同志们:
今天,我们首次在长江全线召开网络与信息安全会议。会议的目的是:学习领会习总书记关于网络安全重要讲话精神,贯彻落实交通运输部及长航局有关指示要求,动员我局网络与信息安全工作,部署今年网络安与信息安全重点工作。
刚才,科技信息处部署了局网络与信息安全工作,我都同意。传达了部领导关于网络安全讲话精神、通报了长航局“3.5”网络安全事件问责情况。“3.5”事件看似是小事,却惊动了部党组,政治影响大,发人深省,我们须引以为戒、警钟长鸣,深刻吸取教训、认真研究对策、严密防范,杜绝网络安全事件发生。下面就抓好我局网络安全工作讲三个方面:
一、充分认识网络安全面临的形势和任务
当今世界,信息化正迅速而深刻地改变着我们的世界,人们生活与互联网的关系越来越紧密。信息化、网络化既有快捷服务,也有漏洞隐患,日益严重的网络攻击和破坏,使得网络“双刃剑”效应越发凸显,如何取其利、避其害,迫切地摆在我们面前。
(一)网络安全已上升为国家战略
在全球网络空间中,中国是互联网大国但不是强国,这是基本共识。为改变这一状况,中国在2014年初成立规格极高的中央网络安全和信息化领导小组,习总书记亲任组长,将网络安全上升到国家安全战略层面。正如习总书记所强调:“网络安全和信息化对一个国家很多领域都是牵一发而动全身的”,“没有网络安全就没有国家安全”。其后,在2016年相继发布《网络安全法》、《国家网络空间安全战略》,正是中国稳步推进实施网络安全的国家战略体现。
(二)交通是网络安全防护重点
在《网络安全法》里,“交通”列在第三个关键信息基础设施,明确要求实行重点保护。正如习总书记去年4.19讲话中指出:金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标,这些都是重大风险隐患,一旦出问题将具有很大的破坏性和杀伤力,我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。杨传堂书记在4月14日部党组中心组学习中也要求:加强对交通运输新闻网站和新媒体平台的安全管理,树立正确网络安全观,切实把交通运输网络安全这件大事抓实、抓紧、抓好。
(三)长江海事网络安全防护难度大
长江局是大单位、老单位、点多线长,管辖七省市2700公里长江干线,下设16个局属单位,自建光缆多、互联网接口多、信息化机房、设备、应用系统以及租用线路数量极其庞大,安全基础也相对薄弱,存在的可能被攻击的网络安全漏洞自然也多。特别是随着长江经济带国家战略的实施,长江黄金水道建设步伐加快,长江航运民生关联度、社会关注度日益高涨的同时,也引来网上黑客的关注。而当前网络攻击的来源越来越多样化,网络攻击的手法更加复杂隐蔽,攻击类型也从短时间、突发性攻击向高级别、持续性攻击转变,因此我们遭受攻击的风险日益增大,这无疑增加了网络安全防护工作的压力和难度。
(四)重要时段网络安全防护责任大
经验表明,越是重要敏感时期,越是黑客集中攻击的黄金时期。如刚才通报的,今年“两会”期间,长航局政府网站遭到恶意攻击;此外,去年G20期间,浙江海事局也遭到“反共黑客联盟”篡改网页。两起网络安全事件都发生在重要敏感时期,都造成了严重的政治影响。
重要时段的网络安全防护就是一项重大的政治责任,再怎么强调也不为过,再怎么严厉也不为过。正如部李建波党组在“十九大”网络安全专题部署会上指出:“十九大”网络安全工作是要追责的,追什么责呢?要追查的责任都是“不得了”的责任!不知道有多大!
因此,部里提出一分钟处置的要求,即网站被黑后,一分钟内必须断网处理,否则将承担相应责任,这对我们是一个极大的挑战。
二、长江局网络安全工作存在的问题
总体来看,各单位对网络安全较为重视,措施有力,成效显著,未出现重大网络安全事件。但也要清醒认识到,我局网络安全工作还不完全适应新形势要求:
一是思想认识不适应新形势要求。各单位对网络安全的重视程度参差不齐,网络安全无关紧要的意识偏差依然突出,对网络安全缺乏政治意识、大局意识、责任意识,这是搞好网络安全工作的最大障碍。
二是缺乏战略层面的顶层设计。目前,全局网络安全还缺乏统筹考虑、统揽全局的顶层设计,工作总体目标不明,策略不清、方向性指导不足,系统性、计划性不强,还主要依赖于责任心、惯例和经验认知开展工作。
三是制度机制不完善。规章制度、管理规范的覆盖面还不够广,应急预案不够完善。早期制定的网络安全管理办法已不适应新形势需要。特殊时段的网络信息报送渠道和程序还需理顺和规范。网络安全管理职责未明确界定,部门间的联动机制和协调机制也未真正建立起来。
四是队伍能力不足。尚未建立网络安全专业队伍,缺乏专职网络安全人员,尤其是高水平技术人员。网络安全培训少,覆盖范围小,专业性不强、培训质量不高,应急处置能力弱,面对突发网络安全事件,难以做到从容应对。
五是运维保障不力。网络安全软硬件设备老化、性能落后,难以适应愈发严峻的网络安全形势。维护经费普遍不足,没有预算保证。
下阶段,我们要高度重视这些问题和薄弱环节,下大力气加以解决。
三、扎实推进网络安全各项工作
网络安全工作是一项系统工程,我们要从思想认识、制度机制、人才经费、运行保障等各个方面大力推进,抓好落实。
(一)提高思想认识,落实网络安全责任制。
一是以宣贯《网络安全法》为重要抓手,牢固树立“没有网络安全就没有国家安全”的理念,加强全局职工网络安全意识和行为教育。二是完善网络安全与信息化领导小组和办公室的人员和职责,各单位要把网络安全作为一项重要工作和政治任务,主要领导负总责,分管领导直接抓,网络安全管理部门和信息系统使用部门层层推进。三是按照“谁主管、谁负责、谁运营、谁负责”的原则,签订网络安全责任书,明确责任,落实关键信息基础设施和重要信息系统各项安全保护措施,保障各系统安全稳定运行。
(二)完善管理制度,提升网络安全制度化规范化水平。
一是开展网络安全顶层设计研究,搭建网络安全整体防护框架。二是严格落实网络安全等级保护要求,防止网站被黑、系统被攻击、信息资料被窃取。三是制定关键信息基础设施安全管理规定,保证网络安全技术措施同步规划、同步建设、同步使用。四是建立健全网络安全监测预警和信息通报制度,在重点时段,严格落实零报告制度。五是加强技术标准制定,提高我局网络安全管理和维护工作制度化、标准化和科学化水平。
(三)落实人员和经费,提升网络安全保障能力。
一是关键信息基础设施管理单位要研究设置专门安全管理机构和安全管理负责人。二是各单位要将网络安全工作经费纳入行政预算,保障网络安全咨询服务、等级测评、安全检查、安全整改、培训演练等重要活动的经费开支。三是挑选技术骨干,组建我局应急队伍,成立各单位网络安全应急小分队,处理日常运维中出现的问题,加强技术培训,提升队伍应对网络安全突发事件的能力。四是开展培训学习,组织全行业网络安全管理、防护、运维等知识的培训,邀请高水平专家,增加培训频次和人员,提高我局网络安全队伍的专业技能。
(四)加强网络安全防护,确保重要时期网络安全“万无一失”。
今年重要活动特别多,“两会”刚刚过去,后期还有一带一路高峰论坛、建军九十周年、金砖国家会议、十九大等重要活动。我们要全力以赴,坚决做到“万无一失”。一是重大活动前要对全局网络安全风险进行检测、评估,加强网络配置技术防护,及时处置安全隐患和漏,提升网络安全防护等级。二是要把迅速果断处置网络安全事件作为一项政治责任,强化处置突发事件能力,一旦发生网络安全事件,要在一分钟内迅速断网。三是严格执行24小时值守,落实好网络安全与信息报告制度,发现问题及时上报。
(五)强化任务落实,抓好近期几项重点工作。
一是开展五月的网络安全宣传月活动。各单位要按照活动方案,以宣贯《网络安全法》为重点,通过“网络学堂”在线学习、网上答题、专题培训、网络安全应急演练和检查等方式,开展为期一个月的形式多样、内容丰富的活动。
二是抓好全局系统政务网站的整合。按照部局、长航局的统一部署,原则上全局只保留长江局政务网站,分支局政务网站一律在5月12日前关停。局宣传处和科技信息处要做好关停过渡期相关工作,保障分支局重要安全信息的正常发布渠道。同时,要抓紧对局政务网实施升级改造。
三是做好信息系统清理整合工作。按照上级要求,5月12日前建立信息系统管理台账、基础软件硬件设备台账,清理整合一批严重不符合网络安全管理的规定、应用和更新基本停滞的信息系统,提高系统应用效能,降低网络安全风险。
四是抓好“一路一带高峰论坛”网络安全保障工作。“一带一路”国际合作高峰论坛将于5月14日至15日在北京举行。活动期间,实行分管领导带班制度,重要网站和信息系统实行24小时监控。
五是抓好应急预案的编写和完善。按照“程序清晰、职责明确、运转流畅、反应快速”原则,制定和完善我局网络安全应急预案,针对不同等级的网络攻击,制定对策与措施,确保网络安全突发事件应对及时、组织科学、防范有效。
六是抓好《工作实施方案》的贯彻落实。《网络安全工作实施方案》,是下阶段网络安全工作的行动指南,任务、责任已分解,目标、时限已明确,各单位各部门要重在抓落实,对于在规定时限内没有完成任务的单位和部门,要予以追责。
同志们,网络安全工作任重道远,我们要以高度的政治责任感和强烈的历史使命感,恪尽职守,奋发有为,向党和人民交上一份满意的网络安全答卷。
谢谢大家!
