當前,面對新形勢、新技術、新社會傳播路徑等各種復雜因素,如何做好民航網絡信息安全工作,更好地管控和應對可能出現的政治、社會、經濟風險和后果,既是迫在眉睫的現實需要,又是確保持續安全的重要課題,更是貫徹落實習總書記關于民航安全重要指示精神的題中之意。因此,筆者梳理了關于網絡信息安全工作的五大“痛點”,以供參考。
“痛點”之一,制度的頂層設計“經”有余而“權”不足。“經非權則泥、權非經則悖”。所謂“經”,指的是制度的剛性;所謂“權”,指的是制度的彈性。客觀地說,3個《檢查辦法》(《民航網絡與信息安全檢查辦法》、《民航網絡與信息安全管理暫行辦法》、《民航網絡與信息安全信息通報辦法》)解決了當前民航網絡與信息安全工作頂層設計的有無問題,也為各單位開展工作提供了基本范例,但在檢查的對象、標準的區分和適用性的層次上還存在改進的空間。如《檢查辦法》中規定的檢查條目,是否適用于所有被檢查單位,值得商榷。制度“有經無權”,不僅給行政相對人造成一定的困擾,也給行政機關的執法帶來難題。因此,在制度的頂層設計上,要考慮到對象的類別化、標準的層次化和要求的遞進性,盡量避免拿一個螺帽套所有螺絲。
“痛點”之二,優秀人才引進制度嚴重限制了網絡信息安全工作的開展,形成了各單位“買得起黃金鞍,配不了千里馬”的局面。目前市面上具備千萬元級別項目經驗的中等水平專業人才年薪一般在20萬元~30萬元,優秀人才則更高。民航各單位由于受編制和薪酬限制,其提供的待遇水平和發展空間不具備爭奪優秀人才的競爭力。這也造成購買設備的錢好撥,幾百萬元、幾千萬元不在話下;而花1/10的錢請懂技術、懂設備、懂系統、懂管理的專業人才,則難上加難。為什么說是優秀人才,而非設備、字面上的制度和團隊的數量是網絡與信息安全工作的核心?從工程的角度來看,技術團隊實力強弱不取決于數量,而取決于優秀人才的水平。這類似于外科手術團隊,不看護士的多寡,關鍵看主刀醫師的能力。從統計數據來看,網絡與信息安全事件主要集中在系統代碼設計和運維管理方面,這本身就是技術問題。即便在設備選型、制度設計上,也是專業人才更精通。從現實例子來看,正所謂“內行看門道,外行看熱鬧”。如有單位認為建立了IP白名單制度,可以防止員工登錄一些與工作無關的網站,這樣基本上實現了內部安全。類似這種防“內”不防“外”、防“小白”不防“專家”的例子,恐怕是普遍存在的。說到底,網絡信息安全是一項技術活兒,技術活兒就得靠優秀人才。
“痛點”之三,民航各單位對網絡信息安全的重視程度依舊不高,亟待提高。當前,各單位已經按要求成立了網絡與信息安全工作領導小組,也設立了職能部門,有條件的單位甚至由專崗專人負責,但這些能說明重視程度到位了嗎?其實未必。稍加觀察可以發現,大多數單位網絡與信息安全的職能部門設在協調、服務部門,例如信息部、辦公室等。一是其日常角色往往處于服務地位,發言權不足,在角色轉化方面存在沖突;二是其肩負多項任務,在網絡信息安全的精力分配、資源投入上容易有意無意忽略。提高網絡與信息安全的重視程度,并非要設立新部門,增加編制,而是在選擇承接的職能部門時,要進行綜合考量。
“痛點”之四,網絡信息安全的監管鏈條短,尤其是對代理人監管不足。對于旅客來說,當個人信息被泄露時,其并不關心是被航空公司、機場,還是中間代理商等哪個單位泄露的,基本上是認為民航沒有做好旅客信息保護工作。這種責任歸屬現象,民航作為一個大的客體,躲不掉,避不開。而對代理人的制約,僅靠航協的作用恐怕不夠,建議局方考慮將監管鏈條延伸到客票銷售代理商環節,例如建立黑名單制度,對發生泄密事件的代理商禁止其承銷民航客票。
“痛點”之五,當前網絡信息安全工作有全國“一盤棋”的想法,缺少全國“一盤棋”的辦法。雖然各省(區、市)內各單位網絡與信息安全的總體水平參差不齊,離散度較高,但各省(區、市)之間、同等水平單位之間網絡信息安全工作有較大借鑒意義,如全國性的樞紐機場之間、區域樞紐機場之間、干線機場之間。局方對此有著清醒的認知,如著手在各管理局層面上開展交叉檢查、培訓交流等。然而,在如何搭建更便捷的平臺,讓同等水平的單位分享知識、經驗;讓某一起典型事件的經驗教訓又好又快地被全民航借鑒,防患于未然;讓高水平的單位輻射帶動低水平的單位齊頭并進等方面,當前的方法、手段雖有所創新,但存在不少可以探索的空間。可以考慮借鑒互聯網思維,以大數據驅動,依托內網政務平臺,逐步建立全國的網絡與信息安全知識庫、搭建交流平臺和開設網絡課堂。
當然,民航網絡信息安全工作的進步空間很大,如怎么處理好信息安全與信息互通的關系、怎么做好移動存儲介質安全風險管理等都是值得探討的話題。我們相信,只要以包容的心態、認真的態度、審時度勢的思考和不懈的努力待之,民航網絡與信息安全工作一定會做得越來越好。