严明：重视信息安全保障民航发展_滚动新闻_财经纵横

严明：重视信息安全保障民航发展

http://finance.sina.com.cn 2003年11月17日 13:27 中国民航报

　　公安部第三研究所所长国家反计算机入侵和防病毒研究中心主任

　　严明

　　任何一项技术在其发展过程中都会产生自己的对立面，网络的好处在于它广泛的互联，然而麻烦也正是来自于它广泛的互联。

　　计算机系统的脆弱性是一个我们必须面对的事实。令人担忧的是，随着计算机应用的普及和软硬件产品的不断更新，其安全问题正在成几何级数增加。被病毒感染的计算机数量越来越多，损失也越来越严重。因此，党和国家领导人曾经指出：“信息和网络安全关系国家安全。”

　　金融、电信和民航一向被认为是我国信息化程度最高的三大行业，也是信息化手段更新最快、对信息技术依赖性最强的行业。安全生产是民航运输业的重中之重，但是由于信息安全保障不足，今年7月，某机场的计算机网络系统突然瘫痪，一时间，所有飞机无法起降，大量乘客被困机场，严重影响机场的正常运营，并造成了巨大的损失。而在不久之后，某大型民航机场的信息系统又突然出现问题，所幸几分钟后机场备用系统成功地接替了工作，顺利化险为夷。这些例子说明，当前民航网络和信息安全形势不容乐观，重要的网络和信息系统缺乏必要的安全防范手段，这同样也成为了民航信息化建设的隐患。

　　值得一提的是，和国外相比，信息网络安全在国内的信息系统建设过程中所受到的重视程度往往不够，投资所占的比例明显偏低。也许这正是我国信息系统安全的隐忧所在。虽然我国民航信息系统的情况相对要好一些，但是和整个信息系统的安全需求相比，仍需有所加强。前面所举的实例中，涉及到民航信息系统的备用系统建设，就需要大量的资金投入。笔者认为，在当前民航网络安全系统的建设过程中，以下三个问题值得我们重视和探讨：风险度问题

　　现代信息系统是一个非线性的智能化人机结合的复杂大系统。由于人能力的局限性，即便有再好的愿望，出于多美好的出发点，信息系统总是会存在漏洞，无法禁绝，而使用和管理系统的人也总会存在犯错误的可能性。

　　当前对于系统安全性的研究，攻击和反攻击技术也在相互追逐，不断提高，正所谓“道高一尺，魔高一丈”，其发展没有尽头。当前我们认为还算安全的系统，不久之后就可能发现其不够安全，因为发现了新的漏洞，黑客研究出了新的攻击技术，或者病毒制造者设计出了新的病毒程序，甚至仅仅是由于我们对系统进行了重新配置，从而带来了新的安全威胁等等。因此，如果我们把信息安全的目标定位于：“系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄密”，可以说，那是永远不可能实现的！

　　所以，安全只能是相对的，这是一个风险的问题，是一个动态的过程。我们不应当一厢情愿地追求所谓绝对安全，而是要追求将安全风险控制在合理程度或允许的范围内。这就是信息安全的风险度观点。适度安全问题

　　既然我们要实现的是合理和可以允许的风险度，我们追求的当然就是适度安全，这里需要运用科学的评估方法，围绕威胁、资产、脆弱性、安全措施等，对系统安全的风险度展开分析。在评估时不仅要考虑现有环境，还应考虑近期和远期发展变化的趋势。然后，我们还应该评估控制风险所需要付出的安全代价。在此基础上，对风险和代价进行均衡，最终确定相应的安全策略。

　　正因为如此，网络信息安全的等级保护概念应运而生。应当强调的是，中央和国家领导部门已经将计算机安全登记保护的管理，作为国家信息安全的基本框架推行。

　　“木桶效应”问题

　　所谓“木桶效应”，是将信息系统的整体安全比作一个木桶。其安全水平是由构成木桶的最短的那块木板所决定的。这也就是说，在我们的网络信息安全体系中，各个安全要素都同等重要。所谓“蝼蚁之穴，溃千里之堤”，各方面的安全要素均不容忽视。但是特别应当强调的是，安全管理在信息安全的各个要素中具有极其重要的地位。有人将安全管理的漏洞比作存在于木桶桶底的漏洞，言下之意是：如果安全管理不符合要求，其他安全措施即使投入再大也无济于事。

　　作者点评

　　1999年9月13日，国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准《计算机信息安全保护等级划分准则》。该准则是建立安全等级保护制度、实施安全等级管理的重要基础性标准。它将计算机信息系统分为五个安全保护等级，并正在继续制定一系列配套标准和法规，这些标准将为我国信息安全保障体系的建设和管理提供技术指导和支持。据了解，我国民航的全球分销系统(GDS)已经完成主体工程；电子商务和电子客票在南航、深航航空公司开始得到广泛应用；离港信息系统先后在全国吞吐量前100位的机场进行安装；中航油企业资源计划管理(ERP)在华东等地区完成试点。其他各项信息化工程也在稳步推进之中。

　　我国民航信息网是覆盖全国的巨型网络，存在着众多的信息系统，由各个部门进行管理和使用，所以应当根据其计算机信息系统所处理信息的敏感程度、业务应用性质和部门重要程度，按照国家有关标准，分别确定其计算机信息系统的安全保护等级并实施安全保护。

　　近日欣闻第五届民航信息化发展论坛即将在上海召开，我认为，“网络与信息安全”是本届论坛非常有价值的一个议题，并预祝论坛活动取得圆满成功，同时也希望我国民航业在为乘客提供安全舒适

　　的服务过程中不断得以成长壮大！