一、民航业信息安全现状
国家信息安全顶层设计
党的十八大以来,中央对信息安全工作尤为重视,中央成立信息安全领导小组,习近平总书记亲自担任组长;习总书记说:“没有信息安全就没有国家安全,没有信息化就没有现代化”。
2017年实施的《网路安全法》为维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展提供了法律保障,是我国的基础性法律,是网络安全法制体系的重要基础。
民航业信息安全要求
2011年至今,交通运输部和民航局发布一系列政策,例如:交通部《关于进一步开展交通运输行业信息安全等级保护工作的通知》以及《民航网络与信息安全管理暂行办法》中明确要求按照“谁主管、谁负责”、“谁运维、谁负责”的原则,信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准进行信息安全建设和管理。
民航业信息安全事件持续引人关注
2015年6月21号波兰最大的国有航空企业——波兰航空公司,其地面操作系统遭遇黑客袭击,致使系统瘫痪长达5小时,至少10个班次的航班被取消,1400多名乘客滞留华沙弗雷德里克·肖邦机场。这是全球首次航空公司信息系统被黑的网络安全事件。
2017年6月浙江省温州市公安局网安支队破获黑客入侵国内航空公司案件,自2016年下半年以来,犯罪嫌疑人林某等人利用各航空类公司网站的漏洞,多次非法侵入50多家网站获取最新公民航空机票票务信息,现场缴获了30多万条民航旅客信息以及登录各大涉案网站的大量账号、密码;并将这些民航旅客信息以每条5元的价格出售,非法获利达150多万元。
图1:民航业网站评价情况
注:2016年1月-2016年底,共42家航空公司(包涵在中国进行备案,并存在中文网站或中文页面的国外航空公司),其中19家(45%)评价为“良好”;16家(38%)评价为“一般”;7家(17%)评价为“较差”。整体评价为 “一般”。
民航业公司之间投入情况不同
民航公司发展不平衡,民航业各公司之间重视程度不同,少数民航公司信息化和安全建设能力强、投入高,但总体相对于其他行业信息安全水平相对滞后。
民航业公司技术现状
多数民航业公司对信息安全投入不足,信息安全专业人员储备不足,相对于其他行业技术力量薄弱;普遍存在以下情况:有设备没有策略;有安全技术缺少信息安全管理体系;注重规划建设,轻运维管理;重视硬件设备,轻软件投入。
二、航空公司安全保障体系建设方法
航空公司整体的信息安全保障体系建设分为三部分:网络安全技术体系、网络安全管理体系以及信息安全运维体系,三个体系并不是孤立的存在,而是相互依存,相互促进、协同统一的关系。网络安全管理体系是实现信息安全技术体系的保障;网络安全技术体系是实现网络安全基础设施和服务,它反过来又支持网络安全管理流程的改进和优化。网络安全管理体系为推广和落实网络安全运维体系建立了管理环境和流程基础,而网络安全运维体系本身也是网络安全管理中风险管理的成果。网络安全运维体系的建设对网络安全技术体系提出要求,反过来,网络安全技术体系又是网络安全技术运维的物质实现。网络安全的技术体系、管理体系与运维体系共同构建起了航空公司全面的安全保障体系,为航空公司业务系统的持续安全稳定运行保驾护航。三个体系间的关系如下图所示:
图2:体系相互作用
航空公司的网络安全技术体系建设充分参考与汲取了美国国家安全局提出的的IATF框架的纵深防御战略核心思想、美国ISS公司提出的P2DR(policy安全策略、protection防护、detection检测和response响应)动态网络安全模型以及等保2.0提出的构建“打防管控”一体化的网络安全综合防控体系理念等等国际与国内最为先进的安全保障框架理念,按照“重点系统,重点防护”的原则,在分区分域的安全访问控制基础之上,通过建设航空公司集团统一的安全管理中心,具体包括统一的物理环境安全监控平台、统一的终端安全平台、统一的网络安全平台、统一的主机安全平台、统一的数据安全平台、统一的应用安全平台等“六统一”的平台建设,实现涵盖物理、终端、网络、主机、 数据、应用六个方面,基于等保的“一个中心、三层防护”框架图如下所示:
图3:安全管理中心
基于ISO 27001以及国家信息系统安全等级保护安全管理方面的基本要求,开展航空公司网络安全管理体系的建设。网络安全管理体系的设计主要从安全组织架构与人员、安全管理制度与安全管理流程三个方面着手,设计符合自身安全管理需求的网络安全管理体系。在安全组织架构上进行一定的调整与优化,组建包括安全管理与决策、监督层、安全执行层三个层次的合理架构,由上到下确定相应的安全职责岗位,将集团信息安全的责任层层分解, 责任到人, 落到实处,同时加强人员录用、调动、离岗、考核、培训教育和第三方人员管理等多方面的人员安全管理。在安全管理制度上,建立起以网络安全方针、安全策略、安全管理制度、安全技术规范以及流程表单为一体的层次清晰、覆盖全面、实用高效的网络安全管理制度体系。安全管理制度体系如下图所示:
图4:制度体系
在安全管理流程上,通过建立起组织内部的安全监督检查与改进机制、风险管理的规范与流程,并在日常工作中注重提升公司全员网络安全意识的提升以及网络安全管理人员与技术人员专业安全技能的培训和教育,在内部形成PDCA的良性循环。航空公司整个网络安全管理体系的建设经历了安全现状调研与差距分析、信息资产识别与风险评估、风险处置与体系规划、体系建立与试运行、全面推广与持续改进等几个阶段,体系建设流程如下图所示:
图5:体系建设流程
通过发起集团整体安全运维体系建设项目,依托外部专业的安全咨询能力,依据 IS020000、 ITIL与等级保护有关安全运维要求设计航空公司整体的安全运维管理框架,通过安全运维支撑平台的建设、安全运维制度与流程三个方面的建设,将内部人员与第三方访问人员、系统建设、系统运维、物理环境的日常管理规范化,将日常的变更管理、问题管理、事件管理、配置管理、发布管理等电子化、流程化与标准化。安全运维体系框架图如下图所示:
图6:网络安全运维体系
三、航空公司信息网络安全阶段性建设目标
航空公司管理体系建设目标
为提升航空公司整体网络安全管理水平和抗风险能力,基于航空公司自身特点,依据ISO27001标准、信息系统等级保护管理要求、信息系统总体控制要求及其他相应的国际标准、国家标准或行业标准,建立符合《中华人员共和国网络安全法》《民航网络信息安全管理规定(暂行)》(征求意见稿)相关信息系统安全要求的安全体系。
体系建设包括安全现状调研、安全风险评估、规划网络安全建设发展的蓝图、设计和建立网络安全管理体系、设计和规划网络安全技术架构、体系试运行与落地、持续监督与改进等。
航空公司网络安全管理体系建设成果
图7:网络安全管理体系成果
经过近一阶段的网络安全体系建设和试运行,航空公司建立的完善的网络安全管理体系:网络安全组织、网络安全流程、网络安全制度。并且结合航空公司现状制定了网络安全技术手册、网络安全管理手册、员工网络安全手册等安全管理制度。
航空公司IT服务体系建设目标
专业的网络安全专业咨询单位根据ISO27001项目方法将基于客户的业务现状、对网络安全的要求及建立网络安全策略和目标。在客户的整体业务风险框架内,依据ISO27001新版标准,以风险评估为基础,根据风险处置计划建立和实施信息安全管理体系(ISMS)以管理网络安全风险。并通过建立相关监控体系评估ISMS的有效性,最终将针对监测结果对网络安全管理体系进行持续改进。
图8:安全管理体系持续改进
航空公司IT服务体系建设成果
建设基于ISO20000 IT服务管理体系与基于ISO27001信息安全管理体系的同时,依照ITIL最佳运维管理实践改进航空公司运维与运营模式。依托华为提供的ITIL运维工具对IT服务管理体系进行试运行与落地推广。
现通过工具已开展事件管理、问题管理、变更管理、服务管理、配置管理、发布管理等流程模块的试运行,试运行阶段,单周工单处理量已经超过400件。取得了良好的效果。
技术体系建设成果
航空公司通过技术体系建设,初步建成了统一的物理环境安全监控平台、统一的终端安全平台、统一的网络安全平台(SOC)、统一的主机安全平台、统一的数据安全平台、统一的应用安全平台,符合、满足交通部、民航局和公安部的安全监管要求,实现涵盖物理、终端、网络、主机、 数据、应用六大层面安全体系。
总结
经过近阶段的建设,结合国家和民航业的相关要求,结合航空公司实际情况,民航业和航空公司做好网络安全工作建议从三方面入手:1、依据ISO27001建立健全网络安全管理体系;2、依据ISO20000与ITIL最佳实践建立健全网络安全运维服务体系;3、依据IATF框架和等保2.0一个中心三层防护技术框架建立健全网络安全技术体系;
从以上三个体系建设入手,借鉴国内外优秀安全服务公司行业经验,同时结合民航业自身安全现状与业务需求,构建民航业立体多层次的纵深网络安全保障体系,相信民航业网络安全工作一定能够迈向新台阶。