民航业作为我国三大行业之一，其信息化也一直走在前列，就在一周前，由国家信息化测评中心评选出的中国企业信息化500强中，南航、海航和中航油排名靠前。尽管如此，民航业信息化建设水平还有待进一步提升，特别是民航网络与信息安全作为民航信息化建设不可或缺的重要组成部分，正面临越来越严峻的挑战。

　　对此，民航各级领导十分重视，并积极采取相应措施加以防范，本专题特将南航、海 航、东航的网络与信息安全建设情况和思路向读者作一简单介绍。

　　南航：力求“新层次”

　　南航计算机中心黄小波

　　一、概述

　　南方航空公司作为中国三大航空公司之一，从网络信息系统建设初始，就把信息安全建设作为工作的重点，特别是当飞行控制系统(SOC)、常旅客系统、电子客票系统、财务系统等一系列南航关键应用生产系统投产以后，南航已经把网络信息安全建设提高到关系南航飞行安全的高层面了。

　　二、加强信息安全的行政管理

　　在信息安全建设方面，公司专门成立了信息安全领导小组，由公司及各主要部门的一把手亲自抓，并由计算机中心全权负责落实。南航采取的行政措施包括：

　　1.行政规定的完善。

　　先后发布《南航Internet系统管理细则》、《南航计算机系统账号及密码安全管理规定》、《南航计算机病毒防治管理办法》、《南航信息网络出口安全管理规定》等规定。

　　2.加强信息安全的宣传工作。

　　通过内部网站、邮件、《南方航空报》等宣传工具定期发布最新信息安全法规、宣传材料，开辟安全知识专栏，加强对广大员工有关信息安全方面的知识宣传。

　　3.实行信息安全员制度。

　　以信息部门为主，各主要部门都有人员参加，负责落实南航统一的信息安全建设，同时统一对信息安全员进行培训。

　　三、加强信息安全的技术保障

　　南航从网络、操作系统、应用软件、防病毒管理、用户管理等五个技术层次着手构架信息安全防护体系。

　　四、持续的网络信息安全建设

　　经过几年持续的建设，目前南航的网络信息安全体系已经初具规模。在去年十六大及今年的“两会”期间，我们顺利地保障了南航网络信息系统的正常运行；同时由于预防措施得当，成功地抵挡了诸如“SQL蠕虫王”病毒、“冲击波”病毒的攻击。

　　我们认为，网络信息安全建设作为南航信息化建设的一个重要组成部分，关系到南航计算机应用系统能否正常运行，关系到飞行的安全，必须持之以恒地加以建设，并力争把南航的整体信息安全水平提高到一个新的层次。

　　海航：“否决”一劳永逸

　　邹臻杰赵晓兵

　　经过10年的发展，目前海航集团初步形成了以海口、北京、上海、西安为中心，辐射全国、承载多项业务应用的综合性大型广域网络系统。

　　海航集团网络化、信息化建设的纵深推进，网络及应用系统的大量应用，在提高企业办公效率、提升企业管理水平的同时，随着信息的开放互联也将带来更高的风险。病毒的泛滥、垃圾邮件的盛行、信息保密性等都曾经严重影响了信息系统的运行。为此，海航集团的决策层从2000年起就成立了以海航集团执行总裁助理、CIO王永强为首的信息安全领导小组，着手完善IT系统的安全性。

　　海航集团始终坚持从企业需要出发，以信息安全生命周期模型：安全策略、标准制定—安全风险评估—安全规划—产品实施—安全培训—安全控制—安全响应来构建安全系统。在安全系统建设时最重要的工作是花大力气构建自身的信息安全体系。信息安全领导小组经过策划和认证，建立了较为完善的信息安全体系，其中包括海航的总体信息安全方案的策略和标准。海航集团在进行安全管理时，非常重视人员、流程、技术三者之间的相互协调与配合。人员对安全的重视是信息安全体系得以构建和运行的根本动力，完善的管理流程是信息安全的基础和必要条件，而先进的技术是信息安全的基本保证。信息安全防范就像一个三条腿的凳子，三条腿一样长才能保持平衡和效果。

　　为了保证信息安全体系的执行，海航的信息安全体系已经与其他系统如人事系统等相结合。新员工进入公司，首先必须经过相关的信息安全培训，包括规章制度和安全防范意识，然后获得相关的访问账号；而员工离职时，人事部门则会通知删除其相应的访问权限，从而形成一个闭环管理。

　　在技术方面，海航的安全防御手段基本形成了层次化的“纵深防御”，达到了防御、检测以及响应并重的效果。

　　海航始终认为，信息安全建设是一个持续、不断变化的过程，绝不可能一劳永逸。海航集团今后将从人员管理、流程规范、新技术的引进等诸多方面继续不断完善信息安全体系，并不断加强与业界领航企业的战略性合作，加强信息安全体系的预防能力，为海航集团的业务发展提供安全的信息化基础平台。

　　东航：关键在于管理

　　东航计算机中心东明

　　东航企业级计算机网络系统至1992年开始起步建设，经过11年的发展，目前初步架构了内联网、外联网、互联网三大网络系统，成为国内较为先进的企业级计算机网络平台，为东航各计算机应用系统提供了稳定、安全、高效的计算机基础设施。

　　此外，东航员工只要通过授权，在家中、在全世界任何一个地方都可以通过普通电话线或当地的国际互联网线路登陆至东航的ISDN拨号服务器和VPN拨号服务器，联接进入东航计算机网络，访问指定计算机应用系统，取得所需管理和生产数据。

　　基于如此规模的网络现状，东航网络安全状况却不容乐观。

　　针对这一形势，笔者认为，如何保护企业内部局域网不受外部黑客侵犯和内部恶意的破坏，确保关键数据的安全，已成为规划局域网时非常重要的一环。

　　对此，东航信息安全建设确立的目标是：

　　建立东航网络安全战略体系，这是东航网络安全建设的依据，是东航网络安全最核心的部分，包括安全战略、策略、法律法规、规章制度、技术标准等；

　　建立坚固的网络安全技术体系，这是实现东航网络安全的具体措施，是实现网络安全的技术手段。它包括投资必要的网络安全设备、对网络安全人员进行相关的技术培训、购买必要的网络安全服务、建立及时有效的应急手段等；

　　制定完善的东航网络安全管理策略，在网络操作管理、口令要求、病毒预防策略、个人电脑备份策略、远程网络访问、普通Internet访问策略、Internetweb站点访问策略、Internetmail和新闻组访问策略、个人Internet账号策略、私有权和日志记录等方面作出详细的规定。

　　总之，制定适当完备的网络安全策略是实现网络安全的前提，高水平的网络安全技术队伍是保证，严格的管理落实是关键。只有这样，东航的网络信息安全建设才能够再上一个新台阶，为东航信息化建设奠定坚实的基础。