數字時代企業網絡安全管理研究

劉麗娜 中國移動通信集團陜西有限公司寶雞分公司

為了切實維護國家安全、人民群眾合法權益、網絡空間良好生態，國家相繼出臺了《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》《中華人民共和國反電信網絡詐騙法》草案，簡稱網絡安全“四法一條例”。為做好新時代網絡安全和信息化工作、扎實推進網絡強國建設、實現中華民族偉大復興的中國夢提供了強有力的法治保障[1]。目前，整個企業信息安全領域的管理和現狀仍然處于封堵漏洞式的安全管理模式，基本是根據已經掌握的安全風險點進行被動地去監測、事后啟動風險響應機制等這種很單一的安全防控手段，缺少對整個網絡安全狀態的檢測及預警機制，便不能做到主動地去防御，這種模式已經無法滿足現企業對網絡安全管理和防御的真正的要求。對于數字化新時代的環境下，對網絡環境和業務環境的網絡安全就有了更高的要求。這些都主要通過信息系統、核心數據、實時網絡安全狀態的認知與展現，去發現自身存在的隱患問題和風險情況，同時將新數據與之前的舊數據進行比較，形成合理的趨勢判斷，實現全面的、分層的、多角度的感知，為發現的安全隱患預警通報、安全整改策略提供重要數據支撐。從而能夠提升企業對安全風險方面存在的問題的分析與治理能力。

一、目前企業存在的網絡安全形勢

數字經濟發展迅速，通信網絡呈現云網融合化、虛擬切片化、智能算力化、能力開放化等演進特征，新型網絡安全風險和挑戰也隨之而來。安全漏洞、勒索軟件攻擊、數據泄露、電信網絡詐騙等問題高發頻發，網絡安全作為影響國家安全的重要因素已成為全球共識，整體網絡安全形勢仍然嚴峻復雜。

電信網絡詐騙治理形勢堪憂，不良信息傳播手段不斷翻新，攻防對抗強度持續加大，行業領先優勢面臨挑戰。公安部、工信部等上級部門關于電信網絡詐騙治理、個人信息保護、網絡安全遠程檢查等方面的監管考核力度不斷加大。

二、落實“四法一條例”工作思路

已出臺的《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》等網信領域重要法律法規，系統規范了各網絡主體的職責義務，其中52個條款對網絡安全工作提出明確要求，正在制定的《中華人民共和國反電信網絡詐騙法》主要是按照完善預防性法律制度的要求，針對電信網絡詐騙發生的主要環節，明確加強防范性制度措施相關舉措。企業可以將明確以“四法一條例”為切入點，全面梳理各項法律法規要求，通過學習宣貫、對標提升、完善專項工作體系，確保網絡安全工作依法合規。目前，初步完成已出臺法律法規相關要求的梳理對標對表，并組織開展相關法律法規要求的培訓宣貫，待《中華人民共和國反電信網絡詐騙法》正式頒布后將對其中明確的重點內容進行細致梳理并開展教育宣貫。后續將嚴格遵守和落實各項法律法規要求，在確保工作合法合規開展的基礎上，進一步健全完善網絡安全技術框架，企業加強關鍵信息安全防護體系，加大數據安全和個人信息安全的保護力度，深化推進打擊治理電信網絡詐騙，加強網絡安全產品服務創新，滿足人民群眾對美好數字生活的向往。

三、管理網絡安全的重點

（一）提升思想認識方面

1.圍繞“國之大者”勇擔央企職責使命，結合實際落實“第一議題”制度，企業通過黨委會、中心組集體學習研討、黨支部“三會一課”等，深入學習貫徹習近平法治思想、總體國家安全觀、網絡強國戰略、習近平總書記關于打擊治理電信網絡詐騙犯罪工作的重要指示精神等。

2.充分領會網絡安全領域重大決策部署，持續夯實黨委網絡安全責任制根基，貫徹落實“四法一條例”要求，特別是關注“重要數據”等新要求、新提法，進一步加強“四法一條例”的學習宣貫，并納入企業學習的必修課，通過集中學習、教育培訓等方式持續提升全員依法開展網絡安全工作的意識和能力。

3.按照“誰運營、誰負責”的原則，嚴格落實網絡安全主體責任，以防攻擊、防入侵、防病毒、防泄密為重點，全面排查企業網絡安全隱患，強化網絡安全防護和治理工作。

4.企業安全管理中最重要的就是終端的管理，通過采用規范合法的專業技術手段對終端作業時接入的網絡環境，終端資產中的服務信息的詳細情況要進行全面的監管，這樣才能保障企業網絡在應用環境中能夠安全又穩定的運轉。另外，企業在選擇終端型號時要根據企業本身的實際情況來按需采購，為保證使用過程中的售后服務質量因素，要選擇正規廠家生產的終端。強化終端特別是辦公網終端管理，進一步整改處理已知的高危漏洞，定期升級病毒庫，查殺木馬等惡意程序[2]。嚴格審核外部終端接入情況，嚴禁維護終端的外連行為。進一步強化人員網絡安全意識宣貫，防范釣魚網站、仿冒網站等社會工程學攻擊行為，嚴禁訪問惡意網站等與工作無關的外部網站。

5.網絡安全設備管理，企業常用的終端設備安全手段主要包括防火墻、安全管理系統客戶端、360等入侵檢測系統和一些設備。這些都需要根據企業的終端設備數量、搭建圖、生產經營的業務種類、涉及的信息等級及信息數量，來確定適合的終端設備和管控方式。終端設備是企業的網絡安全管理的主要手段，所以，針對不同終端的特點要梳理出適合該類終端完整的操作手冊及維護文檔，并且需要定期更新完善手冊及文檔內容。還有，企業的網絡安全防護策略要根據企業本省的業務應用需要情況來布局。企業內網的使用要根據賬號及賬號權限級別來管理，比如企業內網系統，也就是企業通訊錄中的在編員工，可給予在內網辦公網絡環境下相應的訪問權限，非企業員工在使用內網終端時，需要建立臨時訪問賬號，設置賬號有效期（最長不超過十二個月，到期根據情況做續期處理），并通過訪問權限來控制可以使用的范圍。

（二）開展科學決策方面

在開展決策與制定計劃中，統籌考慮法規要求、人才專家隊伍配置等因素，強化組織保障，明確管理規定，高度重視并落實開展網絡安全方面的專家人才團隊建設工作。除了要有專業性較強的人才隊伍，還要體系全面的加強網絡信息安全系統的建設，更加需要建立完善的企業網絡安全風險預案。企業應該根據網絡安全等級保護的各個要求，從物理層面、策略層面、布局等方面進行系統的信息安全防護預案，其主要內容包含對機房的建設運維、設備和介質、辦公環境的通信網絡、區網邊界、服務器、系統平臺的應用數據備份和恢復等方面。分析企業自身存在的網絡安全工作上的風險點，制定相應的符合實際情況的、操作便捷且有效的網絡安全防控預案，并且企業要定期組織全網的網絡安全攻防演練活動，用以檢測各個終端應用是否存在著網絡安全風險。攻防演練活動一定要涵蓋企業的所有部門，其中起頭部門為主要的網絡安全負責部門，其他業務部門根據牽頭部門的指導手冊來配合好需要防控的區域及演練方法。另外，企業在安排網絡安全攻防演練活動的前提條件就是，對于攻防演練過程中出現的網絡安全事件要有應對能力和處理預案。減少響應時間預案不到位引發的更嚴重的后果，從而真正地減少網絡安全事件發生后對企業的損失。

1.企業需要統一購買官方的系統病毒管控軟件，病毒管控軟件的應用從網絡使用環境分析來看，系統病毒會對網絡安全造成較強的危害性，若是終端中病毒，將導致整個企業系統的崩盤和使用，也會造成企業數據丟失或者被流出、終端被劫持等安全隱患。所以，用戶可以隨時使用企業購買的安全軟件及時掃描查殺安全隱患，一經發現可立刻修復病毒。企業在選擇此類軟件時應盡可能選擇官方正規廠家正版產品，這樣可以有效地對用戶計算機安全進行保護，減少病毒對計算機的攻擊和影響，還需要不定時地進行病毒掃描，可以有效地監控到終端中是否存在風險，也能提高企業整體的網絡應用環境。

2.企業需要每年統一組織員工簽訂《信息安全責任承諾書》，為保障客戶權益，保障企業穩定、健康發展，需本人自愿簽訂承諾。這種做法可以進一步加強企業信息安全保護工作，提升企業及合作伙伴信息安全意識。此外，需要在承諾書中明確的寫明，《中華人民共和國網絡安全法》《中華人民共和國國家安全法》第二十五條，《中華人民共和國反恐怖主義法》第十九條、二十一條、五十一條、六十一條、八十四條和八十六條之規定，明白國家網絡與信息安全保障體系的建設是為了維護國家網絡空間主權、安全和發展利益，以及《中華人民共和國刑法》《中華人民共和國刑法修正案（九）》第二百五十三條、第二百八十六條和第二百八十七條的規定，明白出售公民信息，不履行法律以及行政法規規定的信息網絡安全管理義務，協助或利用信息網絡實施犯罪等的后果[3]。

3.網絡安全等級評測，為了保證企業在合法合規地使用信息數據，就需要有一個安全穩定的系統，所以企業需要定期開展安全防檢測評并檢測結果將形成臺賬記錄。如遇網絡安全事故，企業需要派專人專項負責修復，對造成事件的原因進行評估和責任定性，輸出應急防護處理結果及事件內容的備案，備案表中至少需要記錄事件等級、持續時間、發生時間、發現方式、修復方法、事件影響范圍等重要內容。

（三）強化戰略執行方面

1.建立健全的內部協作機制，系統推動企業打擊治理電信網絡詐騙工作等重點工作落實到位；組織開展源頭管控、監測處置、用戶預警宣傳、技術研究支撐等工作，嚴格落實相關工作要求，各項考核指標達標，未發生監管處罰、考核扣分情況。

2.主動圍繞法律法規對標對表，開展自查，對于自查發現的風險隱患和改進項，要組織制定整改提升工作計劃，明確具體措施、時限、責任人等。

3.通過現場調研、會議匯報等方式對重點工作在基層的落實情況進行調研評估，對各類堵點、難點問題及時進行疏解排除。

4.加強企業的管理，為了更好地對企業網絡安全環境和管理方案進行規劃和完善，企業必須有獨立的網絡安全管理部門及責任人，一般企業一把手是第一責任人，負責企業網絡安全工作的責任人主要責任人，再下設網絡安全管理黨小組，小組成員負責各業務部門的安全意識培訓及風險治理配合工作，這樣才能將企業網絡安全工作落到實處，做到環環有人盯，項項有人管的閉環管理模式。

5.數字資產的管控，當下隨著云計算及移動互聯網時代的來臨，線上發布流程變化莫測，如不掌握詳盡的資產信息，一旦發生問題無法在最短時間定位問題出處；二是外部預警提醒傳達后無法精準處置，浪費時間、精力、財力的情況。企業要想做到有效的安全管理，必須對資產全面、準確、實時掌管，牢牢把握“資產管理、風險預警、主體責任人”三大要素。第一，進行資產詳情的梳理掌握，包括端口服務登記、從外部到內部的資產詳情、最后要形成完善的資產臺賬，并定期更新和審核。

（四）確保取得實效方面

1.抓住關鍵節點強化監督檢查，推動健全閉環反饋機制，落實監督檢查要求，完善優化考核手段，在配合開展工業和信息化部“雙隨機、一公開”網絡安全防護檢查、公安部門網絡安全執法檢查基礎上，對企業網絡安全工作落實情況進行監督檢查，對發現的問題加大通報曝光力度并及時開展約談、考核、問責[4]。

2.及時更新完善制度機制，構建系統完備、科學規范、運行有效的本單位網絡安全制度體系，待《網絡安全等級保護條例》《數據出境安全評估辦法》等制度出臺后，根據企業相關管理要求，及時結合實踐發展和業務需要，更新適用于本企業的實施細則，并加強制度執行情況的監督檢查，全面實現本企業在網絡安全管理方面的持續提升。

隨著數字化時代的到來，也迎來了業務系統的不斷更新升級，企業業務系統也在不斷變化，網絡信息化形勢日益顯著，面對這種嚴峻網絡安全形勢受到前所未有的挑戰，舊時的被動防御和防護工作已經無法適用于現有的狀況，國家也對網絡安全管理運營工作提出了新的挑戰和要求。企業響應國家要求，在安全管理方面需要更加嚴謹，從業務應用安全、數據信息安全、關鍵基礎設施安全等多個維度去管理。企業網絡安全事件的預警監控、預案處理、風險管控等階段都發揮著非常重要作用，企業必須將安全管理與運營工作落地，才能有力提升企業的網絡安全整體防御能力。