中央企業網絡安全與保密措施

導語：中央企業網絡安全與保密措施一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：近年來隨著我國5G網絡的商用普及建設，利用新型信息技術實現數字化轉型成為了中央企業改革發展的主要潮流，但在信息化網絡技術應用中，仍然還存在著一些嚴重威脅中央企業內部保密工作安全的隱患問題。基于此，本文首先論述了中央企業在信息網絡應用中做好網絡安全與保密工作的重要性，而后根據中央企業應用信息網絡的實際情景，分析了中央企業網絡安全的隱患因素，并深入探討了網絡安全與保密方面的薄弱問題，最后提出加強中央企業網絡安全與保密管理工作水平的對策措施。

關鍵詞：中央企業；網絡安全；保密管理工作

網絡安全的三個基本屬性是保密性、完整性和可用性；保密工作的三大管理重點是定密管理、網絡保密管理和涉密人員管理，因此網絡安全和保密工作二者相輔相成、密不可分。加強中央企業信息化建設，堅持以創新驅動帶動生產力，是“十四五”重要戰略規劃時期所必須做出的改革創新舉措。只有積極地應用推廣新型信息技術，中央企業才能進一步實現工業信息化、生產信息化和管理信息化發展格局，而開發利用好信息資源，也正是中央企業形成自己的核心競爭力，在主業上做大做強所必需的物質基礎。但新型信息技術的應用，帶給中央企業的除了生產與管理技術的變革以外，也對中央企業的安全保密工作提出了更高難度的挑戰，因此只有應用網絡安全技術，加強網絡保密管理水平，提高中央企業信息化集中管控能力，才能進一步促進中央企業實現增值保值的長效運營目標。

1網絡安全與保密工作的重要性

中央企業是由國家黨政組織獨資控股的國有企業，通常在某個或多個行業內占據主要支配地位，在該行業內能夠起到引領經濟、帶動經濟、規范市場定價的作用，是國民經濟體系中不容分割的重要經濟支柱。而中央企業由于運營規模遠大于常規民營企業與地方企業，所以它在資產管理、財務管理、人力資源調度、業務受理與風險管理上，所涉及的信息交互內容往往更加復雜多樣，因此中央企業近年來在戰略計劃部署中，都會將信息管理系統建設和數字化轉型放在重要位置。這樣做的目的是通過信息技術高效率的處理與共享機制，提高企業的決策與執行效率，進一步規范管理體制流程，從而支撐中央企業長期穩定發展。中央企業的正常運作，離不開對各類信息和數據的保密，例如企業的核心生產技術、知識產權、重要的生產工藝配方、科研數據、設計圖紙、方案文件以及客戶資料、財務數據等生產信息和經營信息，關系著企業的核心競爭力，反映了企業的經營發展狀況。一旦中央企業在信息化管理過程中因網絡安全與保密工作不到位，引起信息丟失或擴散，將會直接影響企業行業優勢，導致戰略決策和經營生產的困難。例如關鍵生產技術的信息泄漏，會導致企業在專業技術領域或業務市場中失去競爭優勢；客戶資料失竊會引發社會層面的公關問題，給企業聲譽帶來嚴重損失；企業戰略計劃方案的泄漏，將會給他人帶來可乘之機，使競爭企業可以提前謀劃，搶占市場，我方企業可能會失去行業和市場的優勢地位。無論是哪一種失泄密事件的出現，最終都會對企業的生產經營和長期發展產生難以估量的影響；由于中央企業特殊的市場地位，甚至會造成國際影響和社會輿情。所以中央企業在信息化轉型模式下，應當從以往失泄密事件中得到警醒，在前車之鑒中吸取經驗教訓，走出以往傳統管理模式的局限誤區，將信息網絡安全工作與保密管理工作提上日程，進一步保障中央企業的信息安全[1]。唯有這樣，中央企業才能夠在新型信息技術的支撐下，在新時代經濟時期長久發展與生存。

2中央企業安全管理與保密工作的隱患因素與薄弱問題

2.1網絡安全隱患

2.1.1網絡業務復雜，互聯網暴露面大為響應國家網絡強國的號召，中央企業已將內部專線與移動5G、IPv6等技術相結合作為企業網絡建設的重要方向，這使得內部網絡可以獲得更快的速度、更好的擴展性和更強安全性。但在方便業務系統聯通的同時，也方便了系統入侵、病毒傳播、數據竊取。近年來，通過互聯網攻擊入侵企業服務器進行“挖礦”的事件層出不窮，對企業的信譽造成了嚴重損害；勒索病毒改變了傳統病毒破壞數據、阻塞網絡、損壞硬件的方式，通過對重要數據進行高強度加密，讓受害企業只能交錢就范，買回數據，且病毒一旦在內部網絡傳播，對前期發現、中期清除和后期溯源工作都帶來了極大的挑戰；互聯網網站、企業信息系統數據庫拖庫事件頻發，造成企業和人員信息泄漏的同時，也為不法人員的進一步網絡攻擊提供了便利。以上的網絡攻擊多數都是通過互聯網進行，但互聯網的使用已經深入到了企業日常生產經營的各個方面。企業為了自身宣傳和便于日常工作，建立了互聯網門戶、采購交易等網站和移動辦公、差旅管理等移動應用；由于行業監管、信息公開和業務發展的需要，中央企業的部分信息系統需要與主管部門和地方政府的互聯網政務平臺連接；企業員工需要與外部人員進行日常的工作交流和信息傳遞，及時通訊工具、互聯網郵箱、網盤的使用不可或缺[2]。中央企業的信息系統使用在這個問題上，存在兩種極端情況：一是消極保安全，直接采用“一刀切”的管理模式，直接以物理隔斷的方式將企業內部網絡與公網對接，雖然可以避免由于網絡連通導致的信息失竊和網絡攻擊，但長此以往由于企業內部網絡環境始終處于與外界隔離狀態，沒有基本的信息交互，就會出現“信息孤島”效應，嚴重阻礙了企業信息化水平發展，也對人員辦公造成不便，降低了工作效率；二是未采取任何隔離防護措施，直接將內網與互聯網連接，使各類信息系統和辦公計算機暴露在互聯網上，用于商業秘密和企業敏感信息的信息系統和處理終端未加以區分，移動存儲介質的管理比較隨意，使用人員的登記不規范，存在較大失泄密風險。2.1.2信息系統建設業務面廣，人員管理困難中央企業擔負著強化主責主業，發揮國民經濟“穩定器”和“壓艙石”的作用，而多數中央企業并非專業的網絡技術公司，所以多數內部管理人員和業務人員缺乏基礎的網絡安全技術知識，信息系統使用過程中將電子文件隨意的保存，通過不安全的設備和網絡進行處理傳遞，存在較大的失泄密風險，極易造成企業敏感信息擴散。從人員編制和用人成本的考慮，多數中央企業在系統開發和網絡運維工作的用工制度多樣，存在著大量的勞務派遣、項目外委、廠商駐場的開發和運維人員，這類技術人員普遍年輕有活力，但政治敏銳性不強、人員流動性大、缺乏管理約束，工作中網絡安全技術欠缺，保密知識和保密常識不足，容易因麻痹大意導致網絡安全事件或失泄密事件，成為了網絡安全保密工作的短板[3]。

2.2信息化和數字化成果多樣，供應鏈攻擊難以防范

隨著中央企業數字化事業的多年發展，主營業務與信息系統深度融合，云計算、大數據、物聯網應用多種多樣，形成了繁多復雜的信息系統集群。各信息系統集群是由不同子系統通過多次迭代開發完成，其中使用了大量的外部軟硬件產品，這些軟硬件產品不但品類繁多，而且來源復雜。目前開源軟件和免費軟件成為漏洞攻擊的重點，尤其是通用性強的中間件產品更是發現問題的重災區。相應的，payload（有效載荷）迅速在網上擴散，極大降低了漏洞的利用門檻，使一些初級“黑客”可以輕易的利用，隨之而來的就是由于初級“黑客”知識的欠缺，造成對系統的破壞不可控。雖然軟件社區和安全廠商會快速跟進漏洞的驗證和修復，發布poc（概念驗證）和安全補丁，但也極大加重了運維人員的負擔。近年來國產軟件硬件屢屢取得突破，但其中大量產品都應用了國外產品或使用了開源技術，這就對產品的安全可靠性提出挑戰，例如國外的產品是否存在設計缺陷和漏洞，是否存在后門，如評估終止產品供應或中斷服務將對整個信息系統產生何用影響；開源的產品是否安全，后續的升級和服務如何保障等等。即使是完全國內自主開發的產品也同樣存在自身的安全問題，如安全漏洞能否被及時發現，廠商能否第一時間提供安全補丁進行修復，安全威脅能否及時得到解決等。

3加強中央企業網絡安全與保密的對策措施

3.1提高政治意識，強化信息化頂層設計布局

中央企業要首先明確政治站位，要從國家發展的角度統籌發展和安全，堅持總體國家安全觀，牢固樹立“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”“保密就是保黨的長期執政地位、保國家安全、保人民幸福、保民族復興”的意識，要兼顧數字化事業發展和安全保密，不能盲目追求速度和便利而不顧安全保密，也不能因噎廢食將數字化轉型停滯不前。中央企業的數字信息化轉型，要遵循《“十四五”國家信息化規劃》，強化中央企業信息化轉型的頂層設計，將網絡安全防護能力作為一項基本建設要求，促進中央企業自有業務與信息化系統應用的深度結合，通過人防、物防、技防多位一體地開展系統化、工程化的網絡安全與保密工作。

3.2建設內緊外松的信息網絡，提高網絡安全防范能力

對于中央企業來說，通過內外網對接實現信息傳輸，是多數核心業務不可避免的內容，在網絡設計中應遵循《中央企業商業秘密安全保護技術指引》，設計出符合自身業務實際的網絡，制定高效、便捷、安全、可靠的網絡隔離方案。可采取以下措施：一是通過網閘等隔離設備實現數據的可控交換和網絡協議的斷開，在有效縮小企業內部系統在互聯網的暴露的同時，保證內外網的相互獨立運轉和數據的高效聯通，避免因內外網隔離造成的工作不便。二是加強辦公電腦和移動存儲介質的管控，避免優盤、移動硬盤的數據擺渡行為，避免“病”從“口”入。三是堅持信息系統建設與網絡安全的同步規劃、同步建設、同步使用，在系統建設之初除了考慮到系統自身的安全性以外，還要考慮系統的安全功能，如文件和屏幕的水印（盲水印）、電子簽章、打印審計等。四是加強移動應用和移動終端的管控，結合移動應用的使用場景，在數據擦除、遠程管理等方面提出更高的安全防護要求。五是精細化網絡日常管理，適當收攏互聯網出口，細化網絡訪問控制策略，規范信息系統授權，使網絡安全的日常管理切實有效開展。六是在企業內部定期展開網絡安全攻防演練，動態評估企業網絡安全防護工作水平，對查找發現的問題及時分析處理，并形成長效處置機制[4]。

3.3以安全保密為推手，加強人員和供應鏈管理

中央企業的保密工作相較于網絡安全起步早，有著十分豐富的管理經驗和能力積累，各類管理制度完善，保守國家秘密是每個公民應盡義務的觀念更是深入人心。在中央企業的信息網絡、信息系統、信息設備均可以按照所承載數據的涉密情況進行分級分類，制定不同的管理策略和保障等級，選擇合適的軟件廠商、選用安全可靠的硬件設備，配備適當的運維保障人員，從而實現對信息系統的重點、動態、適度防護。加強對中央企業員工的保密教育培訓，提高全員保密意識，掌握保密知識和技能，知曉工作中的保密紅線和底線，約束日常工作中的行為。加大網絡安全和保密工作的獎懲力度，對有突出貢獻的人員進行獎勵，對過失行為人和相關部門負責人進行嚴肅處理，遵守國家法律法規，維護企業內部的保密工作紀律，最大程度避免失泄密事件的發生。專業的人做專用的工作。中央企業可適當引入背景可靠、技術過硬的第三方安全廠商作為技術支持，構建由內而外、由易到難的技術支撐團隊，及時有效的獲得安全咨詢和行業動態，始終保持敏銳的態勢感知能力。

3.4各類管理部門齊抓共管形成合力，賦能數字化業務安全發展

我國信息化發展正處于內外部環境的深刻變化中，新一輪的科技革命和產業變革為中央企業的網絡安全和保密工作的發展提出了新的挑戰。在中央企業的內部管理中，網絡安全和保密管理分屬不同管理部門，面對數字化轉型和信息化發展面臨的挑戰，各部門應在業務模型設計、數據分類、人員管理、設備管理、數據回收、監督檢查等方面的相互配合，強化優勢，彌補短板，形成合力，在中央企業內部形成無死角的網絡安全防御機制。利用齊抓共管的網絡安全和保密管理模式，建設可靠高效的信息系統，賦能數字化業務安全發展，提高中央企業的核心競爭力。綜上所述，隨著中央企業信息化業務的發展，系統的應用情景中存在著互聯網暴露面大、技術人員管理困難、供應鏈管控不足三類安全風險隱患，因此需要企業站在統籌規劃的角度上分析網絡安全形勢，認清網絡安全與保密管理工作對于信息化轉型期企業發展的重要意義。在網絡安全和保密工作相互借鑒的基礎上，通過網絡安全的技術規范提高信息系統的技術防護能力，借鑒保密管理積累的經驗加強制度建設和人員管控，綜合人防、物防、技防手段，配齊安全防護保障、優化安全防護策略，全面提高中央企業的網絡安全與保密工作的質量，賦能產業數字化轉型和企業安全穩定發展。

參考文獻：

[1]邵琳，劉源.計算機網絡安全防護系統設計研究[J].電子世界，2022（02）：92-93.

[2]熊寧.國有企業數字化轉型中的網絡安全防護與保密管理[J].網絡安全技術與應用，2021（07）：118-119.

[3]羅昱，盛夢婷.計算機網絡中的氣象數據保密與安全防護措施研究[J].中國新通信，2019，21（17）：134.

[4]白雪.信息化時代計算機網絡安全防護技術的研究[J].產業科技創新，2019，1（06）：53-54.

作者：張琦 單位：國能信息技術有限公司