投稿到民航资源网

加强民航网络安全智慧监管的思路与建议

 2022-05-18 21:51:21 来源:民航资源网 作者:朱涛、马勇、王麒  [投稿排行榜]

分享

      民航资源网2022年5月18日消息:随着智慧民航建设工作的持续推动,网络安全问题愈来愈成为影响民航行业安全运行的一个重要因素,网络安全监管问题也愈加突出,在新时代背景下如何针对网络安全开展智慧监管成为一个全新的课题。本文从完善行业网络安全法规、健全行业网络安全标准体系、开展智慧监管手段建设、鼓励多方参与、强化人才储备、加强网络安全沟通交流、推动国际合作等方面提出了网络安全智慧监管的工作建议,希望通过智慧化手段为民航持续安全、科学发展提供强有力的支撑,并积极引导、鼓励行业科研院所、企事业单位紧密结合国家、行业要求和发展趋势,积极发挥主动性共同推动我国民航网络安全防护能力的提升。

      一.引言

      近年来我国民航业不断加快智慧民航的建设,民航局把“智慧空管、智慧机场、智慧航司、智慧监管”这四个建设作为抓手,推动我国民航事业的快速发展。针对行业监管工作,2020年全国民航安全工作会再次强调“探索智慧监管”,通过智慧监管手段为民航持续安全、科学发展提供强有力的支撑。

      作为民航监管工作之网络安全监管,同样也面临智慧监管的探索工作。近年来民航行业网络安全事件时有发生,恶意软件肆虐、黑客攻击、旅客信息泄漏等网络安全事件所造成的社会影响和损失也越来越大,已经成为影响民航行业安全运行的一个重要因素。同时与其他民航专业相比,目前行业网络安全监管工作涉及到行业的方方面面,监管边界和监管内容等存在很多模糊地带,随着智慧民航工作的持续推动,其面临的问题也愈加突出。

      二、民航网络安全智慧监管的总体思路

      针对民航网络安全监管工作面临的诸多挑战,民航局应加强网络安全监管的顶层设计,明确智慧监管目标,从网络安全监管对象、监管内容、监管方式、监管目标等方面进行梳理研究,制定智慧监管工作实施步骤:基础工作梳理、监管内容数字化、监管方式智慧化。最终通过信息化手段实现整个监管过程的智能化,即按照PDCA模型,实现监管流程的智能化。

      三,民航网络安全智慧监管的建议

      民航网络安全智慧监管工作是一个持续探索的过程,结合我国网络安全相关法规、标准,以及民航业务特点,相关建议如下:

      (一)进一步完善行业网络安全法规

      近年来,《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》以及《党委(党组)网络安全工作责任制实施办法》相继出台,其中《党委(党组)网络安全工作责任制实施办法》第四条规定“行业主管监管部门对本行业本领域的网络安全负指导监管责任”。《数据安全法》第六条规定“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责”。《关键信息基础设施安全保护条例》第八条规定“本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)”。以上法规条例不仅表明国家对网络安全工作的要求日益严格,作为民航行业的监管部门其网络安全监管的职责也越来越明确、网络安全监管责任越来越大。民航局应组织相关部门、科研机构、民航企事业单位共同深入研究国家和行业相关法规,结合民航实际情况进一步完善民航行业的相关网络安全规章制定,明确网络安全监管对象及内容,使民航网络安全监管“有法可依”。

      (二)加强民航网络安全标准体系建设

      等级保护2.0的相关标准体系对提高我国整体网络安全防护能力起到了重要作用,从信息系统的生命周期来讲其标准体系涉及到系统设计、系统建设、系统运维等阶段;涉及的相关主体包括:监管部门、运营部门、网络安全测评机构、网络安全产品和服务提供商等,等保2.0相关标准对指导网络安全监管、网络安全建设等起到了重要指导作用。对于民航行业来讲,虽然大部分国家标准能够实现对行业网络安全工作的指导,但是由于民航业的一些行业特点,现行的标准无法满足指导行业网络安全工作的需求,如机载信息系统安全监管、数据出境安全监管以及空管相关业务系统的安全监管等,这些利用目前通用的标准无法满足需求。民航局应组织和鼓励相关部门、科研机构以及民航企事业单位积极参与到行业网络安全标准制定过程中,加强民航网络安全标准体系的建设,同时也进一步细化网络安全监管指标,使其更具落地性和可行性,为民航网络安全智慧监管奠定基础。

      (三)摸清监管对象底数,打造网络安全监管“数字底座”

      “用数据决策、用数据说话、用数据管理、用数据创新”已成为民航行政管理、行业监管的新常态。做好网络安全监管,首先要做到“底数清”,一方面民航局各级行政部门应强化监管意识,加强网络安全监管的基础工作,摸清民航行业内监管对象的底数;另一方面完善网络安全监管技术手段,采用云平台、大数据以及移动互联网等新技术打造民航网络安全监管的“数字底座”。“摸底数”是网络安全监管的一项基础性工作,由于各单位认识和管理的问题,导致每次摸底工作数据都存在数据不清、不实的问题,建议民航企事业单位采用技术手段开展网络资产的梳理,加强自身网络资产的管理,并为实现智慧监管和提升监管工作效率奠定基础。民航局应积极推动监管平台的智慧化建设,采用大数据、人工智能等新技术手段完善网络安全监管流程,真正让数据“动起来、活起来”,避免以往工作数据“束之高阁”的问题,通过对监管数据的挖掘分析,为网络安全监管提供指导。

      (四)鼓励多方参与,打造富有激情活力的监管环境

      积极鼓励和引导民航相关企事业单位参与网络安全智慧监管的建设,建立网络安全专家库,强化辖区民航各单位在网络安全法律法规研究、试点应用、标准制定等方面的协同合作,加强局方信息整合和利用,发挥行业单位联盟作用,例如建立民航旅客信息保护工作联盟,从不同的角度研究旅客信息保护工作思路、标准及实施手段等,共同打造富有激情活力的监管环境;要抓好试点示范,发挥以试点带全局的带动作用。积极推动和引导建立民航网络安全监管试点示范单位,并结合民航局安全能力项目给予相关支持和帮助,尽快形成一批可参考、可复制、可推广、可操作的经验成果,并推动相关标准规范修订和体制机制改革。

      (五)强化人才储备,夯实网络安全监管基础

      针对网络安全监管,一方面要加强局方监察员网络安全监管能力的提升,积极发挥监察员培训学院等机构的作用,从法律知识、行业业务流程规范、网络安全基础知识、行业案例、监管技术手段等各个角度分层次进行培养,使之与智慧监管能力相匹配;另一方面要积极推动和鼓励民航企事业单位网络安全人才的培养和选拔,为智慧监管提供技术支撑。积极推动开展辖区网络安全培训和竞赛等工作,通过全面提升辖区网络安全人才水平,提高辖区网络安全应急能力,同时进一步夯实辖区网络安全监管基础。

      (六)加强网络安全沟通交流,实现网络安全监管资源共享

      我国网络安全工作是在国家网信办的监督指导下,由公安等相关部门在各自领域内开展网络安全监管工作。民航局相关部门通过与网信办、公安部等相关部门积极沟通交流,在关基保护、行业数据安全审查、网络安全应急处置等方面构建行业网络安全监管机制,同时通过与国家相关网络安全技术支撑机构建立信息沟通渠道,实现行业监管数据、威胁情报的自动化、智能化交流渠道,丰富网络安全监管的手段和信息情报,完善民航网络安全智慧监管的手段。

      (七)推动国际民航业网络安全合作交流

      民航业作为一个国际性的行业,除满足所在国相关法律法规要求外,还要遵循运输目的国、途经国家、地区等相关法律法规的要求,如欧盟《GDPR》中对个人信息的保护要求就具有长臂管辖的特点;我国出台的《个人信息保护法》中也有相关的规定如:“第三十六条:国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。第三十八条:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。第三十九条:个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。第四十条:关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。第四十一条:中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”美国、日本、澳大利亚等国家也纷纷出台了相关的个人信息保护法规,这些都是航空业需要高度重视的。

      从国际航班的旅客个人数据流动方向分析,国际航线首先可以分为入境和出境。目前而言,国际航线类型非常多样。在出境航线上,售出客票的中国籍航空公司需要将旅客票务信息传送给以下机构:中转地、目的地机场的地面服务公司;沿途的实际承运人;为境外地面服务提供支持的IT信息提供商;沿路的政府边检海关部门。

      国际民航组织在2019年10月发布的《航空网络安保战略》中提到网络安保和航空两者的性质都是无国界的。这两者都需要在国家和国际层面上开展活动,并要求相互承认发展、保持和改进网络安保的工作努力,以便保护民用航空部门免受所有网络安保和安保威胁。以上都需要民航局相关部门积极组织和推动民航行业在国际层面的网络安全工作的合作与交流,更好地指导我国民航行业快速健康发展,这也是与其他行业相比民航网络安全监管的特点之一。

      四、展望

      智慧监管工作的主要思想是利用信息化手段和技术,实现监管数据的自动化采集、数据的自动汇总、实现监管流程智能化、监管考核科学化,通过智慧监管手段为民航持续安全、科学发展提供强有力的支撑。民航网络安全智慧监管工作是民航局相关部门以及行业科研院所、企事业单位共同面临的问题,还需要不断探索和完善。民航行业各单位应紧密结合国家、行业要求和发展趋势,积极发挥主动性共同推动我国民航网络安全防护能力的提升。

      作者:朱涛(昆明航空有限公司)

      马勇(中国民航局第二研究所)

      王麒(民航西南管理局)

    0荐闻榜

    延伸阅读: 民航局