國有企業(yè)數(shù)字化轉(zhuǎn)型中的網(wǎng)絡(luò)安全防護(hù)與保密管理

◆熊寧

（中國電子科技集團公司第七研究所 廣東 510310）

隨著5G、云計算、區(qū)塊鏈、工業(yè)互聯(lián)網(wǎng)、人工智能等新技術(shù)以及新型基礎(chǔ)設(shè)施的建設(shè)與發(fā)展，傳統(tǒng)的經(jīng)營模式已不能滿足國有企業(yè)的發(fā)展，數(shù)字化轉(zhuǎn)型勢在必行。2020 年8 月，國務(wù)院國資委正式印發(fā)《關(guān)于加快推進(jìn)國有企業(yè)數(shù)字化轉(zhuǎn)型工作的通知》，也為國有企業(yè)數(shù)字化轉(zhuǎn)型明確了方向、重點和舉措。

國有企業(yè)作為我國國民經(jīng)濟的關(guān)鍵，往往集中在關(guān)系國家安全和控制國民經(jīng)濟命脈的行業(yè)和領(lǐng)域中，其產(chǎn)品研發(fā)、生產(chǎn)活動、經(jīng)營策略等，往往涉及國家安全、先進(jìn)技術(shù)、國家政策等。而在數(shù)字化轉(zhuǎn)型的過程中，涉密程度高、企業(yè)層級多的國有企業(yè)一般會建設(shè)和使用“內(nèi)網(wǎng)”和“外網(wǎng)”，“內(nèi)網(wǎng)”是指與互聯(lián)網(wǎng)物理隔離的涉密生產(chǎn)網(wǎng)絡(luò)（內(nèi)網(wǎng)），主要用于產(chǎn)生、處理和傳輸企業(yè)中的國家秘密及直接關(guān)系企業(yè)利益的商業(yè)秘密，承載核心生產(chǎn)鏈和業(yè)務(wù)鏈；“外網(wǎng)”是指互聯(lián)網(wǎng)，主要用于收集公開信息、情報和企業(yè)宣傳。有些涉密程度不高或不直接產(chǎn)生國家秘密的國有企業(yè)會建設(shè)與互聯(lián)網(wǎng)邏輯隔離的辦公網(wǎng)，用于日常辦公，存儲和處理商業(yè)秘密，使用涉密單機存儲和處理國家秘密信息。其安全防護(hù)和保密管理任務(wù)重大。一旦網(wǎng)絡(luò)安全得不到保障，將會出現(xiàn)失泄密隱患。為了保證國有企業(yè)秘密的安全，應(yīng)明確網(wǎng)絡(luò)安全保密管理與防護(hù)工作具體事項，推動國有企業(yè)長遠(yuǎn)發(fā)展。

1 影響國有企業(yè)數(shù)字化轉(zhuǎn)型中網(wǎng)絡(luò)安全和保密管理的因素

1.1 病毒因素

病毒對網(wǎng)絡(luò)安全的影響具有突發(fā)性、擴散性、隱秘性等特點。而且，新技術(shù)的提升也必然帶來計算機病毒的破壞力和隱秘性提升，對網(wǎng)絡(luò)安全和保密管理的威脅將越來越大。國有企業(yè)數(shù)字化進(jìn)程中，各種生產(chǎn)經(jīng)營任務(wù)和數(shù)據(jù)信息逐步遷移到網(wǎng)絡(luò)中運行，對網(wǎng)絡(luò)的依賴程度大大提高，甚至其生產(chǎn)經(jīng)營會受制于網(wǎng)絡(luò)。一旦網(wǎng)絡(luò)系統(tǒng)中某個終端計算機感染了病毒，將會急速擴散到網(wǎng)絡(luò)中，破壞業(yè)務(wù)系統(tǒng)，損壞網(wǎng)絡(luò)中的和網(wǎng)絡(luò)終端的信息，最終導(dǎo)致企業(yè)的生產(chǎn)運行受阻。若是擺渡木馬、竊密木馬，更會竊取走企業(yè)的核心秘密，直接影響企業(yè)的經(jīng)濟效益，甚至危害國家安全。

1.2 網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)的開放性、透明性特點，在方便用戶的同時，也間接給不法分子滲入網(wǎng)絡(luò)系統(tǒng)提供了便利。國有企業(yè)數(shù)字化后，很多信息如企業(yè)的發(fā)展現(xiàn)狀、發(fā)展方向以及一些數(shù)據(jù)會呈現(xiàn)給大眾，便于國民獲取相關(guān)信息。這種開放式的信息也給不法之徒通過非法渠道獲取進(jìn)入企業(yè)網(wǎng)絡(luò)系統(tǒng)的權(quán)限，并利用這些權(quán)限開展網(wǎng)絡(luò)攻擊，獲取用戶信息以及企業(yè)數(shù)據(jù)，致使重要的信息被盜取，還為計算機網(wǎng)絡(luò)埋下眾多的安全隱患，給國企造成嚴(yán)重的經(jīng)濟損失[1]。

1.3 人員因素

國有企業(yè)在轉(zhuǎn)型時，容易忽視網(wǎng)絡(luò)安全人才資源的投入和企業(yè)員工信息安全素養(yǎng)和保密能力的提升。一方面，網(wǎng)絡(luò)安全人員的數(shù)量、素質(zhì)和能力直接影響了網(wǎng)絡(luò)安全防護(hù)工作的效果。若網(wǎng)絡(luò)安全人員數(shù)量不足，各項防護(hù)措施必然難以落實落細(xì)；網(wǎng)絡(luò)安全人員素質(zhì)和能力不夠，則無法及時發(fā)現(xiàn)網(wǎng)絡(luò)防護(hù)中的風(fēng)險和隱患，并提出改進(jìn)措施。另一方面，企業(yè)數(shù)字化對企業(yè)員工的信息安全素養(yǎng)、保密意識和保密能力提出了更高的要求。尤其是國有企業(yè)中國家秘密、商業(yè)秘密和普通信息并存的情況下，員工不掌握信息安全知識和技能，點開不明鏈接或網(wǎng)頁以致感染病毒，在“內(nèi)網(wǎng)”和“外網(wǎng)”中交叉使用移動存儲介質(zhì)，無法準(zhǔn)確區(qū)分國家秘密、商業(yè)秘密和普通信息，將帶密信息上存、發(fā)布到互聯(lián)網(wǎng)上等，都可能造成過失泄密。

2 數(shù)字化轉(zhuǎn)型過程中存在的網(wǎng)絡(luò)安全和保密管理問題

2.1 缺乏頂層設(shè)計

國有企業(yè)數(shù)字化已經(jīng)存在了很長一段時間，如今在國家的統(tǒng)籌推動下，更多的是通過局部整改、查漏補缺、新增應(yīng)用等手段進(jìn)一步加強和完善。但這種做法，往往會缺乏頂層設(shè)計，沒有專門對網(wǎng)絡(luò)系統(tǒng)內(nèi)部存在的問題進(jìn)行深入解析與處理，提出系統(tǒng)的解決方案，間接導(dǎo)致網(wǎng)絡(luò)安全能力分散，難以與網(wǎng)絡(luò)安全管理與防護(hù)實際需要匹配起來。同時，國有企業(yè)業(yè)務(wù)多，各個業(yè)務(wù)系統(tǒng)的運管人員各自為政，忽視各個業(yè)務(wù)系統(tǒng)之間的聯(lián)動與協(xié)同作業(yè)，無法最大限度地發(fā)揮其系統(tǒng)安全防護(hù)效能。此外，企業(yè)中網(wǎng)絡(luò)安全防御系統(tǒng)難以全面覆蓋整個企業(yè)的網(wǎng)絡(luò)系統(tǒng)，數(shù)字化業(yè)務(wù)方面的運維和相關(guān)標(biāo)準(zhǔn)還有較大的差距，進(jìn)而影響國有企業(yè)數(shù)字化轉(zhuǎn)型的進(jìn)程[2]。

2.2 工控安全問題

在數(shù)字化轉(zhuǎn)型的過程中，不僅需要技術(shù)作為轉(zhuǎn)型支持，對運行設(shè)備本身的要求也極高。目前，很多國有企業(yè)的工控系統(tǒng)、關(guān)鍵設(shè)備需從國外進(jìn)口，日常運維具有較大難度，管理與防護(hù)的費用較高，且極易出現(xiàn)系統(tǒng)漏洞，為網(wǎng)絡(luò)安全埋下安全隱患。此外，涉密業(yè)務(wù)數(shù)字化對網(wǎng)絡(luò)安全和保密管理的要求更嚴(yán)更高，在業(yè)務(wù)重構(gòu)和數(shù)據(jù)治理過程中，運管人員容易忽視保密管理要求，未對工控系統(tǒng)網(wǎng)絡(luò)內(nèi)部進(jìn)行分區(qū)、分域隔離，使網(wǎng)絡(luò)安全系統(tǒng)的管理與防護(hù)手段不能滿足相關(guān)要求，進(jìn)而起不到系統(tǒng)的保護(hù)作用。

2.3 技術(shù)發(fā)展挑戰(zhàn)

信息技術(shù)的發(fā)展，使國有企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)變得更加復(fù)雜，同時也使企業(yè)數(shù)據(jù)信息朝著集中化發(fā)展，多種形式的演變會加劇企業(yè)網(wǎng)絡(luò)安全風(fēng)險，并在多樣化系統(tǒng)的作用下，衍生出新類型的網(wǎng)絡(luò)風(fēng)險，為運管人員網(wǎng)絡(luò)安全的管理與防護(hù)工作以及企業(yè)保密工作增加了難度。原有的網(wǎng)絡(luò)安全構(gòu)架以及設(shè)施設(shè)備是否能夠滿足新技術(shù)實施的要求，能夠滿足國家有關(guān)保密法律法規(guī)和規(guī)章制度標(biāo)準(zhǔn)要求，能否可以將數(shù)字化轉(zhuǎn)型中企業(yè)網(wǎng)絡(luò)虛擬化、數(shù)據(jù)集中等優(yōu)勢展現(xiàn)出來，能否有效防控能夠有效識別系統(tǒng)安全和數(shù)據(jù)安全風(fēng)險隱患，確保其在發(fā)生安全風(fēng)險時能夠及時找到相關(guān)的解決措施進(jìn)行應(yīng)對等，都將成為企業(yè)數(shù)字化轉(zhuǎn)型中必須考慮的網(wǎng)絡(luò)安全問題。

3 加強網(wǎng)絡(luò)安全防護(hù)與保密管理的有效措施

3.1 加強頂層設(shè)計與規(guī)劃

國家提出，推動國有企業(yè)數(shù)字化轉(zhuǎn)型，要實現(xiàn)新一代信息技術(shù)與制造業(yè)的深度融合，促進(jìn)國有企業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展。數(shù)字化轉(zhuǎn)型是一項極為復(fù)雜的系統(tǒng)性工程，而其中的安全防范能力是數(shù)字化轉(zhuǎn)型成功與否的重要支撐和保障。應(yīng)把加強網(wǎng)絡(luò)安全納入數(shù)字化建設(shè)的重要內(nèi)容，做好頂層設(shè)計，通過技術(shù)手段構(gòu)建系統(tǒng)化、工程化的網(wǎng)絡(luò)安全防御系統(tǒng)，進(jìn)而提高網(wǎng)絡(luò)風(fēng)險的管控能力，有效降低網(wǎng)絡(luò)攻擊、病毒攻擊的風(fēng)險概率。此外，也應(yīng)建設(shè)互聯(lián)網(wǎng)統(tǒng)一出口的安全防護(hù)，提升網(wǎng)絡(luò)安全管理與防護(hù)的能力，最大程度發(fā)揮網(wǎng)絡(luò)安全構(gòu)架的作用。組建專業(yè)的技術(shù)小組，在此基礎(chǔ)上使網(wǎng)絡(luò)安全能力更具體系化，深入完善安全防御系統(tǒng)，為企業(yè)數(shù)字化轉(zhuǎn)型奠定堅實的網(wǎng)絡(luò)安全基礎(chǔ)[3]。

3.2 加強體系建設(shè)與體系對抗能力

國有企業(yè)加強體系建設(shè)與體系對抗能力是提升企業(yè)轉(zhuǎn)型中網(wǎng)絡(luò)安全管理與防護(hù)的舉措之一，通過提高管控力度，從根本上增強網(wǎng)絡(luò)系統(tǒng)的運行安全。國有企業(yè)網(wǎng)絡(luò)安全保密管理工作加強管控的基礎(chǔ)是管理體系的持續(xù)改進(jìn)與對抗能力的提升。

（1）完善精細(xì)化的信息安全保密管理體系

信息安全保密制度體系是企業(yè)網(wǎng)絡(luò)安全的管理準(zhǔn)則和控制流程，是實現(xiàn)企業(yè)網(wǎng)絡(luò)可管、可用、可控、可查、可審、可追溯的基礎(chǔ)。采用精細(xì)化管理有利于網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)運管人員的責(zé)任落實，實現(xiàn)工作內(nèi)容和責(zé)任相互匹配，達(dá)到制度的全面執(zhí)行及細(xì)節(jié)處理的程序化。可通過4 個方面提升制度體系的精細(xì)化升級：一是明確用戶、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)運維的崗位與責(zé)任主體。二是梳理信息安全保密管理業(yè)務(wù)流程。三是編制操作規(guī)程。四是制定應(yīng)急預(yù)案。在完善制度持續(xù)改進(jìn)的基礎(chǔ)上，運管人員應(yīng)不斷推動制度流程電子化建設(shè)，企業(yè)管理人員應(yīng)促進(jìn)信息安全保密管理工作與業(yè)務(wù)工作相融合。精細(xì)化管理是促進(jìn)國有企業(yè)信息安全保密管理科學(xué)化、規(guī)范化以及提升管理效能的重要舉措。

（2）構(gòu)建信息安全保密體系對抗能力

近年來，體系對抗理念被運用到多個領(lǐng)域。在信息化條件下，信息主導(dǎo)成為制勝關(guān)鍵，體系對抗成為基本形態(tài)，網(wǎng)絡(luò)空間成為新戰(zhàn)場。要在國有企業(yè)數(shù)字化轉(zhuǎn)型中搶占網(wǎng)絡(luò)安全的制高點，體系對抗是重要的理論依據(jù)。我們將體系對抗的經(jīng)驗方法運用到信息安全保密體系建設(shè)工作中，參考軍事體系對抗理論，信息安全保密體系應(yīng)該是功能上互補、行動上協(xié)調(diào)、機制上聯(lián)動的綜合體系。當(dāng)前部分國有企業(yè)的信息安全保密管理體系主要包括安全策略、管理及工作制度、操作規(guī)程等基本模塊，雖然層次分明但通常缺乏互補和協(xié)調(diào)機制。比如，出現(xiàn)新的風(fēng)險或上線新的安全保密產(chǎn)品后，運維操作規(guī)程已發(fā)生變化，但管理策略未及時調(diào)整；信息安全保密管理手段跟不上業(yè)務(wù)發(fā)展需要等等。在完善信息安全保密體系方面堅持問題導(dǎo)向與目標(biāo)導(dǎo)向，形成信息安全保密體系對抗能力，打擊境外網(wǎng)絡(luò)攻擊等竊密活動。

3.3 技管并進(jìn)提升網(wǎng)絡(luò)安全能力

數(shù)字化轉(zhuǎn)型是一項技術(shù)工程，在轉(zhuǎn)型過程中會遇到企業(yè)內(nèi)部與外部的安全威脅，為了避免這些風(fēng)險對轉(zhuǎn)型帶來的網(wǎng)絡(luò)安全風(fēng)險，就需利用技術(shù)手段強化企業(yè)網(wǎng)絡(luò)安全管理與防護(hù)能力，落實保密管理手段，進(jìn)而提升企業(yè)網(wǎng)絡(luò)安全綜合的防護(hù)水平。

一是在轉(zhuǎn)型過程中使用具有較高安全性能的產(chǎn)品與服務(wù)，并建立科學(xué)合理的網(wǎng)絡(luò)安全管理機制，明確網(wǎng)絡(luò)安全的管理要求，進(jìn)一步完善管理制度，并根據(jù)風(fēng)險和標(biāo)準(zhǔn)，對安全方案、產(chǎn)品和服務(wù)等進(jìn)行嚴(yán)格的管理，使產(chǎn)品和服務(wù)更具安全性以及可控性。重視網(wǎng)絡(luò)安全的創(chuàng)新，大力推廣信創(chuàng)產(chǎn)品和服務(wù)，并將其投入到設(shè)施、軟件、信息系統(tǒng)等環(huán)節(jié)中，使網(wǎng)絡(luò)安全得以保障，進(jìn)而保證企業(yè)安全體系的可控性。加強二次開發(fā)與自研能力的提升，提高信息系統(tǒng)的自主可控水平，降低工控安全風(fēng)險，為企業(yè)的數(shù)字化轉(zhuǎn)型提供技術(shù)支持與保障。注重對工業(yè)控制系統(tǒng)的安全防護(hù)和定期檢測，保證工控系統(tǒng)的運作安全，夯實安全運行基礎(chǔ)。

二是建立企業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)信息資源庫和數(shù)據(jù)安全管控平臺，重視數(shù)據(jù)全生命周期的安全防護(hù)和保密管理。建立數(shù)據(jù)資產(chǎn)臺賬和管理標(biāo)準(zhǔn)，對企業(yè)收集、產(chǎn)生的數(shù)據(jù)按照國家標(biāo)準(zhǔn)和企業(yè)規(guī)則劃分國家秘密、商業(yè)秘密和普通數(shù)據(jù)，再實行分級分類管理。明確各類數(shù)據(jù)在收集、傳輸、存儲等環(huán)節(jié)的信息安全和保密管理要求，提高數(shù)據(jù)防竊取、防攻擊、防泄漏的安全性能，起到數(shù)據(jù)安全防護(hù)的作用[4]。

三是建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知平臺。實時監(jiān)控網(wǎng)絡(luò)安全態(tài)勢，實時監(jiān)管和預(yù)警。定期開展核心安全產(chǎn)品、數(shù)據(jù)庫、信息系統(tǒng)的信息安全保密風(fēng)險評估工作，發(fā)現(xiàn)安全隱患，分析原因，提出改進(jìn)措施并督促整改。加強與各級平臺的聯(lián)系，及時通報發(fā)現(xiàn)的網(wǎng)絡(luò)安全問題和防護(hù)手段，加強各業(yè)務(wù)系統(tǒng)的安全防控聯(lián)動協(xié)作能力和獨立處置安全問題能力，全面提升企業(yè)網(wǎng)絡(luò)安全。

四是將保密管理要求融合業(yè)務(wù)數(shù)字化和業(yè)務(wù)重構(gòu)的各個環(huán)節(jié)。“業(yè)務(wù)工作開展到哪里，保密工作就延伸到哪里”，保密工作與業(yè)務(wù)工作融合發(fā)展已經(jīng)在國有企業(yè)中取得了一定的成績。在數(shù)字化轉(zhuǎn)型中，應(yīng)當(dāng)進(jìn)一步鞏固和發(fā)展這一項工作。根據(jù)業(yè)務(wù)工作責(zé)任，明確設(shè)置和分配業(yè)務(wù)信息系統(tǒng)和企業(yè)數(shù)據(jù)閱讀使用的權(quán)限，在業(yè)務(wù)流程中設(shè)置保密審查、審批環(huán)節(jié)和保密提醒，確保保密工作與業(yè)務(wù)工作同步實現(xiàn)數(shù)字化轉(zhuǎn)型。

3.4 加強安全人員隊伍和企業(yè)員工的安全教育培訓(xùn)

很多國有企業(yè)認(rèn)識到運管人員在轉(zhuǎn)型過程中的重要地位，也重視相關(guān)網(wǎng)絡(luò)安全管理與防護(hù)人員的投入，并對其進(jìn)行技能培訓(xùn)。但培訓(xùn)內(nèi)容往往與網(wǎng)絡(luò)運維有關(guān)，卻忽視了運管人員安全保密意識和應(yīng)急處理能力的培養(yǎng)。如面對網(wǎng)絡(luò)數(shù)據(jù)遭到惡意篡改、保密違法違規(guī)行為時，運管人員會無從下手。因此，企業(yè)應(yīng)定期開展網(wǎng)絡(luò)安全攻防演練，使其了解常見的攻擊方式以及病毒形式，掌握相關(guān)的應(yīng)急處理對策，以確保可以在第一時間進(jìn)行處理。同時，還可以通過技術(shù)手段和實際感知提升運管人員對安全隱患、薄弱環(huán)節(jié)和短板的發(fā)現(xiàn)能力、分析能力和進(jìn)行優(yōu)化整改的能力，進(jìn)而提高網(wǎng)絡(luò)安全防御水平。

另一方面，全體企業(yè)員工的安全保密意識和能力也不容忽視。國有企業(yè)數(shù)字化轉(zhuǎn)型過程中，員工開始逐步從傳統(tǒng)的工作方式中解脫出來，開始進(jìn)行數(shù)字化作業(yè)，企業(yè)網(wǎng)絡(luò)安全直接影響員工工作效率和利益。而企業(yè)中的國家秘密、商業(yè)秘密涉及的內(nèi)容廣泛，涉及的單位眾多，每一位員工都可能直接或間接地接觸秘密信息。無論是從網(wǎng)絡(luò)使用還是從數(shù)據(jù)安全方面來看，企業(yè)員工都與之有關(guān)。通過開展全員安全保密意識和能力培訓(xùn)，能有效提升員工在網(wǎng)絡(luò)安全中的參與度和認(rèn)同感，營造全員安全保密的良好氛圍。

數(shù)字化轉(zhuǎn)型后，國有企業(yè)通過業(yè)務(wù)流程數(shù)字化和優(yōu)化改造，實現(xiàn)信息互聯(lián)互通，生產(chǎn)服務(wù)在線協(xié)同，服務(wù)場景智能化，最后實現(xiàn)線上線下一體化管理。

要順利完成數(shù)字化轉(zhuǎn)型，其中的網(wǎng)絡(luò)安全建設(shè)必不可少，而網(wǎng)絡(luò)安全建設(shè)是個系統(tǒng)工程，會受到各方面不同因素的影響而導(dǎo)致必然存在某些薄弱環(huán)節(jié)和短板。企業(yè)應(yīng)當(dāng)將其納入數(shù)字化建設(shè)的重要組成部分予以考慮，加強頂層設(shè)計，做好規(guī)劃，將安全保密責(zé)任壓實，采取“技管”并進(jìn)的手段令安全保密措施落地，并注重網(wǎng)絡(luò)安全隊伍建設(shè)和全員安全保密培訓(xùn)，進(jìn)而全方位強化網(wǎng)絡(luò)安全保密能力，為企業(yè)數(shù)字化轉(zhuǎn)型提供支撐保障。