民航成都电子技术有限责任公司高级工程师 产品事业部总助 马勇(张哈斯巴根/摄)
网络安全应急政策法规及案例解读
马勇:尊敬的各位领导,各位来宾,还有各位同仁,大家下午好!我是民航二所的马勇。
今天非常荣幸给大家分享我在网络安全方面的一些浅见,大家说网络安全和我们的主题应急有什么关系呢,其实随着智慧民航建设的持续推进,我们民航对信息化的依赖程度越来越高,一旦我们信息系统出现事故,可能就会严重地影响到我们行业的业务系统的安全运行,以及我们旅客的合法的权益,因此我们在进行开展各项工作的时候,网络安全工作它的应急也是不能轻视的,网络安全事件它的应急处置是怎样的,首先我们要明确一个定义,什么叫网络安全事件。
网络安全事件的定义,它是有国家标准的,在信息安全技术,网络安全事件分类分级指南里明确指出,网络安全事件是由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或者其中的数据与业务造成危害,对国家、社会、经济造成负面影响的事件,这叫网络安全事件。其实网络安全应急第一概念就是什么叫网络安全事件,网络安全事件有哪些类别,其实它包括恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件等10个类别事件,每个类别下还有子类别,这是国家标准对这个定义。
还有叫国家网络安全事件应急预案,其实很多民航的专家或者是领导,都对应急做了一些深入的阐述,网络安全事件和刚才的标准基本类似,就有人为原因,软硬件缺陷和故障,自然灾害等对网络和信息系统造成危害或者对社会造成负面影响的事件,这是我们对网络安全事件的定义。
了解到网络安全事件的定义之后,我们才对网络安全应急该做哪些,它的范围有所了解。
这是一个国家标准里关于网络安全事件的分类的表,其中恶意程序事件就分了将近10种,还有网络攻击事件,还有设备故障事件,违规操作事件等等这些都通通归为网络安全事件。
网络安全事件它是分级的,其实其他的事件有分级,网络安全也是有分级的,网络安全事件按照事件对对象的影响程度,它可以分为主要是四个级别,是特别重大网络安全事件,重大网络安全事件,较大网络安全事件,和一般网络安全事件,其实大家知道在我们民航领域,什么样的级别网络安全事件要立即上报民航局,这我们民航是有规定的,像重大和特别重大的网络安全事件,要在四个小时之内向民航局形成书面报告的,这是在应急管理过程中要关注的。
除了国家的我下面写的这几个类别根据国家相关的规定,规定的四个类别,第一类是特别重大的网络安全事件,就是指重要的网络和信息系统遭受特别严重的系统损失,造成大面积的瘫痪,丧失业务处理能力这是第一。第二国家秘密,重要敏感信息和数据丢失或被窃取、篡改、假冒,对国家和社会稳定造成特别严重的威胁,第三是其他对国家安全、社会秩序、经济建设、公众利益构成特别严重威胁,造成特别严重影响的网络安全事件,这是叫特别重大网络安全事件,其实以此类推下面有重大网络安全事件、较大网络安全事件、一般网络安全事件。
现在我们做应急处置的时候,一定要定义好网络安全事件的级别,网络安全事件的级别不是一成不变的,随着我们处理能力而变化,比如说一开始这个事件是一个小事件,但是由于我们处置不当,或者不重视,它就进而会演变成一个较大或者重大的网络安全事件,事件是动态变化的。
大家看这个事件是怎么分类分级的,其实主要看影响的是谁,第二造成有多大的影响,比如说对业务的影响,分为从较小到特别严重,这四个级别,从对事件的影响程度又分特别重要和一般,这样来划分,这是基于网络安全事件和业务损失的严重程度的关系对比,还有一个就是网络安全事件的级别和社会危害的严重程度的一个关系对比,比如说我们说网络舆情事件,网络安全事件里面有舆情事件,它可能对我们系统运行造成不了太大影响,但是对我们社会的经济运行或者是安全稳定会造成特别大的影响。所以我们从两个角度考虑,一个是业务,一个是社会危害来考虑事件的级别。
下面这个也是根据标准来定义的,虽然都是同一个事件,但是它所爆发的影响程度不一样,它所造成的级别也是不一样的,比如说像恶性程序事件,就是一般事件一次已知恶意程序被拦截或发现,这是一般事件,如果同样是恶意程序事件,会造成恶意程序多次感染或者严重感染,导致特别严重的业务损失,虽然都是恶意程序事件,但是造成影响不一样,所以我们对事件最后的级别,定性也是不一样的。所以大家也要理清楚这个网络安全事件和它的级别之间的关系。
接下来我们对网络安全事件有了初步的定义,我们再了解一下国家和行业对网络安全应急有哪些政策的要求。
首先,我们都知道网络安全法,网络安全是我国的关于网络安全的基础法和基本法,在《网络安全法》里,第五章有监测预警和应急处置的要求,其中第51条提到国家建立网络安全监测预警和信息通报制度,这里面第53条提到了国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案并定期组织演练。第57条,因网络安全事件发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》《中华人民共和国安全生产法》等有关法律、行政法规的规定处置,网络安全事件发生之后我们没有什么处置依据,但是这里面已经给了参考,是网络安全事件导致了生产事故,可以依据《安全生产法》和《突发事件应对法》来进行处置的,这是日常管理中要注意的,当然我们还存在一个,一件事不能多罚,网络安全处罚了就不能用这个来罚了,大家在处置的时候应当要注意一下。
其次我们在网络安全法大家还比较常见的就是比较关注的,《数据安全法》其中第23条也提到了国家建立数据安全应急处置机制,发生数据安全事件时有关主管部门应当启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。那这里给大家提问一个问题,网络安全事件和数据安全事件,在处置的时候有什么不同,我们一般认为网络安全事件我处置完这个事件就结束了,但是数据安全事件不一定,数据泄漏了所造成的影响,是很难挽回的,已经泄露出去了,已经散步到黑市或者说社会上了,比如说举一个简单的例子。如果信息系统瘫了我把它系统故障修复了就恢复正常运行,这个事情就结束了,但是如果是我的假如说银行的,用密码大批量泄漏又没及时得到通知,那么黑客就可能利用这个时机来用我的用户名密码来登录银行的账号来窃取我的各种的资产。不但是这样而且在利用你的用户名密码在别的系统登录,因为我们大家有一个习惯,很多重要的系统密码都是同一个。如果没有及时通知到你要修改这个密码可能就会造成相应的影响。所以这里面网络安全事件和数据安全事件在应急处置方面还是有一些不同的。
还有提到《个人信息保护法》,57条发生或者可能发生个人信息泄漏、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人,这里面就提到发生或者可能发生个人信息泄漏、篡改,丢失的信息种类、原因和可能造成的危害,第二个人信息处理者采取补救措施和个人可以采取的减轻危害的措施,第三就是个人信息处理者的联系方式,如果没有提醒到我们个人,黑客可以利用窃取的信息做一些违法的事情,影响到我们个人的财产安全,或者说我们其他的隐私安全。
在民航紧密相关的就是旅客信息,这里面近期的话,这是公安部和民航局对个人信息的保护也是非常高度关注的。
我们还提到关键信息基础设施的保护,在关键信息基础设施保护里提到,应该按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练,指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持和协助。
还有其他相关的一系列的政策和法规,国家相关部门也提出相关的要求。
下面就讲国家网络安全应急预案,其实是各单位甚至各行业写自己预案的一个范本,这对我们写自己网络安全事件预案是一个指导,编制依据,《突发事件应对法》《网络安全法》《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《信息安全技术信息安全时间分类分级指南》等相关依据。
刚才讲到是国家的,关于网络安全应急方面的一些要求,我们行业有没有要求,行业很早也就对网络安全应急提出了相关的要求,在《民航网络与信息安全管理暂行办法》第5章应急管理与处置里就提到了,各单位应建立信息安全应急管理制度,指定网络与信息系统应急处置预案,定期开展应急演练,第27条各单位应建立重要信息系统灾难备份和回复制度,这些都是对网络安全应急提出的具体要求。
其实在我们近期的发布的《“十四五”民用航空发展规划》第九章就提到了,要强化网络安全应急处置能力,提高网络安全事件动态响应和恢复处置能力,建立重大网络安全事件应急指挥机制,提升事前防范、事中监测和事后应急保障水平,是对网络安全的一个规划。其中支持建设行业应急处置仿真实训平台和网络攻防靶场,来提升实战对抗和事件溯源的能力,这是民航对这个网络安全应急能力的一个规划。
提到国家的政策和定义,那有没有网络安全事件,我们国家民航行业对于网络安全事件应急处理能力是怎样的?各单位能否给自己打一个分,这里面由于其实目前的案例还是挺多的,我们国家的民航领域内网络安全事件也是挺多的,我这里先讲国外的案例。
近日,一场全球性重大IT故障导致约850万台Windows电脑出现蓝屏死机,并对多个行业造成严重冲击,这次事件中全球范围内,5078次航班取消,占计划航班的4.6%,达美航空,成为此次故障的重大受害者之一,给达美航空带来3.5亿至5亿美元的巨额损失,导致近7000个航班被迫取消,同时公司还需应对超过17.6万份的退款和赔偿请求,Windows的安全组件升级出现故障导致系统蓝屏,原因很简单,但是这一块,我们对于这种新风险如何应对,我们行业里也采取大量的新技术,这些新风险我们有没有应对措施。
还有就是关于网络安全应急措施的研究方面,也是美国联邦航空航行通告系统出现无法更新的故障,也导致美国所有航空公司在美国东部时间9时暂停所有的国内航班,这也是应急方面存在的缺陷,反过来讲,这个事件出来以后,民航局也是在自问,我们遇到这个问题能否处置呢。
还有就是全要素网络安全应急演练,为了贯彻落实《网络安全法》和民航局的有关要求,厦门航空于6月11日晚间针对航班运行控制系统开展网络安全应急实战演练,通过这个演练也检验了厦航在应急能力和应急演练的有效性,厦门航空敢做这个全要素的演练,我们其他的航空公司敢做这样的全要素的应急演练吗,今天上午专家也提到了针对应急工作,是防为上、救次之、诫之下,包含识别风险、处置风险、监测风险、应急预案管理和应急演练这些方面的内容。
同时我个人作为民航科技创新示范区,信息安全新技术研究实验室的种子选手我们也在承担民航网络安全实验室的建设,我们致力于是打造网络安全处置中心和技术中心。
网络安全技术保障研究,包括常见的网络安全威胁和防范措施,这是我们在实验室要建的关于网络安全实训的内容,一是开展工作研究,第二就是来给大家提供网络安全应急演练实训的环境,第三就是能够给大家做一个技术支撑。