民航業作為我國三大行業之一，其信息化也一直走在前列，就在一周前，由國家信息化測評中心評選出的中國企業信息化500強中，南航、海航和中航油排名靠前。盡管如此，民航業信息化建設水平還有待進一步提升，特別是民航網絡與信息安全作為民航信息化建設不可或缺的重要組成部分，正面臨越來越嚴峻的挑戰。

　　對此，民航各級領導十分重視，并積極采取相應措施加以防范，本專題特將南航、海 航、東航的網絡與信息安全建設情況和思路向讀者作一簡單介紹。

　　南航：力求“新層次”

　　南航計算機中心黃小波

　　一、概述

　　南方航空公司作為中國三大航空公司之一，從網絡信息系統建設初始，就把信息安全建設作為工作的重點，特別是當飛行控制系統(SOC)、常旅客系統、電子客票系統、財務系統等一系列南航關鍵應用生產系統投產以后，南航已經把網絡信息安全建設提高到關系南航飛行安全的高層面了。

　　二、加強信息安全的行政管理

　　在信息安全建設方面，公司專門成立了信息安全領導小組，由公司及各主要部門的一把手親自抓，并由計算機中心全權負責落實。南航采取的行政措施包括：

　　1.行政規定的完善。

　　先后發布《南航Internet系統管理細則》、《南航計算機系統賬號及密碼安全管理規定》、《南航計算機病毒防治管理辦法》、《南航信息網絡出口安全管理規定》等規定。

　　2.加強信息安全的宣傳工作。

　　通過內部網站、郵件、《南方航空報》等宣傳工具定期發布最新信息安全法規、宣傳材料，開辟安全知識專欄，加強對廣大員工有關信息安全方面的知識宣傳。

　　3.實行信息安全員制度。

　　以信息部門為主，各主要部門都有人員參加，負責落實南航統一的信息安全建設，同時統一對信息安全員進行培訓。

　　三、加強信息安全的技術保障

　　南航從網絡、操作系統、應用軟件、防病毒管理、用戶管理等五個技術層次著手構架信息安全防護體系。

　　四、持續的網絡信息安全建設

　　經過幾年持續的建設，目前南航的網絡信息安全體系已經初具規模。在去年十六大及今年的“兩會”期間，我們順利地保障了南航網絡信息系統的正常運行；同時由于預防措施得當，成功地抵擋了諸如“SQL蠕蟲王”病毒、“沖擊波”病毒的攻擊。

　　我們認為，網絡信息安全建設作為南航信息化建設的一個重要組成部分，關系到南航計算機應用系統能否正常運行，關系到飛行的安全，必須持之以恒地加以建設，并力爭把南航的整體信息安全水平提高到一個新的層次。

　　海航：“否決”一勞永逸

　　鄒臻杰趙曉兵

　　經過10年的發展，目前海航集團初步形成了以海口、北京、上海、西安為中心，輻射全國、承載多項業務應用的綜合性大型廣域網絡系統。

　　海航集團網絡化、信息化建設的縱深推進，網絡及應用系統的大量應用，在提高企業辦公效率、提升企業管理水平的同時，隨著信息的開放互聯也將帶來更高的風險。病毒的泛濫、垃圾郵件的盛行、信息保密性等都曾經嚴重影響了信息系統的運行。為此，海航集團的決策層從2000年起就成立了以海航集團執行總裁助理、CIO王永強為首的信息安全領導小組，著手完善IT系統的安全性。

　　海航集團始終堅持從企業需要出發，以信息安全生命周期模型：安全策略、標準制定—安全風險評估—安全規劃—產品實施—安全培訓—安全控制—安全響應來構建安全系統。在安全系統建設時最重要的工作是花大力氣構建自身的信息安全體系。信息安全領導小組經過策劃和認證，建立了較為完善的信息安全體系，其中包括海航的總體信息安全方案的策略和標準。海航集團在進行安全管理時，非常重視人員、流程、技術三者之間的相互協調與配合。人員對安全的重視是信息安全體系得以構建和運行的根本動力，完善的管理流程是信息安全的基礎和必要條件，而先進的技術是信息安全的基本保證。信息安全防范就像一個三條腿的凳子，三條腿一樣長才能保持平衡和效果。

　　為了保證信息安全體系的執行，海航的信息安全體系已經與其他系統如人事系統等相結合。新員工進入公司，首先必須經過相關的信息安全培訓，包括規章制度和安全防范意識，然后獲得相關的訪問賬號；而員工離職時，人事部門則會通知刪除其相應的訪問權限，從而形成一個閉環管理。

　　在技術方面，海航的安全防御手段基本形成了層次化的“縱深防御”，達到了防御、檢測以及響應并重的效果。

　　海航始終認為，信息安全建設是一個持續、不斷變化的過程，絕不可能一勞永逸。海航集團今后將從人員管理、流程規范、新技術的引進等諸多方面繼續不斷完善信息安全體系，并不斷加強與業界領航企業的戰略性合作，加強信息安全體系的預防能力，為海航集團的業務發展提供安全的信息化基礎平臺。

　　東航：關鍵在于管理

　　東航計算機中心東明

　　東航企業級計算機網絡系統至1992年開始起步建設，經過11年的發展，目前初步架構了內聯網、外聯網、互聯網三大網絡系統，成為國內較為先進的企業級計算機網絡平臺，為東航各計算機應用系統提供了穩定、安全、高效的計算機基礎設施。

　　此外，東航員工只要通過授權，在家中、在全世界任何一個地方都可以通過普通電話線或當地的國際互聯網線路登陸至東航的ISDN撥號服務器和VPN撥號服務器，聯接進入東航計算機網絡，訪問指定計算機應用系統，取得所需管理和生產數據。

　　基于如此規模的網絡現狀，東航網絡安全狀況卻不容樂觀。

　　針對這一形勢，筆者認為，如何保護企業內部局域網不受外部黑客侵犯和內部惡意的破壞，確保關鍵數據的安全，已成為規劃局域網時非常重要的一環。

　　對此，東航信息安全建設確立的目標是：

　　建立東航網絡安全戰略體系，這是東航網絡安全建設的依據，是東航網絡安全最核心的部分，包括安全戰略、策略、法律法規、規章制度、技術標準等；

　　建立堅固的網絡安全技術體系，這是實現東航網絡安全的具體措施，是實現網絡安全的技術手段。它包括投資必要的網絡安全設備、對網絡安全人員進行相關的技術培訓、購買必要的網絡安全服務、建立及時有效的應急手段等；

　　制定完善的東航網絡安全管理策略，在網絡操作管理、口令要求、病毒預防策略、個人電腦備份策略、遠程網絡訪問、普通Internet訪問策略、Internetweb站點訪問策略、Internetmail和新聞組訪問策略、個人Internet賬號策略、私有權和日志記錄等方面作出詳細的規定。

　　總之，制定適當完備的網絡安全策略是實現網絡安全的前提，高水平的網絡安全技術隊伍是保證，嚴格的管理落實是關鍵。只有這樣，東航的網絡信息安全建設才能夠再上一個新臺階，為東航信息化建設奠定堅實的基礎。