年全国民航各专业监察员共开展行政检查17648个SID项,其中网络信息安全专业达到4990项,占检查总量28.28%,人均工作量远高于民航行政检查平均水平,且民航网络信息安全行政检查没有可以实施远程文件或远程现场检查的SID项目,民航网络信息安全行政检查任务异常繁重。
图1-2 民航网络信息安全监管量统计
(四)民航网络信息安全事件调查和应急处置能力落后
近年来,民航网络信息安全事件高发频发,部分事件对民航生产运行造成了较大影响。2010年,贵阳龙洞堡机场离港系统故障造成多个航班延误;2016年,在G20峰会召开前1个月,民航二所某工程师因下载木马邮件导致存储的机场设计图纸被境外窃取,对G20峰会保障造成非常被动的影响;2016年,九元航空值机系统长时间故障,导致大量旅客滞留;2020年,中航信(北京)系统故障,导致全国多家机场离港系统同时中断,引起舆论广泛关注;2020年,境外黑客组织扬言对海航集团及旗下航空公司官方网站发起DDoS拒绝服务攻击,勒索比特币。这些案事件对民航运输保障、旅客权益和生产运行造成了不同程度影响,各地区管理局和监管局均及时介入调查处置,但实践过程中,民航网络信息安全监察员难以独立开展事件调查,相关事件只能依赖事发单位自行事后调查,难以及时挖掘事件原因和暴露的深层次问题,发生紧急事件后民航网络信息安全队伍的应急处置能力明显不足。
二、民航重庆地区网络安全监管实践成果
民航重庆监管局自2010年起按照民航局要求逐渐加强网络安全监管工作,承担行业监管模式调整改革试点任务,完成民航西南地区精准监管(远程现场检查)试点工作,规范行政检查方式,制定网络安全检查“两库两清单”,组织辖区企事业单位参加第一届民航网络安全职业技能大赛并获得团体一等奖,对行业立法工作、监管事项库等提出大量意见建议,分享事件调查案例,获得“重庆市网络安全等级保护先进单位”荣誉称号,取得较好的监管实践成果。
(一)探索建立行业专家库
2018年,民航重庆监管局收集了辖区不同类型单位在系统运维、应用开发、安全管理、等级保护测评、风险评估等专业的技术骨干人员名单,经过个人报名、单位推荐、局方审核等程序,聘任了9位专家在西南地区率先组建了行业网络安全专家库,协助开展网络安全事件调查和网络安全演练情况分析评价,探索建立网络安全体系(ISMS),部分缓解了监管检查力量不足的局面。3年来,各单位网络安全专家积极配合开展相关工作,但是由于兼职参与局方工作且缺乏上级政策支持,专家库实践效果不如预期。
(二)将依法行政与网络信息安全监管相结合
2017年《中华人民共和国网络安全法》实施后,重庆监管局编制印发《网络安全法中与民航信息系统相关的法律责任清单》,结合《刑法》、《民法典》等法律中涉及网络安全法则的部分,向辖区企事业单位进行宣贯。特别是将信息系统运营主体的网络安全法律责任与民航生产运行单位职责进行对应,补足当前民航网络安全规章较为落后且缺失罚则的短板,增强相关单位管理人员的网络安全法律责任意识和企事业单位主体责任意识。
(三)加强网络安全事件调查和应急处置能力
2010年来,重庆监管局开展或参与14起网络安全事件调查处置工作,将相关事件的调查处置与机场的值机、安检、行李、航显,航空公司的运控、签派、飞行,空管的通导、情报、气象等紧密结合。民航信息系统专业性强、涉及面广、应用场景复杂、专业交叉多,调查过程中需要其他专业人员参与、翻阅大量民航运行标准,目前亟缺信息安全背景的复合型人才。例如在机场离港系统故障后,需积极调动值机、安检、行李、广播、配载等多业务板块协同联动,结合复合专业的综合应急演练,以加强事件应对处置能力。
三、构建新时代民航网络信息安全监管体系
经过多年实践证明,民航应加快构建以法律法规为根本遵循、以专业队伍为根本保障、以监管基础设施为根本支撑、以精准监管为根本手段的新时代民航网络信息安全监管体系,创新民航网络信息安全监管模式,优化监管资源调配,开放共享民航网络信息安全数据。
(一)加快建立民航网络信息安全规章体系
民航应尽快对接《“十四五”国家网络安全和信息化发展规划》和《网络强国建设行动计划》等战略规划,依据现行法律法规,加快完善行业条例法规等顶层设计,修订民航网络信息安全管理“三个办法”,厘清监管权责边界,优化民航网络信息安全监管事项库,制定民航网络信息安全发展主要指标。针对民航重要业务数据和公民个人信息的安全保护,聚焦数据安全突出风险,参考欧洲《通用数据保护条例》、《民法典》和即将出台的《中华人民共和国数据安全法》,尽快出台民航数据安全和旅客个人信息管理办法。
(二)加快创新民航网络信息安全监管模式
目前全行业信息系统接近5000个,依靠传统人工现场监管模式,不仅效率低下、检查覆盖面小,且耗费大量监管资源。根据工作实践,民航应尽快建立网络信息安全分级分类监管体系。对枢纽机场、大型运输航空公司、信息系统等级较高或发生网络信息安全事件对安全和运行影响较大的单位,定为优先或重点监管等级,打通信息共享和监测预警瓶颈,实施全天候监管;对支线机场、运输航空分子公司、信息系统等级较低或网络安全保障能力较强的单位,定为普通监管等级,鼓励相关单位通过项目外包、与专业公司签订服务协议等方式减轻管理压力;对通用航空公司,应充分落实“放管服”结合政策,鼓励通用航空在确保安全的前提下开发轻型实用信息系统。同时,应尽快探索建立民航网络信息安全非现场监管模式,通过远程监控、大数据等技术,创新现代监管手段,节约监管资源。
(三)加快搭建民航网络信息安全监管支撑体系
民航应尽快完善网络信息安全监察员资质准入机制,建立民航网络信息安全工作人员培训制度,组织通识培训和强化培训,让一线监察员能够基本掌握网络信息安全常识和监管技能,鼓励和调配计算机相关专业人员从事专业监察工作。强化监察员培训学院网络安全师资队伍建设,加大骨干教师培训力度,让骨干教师通过实习带训等方式参与到监管一线的具体工作中。开发线上课程和线下培训基地,进一步开放培训学习渠道。建立并持续完善网络安全专家库,完备网络信息安全人才引进、激励、选拔机制。创新服务模式,探索专业网络信息安全企业与局方合作机制,协助局方建立中长期网络安全发展规划,充分利用专业公司已经具备的网络靶场、攻防基地、专业工程师团队、检查工具、管理系统等人才队伍和专业设施设备,对民航网络信息安全监管和重点时期网络信息安全保障起到实质支撑作用。
(四)加快建设民航网络信息安全监管基础设施
民航应统筹建设网络信息安全监管系统或平台,通过大数据信息共享,将病毒、漏洞预警信息实时共享发布,监测行业重大网络信息安全风险隐患,记录各企事业单位网络信息安全基础台账,同时共享监管一线行政执法实践成果和案例,提高整体监管水平。网络安全态势感知平台是工信部“十四五”重点推动项目,习近平总书记曾提出加快构建全天候全方位感知网络安全态势。建设民航网络信息安全态势感知平台,开展网络异常行为检测,提升数据攻击窃取发现、新型未知威胁和未知攻击组织发现能力,有助于行业网络信息安全互联互通、分析研判、联防联动。航科院、民航二所、院校可以建设民航网络安全态势感知平台,并视情与地方政府或关联产业态势感知平台对接。目前,国内多个省市已经开始建设“网络安全大脑”,通过大数据分析,实现跨区域或行业的联动,满足攻击溯源、应急处置、分析研判等需求。民航应增加经费投入力度,推动一批网络信息安全基础设施落地,支撑“智慧民航”和“四型机场”建设。民航应加快新技术开发并关注新型威胁,包括物联网、云计算、大数据、边缘计算、区块链等,既加大新技术对民航运行效率和旅客服务的支撑,同时高度关注ADS-B、机载WiFi、EMAS等技术面临的安全威胁和风险研判。
(五)加快开放共享民航网络信息安全数据
民航应加快建设行业网络安全漏洞库、病毒库、威胁情报库、工业互联网信息资源库、监管资源库、执法信息共享机制,提升网络安全信息数据的汇聚和关联分析能力,健全完善民航网络空间安全公共数据共享共用机制,为支撑开展网络安全监管提供统一数据来源和底层通用能力。同时,完善民航网络安全信息通报、共享和协作机制,统筹信息收集、通报和评估研判工作,建立网络安全信息发布审查或宣传机制。加强重点单位、重要系统网络安全信息通报预警力量建设,强化在漏洞收集验证、安全风险感知等方面的协同,不断提高网络安全通报预警能力。(作者:张戈)
参考文献
[1]曾驰健. 浅谈民航网络信息安全监管[J]. 中国电子商务, 2012, 000(010):60-60.
[2]姜朝华. "互联网+"时代民航网络安全防御系统研究与设计[J]. 中国科技纵横, 2017(10).
[3]何波. 网络安全态势感知问题探讨[J]. 科学与信息化, 2020, 000(007):P.49-49,51.
