為落實建黨100周年網絡安全相關訓示及精神要求,各地民航紛紛開展了網絡安全檢查工作,通過檢查發現民航的整體網絡安全意識和重視程度顯著提高,網絡安全防護措施和手段極大改善,管理制度及落實情況進一步完善和強化,網絡安全整體狀況良好。但是檢查中也發現一些問題,特别是中小機關的一些共性問題需要引起高度關注,作為行業主管部門應對這些問題采取針對性的措施,有效提高整個行業的網絡安全防護能力。
一、存在的共性問題
1、網絡安全人才匮乏
網絡安全是一個專業性非常強的工作,不僅需要了解相關政策法規,還需要掌握一些資訊化相關知識,同時還需要具備一定的管理能力。但是目前民航中小機關網絡安全人員不僅數量不足,而且相關能力也存在不足,嚴重的制約了其網絡安全工作的開展,具體表現為:
(1)網絡安全政策法規、标準掌握不到位,對網絡安全工作要求了解不透徹,相關人員無法有效的指導本機關開展相關工作,在網絡安全工作中存在畏難情緒和避則心态,具體展現在網絡安全管理制度不完善、網絡安全管理制度不落地,以及網絡安全不合規等方面。
(2)網絡安全技能不足,通過檢查、調研發現,民航各中小機關普遍存在網絡安全技術人員能力不足的問題,如不清楚網絡安全日常運維工作内容、不能對各類安全日志進行審計分析,導緻不能及時發現和處置異常事件。
(3)網絡安全人員數量嚴重不足,民航各中小機關沒有專人負責網絡安全,即使兼職人員也存在嚴重不足,這也限制了相關人員網絡安全管理能力和技術能力的提升。
2、網絡安全工作缺乏整體規劃
該問題不僅僅存在于民航中小機關,一些大機場、航司等在網絡安全規劃方面也存在嚴重的欠缺,導緻各個機關缺失網絡安全工作總體的指導。很多中小機關面臨怎麼開展網絡安全工作、怎麼做好網絡安全工作的困惑,在開展網絡安全工作時也長期處在被動的地位,不僅造成網絡安全工作的缺失,同時也耗費了大量的人力物力。
3、網絡安全經費保障問題
民航中小機場本身盈利就很困難,又由于疫情等客觀原因,導緻近兩年來民航各個專業經費都較為緊張,同時由于對網絡安全工作重要性認識不足,導緻網絡安全經費保障就更為困難。建黨100周年之際,由于網絡安全工作認識的提高,相關經費得到了一定的保障,但是仍沒有形成長效機制,經費保障今後仍然是一個重要的問題。
4、網絡安全防護措施問題
《網絡安全法》、等保2.0以及行業相關要求的持續推動,民航各機關在網絡安全防護措施及手段方面有了長足的進步,但是對于中小機關來講,網絡安全防護手段不足以及裝置政策管理等方面仍是較為突出的問題,一方面由于上述人員能力問題,另一方面還涉及經費保障問題。特别是資料安全防護問題,将是整個行業面臨的嚴峻考驗。
二、相關建議
1、加強人員教育訓練
教育訓練包括兩個方面,一方面是政策法規、标準的解讀,使相關人員了解政策背景、具體要求等内容,指導相關人員如何開展網絡安全管理工作;利益方面加強人員技能培養,能夠快速發現及識别問題,能夠對常見網絡安全事件及時進行應急處置。
2、加強網絡安全規劃工作
網絡安全規劃對開展網絡安全工作具有非常重要指導意義,通過網絡安全規劃可以明确網絡安全工作目标、任務,具體從業人員可根據規劃内容進一步細化來指導自身的具體工作,解決網絡安全工作困惑的問題。
3、進一步推動網絡安全經費保障工作
資訊化已經成為民航各機關開展業務的必要手段,各個資訊系統的安全輕則影響到機關内部辦公,重則影響到民航運作安全以及旅客的生命财産安全,網絡安全的地位愈來愈高,相關的網絡安全保障經費亦應進行相應的調整,建立長效保障機制。同時建議民航局能為民航各機關提供更多的安全能力項目,進一步支援民航各機關網絡安全工作的開展。
4、建立網絡安全技術支撐隊伍
建議民航各種小機關委托第三方網絡安全公司開展網絡安全技術支撐工作,通過專業的技術人員對資訊系統開展全面的梳理,包括網絡安全風險評估、等保測評、資訊系統安全運維、重保保障、應急處置等工作,在合理有效的經費範圍内,快速提升網絡安全防護能力。