|
民航信息安全管理与测评中心常务副主任 顾兆军
民航信息安全管理与测评中心常务副主任 顾兆军(张哈斯巴根/摄)
顾兆军:各位领导、各位嘉宾,下午好!借这次报社举办论坛的机会,向各位汇报一下测评中心最近做的网络安全工作。 1、国际民航组织的网络安保工作 国际民航组织对网络安全很重视,从2014年到今年组织了很多网络安全的活动。在2022年成立了网络安保的专家组,我是中国推荐的专家,其中有威胁和风险工作组、材料工作组,主要做的工作有网络安保的战略、行动计划、安保审计和培训。2022年成立了信任框架工作组,中国分别参加了两个专家组。 由于网络安全的特殊数据,IQ成立了网络安全特别委员会,国际民航组织在今年9月份对中国民航实施了全领域、全要素现场的安保审计,上次对中国民航的审计不是现场的,是线上的审计,主要是文件的审计。这次民航局对这个工作进行了精心的准备,初步审计结果已经都结束了。 这次首次网络安保审计,我们团队主要做这部分工作,现场对大兴、青岛、空管、航空公司等单位开展了审计。 国际民航组织统计有136个国家,其中有54个国家有网络安保审计。我们看到的结果有8个国家实际上没有开展网络安全工作,有14个国家没有把网络安全责任划分清,有22个国家没有相关的标准,那就说明在国际民航组织这个范畴内主要是欧美国家网络安全做得比较好,中国咱们这次审计的结果也是不错的。 在DOC8973里详细地说明了网络的威胁框架,识别关键信息系统、保护信息系统、建立监测系统、对网络危机进行处置、危机沟通、分析。网络威胁的框架包括识别、保护、响应、危机沟通和分析,对关键系统的识别这是8973里面我们认为做得比较细致的一个地方,在中国审计的时候专家也问到过中国有哪些关键的系统,和8973这里约定的是不是一致的。 从Safety角度,还有Security安保有关的系统,简化手续方面运营人员的订座,还有登机系统。像飞行安全、航班正常、地面安全、控防,都有直接的对应关系。 下面我们介绍一下中国网络安全体系,按照国家的三法一条令,《网络安全法》《数据安全》《个人信息保护法》对我们的工作有具体的指导。 中国民航的网络安全治理包括空管、航空公司、机场、航线这些单位,来协同做好网络安全工作,以前我们用国家的法律,现在这次安保审计采用了IQ附件17和8973,我这次把这部分加进来了。 中国民航的保障体系包括网络安全规章、标准体系,还有九个工作方式。抓手就是等级保护和关键基础设施,还有民航网络安全专家组,根据民航局的要求,我们正在组织专家组。 在行政检查用的是监管事项库,根据《检查办法》和最新行业要求,补充有16类、65项,这16项是我们常用的,像组织管理、人员管理、资产、外包服务、采购、等级保护和风险评估、物理环境防护、网络防护、服务器防护、网站、显示大屏、电子邮件、终端防护、移动存储、运营管理、应急管理、专项观察工作。这16项我们主要是面向了监察员开展的培训安保审计也是审计到了这部分内容。 民航有九个行业的网络安全标准现在都在使用,有些单位在写方案的时候,很多单位都采用这九个标准,定级指南是最常用的一个标准,使用率非常高。 经过我们分析,IQ和中国民航的网络安全体系,IQ主要关注的是风险评估,我们在国内重点是做等级保护。我们第一次作风险评估的时候是在夏航,在王总的支持下开展了第一次风险评估。现在我们看到对风险评估工作还是非常重要的,特别是在国际民航组织,在国际上讲风险评估,中国讲等级保护,还是有一定的差别。 法律法规,我前面介绍了一些,在中国民航用的是三法一条令,行业的像监管库、三个办法。 工作机制上,在IQ的安保行动计划有七个支柱、六个关键环节、八个要素,我们的体系包括政策法规等等,抓手、支撑队伍和平台这些内容。经过分析,8973为了审计的时候我们分析,在方案里面以前我们没有讲过危机沟通这部分工作,这是在这次安保方案里重点提出的。还有对Safety影响的评估,这是两个网点的内容。 经过对比分析,差异还是比较大的,中国有自己的法律体系和网络安全的治理体系,对标IQ,要建立一套方案,应对安保审计,实现国际国内的双合规,是一个挑战。 在昨天晚上专家组又开了一个IQ专家组会,这里面讲的是威胁和风险评估专家组,特别讲到了飞机的威胁是什么,讲到飞行管理系统,威胁一个是恶意程序和恶意下载、更新,这是对飞行管理程序的威胁,这是昨天晚上专家组开会我截了一个图。这里不是最后的版本,明年开会专家组还要审议这些内容。这说明国际上觉得威胁和风险是一个重要的方法。 这是我们在写方案的时候一个重要的思路,一个是参考IQ的安保体系,还有中国民航安保体系,作为两个重要的依据,主要是支撑监管事项库,还有关键信息基础设施安全的要求,这是刚发布的一个国标,已经实施的一个国标。 我们在编写网络安全保障方案的时候,在监管事项库对它也有一些更新,这样在监管的时候又能符合IQ的要求。主要的架构就是识别、保护、检测、影响、分析沟通、事后分析,既包括登保,也包括分析。在审计过程中虽然网络安保这部分比较顺利,但是IQ专家对风险评估还是非常关注,也非常熟悉。 在今年6月份,民航局人教司发布了保障方案,这就是我们团队刚才介绍的框架里面主要叙述的这些内容,一共包括了九章,责任是在审计里面是一个重要的审计点,人员安全里面包括培训,第四章是识别和风险识别,系统的定级识别、重要系统的识别、风险识别和等级保护,主要用等级保护来应对,这里我们也做了相应对标的情况。防护这部分和等保很相似了,监测预警,还有危机处置,质量控制主要是行政检查和自查。 举个例子说明一下网络安全保障方案的内容,借这次开会的机会,向各单位强调一下,最近有时期网络安全事件,日志是事件调查一个非常非常重要的依据,如果没有日志很多事情就没法调查下去。日志在网络设备、安全设备、服务器都要保存日志,这个依据监管事项库的36070的内容。 下面是监测预警,用的是保护要求9.3,我们借用了监管事项库,各单位对内容比较熟悉,但是我们体系是对标IQ的,大家对工作内容比较熟悉,避免给大家增加新的工作。 下面介绍一下安保审计。民航局这方面下了很大的力气,搞了三轮模拟审计,第三轮是临时增加的。在政策审计是9月11日,现在民航局对网络安保部分进行了稳审,以前我们就用三个办法,2013年就发布了,还有行政检查的案例,审计员当时给了一个最好的评价。 另外,大型机场主要是关注它的方案、事件报告机制、安全测试、识别重要系统、清单等等。 上午刘司长在讲话里面讲到了关键技术部分内容,这是我们通过评审的一个项目,刘司长讲的这部分内容,我们主要是做航电网络安全防护的建设,基于664,主要是承载飞控等等高等安全等级,直接影响飞行安全。 我们这部分主要研究的是从网络协议层面、网络行为层面、安全防御和测试验证四方面开展的研究,主要是建立了664的安全模型,行为的异常检测和多维的协同防御体系,这是创新,搭建了基于运营和安全测试平台。 网络安全是智慧民航的生命线,谢谢大家! |
中国民航报社 版权所有 京ICP备05024158 如有意见和建议,请惠赐E-mail至 news@caacnews.com.cn |