《“十四五”民用航空發(fā)展規(guī)劃》明確以智慧民航建設為戰(zhàn)略主線，加快推動新一代信息技術(shù)與民航業(yè)務深度融合，發(fā)揮科技賦能和數(shù)據(jù)驅(qū)動作用，全面推進民航業(yè)數(shù)字化轉(zhuǎn)型，實現(xiàn)智能化應用、智慧化融合。進入數(shù)字經(jīng)濟時代，隨著數(shù)字化、智能化工作深入推進，數(shù)據(jù)安全問題被持續(xù)關注和研究。公開數(shù)據(jù)顯示，2020年全球因數(shù)據(jù)泄露事件造成的經(jīng)濟損失高達1145萬美元，2021年企業(yè)數(shù)據(jù)泄露數(shù)量同比增加68%，每天都有超過2500萬條數(shù)據(jù)遭到入侵或泄露。數(shù)據(jù)安全問題影響大、損失重，對社會穩(wěn)定運行、工業(yè)生產(chǎn)和民眾生活產(chǎn)生深遠影響。統(tǒng)籌協(xié)調(diào)民航業(yè)發(fā)展與數(shù)據(jù)安全的關系，對促進我國智慧民航建設與發(fā)展至關重要。

當前民航數(shù)據(jù)面臨安全挑戰(zhàn)

中國信息通信研究院發(fā)布的《中國數(shù)字經(jīng)濟發(fā)展白皮書》顯示，2020年我國數(shù)字經(jīng)濟規(guī)模達39.2萬億元，占GDP的比重高達38.6%；2021年我國數(shù)字經(jīng)濟規(guī)模進一步增加，達到45.5萬億，占GDP的比重達到39.8%。數(shù)字經(jīng)濟已經(jīng)成為國家轉(zhuǎn)型升級的助推器，也是民航業(yè)實現(xiàn)高質(zhì)量發(fā)展的新引擎。

民航業(yè)作為國家重要交通出行行業(yè)，擁有大量的旅客出行信息、地理位置信息、經(jīng)濟生產(chǎn)運行數(shù)據(jù)等，數(shù)據(jù)資產(chǎn)已經(jīng)成為與機隊、時刻、航權(quán)、運力、資本、人力、技術(shù)并列的行業(yè)關鍵資產(chǎn)之一。只有平衡好數(shù)據(jù)應用和安全防護，激發(fā)數(shù)據(jù)應用潛能，才能讓數(shù)據(jù)使用的生產(chǎn)力得到有效釋放。

鑒于民航業(yè)復雜的業(yè)務生態(tài)和頻繁的數(shù)據(jù)流轉(zhuǎn)，數(shù)字化、智能化給民航業(yè)帶來蓬勃發(fā)展的同時，也增加了數(shù)據(jù)泄露和基礎設置暴露的安全隱患和風險。如2018年10月，國泰航空約940萬名乘客資料在未經(jīng)公司授權(quán)的情況下被取覽；2018年9月，英國航空約38萬筆用戶的網(wǎng)上交易被泄露，消息公布當日，英國航空的母公司IAG集團的股票在交易日下跌3%。2021年，IBM 安全研究報告顯示，數(shù)據(jù)泄露會給企業(yè)造成近38%的經(jīng)濟損失，企業(yè)為單個數(shù)據(jù)泄露事件可能付出高達424萬美元的代價。由于行業(yè)系統(tǒng)互聯(lián)互通的復雜性，民航業(yè)的數(shù)據(jù)安全問題面臨的挑戰(zhàn)更大，并可能產(chǎn)生級聯(lián)效應，會導致經(jīng)濟損失、生產(chǎn)生活中斷，甚至會威脅生命安全。

數(shù)據(jù)安全問題分析

民航業(yè)數(shù)據(jù)體量巨大，數(shù)據(jù)流轉(zhuǎn)頻繁，在數(shù)據(jù)收集、存儲、使用、加工等處理活動場景中，數(shù)據(jù)暴露面風險急劇加大，從數(shù)據(jù)在企業(yè)中的不同使用場景來看，數(shù)據(jù)安全問題主要存在以下三個方面的風險。

（一）員工違規(guī)的風險

“人、機、環(huán)”是構(gòu)成事故的三因素，但“機器設備”“環(huán)境”是兩個相對穩(wěn)定的因素，只有“人”是最活躍的因素。2021年威瑞森發(fā)布的《數(shù)據(jù)泄露調(diào)查報告》顯示，人為因素是數(shù)據(jù)泄露最主要的因素，占比高達85%。說明員工違規(guī)風險已然成為了攻破企業(yè)數(shù)據(jù)安全防線的大敵。由于部分員工缺乏數(shù)據(jù)安全和保密意識，在日常工作中存在越權(quán)訪問、非法外聯(lián)、濫用移動介質(zhì)、隨意分享敏感信息等問題，部分企業(yè)也缺乏相應的數(shù)據(jù)安全教育培訓。數(shù)據(jù)安全很重要，但不是所有人都能認識到位，也并不是所有人都能完全遵守。重發(fā)展輕安全、重建設輕防護，沒有憂患意識、底線意識是非常危險的。

（二）黑客攻擊的風險

數(shù)據(jù)是新時代企業(yè)的核心資產(chǎn)之一，具有很高的應用價值，而黑客也正是利用了這一點，會借助病毒傳播、系統(tǒng)漏洞、木馬植入、電子郵件等方式實施非法操作，不但會破壞網(wǎng)絡系統(tǒng)，還會竊取海量數(shù)據(jù)，一旦用于不法目的會造成不可估量的損失。如2015年6月，波蘭航空公司地面操作系統(tǒng)遭遇黑客襲擊，系統(tǒng)癱瘓5個小時，無法建立新的飛行計劃，導致至少10個航班被迫取消，1400多名乘客滯留機場?？展堋C場管理系統(tǒng)或航空公司操作系統(tǒng)被黑客攻擊會造成更加嚴重的連鎖反應，甚者可能會影響飛機的起降或乘客的安全。

（三）數(shù)據(jù)流動的風險

數(shù)字化轉(zhuǎn)型帶來了大量數(shù)據(jù)的共享和交換，因民航業(yè)運營系統(tǒng)互聯(lián)互通的特性，旅客出行全流程數(shù)據(jù)、航班數(shù)據(jù)、飛行數(shù)據(jù)等貫穿了航空公司、系統(tǒng)服務商、機場、空管局等民航系統(tǒng)，各系統(tǒng)之間、各部門之間、內(nèi)部與外部之間的數(shù)據(jù)流動帶來了巨大價值的同時，也帶來了極大的安全風險：越權(quán)訪問、賬號濫用、訪問敏感數(shù)據(jù)、數(shù)據(jù)過量訪問與下載、跨境儲存與傳輸?shù)?。這些安全隱患無一不給民航業(yè)數(shù)據(jù)安全防護工作帶來巨大的挑戰(zhàn)。

民航業(yè)數(shù)據(jù)安全工作研究

數(shù)字經(jīng)濟時代，數(shù)據(jù)資產(chǎn)是基礎性戰(zhàn)略資產(chǎn)，已經(jīng)成為推動經(jīng)濟發(fā)展的關鍵生產(chǎn)要素，而數(shù)據(jù)安全是數(shù)字經(jīng)濟發(fā)展的重要保障。發(fā)揮數(shù)據(jù)的資源作用和創(chuàng)新引領作用，必須完善數(shù)據(jù)安全治理工作，以安全保發(fā)展，以發(fā)展促安全。數(shù)據(jù)安全工作并非僅依賴于生產(chǎn)單一產(chǎn)品或構(gòu)建平臺，而是需要圍繞數(shù)據(jù)使用的全流程來開展安全防護和運營工作。

目前，民航業(yè)的數(shù)據(jù)安全工作還處于建設初期，從發(fā)展規(guī)律來看，產(chǎn)業(yè)發(fā)展初期面臨制度和標準體系、管理和技術(shù)體系、產(chǎn)品和服務體系、人力體系、評價體系、生態(tài)體系等不完備的問題，對產(chǎn)業(yè)及企業(yè)發(fā)展形成諸多制約。下文從規(guī)則層、執(zhí)行層和評價層三個方面分析民航業(yè)數(shù)據(jù)安全工作的現(xiàn)狀，再結(jié)合當前的經(jīng)濟發(fā)展和政策要求提出相應的建議措施。

（一）數(shù)據(jù)安全標準已相繼完善

2017年至今，我國相繼出臺了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》和《個人信息保護法》，編織起了一張數(shù)字安全“保護網(wǎng)”，為數(shù)字化進程保駕護航。為了貫徹民航“十四五”規(guī)劃中“以安全為底線，智慧民航為主線”的要求，積極推動行業(yè)數(shù)字化、智能化、智慧化轉(zhuǎn)型升級，民航局制定了智慧民航數(shù)據(jù)治理系列規(guī)范，包含7部行業(yè)標準和1部信息通告，其中2022年初已發(fā)布5部行業(yè)標準，包括框架與管理機制、數(shù)據(jù)架構(gòu)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全以及數(shù)據(jù)服務。

基于數(shù)據(jù)治理工作的復雜性和體系性，智慧民航數(shù)據(jù)治理系列規(guī)范圍繞數(shù)據(jù)治理的保障基礎（管理保障與技術(shù)保障）、管控實施（數(shù)據(jù)架構(gòu)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全、數(shù)據(jù)共享等）、應用服務、實踐經(jīng)驗等多方面展開，為民航上下游企業(yè)“怎么管數(shù)據(jù)、怎么用數(shù)據(jù)”的問題提供了有效解決方案。對于民航業(yè)各單位而言，該系列規(guī)范的指導將助力實現(xiàn)數(shù)據(jù)和業(yè)務的統(tǒng)一管理，為推動行業(yè)主體間的數(shù)據(jù)互通和安全共享提供技術(shù)保障，有利于實現(xiàn)各單位內(nèi)部及單位間的數(shù)據(jù)融合與復用，從而降低運行成本、大幅提高數(shù)字化轉(zhuǎn)型效率。

（二）亟需落實數(shù)據(jù)安全規(guī)范和標準

要確保民航業(yè)數(shù)據(jù)安全規(guī)范和標準落地，就必須完善規(guī)則所需的一切資源、工具及具體行動，主要包括數(shù)據(jù)安全技術(shù)、數(shù)據(jù)安全產(chǎn)品與服務、數(shù)據(jù)安全人才培養(yǎng)和數(shù)據(jù)安全教育等，這是民航業(yè)實現(xiàn)數(shù)據(jù)安全目標的核心。目前民航業(yè)相關標準和規(guī)范已經(jīng)相對完善，亟需落地實施?？梢詮囊韵聨讉€方面開展相關工作。

1.創(chuàng)新數(shù)據(jù)安全技術(shù)。數(shù)字經(jīng)濟浪潮下，數(shù)據(jù)既要放得開又要管得住，這就需要借助技術(shù)手段賦能數(shù)據(jù)要素化。當前，我國數(shù)據(jù)安全創(chuàng)新能力不足，一些關鍵核心技術(shù)受制于人的局面依然存在，在一定程度上給數(shù)據(jù)安全治理帶來了挑戰(zhàn)。因此，亟需以掌握關鍵技術(shù)為抓手，落地數(shù)據(jù)安全標準，筑牢數(shù)據(jù)安全防線。對于民航業(yè)來說，數(shù)據(jù)安全技術(shù)創(chuàng)新并不是一朝一夕憑一己之力能夠完成的事情，需要政府，民航系統(tǒng)內(nèi)的科研機構(gòu)、高校等其他企事業(yè)單位，行業(yè)組織等的共同參與。結(jié)合國家和行業(yè)標準，從民航業(yè)視角出發(fā)加強安全生產(chǎn)信息化建設，創(chuàng)新數(shù)據(jù)安全技術(shù)，積極推廣應用安全運行管理新技術(shù)、新設備。加快航空運輸系統(tǒng)信息平臺的升級換代，保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全。利用云計算、人工智能、區(qū)塊鏈等數(shù)字化技術(shù)強化數(shù)據(jù)創(chuàng)建、存儲、使用、共享、存檔和銷毀的數(shù)據(jù)生命周期技術(shù)管控，包括敏感數(shù)據(jù)識別技術(shù)、數(shù)據(jù)加密技術(shù)、數(shù)據(jù)追蹤溯源、數(shù)據(jù)脫敏技術(shù)等，為民航數(shù)據(jù)安全管理和運營提供堅實的技術(shù)支撐。

2.開發(fā)數(shù)據(jù)安全產(chǎn)品與服務。隨著數(shù)字經(jīng)濟的蓬勃發(fā)展，數(shù)據(jù)資產(chǎn)已經(jīng)成為國家以及企業(yè)的戰(zhàn)略資源和核心資產(chǎn)。數(shù)據(jù)交換、共享與流轉(zhuǎn)已經(jīng)不限于部門與部門之間，跨業(yè)務跨部門跨網(wǎng)絡邊際的數(shù)據(jù)流動已經(jīng)成為常態(tài)，民航業(yè)的數(shù)字安全服務建設已經(jīng)不能局限于單一企業(yè)層面的建設，而是應該著重以行業(yè)數(shù)字安全基礎設施為核心，為行業(yè)間數(shù)據(jù)交換市場提供安全保障。民航系統(tǒng)內(nèi)的高校、科研院所應聯(lián)合數(shù)據(jù)安全企業(yè)，開展數(shù)據(jù)安全技術(shù)研發(fā)深度交流合作，通過組建安全技術(shù)創(chuàng)新聯(lián)盟、成立聯(lián)盟實驗室等方式，發(fā)揮協(xié)同創(chuàng)新優(yōu)勢，加快推動數(shù)據(jù)安全技術(shù)和產(chǎn)品的研究與應用，切實為民航業(yè)數(shù)據(jù)安全提供可靠的服務。

3.儲備數(shù)據(jù)安全治理人才。大力推進民航數(shù)字安全治理工作，離不開對專業(yè)人才的培養(yǎng)。積極推動和鼓勵民航業(yè)各單位進行數(shù)據(jù)安全治理人才的培養(yǎng)和選拔，為數(shù)據(jù)安全監(jiān)管提供技術(shù)支撐。采用數(shù)據(jù)安全培訓和競賽等方式方法，提升各單位安全技術(shù)實踐應用水平。民航業(yè)數(shù)據(jù)人才需要不僅熟悉民航相關業(yè)務、數(shù)字安全的法律法規(guī)，而且掌握數(shù)據(jù)處理技術(shù)、具備科學處理數(shù)據(jù)等能力的復合型人才。這種專業(yè)創(chuàng)新人才至少需要具備三個方面的能力：一是掌握民航基礎知識、數(shù)字安全基礎知識，包含對各種理論知識，安全法律法規(guī)的了解；二是熟練各種數(shù)字技術(shù)的應用，包含民航業(yè)數(shù)字業(yè)務場景應用、數(shù)據(jù)處理技能等；三是懂得數(shù)字體系建設和風險評估等。區(qū)別于其他安全，數(shù)據(jù)安全工作不僅僅需要從風險考慮，也需要從大局觀考慮，技術(shù)手段是輔助，還需要對整個安全體系進行保障設計。

4.加強數(shù)據(jù)安全教育與培訓。數(shù)據(jù)安全教育與培訓是讓全體民航人了解保護數(shù)據(jù)不被破壞、丟失、修改、盜竊或披露的最佳實踐。為了讓民航從業(yè)人員對數(shù)據(jù)安全有更加清晰完整的全景化認知，數(shù)據(jù)安全教育與培訓應該遵循數(shù)據(jù)安全建設的客觀規(guī)律，基于風險視角涵蓋數(shù)據(jù)安全的五大知識域：數(shù)據(jù)安全基礎概念、數(shù)據(jù)分類分級、數(shù)據(jù)安全風險評估、數(shù)據(jù)生命周期安全等。每個知識域中均應包含“概念介紹”“標準解讀”“過程方法”“建設實踐”“案例介紹”等幾種課程類型。圍繞數(shù)據(jù)安全專業(yè)能力建設，整合數(shù)據(jù)安全專業(yè)服務實踐和項目經(jīng)驗，確保相關民航業(yè)務人員能適應工作實際環(huán)境，具備處理各種數(shù)據(jù)安全問題的能力，成為將專業(yè)技能轉(zhuǎn)化為組織數(shù)據(jù)安全保障能力的實踐性人才。

（三）加快建立數(shù)據(jù)安全評估體系

數(shù)據(jù)安全評價是對民航業(yè)數(shù)據(jù)安全成熟度進行評估、驗證及考核。民航業(yè)數(shù)據(jù)安全評價體系建設主要包含數(shù)據(jù)安全獎項、數(shù)據(jù)安全排名、數(shù)據(jù)安全認證等，搭配數(shù)據(jù)安全案例使用，通過認證、審計、測評等方式對民航業(yè)的數(shù)據(jù)安全能力進行持續(xù)評估，促進行業(yè)持續(xù)改進和提升。

數(shù)據(jù)安全評估指標的選擇應建立在數(shù)據(jù)安全原則的基礎上，即：合法正當、權(quán)責一致、最小化、全程可控、動態(tài)控制和可審計。將數(shù)據(jù)安全識別三要素數(shù)據(jù)完整性、數(shù)據(jù)保密性和數(shù)據(jù)可用性作為著力點，評估數(shù)據(jù)遭到未經(jīng)授權(quán)的破壞或披露后所造成的影響，以及民航業(yè)各單位繼續(xù)使用這些數(shù)據(jù)或無法使用這些數(shù)據(jù)可能產(chǎn)生的影響。

目前《智慧民航數(shù)據(jù)治理典型案例實踐》正在編制中，待編制完成并發(fā)布后，預期能夠為民航業(yè)數(shù)據(jù)安全治理工作帶來重要實踐意義。民航業(yè)數(shù)據(jù)安全相關的規(guī)則正在建立，相應的執(zhí)行和評價標準也亟待新建，待一系列工作完成后，民航業(yè)數(shù)據(jù)安全將會實現(xiàn)“規(guī)則—執(zhí)行—評價—改進”工作閉環(huán)。

總之，數(shù)據(jù)技術(shù)是一把雙刃劍，促進經(jīng)濟社會發(fā)展的同時也會帶來諸多風險，必須把握民航發(fā)展和數(shù)據(jù)安全的關系。管好數(shù)據(jù)、用好數(shù)據(jù)、治理好數(shù)據(jù)，是加快推進民航業(yè)數(shù)據(jù)安全工作現(xiàn)代化的重要課題，也是下一步推動民航業(yè)高質(zhì)量發(fā)展的重大考驗。面對當前以及未來不可避免的安全風險與發(fā)展的平衡調(diào)整需要，全民航應共同努力，完善數(shù)據(jù)使用標準和規(guī)范，加強數(shù)據(jù)安全技術(shù)、產(chǎn)品與服務建設，形成制度和技術(shù)的雙驅(qū)動，為智慧民航建設工作順利開展保駕護航。