民航成都電子技術(shù)有限責(zé)任公司高級(jí)工程師 產(chǎn)品事業(yè)部總助 馬勇(張哈斯巴根/攝)
網(wǎng)絡(luò)安全應(yīng)急政策法規(guī)及案例解讀
馬勇:尊敬的各位領(lǐng)導(dǎo),各位來賓,還有各位同仁,大家下午好!我是民航二所的馬勇。
今天非常榮幸給大家分享我在網(wǎng)絡(luò)安全方面的一些淺見,大家說網(wǎng)絡(luò)安全和我們的主題應(yīng)急有什么關(guān)系呢,其實(shí)隨著智慧民航建設(shè)的持續(xù)推進(jìn),我們民航對(duì)信息化的依賴程度越來越高,一旦我們信息系統(tǒng)出現(xiàn)事故,可能就會(huì)嚴(yán)重地影響到我們行業(yè)的業(yè)務(wù)系統(tǒng)的安全運(yùn)行,以及我們旅客的合法的權(quán)益,因此我們?cè)谶M(jìn)行開展各項(xiàng)工作的時(shí)候,網(wǎng)絡(luò)安全工作它的應(yīng)急也是不能輕視的,網(wǎng)絡(luò)安全事件它的應(yīng)急處置是怎樣的,首先我們要明確一個(gè)定義,什么叫網(wǎng)絡(luò)安全事件。
網(wǎng)絡(luò)安全事件的定義,它是有國家標(biāo)準(zhǔn)的,在信息安全技術(shù),網(wǎng)絡(luò)安全事件分類分級(jí)指南里明確指出,網(wǎng)絡(luò)安全事件是由于人為原因、網(wǎng)絡(luò)遭受攻擊、網(wǎng)絡(luò)存在漏洞隱患、軟硬件缺陷或故障、不可抗力等因素,對(duì)網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)與業(yè)務(wù)造成危害,對(duì)國家、社會(huì)、經(jīng)濟(jì)造成負(fù)面影響的事件,這叫網(wǎng)絡(luò)安全事件。其實(shí)網(wǎng)絡(luò)安全應(yīng)急第一概念就是什么叫網(wǎng)絡(luò)安全事件,網(wǎng)絡(luò)安全事件有哪些類別,其實(shí)它包括惡意程序事件、網(wǎng)絡(luò)攻擊事件、數(shù)據(jù)安全事件、信息內(nèi)容安全事件等10個(gè)類別事件,每個(gè)類別下還有子類別,這是國家標(biāo)準(zhǔn)對(duì)這個(gè)定義。
還有叫國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,其實(shí)很多民航的專家或者是領(lǐng)導(dǎo),都對(duì)應(yīng)急做了一些深入的闡述,網(wǎng)絡(luò)安全事件和剛才的標(biāo)準(zhǔn)基本類似,就有人為原因,軟硬件缺陷和故障,自然災(zāi)害等對(duì)網(wǎng)絡(luò)和信息系統(tǒng)造成危害或者對(duì)社會(huì)造成負(fù)面影響的事件,這是我們對(duì)網(wǎng)絡(luò)安全事件的定義。
了解到網(wǎng)絡(luò)安全事件的定義之后,我們才對(duì)網(wǎng)絡(luò)安全應(yīng)急該做哪些,它的范圍有所了解。
這是一個(gè)國家標(biāo)準(zhǔn)里關(guān)于網(wǎng)絡(luò)安全事件的分類的表,其中惡意程序事件就分了將近10種,還有網(wǎng)絡(luò)攻擊事件,還有設(shè)備故障事件,違規(guī)操作事件等等這些都通通歸為網(wǎng)絡(luò)安全事件。
網(wǎng)絡(luò)安全事件它是分級(jí)的,其實(shí)其他的事件有分級(jí),網(wǎng)絡(luò)安全也是有分級(jí)的,網(wǎng)絡(luò)安全事件按照事件對(duì)對(duì)象的影響程度,它可以分為主要是四個(gè)級(jí)別,是特別重大網(wǎng)絡(luò)安全事件,重大網(wǎng)絡(luò)安全事件,較大網(wǎng)絡(luò)安全事件,和一般網(wǎng)絡(luò)安全事件,其實(shí)大家知道在我們民航領(lǐng)域,什么樣的級(jí)別網(wǎng)絡(luò)安全事件要立即上報(bào)民航局,這我們民航是有規(guī)定的,像重大和特別重大的網(wǎng)絡(luò)安全事件,要在四個(gè)小時(shí)之內(nèi)向民航局形成書面報(bào)告的,這是在應(yīng)急管理過程中要關(guān)注的。
除了國家的我下面寫的這幾個(gè)類別根據(jù)國家相關(guān)的規(guī)定,規(guī)定的四個(gè)類別,第一類是特別重大的網(wǎng)絡(luò)安全事件,就是指重要的網(wǎng)絡(luò)和信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失,造成大面積的癱瘓,喪失業(yè)務(wù)處理能力這是第一。第二國家秘密,重要敏感信息和數(shù)據(jù)丟失或被竊取、篡改、假冒,對(duì)國家和社會(huì)穩(wěn)定造成特別嚴(yán)重的威脅,第三是其他對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公眾利益構(gòu)成特別嚴(yán)重威脅,造成特別嚴(yán)重影響的網(wǎng)絡(luò)安全事件,這是叫特別重大網(wǎng)絡(luò)安全事件,其實(shí)以此類推下面有重大網(wǎng)絡(luò)安全事件、較大網(wǎng)絡(luò)安全事件、一般網(wǎng)絡(luò)安全事件。
現(xiàn)在我們做應(yīng)急處置的時(shí)候,一定要定義好網(wǎng)絡(luò)安全事件的級(jí)別,網(wǎng)絡(luò)安全事件的級(jí)別不是一成不變的,隨著我們處理能力而變化,比如說一開始這個(gè)事件是一個(gè)小事件,但是由于我們處置不當(dāng),或者不重視,它就進(jìn)而會(huì)演變成一個(gè)較大或者重大的網(wǎng)絡(luò)安全事件,事件是動(dòng)態(tài)變化的。
大家看這個(gè)事件是怎么分類分級(jí)的,其實(shí)主要看影響的是誰,第二造成有多大的影響,比如說對(duì)業(yè)務(wù)的影響,分為從較小到特別嚴(yán)重,這四個(gè)級(jí)別,從對(duì)事件的影響程度又分特別重要和一般,這樣來劃分,這是基于網(wǎng)絡(luò)安全事件和業(yè)務(wù)損失的嚴(yán)重程度的關(guān)系對(duì)比,還有一個(gè)就是網(wǎng)絡(luò)安全事件的級(jí)別和社會(huì)危害的嚴(yán)重程度的一個(gè)關(guān)系對(duì)比,比如說我們說網(wǎng)絡(luò)輿情事件,網(wǎng)絡(luò)安全事件里面有輿情事件,它可能對(duì)我們系統(tǒng)運(yùn)行造成不了太大影響,但是對(duì)我們社會(huì)的經(jīng)濟(jì)運(yùn)行或者是安全穩(wěn)定會(huì)造成特別大的影響。所以我們從兩個(gè)角度考慮,一個(gè)是業(yè)務(wù),一個(gè)是社會(huì)危害來考慮事件的級(jí)別。
下面這個(gè)也是根據(jù)標(biāo)準(zhǔn)來定義的,雖然都是同一個(gè)事件,但是它所爆發(fā)的影響程度不一樣,它所造成的級(jí)別也是不一樣的,比如說像惡性程序事件,就是一般事件一次已知惡意程序被攔截或發(fā)現(xiàn),這是一般事件,如果同樣是惡意程序事件,會(huì)造成惡意程序多次感染或者嚴(yán)重感染,導(dǎo)致特別嚴(yán)重的業(yè)務(wù)損失,雖然都是惡意程序事件,但是造成影響不一樣,所以我們對(duì)事件最后的級(jí)別,定性也是不一樣的。所以大家也要理清楚這個(gè)網(wǎng)絡(luò)安全事件和它的級(jí)別之間的關(guān)系。
接下來我們對(duì)網(wǎng)絡(luò)安全事件有了初步的定義,我們?cè)倭私庖幌聡液托袠I(yè)對(duì)網(wǎng)絡(luò)安全應(yīng)急有哪些政策的要求。
首先,我們都知道網(wǎng)絡(luò)安全法,網(wǎng)絡(luò)安全是我國的關(guān)于網(wǎng)絡(luò)安全的基礎(chǔ)法和基本法,在《網(wǎng)絡(luò)安全法》里,第五章有監(jiān)測預(yù)警和應(yīng)急處置的要求,其中第51條提到國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度,這里面第53條提到了國家網(wǎng)信部門協(xié)調(diào)有關(guān)部門建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并定期組織演練。第57條,因網(wǎng)絡(luò)安全事件發(fā)生突發(fā)事件或者生產(chǎn)安全事故的,應(yīng)當(dāng)依照《中華人民共和國突發(fā)事件應(yīng)對(duì)法》《中華人民共和國安全生產(chǎn)法》等有關(guān)法律、行政法規(guī)的規(guī)定處置,網(wǎng)絡(luò)安全事件發(fā)生之后我們沒有什么處置依據(jù),但是這里面已經(jīng)給了參考,是網(wǎng)絡(luò)安全事件導(dǎo)致了生產(chǎn)事故,可以依據(jù)《安全生產(chǎn)法》和《突發(fā)事件應(yīng)對(duì)法》來進(jìn)行處置的,這是日常管理中要注意的,當(dāng)然我們還存在一個(gè),一件事不能多罰,網(wǎng)絡(luò)安全處罰了就不能用這個(gè)來罰了,大家在處置的時(shí)候應(yīng)當(dāng)要注意一下。
其次我們?cè)诰W(wǎng)絡(luò)安全法大家還比較常見的就是比較關(guān)注的,《數(shù)據(jù)安全法》其中第23條也提到了國家建立數(shù)據(jù)安全應(yīng)急處置機(jī)制,發(fā)生數(shù)據(jù)安全事件時(shí)有關(guān)主管部門應(yīng)當(dāng)啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的應(yīng)急處置措施,防止危害擴(kuò)大,消除安全隱患,并及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息。那這里給大家提問一個(gè)問題,網(wǎng)絡(luò)安全事件和數(shù)據(jù)安全事件,在處置的時(shí)候有什么不同,我們一般認(rèn)為網(wǎng)絡(luò)安全事件我處置完這個(gè)事件就結(jié)束了,但是數(shù)據(jù)安全事件不一定,數(shù)據(jù)泄漏了所造成的影響,是很難挽回的,已經(jīng)泄露出去了,已經(jīng)散步到黑市或者說社會(huì)上了,比如說舉一個(gè)簡單的例子。如果信息系統(tǒng)癱了我把它系統(tǒng)故障修復(fù)了就恢復(fù)正常運(yùn)行,這個(gè)事情就結(jié)束了,但是如果是我的假如說銀行的,用密碼大批量泄漏又沒及時(shí)得到通知,那么黑客就可能利用這個(gè)時(shí)機(jī)來用我的用戶名密碼來登錄銀行的賬號(hào)來竊取我的各種的資產(chǎn)。不但是這樣而且在利用你的用戶名密碼在別的系統(tǒng)登錄,因?yàn)槲覀兇蠹矣幸粋€(gè)習(xí)慣,很多重要的系統(tǒng)密碼都是同一個(gè)。如果沒有及時(shí)通知到你要修改這個(gè)密碼可能就會(huì)造成相應(yīng)的影響。所以這里面網(wǎng)絡(luò)安全事件和數(shù)據(jù)安全事件在應(yīng)急處置方面還是有一些不同的。
還有提到《個(gè)人信息保護(hù)法》,57條發(fā)生或者可能發(fā)生個(gè)人信息泄漏、篡改、丟失的,個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施,并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人,這里面就提到發(fā)生或者可能發(fā)生個(gè)人信息泄漏、篡改,丟失的信息種類、原因和可能造成的危害,第二個(gè)人信息處理者采取補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施,第三就是個(gè)人信息處理者的聯(lián)系方式,如果沒有提醒到我們個(gè)人,黑客可以利用竊取的信息做一些違法的事情,影響到我們個(gè)人的財(cái)產(chǎn)安全,或者說我們其他的隱私安全。
在民航緊密相關(guān)的就是旅客信息,這里面近期的話,這是公安部和民航局對(duì)個(gè)人信息的保護(hù)也是非常高度關(guān)注的。
我們還提到關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù),在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)里提到,應(yīng)該按照國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的要求,建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,定期組織應(yīng)急演練,指導(dǎo)運(yùn)營者做好網(wǎng)絡(luò)安全事件應(yīng)對(duì)處置,并根據(jù)需要組織提供技術(shù)支持和協(xié)助。
還有其他相關(guān)的一系列的政策和法規(guī),國家相關(guān)部門也提出相關(guān)的要求。
下面就講國家網(wǎng)絡(luò)安全應(yīng)急預(yù)案,其實(shí)是各單位甚至各行業(yè)寫自己預(yù)案的一個(gè)范本,這對(duì)我們寫自己網(wǎng)絡(luò)安全事件預(yù)案是一個(gè)指導(dǎo),編制依據(jù),《突發(fā)事件應(yīng)對(duì)法》《網(wǎng)絡(luò)安全法》《國家突發(fā)公共事件總體應(yīng)急預(yù)案》《突發(fā)事件應(yīng)急預(yù)案管理辦法》《信息安全技術(shù)信息安全時(shí)間分類分級(jí)指南》等相關(guān)依據(jù)。
剛才講到是國家的,關(guān)于網(wǎng)絡(luò)安全應(yīng)急方面的一些要求,我們行業(yè)有沒有要求,行業(yè)很早也就對(duì)網(wǎng)絡(luò)安全應(yīng)急提出了相關(guān)的要求,在《民航網(wǎng)絡(luò)與信息安全管理暫行辦法》第5章應(yīng)急管理與處置里就提到了,各單位應(yīng)建立信息安全應(yīng)急管理制度,指定網(wǎng)絡(luò)與信息系統(tǒng)應(yīng)急處置預(yù)案,定期開展應(yīng)急演練,第27條各單位應(yīng)建立重要信息系統(tǒng)災(zāi)難備份和回復(fù)制度,這些都是對(duì)網(wǎng)絡(luò)安全應(yīng)急提出的具體要求。
其實(shí)在我們近期的發(fā)布的《“十四五”民用航空發(fā)展規(guī)劃》第九章就提到了,要強(qiáng)化網(wǎng)絡(luò)安全應(yīng)急處置能力,提高網(wǎng)絡(luò)安全事件動(dòng)態(tài)響應(yīng)和恢復(fù)處置能力,建立重大網(wǎng)絡(luò)安全事件應(yīng)急指揮機(jī)制,提升事前防范、事中監(jiān)測和事后應(yīng)急保障水平,是對(duì)網(wǎng)絡(luò)安全的一個(gè)規(guī)劃。其中支持建設(shè)行業(yè)應(yīng)急處置仿真實(shí)訓(xùn)平臺(tái)和網(wǎng)絡(luò)攻防靶場,來提升實(shí)戰(zhàn)對(duì)抗和事件溯源的能力,這是民航對(duì)這個(gè)網(wǎng)絡(luò)安全應(yīng)急能力的一個(gè)規(guī)劃。
提到國家的政策和定義,那有沒有網(wǎng)絡(luò)安全事件,我們國家民航行業(yè)對(duì)于網(wǎng)絡(luò)安全事件應(yīng)急處理能力是怎樣的?各單位能否給自己打一個(gè)分,這里面由于其實(shí)目前的案例還是挺多的,我們國家的民航領(lǐng)域內(nèi)網(wǎng)絡(luò)安全事件也是挺多的,我這里先講國外的案例。
近日,一場全球性重大IT故障導(dǎo)致約850萬臺(tái)Windows電腦出現(xiàn)藍(lán)屏死機(jī),并對(duì)多個(gè)行業(yè)造成嚴(yán)重沖擊,這次事件中全球范圍內(nèi),5078次航班取消,占計(jì)劃航班的4.6%,達(dá)美航空,成為此次故障的重大受害者之一,給達(dá)美航空帶來3.5億至5億美元的巨額損失,導(dǎo)致近7000個(gè)航班被迫取消,同時(shí)公司還需應(yīng)對(duì)超過17.6萬份的退款和賠償請(qǐng)求,Windows的安全組件升級(jí)出現(xiàn)故障導(dǎo)致系統(tǒng)藍(lán)屏,原因很簡單,但是這一塊,我們對(duì)于這種新風(fēng)險(xiǎn)如何應(yīng)對(duì),我們行業(yè)里也采取大量的新技術(shù),這些新風(fēng)險(xiǎn)我們有沒有應(yīng)對(duì)措施。
還有就是關(guān)于網(wǎng)絡(luò)安全應(yīng)急措施的研究方面,也是美國聯(lián)邦航空航行通告系統(tǒng)出現(xiàn)無法更新的故障,也導(dǎo)致美國所有航空公司在美國東部時(shí)間9時(shí)暫停所有的國內(nèi)航班,這也是應(yīng)急方面存在的缺陷,反過來講,這個(gè)事件出來以后,民航局也是在自問,我們遇到這個(gè)問題能否處置呢。
還有就是全要素網(wǎng)絡(luò)安全應(yīng)急演練,為了貫徹落實(shí)《網(wǎng)絡(luò)安全法》和民航局的有關(guān)要求,廈門航空于6月11日晚間針對(duì)航班運(yùn)行控制系統(tǒng)開展網(wǎng)絡(luò)安全應(yīng)急實(shí)戰(zhàn)演練,通過這個(gè)演練也檢驗(yàn)了廈航在應(yīng)急能力和應(yīng)急演練的有效性,廈門航空敢做這個(gè)全要素的演練,我們其他的航空公司敢做這樣的全要素的應(yīng)急演練嗎,今天上午專家也提到了針對(duì)應(yīng)急工作,是防為上、救次之、誡之下,包含識(shí)別風(fēng)險(xiǎn)、處置風(fēng)險(xiǎn)、監(jiān)測風(fēng)險(xiǎn)、應(yīng)急預(yù)案管理和應(yīng)急演練這些方面的內(nèi)容。
同時(shí)我個(gè)人作為民航科技創(chuàng)新示范區(qū),信息安全新技術(shù)研究實(shí)驗(yàn)室的種子選手我們也在承擔(dān)民航網(wǎng)絡(luò)安全實(shí)驗(yàn)室的建設(shè),我們致力于是打造網(wǎng)絡(luò)安全處置中心和技術(shù)中心。
網(wǎng)絡(luò)安全技術(shù)保障研究,包括常見的網(wǎng)絡(luò)安全威脅和防范措施,這是我們?cè)趯?shí)驗(yàn)室要建的關(guān)于網(wǎng)絡(luò)安全實(shí)訓(xùn)的內(nèi)容,一是開展工作研究,第二就是來給大家提供網(wǎng)絡(luò)安全應(yīng)急演練實(shí)訓(xùn)的環(huán)境,第三就是能夠給大家做一個(gè)技術(shù)支撐。