提高网络安全意识 构建信息保障体系.doc

提高网络安全意识 构建民航信息安全保障机制中国民用航空总局人事科教司 张西武 江志强 地址 北京东城区东四西大街155号 邮编 100710内容摘要：本文指出信息安全的重要性，介绍了网络和信息安全体系的概念。分析了民航网络和信息安全工作现状、存在的问题，信息安全与航空运输的关系和建立民航网络和信息安全机制所包含的内容，应当注意的问题等。关键词：信息技术计算机信息系统 网络信息安全 保障机制 管理 法规21世纪是信息时代，信息技术的发展和应用正在改变人们的生活观念、生产与管理方式，并对国家的现代化发展和社会进步、加速全球经济一体化发挥日益重大的作用。在我国，信息技术的应用浪潮也日渐高涨，推动政府和企业的信息化进程，对传统的管理和生产模式进行改造，已成为提高政府工作效率，加速体制改革和促进经济发展的重要手段。然而，近年来随着信息网络的广泛应用而引发的网络和信息安全问题也与日俱增，针对计算机信息系统的犯罪现象日益严重。据统计两千年以来全世界每年由网络和信息安全问题造成的经济损失已达上千亿美元，如不加以重视，这个数字还将以更快的速度继续增长。信息安全直接关系到国家主权、公众利益、社会稳定和经济发展，在国家安全保障体系中占有重要地位。网络和信息安全已引起各国政府的高度关注，国际上一些信息化应用水平较高的国家，始终将如何防止针对计算机信息系统的犯罪行为、保证信息网络系统的安全作为政府信息化管理部门所致力的重要工作，不仅相继制定了多部法律法规，同时也在加紧构造信息系统安全防范保障机制。美国最先提出“信息安全保障机制”概念，并将信息安全的保障能力视为21世纪国家安全、综合国力、经济竞争实力和生存发展能力的重要组成部分。我国政府对网络和信息安全工作非常重视，并特别注重计算机信息安全的法律法规建设。近十年内连续出台了多部计算机信息网络系统管理规定、标准和法规条例，建立信息安全管理机构和安全产品评测中心，从法律上全面规范了信息产业和市场的健康发展，确保网络和信息的安全。去年，在保障党的“十六大”期间网络和信息安全的工作中，国家信息化工作办公室网络和信息安全协调领导小组还组织专家研究构建“国家网络和信息安全长效保障机制”的工作。目前，许多由国家确立的基础信息设施和重要信息系统应用部门，（如：广电、电信、电力、金融等）已都在积极组织制定本行业的网络和信息安全保障机制。信息的网络化使信息安全的保障从单一的技术层面进入社会统一管理的范畴，成为包括法律、道德规范、管理、技术和人的综合的安全策略的集合，它建筑在管理和安全技术的平台上，以各部门形成合力为特征，绝非各部门功能的简单叠加，而是在统一组织下的有机整体。这就是：信息安全保障机制。一、民航网络和信息安全现状和问题民航信息系统建设自“七五”起步，近几年发展很快。目前管理信息、商务数据、生产运营等重要信息网络系统已初具规模，信息网络系统的运用已成为民航各级政府管理部门日常工作和企业生产运营的主要工具。众所周知，在航空运输中“安全是命脉，服务是保证”，信息系统的安全运行将直接影响着民航“安全飞行”和服务质量，两者息息相关。因此，如何保证和提高信息网络系统的安全运行和管理水平对保证飞行安全至关重要。民航的信息系统具有网络规模大、系统复杂、专业性强的特点，部分网络还依托电信部门，给安全管理带来很大困难。由于历史原因，多数系统在建设初期所制定和采用的安全管理及技术措施已相对落后。虽经不断升级改造，在系统功能上有较大提高。但在系统建设、保证网络系统安全运行和信息保密的问题上，尚缺乏统一的信息安全标准、完善的管理机制和法规条例，给系统的安全运行埋下隐患。目前，民航在网络和信息安全方面尚存在以下主要问题：1、 对网络和信息安全的重要性认识程度不高、网络和信息安全知识的普及教育不够。信息安全观念淡漠，安全操作技能低，安全管理尚未完全到位；2、 信息系统安全法规建设滞后，缺乏计算机信息系统安全管理条例，缺乏网络安全机制，缺乏规范性的标准和信息安全责任机制。在管理上缺乏依据，造成信息安全管理上无“法”可依的状态；3、 信息网络系统的安全建设尚缺乏统一标准，部分生产、非生产数据混合在一网内传输，缺少必要的安全界限，存在网络安全隐患，系统间协调防范能力弱；4、 在信息系统建设中，重系统规模功能，轻安全管理。网络安全设备的基础设施投资不足，网络监控设备，重要数据的备份资源短缺，不利于灾难性事故后的快速恢复；5、 对如何保证网络和信息安全的管理和技术两方面的研究不够，网络安全技术人才队伍建设和人才培养欠缺。 民航信息化工作领导小组和管理部门始终对民航计算机信息系统的安全问题非常重视。在“党的十六大”和 “两会”期间，民航总局成立了网络和信息安全协调小组，安排和部署全行业的网络和信息安全工作，并将信息安全提高到与飞行安全、空防安全同等重要的位置。民航各信息系统应用部门在长期实践和各次敏感日期时网络和信息安全保障工作中，总结和积累了大量的保障计算机信息系统安全运行的工作经验和方法，为建立“民航网络和信息安全保障机制”打下了基础。目前，有关部门正准备对民航信息化工作进程开展调查评估，这对全面掌握和分析民航信息化工作现状，做好安全工作十分必要。虽然民航网络和信息安全的总体形式是好的，但在管理体制、技术措施、安全理念等方面还存在很大差距。面对日趋复杂的网络环境和安全威胁，传统的安全观念、简单化的安全措施和粗放的管理方法已不适应这种变化。随着民航信息化工作的深入发展，电子政务和电子商务等信息系统的逐步应用，网络和信息安全工作显得犹为重要。必须居安思危、未雨绸缪，提高安全防范意识，加强民航信息网络的安全能力。因此，建立民航网络和信息安全保障机制，实现“以管理为根本、以法规为保障、以标准为基础、以技术为手段”的信息安全管理目标，对确保民航计算机信息网络系统的安全运行，保障飞行安全、提高服务质量，增强竞争力和促进行业稳定发展是十分必要的。二、民航网络和信息安全保障机制的内容网络和信息安全长效保障机制的建立是一项系统工程，它包括管理保障机制、技术保障机制和法规保障机制。管理保障机制通常包括组织机构落实、信息网络安全风险分析、安全策略、和安全制度；技术保障机制是信息系统建设集成、安全产品研究开发、系统和产品安全检测、评估、认证、安全技术标准制定、安全产品采购、信息安全服务的有机整体；法规保障机制则是以法规制度的强制性保障信息系统的安全运行，维护和规范信息网络空间的管理秩序。根据民航的具体情况，我们认为民航网络和信息安全长效保障机制应包括以下内容：1、 开展对民航计算机信息系统安全现状的调研评估工作 作为先期工作，对行业信息安全现状的分析是建立信息安全保障机制的前提。本项工作可与民航信息化工作进程调查评估同步进行，以实地考察、研讨会和函调的方式从组织管理、安全措施、技术措施、应急保障、技术队伍等方面对民航主要信息系统进行调研，全面掌握各信息系统的安全工作现状，建立民航信息安全工作档案。调查对象包括各管理部门的管理信息系统，空管数据通信、航行情报、气象和雷达信息系统；航空公司飞行（航班）计划、机务维修管理系统、收益分析系统，机场生产运营综合管理信息系统，主要商务数据和服务信息系统。同时建立信息安全情况汇报制度，加强信息反馈。2、 制定民航计算机信息系统安全管理规定与信息系统建设相比，民航在计算机信息系统法规建设上还相对滞后，虽然各管理和生产部门自行制定了安全管理制度，但由于缺乏完整统一的规章制度，不利全行业安全工作的组织管理。因此，制定民航计算机信息系统安全管理规定，改变民航在信息系统管理方面无法可依的局面，是信息安全长效机制建设中的主要工作。规定包括：总则、组织管理、计算机和信息网络系统使用管理制度、技术保障措施、安全保护监督职责、责任处罚和附则等章节。通过本规定的建立规范民航各级信息安全管理组织结构、组建民航信息安全管理中心、理顺各级信息系统的安全管理部门的关系，明确安全管理监督职责和安全工作流程，形成自下而上的管理和信息渠道，组成安全信息网络。按照管理职责和管理工作流程制定和完善安全管理制度、技术保障措施，规范信息系统的日常操作、运行维护、审计监督和对各类网络运行文档进行统一管理，并依据规定中的有关条款对造成安全责任事故相关人员进行追究。3、开展对重要信息系统的信息安全风险评估4、制定民航计算机信息系统安全标准和安全等级。 根据网络和信息安全涉及内容，对照国家信息系统安全标准，研究制定民航各业务系统（空管、航空公司、机场和其它用于保障服务的信息系统）网络和信息安全标准、划分安全等级。按照系统功能、信息资产、重要程度、应用范围和网络规模等方面对民航各重要信息系统进行安全等级的评定工作，从管理、技术、设备上规范信息系统建设和运行，提高安全水平。5、制定民航网络和信息安全应急预案编制要求 应急预案是当信息系统受到攻击和重要日期（如：重要会议、节假日和其它敏感日期）时，需要采取的特殊保护措施，具有更高的保护级别和更强的技术手段。它可在原有安全措施的基础上，调动各种有效资源，保护和迅速恢复信息系统正常工作，保证关键业务的不见断运行。应急预案的编制应包括工作流程、适用范围、启动和中止条件、责任分工、主要任务及编制步骤、内容和注意事项。6、开展信息安全知识普及和实施信息安全人材培训计划编写信息安全知识手册，普及病毒防治知识，提高安全防范意识，加强在信息安全方面的自我保护能力。建立一套安全培训制度，针对不同水平的用户进行分级培训，逐步提高民航计算机用户的信息安全意识和技术水平。开展对信息安全产品开发和安全技术应用的研究工作，建立安全服务机制和培养一批具有较高水平的信息安全技术人员，为政府机关、企事业单位的计算机系统和网络提供强有力的安全技术支持和服务。通过以上工作形成一整套制度化、规范化的运行机制，全面提高民航信息安全整体水平。确保信息安全管理组织健全、安全制度完整、技术措施可靠、信息系统网络安全、信息系统数据安全、安全资料齐全和应急系统有效，实现网络和信息安全管理目标。三、民航网络和信息安全保障机制建设中应注意的问题 民航网络和信息安全长效保障机制是民航信息化工作中重要组成部分，是指导全行业做好网络和信息安全工作、规范管理制度和技术措施，统一安全标准等方面的工作原则和实施纲要。在建设中必须从有利于政府管理和加强行业规范的角度出发进行研究，使该机制具有政策性、可操作性，便于实施和监督管理。1、 项目管理应由民航信息化工作规划和信息安全管理部门统筹负责，发挥民航在信息技术方面的人材优势，组织业内管理和技术专家，开展对民航计算机信息系统安全情况调查和评估。以国家相关法规条例为依据，以民航各信息网络业务系统安全措施为基础，参考国内外相关行业的成功经验，全面分析民航网络信息安全的整体情况。从管理和技术层面上对现有的安全措施进行全新整合，制定符合民航需求的各项规章制度。2、 航空运输是由空管、航空公司、机场和各类保障系统构成的综合行业，分工复杂、专业性强。因此，建立应用于全行业的集中统一的保障机制决不可一蹴而就。同时，机制的科学性和完整性、安全性也需要实践的检验。通过实行信息安全示范工程，取得经验，完善修改，逐步实施。3、 在对保障机制的研究中，应当突出民航特点，分清重点。对民航来说，保证飞行安全是航空运输的首要问题。其它系统的安全都是以实现这一目标而开展的。航空安全离不开各个保障系统的安全有效的工作，要紧紧围绕着保证航空运输安全这个中心制定网络和信息系统安全的管理和技术措施。4、 加强安全意识，实行一把手负责制。目前在政府机关、企事业单位中，不重视网络安全是一个普遍存在的问题。应当认识到，各级领导的安全意识是保证信息网络的整体安全的关键。领导干部应将网络安全意识与政治意识、责任意识、法律意识、保密意识联系起来，将网络安全纳入人人有责、人人负责、由第一把手总负责的安全管理体制中。5、 强调管理在保障机制中的重要性，统计表明由管理方面的原因造成信息安全问题约占60以上，内部人员的操作失误而引发的安全事故层出不穷。因此，保障机制的建立不是对现有安全措施的简单完善和补充。而是建立集中统一的安全管理平台，是针对全行业网络和信息安全的更全面、更可靠、更有针对性的，具有全局性、应急、恢复和不间断性的特别保障手段，它必须将分散的、相对独立和局部的保障措施联系起来，强调整体性、规范性和操作性，是管理和技术的高度结合。6、 在保障机制中，要明确政府、企业、各级行政管理部门和相关服务保障机构的功能和职责。在这个机制中，各个单位都承担着相应的责任。保障机制同样是网络，将航空运输的各个环节编织在一起，共同承担信息安全责任。7、 建立网络和信息安全防护保障机制是一个有别于传统安全措施的全新课题，在研究方式上要开阔思路，勇于创新。要密切注意和跟踪国内外安全防护机制等方面的信息，吸取先进的安全理念和方法。摆脱原有模式，建立具有中国民航特色的具有管理制约、技术保障和安全设施支撑的网络和信息安全长效保障机制。 民航是计算机信息系统应用广泛的行业，网络和信息安全直接影响到飞行安全和服务质量。随着民航体制改革的深入进行和六大集团的相继成立，企业将成为信息系统建设中的主导者和实施者。推进企业信息化工作，一直是政府致力的目标。而信息系统数量的增加，将进一步加大政府对全行业信息安全管理的难度。因此，在加速民航信息化建设的同时，如何加强对民航计算机网络和信息系统安全的监督管理，已成为民航管理部门面临的重要课题。现代信息安全技术和理论认为：网络安全和信息安全是密布可分的整体，是一个动态的、整体的、持续的问题，任何安全系统都无法提供一劳永逸的安全保障。对民航这样一个综合性行业来讲，仅依靠在各个信息系统中采用安全