在民航网络安全事件风险与危害日渐突出的背景下,有关国家和国际组织加快完善民航网络安全相关立法与制度规范。国际民航组织加快民航网络安全标准和建议措施的修订和落实,从国家和国际层面促进民航网络安全保护机制的协调与发展。欧盟、美国和英国通过制定国家安全战略、法律法规、设立相关人员组织机构、完善网络安全标准体系等多方举措,建立健全网络安全监管体系,提高网络安全事件监测预警和应急处置能力。在我国,网络安全法与《关键信息基础设施安全保护条例》对关键信息基础设施的识别、监管和运营者的安全保护义务等进行了一般性规定,但民航主管部门还应依据民航行业系统特征,制定不同安全等级保护对象的基本安全保护要求,优化民航网络安全标准制定体系,加强规则解释与应用场景中的操作示范,提高民航网络安全突发事件应急处置与信息共享的效率。
随着民航数字化深入发展,网络技术给航空运输的安全和效能带来新的变革,但民航网络系统的互联性及其技术依赖性,使得新型网络安全风险不断提升。机载通信系统、飞控系统、地面系统和飞行情报系统等空运支持系统中,计算机网络几乎实现了全覆盖。民航网络系统的高度互联性使得民航网络安全威胁日渐复杂化,这加剧了航空安全、旅客信息与数据保护安全等方面的风险。
2020年2月17日,英国伦敦希思罗国际机场的IT系统发生故障,所有航班数据电子显示屏、登机报到系统等均无法运作,超120个航班被取消及其他多个航班延误,大量旅客被滞留,航班信息流通不畅。2018年和2019年波音737MAX发生两起致命坠机事故,造成346人丧生,在长达18个月的事故调查后,2020年9月份公布的最终调查报告结果表明,航空器的机动特性增强系统(Maneuvering Charac-teristics Augmentation System,MCAS)软件设计和性能错误系造成坠机的主要原因之一。诸如此类,由关键信息基础设施的网络安全问题引发的航空安全事件正对旅客、航空公司、机场、航空器制造商、航空管制机构等航空运输产业主体造成连带性的不利影响。在民航领域,机场、塔台、航空公司等各部门之间依赖程度高,航空器维修、网络连接服务、燃料分配系统等相关系统间的互联性强。因此,其中任一系统的安全事件都可能关涉其他部门关键信息基础设施的网络安全。面对新技术带来的民航网络安全威胁挑战,世界各国和各地区正加快完善相关监管制度和评估标准体系,促进民航网络安全的持续保障和充分应对。
民航业具有天然的跨地域性,某一国家的民航网络系统遭受损害或损害威胁,可能会导致其他国家或地区受到牵连,还可能波及其他行业和利益相关方。空难事故造成的损害后果往往难以救济,产生的不利影响在相当一段时间内具有持续性和扩散性。因此,民航网络安全是一个跨地域、跨行业、跨时空的世界性问题。
2019年10月,国际民航组织发布的《航空网络安保战略》(Aviation Cybersecurity Strategy)中提到,希望成员国的民航部门能够提高抵御网络攻击的能力,在全球范围内保持民航网络安全及相互信任;各成员国遵守根据芝加哥公约承担的义务,确保民航安全、安保和可持续性,同时考虑到网络安保问题;在各国主管机关之间协调航空网络安保,确保高效管理全球范围内的网络安保工作;所有民航利害相关方要致力于提高网络复原能力,保护网络系统免受网络攻击带来的影响。该战略明确了民航网络安保框架的七大支柱,包括:国际合作、治理、有效立法和规章制度、网络安保政策、信息共享、事件管理和应急规划、能力建设和培训和网络安保文化宣传。
为进一步敦促成员国制定相关标准并加快落实,2020年3月,ICAO发布了第11版芝加哥公约附件17,其中包含一套关于民航安保和非法干扰行为的标准和建议措施。为应对非法干扰从物理干扰向网络手段干扰转变的现实,附件17第4.9条规定了“与网络威胁相关的措施”,要求缔约国必须确保国家民航安保方案或其他相关国家文件中定义的运营人或实体确定其用于民航用途的重要信息通信技术系统及所载数据,并根据风险评估制定和实施措施,保护其免遭非法干扰。各缔约国应根据国家主管当局进行的风险评估制定网络安保措施,考虑符合设计的安保、供应链安保、网络分离以及对任何远程访问能力的保护或限制等要素,确保其措施能够适当地保护关键系统和数据的保密性、完好性和可用性。随后,ICAO在第13版《航空安全手册》(Aviation Security Manual[Doc8973-Restricted])就如何应用其标准和建议措施进行指导,帮助成员国落实芝加哥公约附件17。国际民航组织A39-19号决议设立了秘书处网络安全研究小组(Secretariat Study Groupon Cybersecurity,SSGC),该小组由来自各成员国的业内专家组成,审查芝加哥公约附件以及有关网络安全规章制度的修改建议,推动关于民航安保和非法干扰行为的标准和建议措施落实,从国家和国际层面促进伙伴关系与行业合作发展。该小组作为ICAO所有网络安全工作的协调中心,在构建系统性的民航网络安全威胁、安全事件、趋势和缓解措施的信息共享机制,提高整个民航领域的网络安全意识等方面发挥着重要作用。
随着民航系统网络化程度的提高,旅客订票系统、货物处理和运输、旅客登机和下机程序、空中交通管制系统、空中航行导航系统、飞行控制系统等系统之间的依赖性和关联性增强。其中任一系统的网络风险即可能导致连锁反应,造成难以弥补的经济损失和社会影响。网络系统固有的脆弱性,使得其极易受到系统自身故障、人为干扰和自然因素的影响。对于民航网络安全来说,相较于损害发生的事后响应、补救和惩治而言,防止网络系统出现技术性故障,及时预警、识别和检测网络风险,提高风险识别控制和防范能力,将风险遏制在触发之前,更为重要。与传统民航安全相比,新技术背景下的民航网络安全更突出技术与防御要求。
目前,在民航网络安全检测和风险评估上,各国规则、标准和实践尚不统一。为促进网络安全标准的统一化,国际民航组织近年来在会议中呼吁各成员国在民航网络安全保护的规则与实践上达成一致。在规则制定上,鼓励各成员国制定和实施民航关键基础设施网络安保战略,就网络威胁与风险的理解、对需保护系统和财产的关键性判断标准达成共识,制定并实施民航网络安保的国际标准、战略和最佳做法。从实践要求上看,国际民航组织还要求各国提高对民航关键基础设施的风险防范和对抗能力,根据涉及导航通信和监视系统、飞机操作和适航及其他相关学科的横向、跨领域和功能方法,合作开发国际民航组织的网络安全框架。
2004年10月,欧盟委员会于《打击活动,加强关键信息基础设施保护》的通告中首次明确关键信息基础设施的概念,即如果被破坏或摧毁,会对公民的健康、安全、稳定或经济福祉或成员国的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。2008年欧盟第2008/114号《识别和制定欧盟关键信息基础设施的指令》中明确了关键信息基础设施的8个具体部门,将民航运输纳入其中。
2016年7月6日,欧盟颁布《欧盟范围内建立高水平网络信息安全措施的指令》(下称“NIS指令”),旨在欧盟范围内实现网络与信息系统的高度共同安全,提升国家网络安全能力达到指令的最低限度要求,在战略政策及实操性规则上促进跨境合作,加强关于风险管理和事故报告的文化体系建设。该指令适用于在欧盟境内成立的基本服务运营商,以及向欧盟境内个人提供服务的数据服务提供商。对维持重要社会经济活动有重要意义、依赖网络和信息系统、可能会发生重大破坏性影响事件的服务,均属于该指令规定下的“基本服务”。为促进指令适用的确定性及标准的统一化,各成员国应依据上述“基本服务”的判断标准,制定本国的“基本服务运营商清单”,还应定期审查与更新。若同一运营商在数个成员国境内均提供了基本服务,则其营业地成员国之间应进行协商,确定该运营商的身份,经核查后方得列入本国清单。
2023年1月13日,《关于在欧盟全境实现高度统一网络安全措施的指令》(下称“NIS2指令”)正式生效,其扩展了关键实体的部门与类型,将公共电子通信网络和服务、数据中心服务等关键部门和实体纳入保护范围。球盟会官网,在确定是否将某个具有高安全性的实体纳入NIS2指令范围时,成员国具有一定的自由裁量权。与NIS指令相比,NIS2指令对基本服务运营商的网络安全风险管理义务和责任规定了更严苛的要求,运营商必须采取适当、相称的措施来确保网络安全,减少潜在风险威胁的影响。此外,为促进国家和欧盟层面在网络安全管理方面的协调与合作,NIS2指令简化了事件报告制度,并就其报告的内容和时限作出了更精确的规定。
网络技术改变了航空器与地面的联系方法,航空器已经能够通过卫星通讯及地面基站接入互联网。为进一步提高航空器抵御和对抗恶意攻击的能力,欧盟航空安全局于2016年5月17日颁布RMT.0648《航空器网络安全》(下称“RMT.0648”),建议修订航空器初始适航与持续适航管理的相关法规。
网络安全作为新型大飞机型号合格审定和补充型号合格审定的一部分,在审定规范CS-25没有专门的网络安全规范的情况下,是根据RMT.0648第21A.16B部分,通过“隔离或保护航空器系统及其网络免受内外安全威胁的安全保证程序”的特殊审定条件来完成的,即检测航空器系统及其网络对抗安全威胁引发的潜在故障的能力,评估其面对网络安全威胁时的脆弱性。在此基础上,RMT.0648要求重新审查“隔离或保护航空器系统及其网络免受内外安全威胁的安全保证程序”的特殊条件,在分析安全、成本和效益影响的基础上,为审定规范CS-25引入专门的网络安全审定规范、可接受的符合性方法和指导材料。2019年2月22日NPA2019-01《航空器网络安全》针对在审定规范中引入专门的网络安全条款提出具体修订意见并限期颁布,规定要求申请人对其航空器系统和网络能够识别、检测和减轻可能存在或可能发生的安全风险进行证明,而这些网络安全条款将被纳入特定的审定规范、可接受的符合性方法与指导材料中。
为促进欧盟全境实现高度统一的网络安全水平,NIS指令为成员国设定了最低限度义务,鼓励成员国采用欧洲或国际公认的标准或规范球盟会官网,。成员国将指令转化为国内法时,应至少能够达到NIS指令要求的网络安全底线要求,或制定严于底线的要求。在标准规范层面,NIS指令规定了安全与风险相适应原则,即在考虑系统与设备安全、应急能力、业务管理水平、风险监测和评估、与国际标准的一致性等要素的基础上,确保本国的技术标准和安全措施能达到与风险相称的安全水平。此外,在确定网络安全事件的重大程度时,还可以考虑受影响的用户数量、事件持续时间、受影响地区、服务功能中断程度、对经济社会的影响等重要因素。欧盟网络安全局与成员国合作,就有关技术领域及现有标准制定建议和指南。特定行业联盟规章对基本服务运营商或数字服务提供者进行规制时,应确保所设置的义务不低于指令规定的义务要求。在该特定行业规章制度与该指令规定的义务等效或更严格时,特定行业联盟的法律规范应予适用。因此,民航作为基本服务的部门之一,民航领域的特别法优先适用于NIS指令。
为协调各国网络安全战略计划,NIS指令要求各成员国应指定一个或数个网络和信息系统安全主管部门,管理职权应至少覆盖附件2规定的部门及附件3所涵盖的服务,包括航空运输、铁路运输等部门,以及在线市场、在线搜索引擎和云计算服务这三种数字服务。成员国还应设立一个单一联络点进行联络,确保主管部门之间、合作小组和计算机安全事件响应小组网络之间进行合作。计算机安全事件响应小组(Computer Security Incident Response Teams,CSIRTs)由成员国设立,主要负责按程序处理网络风险和网络安全事件;各成员国计算机安全事件响应小组代表和欧盟计算机应急小组(Computer Emergency Response Team-EU,CERT-EU)代表组成计算机安全事件响应小组网络,在欧盟层面实现高效互信的业务合作;合作小组则由成员国、欧盟委员会和欧洲空间局的代表组成,必要时可邀请利益相关方参与工作,促进欧盟境内的战略合作与信息共享。
2001年关键基础设施保护法案首次从立法层面明确“关键基础设施”的定义,关键基础设施是以物理或虚拟的方式存在,一旦功能受损或遭到破坏,将危及美国生死存亡的系统和资产。2002年联邦信息安全管理法案将民航业纳入关键信息基础设施的范畴,由美国联邦航空管理局负责监管。对于民航关键信息基础设施的认定,美国规定了清单保护制度,明确要求美国交通部负责标识民航关键信息基础设施和关键资源并进行优先级排序。在认定“关键性”时,以网络信息系统依赖程度和承载业务的核心程度为标准,可由国土安全部和美国交通部直接确定,也可由专业机构评估后确定。概言之,清单保护制度建立了民航关键信息基础设施的评级和优先保护制度,该清单是动态可变的,通过对民航关键信息基础设施的认定,可纳入或退出清单保护行列。
为指导关键基础设施组织制定和实施标准,美国国家标准和技术研究所推出了《网络安全框架》。在具体落实框架规定时,关键基础设施组织应当依据重要方法评估组织实践并加以改进,向组织利益相关者阐明网络安全基本原理,通过识别信息资源、按照网络安全框架实施新的标准、方法和协议。可以说,《网络安全框架》构建了一个关键基础设施保持防御性网络安全能力的基准,在保证受监管的关键基础设施提供者能在最低标准水平的基础上,实现全面有效的监管。同时,其参照了全球公认的网络安全标准,将国家关键基础设施实践纳入国际标准的模型中,既能使国家标准达到国际一般可接受的一般国际水平,又有利于今后与其他国家标准的相互承认。但面对复杂的网络技术和网络威胁环境,该安全框架应及时对框架进行更新完善,以确保网络安全保障体系的弹性和适应性。为了确保框架对不同组织的有效性,不同组织之间还应自主考察安全威胁、系统脆弱性和风险承受能力的差异性及其面临的特有风险,在自定义框架中采用不同的“实践描述”。这意味着该网络安全框架不是监管关键基础设施网络安全风险的塑性规则,而是起到指导作用的弹性规则,在此基础上,企业可针对自身特点进行调整和改造。
2023年4月23日,美国国家标准和技术研究所发布《网络安全框架2.0核心讨论草案》。相较于第1版,该草案将网络安全风险评估的参照示例、有关信息参考等进行细化,提高了清晰度和统一性,对所制定的风险等级标准与国际网络安全标准实践的一致性要求更高。美国国家标准技术研究院推出的各个版本的网络安全框架虽不具有强制性,由运营者或服务提供者自行选择使用,但2018年美国联邦航空管理局再授权法案规定由美国联邦航空管理局局长和商务部部长共同协商实施国家标准和技术研究所的网络安全框架,监管美国联邦航空管理局的网络安全,且该标准不断根据法律法规、美国审计总署的审计报告、民航业及其关键信息技术发展情况进行更新,与国家标准和国际标准接轨,具有极高的权威性,为民航信息基础设施运营者和服务提供者提供了有力指引。
2018年美国联邦航空管理局再授权法案就航空器航电系统保障要求、美国联邦航空管理局制定战略性网络安全计划及局长对计划的审查义务、美国国家标准和技术研究所网络安全框架的标准实施等作出进一步规定。其中,航空器适航审定应解决软件组件等航空电子系统的网络安全问题,确保用于飞行导航、航空器控制的航电系统免遭非授权访问,例如通过旅客机载娱乐系统非法访问航电系统。美国联邦航空管理局局长应着重从网络安全风险的识别和处理能力、现有的解决国家空域系统网络安全风险的短期和长期目标、政府与利益相关方、政府咨询的其他机构、组织和团体的沟通和协调程度等方面对网络安全计划进行审查。美国正大力推进先进空中交通融入国家空域系统,考虑到由此带来的网络安全风险问题,还应开发一个用于研究、开发、评估和验证网络安全风险的综合测试平台(Cyber Testbed),以满足国家空域系统识别、防御和解决有关网络安全问题的发展需要。
根据2023年美国联邦航空管理局再授权法案,美国政府问责署(U.S. Government Accountability Office,GAO)应就商业航空电子设备网络安全进行定期审查和报告,局长应将航空网络安全纳入美国联邦航空管理局的安全战略框架中进行审查,审查范围包括:如何确定航空安全战略框架中的机上航空器网络安全风险和脆弱性并对其负责,尤其是如何界定“保护和防范美国联邦航空管理局网络及其系统,降低美国联邦航空管理局履职和服务的风险”;如何在网络安全战略中考虑机载网络安全,并将其纳入优先考虑事项,特别是航空电子设备的网络安全;美国运输安全管理局和美国联邦航空管理局如何区分和执行航空器与地面系统网络安全的角色和责任;如何确定航空器与地面系统的网络安全漏洞并优先加以缓解,尤其要考虑到商业技术生态安全;审查航空战略框架各方和航空安全战略框架实施方的预算,满足减轻航空生态系统免受机载网络安全漏洞影响所需的缓解要求。安全审计作为美国监管关键信息基础设施的重要制度,由美国审计总署牵头,经专业人员根据法律法规对信息基础设施进行检查验证并出具报告,由联邦航空局长根据一定的标准和类目进行审查,有利于及时发现问题并提出整改方案。
2018年,英国颁布《网络和信息系统安全条例》(The Security of Network and Information Systems Regulations,NIS Regulations,下称“NIS”),为提升在线市场、在线搜索引擎、云计算服务等数字服务,以及运输、能源、数字基础设施服务等基本服务的网络安全弹性和信息系统的整体安全水平提供了法律框架。
在该条例下,网络和信息系统包括电子通信网络;依托系统中的程序自动处理数据的设备或互连的设备组件;为上述网络、设备和系统等元素的操作、使用、保护和维护而存储、处理、检索、传输的电子数据。NIS详细规定了关键服务提供商的识别规则,附表中列明关键服务以及针对该种关键服务设置的门槛要求,满足条件的才是NIS规制的关键服务提供商。如果该提供商不符合门槛要求,可由NIS指定的部门主管当局进行确定。
航空运输作为交通运输的分部门,NIS指定了交通部部长和民航局作为主管当局,并从航站楼旅客吞吐量、机场旅客吞吐量等方面分别对机场所有者或管理者、航空公司、空中导航服务提供商规定了门槛条件。若提供上述关键服务的提供商不能达到附表规定的机场或航站楼旅客吞吐量等门槛要求,则由民航局根据具体情况进行判断,如果认为其所依赖的网络和信息系统受到破坏可能对该基本服务产生重大破坏性影响,民航局可将其认定为关键服务提供商。概言之,机场所有者或管理者、空中导航服务提供者和航空公司等民航组织满足附表规定的门槛要求的,即被自动定义为关键服务提供商,否则需民航局进行个别审查和指定。
NIS的另一适用主体为数字服务提供商,“数字服务”是提供在线市场、在线搜索引擎和云计算服务的运营商。NIS设置了专门监管数字服务的信息专员。作为数字服务的主管当局,信息专员应对数字服务提供商提交的、关于可能产生重大影响的网络安全事件的书面通知进行评估,以确定该事件造成实质性影响的可能性。针对“实质性”的判断,条例列举式地规定了信息专员进行风险评估时的必要考虑要素,包括:在考虑到该技术水平的基础上,确保网络和信息系统的风险安全水平;防止及尽量减少影响其网络和信息系统的事件的影响,以确保这些服务的连续性;系统与设施安全、事件处理、业务连续性管理、监督审计和测试、遵守国际标准等要素。
与之相对,数字服务提供商负有及时向信息专员通知其运营的服务可能发生网络安全风险或事件的义务。数字服务提供商必须将可能产生重大影响的任何事件以书面形式通知信息专员,但通知义务仅限于能够评估“该事件影响是否属于实质性影响”的信息,如果该信息可能产生跨境影响,数字服务提供商还应特别强调。在判断实质性影响时,数字服务提供商必须考虑的要素包括:受事件影响的用户数量、包括但不限于使用该数字服务的用户、事件持续时间、受事件影响的地理范围、服务运作的中断程度、对经济和社会活动的影响程度、信息专员发布的任何相关的指南。如果信息中包含机密或可能损害数字服务提供商的安全或商业利益的,信息专员可选择不与其他部门或利益相关方共享信息。
从机构和人员设置上,NIS通过指定单一联络点、计算机安全事件响应小组、专管数字服务的信息专员等具有专项职能的人员和机构,提高各部门在及时通知、反应、处理网络安全事件和公私部门合作方面的能力和弹性。单一联络点应与民航局、交通部长和数字服务信息专员等主管部门协调合作,计算机安全事件相应小组负责监测网络安全事件,向利益相关方发布预警,提供有关网络安全风险和事件的信息,还包括进行动态分析、态势感知、与私营部门合作、促进事件和风险处理程序与分类方案的实施、与网络安全执法部门合作等其他职能。通过不同部门、机构和人员的安排,细化了监管部门球盟会官网,、执法部门和私营企业之间的协调合作机制。
NIS还进一步完善了信息共享制度。如果信息对于本条例目的或执行当局履行职能、维护国家安全、预防或侦查犯罪、对犯罪进行调查或进行起诉是必要的,网络安全执法部门可与计算机安全事件响应小组共享信息,但信息仅限于与信息共享的目的相关和相称的信息,信息共享对方不得将信息进一步用于上述目的之外的任何其他目的,除非NIS执行当局另有规定。如果该信息涉及上述三种必要性目的,但属于机密信息或可能有损于运营商的基本服务或数据服务提供商的安全或商业利益的,不要求执法当局分享信息。上述规定确立了信息共享的“目的限制”和“目的相称”原则,以实现上述执法当局履职、维护国家安全、犯罪惩治相关事项开展的必要性目的为原则,以涉及机密、企业安全或商业利益受损为例外。
2018年底,交通部推出《实施网络和信息系统安全条例指南1.1》,设置了对关键服务运营商的安全要求。采用国家网络安全中心(NCSC)规定的14个顶级成果(top-level outcomes),分为4个顶级目标,提供支持性叙述,供关键服务提供商参照落实。指南对关键服务运营商的安全要求以指导原则为基础,而非具体规范。原因在于,在网络安全等复杂且更迭快速的领域,规范性规则可能会导致规则更新滞后、资源分配不均、利益失衡等后果,且在高新技术领域,作为运营商的内部实体对系统网络和技术掌握的信息往往多于外部实体,能够在掌握现有技术和促进将来发展的视角下,基于原则性规定作出更为充分、适当、平衡、富有弹性的决定。可见,与规范性规则相比,规定指导性原则的方法对网络安全的推进与落实更具有弹性和活力。
2020年,民航局颁布CAP1753《民航网络安全监督程序指南》,对民航网络风险管理框架进行了升级。民航局采用第三方审计模式,由航空组织与“适格实体”签订合同,代表民航局对该组织的网络安全进行审计。该第三方“适格实体”是依据欧盟第2018/1139号条例第69条和附件六确定的网络检测供应商,代表民航局执行欧盟航空安全局基本条例和实施条例要求的网络安全监督任务。航空组织须提供临时保证声明和最终保证声明,临时保证声明须包含航空组织遵守网络安全监督程序的承诺及其对网络风险态势的准确描述,具体而言,声明中须载明完成的关键系统范围模板及范围图、为所有范围内系统检测审计的网络评估框架、审计报告、纠正措施计划以及网络安全组织的架构,并在商定期限内向民航局发送。民航局接收声明之后,将由民航局网络安全监督小组(Cyber Security Oversight Team)对上述信息进行分析,与民航局性能监督组(CAA Performance Based Oversight)联合对在审的航空组织风险评估能力形成报告,球盟会官网,阐明其网络安全风险管理与化解能力。以报告为依据,民航将针对该组织制定一个特定的监督机制。完成临时保证声明审查后,航空组织须根据网络安全监督小组针对其管理和应对网络风险能力、剩余风险转化能力及纠正行动计划等提出的意见和要求,提出最终保证声明,由民航局对最终保证声明予以审查并决定是否颁发合规证书。采用第三方审计制度,根据审计结果对框架和企业方案进行改进,有助于提高网络安全监管体系的适应性,及时填补技术漏洞与监管缺口。
我国于2016年出台了网络安全法,建立和完善了我国的信息和数据保护立法,并就关键信息基础设施的运行安全作出规定。第31条划定了关键基础设施数据范围,包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的设施,从国家、行业、运营者三个维度划定了有关各方的职责与义务。随后出台的《关键信息基础设施安全保护条例》(下称《条例》)进一步细化了关键信息基础设施的认定、运营者责任义务、主管和监管部门之间的统筹协调、信息共享机制、法律责任等方面的规定。民航作为交通运输业的分部门,网络安全法和《条例》等法律法规适用于民航关键信息基础设施,规制民航网络安全各方主体及其行为,属于民航网络安全的一般法。
不同于欧盟以列举的方式定义关键信息基础设施保护范围,网络安全法对关键信息基础设施范围采用“列举式+概括式”,对于笼统概括关键信息基础设施的范围,有利于应对我国目前严峻的网络安全形势,将关键信息基础设施保护力度提升到一个较高的水平。虽然采用概括式定义关键信息基础设施可以避免将过多信息系统列入保护范围,这种做法也有利于合理安排下位法进一步细化保护范围。《条例》对关键信息基础设施的认定进行了专章规定,在考虑行业和领域特殊性的基础上制定认定规则,同时规定了部分必要考虑因素,确保所制定的认定规则考虑到了保护关键核心业务、防范网络遭受干扰时对所载数据的危害以及对其他关联行业的影响。而民航作为沉浸在大数据里的行业,也是具有天然跨国属性的行业,在个人信息保护、数据跨境传输的安全审查、对民航网络服务运营者的监管等方面都应提出更严格的要求。
国家网信部门统筹协调其他部门网络安全和监督管理事务,开展安全风险抽查检测、定期组织网络安全应急演练、促进有关主体之间的网络安全信息共享,并在网络功能恢复以及应急处置方面给予协助和技术支持。在国家网信部门统筹下,多个监管部门相互协作、分工负责。网信部门、公安机关、密码管理部门和保护工作部门等开展关键基础设施网络安全检查检测工作,运营商予以配合。通过层级化管理模式,形成集中治理的网络安全监管体系。由国家网信部门收集、分析和通报网络安全信息,能较大程度地平衡信息处理的适当性与信息共享的时效性,但就网络安全事件影响扩散速度快、辐射范围广、损害后果难以控制和不可预计等特点而言,还应不断提高网络安全信息与其他有关部门、利益相关方共享的效率。
网络安全法规定了运营者的一般性网络安全保护义务,要落实安全等级保护制度,采用实名制要求用户提供真实身份信息,制定网络安全事件应急预案,禁止设置恶意程序或从事、协助危害网络安全活动。同时,网络安全法还针对关键信息基础设施运营者规定了特别义务和责任,包括更严格的安全等级保护制度、定期演练应急预案、数据跨境提供的安全评估义务、对网络产品和服务的采购行为进行国家安全审查和相关的安全保密义务与责任。随后出台的《条例》对运营者的安全保护措施进行了细化,进一步明确了运营商的责任义务。
即便如此,规则中仍存在语义模糊、规则笼统等问题,实操性有待提高。例如,“安全保护措施应当与关键信息基础设施同步建设、同步规划、同步使用”的“同步原则”含义模糊,运营商实际操作仍存在较大困难,监管部门的解释与责罚自由裁量空间较大。《条例》还规定了关键基础设施运营者采购网络产品与服务时的义务,“优先采购安全可信的网络产品与服务”“可能影响国家安全的,应当通过安全审查”。其中,“安全可信”的概念与衡量标准不清,这给运营商营造了较大的解释空间,甚至可能影响网络产品与服务供应链的发展;对于“可能影响国家安全”的情形,部分运营商的判断可能存在经济效益导向、片面化的问题,导致国家安全保护的根本目的不能实现,因此还应出台相关的指导性文件与参考案例,帮助运营商提高国家安全保护和自我审查评估的意识与能力。
针对保护工作部门,《条例》规定了其“建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度”的职责。监测预警是应急管理的一个阶段,与识别控制、紧急处置和善后管理共同构成应急管理的全过程,同时,监测结果对后续阶段的工作开展具有直接影响效果。在民航领域,一旦某一网络系统遭遇风险,可能导致其他航班运行、大量旅客信息泄露、航空器运行失控、飞行情报信息错误等后果,直接影响到旅客权益、航空安全等问题,且一旦发生事故,通常难以进行事后救济。因此,监测预警制度更应予以足够的重视。2016年颁布的《中国民用航空应急管理规定》(交通运输部令第10号)在“预测与预警”一章中规定了民航管理部门的相关职责,总体上在信息交流、突发事件信息收集与通报、紧急处理措施等方面。在预测风险方面,规定了民航管理部门对于辖区内民航活动“具有潜在重大影响”的突发事件信息应当及时收集和分析的职责,该规定较为笼统,“潜在重大影响”和分析“影响民用航空安全与正常的主要因素”应当进一步明确,甚至可以在确定因素过程中区分优先次序和重要程度。
为促进关键信息基础设施安全保护,国家要制定和完善有关安全标准,指导和规范有关安全保护工作。国家标准出台前,要规范行业内技术标准,通常由行政主管部门组织制定行业标准。新技术背景下的民航业,对技术标准和安全保护都提出了更高的要求。但目前在民航领域,仅有一部国家强制性标准,其余的三百多部标准规范仅为推荐性标准。且“在我国的民航规章中,规定了大量的技术性规范,法律与标准尚未实现精细化分离”,这使得立法与标准之间界定不清,标准通常是由具有相关技术和知识背景的专业人员来制定,其专业性和灵活性要求更高;而法规更多是规定标准的底线和基础制定义务、要求,具有高度的原则性,也要求一定的稳定性,故而无法满足技术标准要求的准确性、实操性和适应性。
在网络安全法和《关键信息基础设施安全保护条例》等上位法之下,应考虑到民航业的特殊性和管理层面的必要性,制定出台专门的民航网络安全管理规章。在规章中明确民航主管部门和公安部门、工信部门等有关部门职责,严格运营商义务责任,建立健全民航网络风险监测预警、民航网络安全事件应急处理、信息报告和共享、协调合作等民航网络安全保障机制。
标准的制定和实施在国际组织和其他国家的民航安全立法中均占据了重要地位,对于指导民航网络运营商的行为具有巨大的实践价值。民航局曾于2018年12月发布过一项行业标准《民用航空网络安全等级保护定级指南》,但仅涉及民航网络安全等级的定级原理、方法和等级变更等问题。可见,民航领域的行业标准的缺位,不利于有效防御和应对与日俱增的网络安全风险。因此,要在网络安全法、《关键信息基础设施安全保护条例》等一般性法律规范的基础上,依据民航行业系统特征,制定不同安全等级保护对象的基本安全保护要求。在风险分级的逻辑路径下,对不同等级的安全风险采取不同审慎程度的管理措施。在立法和标准相结合的模式下,推动地方、社会团体和企业自主制定标准,经实践后效果显著的地方标准、团体标准和企业标准上升为行业标准和国家标准。同时,还应加强政企协调合作,在政府指导下激发和提高企业标准制定和实施的创造力和积极性,纵向衔接国际标准、国家标准、行业标准和地方标准,横向对比参照其他优秀企业标准。立法应对标国际民航组织和积极有效的域外实践,立足我国民航业和网络信息系统发展现状,与国际标准和国际规范接轨;同时,推动标准和评估流程的统一化,建立标准化、具体化的测试场景,为航空公司、风险评估机构等提供示范性参考。
针对目前民航法律规范、标准体系中存在语义模糊、概念不清、落实困难的条文和术语,应当进行进一步的解释,在验证场景中检验标准的可用性。通过指导企业开展民航网络安保模拟演习、定期民航网络安全检查和维护,提高民航网络系统对木马病毒、恶意软件、黑客入侵等造成的非法干扰的识别和对抗能力。
我国的网络安全监管采用集中治理模式,在促进资源调配、信息共享、放管结合方面具有优势。但与此同时,由于分管的部门层级较多,机构设置的不合理导致监管职能存在交叉和重叠,程序设置的不科学也使得资源和信息的协调与流通效率大打折扣。欧盟设置了专门的网络安全事件监测预警与应急处置机构,规定了计算机安全事件响应小组网络作为较为底层的响应机制,用于共享技术信息。我国则是在网信部门的统筹下,公安机关、密码管理部门和保护工作部门等部门协调开展关键基础设施网络安全保护工作。相较而言,我国虽然在部门层级划分上较为复杂,对部际协调合作的要求更高,但这种分级管理模式更有利于日常管理工作的开展,例如各级各部门应急预案的制定和日常演练、人员培训、网络风险检测等平时性、经常性的工作开展,也更贴合我国民航管理体系的实际要求。民航涉及机场、航空公司球盟会官网,、民航主管部门、空管机构等多个部门,对部际协调与信息共享、情报合作的效率要求更高。因此,在网络安全突发事件的应急处置上,还应进一步简化应急预案启动程序,畅通信息共享、情报合作渠道,完善和优化部际协调、政企合作与军民融合机制。
大数据时代下,民航网络化正当其时。互联网为民航运输的发展带来了新的变革,由此引发的安全风险亦不容小觑。民航网络系统易被攻破,给飞行安全、旅客信息安全、民航数据安全等带来损害或损害威胁,需在网络安全监管中提高警惕,加以防范。近年来,为提高民航网络风险的预警、识别、检测、响应和恢复能力,国际民航组织以及欧盟、英美等国家和地区更加重视规范和标准制定、系统检测和日常演练、风险监测、信息共享以及协调合作。目前,我国的民航网络安全立法及其配套性制度标准尚处于孵化阶段,在网络安全法和《关键信息基础设施安全保护条例》等一般性法规之下,有关民航网络安全的专门立法尚为空白,行业标准阙如。为有效应对民航网络安全风险和安全事件,我国有必要加快相关法律规范和立法进程,建立健全民航网络安全保障机制,为民航安全保驾护航。
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。