电力、交通行业代表张洵
我们首先对交通行业,还有国家电力行业目前的安全形势进行了分析,大家达成了一个共识,众所周知无论是电力行业,还是交通行业,都是涉及到国家命脉,也是涉及到国家安全稳定的重要行业和领域。作为这么重要的行业,这几年电力行业和交通行业的相关技术手段和技术保障方面持续的投入,一年比一年更重视。
在这种重视的前提下,作为两个重要的行业,每年承受信息安全压力和力度也在逐年增加。这两年的分析表明,作为社会能源基础产业,电力企业的应用系统,以及轨道交通和调度系统和专业系统,包括对外网站,都已经成为境内外各类黑客攻击的对象。当然这种攻击有可能来自于外部,也有可能来自于内部。
因于这种共识,小组成员对我们目前这两个行业所面临的一些典型性的和普遍存在的问题,进行了一些交流和汇总,主要是体现在以下几个方面。
第一,对于网络信息安全的认识和重视程度不够。尽管从07年开始,对信息安全等级保护已经开始部署落实,相比以前,信息安全已经比较深入人心,大家都认识到信息安全的重要性。但是像这种重要性目前仅仅在相应的主管部门,相关的主管领导层面下,大多数员工,以及更高层的领导,对信息安全的管理认识和重视程度,相对于信息系统的建设来讲还有一定距离。导致信息系统在运营使用过程中出现各种信息安全的问题,为了处理这些问题和弥补安全隐患,成本往往居高不下。其实有些信息安全的弥补和预防,可以在信息系统的设计,包括建设中可以通过较小的代价实现。
第二,在电力行业和交通行业,信息安全往往处于道高一尺魔高一丈的状态,这种比较被动的防护状态,主要还是体现在信息安全主动发现问题的能力不足,以及对信息安全主动防护手段不足导致。最根本的原因,还是我们对信息安全专业技术人员的缺失,相对不足导致的。往往在出现安全事件的时候,仅仅把目前出现的事情解决掉,缺少信息安全风险的预警和后续总结。
第三,电力行业和交通行业在制度上,目前是多模进行管理的,这点交通行业问题比较凸显。比如北京市轨道交通行业的建设、投资、运营是由不同的单位负责的,所以导致了安全责任的划分不是很明确,流程比较复杂。比如说投资方在投资的时候,没有涉及到信息安全方面的投资和准备,导致信息系统的设计和建设过程中,缺少信息安全方面的保障。
第四,关于信息安全保障和信息安全这方面的预算。在07年以前,信息安全不是很受重视。 07年以后,在各个行业虽然得到了一些加强,但是在经费和预算的准备工作方面,还是出现了比较大的困难。
第五,在信息安全标准方面,缺少行业标准。国家目前推行的信息安全保护标准是国家层面的标准,这个标准在某些特定的行业,比如电力行业、交通行业,这两个行业专业性比较强,系统多采用工业控制装置,系统的建设个运行,通用的系统有一些差别,这导致国家相关信息安全标准在这两个行业中存在不适用的情况。
针对电力行业和交通行业的问题,小组成员对会后工作的开展,也积极的进行了讨论,总结了以下几个方面的建议,供相关的主管部门参考。
第一,希望相关的政府管理部门加强网络安全和信息方面的共享,及时发送相关信息的通报,各行业及网络安全监测部门要加强协作和沟通,做到资源的共享。
二,多参加网络安全的培训,介绍先进的安全经验、技术、管理理念,提高安全保障的能力和意识。
第三,希望在经费方面得到政府相关部门的大力支持,尤其在各个行业的主管部门。
第四,希望加强信息系统运行单位,和信息安全服务单位。信息安全服务机构可能对相关的政策,以及相关信息安全技术的积累有一定的优势。如果两者能够相互整合,各自发挥自己的优势,将会对整个行业信息安全保障起到非常好的促进作用。
卫生、电信、广电行业代表严明
发言的同志都介绍了本单位的信息安全的工作情况,好像基本上重点围绕着等保的建设、落实、检查,介绍了自己的工作经验和体会,表示今后要把等保工作继续抓起来。
对于要求和建议,希望在更多的方面给予推动和帮助。主要涉及到这几个方面,
第一,在标准上更完善一些,标准覆盖的面更宽一点。还有就是对开展工作最好多给一些指导,这和标准是相辅相成的。比如说第三方测评机构哪些比较权威,比较好,哪些有资质;还有厂商的指导,哪些工作有什么特点,比较适合于哪些行业。有人提到,包括在安全服务商的收费标准,软件产品一年的费用大致是多少,安全服务商的标准和服务,是不是也应该有相应的标准和指导。另外,如果有更好的工具,也许会使工作更好的开展。
第二,在安全的完善当中,特别是在等保的建设和管理当中,给予更多的示范性指导。像卫生系统,医院里也有很多信息系统的应用,他们希望知道什么样是符合要求的,有没有这样的示范样本,或者是案例。
第三,安全需要产业的支持,特别是需要高水平的服务商的支持。如果在这方面也能有像我们硬件厂商华为、中兴和其他这样的厂商更好。
最后,能不能将测评和验收结合起来,现在好像搞不太清楚,不经过等保的测评,是不是可以申报验收,可以通过验收,查了文件,没查到依据。我提了个建议,能不能强化一下,安全是同时设计,同时施工,同时验收,如果安全没能验收,或者验收不合格,测评不合格,通不过,难道工程可以验收吗?这也是一个比较好的意见和建议。
银行、教育行业的代表刘法旺
银行行业在信息化发展水平比较高,也采用先进的技术。教育行业也做了自己很多的尝试和改进,比如说统一的监测系统,包括我们京也是采用各种各样的方式。
通过大家的交流我们形成以下几个方面的共识:
第一,当前行业面临着比较严酷的挑战。比如银行,选用国内的设备,意味着要承受相当的安全隐患。
第二,加强网络安全建设离不开持续的改进。这些企业采用国产化的舆论环境,如果有一点失误,你业平台都会受到很大的创伤。
第三,教育行业在信息化建设,在人员和经费上面临比较大的挑战。
网络安全的问题需要加强协作和强化研究。每个安全公司,每个服务机构都会讲这个理论,但是到底怎么解决?我们会不会在研究过程当中,成了我们原本的承担。比如银行系统审计采用这家设备,防火墙采用那家设备,通过采用这些硬件,我们需要采用高级的设备,这本身就是一个悖论。
银行移动化,移动互联网领域的安全问题就会引入到我们行业里来,这些问题怎么解决?应该有相应的防范手段和防范设施。
电子政务、证券行业代表杨卫军
第四组的主要成员来源于主管部门行业的代表及测评机构和安全厂商的代表。总结从几个方面来讲,
北京市各主管部门都把信息安全工作放在信息化工作的首要位置,在做好本单位保障的同时,促进本行业的提升,指导本行业开展工作,联合监管部门对本行业各个行业开展联合检查,促进了整个行业的发展。北京银监会在宣贯、行业监督检查,将信息科技风险纳入到整体考评当中,提高了企业对于信息安全工作的重视程度。
北京市卫计委、基金会监管单位非常支持,20家基金单位已经有19家完成,或者正在开展安全整改的工作,确实减少了北京市卫生行业安全事件的发生。
在证券行业当中,在北京证监局的积极推动下,整个行业非常重视网络安全的工作。因为它关系到我们投资者的权益问题,在新形势的国际背景下,证券行业也面临着安全风险,安全形势更加严峻。面临的问题和典型问题,一是对于网络信息安全的重视意识要加强,避免重建设轻安全的现象。第二,加强信息安全立法,通过相关的法律法规和标准,将信息安全工作踏入法制化、制度化、体制华管理。第三,在重要行业信息安全工作中,加强信息化建设,本身信息化平台可以加强行业当中主管部门和监管部门的通报,提升事件的处置效率和速度,避免类似事故在其他单位发生,做到信息共享的作用。另外要将网络安全工作作为长期的工作来抓。
对今后网络安全工作计划方面,政府和行业主观部门仍然需要加大对网络安全工作的政策支持,政策考核方式方面,加强对下属行业的监督和促进。把思想统一到部署上来。加强网络强国意识,加强网络安全监督,提高网络安全服务能力。希望各个行业主管部门加快本也信息安全标准的制定和推动,共同努力。
对网络安全未来发展的政策和措施的建议。希望监管部门和行业主管部门,能够发挥手中的资源优势,通过对网络安全形式的掌握和进一步研判,加强预报工作。加强网络安全的培训工作,介绍先进的信息安全技术。提高整体网络安全的保障能力,保障网络安全。
希望公安机关加强网络安全监管,发挥公安机关在保障国家信息安全工作当中的职能作用,深入推动工作的贯彻,严厉打击网络违法犯罪活动,切实保障国家关键信息的安全。首都网络安全日的设立,将信息安全工作从领导层、执行层延伸到参与层,提高大家对信息安全的重视,必将全面提升北京市网络安全的整体水平,进而提高我国信息网络安全的水平。