林 濤，張向宏

(中國信息安全研究院，北京 100091)

0 引言

在我國網(wǎng)絡安全的保障體系中，中央企業(yè)有著不可替代的作用，主要有兩個方面的體現(xiàn)：一是作為供給側(cè)。中央企業(yè)作為生產(chǎn)者，在國家網(wǎng)絡安全保障中，擔負著提供技術、產(chǎn)品和服務的重要職責。從產(chǎn)業(yè)劃分來看，中央企業(yè)的產(chǎn)業(yè)支撐保障門類主要包括三種類型：提供自主可控信息技術產(chǎn)品和裝備、提供網(wǎng)絡安全防護技術產(chǎn)品和裝備、以及提供網(wǎng)絡安全服務。二是作為需求側(cè)。中央企業(yè)是重要信息系統(tǒng)和基礎信息網(wǎng)絡的運營者，其自身安全就是國家安全的題中之義。絕大部分關系國計民生和社會發(fā)展的重要信息系統(tǒng)由中央企業(yè)負責運營，涉及國民經(jīng)濟發(fā)展的重要行業(yè)，包括金融、電力、石油、煤炭、鐵路、民航、電信、軍工等。

1 中央企業(yè)在保障我國國家網(wǎng)絡安全中作用的現(xiàn)狀及存在問題

2003年國務院國有資產(chǎn)監(jiān)督管理委員會成立以來，高度重視中央企業(yè)網(wǎng)絡安全工作，先后制定了多部政策法規(guī)，如《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》(國資發(fā)[2010]41號)、《關于加強“十二五”時期中央企業(yè)信息化工作的指導意見》(國資發(fā)[2012]93號)等，并積極組織開展央企網(wǎng)絡安全工作；同時，各大央企也紛紛行動，在網(wǎng)絡安全領域開展了大量工作，并取得了明顯成效。盡管如此，困擾網(wǎng)絡安全能力持續(xù)提升的深層次問題依然存在，阻礙了央企作用的全面深入發(fā)展。

一是缺乏頂層設計。對于中央企業(yè)在國家網(wǎng)絡安全工作中重要性的認識雖不斷提升，但在推進實施方面，缺乏頂層規(guī)劃和指導。當前，國家《網(wǎng)絡空間安全戰(zhàn)略》已經(jīng)發(fā)布，《網(wǎng)絡安全法》已進入實施階段，但對于如何進一步發(fā)揮央企在國家網(wǎng)絡空間安全中的作用，仍缺少實施層面的統(tǒng)一規(guī)劃部署，這與央企在國家網(wǎng)絡安全和信息化發(fā)展中的地位極不相稱，不利于央企網(wǎng)絡安全相關工作的持續(xù)發(fā)展。

二是技術發(fā)展存在嚴重短板。一方面，我國在PC機、Windows操作系統(tǒng)以及基于TCP/IP協(xié)議的互聯(lián)網(wǎng)應用上，在設計之初均未充分考慮程序校驗、數(shù)據(jù)傳輸保護等問題，導致網(wǎng)絡安全防護存在“先天不足”，這是當前信息系統(tǒng)面臨網(wǎng)絡安全問題的主要原因。另一方面，我國信息技術發(fā)展存在空白點，缺乏統(tǒng)一的技術方案和路線，造成產(chǎn)業(yè)支撐能力的嚴重不足，網(wǎng)絡安全核心技術和產(chǎn)品受制于人，國家網(wǎng)絡安全面臨更大挑戰(zhàn)。

三是產(chǎn)業(yè)發(fā)展受制于人。我國網(wǎng)絡安全產(chǎn)業(yè)在發(fā)展過程中，產(chǎn)品、服務乃至產(chǎn)業(yè)發(fā)展面臨全面受制于西方發(fā)達國家的窘境。從公開的數(shù)據(jù)統(tǒng)計來看，我國重要信息系統(tǒng)和工控系統(tǒng)產(chǎn)品主要依賴國外，配套網(wǎng)絡安全服務能力較弱，與國家網(wǎng)絡安全保障需求存在較大差距。同時，國外企業(yè)還把持著涉及到網(wǎng)絡安全的戰(zhàn)略咨詢、審計、測評認證等關鍵服務業(yè)務。例如，IBM等外企為國內(nèi)企業(yè)提供全面的信息安全咨詢服務，而普華永道、德勤、畢馬威、安永“四大”會計師事務所控制并試圖壟斷我國的會計審計業(yè)，許多國有企業(yè)和銀行基本沒什么商業(yè)秘密可言。通過提供信息安全服務，國外企業(yè)可以獲取我國政府部門關鍵信息基礎設施的重要信息數(shù)據(jù)。

2 中央企業(yè)在保障國家網(wǎng)絡安全中的目標任務

做好網(wǎng)絡安全工作，是央企的重要歷史使命，是履行社會責任的重要體現(xiàn)，新時期強化中央企業(yè)的網(wǎng)絡安全保障作用，總體目標應是培養(yǎng)和形成自主可控的網(wǎng)絡安全技術，確保國家網(wǎng)絡基礎設施安全，增強和促進國家網(wǎng)絡安全整體水平，服務國家安全體系的構(gòu)建。包括兩個具體目標：一是壯大網(wǎng)絡安全產(chǎn)業(yè)力量，培育以中央企業(yè)為龍頭、社會力量廣泛參與的網(wǎng)絡安全產(chǎn)業(yè)生態(tài)系統(tǒng)和產(chǎn)業(yè)鏈，全面提升網(wǎng)絡安全技術、產(chǎn)品和服務支撐保障能力；二是鞏固和提高中央企業(yè)自身網(wǎng)絡安全能力，確保國家關鍵信息基礎設施網(wǎng)絡和重要信息系統(tǒng)安全運行。

實現(xiàn)央企在保障國家安全中發(fā)揮重要作用，需要將總體目標細化分解為兩項重點任務。一是培育重點企業(yè)，立足中央企業(yè)自身基礎和發(fā)展定位，集中資源和力量，將其培養(yǎng)成國家網(wǎng)絡安全和信息化主要裝備和服務的提供商。二是強化重點領域網(wǎng)絡安全，分階段、分步驟確保國家金融、電力、交通等重點行業(yè)網(wǎng)絡基礎設施安全，以點帶面，全面實現(xiàn)網(wǎng)絡安全水平的提升。

3 措施建議

采取綜合措施，體系化推進央企網(wǎng)絡安全水平和保障能力建設，全面實現(xiàn)央企在國家網(wǎng)絡安全保障體系中的作用。建議從強化頂層設計、加強技術創(chuàng)新、推進產(chǎn)業(yè)協(xié)同、實現(xiàn)重點突破四個方面著手推進。

3.1 強化頂層設計

盡快出臺《中央企業(yè)網(wǎng)絡安全和信息化發(fā)展戰(zhàn)略》，確立中央企業(yè)在國家網(wǎng)絡安全中的角色定位。一是進行統(tǒng)一規(guī)劃。明確在新形勢下，我國加強網(wǎng)絡安全的內(nèi)外環(huán)境、目標任務、重點工作、保障措施和體制機制等，探索基于我國國情的網(wǎng)絡安全保障應對策略。二是進行合理布局。突出中央企業(yè)在國家網(wǎng)絡安全和信息化中的保障主體作用，使之成為國家網(wǎng)絡安全的主力裝備提供商，統(tǒng)一配置資源，相互協(xié)調(diào)分工。三是進行重點引導。強化央企在各自行業(yè)的網(wǎng)絡安全保障作用，加大對國家關鍵信息基礎設施的保障力度。

3.2 加強技術創(chuàng)新

在國家加大對網(wǎng)絡安全企業(yè)科技投入力度的同時，央企要積極承擔起提供關鍵技術和核心設備的責任。加強核心關鍵技術產(chǎn)品和服務的研制開發(fā)，重點突破自主可信、安全防護、安全服務等關鍵領域，服務國家戰(zhàn)略發(fā)展需求。

3.3 推進產(chǎn)業(yè)協(xié)同

通過軍民轉(zhuǎn)化、軍民復用的方式推進軍民融合發(fā)展，實現(xiàn)關鍵技術、安全演練、信息資源等方面的有效融合。一是推進關鍵技術的軍民融合。部分關鍵技術可由軍隊先行研制，再推廣到民用，然后再反饋給軍方，實現(xiàn)關鍵技術產(chǎn)品的軍民轉(zhuǎn)化。二是推進安全演練的軍民融合。建立模擬實驗環(huán)境，吸納軍民力量參加，配合進行攻防演練，共同提升網(wǎng)絡安全保障水平。三是推進信息資源的軍民融合。適度開放部分網(wǎng)絡設施和信息資源，由中央企業(yè)帶頭，吸納民間技術力量充分參與到國家網(wǎng)絡安全建設中，擴大國家網(wǎng)絡安全保障的支撐力量。

3.4 實現(xiàn)重點突破

強化國家網(wǎng)絡安全。在涉及國計民生的金融、能源、糧食、交通等領域，強化對工控系統(tǒng)及重要信息系統(tǒng)的安全保障。通過實施重點保障工程，推動在工控系統(tǒng)和重要信息系統(tǒng)領域的網(wǎng)絡安全能力建設。一是在工業(yè)控制系統(tǒng)領域，重點打造工業(yè)控制系統(tǒng)網(wǎng)絡安全研發(fā)能力建設平臺[6]，研發(fā)具有中國自主知識產(chǎn)權(quán)的安全工控技術、產(chǎn)品和系統(tǒng)等，形成國家工控安全領域的核心競爭力。重點打造面向關鍵行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡安全保障體系建設平臺，研制工業(yè)控制系統(tǒng)的網(wǎng)絡安全設備以及監(jiān)控管理系統(tǒng)等。二是在重要信息系統(tǒng)領域。重點打造重要信息系統(tǒng)體系化網(wǎng)絡安全防護平臺，研制以數(shù)據(jù)保護等為核心的系列化信息系統(tǒng)安全防護產(chǎn)品等。重點打造重要信息網(wǎng)絡自主專用安全支撐技術研發(fā)與產(chǎn)業(yè)化平臺，研究專用安全芯片和高可靠基礎專用安全設備產(chǎn)品服務及其支撐應用等。

4 結(jié)語

目前，中央企業(yè)在信息安全保障中發(fā)揮的作用遠低于預期，所暴露的問題也較為突出，央企發(fā)揮的作用與其應當承擔的使命與責任不相匹配，無法滿足信息安全嚴峻形勢對產(chǎn)業(yè)提出的急切需求。加強對中央企業(yè)在信息安全保障中的作用的研究刻不容緩，應首先明確和強化央企在保障國家信息安全的雙重角色，再以供給側(cè)、需求側(cè)并舉的思路，加快探索并深入推進央企在保障國家信息安全中的作用。

[1] 國家工業(yè)信息安全發(fā)展研究中心.工業(yè)和信息化藍皮書(2016-2017)[M].北京：社科文獻出版社出版，2017.6.

[2] 芮曉武.構(gòu)建科學發(fā)展體系,推動產(chǎn)業(yè)由大到強[J].工業(yè)經(jīng)濟論壇，2014(1):102-110.

[3] 張向宏,林濤.美國信息安全立法概況及啟示[J].保密科學技術，2012(11):6-13.

[4] 林濤.美國近期信息安全立法及其戰(zhàn)略思路研究[J].中國信息安全，2013(4):68-71.

[5] 盧坦，林濤，梁頌.美國工控安全保障體系研究及啟示[J].保密科學技術，2014(4):27-33.

[6] 劉仁輝，張尼，吳云峰.構(gòu)筑工業(yè)互聯(lián)網(wǎng)安全防護體系 為推動先進制造業(yè)發(fā)展保駕護航[J].信息技術與網(wǎng)絡安全，2018,37(1)：23-24,29.