民航重要信息数据应急灾备体系建设思考

2021-11-12一教授谢中朋副教授

安全 2021年3期

张波刘一教授谢中朋副教授

(1.首都经济贸易大学管理工程学院，北京 100070; 2.中国科学院计算机网络信息中心，北京100190； 3.中国民航管理干部学院大数据与信息管理研究中心，北京 100102)

0 引言

中国民用航空产业作为国家战略型支柱产业和国民经济的重要组成部分，近10年一直呈现出高速发展态势。随着“建设民航强国”战略的部署、实施，中国民用航空产业发展前景必将更加广阔。民航重要信息数据是保证民航业务安全、实现科学管理、提高运行能力的关键，在民用航空产业高速发展过程中，建立对应的应急灾备体系更加重要。当前民航数据灾备建设处于快速发展阶段，研究民航应急灾备管理流程及灾备中心跨地域合理布局影响要素，对集合组织、技术和管理分不同阶段逐步形成民航重要信息数据灾备体系具有重要的参考价值。

在国外，欧洲航行安全组织为推进“单一天空计划”和“功能空域区块”运行新概念，倾向于对空管机构采取各国共享灾备方式，此方式有助于提高各国运行的透明度，增加安全性并降低成本，缺点是深度依赖国际合作，对参与各方的运行系统相似性要求较高。国内方面，祁伟等构建了大型区域管制中心容灾管理理论体系，提出成本低、可行性高的解决方案，但未提出适用于整个民航领域的灾备体系建议；钱锋研究上海地区自动转报系统异地灾备的可行性，该方案具备实施条件，但具体实现仍需统筹考虑和成本核算。

本文结合国内民航实际运行情况，从民航整体业务数据的角度出发，论证民航数据应急灾备体系建设的必要性，并提出适用于国内民航的重要信息数据应急灾备体系建设方案，可为民航各领域的信息数据灾备建设提供参考，有助于各单位做好顶层设计，统筹规划灾备战略，确保灾备工作有序进行。

1 民航数据应急灾备体系建设必要性

民航业务数据作为民航行业知识资产和信息资源的重要组成部分，是全行业和各企业竞争力的核心内容，一旦关键业务系统数据出现问题不能及时恢复，将会造成巨大损失。

从空管工作的角度看，重要信息数据包含通信、航班动态、航行情报、气象服务、设备运行等多种数据。据统计2019年，全行业完成1 231.13万运输飞行小时，比上年增长6.7%；完成496.62万运输起飞架次，比上年增长5.8%。随着飞行流量的高速增长，航空安全保障业务数据传输的可靠性、稳定性要求也越来越高，重要信息数据异常可能导致安全风险越来越大，一旦系统发生任何硬件或软件故障，重要信息无法及时、准确传递到空中交通管制员，造成的严重后果可能无法想象。

机场作为民航产业链条中的重要环节，一方面航班数据和资源保障数据是其平稳运行的保证；另一方面，随着旅客消费需求升级，机场运营精度提高和数字化技术进步，建立以数字生态为核心的智慧机场已成大势所趋。数据越来越成为支撑机场平稳高效运行、提供安全满意服务的基础，对数据应急灾备保障体系的要求也日益提高。据统计2019年，全国民航运输机场完成旅客吞吐量13.52亿人次，比上年增长6.9%；完成起降架次1 166.05万架次，比上年增长5.2%，机场业务量的增加对数据安全提出更高要求。

航空公司的航班、旅客、飞行等业务数据是生产运行的核心数据资产。据统计2019年，全行业完成旅客运输量65 993.42万人次，比上年增长7.9%，数据驱动成为重塑客户体验、运营模式和生态关系的关键。数据安全对航空公司建立有效的数据治理体系、提升数据质量、提高数据共享开放水平、促进数据资产价值最大化有着举足轻重的地位。

随着物联网、大数据、云计算、互联网+等技术的发展，“智慧机场”迅速成为国内民航机场行业发展的目标。智慧机场在数字机场的基础上，高度集成新一代信息技术并充分运用传感网海量数据存储、数据挖掘、云计算、信息安全等关键技术充分获取机场生产和管理信息并加以分析利用，为民航各级行政主管部门、企业、机场提供及时、准确、有效的信息服务，同时也为旅客和机场客户提供服务，达到提高生产效率、提升客户服务水平、创造价值收益、优化决策质量的目标。在全数字化的管理服务过程中，重要信息数据量会呈现出爆炸式增长。与此同时，各种不可预知的自然灾害(洪水、地震、雷暴等)和人为灾害(误操作、木马病毒等)很可能对这些大量且重要的数据造成破坏。国家已经充分认识到民航数据资产的价值，保障数据安全这一需求随之诞生。同时，航空企业的特殊性，要求其必须做好电子数据容灾能力建设。因此，完善和优化民航重要信息数据，构建应急灾备体系势在必行。

2 构建民航应急灾备体系的基本原则

保障和提升业务连续性是建设应急灾备体系的最终目的和要求，民航业务连续性需要一套完整的、以数据为核心的策略作为构建应急灾备体系的基本原则，为各单位(民航管理部门、航空公司、机场)提供应急灾备体系建设指引，以构建强大的业务恢复能力。

2.1 加大数据应急灾备基础建设投入

近年来，国家在公共基础设施建设领域中投入大量资金，公共管理工作卓有成效。随着“新基建”政策的实施，以新一代信息技术为支撑的信息基础设施建设，以深度应用大数据等先进技术为支撑的传统产业升级融合已成为下一阶段发展的战略重点。大数据被迅速应用在公共管理中，已经形成国家级大数据战略。因此，民航各单位应认识到大数据已经成为应急管理水平的重要影响因素，抓紧建设时机和窗口，加快制定行业大数据战略，加大数据基础建设的投入，为大数据时代的应急打好基础。

2.2 完善民航数据应急组织结构和灾备管理流程

数据应急灾备体系建设是一个复杂的系统工程，一个完整有效的灾备体系框架模型应该是以业务连续运行为核心目标，由组织结构、技术实现、管理流程等多方面要素形成的一个稳定架构，任何要素的缺失都无法满足业务连续运营的需求。跨地域多数据中心的运行支撑格局形成后，必然要逐步建立完善与运行格局相对应的数据保障、业务连续性管理组织机构，这样才能有效保障灾备体系正常运行及核心业务功能有效发挥。管理流程是应急灾备体系的灵魂所在，一套设计合理的管理流程及相应流程管理平台，是保障应急灾备体系正常运转，紧急情况下对异常事件做出快速和有效响应的基本条件。科学合理的管理流程可以使灾备体系管理人员做到有备无患、心中有数、临危不乱，有效保障业务的连续运行和数据安全。优化民航数据应急组织结构和灾备管理流程，形成标准规范，建立起完整的数据灾备治理架构，将有效支撑民航各项业务的稳定高效运行。

2.3 建立完善的信息安全管理机制

大数据时代的信息安全面临着诸多挑战，随着信息不断的被收集、存储和解析，信息被泄露的风险也日益增长。特别是在服务业中，服务商会频繁利用大数据技术收集各类网络终端的用户数据来分析人们的偏好，一方面为用户提供更加便利的服务；另一方面，如此庞大的数据体系难免存在漏洞，很可能被不法分子加以利用甚至组织大规模的破坏活动。面对这些挑战，民航各单位应重视数据操作的规范化和科学化，严格遵照执行标准，提升数据建设质量，分门别类地做好数据管理，加强数据运行管理工作，做好账号动态风险评估，形成完整的数据评估机制，提升系统内信息安全水平。

3 应急灾备体系管理流程的建设

一个完整的应急灾备体系管理流程应包含4个阶段：减灾、备灾、响应和灾后恢复，每个阶段需要解决该阶段的主要矛盾，同时为下一阶段的应急管理做好准备。针对民航重要信息数据的应急灾备体系建设，需要综合组织、技术和管理多个要素，分阶段增强系统应急能力。

3.1 减灾阶段

减灾阶段是应急灾备体系的起点，为达到“防患于未然”的目标，需要充分发掘潜在风险，因此数据监测是这个阶段的主要任务。为更高效地查找风险，需要建立和不断扩充民航应急情报数据库，包括收集灾害事故的前因后果、应急预案、各类灾害风险源、传播源、公众舆情监测等；利用机器学习技术，基于应急情报数据库，不断训练修正计算模型，发现潜在的“事故引线”。此阶段需要在组织和管理方面加强引导，以先进技术为工具，尽可能减少灾难发生。

3.2 备灾阶段

备灾阶段是应急灾备体系的核心，此阶段需要做好应急灾备基础设施建设以及建立一套完整的灾害恢复流程。民航各单位(管理部门、航空公司、机场)应根据自身的实际环境特点，识别出IT系统运行环境中有哪些无法接受的物理威胁或灾害，结合民航业务流程的重要性和时间敏感性，对灾害影响业务连续性的程度做出不同级别的考量，形成相关的评判原则和系统恢复优先级的决策依据。例如空管部门需要考虑哪些数据的恢复对空中交通安全是分秒必争的；航空公司需要考虑关键经营数据丢失的影响；机场需要考虑对飞机起降有重大影响的保障性业务数据安全等。另外，灾备系统的建设不仅包括硬件和软件的搭建，还需有意识地调整人员组成和组织架构，建立符合灾备系统运行要求的运维团队和管理团队，为灾备中心的办公人员提供必要的技术维护、后勤保障、管理决策等支持。

业务专家和技术专家应提前制定好灾备系统切换(回切)实施方案,建立一套全面的、符合民航业务跨部门协作、高可靠性要求的灾难恢复管理流程，覆盖日常管理、变更管理、安全管理、故障管理和灾备及灾备演练。管理流程需要满足可操作性和正确性，综合考虑生产系统和灾备中心的运营情况，以及两地运维技术人员和管理人员的职责分配、能力水平等因素。

3.3 响应阶段

响应阶段是应急管理的战斗阶段，此阶段的目的是尽一切可能减少损失。灾备和灾备演练遵循同一管理流程，各单位(民航管理部门、航空公司、机场)根据提前制定好的灾备系统切换实施方案统一行动。在接到灾害事件通知后，根据应急辅助决策决定是否要实施灾备切换，或做出其他校正决策，同时及时收集、更新实时数据作为应急资源调配的依据，合理做好安排和计划。系统切换完成后业务在灾备中心继续运行，同时业务人员、后勤保障人员都要到位。在此阶段，如何有效组织应急工作、管理协调应急资源，离不开及时准确的辅助信息支撑。

3.4 恢复阶段

这一阶段的工作主要包括应急恢复和评估归档。在灾害结束后，需要进行灾后重建及回退，生产中心恢复运行后决定是否要回切，回切完成后业务回退到原生产中心运行；有序开展数据恢复工作，利用完整的数据信息对灾害的后果和影响做出评估，为之后的应急工作打好基础；将灾害信息加入应急情报数据库，作为之后同类应急事件的重要参考。此阶段需要归纳出更科学的应急流程，找出组织管理漏洞，补足技术缺陷，同时提出更加精准、切实的减灾指导。

4 应急灾备体系的跨地域布局

跨地域多数据中心布局可确保民航信息系统在遭受各种突发性小概率灾害事件，包括自然灾害、重大安全生产事故、社会安全事件和战争等的破坏时使系统及时恢复，支撑民航重要业务系统的正常运行，有效应对各种风险和灾害。灾备中心布局和选址是一个最基础也是最重要的问题。建设灾备中心是为了在灾害事件发生时保障业务连续性，减少损失，如选址失误有可能造成灾备中心自身面临着新的灾难。在灾备中心布局时，需要从以下几个方面通盘考虑：

4.1 自然地理、周边环境和配套设施条件

灾备中心所处地理位置的自然条件是基础且关键的因素，是灾备中心安全的基础保障，应主要考虑自然条件安全，无地震、台风、洪水等自然灾害记录，远离地震带、周边没有重要的政治、军事目标，同时也要考虑周边环境情况，远离粉尘、油烟、有害气体源，周边没有腐蚀性、易燃、易爆物品的工厂、仓库、堆场，无强振源和强噪声源，避开强电磁场干扰等。同时应尽量选择在高纬度地区建立灾备中心，利用较低的环境温度来降低数据中心用于冷却的能耗，同时注意考察周边的电力供应情况和水资源情况，选择水、电、气充足，数据中心运行能耗、土地和人力成本比较低的城市。

4.2 政策、经济和人文环境

灾备中心的选址应充分考虑到土地政策、税务政策和人才政策，合理的政策更有利于灾备中心可持续发展，同时也应该考虑当地经济发展水平和人文发展水平，能够为灾备中心运维的日常需求提供全面保证。灾备中心运行过程中，涉及到应用业务系统、计算机系统、网络系统和存储系统等很多系统工作，需要大量的计算机、网络相关的IT高技术人才，所以最好位于高等教育机构、IT科研机构等人才资源集结地。

4.3 灾备中心地域合理布局

灾备中心距离生产中心一般要求直线距离在800km以上，同时位于不同地震板块，位于不同江河流域，使用不同电网、不同网络线路等，避免灾备中心与生产中心同时遭到破坏。建议基于分布在全国的专用网络，结合地区中心的地域分布，综合考虑地理位置、距离、传输、安全等各方面因素，通过分批部署，在我国不同地域建设多个灾备数据中心，形成全国跨地域分布式的灾备环境，一方面形成生产中心的同城备份，另一方面可形成不同地域中心的互备关系，逐步形成灾备中心合理布局。

总体上，为满足民航重要信息系统灾害恢复的需求，根据目前现状并从信息安全战略的角度，建议起始阶段在北方和南方各建设一个战略灾备基地并建立互备关系，同时逐步加入现有分布在全国各地的中小型数据中心，通过点、面结合的布局，分步骤形成覆盖全国的民航重要信息系统跨地域多数据中心互备的灾害恢复体系，从而确保民航信息安全。