航空业面临日益严峻的网络安全形势，航空公司必须积极应对，确保所有形式电子数据交换的安全性，应对网络恐怖主义。

网络欺诈行为

　　电子数据传输技术在提升航空公司运营能力方面存在巨大潜力，但与此同时，也增加了遭受网络攻击的可能性，航空公司需时刻保持警惕。

　　据德勤（Deloitte）会计师事务所发布的2010年度航空公司网络诈骗报告显示，2006年至2009年期间，由于网络订票方式的兴起，信用卡诈骗行为逐渐增多。平均每家航空公司因诈骗损失240万美元。几近半数受访航空公司称，与互联网及电子交易相关的诈骗于2008至2009年期间日益加剧。约35%的受访者表示信用卡诈骗的增加与销售终端或手持设备相关，约22%表示来自互联网的防火墙攻击等违反IT安全规定的行为也有所增加。

　　尽管大多数航空公司都把信用卡诈骗视为严重风险，但是德勤的调查报告发现，只有50%的航空公司拥有规范化的系统可以追踪此类诈骗。

　　不过，航空公司正在弥补这一漏洞。美国电子支付安全服务提供商Cybersource发布了2011年度航空公司网络诈骗调查结果，2010年通过航空公司网站进行的在线信用卡诈骗共计造成损失14亿美元，占到全球电子客票销售额的0.9%。但是这一数字与上一次2008年的调查结果相比，降低了31%。

　　航空公司正尽其所能解决信用卡诈骗问题，并严格遵守国际支付卡行业数据安全标准（PCI-DSS）。PCI-DSS是一项于2006年根据国际主要支付方案制定的安全标准，旨在为持卡人提供保护，任何对持卡人数据进行处理、储存或传输的组织都必须遵守该标准。

　　针对这一问题仍需开展更多工作。特别要对网络销售经验比较欠缺的航空公司加以协助，它们的被诈骗率最高。而低票价航空公司被诈骗率则相对较低，主要是因为其丰富的网络销售经验以及锱铢必较的经营理念。

　　国际航空运输协会（IATA）虽然并不收集网络诈骗的相关统计数据，但对这一问题态度积极。IATA开发的珀尔修斯（Perseuss）程序为航空公司提供了一个安全平台，使其能够合法共享已知诈骗行为的相关信息。这些信息与电子邮箱地址、IP地址等航空公司销售数据相匹配，可以帮助识别可疑交易行为。该程序为收费服务，现在有超过60家航空公司与之有不同程度的合作。

　　IATA负责该程序的项目经理加藤（Christophe Kato）表示：“一些航空公司短短几个月即可收回该程序的使用年费，我们提供这项服务不是为了赚钱，其价值在于用户群体之间的信息交流。”

　　IATA还制定了自己的PCI-DSS计划，旨在保护通过票务代理机构进行的BSP电子客票销售。每当使用信用卡的时候，航空公司必须确保其系统符合PCI-DSS。

　　加藤称：“IATA在防范网络信用卡犯罪方面扮演重要角色，确保PCI-DSS得以正确实施，能够将风险由航空公司转移给代理商。”

　　如何有效识别诈骗行为同样重要。有些航空公司使用自动化系统来做这项工作，另一些则往往进行大量的人工检查。加藤表示：“识别出所有可疑行为着实困难，这不是一门精密学科。部分航空公司拥有自己的诈骗分析人员，其它航空公司则将这项工作外包给专业化公司。风险评分可以应用到每一笔交易，对分值较高的再进行人工检查。”

网络恐怖威胁

　　财产安全是一回事，生命安全则是另一回事。对于正逐步更新换代为新型飞机的航空公司来说，网络恐怖主义带来的严峻挑战不容乐观。某些情况下，航空公司可能不得不重新考虑其安全及IT等部门的组织结构。

　　国际民航组织（ICAO）认为网络恐怖主义对航空业造成显著威胁，需加以注意。2010年11月17日，一项与网络威胁相关的最新ICAO建议操作规程获得通过，并于2011年7月1日起正式实施。根据该建议，所有ICAO缔约国均应制定有效措施，保护民航相关信息及通信系统的安全，防止其受到任何可能危及民航安全的侵扰。并要求各国对网络安全进行漏洞评估，检测应对措施的有效性，从基于威胁的角度识别漏洞。

　　哈萨克斯坦阿斯塔纳航空公司（Air Astana）的Chamindra Lenawa称，该航采用具有多级防御的弹性系统。Lenawa介绍称：“我们的主服务器设在位于阿拉木图的运营枢纽，同时将核心业务结构离线复制到阿斯塔纳。至于数据本身，我们使用热备用系统，能够将关键系统的数据以定时快照的形式复制保存，如此一来，如果遇到数据崩溃的情况，备用系统可以被快速激活。”

　　由于经济全球化和互联网的普及，网络恐怖主义对航空公司构成的威胁日益加剧。任何针对航空公司IT系统的攻击如若造成关键系统瘫痪，则可视为网络恐怖袭击。这些攻击行为可能会衍生出更加严重的后果，甚至对飞机造成实质性损坏。

　　IATA安全事务负责人邓拉普（Ken Dunlap）表示：“未来运营效率的大幅提升将依赖于网络连接和电子数据交换。新一代飞机在自动化电子数据交换方面将比现有飞机具有更强的交互性。新飞机不再依赖传统的电传操纵系统，取而代之的将是全方位的电子操作系统，数据将得以实时自动更新，而非如今的静态更新。”

　　如何确保飞机与地面数据传输的安全性是航空公司必须解决的难题。航空业所有利益相关方都必须通力合作，以确保万无一失。

　　空中客车公司（Airbus S.A.S.）航空器安全主管安德烈（Pascal Andrei）称：“网络威胁引起航空公司更多关注，诸如炸弹、不安分旅客、走私行李及货物等传统安全威胁虽然仍时有发生，但均已得到有效管理，当前航空公司必须学会管理网络威胁。”

　　在电影《虎胆龙威2》中，网络黑客通过重置飞机仪表着陆系统，使其显示高度比实际高度高出200英尺，进而误导飞行操作。

　　安德烈称，如果没有有效的管理，该场景很有可能成为现实。“这不仅要确保数据传输渠道的安全性，还要保证信息本身的准确性。飞机操作依赖外部数据，如果数据有误，将危及航班安全。”

　　飞机制造商交付的飞机均拥有内置安全功能，但是一旦交付之后，维持飞机整个寿命期间安全水平的责任就落在航空公司肩上了。

　　安德烈建议：“航空公司有必要了解与最新IT技术相关的威胁演变，新技术可能被恶意劫持，航空公司需要知道如何保护并维持飞机本身的安全水平，这是应对网络威胁的最后一道防线。”

　　安德烈还补充道：“随着系统越来越开放，以及航空运输业各方电子通信方式的普及，风险也相应增加。所有的应用程序都存在潜在漏洞，加之飞机与地面之间的相互连接性，从而使风险有机可乘。”

广开合作之门 齐心共保安全

　　飞机制造商已经与航空公司就此展开对话，但还应将更多的利益相关方纳入讨论范围。空中客车公司主办的飞机安全用户座谈年会已持续了数个年头，与会人员均是来自各个航空公司及空中客车公司的安全负责人，每次都是严格的闭门会议。今年，波音公司（Boeing Co.）首次获邀参加，而且据安德烈透露，明年庞巴迪公司（Bombardier Inc.）与巴西航空工业公司（Embraer S.A.）也将被邀请参加。

　　波音深刻理解努力协作的重要性，其本身也是行业组织中的重要成员，比如说美国运输部快速反应小组。波音商用飞机公司负责销售的执行副总裁布赖特（Toby Bright）表示：“我们与航空业各方通力合作，制定全行业的安全标准。当涉及到安全与保障时，我们只考虑合作，不考虑竞争。”

　　在2011年10月举行的IATA航空保安（AVSEC）会议上，一场专题讨论会强调了将更多利益相关方纳入此类谈话中的重要性。IATA的邓拉普表示：“航空公司、制造商、机场经营者以及空中导航服务提供方都必须清楚地意识到，在通过安全通信渠道提供准确信息方面所面临的严峻挑战。”

　　他还提到：“五年前，我把大部分精力投入到物理性航空安全方面，如今则更多地关注网络技术和数据交换的问题。无论机场安全还是飞机安全，所关注的重点不仅包括系统的物理性安全，还有数据流的完整性。”

　　也正因此，航空公司需要重新考虑其安全及IT等部门的组织结构，未来的发展方向将是多种技术的混合。

　　邓拉普认为航空公司必须对组织结构进行优化，为地面系统、机场系统、空中导航系统以及飞机之间的电子数据交换提供安全保障。

　　他问道：“这一责任应交给IT部门还是安全部门？航空公司正着手解决该问题。”而这一问题的答案对整个航空业的未来发展至关重要。