民航二所马勇：数据安全防护体系的探索与思考

2017 年 11 月，温州警方侦破特大黑客攻击窃取国内民航公司网站信息案，黑客非法入侵 50 多家民用航空类公司网站，窃取乘客票务信息，骗取金额 1000 多万元。

2022 年 4 月，某航空公司的外包客服人员秦某伙同李某，向追星“粉丝”出售明星所乘飞机的舱单信息等公民个人信息，被判处有期徒刑 3 年，罚金 4 万元。

2022 年 4 月，最高人民检察院发布，机场员工在”闲鱼“被间谍策反 ，多次刺探、截获政府重要人员行程并通过境外软件发送给“鱼总”，被判刑 13 年。

民航业作为国家重要交通出行行业，拥有大量的旅客出行信息、地理位置信息、经济生产运行数据等，数据资产已经成为与机队、时刻、航权、运力、资本、人力、技术并列的行业关键资产之一。只有平衡好数据应用和安全防护，激发数据应用潜能，才能让数据使用的生产力得到有效释放。

12 月 01 日，由中国信通院和极盾科技联合发起的【网安新视界】第 3 季开讲，中国民航第二研究所信息安全专家马勇带来了独家分享—《民航数据安全防护体系的探索与思考》。

【文末附 PPT 下载】

​

1671157593135582.png

01 现状如何？

民航行业是一个敏感数据高度集中的行业，如何保障数据安全，促进数据开发利用是民航亟待解决问题之一。民航数据安全现状如何？

（1）民航旅客数据泄漏情况严峻：高价值旅客信息成为信息泄漏的重灾区；历史泄漏数据利用价值较高；其他渠道泄漏的信息对民航旅客信息安全造成影响。

（2）新技术应用带来新风险：各类数据成为新技术应用的基础资源；人脸识别技术在民航大量应用带来的技术风险和法律风险；大数据技术成为智慧民航建设的基础设施，民航从只重视近期数据，到重视历史数据；物联感知对业务系统的决策起到重要影响作用。

（3）疫情下数据流动带来的风险：数据传输链条的增加；数据交换规范不统一；数据安全保护能力不一。

（4）我国民航数据安全保护法律规章尚不健全：《公共航空运输旅客服务管理规定》中要求，航空销售网络平台等不得泄露、出售、非法使用或向他人提供旅客个人信息；除遵循我国的法律法规外，在实际业务中还要与国际民航组织进行合作、沟通，遵守相关国家和国际法规标准。

02 监管和行动？

近几年，民航数据泄露事件频频发生，给社会带来巨大的影响。国家和行业对此非常的重视，继《个人信息保护法》和《数据安全法》之后，民航数据安全相继出台各种政策法规和标准。

1671157674200176.png

No.1 《“十四五”民用航空发展规划》：按数据安全敏感等级、开放范围等开展数据管理，制定数据共享机制、使用及管控要求。 加强重要数据保护，防止泄露、损害、违法使用旅客个人信息。

No.2 《智慧民航数据治理规范-数据安全》：为提升民航数据安全，指导行业数据安全治理工作，建立科学的数据安全分级与防护机制，制定本规范。 民航行业数据安全治理工作除应满足本规范的规定外，尚应符合国家、 行业现行有关标准的规定。

No.3 《智慧民航建设路线图》：加强旅客数据和隐私保护。

No.4 《智慧民航建设评价指标体系（试行）（征求意见稿）》：为贯彻落实《“十四五”民用航空发展规划》《智慧民航建设路线图》，客观评估智慧民航建设进展和成效，充分发挥指标体系的导向和引领作用，科学引导各主体加快建设智慧民航，制定本指标体系。《智慧民航建设评价指标体系》中明确了数据治理、数据安全的权重问题。

No.5 《民航领域数据分类分级办法（征求意见稿）》：2022 年 11 月，民航局发布《民航领域数据分类分级办法（征求意见稿）》，对民航领域数据的分类分级提出明确的要求。

另外，为贯彻落实《数据安全法》，加强行业数据安全管理，规范化解数据安全风险，保障数据安全，促进数据合法开发利用，民航局决定成立民航数据安全工作领导小组。成员单位按照“谁管业务、谁管业务数据、谁管数据安全”原则，组织开展本业务领域民航数据安全工作，加强相关政策研究，提出具体落实方案。领导小组办公室负责督促各成员单位落实领导小组的决定、部署和要求；跟踪掌握各成员单位数据安全工作进展情况；根据需要，定期或不定期召开办公室会议和专题工作会议，及时向领导小组和中央国安办报告行业数据安全工作情况，并提出工作建议。

03 难点和问题?

国家监管不断加强，民航业不断开展数据安全保护工作。但是，根据民航数据安全的现状，民航数据安全保护仍然存在一些难点和问题。

• 数据源头多，数据泄漏溯源难：除机场、航空公司和中航信等涉及民航数据外，代理人、酒店、租车平台、旅行社等也涉及民航数据。数据源头非常多，数据泄露的溯源比较难。

• 系统数量多、类型复杂，系统改造难：民航系统庞杂，如果需要进行数据改造，需要进行体系化的改造，会对数据安全保护措施的落地带来很多的障碍。

• 数据链条长，数据共享保护难：数据源头多，涉及范围广，数据交互和应用场景比较复杂，因此数据共享保护较难。

04 如何解决？

明确了问题所在，答案在哪里？

（1）加强监管支持：完善法律法规，做到有法可依；督促各单位加强数据安全保护工作。

（2）建立行业联盟：黑客为谋利攻击旅客信息时，一般不会只攻击某个公司，而会针对整个行业进行攻击。不管是技术、管理还是法律方面，建立数据安全行业联盟，以共同的力量保障旅客的权益和自身的权益。

（3）构建国际合作：民航是国际性的行业，涉及大量国际业务，必须遵循国际上的规范标准。国际合作可以更好的开展民航数据的安全保护措施。

（4）加强数据安全治理：数据安全治理的核心目的，是实现安全与发展的平衡，让大数据时代的发展能够健康持续进行下去。依据相关行业规定来加强数据安全治理是民航行业非常重要的工作之一，可以参照《智慧民航数据治理规范-数据安全》和《民航领域数据分类分级办法（征求意见稿）》的相关规定。

《智慧民航数据治理规范-数据安全》适用于民航行业数据治理的数据安全治理工作。条文说明：各单位在本规范内容的框架与指导下，结合自身发展现状及目标，进一步细化研究具体实施方案与细则。民航数据安全治理框架如下：

1671158208127116.png

数据安全治理的切入点是数据分类分级，数据分类分级成为建立统一完善的数据生命周期安全保护框架的基础工作。数据分类分级能够帮助企业对数据资产进行全面的盘点，了解敏感数据的分布、类型和量级，以此构建企业级的数据资产目录，为之后企业数据资产管理和数据安全体系建设打好基础。

《民航领域数据分类分级办法（征求意见稿）》中明确规范了民航数据分类、分级的标准，帮助企业更好地落实数据分类分级的工作，如下图：

1671158242168688.png

（5）增强技术能力：管理和技术两手抓，才能更好地实现民航数据安全的保护。数据资源全生命周期安全保护是指根据数据在采集、存储、访问、使用、销毁等全生命周期内各环节的不同特点，采取有针对性的安全可信防护措施，保障数据安全。

从数据全生命周期落实数据安全保护措施，其中包括数据安全风险评估、数据安全加密保护、数据共享机制、数据权限控制和数据安全监测。

• 数据安全风险评估：注重数据本地保护措施和数据流动风险

• 数据安全加密保护：可以采用加密及脱敏技术

• 数据共享机制：共享及溯源保护

• 数据权限控制：结合零信任机制进行数据权限控制

• 数据安全监测：采用敏感数据自动识别机制

1671158286165457.png

通过数据安全管理和数据资产梳理解决民航数据管理混乱、流动无序的问题；通过数据风险评估、数据风险监测、数据权限控制、数据脱敏或者数据加密来解决民航数据保护的问题；通过数据应急响应来解决数据安全恢复和安全事件溯源问题。

管好数据、用好数据、治理好数据，是加快推进民航业数据安全工作现代化的重要课题，也是下一步推动民航业高质量发展的重大考验。

👆如需下载本次直播【所有讲师 PPT】

关注“极盾科技”微信公众号

回复“PPT”即可下

1671158344816398.png