.jpg)
关于航空信息安全的人为因素探讨
蔡慧君
民航东北地区空中交通管理局气象中心 辽宁沈阳 110169
1 引言
在数字化转型的浪潮中,企业对信息技术的依赖程度与日俱增,信息已成为企业的关键资产,航空气象部门的安全资产涵盖数据安全、业务运行安全、内部操作的风险防空,这些信息的安全关乎企业的航空运输安全。然而,随着数字化技术在航空气象领域的渗透,航空气象信息的安全边界正在不断扩展,面临的风险挑战也日趋复杂。外部层面,网络攻击手段的升级对气象数据传输链路、存储系统及处理平台构成直接威胁,一旦核心数据被篡改、窃取或系统遭遇瘫痪,可能导致错误的气象判断,引发航班延误、备降甚至灾难性事故;内部层面,员工操作失误、权限管理疏漏等认为因素也是造成信息泄露或业务中断,削弱航空气象服务的可靠性。
2 安全意识现状
绝对的零风险是不存在的,要想实现零风险,也是不现实的,安全只能是相对的,安全的因素很多,有环境(自然灾害、意外的事故),设备的使用不当等等,但人往往是所有安全因素里面最复杂的,最不受控的,主要表现如下:
部分员工将安全视为管理层强制要求或法规约束,而非自身内在需求,安全源于对处罚的恐惧,而非对生命价值的珍视,他们认为,信息安全往往被认为是 IT 部门的工作,而跟其他部门关系不大,而真实的情况是信息安全不仅包括技术层面内容,更主要的是员工的主观意识,往往是通过员工无意识误操作或数据泄露而造成的信息安全问题。多数航空从业人员仅将工作重点置于飞行安全、机械维护等传统安全领域,未能充分认识到信息安全对航空运营的深远影响。部分员工认为信息安全是 IT 部门的专属职责,与自身日常工作关联不大,在操作中对信息安全风险掉以轻心。在出差公中随意连接不明来源的Wi-Fi,用于处理工作事务,全然不知这可能导致敏感信息被窃取,如旅客个人信息、航班调度数据等一旦泄露,会引发严重的安全事故和信任危机。在安全操作习惯方面,密码管理问题突出,员工常使用简单易猜的密码,如生日、连续数字等,且多个账号使用同一密码。这极大降低了账号安全性,一旦其中一个账号密码泄露,其他关联账号也将岌岌可危。同时,长时间不更换密码,也为黑客提供了可乘之机。文件传输与存储隐患存在不足,在文件传输时,不注重加密处理,直接通过普通邮件或即时通讯工具发送机密文件;存储方面,随意将重要文件存储在移动硬盘或未加密的本地磁盘,且未定期备份。一旦设备丢失或损坏,数据丢失将对航空业务造成重大打击,如飞行计划、维修记录等关键数据的丢失可能导致航班延误、安全事故等严重后果。面对信息安全事件,员工往往不知所措。缺乏基本的应急响应知识,不知道如何在第一时间采取有效措施,如及时切断网络连接、报告上级等。在日常工作中,也未曾接受过相关应急演练,实际操作能力不足,导致在真正遇到信息安全危机时,无法迅速做出正确反应,延误最佳处理时机,使损失进一步扩大。在培训方面,培训次数过少,无法形成持续有效的安全意识强化机制。
3 提升信息安全意识的措施
员工信息安全意识的提升是航空领域构建全面信息安全防护体系的核心环节,需结合行业特性与员工工作场景,从认知重塑、习惯培养、能力建设三个维度制定系统性方案,实现从“被动遵守”到“主动防护”的意识转变。
通过案例化教育让员工认识到信息安全对航空运营的直接影响,结合真实案例,如航班调度系统遭恶意入侵导致延误、旅客信息泄露引发的合规风险,展示信息安全事件对飞行安全、企业声誉、运营成本的连锁影响。针对不同岗位(空管、飞行员、地勤、调度员、客服等)定制关联场景,打破“信息安全仅属于 IT 部门”的认知误区。推动管理层将信息安全纳入日常工作沟通,在部门会议、业务培训中常态化提及信息安全要求,通过“自上而下”的重视传递,强化员工对安全问题的敏感度;建立“信息安全绩效挂钩”制度,将信息安全合规情况纳入员工考核体系,明确“信息安全与个人职责、职业发展直接相关”,从制度层面强化责任意识。针对新员工开展“基础安全必修课”,涵盖航空领域核心数据分类、基础操作规范、违规后果警示等内容,确保入职即建立安全基线;针对关键岗位,增加“深度防护培训”,包括网络攻击典型手段识别、敏感数据传输加密方法、应急处置流程等,结合模拟操作提升实战能力。在技术层面,通过安全审计工具监测员工操作行为,对高风险行为及时预警并由部门负责人介入提醒。推动管理层将信息安全纳入日常工作沟通,在部门会议、业务培训中常态化提及信息安全要求,通过“自上而下”的重视传递,强化员工对安全问题的敏感度。
建立常态化监督与反馈机制。在技术层面,通过安全审计工具监测员工操作行为如异常文件传输、违规访问敏感数据,对高风险行为及时预警并由部门负责人介入提醒;在人文层面,推行“安全观察员”制度,鼓励员工互相监督身边的不安全行为(如未锁屏离开工位、随意丢弃含敏感信息的纸质文件),形成“全员监督”的氛围。
通过以上措施,可将信息安全意识深度融入航空从业人员的日常工作,形成“认知到位、操作规范、响应及时”的安全行为模式,为航空领域的信息安全防护提供坚实的人文基础。
4 总结
随着人工智能、5G 等技术在航空领域的深度应用,新的安全威胁将不断涌现,这既对技术防护能力提出更高要求,也对全员安全意识的适应性与前瞻性发起挑战。唯有持续强化“安全无小事,意识是前提”的理念,通过系统化的教育、常态化的演练、制度化的约束,让安全意识成为每一位航空从业者的本能反应,才能真正构建起“人防 + 技防 + 制度防”的立体防护体系,为航空业的安全、高效、可持续发展保驾护航。
参考文献:
[1]《民用航空旅客服务信息系统信息安全保护规范》(MH/T0074-2020)中国民用航空局
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)