民航信息安全工作的五大“痛点”.docx

民航信息安全工作的五大“痛点”“痛点”之一，制度的顶层设计“经”有余而“权”不足。“经非权则泥、权非经则悖”。所谓“经”，指的是制度的刚性；所谓“权”，指的是制度的弹性。客观地说，3个检查办法（民航网络与信息安全检查办法、民航网络与信息安全管理暂行办法、民航网络与信息安全信息通报办法）解决了当前民航网络与信息安全工作顶层设计的有无问题，也为各单位开展工作提供了基本范例，但在检查的对象、标准的区分和适用性的层次上还存在改进的空间。如检查办法中规定的检查条目，是否适用于所有被检查单位，值得商榷。制度“有经无权”，不仅给行政相对人造成一定的困扰，也给行政机关的执法带来难题。因此，在制度的顶层设计上，要考虑到对象的类别化、标准的层次化和要求的递进性，尽量避免拿一个螺帽套所有螺丝。“痛点”之二，优秀人才引进制度严重限制了网络信息安全工作的开展，形成了各单位“买得起黄金鞍，配不了千里马”的局面。目前市面上具备千万元级别项目经验的中等水平专业人才年薪一般在20万元30万元，优秀人才则更高。民航各单位由于受编制和薪酬限制，其提供的待遇水平和发展空间不具备争夺优秀人才的竞争力。这也造成购买设备的钱好拨，几百万元、几千万元不在话下；而花1/10的钱请懂技术、懂设备、懂系统、懂管理的专业人才，则难上加难。为什么说是优秀人才，而非设备、字面上的制度和团队的数量是网络与信息安全工作的核心？从工程的角度来看，技术团队实力强弱不取决于数量，而取决于优秀人才的水平。这类似于外科手术团队，不看护士的多寡，关键看主刀医师的能力。从统计数据来看，网络与信息安全事件主要集中在系统代码设计和运维管理方面，这本身就是技术问题。即便在设备选型、制度设计上，也是专业人才更精通。从现实例子来看，正所谓“内行看门道，外行看热闹如有单位认为建立了IP白名单制度，可以防止员工登录一些与工作无关的网站，这样基本上实现了内部安全。类似这种防“内”不防“外”、防“小白”不防“专家”的例子,恐怕是普遍存在的。说到底，网络信息安全是一项技术活儿，技术活儿就得靠优秀人才。“痛点”之三，民航各单位对网络信息安全的重视程度依旧不高，亟待提高。当前，各单位已经按要求成立了网络与信息安全工作领导小组，也设立了职能部门，有条件的单位甚至由专岗专人负责，但这些能说明重视程度到位了吗？其实未必。稍加观察可以发现，大多数单位网络与信息安全的职能部门设在协调、服务部门，例如信息部、办公室等。一是其日常角色往往处于服务地位，发言权不足，在角色转化方面存在冲突；二是其肩负多项任务，在网络信息安全的精力分配、资源投入上容易有意无意忽略。提高网络与信息安全的重视程度，并非要设立新部门，增加编制，而是在选择承接的职能部门时，要进行综合考量。“痛点”之四，网络信息安全的监管链条短，尤其是对代理人监管不足。对于旅客来说，当个人信息被泄露时，其并不关心是被航空公司、机场，还是中间代理商等哪个单位泄露的，基本上是认为民航没有做好旅客信息保护工作。这种责任归属现象，民航作为一个大的客体，躲不掉，避不开。而对代理人的制约，仅靠航协的作用恐怕不够，建议局方考虑将监管链条延伸到客票销售代理商环节，例如建立黑名单制度，对发生泄密事件的代理商禁止其承销民航客票。“痛点”之五，当前网络信息安全工作有全国“一盘棋”的想法，缺少全国“一盘棋”的办法。虽然各省（区、市）内各单位网络与信息安全的总体水平参差不齐，离散度较高，但各省（区、市）之间、同等水平单位之间网络信息安全工作有较大借鉴意义，如全国性的枢纽机场之间、区域枢纽机场之间、干线机场之间。局方对此有着清醒的认知，如着手在各管理局层面上开展交叉检查、培训交流等。然而，在如何搭建更便捷的平台，让同等水平的单位分享知识、经验；让某一起典型事件的经验教训又好又快地被全民航借鉴，防患于未然；让高水平的单位辐射带动低水平的单位齐头并进等方面，当前的方法、手段虽有所创新，但存在不少可以探索的空间。可以考虑借鉴互联网思维，以大数据驱动，依托内网政务平台，逐步建立全国的网络与信息安全知识库、搭建交流平台和开设网络课堂。当然，民航网络信息安全工作的进步空间很大，如怎么处理好信息安全与信息互通的关系、怎么做好移动存储介质安全风险管理等都是值得探讨的话题。我们相信，只要以包容的心态、认真的态度、审时度势的思考和不懈的努力待之，民航网络与信息安全工作一定会做得越来越好。