企業(yè)網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)挑戰(zhàn)與應(yīng)對(duì)

姚安民

摘要：信息技術(shù)的飛速發(fā)展，在快速推進(jìn)經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步的同時(shí)，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，黑客攻擊無(wú)孔不入，手段層出不窮，個(gè)人信息泄露頻發(fā)，基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)的安全風(fēng)險(xiǎn)日益突出，給網(wǎng)絡(luò)安全保障帶來(lái)了嚴(yán)峻的挑戰(zhàn)，做好網(wǎng)絡(luò)安全體系建設(shè)是提高信息安全防護(hù)的重要基礎(chǔ)。

關(guān)鍵詞：信息化;網(wǎng)絡(luò)安全;風(fēng)險(xiǎn);應(yīng)對(duì)

國(guó)家對(duì)網(wǎng)絡(luò)安全要求不斷提高，將網(wǎng)絡(luò)空間安全與領(lǐng)土主權(quán)安全視為一體，習(xí)近平總書(shū)記提出“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”。要求我們認(rèn)真落實(shí)各項(xiàng)政策，做好各項(xiàng)工作，全面保障網(wǎng)絡(luò)安全。

一、網(wǎng)絡(luò)安全面臨的主要風(fēng)險(xiǎn)

（一）網(wǎng)絡(luò)結(jié)構(gòu)風(fēng)險(xiǎn)。跨區(qū)域級(jí)企業(yè)局域網(wǎng)使用統(tǒng)一互聯(lián)網(wǎng)出口資源，內(nèi)部單位為降低長(zhǎng)途鏈路成本，開(kāi)通互聯(lián)網(wǎng)，容易搭建成互聯(lián)網(wǎng)出口，另外存在局域網(wǎng)和互聯(lián)網(wǎng)交叉使用情況，此類情況在技術(shù)層面很難做到有效監(jiān)控。

（二）信息化系統(tǒng)建設(shè)風(fēng)險(xiǎn)。信息化系統(tǒng)往往以急用急建、先用先建，造成部分系統(tǒng)技術(shù)架構(gòu)不統(tǒng)一、未按模塊化設(shè)計(jì)，不利于資源整合和統(tǒng)一防護(hù)，在信息化建設(shè)中，重系統(tǒng)、重應(yīng)用，輕設(shè)施、輕安全。系統(tǒng)漏洞、技術(shù)架構(gòu)、密碼技術(shù)、數(shù)據(jù)防護(hù)等方面依舊存在技術(shù)防護(hù)差距。

（三）信息化設(shè)備管理風(fēng)險(xiǎn)。網(wǎng)絡(luò)設(shè)備、服務(wù)器、計(jì)算機(jī)、網(wǎng)絡(luò)打印機(jī)等具有網(wǎng)絡(luò)功能的設(shè)備可直接接入網(wǎng)絡(luò)，無(wú)法進(jìn)行有效審核檢測(cè)。很多企業(yè)辦公計(jì)算機(jī)使用年限較長(zhǎng)，系統(tǒng)依舊還是用XP、WIN7等系統(tǒng)，漏洞補(bǔ)丁不能有效安裝，安全防護(hù)能力低。

（四）先進(jìn)技術(shù)應(yīng)用風(fēng)險(xiǎn)。信息技術(shù)發(fā)展，5G、人工智能、區(qū)塊鏈等新技術(shù)的不斷與業(yè)務(wù)融合應(yīng)用，與之匹配的相關(guān)網(wǎng)絡(luò)安全防護(hù)技術(shù)較新技術(shù)應(yīng)用還存在滯后。

（五）網(wǎng)絡(luò)安全技術(shù)能力風(fēng)險(xiǎn)。具有專業(yè)性的網(wǎng)絡(luò)安全團(tuán)隊(duì)是網(wǎng)絡(luò)安全保障的基礎(chǔ)，網(wǎng)絡(luò)安全專業(yè)人員匱乏，存在信息化人員培養(yǎng)難、流失嚴(yán)重等情況。同時(shí)信息化依靠外部團(tuán)隊(duì)技術(shù)支持，容易造成核心技術(shù)、系統(tǒng)、數(shù)據(jù)等無(wú)法完全自己掌握。

（六）敏感及涉密信息外發(fā)風(fēng)險(xiǎn)。企業(yè)具有大量的信息數(shù)據(jù)，系統(tǒng)賬號(hào)密碼、員工身份信息、生產(chǎn)經(jīng)營(yíng)數(shù)據(jù)等被定義為敏感信息，由于欠缺網(wǎng)絡(luò)安全意識(shí)問(wèn)題，部分人員通過(guò)外部通信工具發(fā)送此類信息，或者上傳至網(wǎng)盤(pán)、外部郵箱，造成敏感信息外發(fā)。

（七）網(wǎng)絡(luò)安全意識(shí)不足風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全管理比較突出的薄弱環(huán)節(jié)是管理人員信息安全意識(shí)缺乏，欠缺新時(shí)期網(wǎng)絡(luò)、計(jì)算機(jī)、信息技術(shù)的認(rèn)識(shí)和能力，造成員工行為隨意性，往往按照自己的主觀需要來(lái)使用辦公設(shè)備和系統(tǒng)。

（八）管理責(zé)任落實(shí)不到位風(fēng)險(xiǎn)。國(guó)家發(fā)布了《網(wǎng)絡(luò)安全法》、《等級(jí)保護(hù)管理?xiàng)l例》等法律法規(guī)條例，管理人員容易缺少認(rèn)識(shí)，對(duì)自己的管理責(zé)任不能全面了解，造成責(zé)任落實(shí)不到位，管理要求不能有效落實(shí)。

二、網(wǎng)絡(luò)安全防控管理措施

（一）明確各級(jí)網(wǎng)絡(luò)安全責(zé)任。網(wǎng)絡(luò)安全管理應(yīng)實(shí)行統(tǒng)一管理，分級(jí)負(fù)責(zé)，明確網(wǎng)絡(luò)安全主管部門(mén)，統(tǒng)一牽頭、統(tǒng)一組織;成立網(wǎng)絡(luò)安全技術(shù)部門(mén)，采用相應(yīng)技術(shù)和設(shè)備手段，建立“全面、完整、有效”的網(wǎng)絡(luò)安全管理體系。

（二）人才隊(duì)伍培養(yǎng)。結(jié)合企業(yè)信息化管理和建設(shè)應(yīng)用等情況，對(duì)網(wǎng)絡(luò)安全管理隊(duì)伍及時(shí)增強(qiáng)和擴(kuò)充，合理明確系統(tǒng)建設(shè)、運(yùn)維服務(wù)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全保障人員職數(shù)，針對(duì)信息化人員培養(yǎng)，創(chuàng)造技術(shù)能力提升的培訓(xùn)學(xué)習(xí)途徑，提供發(fā)揮技術(shù)能力的發(fā)展空間。

（三）加大投入力度。網(wǎng)絡(luò)安全保障需要不斷對(duì)基礎(chǔ)設(shè)施及網(wǎng)絡(luò)安全進(jìn)行投入，常態(tài)化更新設(shè)備，升級(jí)系統(tǒng)應(yīng)用。明確系統(tǒng)服務(wù)、應(yīng)用、基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、網(wǎng)絡(luò)安全的建設(shè)和發(fā)展目標(biāo)，按照目標(biāo)投入。

三、網(wǎng)絡(luò)安全主要防控技術(shù)措施

（一）加強(qiáng)技術(shù)防護(hù)。建設(shè)多層次的技術(shù)措施，通過(guò)技術(shù)應(yīng)用，實(shí)現(xiàn)安全設(shè)備和信息系統(tǒng)應(yīng)用結(jié)合，滿足網(wǎng)絡(luò)安全“可監(jiān)、可控、可管、可審、可視”。同時(shí)，繼續(xù)完善技術(shù)標(biāo)準(zhǔn)、應(yīng)急處置、運(yùn)維管理、人員能力等內(nèi)容，與實(shí)際的工作充分融合，實(shí)現(xiàn)物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全，增強(qiáng)抵御災(zāi)難性事件的能力。

（二）打造網(wǎng)絡(luò)安全管理體系。緊跟并落實(shí)各方網(wǎng)絡(luò)安全的政策和任務(wù)，依托整體網(wǎng)絡(luò)安全架構(gòu)，從安全管理、風(fēng)險(xiǎn)控制、技術(shù)防護(hù)、應(yīng)急保障等方面，采用相應(yīng)技術(shù)和設(shè)備手段，建立 “全面、完整、有效”的網(wǎng)絡(luò)與信息安全管理體系。

（三）信息化與網(wǎng)絡(luò)安全緊密結(jié)合。所有信息化項(xiàng)目、信息系統(tǒng)建設(shè)，需要與網(wǎng)絡(luò)安全要做到“四個(gè)同步”，即：同步規(guī)劃、同步建設(shè)、同步投運(yùn)、同步運(yùn)維，做好統(tǒng)一協(xié)調(diào)發(fā)展，逐步增加網(wǎng)絡(luò)安全比重。

四、結(jié)論

網(wǎng)絡(luò)安全管理需要建立起一套合規(guī)、有效、適應(yīng)、高效的管理體系，通過(guò)打造固定化的網(wǎng)絡(luò)安全管理模式，提高網(wǎng)絡(luò)安全管理水平，促進(jìn)公司良性發(fā)展，保證公司各種信息資源的安全。公司上下要全面提高信息安全意識(shí)，以更大力度、更實(shí)舉措提升公司網(wǎng)絡(luò)安全工作，強(qiáng)化互聯(lián)網(wǎng)思維，樹(shù)立安全優(yōu)先的信息化發(fā)展理念，將網(wǎng)絡(luò)與信息安全責(zé)任落實(shí)到每個(gè)人。

參考文獻(xiàn)

[1] 《網(wǎng)絡(luò)完全技術(shù)與應(yīng)用》人民郵電出版社 高永強(qiáng).

[2]《中華人民共和國(guó)網(wǎng)絡(luò)安全法》.

[3]《中華人民共和國(guó)信息系統(tǒng)等級(jí)保護(hù)條例》.

（中國(guó)石油運(yùn)輸有限公司?新疆?烏魯木齊?830011）