空中的信息安全

那罡

航空公司經(jīng)過多年的發(fā)展,在飛行安全方面取得了很大進(jìn)步,隨著IT與航空之間的關(guān)系越來越密切,航空公司逐漸在重視信息安全的重要性,但對(duì)于大多數(shù)航空公司而言,信息安全仍然是他們的短板。

通過安全認(rèn)證

隨著國航信息系統(tǒng)建設(shè)的飛速發(fā)展,在奧運(yùn)安全保障工作中,安全不再只是空防安全和飛行安全,信息安全已成為奧運(yùn)安保的重要環(huán)節(jié),并納入公司和信息管理部2008年重點(diǎn)工作之中。國航信息安全規(guī)劃咨詢項(xiàng)目就是在奧運(yùn)安保和國航信息系統(tǒng)跨越式發(fā)展的大背景下立項(xiàng)建設(shè)的,它旨在為國航信息安全體系建設(shè)打下堅(jiān)實(shí)的理論基礎(chǔ)。

國航也是通過這個(gè)項(xiàng)目完成了未來3~5年信息安全建設(shè)的發(fā)展規(guī)劃,建立了信息安全管理體系,于近日最終通過了ISO 27001信息安全管理體系認(rèn)證,使國航成為國內(nèi)首家通過此國際認(rèn)證的航空企業(yè),進(jìn)一步提升了公司的綜合競(jìng)爭(zhēng)實(shí)力。

記者了解到,ISO 27001是國際信息安全領(lǐng)域的重要標(biāo)準(zhǔn),它的前身源自英國標(biāo)準(zhǔn)協(xié)會(huì)(British Standards Institute,BSI)在1995年2月制定的信息安全管理標(biāo)準(zhǔn) BS 7799,經(jīng)修訂后,于2005年10月15日作為國際標(biāo)準(zhǔn)ISOIEC 27001/2005發(fā)布。該標(biāo)準(zhǔn)基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念,可用于信息安全管理體系的建立和實(shí)施,保障信息安全,全面系統(tǒng)地持續(xù)改進(jìn)安全管理。國航的信息安全管理體系已于2008年12月就通過了國際權(quán)威認(rèn)證機(jī)構(gòu)的現(xiàn)場(chǎng)審核,具備了獲取ISO 27001信息安全管理體系國際認(rèn)證的條件。

在國航發(fā)展戰(zhàn)略中,信息安全占有非常重要的位置,幾乎所有業(yè)務(wù)都與信息技術(shù)相關(guān),特別是涉及到飛行安全、客戶信任度的商務(wù)及財(cái)務(wù)方面信息等,都需要信息安全管理體系這張保護(hù)網(wǎng)的保障,在這種發(fā)展趨勢(shì)下,國航以建立起成熟的、具備國際水平的信息安全保障體系,保障核心業(yè)務(wù)不中斷、核心系統(tǒng)不被攻擊、客戶信息不泄露為信息安全愿景目標(biāo),

中國國際航空股份有限公司信息管理部總經(jīng)理劉東說,國航有幾百個(gè)系統(tǒng)每天運(yùn)營著國航所有的正常航線、飛機(jī)維護(hù)、機(jī)組人員的管理、人員的編排,還有財(cái)務(wù)的收益管理,以及訂座系統(tǒng)、離崗系統(tǒng)、網(wǎng)絡(luò)收益系統(tǒng)。對(duì)于航空公司來講,每個(gè)系統(tǒng)都不能失控,也不能出問題。

安全蹺蹺板

曾經(jīng)主抓飛行安全如今管信息安全的中國國際航空股份有限公司副總裁賀利,在回顧國航在信息安全方面取得建設(shè)的一些建設(shè)成果時(shí)表示,“信息安全的體系是一個(gè)很復(fù)雜的體系,我們?cè)跇I(yè)界經(jīng)常叫“安全蹺蹺板”,這個(gè)蹺蹺板主要是在IT基礎(chǔ)結(jié)構(gòu)的基礎(chǔ)上,包括三方面內(nèi)容:一是技術(shù)平臺(tái),二是組織和人員,三是制度和流程,由這三方面一起通過我們來執(zhí)行,去構(gòu)成信息安全體系?！?/p>

國航信息管理部技術(shù)管理辦公室高級(jí)經(jīng)理李宗琦表示,如果沒有信息安全管理體系這張保護(hù)網(wǎng),應(yīng)該說國航的飛行安全可能也無法得到保障。

第一要保證國航的核心業(yè)務(wù)不中斷,第二要保證國航信息系統(tǒng)不被攻擊,第三要保證重要客戶的信息不被泄漏,通過這樣的保障體系為國航的業(yè)務(wù)愿景的目標(biāo)實(shí)現(xiàn)保駕護(hù)航。

賀利說,2008年IT工作按照公司的戰(zhàn)略目標(biāo)和戰(zhàn)略重點(diǎn)推進(jìn),SOC等一批核心系統(tǒng)上線,提升了公司運(yùn)行品質(zhì)和管理決策水平,電子商務(wù)成為2008年市場(chǎng)銷售的一大亮點(diǎn),有力支撐和保障了公司2008年七項(xiàng)戰(zhàn)略重點(diǎn)的順利推進(jìn)。完成了信息安全一期建設(shè),完善了制度規(guī)范,強(qiáng)化了技術(shù)防護(hù)手段,成為國內(nèi)業(yè)界第一家通過ISO27001認(rèn)證的航空企業(yè);系統(tǒng)正常率99.99%,網(wǎng)絡(luò)正常率99.99%,與2007年相比提高0.41個(gè)百分點(diǎn),有力保障了T3轉(zhuǎn)場(chǎng)、抗震救災(zāi)、奧運(yùn)保障等公司重大任務(wù)的順利完成。

今后,國航還將不斷對(duì)現(xiàn)有管理體系的操作細(xì)則進(jìn)行完善,進(jìn)一步細(xì)化信息安全管理評(píng)價(jià)機(jī)制,依照既定的信息安全建設(shè)規(guī)劃,未來三年,國航將在用戶身份與信任憑證管理、訪問控制、信息流控制、完整性保護(hù)、安全監(jiān)控與審計(jì)這五大安全服務(wù)領(lǐng)域增加功能組件,建立起符合國航實(shí)際的、完整的信息安全技術(shù)平臺(tái)。