民航中小机场网络安全现状及相关建议
2022-11-26昆明航空有限公司朱涛
□昆明航空有限公司 朱涛/文
近年来我国中小机场发展迅猛,呈现出数量越来越多、运量越来越大、分布越来越广、增速越来越快等特点,在民航运输中的作用越来越重要,对区域经济发展贡献更加凸显。中小机场的持续快速发展,大大完善了我国现代化机场网络体系,有力支撑了我国现代综合交通运输体系,提高了民航运输的贡献度、融合度和便捷度。同时,民航局提出要进一步完善中小机场安全监管体系,确保中小机场安全运行。
随着中小机场运量的增加,信息化手段已经成为其重要的运营工具,其一旦受到攻击或破坏,也将会给机场的业务运行带来极大的影响。如恶意代码导致某小型机场信息系统中断30多小时,严重影响了机场的运行效率;某机场广告屏出现涉恐言论,导致多架航班复检等。因此,中小机场的网络安全工作不能掉以轻心。通过调研发现我国中小机场在网络安全方面,各单位的整体网络安全意识和重视程度显著提高,网络安全防护措施和手段极大改善,管理制度及落实情况进一步完善和强化,网络安全整体状况良好。但是也发现一些问题需要引起高度重视,如网络安全防护措施不完善、网络安全人才匮乏、网络安全应急能力不足等,作为各参与方应对这些问题采取针对性的措施,有效提高中小机场的网络安全防护能力。
民航中小机场网络安全现状
相对于大型机场,中小型机场的信息系统数量较少,规模较小。调研发现,目前中小机场网络安全面临以下问题:
(一)网络安全人才匮乏
网络安全是一个专业性非常强的工作,不仅需要了解国家、行业的相关政策法规、技术标准等,还需要掌握一些信息化和网络安全相关知识,同时还需要具备一定的管理能力,对人员的综合能力要求比较高。但是目前民航中小机场的网络安全人员不仅面临能力不足的问题,其人员数量就不能满足工作需求,相关人员身兼多职,严重地制约了其网络安全工作的开展,具体表现为:
1.网络安全政策法规、标准掌握不到位,对网络安全工作要求理解不透彻。《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》以及《党委(党组)网络安全工作责任制实施办法》等法规条例陆续出台,但是对于中小机场来讲没有专门的部门或人员能够对其进行全面的解读,从而也无法有效指导本单位开展网络安全相关工作,导致在网络安全工作中存在畏难情绪和避责心态。具体体现在网络安全管理制度不完善、网络安全管理制度不落地,缺乏网络安全整体指导等问题。
2.网络安全人员技能不足。通过检查、调研发现,民航各中小机场普遍存在网络安全技术人员能力不足的问题,具体体现在如不清楚网络安全日常运维工作内容、不能对各类安全日志进行审计分析,导致不能及时发现和处置异常事件等方面。造成该方面问题的主要原因如下:网络安全人员薪资问题,目前具备一定能力的网络安全专职人员在人才市场的薪资都处在中高水平,小机场无法承担人员成本,网络安全人才的引进和培养都存在难度;网络安全技能培训不足,对于中小机场来讲,培训主要集中在机场业务保障能力方面,针对网络安全的专项培训几乎没有,这也不利于网络安全保障能力的提升。
3.网络安全人员数量严重不足。限于人力成本和单位编制等问题,民航各中小机场几乎没有专人负责网络安全工作,绝大部分是身兼多职,甚至兼职人员也存在严重不足,这也限制了相关人员网络安全管理能力和技术能力的提升,特别是严重影响到其网络安全应急处置能力。
(二)网络安全工作缺乏整体规划
按照国家和行业的网络安全相关要求,信息化建设中网络安全工作应该遵循“同步设计、同步建设、同步使用”的三同步原则,但是由于历史原因和单位对网络安全工作认识不足的问题,很多中小机场在信息化建设过程中没有考虑三同步原则,导致整个单位的网络安全工作缺乏整体规划,网络安全工作总是存在修修补补的状态。该问题不仅仅存在于民航中小机场,一些大机场、航空公司等在网络安全规划方面也存在严重的欠缺,导致整个单位缺失网络安全工作总体的指导。没有整体的网络安全规划指导,很多中小机场面临怎么开展网络安全工作、怎么做好网络安全工作的困惑,在开展网络安全工作时也长期处在被动的地位,不仅造成网络安全工作的缺失,同时也耗费了大量的人力、物力。
(三)网络安全经费保障需要形成机制
虽然近年来中小机场发展迅猛,数量越来越多、运量越来越大,对区域经济带来了巨大的贡献。但是受限于中小机场自身体量,单纯靠民航机场运输业务盈利非常困难,主要靠政府补贴和企业赞助等。虽然各地都针对《党委(党组)网络安全工作责任制实施办法》制定了实施细则,明确了网络安全保障的资金比例,但是近两年由于新冠疫情等客观原因,导致在对民航中小机场的投资方面经费都较为紧张,同时由于对网络安全工作重要性认识不足,导致网络安全经费保障就更为困难。目前网络安全经费大部分还是专项审批,没有形成长效机制,经费保障今后仍然是网络安全工作面临的一个重要问题。
(四)网络安全防护措施有待加强
随着《网络安全法》、网络安全等级保护(等保2.0)以及行业相关要求等持续推动,民航中小机场在网络安全防护措施及手段方面有了长足的进步,但是对于中小机场来讲,网络安全防护措施不足仍是制约其提升安全防护能力主要问题。主要体现在以下几个方面:网络安全防护设备不足,大部分中小机场仅有基础的网络防火墙实现基本网络访问控制,甚至没有部署安全策略,没有实现对网络中纵向流量和横向流量的监测分析,不能及时发现网络中的异常行为;对于主机防护来讲,部分机场主机部署终端防护产品少或者没有定期升级特征库等,一旦感染恶意代码将严重影响业务系统的安全运行。随着《数据安全法》《个人信息保护法》的出台,数据安全成为行业网络安全工作重点,整个行业面临严峻考验。
(五)网络安全应急处置能力不足
中小机场在网络安全应急方面能力严重不足,具体体现为:网络安全应急处事件时间长、事件处置协调能力不足、处置流程不熟悉等方面,导致这些问题的原因主要有网络安全应急预案不完善或可行性存在问题、没有定期开展应急演练、人员能力不足、物资保障不到位等问题。
相关建议
为进一步完善中小机场安全监管体系,确保中小机场安全运行。针对以上民航中小机场面临的网络安全问题,相关建议如下:
(一)加强人员培训
组织和鼓励开展民航行业网络安全培训,培训包括两个方面,一方面是政策法规、标准的解读,使相关人员了解政策背景、具体要求等内容,指导相关人员如何开展网络安全管理工作;另一方面加强民航网络安全人员技能培养,初步实现能够快速发现及识别问题,能够对常见网络安全事件及时进行应急处置。通过开展行业网络安全竞赛等形式,加强民航网络安全人才的培养和选拔。
(二)加强网络安全规划工作
在机场信息化项目建设过程中,强化网络安全规划工作的重要性,指导民航单位落实网络安全三同步原则。网络安全规划对开展网络安全工作具有非常重要指导意义,通过网络安全规划可以明确网络安全工作目标、内容、实现方式等,网络安全工作人员可根据规划内容进一步细化来指导自身的具体工作,解决网络安全工作面临的困惑,从而更加有效地开展网络安全工作,提升整体安全防护能力,保障业务系统安全运行。
(三)进一步推动网络安全经费保障工作
信息化已经成为民航各单位开展业务的必要手段,各个信息系统的安全轻则影响到单位内部办公,重则影响到民航运行安全以及旅客的生命财产安全,网络安全的地位愈来愈高。建议民航各单位按照《党委(党组)网络安全工作责任制实施办法》相关要求,对网络安全保障经费进行相应的调整,建立长效保障机制。同时建议民航局能为民航各单位提供更多的安全能力项目,鼓励科研单位、民航企事业单位开展网络安全技术的研究,针对民航面临的网络安全问题制定更具针对性的解决方案和网络安全设备设施,进一步支持民航各单位网络安全工作的开展。
(四)建立网络安全技术支撑队伍
建议民航中小机场委托第三方网络安全公司开展网络安全技术支撑工作,通过专业的技术人员对信息系统开展全面的梳理,包括网络安全风险评估、等保测评、信息系统安全运维、重保保障、应急处置等工作,在合理有效的经费范围内,快速提升网络安全防护能力。
(五)加强中小机场信息系统集中建设运维
由于民航中小机场面临人员能力不足、资金保障不到位、设备设施匮乏等问题,对于依托于机场集团的中小机场,建议依托集团利用云平台、大数据以及可靠的网络链路等技术建立集中化的信息化平台,通过集中化的安全运维降低中小机场的信息化运维压力,通过加强集团层面的安全防护能力,实现整体安全防护能力的提升,同时也可以达到节约运营成本的目的。
(六)完善网络安全应急预案
建议局方统一指导民航各单位开展网络安全应急预案编制工作,明确网络安全应急预案的各个要素、关键流程、应急演练模式及频率,加强与机场内部各个部门以及外部相关单位的协同。网络安全应急预案重点考察其可落地性和有效性、以及应急演练的人员覆盖度等方面,切实提升机场的网络安全保障能力和应急处置能力。