周华明
中国民用航空飞行学院,四川省德阳广汉市,618307
摘要:国际民航组织(ICAO)认为,民航作为重要的基础设施领域,依赖网络技术来提高航空运输的安全性和效率,因此民航机场、航空公司、空中交通管制中心、供应商甚至乘客都可能成为潜在的网络攻击目标,网络安全能力与飞行安全、业务增长和创新同等重要。本文认为,网络安全作为国家战略,已经实施一整套完善的安全管理法律法规和技术标准体系;网络安全作为事关民航高质量发展的重要内容,也必须符合民航安全监管的规范要求。研究网络安全的本质特征,思考民航安全监管体系对网络空间的管理方案,研究民航安全监管与网络安全管理的融合发展,实现民航安全监管体系的全面覆盖、分类管理,是建设民航强国过程中迫切需要解决的重要问题之一。
关键词:民航安全监管;网络安全;融合发展
一、网络安全在民航系统的表征特性
一是网络安全的本质对抗性。网络安全的本质在对抗,对抗的本质在攻防两端能力较量。对抗性来源于产生背景,互联网是绝对人造的,互联网上的一切活动都是人为的,因此网络安全的本质就是人为活动,表现在相互对抗。对抗性来源于人为动机,研究表明,网络安全有三个危险源,即政府支持的情报窃取、利益需要的商业攻击和恐怖组织的网络危害,网络安全就是力量博弈。对抗性来源于技术实施,造成网络安全的主要有硬杀伤技术和软破坏技术,常见的电磁打击、物理摧毁、逻辑炸弹、病毒程序、拒绝服务攻击等,均体现出明显的对抗性。
二是网络安全的发展动态性。动态发展是马克思主义哲学的生命力所在,动态性也是网络安全的突出特点。业务迭代是内在因素。为了满足业务需要,系统总是不停动态更新,代码和部署环境变化导致的内在网络安全威胁也因此始终变化。攻击手段升级是外在因素。攻击方的攻击手段时刻更新,投入的攻击资源不停升级,新的漏洞被发现和应用,导致网络安全始终处于变动中。
三是网络安全的产生必然性。墨菲定律指出:如果有两种或两种以上的方式去做某件事情,而其中一种选择方式将导致灾难,则必定有人会做出这种选择。也就说,事情有变坏的可能,不管这种可能性有多小,它总会发生。同样的,在网络安全领域,网络安全的问题是必然发生的。值得注意的是,人为因素是网络安全的绝对和惟一因素,且攻守双方投入网络安全的资源随着新技术的发展是指数提升的,算法和算力的发展可能覆盖所有的安全漏洞,导致网络安全和传统领域的安全出现区别,它会在短期内、爆炸性发生并由点及面加速蔓延。
二、网络安全对航空安全监管体系提出的新要求
一是网络安全威胁民航运行正常,需要在安全监管体系下加速解决。作为国家战略性行业,民航相关的网络安全,符合了竞争国家、经济犯罪和恐怖活动各自的需求,急需有效措施立即加以阻断。一是网络渗透,研究表明,西方主要发达国家长期对我国进行网络攻击渗透,在民航领域,涉及航空信息技术有关服务,如航班控制系统服务、货运信息服务、结算分销服务、乘客信息服务等,航班动态、飞机轨迹、乘客信息和货运情报等成为网络窃取和攻击的目标;二是网络攻击,比如某大型航空公司网络每天被攻击数千万次甚至十亿次,民航旅客信息、经营活动蕴含巨大的经济价值,攻击者有足够的盈利驱动进行威胁活动;三是网络威胁,航空器一旦发生事故能产生巨大的国内外影响力,恐怖组织也有图谋甚至有能力利用网络安全制造航空安全事故。
二是网络安全拓展民航工作场景,需要在航空安全管理框架下稳健进行。民航对网络安全的认识和行动都较为滞后,网络安全尚未恢复安全管理的本位,缺乏在航空安全监管体系中的定位。
在国家层面,网络安全是按照“牵一发而动全身”的综合治理模式进行管理的,中央网络安全与信息化领导小组统筹,相关部门负责落实,体现了网络安全统筹协调治理的科学方法;在民航层面,网络安全刚刚列入民航“十四五”规划,具体细则尚未出台,需要缩短探索期,尽快进入融合实施阶段,加速完善航空安全监管体系;在实体层面,网络安全通常属于信息部门的工作范畴,更多进行业务操作而非安全管理,急需尽快纠偏,满足网络安全的顶层规划、全员实施的系统化管理要求。
三是网络安全影响民航应急体系,需要在航空安全管理框架下整体治理。应急管理是在应对突发事件的过程中,为了降低危害,达到优化决策的目的,基于对突发事件的原因、过程及后果进行分析,有效集成社会各方面的资源,对突发事件进行有效预警、控制和处理的过程。应急预警复杂。网络安全给民航安全带来了一系列的新挑战,如路由扰乱等攻击技术可能会导致民航运行、指挥、导航、商务等数字化系统的瘫痪,大数据安全和流量监控技术的薄弱直接削弱了民航监管的覆盖能力,民航实体信息技术能力的薄弱。应急控制复杂。由于网络安全发生域的特殊性,除受攻击系统外,其他业务系统也需要启动应急处置联动措施,这也会打破现有应急体系之间的独立性。
三、民航安全监管体系与网络安全管理融合发展方案探索
一是加速组织架构调整,确立航空安全监管体系融合网络安全的管理导向。民航安全监管融合网络安全,应对网络安全整体性的特征,必须在组织架构上统筹安排,按照主业运营管理的模式解决网络安全管理。在民航行业层面,将网络安全工作列入航空安全监管体系,借鉴欧美航空安全关于网络安全方面的内容,尽快制定飞机航电系统、机场网络空间、民航企事业单位信息系统的认证规范(CS)、可接受的合规手段(AMC)和指导材料(GM),达到保护民航运行系统、航空产品和民航设备免受网络安全威胁的最新技术水平;在民航实体的规章方面,将网络安全的管理内容和技术实践内容分开,将管理内容合并到安全监管的规章框架内;在安全实施上,将网络安全列入民航及各实体安委会的工作内容;在绩效考核上,将网络安全作为航空安全绩效考核的内容,提供必要的权重甚至一票否决制;在资金保障上,实现网络安全资源投入的规范和充足。
二是加强安全意识教育,确立航空安全监管体系融合网络安全的问题导向。民航安全监管融合网络安全,应对网络安全对抗性的特征,必须加强联防联控,构建防护体系。网络威胁容易从内部被突破,由于普通用户对网络安全的认识不足,采取的安全防范措施不够,对网络钓鱼等手段防范不足,无法识别伪造的网站和APP、欺骗性的电子邮件、诱导性社交软件,泄露了私人信息,甚至成为民航实体遭受网络攻击的代理。
三是健全监管标准规范,确立航空安全监管体系融合网络安全的目标导向。民航安全监管融合网络安全,应对网络安全相关性的特征,必须在标准规范上明确规划。树立“适度安全,保护重点”的网络安全总体目标。明确重点信息系统的保护标准。网络安全目标太大,以某大型航空公司2021年初的一次网络安全演练为例,上千个受试的IT系统,有180多个系统出现了漏洞。为实现标准规范的系统性、服务的可行性和成本的可控性,必须实施民航网络安全分类分级。明确“零信任”的网络接入规则。零信任网络访问(ZTNA),简单说就是“从不信任,总是验证”。在全民航普及实施信息系统零信任接入规则,研究推广基于区块链的双因子或多因子认证体系。明确国产设备替代方案。目前逆全球化的潮流兴起,大国对抗明显加剧,民航的数字化发展更要严格执行国家信息技术应用创新产业战略,加快实施自主网络安全设备和系统的引进推广。
参考文献
[1]刘捷.浅谈民航空管的安全管理现状与对策[J].现代商业, 2015 (25) :51-53.
[2]郭维江.民航空管安全管理现状与对策研究[J].经营管理者, 2015 (7) :235-236.
[3]向威.民航空中交通安全管理现状、问题与对策研究[J].河南科技, 2014 (22) :230.