ATT推荐｜数字化转型加速 航企如何增强网络安全韧性？

近年来，民航业的网络安全威胁日益严峻。随着数字化转型加速，航空公司在订票、行李管理、飞行控制等各环节都高度依赖信息系统和数据联网，攻击面随之扩大。据Eurocontrol报告统计，2020年~2021年航空领域遭受的网络攻击事件增长了530%，且这一趋势仍在持续上升。航空公司长期专注于物理安全，如今不得不直面不断增加的网络入侵和数据泄露威胁。更严重的是，勒索软件正成为民航业网络攻击中的突出威胁，多家航企曾遭遇黑客锁定系统或窃取敏感数据。在全球民航业重视数字化带来效率提高的同时，必须同步加强网络安全，否则数字化成果将面临巨大风险。

航企网络安全存在潜在威胁

不可否认，航空公司的复杂业务和历史包袱使其网络安全存在漏洞，许多航空公司依赖沿用数十年的IT系统，这些系统在设计时并未考虑当今的网络威胁。这些老旧系统往往缺乏安全补丁，存在已知漏洞却难以及时修复。一些航空公司曾因难以升级关键系统而发生过大范围故障，暴露出其技术债务和安全隐患。老旧系统成为黑客袭击的软肋，如果不及时更新或升级，攻击者可能利用其中的弱点进入企业网络。

民航业运营涉及庞大的供应链网络，包括预订系统提供商、行李处理承包商、地面服务商等众多第三方合作伙伴。航空公司的系统与这些外部合作伙伴高度集成，这也将后者的安全薄弱点转嫁给航空公司。研究显示，航企专用的软件和IT供应商整体安全评分偏低，给航空公司带来显著的第三方风险。统计发现，航空公司发生的数据泄露事件比行业平均水平高出约4%，部分原因正是供应商安全得分偏低导致的漏洞。黑客往往瞄准这些外部合作伙伴，并将其作为跳板。例如，2018年英国航空的大规模数据泄露即是通过一家第三方服务商的账户入侵，从而获取进一步权限的。由此可见，任何一个合作伙伴的防护薄弱都可能成为攻击者攻破整个航空价值链的入口。

民航业还面临地缘政治背景下的高级持续性威胁（APT）。航空公司掌握着大量旅客行程和物流信息，因而常成为具有国家背景黑客组织的目标。一些国家支持的黑客试图通过攻击航空公司窃取情报、监视特定人员行踪，或直接干扰航空运营以实现政治意图。例如，西方发达经济体在民航网络安全上的表现整体优于新兴市场，但来自某些国家的黑客组织进攻性网络行动正对全球民航业造成威胁。这类具备强大技术实力的对手能够利用零日漏洞或供应链攻击等高级手段，对航空公司进行长时间潜伏渗透，所带来的风险更具隐蔽性和破坏性。

建立主动的安全文化至关重要

面对复杂严峻的威胁形势，航空公司需要采取前瞻性的网络安全措施。国际航空运输协会（IATA）首席信息与数据官金·麦考利（Kim Macaulay）等业内高管强调，建立主动的安全文化至关重要。

麦考利指出，网络攻击迟早会发生，关键在于做好准备、迅速应对，将影响降至最低。她建议航空公司在发生安全事件时及时与客户沟通，避免旅客被蒙在鼓里，这有助于维护信任并减少谣言和恐慌。此外，麦考利强调不要过度依赖外包，在内部保留关键安全能力十分必要。IATA则通过强化员工技能培训和优化事故处置流程，确保在遇到突发网络事件时能快速定位问题并进行有效处置。她还倡导整个航空价值链加强信息共享和协同防御，IATA已加入航空信息共享与分析中心（A-ISAC），与全球同行实时交换威胁情报。

总之，从业者的共识是：只有将安全关口前移、未雨绸缪，才能在不断演化的网络威胁面前保持韧性。

多措并举筑牢安全屏障

加强行业层面的协作是增强航空网络安全韧性的关键环节之一。为此，全球主要航空公司于2014年设立了航空信息共享与分析中心（A-ISAC）。A-ISAC汇聚了航空制造商、航空公司、机场、卫星通信供应商及其他航空服务提供商，致力于打造国际化的航空网络安全社区。该组织通过建立信任机制，鼓励成员实时分享网络威胁情报和最佳实践。A-ISAC的专业团队和会员企业每天都在协同工作，及时通报新的攻击动向，共建集体知识库来识别和防御潜在风险。例如，当某家航空公司监测到新型攻击手段或漏洞信息时，会迅速在A-ISAC平台上通报同行，提醒大家加强防范。这种信息共享大大缩短了威胁从出现到被行业感知的时间，有助于保护全球航空运营的关键基础设施、确保数据完整性并维护旅客对航空安全的信任。通过A-ISAC等合作机制，民航业正在消除信息孤岛，实现众志成城的整体防御，提高全行业的网络安全水平。

要真正增强民航业的网络安全韧性，航空公司需要从战略和运营层面同步发力，制定并落实一套全面的安全策略。未雨绸缪制订详细的网络安全事件响应方案，包括明确各部门的职责分工和应急处置流程。一旦发生入侵或故障，航空公司能够迅速启动预案，隔离受影响系统并通知相关方。定期进行模拟演练，对于检验和优化响应计划至关重要。模拟网络攻击可以让参与者直观认识到网络安全事件可能带来的财务损失、声誉损害和运营中断等后果，凸显了标准化和业务连续性计划的必要性。通过反复演练和优化预案，航空公司可以大幅缩短响应时间，在危机中保持有序运营，将影响降到最低。

此外，建设7×24小时的安全运营中心（SOC）或网络安全监测团队，对关键系统和网络流量进行实时监控。有些航企已设立了网络安全运营中心，能够全天候实时应对网络威胁，及时发现系统异常并在早期阻止潜在入侵。例如，达美航空部署了7×24小时的安全运营中心来监测全球网络，一旦发现可疑行为立即应对，同时组建法律合规团队，确保措施符合FAA、EASA等监管要求。这种持续监测大幅提高了威胁可见性，确保任何异常苗头都能第一时间被捕捉和消除，为航空运营筑起了重要的安全屏障。

航空公司掌握大量旅客个人信息和商业数据，必须严格遵守数据保护法规要求，加强对敏感数据的加密存储和传输保护，定期评估访问控制策略，防止未经授权的数据调用和泄露。一旦发生数据泄露，监管机构可能给予严厉处罚。例如，英国航空因2018年客户数据外泄事件，被英国信息监管局罚款2000万英镑。因此，航空公司在技术层面要对旅客数据实施环绕式防御，并在管理层面落实隐私合规审计和及时报告机制。航空公司将法规合规融入安全策略，既是履行法律责任，也是保护自身品牌声誉免受数据事故重创的重要举措。

积极邀请道德黑客（Ethical Hackers）为自身系统挑刺，未雨绸缪地发现漏洞并及时修补，这是近年来民航业提升防护能力的创新实践之一。一些航空公司已发布漏洞悬赏计划，奖励安全研究员提交系统漏洞报告。例如，布鲁塞尔航空首席信息安全官曾直言：“我们需要借助道德黑客加强IT系统安全，在不道德的黑客找到漏洞并加以利用之前先行发现并解决问题。”通过合法合规的渗透测试和漏洞悬赏计划，航空公司可以利用全球安全社区的智慧，不断补齐自身防线的短板。这种攻防演练式的预防措施已经在一些航企初见成效，帮助其在黑客发动攻击前堵住了安全漏洞，提升了整体抗攻击能力。

上述策略互为补充，共同构成了民航业网络安全韧性的基石。通过层层防御（纵深防御）、持续监控和行业协作，航空公司能够更有效地抵御网络攻击并从中快速恢复。这不仅关乎业务连续性和旅客信息安全，更是维护公众对航空运输信心的重要保障。（马樱燊/编译）

日本航空遭遇网络攻击引发行业警示

2024年12月26日，日本航空（JAL）突发一起网络攻击事件，给假日高峰期的航班运行蒙上阴影。当日7时25分左右，日航的内部与外部网络连接设备遭到不明网络攻击，导致连通外部通信的系统发生故障。受此影响，日本航空被迫一度暂停发售当天出发的国内和国际航班机票，并出现大面积航班延误。截至当日16时，已有64架次国内外航班延误超过30分钟，2架次国内航班被迫取消。为控制事态发展，日航迅速切断了遭攻击的目标路由器，并在约13时20分将系统恢复正常运作。所幸此次事件中旅客个人信息未发生泄露。尽管航班延误给旅客出行带来不便，但日航通过紧急处置防止了更严重的后果。

专家研判此次事件极有可能是一场分布式拒绝服务（DDoS）攻击。庆应义塾大学媒体与治理研究生院教授土屋诚司指出，这类攻击通常通过向目标服务器灌入海量无效流量，使其不堪重负，从而让正常用户无法访问相关在线服务。选择年末人员密集出行时期发动攻击，作案者可能只是意在破坏航空公司的业务运营，制造混乱；从更恶意的动机考虑，不排除有人企图借此操纵日航的股价。此次攻击不直接入侵系统，但通过瘫痪网络服务间接造成航班延误和旅客不满，影响航空公司声誉。其实，民航业一直是此类“流量型”攻击的高危目标——攻击者知道干扰航空运营能够产生立竿见影的影响，引发媒体关注和公众担忧。

此次日航网络攻击事件虽然未造成人身和设备安全事故，损失相对可控，但仍给整个行业敲响了警钟，旅客办理值机手续和托运行李一度改用人工流程，所幸并未引发混乱。日本政府对此高度重视，通过国土交通省督促日航尽快修复系统，满足受影响旅客的需求。网络安全专家则指出，事件暴露出航空关键网络设备容易成为攻击突破口，日本有必要加快提升网络攻防能力。事实上，日本政府早在2023年夏天即开始讨论推行所谓的“主动网络防御”策略，尽管尚未立法，但这起事件再次凸显了采取更积极防御手段的迫切性。

日航的遭遇并非日本近期唯一的重大网络攻击事件。同年11月，日本宇宙航空研究开发机构（JAXA）被曝在夏季遭到黑客入侵，攻击者利用网络设备漏洞实施了未经授权的访问，所幸未触及航天发射等核心机密。更早之前的2023年7月，日本最大港口名古屋港遭受了俄罗斯黑客组织LockBit的勒索软件攻击，不仅港口通信系统瘫痪，而且集装箱进出口作业被迫停摆，运营方紧急关闭网络并花费数日才从备份中恢复系统。从航天机构到航空公司，再到海运港口，一系列事件显示出日本的重要交通与基础设施正频繁受到网络攻击，虽然手法各异，但都对运营秩序造成了实质影响。这种趋势无疑对公共安全和经济运行构成威胁，引发各界对网络安全的高度关注。

航空公司应从这些事件中吸取深刻教训，加速升级防御体系。首先是加强主动防御。不再消极被动等待攻击发生，而是提前采取交换威胁情报、扫描漏洞等措施，及时阻断潜在风险源头。其次是强化威胁检测机制。利用人工智能和大数据分析，提高异常流量和可疑行为的识别准确率，缩短攻击未被发现的“潜伏期”。此外，航空业界与政府监管部门的协作也应进一步深化，通过演练演习和信息通报机制，实现联防联动。总而言之，此次日航网络攻击事件为全球航企再度敲响警钟：只有未雨绸缪、主动出击，不断增强自身的网络安全韧性，才能在未来从容应对更复杂的网络攻击，确保航空运营安全平稳。（马樱燊/编译）

编辑|张 彤

校对|张 薇

审核|韩 磊