電力、交通行業(yè)代表張洵

　　我們首先對交通行業(yè)，還有國家電力行業(yè)目前的安全形勢進行了分析，大家達(dá)成了一個共識，眾所周知無論是電力行業(yè)，還是交通行業(yè)，都是涉及到國家命脈，也是涉及到國家安全穩(wěn)定的重要行業(yè)和領(lǐng)域。作為這么重要的行業(yè)，這幾年電力行業(yè)和交通行業(yè)的相關(guān)技術(shù)手段和技術(shù)保障方面持續(xù)的投入，一年比一年更重視。

　　在這種重視的前提下，作為兩個重要的行業(yè)，每年承受信息安全壓力和力度也在逐年增加。這兩年的分析表明，作為社會能源基礎(chǔ)產(chǎn)業(yè)，電力企業(yè)的應(yīng)用系統(tǒng)，以及軌道交通和調(diào)度系統(tǒng)和專業(yè)系統(tǒng)，包括對外網(wǎng)站，都已經(jīng)成為境內(nèi)外各類黑客攻擊的對象。當(dāng)然這種攻擊有可能來自于外部，也有可能來自于內(nèi)部。

　　因于這種共識，小組成員對我們目前這兩個行業(yè)所面臨的一些典型性的和普遍存在的問題，進行了一些交流和匯總，主要是體現(xiàn)在以下幾個方面。

　　第一，對于網(wǎng)絡(luò)信息安全的認(rèn)識和重視程度不夠。盡管從07年開始，對信息安全等級保護已經(jīng)開始部署落實，相比以前，信息安全已經(jīng)比較深入人心，大家都認(rèn)識到信息安全的重要性。但是像這種重要性目前僅僅在相應(yīng)的主管部門，相關(guān)的主管領(lǐng)導(dǎo)層面下，大多數(shù)員工，以及更高層的領(lǐng)導(dǎo)，對信息安全的管理認(rèn)識和重視程度，相對于信息系統(tǒng)的建設(shè)來講還有一定距離。導(dǎo)致信息系統(tǒng)在運營使用過程中出現(xiàn)各種信息安全的問題，為了處理這些問題和彌補安全隱患，成本往往居高不下。其實有些信息安全的彌補和預(yù)防，可以在信息系統(tǒng)的設(shè)計，包括建設(shè)中可以通過較小的代價實現(xiàn)。

　　第二，在電力行業(yè)和交通行業(yè)，信息安全往往處于道高一尺魔高一丈的狀態(tài)，這種比較被動的防護狀態(tài)，主要還是體現(xiàn)在信息安全主動發(fā)現(xiàn)問題的能力不足，以及對信息安全主動防護手段不足導(dǎo)致。最根本的原因，還是我們對信息安全專業(yè)技術(shù)人員的缺失，相對不足導(dǎo)致的。往往在出現(xiàn)安全事件的時候，僅僅把目前出現(xiàn)的事情解決掉，缺少信息安全風(fēng)險的預(yù)警和后續(xù)總結(jié)。

　　第三，電力行業(yè)和交通行業(yè)在制度上，目前是多模進行管理的，這點交通行業(yè)問題比較凸顯。比如北京市軌道交通行業(yè)的建設(shè)、投資、運營是由不同的單位負(fù)責(zé)的，所以導(dǎo)致了安全責(zé)任的劃分不是很明確，流程比較復(fù)雜。比如說投資方在投資的時候，沒有涉及到信息安全方面的投資和準(zhǔn)備，導(dǎo)致信息系統(tǒng)的設(shè)計和建設(shè)過程中，缺少信息安全方面的保障。

　　第四，關(guān)于信息安全保障和信息安全這方面的預(yù)算。在07年以前，信息安全不是很受重視。 07年以后，在各個行業(yè)雖然得到了一些加強，但是在經(jīng)費和預(yù)算的準(zhǔn)備工作方面，還是出現(xiàn)了比較大的困難。

　　第五，在信息安全標(biāo)準(zhǔn)方面，缺少行業(yè)標(biāo)準(zhǔn)。國家目前推行的信息安全保護標(biāo)準(zhǔn)是國家層面的標(biāo)準(zhǔn)，這個標(biāo)準(zhǔn)在某些特定的行業(yè)，比如電力行業(yè)、交通行業(yè)，這兩個行業(yè)專業(yè)性比較強，系統(tǒng)多采用工業(yè)控制裝置，系統(tǒng)的建設(shè)個運行，通用的系統(tǒng)有一些差別，這導(dǎo)致國家相關(guān)信息安全標(biāo)準(zhǔn)在這兩個行業(yè)中存在不適用的情況。

　　針對電力行業(yè)和交通行業(yè)的問題，小組成員對會后工作的開展，也積極的進行了討論，總結(jié)了以下幾個方面的建議，供相關(guān)的主管部門參考。

　　第一，希望相關(guān)的政府管理部門加強網(wǎng)絡(luò)安全和信息方面的共享，及時發(fā)送相關(guān)信息的通報，各行業(yè)及網(wǎng)絡(luò)安全監(jiān)測部門要加強協(xié)作和溝通，做到資源的共享。

　　二，多參加網(wǎng)絡(luò)安全的培訓(xùn)，介紹先進的安全經(jīng)驗、技術(shù)、管理理念，提高安全保障的能力和意識。

　　第三，希望在經(jīng)費方面得到政府相關(guān)部門的大力支持，尤其在各個行業(yè)的主管部門。

　　第四，希望加強信息系統(tǒng)運行單位，和信息安全服務(wù)單位。信息安全服務(wù)機構(gòu)可能對相關(guān)的政策，以及相關(guān)信息安全技術(shù)的積累有一定的優(yōu)勢。如果兩者能夠相互整合，各自發(fā)揮自己的優(yōu)勢，將會對整個行業(yè)信息安全保障起到非常好的促進作用。

　　衛(wèi)生、電信、廣電行業(yè)代表嚴(yán)明

　　發(fā)言的同志都介紹了本單位的信息安全的工作情況，好像基本上重點圍繞著等保的建設(shè)、落實、檢查，介紹了自己的工作經(jīng)驗和體會，表示今后要把等保工作繼續(xù)抓起來。

　　對于要求和建議，希望在更多的方面給予推動和幫助。主要涉及到這幾個方面，

　　第一，在標(biāo)準(zhǔn)上更完善一些，標(biāo)準(zhǔn)覆蓋的面更寬一點。還有就是對開展工作最好多給一些指導(dǎo)，這和標(biāo)準(zhǔn)是相輔相成的。比如說第三方測評機構(gòu)哪些比較權(quán)威，比較好，哪些有資質(zhì);還有廠商的指導(dǎo)，哪些工作有什么特點，比較適合于哪些行業(yè)。有人提到，包括在安全服務(wù)商的收費標(biāo)準(zhǔn)，軟件產(chǎn)品一年的費用大致是多少，安全服務(wù)商的標(biāo)準(zhǔn)和服務(wù)，是不是也應(yīng)該有相應(yīng)的標(biāo)準(zhǔn)和指導(dǎo)。另外，如果有更好的工具，也許會使工作更好的開展。

　　第二，在安全的完善當(dāng)中，特別是在等保的建設(shè)和管理當(dāng)中，給予更多的示范性指導(dǎo)。像衛(wèi)生系統(tǒng)，醫(yī)院里也有很多信息系統(tǒng)的應(yīng)用，他們希望知道什么樣是符合要求的，有沒有這樣的示范樣本，或者是案例。

　　第三，安全需要產(chǎn)業(yè)的支持，特別是需要高水平的服務(wù)商的支持。如果在這方面也能有像我們硬件廠商華為、中興和其他這樣的廠商更好。

　　最后，能不能將測評和驗收結(jié)合起來，現(xiàn)在好像搞不太清楚，不經(jīng)過等保的測評，是不是可以申報驗收，可以通過驗收，查了文件，沒查到依據(jù)。我提了個建議，能不能強化一下，安全是同時設(shè)計，同時施工，同時驗收，如果安全沒能驗收，或者驗收不合格，測評不合格，通不過，難道工程可以驗收嗎?這也是一個比較好的意見和建議。

　　銀行、教育行業(yè)的代表劉法旺

　　銀行行業(yè)在信息化發(fā)展水平比較高，也采用先進的技術(shù)。教育行業(yè)也做了自己很多的嘗試和改進，比如說統(tǒng)一的監(jiān)測系統(tǒng)，包括我們京也是采用各種各樣的方式。

　　通過大家的交流我們形成以下幾個方面的共識：

　　第一，當(dāng)前行業(yè)面臨著比較嚴(yán)酷的挑戰(zhàn)。比如銀行，選用國內(nèi)的設(shè)備，意味著要承受相當(dāng)?shù)陌踩[患。

　　第二，加強網(wǎng)絡(luò)安全建設(shè)離不開持續(xù)的改進。這些企業(yè)采用國產(chǎn)化的輿論環(huán)境，如果有一點失誤，你業(yè)平臺都會受到很大的創(chuàng)傷。

　　第三，教育行業(yè)在信息化建設(shè)，在人員和經(jīng)費上面臨比較大的挑戰(zhàn)。

　　網(wǎng)絡(luò)安全的問題需要加強協(xié)作和強化研究。每個安全公司，每個服務(wù)機構(gòu)都會講這個理論，但是到底怎么解決?我們會不會在研究過程當(dāng)中，成了我們原本的承擔(dān)。比如銀行系統(tǒng)審計采用這家設(shè)備，防火墻采用那家設(shè)備，通過采用這些硬件，我們需要采用高級的設(shè)備，這本身就是一個悖論。

　　銀行移動化，移動互聯(lián)網(wǎng)領(lǐng)域的安全問題就會引入到我們行業(yè)里來，這些問題怎么解決?應(yīng)該有相應(yīng)的防范手段和防范設(shè)施。

　電子政務(wù)、證券行業(yè)代表楊衛(wèi)軍

　　第四組的主要成員來源于主管部門行業(yè)的代表及測評機構(gòu)和安全廠商的代表?？偨Y(jié)從幾個方面來講，

　　北京市各主管部門都把信息安全工作放在信息化工作的首要位置，在做好本單位保障的同時，促進本行業(yè)的提升，指導(dǎo)本行業(yè)開展工作，聯(lián)合監(jiān)管部門對本行業(yè)各個行業(yè)開展聯(lián)合檢查，促進了整個行業(yè)的發(fā)展。北京銀監(jiān)會在宣貫、行業(yè)監(jiān)督檢查，將信息科技風(fēng)險納入到整體考評當(dāng)中，提高了企業(yè)對于信息安全工作的重視程度。

　　北京市衛(wèi)計委、基金會監(jiān)管單位非常支持，20家基金單位已經(jīng)有19家完成，或者正在開展安全整改的工作，確實減少了北京市衛(wèi)生行業(yè)安全事件的發(fā)生。

　　在證券行業(yè)當(dāng)中，在北京證監(jiān)局的積極推動下，整個行業(yè)非常重視網(wǎng)絡(luò)安全的工作。因為它關(guān)系到我們投資者的權(quán)益問題，在新形勢的國際背景下，證券行業(yè)也面臨著安全風(fēng)險，安全形勢更加嚴(yán)峻。面臨的問題和典型問題，一是對于網(wǎng)絡(luò)信息安全的重視意識要加強，避免重建設(shè)輕安全的現(xiàn)象。第二，加強信息安全立法，通過相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)，將信息安全工作踏入法制化、制度化、體制華管理。第三，在重要行業(yè)信息安全工作中，加強信息化建設(shè)，本身信息化平臺可以加強行業(yè)當(dāng)中主管部門和監(jiān)管部門的通報，提升事件的處置效率和速度，避免類似事故在其他單位發(fā)生，做到信息共享的作用。另外要將網(wǎng)絡(luò)安全工作作為長期的工作來抓。

　　對今后網(wǎng)絡(luò)安全工作計劃方面，政府和行業(yè)主觀部門仍然需要加大對網(wǎng)絡(luò)安全工作的政策支持，政策考核方式方面，加強對下屬行業(yè)的監(jiān)督和促進。把思想統(tǒng)一到部署上來。加強網(wǎng)絡(luò)強國意識，加強網(wǎng)絡(luò)安全監(jiān)督，提高網(wǎng)絡(luò)安全服務(wù)能力。希望各個行業(yè)主管部門加快本也信息安全標(biāo)準(zhǔn)的制定和推動，共同努力。

　　對網(wǎng)絡(luò)安全未來發(fā)展的政策和措施的建議。希望監(jiān)管部門和行業(yè)主管部門，能夠發(fā)揮手中的資源優(yōu)勢，通過對網(wǎng)絡(luò)安全形式的掌握和進一步研判，加強預(yù)報工作。加強網(wǎng)絡(luò)安全的培訓(xùn)工作，介紹先進的信息安全技術(shù)。提高整體網(wǎng)絡(luò)安全的保障能力，保障網(wǎng)絡(luò)安全。

　　希望公安機關(guān)加強網(wǎng)絡(luò)安全監(jiān)管，發(fā)揮公安機關(guān)在保障國家信息安全工作當(dāng)中的職能作用，深入推動工作的貫徹，嚴(yán)厲打擊網(wǎng)絡(luò)違法犯罪活動，切實保障國家關(guān)鍵信息的安全。首都網(wǎng)絡(luò)安全日的設(shè)立，將信息安全工作從領(lǐng)導(dǎo)層、執(zhí)行層延伸到參與層，提高大家對信息安全的重視，必將全面提升北京市網(wǎng)絡(luò)安全的整體水平，進而提高我國信息網(wǎng)絡(luò)安全的水平。