民航中小機場網絡安全現狀及相關建議

為落實建黨100周年網絡安全相關指示及精神要求，各地民航紛紛開展了網絡安全檢查工作，通過檢查發現民航的整體網絡安全意識和重視程度顯著提高，網絡安全防護措施和手段極大改善，管理制度及落實情況進一步完善和強化，網絡安全整體狀況良好。但是檢查中也發現一些問題，特別是中小單位的一些共性問題需要引起高度關注，作為行業主管部門應對這些問題采取針對性的措施，有效提高整個行業的網絡安全防護能力。

一、存在的共性問題

1、網絡安全人才匱乏

網絡安全是一個專業性非常強的工作，不僅需要了解相關政策法規，還需要掌握一些信息化相關知識，同時還需要具備一定的管理能力。但是目前民航中小單位網絡安全人員不僅數量不足，而且相關能力也存在不足，嚴重的制約了其網絡安全工作的開展，具體表現為：

（1）網絡安全政策法規、標準掌握不到位，對網絡安全工作要求理解不透徹，相關人員無法有效的指導本單位開展相關工作，在網絡安全工作中存在畏難情緒和避則心態，具體體現在網絡安全管理制度不完善、網絡安全管理制度不落地，以及網絡安全不合規等方面。

（2）網絡安全技能不足，通過檢查、調研發現，民航各中小單位普遍存在網絡安全技術人員能力不足的問題，如不清楚網絡安全日常運維工作內容、不能對各類安全日志進行審計分析，導致不能及時發現和處置異常事件。

（3）網絡安全人員數量嚴重不足，民航各中小單位沒有專人負責網絡安全，即使兼職人員也存在嚴重不足，這也限制了相關人員網絡安全管理能力和技術能力的提升。

2、網絡安全工作缺乏整體規劃

該問題不僅僅存在于民航中小單位，一些大機場、航司等在網絡安全規劃方面也存在嚴重的欠缺，導致各個單位缺失網絡安全工作總體的指導。很多中小單位面臨怎么開展網絡安全工作、怎么做好網絡安全工作的困惑，在開展網絡安全工作時也長期處在被動的地位，不僅造成網絡安全工作的缺失，同時也耗費了大量的人力物力。

3、網絡安全經費保障問題

民航中小機場本身盈利就很困難，又由于疫情等客觀原因，導致近兩年來民航各個專業經費都較為緊張，同時由于對網絡安全工作重要性認識不足，導致網絡安全經費保障就更為困難。建黨100周年之際，由于網絡安全工作認識的提高，相關經費得到了一定的保障，但是仍沒有形成長效機制，經費保障今后仍然是一個重要的問題。

4、網絡安全防護措施問題

《網絡安全法》、等保2.0以及行業相關要求的持續推動，民航各單位在網絡安全防護措施及手段方面有了長足的進步，但是對于中小單位來講，網絡安全防護手段不足以及設備策略管理等方面仍是較為突出的問題，一方面由于上述人員能力問題，另一方面還涉及經費保障問題。特別是數據安全防護問題，將是整個行業面臨的嚴峻考驗。

二、相關建議

1、加強人員培訓

培訓包括兩個方面，一方面是政策法規、標準的解讀，使相關人員了解政策背景、具體要求等內容，指導相關人員如何開展網絡安全管理工作；利益方面加強人員技能培養，能夠快速發現及識別問題，能夠對常見網絡安全事件及時進行應急處置。

2、加強網絡安全規劃工作

網絡安全規劃對開展網絡安全工作具有非常重要指導意義，通過網絡安全規劃可以明確網絡安全工作目標、任務，具體工作人員可根據規劃內容進一步細化來指導自身的具體工作，解決網絡安全工作困惑的問題。

3、進一步推動網絡安全經費保障工作

信息化已經成為民航各單位開展業務的必要手段，各個信息系統的安全輕則影響到單位內部辦公，重則影響到民航運行安全以及旅客的生命財產安全，網絡安全的地位愈來愈高，相關的網絡安全保障經費亦應進行相應的調整，建立長效保障機制。同時建議民航局能為民航各單位提供更多的安全能力項目，進一步支持民航各單位網絡安全工作的開展。

4、建立網絡安全技術支撐隊伍

建議民航各種小單位委托第三方網絡安全公司開展網絡安全技術支撐工作，通過專業的技術人員對信息系統開展全面的梳理，包括網絡安全風險評估、等保測評、信息系統安全運維、重保保障、應急處置等工作，在合理有效的經費范圍內，快速提升網絡安全防護能力。