關于國有企業信息系統安全等級保護建設的思考

張冬樂

【關鍵詞】國有企業;信息系統;安全等級保護;等保2.0

《中國人民共和國網絡安全法》明確了網絡空間的主權原則，將網絡安全工作提高到法律高度，體現了網絡安全作為國家戰略的決策，也為等保2.0建設提供了法治基礎，標志著我國全面進入信息安全2.0時代。等保2.0要求國有企業從被動防御轉向主動防范風險，網絡安全不再是一次性安全設施投入，“合規”將成為常態需求。在新的等保要求下，國有投資企業只有構建感知、檢測、響應、預防的閉環管理才能實現網絡安全風險全生命周期管理。

《中國人民共和國網絡安全法》已經將等級保護制度上升為法律，等級保護從傳統的信息系統層面上升到了網絡空間安全的層面，等保2.0的定級方式更加規范化，等保2.0的定級并不是1.0標準下的用戶自主定級，而是需要參照定級指南進行定級，確保等保工作更加規范化。除了滿足等保1.0時代定級、備案、建設整改、等級測評和監督檢查五個規定流程外，等保2.0把風險評估、安全監測、通報預警、事件調查等措施全部納入等級保護制度并加以實施，保護對象也從傳統的網絡和信息系統向“云大物智移”擴展[1]。

（一）信息安全問題表現形式復雜化

投資型國有企業可以被看成是金融行業的一個分支，因此面臨的網絡攻擊類型相對集中，主要包括惡意掃碼、網絡攻擊、木馬蠕蟲和拒絕服務攻擊。安全攻擊頻次高，攻擊來源集中。特別是投資行業的業務鏈條較長，涉及多個線上線下相結合的復雜業務場景，影響投資型公司信息安全的風險因素較多，風險管控復雜。

（二）信息系統安全等級保護建設必要性

《中國人民共和國網絡安全法》要求國有企業在發現網絡產品、服務存在安全缺陷、漏洞等風險時，應當及時向用戶告知并采取補救措施，否則企業負責人及相關安全責任人會受到不同程度的處罰。因此，國有企業應對公司網站及重要信息系統開展全面審查，對信息系統進行網絡安全等級保護定級和測評工作，完成信息系統的等級保護測評及備案。關鍵信息基礎設施和信息系統的信息安全等級保護工作能夠切實加強國有企業信息系統防泄密、防滲透、防阻斷的能力，降低公司信息被泄露的風險。

（三）國有企業網絡安全成熟度有待提升

等保2.0建設是貫穿在網絡安全管理過程中的一項最重要的工作，在審視國有企業網絡安全管理工作時，企業規模和所處行業也同樣是等保建設能否推進落實的重要考量因素。隨著網絡安全創新技術的加速發展，信息技術和運營技術相互融合，等保2.0建設將幫助國有企業增強網絡安全防護需求，賦能網絡安全新格局。企業員工的網絡安全意識、IT部門的網絡安全職責和對應的問責機制都應成為每個國有投資型企業內部管理職能的一部分[2]。

（一）確保國有企業董事會和管理層積極參與

缺乏管理層支持或資金不足是等保2.0難以推進和落實的直接原因，也是企業在管理網絡安全方面所面臨的最大挑戰。通過調查發現，那些已經成功完成等保2.0建設的企業，他們的董事會及公司高層管理者對網絡安全的關注不僅局限于日常的工作匯報，而是幾乎對總體網絡安全策略、威脅和安全風險審查、網絡安全項目進展、安全漏洞、第三方泄露風險、網絡安全測試結果以及網絡安全風險對公司主營業務產生的影響有著更大興趣。因此，等保2.0建設的有效落實離不開公司高級管理層的重視與參與，對公司董事會進行大力宣貫可提升高級管理層參與度，只有將網絡風險和財務風險以及企業其他風險給予同等程度的重視與監控，才能有效推進信息系統等級保護建設。

（二）提高網絡安全在國有企業內部的影響力，不僅局限于IT部門

網絡威脅越來越被認為是國有企業所面臨的最關鍵的風險之一，如今網絡安全所面臨的已不僅僅是技術挑戰，那些已成功完成等保2.0建設的企業已經充分認識到提高信息安全管理的重要性。網絡安全是鏈接IT部門與公司各個業務部門之間的關鍵職能，但信息系統等級保護建設的推進工作不能僅僅依靠于企業IT部門，它是需要企業內所有部門配合才能夠完成的，因此等保建設工作的推進更應該在IT部門以外的其他部門提升網絡安全影響力，提升全員網絡安全意識。

（三）構建人才保障體系

信息系統安全等級保護建設工作的開展，需要統籌協調公司內部及外部IT資源。要想等保2.0工作有效推動及落實，就必須解決技術人員匱乏問題。IT人員短缺削弱了加強防御的能力，許多中小企業尋求外包人才援助，是提高自身對網絡安全風險的防范、節約公司人工成本、更快應對網絡攻擊的一種手段，但更有效的管理模式還是鼓勵有條件的國有企業去配備專業的信息化管理人員，專職開展信息系統等級保護建設工作，將網絡安全專業人才保障計劃納入公司整體戰略規劃[3]。

（四）將網絡安全與國有企業業務發展戰略緊密協同

在當今日益數字化、數據驅動的社會中，日常業務活動從內到外很大程度依賴于信息技術。特別是投資行業的國有企業，更容易面臨網絡威脅。投資公司增加云的使用以加速轉型和釋放資源，但云的使用仍可能會產生網絡安全問題，因為核心系統和關鍵數據基本上都被移動到了第三方，雖然服務提供商對其硬件和軟件的安全負責，但確保云安全這項工作的最終責任仍在托管公司，任何第三方云方面的問題都可以對投資公司的投資業務產生巨大的影響。因此，將網絡安全需要與企業整體業務戰略緊密相連意義重大，網絡安全管理工作所面臨的最大挑戰是業務的增長與拓展過程中核心數據安全性，有效應對業務增長所帶來的網絡安全挑戰尤為重要。只有將網絡安全策略更好的與業務策略保持一致才能有效辨識出新的網絡安全風險，例如未經授權的系統訪問，網絡風險監測和響應能力不足等，最終促進國有企業等保2.0建設有效推進和落實。

網絡安全是企業信息化建設的重要分支，大部分國有企業網絡安全占信息化投入比例仍明顯不足，隨著網絡安全法的普及，等保2.0使得網絡安全從被動防御向主動防御演進，數據驅動安全成為新時期信息安全的核心，等保 2.0建設催生網絡安全新需求，是國有企業提升數據安全防護能力采取的必要手段。