一、民航業(yè)信息安全現(xiàn)狀
國家信息安全頂層設(shè)計(jì)
黨的十八大以來,中央對(duì)信息安全工作尤為重視,中央成立信息安全領(lǐng)導(dǎo)小組,習(xí)近平總書記親自擔(dān)任組長;習(xí)總書記說:“沒有信息安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化”。
2017年實(shí)施的《網(wǎng)路安全法》為維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展提供了法律保障,是我國的基礎(chǔ)性法律,是網(wǎng)絡(luò)安全法制體系的重要基礎(chǔ)。
民航業(yè)信息安全要求
2011年至今,交通運(yùn)輸部和民航局發(fā)布一系列政策,例如:交通部《關(guān)于進(jìn)一步開展交通運(yùn)輸行業(yè)信息安全等級(jí)保護(hù)工作的通知》以及《民航網(wǎng)絡(luò)與信息安全管理暫行辦法》中明確要求按照“誰主管、誰負(fù)責(zé)”、“誰運(yùn)維、誰負(fù)責(zé)”的原則,信息系統(tǒng)的主管部門及運(yùn)營、使用單位按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行信息安全建設(shè)和管理。
民航業(yè)信息安全事件持續(xù)引人關(guān)注
2015年6月21號(hào)波蘭最大的國有航空企業(yè)——波蘭航空公司,其地面操作系統(tǒng)遭遇黑客襲擊,致使系統(tǒng)癱瘓長達(dá)5小時(shí),至少10個(gè)班次的航班被取消,1400多名乘客滯留華沙弗雷德里克·肖邦機(jī)場。這是全球首次航空公司信息系統(tǒng)被黑的網(wǎng)絡(luò)安全事件。
2017年6月浙江省溫州市公安局網(wǎng)安支隊(duì)破獲黑客入侵國內(nèi)航空公司案件,自2016年下半年以來,犯罪嫌疑人林某等人利用各航空類公司網(wǎng)站的漏洞,多次非法侵入50多家網(wǎng)站獲取最新公民航空機(jī)票票務(wù)信息,現(xiàn)場繳獲了30多萬條民航旅客信息以及登錄各大涉案網(wǎng)站的大量賬號(hào)、密碼;并將這些民航旅客信息以每條5元的價(jià)格出售,非法獲利達(dá)150多萬元。
圖1:民航業(yè)網(wǎng)站評(píng)價(jià)情況
注:2016年1月-2016年底,共42家航空公司(包涵在中國進(jìn)行備案,并存在中文網(wǎng)站或中文頁面的國外航空公司),其中19家(45%)評(píng)價(jià)為“良好”;16家(38%)評(píng)價(jià)為“一般”;7家(17%)評(píng)價(jià)為“較差”。整體評(píng)價(jià)為 “一般”。
民航業(yè)公司之間投入情況不同
民航公司發(fā)展不平衡,民航業(yè)各公司之間重視程度不同,少數(shù)民航公司信息化和安全建設(shè)能力強(qiáng)、投入高,但總體相對(duì)于其他行業(yè)信息安全水平相對(duì)滯后。
民航業(yè)公司技術(shù)現(xiàn)狀
多數(shù)民航業(yè)公司對(duì)信息安全投入不足,信息安全專業(yè)人員儲(chǔ)備不足,相對(duì)于其他行業(yè)技術(shù)力量薄弱;普遍存在以下情況:有設(shè)備沒有策略;有安全技術(shù)缺少信息安全管理體系;注重規(guī)劃建設(shè),輕運(yùn)維管理;重視硬件設(shè)備,輕軟件投入。
二、航空公司安全保障體系建設(shè)方法
航空公司整體的信息安全保障體系建設(shè)分為三部分:網(wǎng)絡(luò)安全技術(shù)體系、網(wǎng)絡(luò)安全管理體系以及信息安全運(yùn)維體系,三個(gè)體系并不是孤立的存在,而是相互依存,相互促進(jìn)、協(xié)同統(tǒng)一的關(guān)系。網(wǎng)絡(luò)安全管理體系是實(shí)現(xiàn)信息安全技術(shù)體系的保障;網(wǎng)絡(luò)安全技術(shù)體系是實(shí)現(xiàn)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和服務(wù),它反過來又支持網(wǎng)絡(luò)安全管理流程的改進(jìn)和優(yōu)化。網(wǎng)絡(luò)安全管理體系為推廣和落實(shí)網(wǎng)絡(luò)安全運(yùn)維體系建立了管理環(huán)境和流程基礎(chǔ),而網(wǎng)絡(luò)安全運(yùn)維體系本身也是網(wǎng)絡(luò)安全管理中風(fēng)險(xiǎn)管理的成果。網(wǎng)絡(luò)安全運(yùn)維體系的建設(shè)對(duì)網(wǎng)絡(luò)安全技術(shù)體系提出要求,反過來,網(wǎng)絡(luò)安全技術(shù)體系又是網(wǎng)絡(luò)安全技術(shù)運(yùn)維的物質(zhì)實(shí)現(xiàn)。網(wǎng)絡(luò)安全的技術(shù)體系、管理體系與運(yùn)維體系共同構(gòu)建起了航空公司全面的安全保障體系,為航空公司業(yè)務(wù)系統(tǒng)的持續(xù)安全穩(wěn)定運(yùn)行保駕護(hù)航。三個(gè)體系間的關(guān)系如下圖所示:
圖2:體系相互作用
航空公司的網(wǎng)絡(luò)安全技術(shù)體系建設(shè)充分參考與汲取了美國國家安全局提出的的IATF框架的縱深防御戰(zhàn)略核心思想、美國ISS公司提出的P2DR(policy安全策略、protection防護(hù)、detection檢測和response響應(yīng))動(dòng)態(tài)網(wǎng)絡(luò)安全模型以及等保2.0提出的構(gòu)建“打防管控”一體化的網(wǎng)絡(luò)安全綜合防控體系理念等等國際與國內(nèi)最為先進(jìn)的安全保障框架理念,按照“重點(diǎn)系統(tǒng),重點(diǎn)防護(hù)”的原則,在分區(qū)分域的安全訪問控制基礎(chǔ)之上,通過建設(shè)航空公司集團(tuán)統(tǒng)一的安全管理中心,具體包括統(tǒng)一的物理環(huán)境安全監(jiān)控平臺(tái)、統(tǒng)一的終端安全平臺(tái)、統(tǒng)一的網(wǎng)絡(luò)安全平臺(tái)、統(tǒng)一的主機(jī)安全平臺(tái)、統(tǒng)一的數(shù)據(jù)安全平臺(tái)、統(tǒng)一的應(yīng)用安全平臺(tái)等“六統(tǒng)一”的平臺(tái)建設(shè),實(shí)現(xiàn)涵蓋物理、終端、網(wǎng)絡(luò)、主機(jī)、 數(shù)據(jù)、應(yīng)用六個(gè)方面,基于等保的“一個(gè)中心、三層防護(hù)”框架圖如下所示:
圖3:安全管理中心
基于ISO 27001以及國家信息系統(tǒng)安全等級(jí)保護(hù)安全管理方面的基本要求,開展航空公司網(wǎng)絡(luò)安全管理體系的建設(shè)。網(wǎng)絡(luò)安全管理體系的設(shè)計(jì)主要從安全組織架構(gòu)與人員、安全管理制度與安全管理流程三個(gè)方面著手,設(shè)計(jì)符合自身安全管理需求的網(wǎng)絡(luò)安全管理體系。在安全組織架構(gòu)上進(jìn)行一定的調(diào)整與優(yōu)化,組建包括安全管理與決策、監(jiān)督層、安全執(zhí)行層三個(gè)層次的合理架構(gòu),由上到下確定相應(yīng)的安全職責(zé)崗位,將集團(tuán)信息安全的責(zé)任層層分解, 責(zé)任到人, 落到實(shí)處,同時(shí)加強(qiáng)人員錄用、調(diào)動(dòng)、離崗、考核、培訓(xùn)教育和第三方人員管理等多方面的人員安全管理。在安全管理制度上,建立起以網(wǎng)絡(luò)安全方針、安全策略、安全管理制度、安全技術(shù)規(guī)范以及流程表單為一體的層次清晰、覆蓋全面、實(shí)用高效的網(wǎng)絡(luò)安全管理制度體系。安全管理制度體系如下圖所示:
圖4:制度體系
在安全管理流程上,通過建立起組織內(nèi)部的安全監(jiān)督檢查與改進(jìn)機(jī)制、風(fēng)險(xiǎn)管理的規(guī)范與流程,并在日常工作中注重提升公司全員網(wǎng)絡(luò)安全意識(shí)的提升以及網(wǎng)絡(luò)安全管理人員與技術(shù)人員專業(yè)安全技能的培訓(xùn)和教育,在內(nèi)部形成PDCA的良性循環(huán)。航空公司整個(gè)網(wǎng)絡(luò)安全管理體系的建設(shè)經(jīng)歷了安全現(xiàn)狀調(diào)研與差距分析、信息資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置與體系規(guī)劃、體系建立與試運(yùn)行、全面推廣與持續(xù)改進(jìn)等幾個(gè)階段,體系建設(shè)流程如下圖所示:
圖5:體系建設(shè)流程
通過發(fā)起集團(tuán)整體安全運(yùn)維體系建設(shè)項(xiàng)目,依托外部專業(yè)的安全咨詢能力,依據(jù) IS020000、 ITIL與等級(jí)保護(hù)有關(guān)安全運(yùn)維要求設(shè)計(jì)航空公司整體的安全運(yùn)維管理框架,通過安全運(yùn)維支撐平臺(tái)的建設(shè)、安全運(yùn)維制度與流程三個(gè)方面的建設(shè),將內(nèi)部人員與第三方訪問人員、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維、物理環(huán)境的日常管理規(guī)范化,將日常的變更管理、問題管理、事件管理、配置管理、發(fā)布管理等電子化、流程化與標(biāo)準(zhǔn)化。安全運(yùn)維體系框架圖如下圖所示:
圖6:網(wǎng)絡(luò)安全運(yùn)維體系
三、航空公司信息網(wǎng)絡(luò)安全階段性建設(shè)目標(biāo)
航空公司管理體系建設(shè)目標(biāo)
為提升航空公司整體網(wǎng)絡(luò)安全管理水平和抗風(fēng)險(xiǎn)能力,基于航空公司自身特點(diǎn),依據(jù)ISO27001標(biāo)準(zhǔn)、信息系統(tǒng)等級(jí)保護(hù)管理要求、信息系統(tǒng)總體控制要求及其他相應(yīng)的國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn),建立符合《中華人員共和國網(wǎng)絡(luò)安全法》《民航網(wǎng)絡(luò)信息安全管理規(guī)定(暫行)》(征求意見稿)相關(guān)信息系統(tǒng)安全要求的安全體系。
體系建設(shè)包括安全現(xiàn)狀調(diào)研、安全風(fēng)險(xiǎn)評(píng)估、規(guī)劃網(wǎng)絡(luò)安全建設(shè)發(fā)展的藍(lán)圖、設(shè)計(jì)和建立網(wǎng)絡(luò)安全管理體系、設(shè)計(jì)和規(guī)劃網(wǎng)絡(luò)安全技術(shù)架構(gòu)、體系試運(yùn)行與落地、持續(xù)監(jiān)督與改進(jìn)等。
航空公司網(wǎng)絡(luò)安全管理體系建設(shè)成果
圖7:網(wǎng)絡(luò)安全管理體系成果
經(jīng)過近一階段的網(wǎng)絡(luò)安全體系建設(shè)和試運(yùn)行,航空公司建立的完善的網(wǎng)絡(luò)安全管理體系:網(wǎng)絡(luò)安全組織、網(wǎng)絡(luò)安全流程、網(wǎng)絡(luò)安全制度。并且結(jié)合航空公司現(xiàn)狀制定了網(wǎng)絡(luò)安全技術(shù)手冊(cè)、網(wǎng)絡(luò)安全管理手冊(cè)、員工網(wǎng)絡(luò)安全手冊(cè)等安全管理制度。
航空公司IT服務(wù)體系建設(shè)目標(biāo)
專業(yè)的網(wǎng)絡(luò)安全專業(yè)咨詢單位根據(jù)ISO27001項(xiàng)目方法將基于客戶的業(yè)務(wù)現(xiàn)狀、對(duì)網(wǎng)絡(luò)安全的要求及建立網(wǎng)絡(luò)安全策略和目標(biāo)。在客戶的整體業(yè)務(wù)風(fēng)險(xiǎn)框架內(nèi),依據(jù)ISO27001新版標(biāo)準(zhǔn),以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ),根據(jù)風(fēng)險(xiǎn)處置計(jì)劃建立和實(shí)施信息安全管理體系(ISMS)以管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。并通過建立相關(guān)監(jiān)控體系評(píng)估ISMS的有效性,最終將針對(duì)監(jiān)測結(jié)果對(duì)網(wǎng)絡(luò)安全管理體系進(jìn)行持續(xù)改進(jìn)。
圖8:安全管理體系持續(xù)改進(jìn)
航空公司IT服務(wù)體系建設(shè)成果
建設(shè)基于ISO20000 IT服務(wù)管理體系與基于ISO27001信息安全管理體系的同時(shí),依照ITIL最佳運(yùn)維管理實(shí)踐改進(jìn)航空公司運(yùn)維與運(yùn)營模式。依托華為提供的ITIL運(yùn)維工具對(duì)IT服務(wù)管理體系進(jìn)行試運(yùn)行與落地推廣。
現(xiàn)通過工具已開展事件管理、問題管理、變更管理、服務(wù)管理、配置管理、發(fā)布管理等流程模塊的試運(yùn)行,試運(yùn)行階段,單周工單處理量已經(jīng)超過400件。取得了良好的效果。
技術(shù)體系建設(shè)成果
航空公司通過技術(shù)體系建設(shè),初步建成了統(tǒng)一的物理環(huán)境安全監(jiān)控平臺(tái)、統(tǒng)一的終端安全平臺(tái)、統(tǒng)一的網(wǎng)絡(luò)安全平臺(tái)(SOC)、統(tǒng)一的主機(jī)安全平臺(tái)、統(tǒng)一的數(shù)據(jù)安全平臺(tái)、統(tǒng)一的應(yīng)用安全平臺(tái),符合、滿足交通部、民航局和公安部的安全監(jiān)管要求,實(shí)現(xiàn)涵蓋物理、終端、網(wǎng)絡(luò)、主機(jī)、 數(shù)據(jù)、應(yīng)用六大層面安全體系。
總結(jié)
經(jīng)過近階段的建設(shè),結(jié)合國家和民航業(yè)的相關(guān)要求,結(jié)合航空公司實(shí)際情況,民航業(yè)和航空公司做好網(wǎng)絡(luò)安全工作建議從三方面入手:1、依據(jù)ISO27001建立健全網(wǎng)絡(luò)安全管理體系;2、依據(jù)ISO20000與ITIL最佳實(shí)踐建立健全網(wǎng)絡(luò)安全運(yùn)維服務(wù)體系;3、依據(jù)IATF框架和等保2.0一個(gè)中心三層防護(hù)技術(shù)框架建立健全網(wǎng)絡(luò)安全技術(shù)體系;
從以上三個(gè)體系建設(shè)入手,借鑒國內(nèi)外優(yōu)秀安全服務(wù)公司行業(yè)經(jīng)驗(yàn),同時(shí)結(jié)合民航業(yè)自身安全現(xiàn)狀與業(yè)務(wù)需求,構(gòu)建民航業(yè)立體多層次的縱深網(wǎng)絡(luò)安全保障體系,相信民航業(yè)網(wǎng)絡(luò)安全工作一定能夠邁向新臺(tái)階。
京公網(wǎng)安備 11010502049343號(hào)