□ 南航北京分公司 胡海青 王珍发/文

当前，我国正处于多领域民航强国建设的新阶段，航空公司需要树立高质量发展的新理念，在新格局框架下积极开展数字化转型，推动数字技术与航空运输业务的融合，以数字化方式驱动公司生产运营、业务流程和管理服务的变革，取得相对竞争优势。数字化建设需要营造良好的数字生态。在宏观上，需要政府建立健全完善的数据要素市场规则和有序的政策环境。在微观上，需要航空公司加强网络安全保护，提升对网络问题的发现和处置能力。习近平总书记强调，安全是民航业的生命线，任何时候任何环节都不能麻痹大意，要求民航主管部门和有关地方、企业要牢固树立以人民为中心的思想，正确处理安全与发展、安全与效益的关系，始终把安全作为头等大事来抓。在数字化时代，航空公司履行好网络安全管理职责，是落实党中央总体部署，践行人民航空为人民的初心使命，保障民航运行安全的必须之举。

发展成果

网络安全是数字化时代的特殊产物，是大数据、云计算、物联网、移动互联网、智能化等数字化技术与传统生产力高度结合后凸显出来的新现象。民航业作为重要的国民经济基础设施领域，对网络技术的使用比较充分，对网络安全比较重视。由于国家法律和民航政策的严格要求，网络安全防护工作取得明显进展。

一是执行了标准化的网络安全法规。航空公司尤其是大型国有航空公司，严格执行网络安全的法律法规，严格落实分级体系。作为非传统安全的重要内容，国家实施了一整套完善的安全管理法律法规和技术标准体系，其中最重要的是2017年6月1日起执行的《中华人民共和国网络安全法》，各航空公司按照网络安全等级保护条例的要求，实施了等级保护2.0规范，如某大型航企，共认证实施了3个等保三级，52个等保二级，对生产运行、营销商务、指挥控制等关键基础信息系统实施了严格保护。

二是确立了规范化的网络安全体系。网络安全防护七分靠管理，关键是体系建设。建立日常运行体系。以某大型国有运输航空公司为例，在组织上建立了三级指挥保障机构：网络安全与信息化领导小组统筹协调网络安全管理，网络安全委员会具体负责网络安全管理，网络安全专家委员会辅助进行网络安全研究决策。健全应急处置体系。民航历来高度重视应急处置能力的建设，形成了以民航局运行监控中心为枢纽、行业各企事业单位共同参与的民航特色应急指挥体系，基层应急救援能力不断提升。以笔者所在公司为例，公司高度重视网络安全应急防护能力建设，定期组织全公司级别的网络安全应急演练，不断提升各业务系统的处置水平。

三是形成了实战化的网络安全能力。网络安全防护三分靠基础，重点是能力建设。运用先进安全防护技术。大型国有航空运输企业，普遍加强了信息安全防护技术手段研发与应用，如入侵检测技术的应用取得了较好的效果，实时判断网络入侵企图，实时开展网络安全监控，尽可能减少网络入侵所造成的损耗与威胁。运用可靠网络安全防护策略。安全策略是指在航空公司网络系统形成的安全区域内，用于所有与安全相关活动的一套规则，信息管理部门作为安全权力机构，描述、实施了普遍的安全策略，如某大型航空公司，其网络安全相关的策略多达上万条，实现了网络安全的安全畅通。

四是树立了普遍化的网络安全意识。航空公司尤其是大型公共航空公司，在政治上与党中央保持高度一致，树立正确的网络安全观。党的十八大以来，党中央高度重视网络安全问题。2018年4月20日，习近平总书记出席全国网络安全和信息化工作会议时发表重要讲话，指出“要深入开展网络安全知识技能宣传普及，提高广大人民群众网络安全意识和防护技能。”成为新时代航空公司网络安全建设的重要指导精神。航空公司积极落实指示批示，努力提升全员的网络安全意识，增强全员网络安全防护技能，努力构建了全民网络安全防线。目前，航空公司全员对日常遇到的诈骗信息和邮件都能做到积极报告并正确应对。

问题趋势

作为国民经济的重要组成部分，国家对民航网络安全建设高度重视，尤其重视大型国有运输航空公司的网络安全防护。由于越来越多的新技术进入网络安全领域，尤其是人工智能的引入，使得网络安全呈现出极度不平稳、快速颠覆的态势。航空公司要实现高质量的网络安全防护，需要对网络安全发生的薄弱之处进行认真分析总结。

一是网络安全意识有待进一步增强。网络安全为人民，网络安全靠人民，在航空公司，这不是一句空洞的口号，而是有着实质的内容。航空公司需要加强全员网络安全观，共筑网络安全防线。由于成本限制，航空公司的网络系统大部分采用的是内外网混合的部署模式。在此架构基础上，安全意识不足的员工在互联网设备上的行为，就可能成为压死骆驼的最后一根稻草。历次演练结果显示，攻击者通过钓鱼攻击某一名员工电脑，从失守的边缘系统开始扩大战果，利用系统的内在相关性逐层突破，最终打穿目标系统甚至整个数字化业务系统，给航空公司造成网络安全威胁。

二是网络安全能力有待进一步提高。据研究报告显示，2020年全年大中型政企机构安全事件攻击类型，排名前三的类型分别是：恶意程序（54.5%）、漏洞利用（27.7%）、钓鱼邮件（4.8%），弱口令、永恒之蓝漏洞仍是大中型政企机构被攻陷的重要原因。网络安全能力不足导致安全隐患巨大，且造成严重后果。在民航各数字化系统中，系统软、硬件漏洞，是网络安全问题的根本原因。缺乏自主可控的安全架构，是网络安全问题发生的重要原因。员工行为不慎导致的木马病毒一定范围内存在，是网络安全问题发生的直接原因。缺乏完善的监测能力，是网络安全问题难以避免的客观原因。应急水平偏低，是网络安全损失扩大的主要原因。

三是网络安全保障有待进一步投入。网络安全的目标达成，需要软件统筹规划、安全设备采购、安全系统投入、人员培训管理等大量资源投入。队伍建设薄弱。举例来说，在四型机场的运营航空公司，在网络安全方面，专职人员几乎都少于两人或不设置，队伍极为薄弱，人员来自IT、市场、保障或运行等多个部门，能力无法确保。专项费用较少。研究显示，目前全国网络安全市场规模约为750亿，而民航这方面的专项基本缺失，推测总投入不超过数亿，在整体支出中比重过低。专项程度较低。某民航监管局法定自查结果显示，辖区绝大部分单位没有划拨网络安全专项预算。

对策建议

网络安全是整体的、动态的、开放的、相对的、共同的，而不是孤立的、静态的、封闭的、绝对的、割裂的，本质在对抗。由于航空业务有较高的社会影响力，旅客信息具有较高的经济价值，很可能成为潜在的网络攻击目标。在这个意义上，网络安全与飞行安全、业务增长和创新同等重要。维护网络安全，必须发挥主体作用和各自优势，完善网络安全管理方式方法，提高网络安全检测、处置和恢复能力，努力实现“两可五不”，即“可追溯、可恢复”，“攻不破、找不到、改不动、带不走、毁不掉”，切实增加网络安全保障，壮大网络安全队伍。

一是在思想上充分重视。思想重视是基础。维护网络安全是全社会共同责任，对航空公司来说，网络安全需要所有部门、各级干部、全体员工共同参与，共筑网络安全防线。提高政治站位。认真学习贯彻党中央关于网络安全的指示批示，严格落实执行网络安全相关的法律法规，切实制定实施网络安全的领导责任制。厘清观念误区。处理好安全和发展的关系，做到协调一致、齐头并进。网络安全可能会影响到业务的便利，但不会影响业务的发展，因为发展不等于便利，两者没有绝对联系。加强教育宣贯。建立多渠道多维度全覆盖的宣贯策略，树立网络安全与飞行安全同等重要的理念。

二是在方法上积极创新。方法创新是策略。网络安全防护，需要在组织领导和安全策略上扎实提高。统筹组织领导。建立高质量网络安全管理体系，建立统筹机制很重要，以南航在北京地区的实践为例，34个在京单位和部门共同组建了南航北京地区网络安全委员会，在网络安全的统筹协调、开放共享上发挥了重要作用，促进了可持续的网络安全。创新管理方式。对网络关系和业务需求进行全面排查，对核心业务系统、核心操作区域和办公区域进行严格区分，对核心人员和普通人员进行严格筛查，实施全面覆盖、最小信任、多因子认证的网络接入策略，是网络安全防护的有效措施。

三是在能力上稳步提升。能力提高是重点。深刻认识航空公司在网络安全一般性业务中的特殊性。构建航空公司特色。飞机的生命周期较长，因此需要合理配置 IT系统更新的周期性，避免影响实现飞行安全；需要确实提升 IT 组件变更的透明性，严格控制所有进出飞机的数据流。提高监测水平。采用智能设备实时监控、记录、审计网络运行，实现网络环境的全过程监控。部署安全算法。要积极研究并实施自主可控的安全算法尤其是加密算法， 对敏感数据进行对称加密，增强数据传递中的加密解密。完善系统架构。对所有信息系统激活单独的隔离策略，在登录端，使用密码、物理证书和手机号进行多因子验证，对于有条件的系统或单位，采用基于区块链的防串改技术。

四是在保障上持续投入。保障投入是要素。加强网络安全资金保障。积极争取局方支持。落实民航局工作要求，持续研发技术手段， 提高管控水平， 结合实际加大网络安全资金投入力度，建立稳定的网络安全经费投入机制， 将网络安全工作经费纳入年度预算，设立专项经费， 重点支持网络安全等级保护、安全防护能力提升、网络安全服务、网络安全应急演练等工作。加强专业人才队伍建设。组建民航网络安全领域的专业型人才、复合型人才、领军型人才队伍，推动航空公司与高等院校的协同创新。加强网络安全生态圈融合。要建立健全行业内外的业务交流机制，充分发挥专业队伍的积极性、创造性，大胆借助外部力量，为航空公司网络安全建设提供技术支撑。