PAGEPAGE10機場信息安全管理存在的問題及完善對策研究目錄TOC\o"1-2"\h\u8513摘要 111122引言 1140391相關概念闡述 2250681.1信息安全管理 2223521.2信息安全管理日常運行情況 3143202徐州國際機場信息安全管理現狀 396282.1徐州國際機場概述 3307522.2徐州國際機場信息安全管理現狀 439453徐州觀音國際機場信息安全管理存在的問題 5145323.1存在木馬及病毒入侵的風險 5235503.2相關管理工作落實不足 534823.3存在一定的網絡漏洞 5315763.4信息安全管理體系制度不健全 5279323.5信息安全風險評估不夠規范 6242644提高機場信息網絡安全管理水平的策略 633384.1對信息安全組織進行積極構建 6122564.2對網絡信息安全管理制度進行完善 6225894.3加強機場相關人員的信息安全管理意識 780554.4對機場網絡現狀進行優化 7286824.5開展信息安全風險評估 75632結論 832189致謝 8摘要隨著現代企業信息化水平的不斷提升，很多企業都將信息化水平作為其綜合實力評估的基準，然而應運而生的便是其所暴露出來的信息安全性不高的問題，這也使得信息化發展產生了一定的阻力因素，在企業生產安全方面，信息安全在敏感性與破壞性方面，也超過了其他的安全。“十三五”開展過程中，徐州觀音國際機場的信息安全發展形勢更為嚴峻，從而使得其構建完整的信息安全管理體系刻不容緩。本篇文章從徐州觀音國際機場安全管理的現狀出發，針對其問題給予一定的解決措施。關鍵詞：信息安全管理；徐州觀音國際機場；計算機技術引言現階段，在公司進行管理體系的構建中，對于構建安全方面的管理體系地位逐漸上升，同時政府以及各方面對于其的管理意識也逐漸加強。然是，在我國企業進行信息安全管理的主要手段是安裝病毒軟件等，方法簡單，由此可見對于安全防護還缺乏重視意識，不夠全面性與高效性。目前全世界發展速度位于前列的有ISD/IEC27001(前身是英國BS7799標準)信息安全管理體系國際標準，其發布于2005年，并且截止至今已經覆蓋世界上100多個國家中，簽發證書超過17500張，與此同時，證書的增長量每年都保持在兩位數。而這些方面都是通過國際標準化組織(該組織的成員包括47個國家標準機構)的共識，從而進行指定的。自十八大以來，在國民經濟的提升與民航的發展中，信息化發揮了其十分關鍵的作用。在目前的發展過程中，民航局、航空公司等大多將物聯網、云計算、大數據、智能控制等高新技術運用于自身發展，并逐漸滲透于各個層面，由此可見，徐州觀音國際機場在推動自身建設時，信息化假設是必不可少的一步。當前，徐州觀音國際機場的信息系統逐漸增加，同時不斷提升其集成度，因此也出現了網絡關系和接口日益復雜，用戶行為控制日益困難的問題，信息系統對此要更為提升其穩定性與恢復及時性。“十三五”開展過程中，徐州觀音國際機場的信息安全發展形勢更為嚴峻，從而使得其構建完整的信息安全管理體系刻不容緩。1相關概念闡述1.1信息安全管理信息安全管理即對于信息的完整性、可控性、可用性、保密性和不可否認性進行保障，以管理和保護信息源，是對于信息安全開展管理與規范的全過程。本質上，信息安全管理就是對于信息安全存在的動態風險進行管理，使得信息和信息系統能夠得到有效的控制和風險管理。信息安全管的問題貫通于組織整體，涵蓋了多個方面，包括運行方面、物理方面、人事方面以及運行戰略等。目前，對于信息安全管理方面，美國構建出一個具有嚴密組織規劃、職責分配恰當、能夠指揮統一行動的國家信息安全組織體系，對于網絡上的違反法律的行為，高效及時制止，從而使得信息安全得以保障。日本在冷戰結束以后，對于信息安全的重視程度也有所提升，并對于國家信息系統的建設提供了大力支持，對于信息指揮系統進行了一系列的改革優化，使得其覆蓋面更為廣泛，并能夠貫通于各領域。同時其建立了高效準時預防、反饋速度快以及防范全面的及預防、統籌與控制于一體的體系。由此可見，信息安全管理的工程量大，同時涉及面廣，其發展在依賴于國家相關法律支持與知道的同時，也與要完善的組織體積來加持，從而使得其自身不斷增強抵抗能力從而保障信息技術能夠安全研發與運用。另外，鑒于信息安全涉及的層次多元化、影響因素多并且不斷的變化，其所處環境也是持續動態發展的，信息技術也在不斷革新，因此信息技術管理的運行過程也是動態發展的。除此之外，信息安全管理必須追求標準化和系統化，將組織當前的安全需求和組織目標作為規劃標準從而制定符合標準的管理戰略，在制定時不能只結合某一段時期，經驗主義的將安全技術產品與措施盲目引入，而應該在運行時，每個階段立足實際與整體來進行升級換代以及對功能進行拓展延伸。1.2信息安全管理日常運行情況1.2.1重大活動保障工作現階段，對于網絡方面的安全其預警與應急協調已經全面的運用于生活中，各地也組織建立了專門的網絡安全小組來進行協助。為了使得《中華人民共和國網絡安全法》中對于網絡安全進行全程監控、及時反饋與應急處理的要求全面落實，其更是加強對于重大活動的監控力度，24小時全面值守，使得網絡安全得以全面保障，降低信息泄露的風險，對于重大活動的網絡安全進行分級并及時備案，同事也使得全國人大和政協、“一帶一路”、十九屆論壇、廈門金磚四國會議、達沃斯論壇等重大活動能夠安全、成功實施。1.2.2日常網絡安全管理在網絡安全檢查方面，按照中央網信辦、公安部、民航局所提的嚴格要求，民航局在不同地區開展統一部署、自查互查同時展開，使得網絡安全工作更為常規化的展開。公安部門將檢查國家重點信息系統和安全法重點網站的執行情況，與其完成內外網殺毒系統的國產化和XP安全防護工作系統相統一，對于遠程安全漏洞檢測不定期進行展開，并組織應急培訓，從而使得網絡安全更為保障。尤其是隨著“一帶一路”的展開，“永恒之藍”勒索病毒在網絡上大量爆發，許多國家的部門系統都受到一定的影響，從而使得其經濟上損失嚴重同時造成不小的社會影響。此時應該及時展開空管系統應急預案，使得安全措施的保護工作迅速展開，在面對此挑戰時能夠對信息安全有效保障。1.2.3網絡安全合作為應對挑戰與日俱增的網絡安全形勢，我們將加強與國家信息技術安全研究中心和公安部研究院的合作，從而提高空管安全水平，包括在重要時期使用專業安全機構進行全天候實時安全監控。以保障問題的及時解反饋、響應和解決，對于成功應對“永恒之藍”、DDOS攻擊等多起國內外互聯網安全事件。2徐州國際機場信息安全管理現狀2.1徐州國際機場概述徐州觀音國際機場設立在徐州市的睢寧縣雙溝鎮境內，其地勢不陡峭，擁有良好的凈空條件。機場的名字由來則是得益于附近觀音閣村。該機場與徐州市區相距45公里，南接104國道，北部通鹽徐高速公路，擁有十分便捷的交通運輸網。觀音國際機場周邊宿遷、淮北、宿州、棗莊、商丘等市的圓心，距離直徑均約100公里，平均車程只需1小時左右。由此可見，該機場不僅服務于徐州，對于周邊淮海經濟區也是十分重要的。2.2徐州國際機場信息安全管理現狀近期，徐州觀音國際機場組織建立了一個核心信息網絡安全小組，從而對徐州觀音國際機場信息安全展開一系列的管理，主要負責工作由訂立信息網絡安全管理規章制度，并監督其落實于實踐中，同時進行監控、反饋和管理。信息網絡安全領導小組的動作開展以民航總局、東北管理局的要求為基準，從而進一步完善信息網絡安全管理制度，并統籌安排對于本集團的信息網絡犯罪和違法行為開展打擊活動。；同時對于網絡不良信息整合清除；進一步合理分配集團信息網絡安全管理工作；加大信息網絡安全培訓、教育和宣傳的力度；對于集團信息網絡安全建設的規劃進一步落實。信息網絡安全領導小組。對于信息網絡安全管理體系進行統籌規劃，并劃分等級合理分配資源，使其具體落實于每個部門。質量安全部。主要工作為對于信息網絡安全工作進行監控與查驗，督促其更好的落實，同時及時歸檔備案相關管理制度，對于網絡信息安全事件中存在的問題、相關部門提出的整改意義及時記錄，并監督處罰的開展。集團辦公室。對于信息網絡安全相關文件進行歸檔以及發送，使得民航局、東北管理局以及首都機場集團等及時接受到相關的信息，并對文件進行整理，做好備案，使得有關工作更好的落實。信息管理部。該部門是信息網絡安全中的關鍵部門，其立足于機場發展現狀來制定相關符合實際發展的規定，并及時對省機場公司領導小組進行匯報以及給其辦公室、安全部進行備案。依照信息網絡安全工作所提的基本要求，進行合理的規劃以及提供大力支持。航信空港網絡公司。主要對接徐州觀音國際機場離崗系統，同時對信息管理部門提供支持，促進其網絡安全相關的工作展開。機場公安局。對于信息安全等級工作提供監督、檢查以及統籌指揮的協助，已發打擊危害集團信息網絡的不法行為，對于信息網絡安全工作的各部門進行協調與分配，使其之間聯系更為緊密，推動省機場公司信息安全工作得以穩健開展。各直屬二級機構。依照省機場公司信息安全工作的相關規章制度，對于負責部門的信息網絡安全工作進行全程監控、檢驗，并可將本部門實際情況作為標準來制定更為細致的信息安全工作管理明細，使得各二級機構的信息網絡系統安全有足夠的保障。3徐州觀音國際機場信息安全管理存在的問題3.1存在木馬及病毒入侵的風險計算機病毒主要是指計算機代碼或指令計算機代碼或與程序相關的內部數據或任務能夠被人為破壞并嚴重影響計算機的使用。通常情況下，計算機病毒有幾個特征，如傳染性強、毀滅性大、隱藏性高等。我國的計算機安全目前對病毒所帶來的風險受到了巨大的影響，這是因為其能夠短時間傳播、風險度極高，尤其是利用網絡高速傳播的病毒，如木馬、蠕蟲等，它為計算機網絡安全系統造成了十分嚴重的不利影響，計算機安全問題也深受影響。這些網絡病毒使得我國當前的機場信息安全方面管理方面進一步優化成為了不可避免的選擇。3.2相關管理工作落實不足在互聯網快速發展的當下，互聯網安全體系的全面發展也受到了一定的挑戰，常見的問題有計算機的系統網絡安全管理機制有所缺失、機場相關人員缺乏有效的崗位職責的有效認識，這些都導致管理混亂，權責不清，無法充分發揮機場信息網絡安全管理的有效性，使得機場信息網絡安全更具風險性，一定程度上阻礙了機場信息網絡安全管理工作的進行。另外，由于計算機系統網絡安全管理機制還有所漏洞，以及相關機場管理人員和其他工作人員對于網絡安全認識不夠充分，機場信息網絡安全風險也更為增加，給黑客留下了入侵的機會，這大大增加了網絡病毒滲透的機會。3.3存在一定的網絡漏洞在計算機系統中，如交換機、服務器、工作站和其他設備操作系統往往存在各種形式的網絡安全漏洞。隨著網絡信息科技的不斷進步，黑客技術也隨之持續提升，導致了許多新的計算機網絡病毒的誕生，計算機信息網絡的安全工作發展也面臨了更多的挑戰。如果企業缺乏內部補丁管理系統，無論企業的防病毒或防病毒軟件多么先進，都會使得使用計算機病毒有機可乘。其次，計算機中的相關應用軟件也會有一些缺陷，如果相關部門和相關工作人員不及時注意到這一點，勢必會增加信息網絡的安全所面臨的風險，容易造成大量破壞。3.4信息安全管理體系制度不健全2007年徐州觀音國際機場信息網絡安全領導小組正式成立，主要工作是編制和實施信息網絡安全管理制度與分級，科學下達相關工作安排和部門。但在職責分工上，信息安全管理體系建設和信息系統級安全建設并未詳細落實和劃分。僅對于部門工作明確信息管理部負責集團公司網絡信息安全管理工作，建立集團公司信息安全應急預案，以及督促集團公司信息安全預案和組織實施。結合實踐來看，現階段信息安全管理的職責屬于技術部門來負責，同時其也肩負信息安全管理工作開展的責任，管理信息安全的相關人員沒有專門性與針對性，從而一定程度上滯緩了信息安全管理的發展。3.5信息安全風險評估不夠規范經調查，首都機場集團于2004年頒布了《首都機場集團公司風險管理規定》，為徐州觀音國際機場的全面風險管理提供了參考性的建議。信息系統風險被列為2級管理風險，并將信息系統風險分為四個維度：系統安全、具體發展方向、架構和實際操作。意見還要求構建量化風險評估工具，強調量化風險分析的重要程度。雖然徐州觀音國際機場按照首都機場集團風險管理的相關要求開展了涉及信息系統的風險評估工作，但該工作僅根據信息系統安全、規劃、架構和運營四個風險類別進行風險評估，具有表面性，較為粗略。不僅風險評估方法不夠合理，而且對于信息系統生命周期（SDLC）的啟動、開發、實施和銷毀階段沒有完全的涉及，信息安全風險評估缺乏依據性。4提高機場信息網絡安全管理水平的策略4.1對信息安全組織進行積極構建從機場的方面進行考察，可以發現在進行信息網絡安全管理時，不僅有龐大的服務機構，還有密集的信息系統。所以，開展機場信息網絡的全面安全管理，離不開相應機場領導的大力支持。其具體體現為機場信息部門必須科學、合理地制定信息安全保護制度和安全管理規范，使計算機信息系統的安全性有所確保。其次，機場應建立網絡安全培訓機制，對合適的機場人員進行科學、系統的培訓，并在培訓期間定期進行合適的人員考核，以有效保證合適人員的專業素養與技能，使其自身綜合素質也得以高效促進。另外，機場信息安全部門應建立信息安全管理職能，推動機場信息網絡的安全監督管理能力進一步提升，有效保障機場信息安全工作順利開展。機場信息安全檢查組將認真落實工作，加強查驗力度，找出機場信息網絡安全的隱患，并積極采取相應措施解決問題。此外，有關人員還需要建立適當的應急機制，以便在問題發生之前加以預防。4.2對網絡信息安全管理制度進行完善在目前社會的發展過程中，科學完善的網絡信息安全管理體系在機場信息和網絡安全管理中占據了極其關鍵的地位。立足于實踐發展來看，機場相關信息安全管理部門既要推動自身技術能力的提高，又要重視對相關管理人員職業道德和職業技能的培養。機場信息安全管理部門應當積極探索影響機場信息網絡安全的因素，采取科學的方法，盡量減少不安全因素對機場網絡信息產生的阻礙，制定相應的獎懲機制，嚴厲懲處違規行為，有效約束行為。此外，機場信息網絡安全管理部門在工作過程中應嚴格遵守相關規章制度，根據機場實際情況制定科學合理的管理方案，充分發揮實際效果。推動機場信息網絡安全管理有效的保障機場信息網絡安全。4.3加強機場相關人員的信息安全管理意識隨著我國經濟社會的持續進步，機場業務的規格與數量也在不斷增加。作為一個相對密集的用戶區域，機場相關服務也更為復雜，相關人員的服務、技能等要求也更高。所以，相關部門應加強對員工的管理和培訓，統共機場員工更多有關安全意識培訓和業務培訓機會。通過相關培訓，使得員工進一步提升機場信息網絡安全意識，充分認識機場信息網絡安全的重要性，加強相關人員的管理水平與管理意識。在當前機場信息網絡安全管理過程中，有關部門要根據自身的信息化程度、業務水平等因素，嚴格建立信息安全管理體系，提高機場信息網絡安全管理水平，從而使得機場信息有效得到保障。4.4對機場網絡現狀進行優化機場信息網絡包括許多內容，其中包括空中交通管制、辦公樓、航空公司等。在目前的發展過程中，相關管理部門在建設機場信息網絡安全體系時，應從宏觀角度充分考慮其內容，兼顧各個網絡的工作，以提高對機場信息網絡安全的有效管理。但是結合現在的機場信息網絡安全管理來看，于相關信息系統數量龐大，網絡安全管理工作難度很大，例如，機場相關管理部門可能不會為所有信息系統安裝安全管理系統，這樣的后果勢必為機場信息系統混亂，一定程度上阻礙了機場尚未發展。由此可見，在實踐過程里，有關部門要立足于機場現狀使得分析更具全面性，并對機場各部門、各系統統籌規劃，最終形成統一規劃、綜合體系的網絡信息安全防護。有效保障機場信息網絡安全。執行信息安全風險評估4.5開展信息安全風險評估信息安全風險管理的第二部分便是風險評估，即識別、分析和評估已識別信息資產的弱點和漏洞的過程。在目前情況下，徐州觀音國際機場信息安全風險評估可參考國家信息安全風險評估指南，以此為標準進行定量評估。風險評估由風險管理團隊負責，采取領導管理、專業技術和操作人員相結合、定性分析和定量分析相結合的方法，收集大量的相關數據和信息，確定潛在風險的漏洞所在和可能出現的后果，并對于產生后果近一步評析，使其結果更為科學嚴謹、可信度有所提升。風險評估往往以機場集團風險評估意見作