□何劍

　　當(dāng)前，面對新形勢、新技術(shù)、新社會傳播路徑等各種復(fù)雜因素，如何做好民航網(wǎng)絡(luò)信息安全工作，更好地管控和應(yīng)對可能出現(xiàn)的政治、社會、經(jīng)濟(jì)風(fēng)險(xiǎn)和后果，既是迫在眉睫的現(xiàn)實(shí)需要，又是確保持續(xù)安全的重要課題，更是貫徹落實(shí)習(xí)總書記關(guān)于民航安全重要指示精神的題中之意。因此，筆者梳理了關(guān)于網(wǎng)絡(luò)信息安全工作的五大“痛點(diǎn)”，以供參考。

　　“痛點(diǎn)”之一，制度的頂層設(shè)計(jì)“經(jīng)”有余而“權(quán)”不足?！敖?jīng)非權(quán)則泥、權(quán)非經(jīng)則悖”。所謂“經(jīng)”，指的是制度的剛性；所謂“權(quán)”，指的是制度的彈性?？陀^地說，3個(gè)《檢查辦法》（《民航網(wǎng)絡(luò)與信息安全檢查辦法》、《民航網(wǎng)絡(luò)與信息安全管理暫行辦法》、《民航網(wǎng)絡(luò)與信息安全信息通報(bào)辦法》）解決了當(dāng)前民航網(wǎng)絡(luò)與信息安全工作頂層設(shè)計(jì)的有無問題，也為各單位開展工作提供了基本范例，但在檢查的對象、標(biāo)準(zhǔn)的區(qū)分和適用性的層次上還存在改進(jìn)的空間。如《檢查辦法》中規(guī)定的檢查條目，是否適用于所有被檢查單位，值得商榷。制度“有經(jīng)無權(quán)”，不僅給行政相對人造成一定的困擾，也給行政機(jī)關(guān)的執(zhí)法帶來難題。因此，在制度的頂層設(shè)計(jì)上，要考慮到對象的類別化、標(biāo)準(zhǔn)的層次化和要求的遞進(jìn)性，盡量避免拿一個(gè)螺帽套所有螺絲。

　　“痛點(diǎn)”之二，優(yōu)秀人才引進(jìn)制度嚴(yán)重限制了網(wǎng)絡(luò)信息安全工作的開展，形成了各單位“買得起黃金鞍，配不了千里馬”的局面。目前市面上具備千萬元級別項(xiàng)目經(jīng)驗(yàn)的中等水平專業(yè)人才年薪一般在20萬元~30萬元，優(yōu)秀人才則更高。民航各單位由于受編制和薪酬限制，其提供的待遇水平和發(fā)展空間不具備爭奪優(yōu)秀人才的競爭力。這也造成購買設(shè)備的錢好撥，幾百萬元、幾千萬元不在話下；而花1／10的錢請懂技術(shù)、懂設(shè)備、懂系統(tǒng)、懂管理的專業(yè)人才，則難上加難。為什么說是優(yōu)秀人才，而非設(shè)備、字面上的制度和團(tuán)隊(duì)的數(shù)量是網(wǎng)絡(luò)與信息安全工作的核心？從工程的角度來看，技術(shù)團(tuán)隊(duì)實(shí)力強(qiáng)弱不取決于數(shù)量，而取決于優(yōu)秀人才的水平。這類似于外科手術(shù)團(tuán)隊(duì)，不看護(hù)士的多寡，關(guān)鍵看主刀醫(yī)師的能力。從統(tǒng)計(jì)數(shù)據(jù)來看，網(wǎng)絡(luò)與信息安全事件主要集中在系統(tǒng)代碼設(shè)計(jì)和運(yùn)維管理方面，這本身就是技術(shù)問題。即便在設(shè)備選型、制度設(shè)計(jì)上，也是專業(yè)人才更精通。從現(xiàn)實(shí)例子來看，正所謂“內(nèi)行看門道，外行看熱鬧”。如有單位認(rèn)為建立了IP白名單制度，可以防止員工登錄一些與工作無關(guān)的網(wǎng)站，這樣基本上實(shí)現(xiàn)了內(nèi)部安全。類似這種防“內(nèi)”不防“外”、防“小白”不防“專家”的例子，恐怕是普遍存在的。說到底，網(wǎng)絡(luò)信息安全是一項(xiàng)技術(shù)活兒，技術(shù)活兒就得靠優(yōu)秀人才。

　　“痛點(diǎn)”之三，民航各單位對網(wǎng)絡(luò)信息安全的重視程度依舊不高，亟待提高。當(dāng)前，各單位已經(jīng)按要求成立了網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組，也設(shè)立了職能部門，有條件的單位甚至由專崗專人負(fù)責(zé)，但這些能說明重視程度到位了嗎？其實(shí)未必。稍加觀察可以發(fā)現(xiàn)，大多數(shù)單位網(wǎng)絡(luò)與信息安全的職能部門設(shè)在協(xié)調(diào)、服務(wù)部門，例如信息部、辦公室等。一是其日常角色往往處于服務(wù)地位，發(fā)言權(quán)不足，在角色轉(zhuǎn)化方面存在沖突；二是其肩負(fù)多項(xiàng)任務(wù)，在網(wǎng)絡(luò)信息安全的精力分配、資源投入上容易有意無意忽略。提高網(wǎng)絡(luò)與信息安全的重視程度，并非要設(shè)立新部門，增加編制，而是在選擇承接的職能部門時(shí)，要進(jìn)行綜合考量。

　　“痛點(diǎn)”之四，網(wǎng)絡(luò)信息安全的監(jiān)管鏈條短，尤其是對代理人監(jiān)管不足。對于旅客來說，當(dāng)個(gè)人信息被泄露時(shí)，其并不關(guān)心是被航空公司、機(jī)場，還是中間代理商等哪個(gè)單位泄露的，基本上是認(rèn)為民航?jīng)]有做好旅客信息保護(hù)工作。這種責(zé)任歸屬現(xiàn)象，民航作為一個(gè)大的客體，躲不掉，避不開。而對代理人的制約，僅靠航協(xié)的作用恐怕不夠，建議局方考慮將監(jiān)管鏈條延伸到客票銷售代理商環(huán)節(jié)，例如建立黑名單制度，對發(fā)生泄密事件的代理商禁止其承銷民航客票。

　　“痛點(diǎn)”之五，當(dāng)前網(wǎng)絡(luò)信息安全工作有全國“一盤棋”的想法，缺少全國“一盤棋”的辦法。雖然各省（區(qū)、市）內(nèi)各單位網(wǎng)絡(luò)與信息安全的總體水平參差不齊，離散度較高，但各?。▍^(qū)、市）之間、同等水平單位之間網(wǎng)絡(luò)信息安全工作有較大借鑒意義，如全國性的樞紐機(jī)場之間、區(qū)域樞紐機(jī)場之間、干線機(jī)場之間。局方對此有著清醒的認(rèn)知，如著手在各管理局層面上開展交叉檢查、培訓(xùn)交流等。然而，在如何搭建更便捷的平臺，讓同等水平的單位分享知識、經(jīng)驗(yàn)；讓某一起典型事件的經(jīng)驗(yàn)教訓(xùn)又好又快地被全民航借鑒，防患于未然；讓高水平的單位輻射帶動低水平的單位齊頭并進(jìn)等方面，當(dāng)前的方法、手段雖有所創(chuàng)新，但存在不少可以探索的空間?？梢钥紤]借鑒互聯(lián)網(wǎng)思維，以大數(shù)據(jù)驅(qū)動，依托內(nèi)網(wǎng)政務(wù)平臺，逐步建立全國的網(wǎng)絡(luò)與信息安全知識庫、搭建交流平臺和開設(shè)網(wǎng)絡(luò)課堂。

　　當(dāng)然，民航網(wǎng)絡(luò)信息安全工作的進(jìn)步空間很大，如怎么處理好信息安全與信息互通的關(guān)系、怎么做好移動存儲介質(zhì)安全風(fēng)險(xiǎn)管理等都是值得探討的話題。我們相信，只要以包容的心態(tài)、認(rèn)真的態(tài)度、審時(shí)度勢的思考和不懈的努力待之，民航網(wǎng)絡(luò)與信息安全工作一定會做得越來越好。

　?。ㄗ髡邌挝唬好窈秸憬O(jiān)管局）