數(shù)字時代企業(yè)網(wǎng)絡(luò)安全管理研究

劉麗娜 中國移動通信集團陜西有限公司寶雞分公司

為了切實維護國家安全、人民群眾合法權(quán)益、網(wǎng)絡(luò)空間良好生態(tài)，國家相繼出臺了《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《中華人民共和國反電信網(wǎng)絡(luò)詐騙法》草案，簡稱網(wǎng)絡(luò)安全“四法一條例”。為做好新時代網(wǎng)絡(luò)安全和信息化工作、扎實推進網(wǎng)絡(luò)強國建設(shè)、實現(xiàn)中華民族偉大復(fù)興的中國夢提供了強有力的法治保障[1]。目前，整個企業(yè)信息安全領(lǐng)域的管理和現(xiàn)狀仍然處于封堵漏洞式的安全管理模式，基本是根據(jù)已經(jīng)掌握的安全風(fēng)險點進行被動地去監(jiān)測、事后啟動風(fēng)險響應(yīng)機制等這種很單一的安全防控手段，缺少對整個網(wǎng)絡(luò)安全狀態(tài)的檢測及預(yù)警機制，便不能做到主動地去防御，這種模式已經(jīng)無法滿足現(xiàn)企業(yè)對網(wǎng)絡(luò)安全管理和防御的真正的要求。對于數(shù)字化新時代的環(huán)境下，對網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)環(huán)境的網(wǎng)絡(luò)安全就有了更高的要求。這些都主要通過信息系統(tǒng)、核心數(shù)據(jù)、實時網(wǎng)絡(luò)安全狀態(tài)的認(rèn)知與展現(xiàn)，去發(fā)現(xiàn)自身存在的隱患問題和風(fēng)險情況，同時將新數(shù)據(jù)與之前的舊數(shù)據(jù)進行比較，形成合理的趨勢判斷，實現(xiàn)全面的、分層的、多角度的感知，為發(fā)現(xiàn)的安全隱患預(yù)警通報、安全整改策略提供重要數(shù)據(jù)支撐。從而能夠提升企業(yè)對安全風(fēng)險方面存在的問題的分析與治理能力。

一、目前企業(yè)存在的網(wǎng)絡(luò)安全形勢

數(shù)字經(jīng)濟發(fā)展迅速，通信網(wǎng)絡(luò)呈現(xiàn)云網(wǎng)融合化、虛擬切片化、智能算力化、能力開放化等演進特征，新型網(wǎng)絡(luò)安全風(fēng)險和挑戰(zhàn)也隨之而來。安全漏洞、勒索軟件攻擊、數(shù)據(jù)泄露、電信網(wǎng)絡(luò)詐騙等問題高發(fā)頻發(fā)，網(wǎng)絡(luò)安全作為影響國家安全的重要因素已成為全球共識，整體網(wǎng)絡(luò)安全形勢仍然嚴(yán)峻復(fù)雜。

電信網(wǎng)絡(luò)詐騙治理形勢堪憂，不良信息傳播手段不斷翻新，攻防對抗強度持續(xù)加大，行業(yè)領(lǐng)先優(yōu)勢面臨挑戰(zhàn)。公安部、工信部等上級部門關(guān)于電信網(wǎng)絡(luò)詐騙治理、個人信息保護、網(wǎng)絡(luò)安全遠程檢查等方面的監(jiān)管考核力度不斷加大。

二、落實“四法一條例”工作思路

已出臺的《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等網(wǎng)信領(lǐng)域重要法律法規(guī)，系統(tǒng)規(guī)范了各網(wǎng)絡(luò)主體的職責(zé)義務(wù)，其中52個條款對網(wǎng)絡(luò)安全工作提出明確要求，正在制定的《中華人民共和國反電信網(wǎng)絡(luò)詐騙法》主要是按照完善預(yù)防性法律制度的要求，針對電信網(wǎng)絡(luò)詐騙發(fā)生的主要環(huán)節(jié)，明確加強防范性制度措施相關(guān)舉措。企業(yè)可以將明確以“四法一條例”為切入點，全面梳理各項法律法規(guī)要求，通過學(xué)習(xí)宣貫、對標(biāo)提升、完善專項工作體系，確保網(wǎng)絡(luò)安全工作依法合規(guī)。目前，初步完成已出臺法律法規(guī)相關(guān)要求的梳理對標(biāo)對表，并組織開展相關(guān)法律法規(guī)要求的培訓(xùn)宣貫，待《中華人民共和國反電信網(wǎng)絡(luò)詐騙法》正式頒布后將對其中明確的重點內(nèi)容進行細致梳理并開展教育宣貫。后續(xù)將嚴(yán)格遵守和落實各項法律法規(guī)要求，在確保工作合法合規(guī)開展的基礎(chǔ)上，進一步健全完善網(wǎng)絡(luò)安全技術(shù)框架，企業(yè)加強關(guān)鍵信息安全防護體系，加大數(shù)據(jù)安全和個人信息安全的保護力度，深化推進打擊治理電信網(wǎng)絡(luò)詐騙，加強網(wǎng)絡(luò)安全產(chǎn)品服務(wù)創(chuàng)新，滿足人民群眾對美好數(shù)字生活的向往。

三、管理網(wǎng)絡(luò)安全的重點

（一）提升思想認(rèn)識方面

1.圍繞“國之大者”勇?lián)肫舐氊?zé)使命，結(jié)合實際落實“第一議題”制度，企業(yè)通過黨委會、中心組集體學(xué)習(xí)研討、黨支部“三會一課”等，深入學(xué)習(xí)貫徹習(xí)近平法治思想、總體國家安全觀、網(wǎng)絡(luò)強國戰(zhàn)略、習(xí)近平總書記關(guān)于打擊治理電信網(wǎng)絡(luò)詐騙犯罪工作的重要指示精神等。

2.充分領(lǐng)會網(wǎng)絡(luò)安全領(lǐng)域重大決策部署，持續(xù)夯實黨委網(wǎng)絡(luò)安全責(zé)任制根基，貫徹落實“四法一條例”要求，特別是關(guān)注“重要數(shù)據(jù)”等新要求、新提法，進一步加強“四法一條例”的學(xué)習(xí)宣貫，并納入企業(yè)學(xué)習(xí)的必修課，通過集中學(xué)習(xí)、教育培訓(xùn)等方式持續(xù)提升全員依法開展網(wǎng)絡(luò)安全工作的意識和能力。

3.按照“誰運營、誰負責(zé)”的原則，嚴(yán)格落實網(wǎng)絡(luò)安全主體責(zé)任，以防攻擊、防入侵、防病毒、防泄密為重點，全面排查企業(yè)網(wǎng)絡(luò)安全隱患，強化網(wǎng)絡(luò)安全防護和治理工作。

4.企業(yè)安全管理中最重要的就是終端的管理，通過采用規(guī)范合法的專業(yè)技術(shù)手段對終端作業(yè)時接入的網(wǎng)絡(luò)環(huán)境，終端資產(chǎn)中的服務(wù)信息的詳細情況要進行全面的監(jiān)管，這樣才能保障企業(yè)網(wǎng)絡(luò)在應(yīng)用環(huán)境中能夠安全又穩(wěn)定的運轉(zhuǎn)。另外，企業(yè)在選擇終端型號時要根據(jù)企業(yè)本身的實際情況來按需采購，為保證使用過程中的售后服務(wù)質(zhì)量因素，要選擇正規(guī)廠家生產(chǎn)的終端。強化終端特別是辦公網(wǎng)終端管理，進一步整改處理已知的高危漏洞，定期升級病毒庫，查殺木馬等惡意程序[2]。嚴(yán)格審核外部終端接入情況，嚴(yán)禁維護終端的外連行為。進一步強化人員網(wǎng)絡(luò)安全意識宣貫，防范釣魚網(wǎng)站、仿冒網(wǎng)站等社會工程學(xué)攻擊行為，嚴(yán)禁訪問惡意網(wǎng)站等與工作無關(guān)的外部網(wǎng)站。

5.網(wǎng)絡(luò)安全設(shè)備管理，企業(yè)常用的終端設(shè)備安全手段主要包括防火墻、安全管理系統(tǒng)客戶端、360等入侵檢測系統(tǒng)和一些設(shè)備。這些都需要根據(jù)企業(yè)的終端設(shè)備數(shù)量、搭建圖、生產(chǎn)經(jīng)營的業(yè)務(wù)種類、涉及的信息等級及信息數(shù)量，來確定適合的終端設(shè)備和管控方式。終端設(shè)備是企業(yè)的網(wǎng)絡(luò)安全管理的主要手段，所以，針對不同終端的特點要梳理出適合該類終端完整的操作手冊及維護文檔，并且需要定期更新完善手冊及文檔內(nèi)容。還有，企業(yè)的網(wǎng)絡(luò)安全防護策略要根據(jù)企業(yè)本省的業(yè)務(wù)應(yīng)用需要情況來布局。企業(yè)內(nèi)網(wǎng)的使用要根據(jù)賬號及賬號權(quán)限級別來管理，比如企業(yè)內(nèi)網(wǎng)系統(tǒng)，也就是企業(yè)通訊錄中的在編員工，可給予在內(nèi)網(wǎng)辦公網(wǎng)絡(luò)環(huán)境下相應(yīng)的訪問權(quán)限，非企業(yè)員工在使用內(nèi)網(wǎng)終端時，需要建立臨時訪問賬號，設(shè)置賬號有效期（最長不超過十二個月，到期根據(jù)情況做續(xù)期處理），并通過訪問權(quán)限來控制可以使用的范圍。

（二）開展科學(xué)決策方面

在開展決策與制定計劃中，統(tǒng)籌考慮法規(guī)要求、人才專家隊伍配置等因素，強化組織保障，明確管理規(guī)定，高度重視并落實開展網(wǎng)絡(luò)安全方面的專家人才團隊建設(shè)工作。除了要有專業(yè)性較強的人才隊伍，還要體系全面的加強網(wǎng)絡(luò)信息安全系統(tǒng)的建設(shè)，更加需要建立完善的企業(yè)網(wǎng)絡(luò)安全風(fēng)險預(yù)案。企業(yè)應(yīng)該根據(jù)網(wǎng)絡(luò)安全等級保護的各個要求，從物理層面、策略層面、布局等方面進行系統(tǒng)的信息安全防護預(yù)案，其主要內(nèi)容包含對機房的建設(shè)運維、設(shè)備和介質(zhì)、辦公環(huán)境的通信網(wǎng)絡(luò)、區(qū)網(wǎng)邊界、服務(wù)器、系統(tǒng)平臺的應(yīng)用數(shù)據(jù)備份和恢復(fù)等方面。分析企業(yè)自身存在的網(wǎng)絡(luò)安全工作上的風(fēng)險點，制定相應(yīng)的符合實際情況的、操作便捷且有效的網(wǎng)絡(luò)安全防控預(yù)案，并且企業(yè)要定期組織全網(wǎng)的網(wǎng)絡(luò)安全攻防演練活動，用以檢測各個終端應(yīng)用是否存在著網(wǎng)絡(luò)安全風(fēng)險。攻防演練活動一定要涵蓋企業(yè)的所有部門，其中起頭部門為主要的網(wǎng)絡(luò)安全負責(zé)部門，其他業(yè)務(wù)部門根據(jù)牽頭部門的指導(dǎo)手冊來配合好需要防控的區(qū)域及演練方法。另外，企業(yè)在安排網(wǎng)絡(luò)安全攻防演練活動的前提條件就是，對于攻防演練過程中出現(xiàn)的網(wǎng)絡(luò)安全事件要有應(yīng)對能力和處理預(yù)案。減少響應(yīng)時間預(yù)案不到位引發(fā)的更嚴(yán)重的后果，從而真正地減少網(wǎng)絡(luò)安全事件發(fā)生后對企業(yè)的損失。

1.企業(yè)需要統(tǒng)一購買官方的系統(tǒng)病毒管控軟件，病毒管控軟件的應(yīng)用從網(wǎng)絡(luò)使用環(huán)境分析來看，系統(tǒng)病毒會對網(wǎng)絡(luò)安全造成較強的危害性，若是終端中病毒，將導(dǎo)致整個企業(yè)系統(tǒng)的崩盤和使用，也會造成企業(yè)數(shù)據(jù)丟失或者被流出、終端被劫持等安全隱患。所以，用戶可以隨時使用企業(yè)購買的安全軟件及時掃描查殺安全隱患，一經(jīng)發(fā)現(xiàn)可立刻修復(fù)病毒。企業(yè)在選擇此類軟件時應(yīng)盡可能選擇官方正規(guī)廠家正版產(chǎn)品，這樣可以有效地對用戶計算機安全進行保護，減少病毒對計算機的攻擊和影響，還需要不定時地進行病毒掃描，可以有效地監(jiān)控到終端中是否存在風(fēng)險，也能提高企業(yè)整體的網(wǎng)絡(luò)應(yīng)用環(huán)境。

2.企業(yè)需要每年統(tǒng)一組織員工簽訂《信息安全責(zé)任承諾書》，為保障客戶權(quán)益，保障企業(yè)穩(wěn)定、健康發(fā)展，需本人自愿簽訂承諾。這種做法可以進一步加強企業(yè)信息安全保護工作，提升企業(yè)及合作伙伴信息安全意識。此外，需要在承諾書中明確的寫明，《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國國家安全法》第二十五條，《中華人民共和國反恐怖主義法》第十九條、二十一條、五十一條、六十一條、八十四條和八十六條之規(guī)定，明白國家網(wǎng)絡(luò)與信息安全保障體系的建設(shè)是為了維護國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益，以及《中華人民共和國刑法》《中華人民共和國刑法修正案（九）》第二百五十三條、第二百八十六條和第二百八十七條的規(guī)定，明白出售公民信息，不履行法律以及行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，協(xié)助或利用信息網(wǎng)絡(luò)實施犯罪等的后果[3]。

3.網(wǎng)絡(luò)安全等級評測，為了保證企業(yè)在合法合規(guī)地使用信息數(shù)據(jù)，就需要有一個安全穩(wěn)定的系統(tǒng)，所以企業(yè)需要定期開展安全防檢測評并檢測結(jié)果將形成臺賬記錄。如遇網(wǎng)絡(luò)安全事故，企業(yè)需要派專人專項負責(zé)修復(fù)，對造成事件的原因進行評估和責(zé)任定性，輸出應(yīng)急防護處理結(jié)果及事件內(nèi)容的備案，備案表中至少需要記錄事件等級、持續(xù)時間、發(fā)生時間、發(fā)現(xiàn)方式、修復(fù)方法、事件影響范圍等重要內(nèi)容。

（三）強化戰(zhàn)略執(zhí)行方面

1.建立健全的內(nèi)部協(xié)作機制，系統(tǒng)推動企業(yè)打擊治理電信網(wǎng)絡(luò)詐騙工作等重點工作落實到位；組織開展源頭管控、監(jiān)測處置、用戶預(yù)警宣傳、技術(shù)研究支撐等工作，嚴(yán)格落實相關(guān)工作要求，各項考核指標(biāo)達標(biāo)，未發(fā)生監(jiān)管處罰、考核扣分情況。

2.主動圍繞法律法規(guī)對標(biāo)對表，開展自查，對于自查發(fā)現(xiàn)的風(fēng)險隱患和改進項，要組織制定整改提升工作計劃，明確具體措施、時限、責(zé)任人等。

3.通過現(xiàn)場調(diào)研、會議匯報等方式對重點工作在基層的落實情況進行調(diào)研評估，對各類堵點、難點問題及時進行疏解排除。

4.加強企業(yè)的管理，為了更好地對企業(yè)網(wǎng)絡(luò)安全環(huán)境和管理方案進行規(guī)劃和完善，企業(yè)必須有獨立的網(wǎng)絡(luò)安全管理部門及責(zé)任人，一般企業(yè)一把手是第一責(zé)任人，負責(zé)企業(yè)網(wǎng)絡(luò)安全工作的責(zé)任人主要責(zé)任人，再下設(shè)網(wǎng)絡(luò)安全管理黨小組，小組成員負責(zé)各業(yè)務(wù)部門的安全意識培訓(xùn)及風(fēng)險治理配合工作，這樣才能將企業(yè)網(wǎng)絡(luò)安全工作落到實處，做到環(huán)環(huán)有人盯，項項有人管的閉環(huán)管理模式。

5.數(shù)字資產(chǎn)的管控，當(dāng)下隨著云計算及移動互聯(lián)網(wǎng)時代的來臨，線上發(fā)布流程變化莫測，如不掌握詳盡的資產(chǎn)信息，一旦發(fā)生問題無法在最短時間定位問題出處；二是外部預(yù)警提醒傳達后無法精準(zhǔn)處置，浪費時間、精力、財力的情況。企業(yè)要想做到有效的安全管理，必須對資產(chǎn)全面、準(zhǔn)確、實時掌管，牢牢把握“資產(chǎn)管理、風(fēng)險預(yù)警、主體責(zé)任人”三大要素。第一，進行資產(chǎn)詳情的梳理掌握，包括端口服務(wù)登記、從外部到內(nèi)部的資產(chǎn)詳情、最后要形成完善的資產(chǎn)臺賬，并定期更新和審核。

（四）確保取得實效方面

1.抓住關(guān)鍵節(jié)點強化監(jiān)督檢查，推動健全閉環(huán)反饋機制，落實監(jiān)督檢查要求，完善優(yōu)化考核手段，在配合開展工業(yè)和信息化部“雙隨機、一公開”網(wǎng)絡(luò)安全防護檢查、公安部門網(wǎng)絡(luò)安全執(zhí)法檢查基礎(chǔ)上，對企業(yè)網(wǎng)絡(luò)安全工作落實情況進行監(jiān)督檢查，對發(fā)現(xiàn)的問題加大通報曝光力度并及時開展約談、考核、問責(zé)[4]。

2.及時更新完善制度機制，構(gòu)建系統(tǒng)完備、科學(xué)規(guī)范、運行有效的本單位網(wǎng)絡(luò)安全制度體系，待《網(wǎng)絡(luò)安全等級保護條例》《數(shù)據(jù)出境安全評估辦法》等制度出臺后，根據(jù)企業(yè)相關(guān)管理要求，及時結(jié)合實踐發(fā)展和業(yè)務(wù)需要，更新適用于本企業(yè)的實施細則，并加強制度執(zhí)行情況的監(jiān)督檢查，全面實現(xiàn)本企業(yè)在網(wǎng)絡(luò)安全管理方面的持續(xù)提升。

隨著數(shù)字化時代的到來，也迎來了業(yè)務(wù)系統(tǒng)的不斷更新升級，企業(yè)業(yè)務(wù)系統(tǒng)也在不斷變化，網(wǎng)絡(luò)信息化形勢日益顯著，面對這種嚴(yán)峻網(wǎng)絡(luò)安全形勢受到前所未有的挑戰(zhàn)，舊時的被動防御和防護工作已經(jīng)無法適用于現(xiàn)有的狀況，國家也對網(wǎng)絡(luò)安全管理運營工作提出了新的挑戰(zhàn)和要求。企業(yè)響應(yīng)國家要求，在安全管理方面需要更加嚴(yán)謹(jǐn)，從業(yè)務(wù)應(yīng)用安全、數(shù)據(jù)信息安全、關(guān)鍵基礎(chǔ)設(shè)施安全等多個維度去管理。企業(yè)網(wǎng)絡(luò)安全事件的預(yù)警監(jiān)控、預(yù)案處理、風(fēng)險管控等階段都發(fā)揮著非常重要作用，企業(yè)必須將安全管理與運營工作落地，才能有力提升企業(yè)的網(wǎng)絡(luò)安全整體防御能力。