中央企業在國家網絡安全保障中的作用研究

林 濤，張向宏

(中國信息安全研究院，北京 100091)

0 引言

在我國網絡安全的保障體系中，中央企業有著不可替代的作用，主要有兩個方面的體現：一是作為供給側。中央企業作為生產者，在國家網絡安全保障中，擔負著提供技術、產品和服務的重要職責。從產業劃分來看，中央企業的產業支撐保障門類主要包括三種類型：提供自主可控信息技術產品和裝備、提供網絡安全防護技術產品和裝備、以及提供網絡安全服務。二是作為需求側。中央企業是重要信息系統和基礎信息網絡的運營者，其自身安全就是國家安全的題中之義。絕大部分關系國計民生和社會發展的重要信息系統由中央企業負責運營，涉及國民經濟發展的重要行業，包括金融、電力、石油、煤炭、鐵路、民航、電信、軍工等。

1 中央企業在保障我國國家網絡安全中作用的現狀及存在問題

2003年國務院國有資產監督管理委員會成立以來，高度重視中央企業網絡安全工作，先后制定了多部政策法規，如《中央企業商業秘密保護暫行規定》(國資發[2010]41號)、《關于加強“十二五”時期中央企業信息化工作的指導意見》(國資發[2012]93號)等，并積極組織開展央企網絡安全工作；同時，各大央企也紛紛行動，在網絡安全領域開展了大量工作，并取得了明顯成效。盡管如此，困擾網絡安全能力持續提升的深層次問題依然存在，阻礙了央企作用的全面深入發展。

一是缺乏頂層設計。對于中央企業在國家網絡安全工作中重要性的認識雖不斷提升，但在推進實施方面，缺乏頂層規劃和指導。當前，國家《網絡空間安全戰略》已經發布，《網絡安全法》已進入實施階段，但對于如何進一步發揮央企在國家網絡空間安全中的作用，仍缺少實施層面的統一規劃部署，這與央企在國家網絡安全和信息化發展中的地位極不相稱，不利于央企網絡安全相關工作的持續發展。

二是技術發展存在嚴重短板。一方面，我國在PC機、Windows操作系統以及基于TCP/IP協議的互聯網應用上，在設計之初均未充分考慮程序校驗、數據傳輸保護等問題，導致網絡安全防護存在“先天不足”，這是當前信息系統面臨網絡安全問題的主要原因。另一方面，我國信息技術發展存在空白點，缺乏統一的技術方案和路線，造成產業支撐能力的嚴重不足，網絡安全核心技術和產品受制于人，國家網絡安全面臨更大挑戰。

三是產業發展受制于人。我國網絡安全產業在發展過程中，產品、服務乃至產業發展面臨全面受制于西方發達國家的窘境。從公開的數據統計來看，我國重要信息系統和工控系統產品主要依賴國外，配套網絡安全服務能力較弱，與國家網絡安全保障需求存在較大差距。同時，國外企業還把持著涉及到網絡安全的戰略咨詢、審計、測評認證等關鍵服務業務。例如，IBM等外企為國內企業提供全面的信息安全咨詢服務，而普華永道、德勤、畢馬威、安永“四大”會計師事務所控制并試圖壟斷我國的會計審計業，許多國有企業和銀行基本沒什么商業秘密可言。通過提供信息安全服務，國外企業可以獲取我國政府部門關鍵信息基礎設施的重要信息數據。

2 中央企業在保障國家網絡安全中的目標任務

做好網絡安全工作，是央企的重要歷史使命，是履行社會責任的重要體現，新時期強化中央企業的網絡安全保障作用，總體目標應是培養和形成自主可控的網絡安全技術，確保國家網絡基礎設施安全，增強和促進國家網絡安全整體水平，服務國家安全體系的構建。包括兩個具體目標：一是壯大網絡安全產業力量，培育以中央企業為龍頭、社會力量廣泛參與的網絡安全產業生態系統和產業鏈，全面提升網絡安全技術、產品和服務支撐保障能力；二是鞏固和提高中央企業自身網絡安全能力，確保國家關鍵信息基礎設施網絡和重要信息系統安全運行。

實現央企在保障國家安全中發揮重要作用，需要將總體目標細化分解為兩項重點任務。一是培育重點企業，立足中央企業自身基礎和發展定位，集中資源和力量，將其培養成國家網絡安全和信息化主要裝備和服務的提供商。二是強化重點領域網絡安全，分階段、分步驟確保國家金融、電力、交通等重點行業網絡基礎設施安全，以點帶面，全面實現網絡安全水平的提升。

3 措施建議

采取綜合措施，體系化推進央企網絡安全水平和保障能力建設，全面實現央企在國家網絡安全保障體系中的作用。建議從強化頂層設計、加強技術創新、推進產業協同、實現重點突破四個方面著手推進。

3.1 強化頂層設計

盡快出臺《中央企業網絡安全和信息化發展戰略》，確立中央企業在國家網絡安全中的角色定位。一是進行統一規劃。明確在新形勢下，我國加強網絡安全的內外環境、目標任務、重點工作、保障措施和體制機制等，探索基于我國國情的網絡安全保障應對策略。二是進行合理布局。突出中央企業在國家網絡安全和信息化中的保障主體作用，使之成為國家網絡安全的主力裝備提供商，統一配置資源，相互協調分工。三是進行重點引導。強化央企在各自行業的網絡安全保障作用，加大對國家關鍵信息基礎設施的保障力度。

3.2 加強技術創新

在國家加大對網絡安全企業科技投入力度的同時，央企要積極承擔起提供關鍵技術和核心設備的責任。加強核心關鍵技術產品和服務的研制開發，重點突破自主可信、安全防護、安全服務等關鍵領域，服務國家戰略發展需求。

3.3 推進產業協同

通過軍民轉化、軍民復用的方式推進軍民融合發展，實現關鍵技術、安全演練、信息資源等方面的有效融合。一是推進關鍵技術的軍民融合。部分關鍵技術可由軍隊先行研制，再推廣到民用，然后再反饋給軍方，實現關鍵技術產品的軍民轉化。二是推進安全演練的軍民融合。建立模擬實驗環境，吸納軍民力量參加，配合進行攻防演練，共同提升網絡安全保障水平。三是推進信息資源的軍民融合。適度開放部分網絡設施和信息資源，由中央企業帶頭，吸納民間技術力量充分參與到國家網絡安全建設中，擴大國家網絡安全保障的支撐力量。

3.4 實現重點突破

強化國家網絡安全。在涉及國計民生的金融、能源、糧食、交通等領域，強化對工控系統及重要信息系統的安全保障。通過實施重點保障工程，推動在工控系統和重要信息系統領域的網絡安全能力建設。一是在工業控制系統領域，重點打造工業控制系統網絡安全研發能力建設平臺[6]，研發具有中國自主知識產權的安全工控技術、產品和系統等，形成國家工控安全領域的核心競爭力。重點打造面向關鍵行業工業控制系統網絡安全保障體系建設平臺，研制工業控制系統的網絡安全設備以及監控管理系統等。二是在重要信息系統領域。重點打造重要信息系統體系化網絡安全防護平臺，研制以數據保護等為核心的系列化信息系統安全防護產品等。重點打造重要信息網絡自主專用安全支撐技術研發與產業化平臺，研究專用安全芯片和高可靠基礎專用安全設備產品服務及其支撐應用等。

4 結語

目前，中央企業在信息安全保障中發揮的作用遠低于預期，所暴露的問題也較為突出，央企發揮的作用與其應當承擔的使命與責任不相匹配，無法滿足信息安全嚴峻形勢對產業提出的急切需求。加強對中央企業在信息安全保障中的作用的研究刻不容緩，應首先明確和強化央企在保障國家信息安全的雙重角色，再以供給側、需求側并舉的思路，加快探索并深入推進央企在保障國家信息安全中的作用。

[1] 國家工業信息安全發展研究中心.工業和信息化藍皮書(2016-2017)[M].北京：社科文獻出版社出版，2017.6.

[2] 芮曉武.構建科學發展體系,推動產業由大到強[J].工業經濟論壇，2014(1):102-110.

[3] 張向宏,林濤.美國信息安全立法概況及啟示[J].保密科學技術，2012(11):6-13.

[4] 林濤.美國近期信息安全立法及其戰略思路研究[J].中國信息安全，2013(4):68-71.

[5] 盧坦，林濤，梁頌.美國工控安全保障體系研究及啟示[J].保密科學技術，2014(4):27-33.

[6] 劉仁輝，張尼，吳云峰.構筑工業互聯網安全防護體系 為推動先進制造業發展保駕護航[J].信息技術與網絡安全，2018,37(1)：23-24,29.