为落实建党100周年网络安全相关指示及精神要求,各地民航纷纷开展了网络安全检查工作,通过检查发现民航的整体网络安全意识和重视程度显著提高,网络安全防护措施和手段极大改善,管理制度及落实情况进一步完善和强化,网络安全整体状况良好。但是检查中也发现一些问题,特别是中小单位的一些共性问题需要引起高度关注,作为行业主管部门应对这些问题采取针对性的措施,有效提高整个行业的网络安全防护能力。
网络安全是一个专业性非常强的工作,不仅需要了解相关政策法规,还需要掌握一些信息化相关知识,同时还需要具备一定的管理能力。但是目前民航中小单位网络安全人员不仅数量不足,而且相关能力也存在不足,严重的制约了其网络安全工作的开展,具体表现为:
(1)网络安全政策法规、标准掌握不到位,对网络安全工作要求理解不透彻,相关人员无法有效的指导本单位开展相关工作,在网络安全工作中存在畏难情绪和避则心态,具体体现在网络安全管理制度不完善、网络安全管理制度不落地,以及网络安全不合规等方面。
(2)网络安全技能不足,通过检查、调研发现,民航各中小单位普遍存在网络安全技术人员能力不足的问题,如不清楚网络安全日常运维工作内容、不能对各类安全日志进行审计分析,导致不能及时发现和处置异常事件。
(3)网络安全人员数量严重不足,民航各中小单位没有专人负责网络安全,即使兼职人员也存在严重不足,这也限制了相关人员网络安全管理能力和技术能力的提升。
该问题不仅仅存在于民航中小单位,一些大机场、航司等在网络安全规划方面也存在严重的欠缺,导致各个单位缺失网络安全工作总体的指导。很多中小单位面临怎么开展网络安全工作、怎么做好网络安全工作的困惑,在开展网络安全工作时也长期处在被动的地位,不仅造成网络安全工作的缺失,同时也耗费了大量的人力物力。
民航中小机场本身盈利就很困难,又由于疫情等客观原因,导致近两年来民航各个专业经费都较为紧张,同时由于对网络安全工作重要性认识不足,导致网络安全经费保障就更为困难。建党100周年之际,由于网络安全工作认识的提高,相关经费得到了一定的保障,但是仍没有形成长效机制,经费保障今后仍然是一个重要的问题。
《网络安全法》、等保2.0以及行业相关要求的持续推动,民航各单位在网络安全防护措施及手段方面有了长足的进步,但是对于中小单位来讲,网络安全防护手段不足以及设备策略管理等方面仍是较为突出的问题,一方面由于上述人员能力问题,另一方面还涉及经费保障问题。特别是数据安全防护问题,将是整个行业面临的严峻考验。
培训包括两个方面,一方面是政策法规、标准的解读,使相关人员了解政策背景、具体要求等内容,指导相关人员如何开展网络安全管理工作;利益方面加强人员技能培养,能够快速发现及识别问题,能够对常见网络安全事件及时进行应急处置。
网络安全规划对开展网络安全工作具有非常重要指导意义,通过网络安全规划可以明确网络安全工作目标、任务,具体工作人员可根据规划内容进一步细化来指导自身的具体工作,解决网络安全工作困惑的问题。
信息化已经成为民航各单位开展业务的必要手段,各个信息系统的安全轻则影响到单位内部办公,重则影响到民航运行安全以及旅客的生命财产安全,网络安全的地位愈来愈高,相关的网络安全保障经费亦应进行相应的调整,建立长效保障机制。同时建议民航局能为民航各单位提供更多的安全能力项目,进一步支持民航各单位网络安全工作的开展。
建议民航各种小单位委托第三方网络安全公司开展网络安全技术支撑工作,通过专业的技术人员对信息系统开展全面的梳理,包括网络安全风险评估、等保测评、信息系统安全运维、重保保障、应急处置等工作,在合理有效的经费范围内,快速提升网络安全防护能力。