各行業(yè)亟待信息安全標準建立
電力、交通行業(yè)代表張洵
我們首先對交通行業(yè),還有國家電力行業(yè)目前的安全形勢進行了分析,大家達成了一個共識,眾所周知無論是電力行業(yè),還是交通行業(yè),都是涉及到國家命脈,也是涉及到國家安全穩(wěn)定的重要行業(yè)和領(lǐng)域。作為這么重要的行業(yè),這幾年電力行業(yè)和交通行業(yè)的相關(guān)技術(shù)手段和技術(shù)保障方面持續(xù)的投入,一年比一年更重視。
在這種重視的前提下,作為兩個重要的行業(yè),每年承受信息安全壓力和力度也在逐年增加。這兩年的分析表明,作為社會能源基礎(chǔ)產(chǎn)業(yè),電力企業(yè)的應用系統(tǒng),以及軌道交通和調(diào)度系統(tǒng)和專業(yè)系統(tǒng),包括對外網(wǎng)站,都已經(jīng)成為境內(nèi)外各類黑客攻擊的對象。當然這種攻擊有可能來自于外部,也有可能來自于內(nèi)部。
因于這種共識,小組成員對我們目前這兩個行業(yè)所面臨的一些典型性的和普遍存在的問題,進行了一些交流和匯總,主要是體現(xiàn)在以下幾個方面。
第一,對于網(wǎng)絡信息安全的認識和重視程度不夠。盡管從07年開始,對信息安全等級保護已經(jīng)開始部署落實,相比以前,信息安全已經(jīng)比較深入人心,大家都認識到信息安全的重要性。但是像這種重要性目前僅僅在相應的主管部門,相關(guān)的主管領(lǐng)導層面下,大多數(shù)員工,以及更高層的領(lǐng)導,對信息安全的管理認識和重視程度,相對于信息系統(tǒng)的建設來講還有一定距離。導致信息系統(tǒng)在運營使用過程中出現(xiàn)各種信息安全的問題,為了處理這些問題和彌補安全隱患,成本往往居高不下。其實有些信息安全的彌補和預防,可以在信息系統(tǒng)的設計,包括建設中可以通過較小的代價實現(xiàn)。
第二,在電力行業(yè)和交通行業(yè),信息安全往往處于道高一尺魔高一丈的狀態(tài),這種比較被動的防護狀態(tài),主要還是體現(xiàn)在信息安全主動發(fā)現(xiàn)問題的能力不足,以及對信息安全主動防護手段不足導致。最根本的原因,還是我們對信息安全專業(yè)技術(shù)人員的缺失,相對不足導致的。往往在出現(xiàn)安全事件的時候,僅僅把目前出現(xiàn)的事情解決掉,缺少信息安全風險的預警和后續(xù)總結(jié)。
第三,電力行業(yè)和交通行業(yè)在制度上,目前是多模進行管理的,這點交通行業(yè)問題比較凸顯。比如北京市軌道交通行業(yè)的建設、投資、運營是由不同的單位負責的,所以導致了安全責任的劃分不是很明確,流程比較復雜。比如說投資方在投資的時候,沒有涉及到信息安全方面的投資和準備,導致信息系統(tǒng)的設計和建設過程中,缺少信息安全方面的保障。
第四,關(guān)于信息安全保障和信息安全這方面的預算。在07年以前,信息安全不是很受重視。 07年以后,在各個行業(yè)雖然得到了一些加強,但是在經(jīng)費和預算的準備工作方面,還是出現(xiàn)了比較大的困難。
第五,在信息安全標準方面,缺少行業(yè)標準。國家目前推行的信息安全保護標準是國家層面的標準,這個標準在某些特定的行業(yè),比如電力行業(yè)、交通行業(yè),這兩個行業(yè)專業(yè)性比較強,系統(tǒng)多采用工業(yè)控制裝置,系統(tǒng)的建設個運行,通用的系統(tǒng)有一些差別,這導致國家相關(guān)信息安全標準在這兩個行業(yè)中存在不適用的情況。
針對電力行業(yè)和交通行業(yè)的問題,小組成員對會后工作的開展,也積極的進行了討論,總結(jié)了以下幾個方面的建議,供相關(guān)的主管部門參考。
第一,希望相關(guān)的政府管理部門加強網(wǎng)絡安全和信息方面的共享,及時發(fā)送相關(guān)信息的通報,各行業(yè)及網(wǎng)絡安全監(jiān)測部門要加強協(xié)作和溝通,做到資源的共享。
二,多參加網(wǎng)絡安全的培訓,介紹先進的安全經(jīng)驗、技術(shù)、管理理念,提高安全保障的能力和意識。
第三,希望在經(jīng)費方面得到政府相關(guān)部門的大力支持,尤其在各個行業(yè)的主管部門。
第四,希望加強信息系統(tǒng)運行單位,和信息安全服務單位。信息安全服務機構(gòu)可能對相關(guān)的政策,以及相關(guān)信息安全技術(shù)的積累有一定的優(yōu)勢。如果兩者能夠相互整合,各自發(fā)揮自己的優(yōu)勢,將會對整個行業(yè)信息安全保障起到非常好的促進作用。
衛(wèi)生、電信、廣電行業(yè)代表嚴明
發(fā)言的同志都介紹了本單位的信息安全的工作情況,好像基本上重點圍繞著等保的建設、落實、檢查,介紹了自己的工作經(jīng)驗和體會,表示今后要把等保工作繼續(xù)抓起來。
對于要求和建議,希望在更多的方面給予推動和幫助。主要涉及到這幾個方面,
第一,在標準上更完善一些,標準覆蓋的面更寬一點。還有就是對開展工作最好多給一些指導,這和標準是相輔相成的。比如說第三方測評機構(gòu)哪些比較權(quán)威,比較好,哪些有資質(zhì);還有廠商的指導,哪些工作有什么特點,比較適合于哪些行業(yè)。有人提到,包括在安全服務商的收費標準,軟件產(chǎn)品一年的費用大致是多少,安全服務商的標準和服務,是不是也應該有相應的標準和指導。另外,如果有更好的工具,也許會使工作更好的開展。
第二,在安全的完善當中,特別是在等保的建設和管理當中,給予更多的示范性指導。像衛(wèi)生系統(tǒng),醫(yī)院里也有很多信息系統(tǒng)的應用,他們希望知道什么樣是符合要求的,有沒有這樣的示范樣本,或者是案例。
第三,安全需要產(chǎn)業(yè)的支持,特別是需要高水平的服務商的支持。如果在這方面也能有像我們硬件廠商華為、中興和其他這樣的廠商更好。
最后,能不能將測評和驗收結(jié)合起來,現(xiàn)在好像搞不太清楚,不經(jīng)過等保的測評,是不是可以申報驗收,可以通過驗收,查了文件,沒查到依據(jù)。我提了個建議,能不能強化一下,安全是同時設計,同時施工,同時驗收,如果安全沒能驗收,或者驗收不合格,測評不合格,通不過,難道工程可以驗收嗎?這也是一個比較好的意見和建議。
銀行、教育行業(yè)的代表劉法旺
銀行行業(yè)在信息化發(fā)展水平比較高,也采用先進的技術(shù)。教育行業(yè)也做了自己很多的嘗試和改進,比如說統(tǒng)一的監(jiān)測系統(tǒng),包括我們京也是采用各種各樣的方式。
通過大家的交流我們形成以下幾個方面的共識:
第一,當前行業(yè)面臨著比較嚴酷的挑戰(zhàn)。比如銀行,選用國內(nèi)的設備,意味著要承受相當?shù)陌踩[患。
第二,加強網(wǎng)絡安全建設離不開持續(xù)的改進。這些企業(yè)采用國產(chǎn)化的輿論環(huán)境,如果有一點失誤,你業(yè)平臺都會受到很大的創(chuàng)傷。
第三,教育行業(yè)在信息化建設,在人員和經(jīng)費上面臨比較大的挑戰(zhàn)。
網(wǎng)絡安全的問題需要加強協(xié)作和強化研究。每個安全公司,每個服務機構(gòu)都會講這個理論,但是到底怎么解決?我們會不會在研究過程當中,成了我們原本的承擔。比如銀行系統(tǒng)審計采用這家設備,防火墻采用那家設備,通過采用這些硬件,我們需要采用高級的設備,這本身就是一個悖論。
銀行移動化,移動互聯(lián)網(wǎng)領(lǐng)域的安全問題就會引入到我們行業(yè)里來,這些問題怎么解決?應該有相應的防范手段和防范設施。
電子政務、證券行業(yè)代表楊衛(wèi)軍
第四組的主要成員來源于主管部門行業(yè)的代表及測評機構(gòu)和安全廠商的代表。總結(jié)從幾個方面來講,
北京市各主管部門都把信息安全工作放在信息化工作的首要位置,在做好本單位保障的同時,促進本行業(yè)的提升,指導本行業(yè)開展工作,聯(lián)合監(jiān)管部門對本行業(yè)各個行業(yè)開展聯(lián)合檢查,促進了整個行業(yè)的發(fā)展。北京銀監(jiān)會在宣貫、行業(yè)監(jiān)督檢查,將信息科技風險納入到整體考評當中,提高了企業(yè)對于信息安全工作的重視程度。
北京市衛(wèi)計委、基金會監(jiān)管單位非常支持,20家基金單位已經(jīng)有19家完成,或者正在開展安全整改的工作,確實減少了北京市衛(wèi)生行業(yè)安全事件的發(fā)生。
在證券行業(yè)當中,在北京證監(jiān)局的積極推動下,整個行業(yè)非常重視網(wǎng)絡安全的工作。因為它關(guān)系到我們投資者的權(quán)益問題,在新形勢的國際背景下,證券行業(yè)也面臨著安全風險,安全形勢更加嚴峻。面臨的問題和典型問題,一是對于網(wǎng)絡信息安全的重視意識要加強,避免重建設輕安全的現(xiàn)象。第二,加強信息安全立法,通過相關(guān)的法律法規(guī)和標準,將信息安全工作踏入法制化、制度化、體制華管理。第三,在重要行業(yè)信息安全工作中,加強信息化建設,本身信息化平臺可以加強行業(yè)當中主管部門和監(jiān)管部門的通報,提升事件的處置效率和速度,避免類似事故在其他單位發(fā)生,做到信息共享的作用。另外要將網(wǎng)絡安全工作作為長期的工作來抓。
對今后網(wǎng)絡安全工作計劃方面,政府和行業(yè)主觀部門仍然需要加大對網(wǎng)絡安全工作的政策支持,政策考核方式方面,加強對下屬行業(yè)的監(jiān)督和促進。把思想統(tǒng)一到部署上來。加強網(wǎng)絡強國意識,加強網(wǎng)絡安全監(jiān)督,提高網(wǎng)絡安全服務能力。希望各個行業(yè)主管部門加快本也信息安全標準的制定和推動,共同努力。
對網(wǎng)絡安全未來發(fā)展的政策和措施的建議。希望監(jiān)管部門和行業(yè)主管部門,能夠發(fā)揮手中的資源優(yōu)勢,通過對網(wǎng)絡安全形式的掌握和進一步研判,加強預報工作。加強網(wǎng)絡安全的培訓工作,介紹先進的信息安全技術(shù)。提高整體網(wǎng)絡安全的保障能力,保障網(wǎng)絡安全。
希望公安機關(guān)加強網(wǎng)絡安全監(jiān)管,發(fā)揮公安機關(guān)在保障國家信息安全工作當中的職能作用,深入推動工作的貫徹,嚴厲打擊網(wǎng)絡違法犯罪活動,切實保障國家關(guān)鍵信息的安全。首都網(wǎng)絡安全日的設立,將信息安全工作從領(lǐng)導層、執(zhí)行層延伸到參與層,提高大家對信息安全的重視,必將全面提升北京市網(wǎng)絡安全的整體水平,進而提高我國信息網(wǎng)絡安全的水平。
責任編輯:葉雨田
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡何以可能
2017-02-24網(wǎng)絡