關(guān)于國有企業(yè)信息系統(tǒng)安全等級保護建設(shè)的思考

張冬樂

【關(guān)鍵詞】國有企業(yè);信息系統(tǒng);安全等級保護;等保2.0

《中國人民共和國網(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)空間的主權(quán)原則，將網(wǎng)絡(luò)安全工作提高到法律高度，體現(xiàn)了網(wǎng)絡(luò)安全作為國家戰(zhàn)略的決策，也為等保2.0建設(shè)提供了法治基礎(chǔ)，標(biāo)志著我國全面進入信息安全2.0時代。等保2.0要求國有企業(yè)從被動防御轉(zhuǎn)向主動防范風(fēng)險，網(wǎng)絡(luò)安全不再是一次性安全設(shè)施投入，“合規(guī)”將成為常態(tài)需求。在新的等保要求下，國有投資企業(yè)只有構(gòu)建感知、檢測、響應(yīng)、預(yù)防的閉環(huán)管理才能實現(xiàn)網(wǎng)絡(luò)安全風(fēng)險全生命周期管理。

《中國人民共和國網(wǎng)絡(luò)安全法》已經(jīng)將等級保護制度上升為法律，等級保護從傳統(tǒng)的信息系統(tǒng)層面上升到了網(wǎng)絡(luò)空間安全的層面，等保2.0的定級方式更加規(guī)范化，等保2.0的定級并不是1.0標(biāo)準(zhǔn)下的用戶自主定級，而是需要參照定級指南進行定級，確保等保工作更加規(guī)范化。除了滿足等保1.0時代定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查五個規(guī)定流程外，等保2.0把風(fēng)險評估、安全監(jiān)測、通報預(yù)警、事件調(diào)查等措施全部納入等級保護制度并加以實施，保護對象也從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)向“云大物智移”擴展[1]。

（一）信息安全問題表現(xiàn)形式復(fù)雜化

投資型國有企業(yè)可以被看成是金融行業(yè)的一個分支，因此面臨的網(wǎng)絡(luò)攻擊類型相對集中，主要包括惡意掃碼、網(wǎng)絡(luò)攻擊、木馬蠕蟲和拒絕服務(wù)攻擊。安全攻擊頻次高，攻擊來源集中。特別是投資行業(yè)的業(yè)務(wù)鏈條較長，涉及多個線上線下相結(jié)合的復(fù)雜業(yè)務(wù)場景，影響投資型公司信息安全的風(fēng)險因素較多，風(fēng)險管控復(fù)雜。

（二）信息系統(tǒng)安全等級保護建設(shè)必要性

《中國人民共和國網(wǎng)絡(luò)安全法》要求國有企業(yè)在發(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)及時向用戶告知并采取補救措施，否則企業(yè)負(fù)責(zé)人及相關(guān)安全責(zé)任人會受到不同程度的處罰。因此，國有企業(yè)應(yīng)對公司網(wǎng)站及重要信息系統(tǒng)開展全面審查，對信息系統(tǒng)進行網(wǎng)絡(luò)安全等級保護定級和測評工作，完成信息系統(tǒng)的等級保護測評及備案。關(guān)鍵信息基礎(chǔ)設(shè)施和信息系統(tǒng)的信息安全等級保護工作能夠切實加強國有企業(yè)信息系統(tǒng)防泄密、防滲透、防阻斷的能力，降低公司信息被泄露的風(fēng)險。

（三）國有企業(yè)網(wǎng)絡(luò)安全成熟度有待提升

等保2.0建設(shè)是貫穿在網(wǎng)絡(luò)安全管理過程中的一項最重要的工作，在審視國有企業(yè)網(wǎng)絡(luò)安全管理工作時，企業(yè)規(guī)模和所處行業(yè)也同樣是等保建設(shè)能否推進落實的重要考量因素。隨著網(wǎng)絡(luò)安全創(chuàng)新技術(shù)的加速發(fā)展，信息技術(shù)和運營技術(shù)相互融合，等保2.0建設(shè)將幫助國有企業(yè)增強網(wǎng)絡(luò)安全防護需求，賦能網(wǎng)絡(luò)安全新格局。企業(yè)員工的網(wǎng)絡(luò)安全意識、IT部門的網(wǎng)絡(luò)安全職責(zé)和對應(yīng)的問責(zé)機制都應(yīng)成為每個國有投資型企業(yè)內(nèi)部管理職能的一部分[2]。

（一）確保國有企業(yè)董事會和管理層積極參與

缺乏管理層支持或資金不足是等保2.0難以推進和落實的直接原因，也是企業(yè)在管理網(wǎng)絡(luò)安全方面所面臨的最大挑戰(zhàn)。通過調(diào)查發(fā)現(xiàn)，那些已經(jīng)成功完成等保2.0建設(shè)的企業(yè)，他們的董事會及公司高層管理者對網(wǎng)絡(luò)安全的關(guān)注不僅局限于日常的工作匯報，而是幾乎對總體網(wǎng)絡(luò)安全策略、威脅和安全風(fēng)險審查、網(wǎng)絡(luò)安全項目進展、安全漏洞、第三方泄露風(fēng)險、網(wǎng)絡(luò)安全測試結(jié)果以及網(wǎng)絡(luò)安全風(fēng)險對公司主營業(yè)務(wù)產(chǎn)生的影響有著更大興趣。因此，等保2.0建設(shè)的有效落實離不開公司高級管理層的重視與參與，對公司董事會進行大力宣貫可提升高級管理層參與度，只有將網(wǎng)絡(luò)風(fēng)險和財務(wù)風(fēng)險以及企業(yè)其他風(fēng)險給予同等程度的重視與監(jiān)控，才能有效推進信息系統(tǒng)等級保護建設(shè)。

（二）提高網(wǎng)絡(luò)安全在國有企業(yè)內(nèi)部的影響力，不僅局限于IT部門

網(wǎng)絡(luò)威脅越來越被認(rèn)為是國有企業(yè)所面臨的最關(guān)鍵的風(fēng)險之一，如今網(wǎng)絡(luò)安全所面臨的已不僅僅是技術(shù)挑戰(zhàn)，那些已成功完成等保2.0建設(shè)的企業(yè)已經(jīng)充分認(rèn)識到提高信息安全管理的重要性。網(wǎng)絡(luò)安全是鏈接IT部門與公司各個業(yè)務(wù)部門之間的關(guān)鍵職能，但信息系統(tǒng)等級保護建設(shè)的推進工作不能僅僅依靠于企業(yè)IT部門，它是需要企業(yè)內(nèi)所有部門配合才能夠完成的，因此等保建設(shè)工作的推進更應(yīng)該在IT部門以外的其他部門提升網(wǎng)絡(luò)安全影響力，提升全員網(wǎng)絡(luò)安全意識。

（三）構(gòu)建人才保障體系

信息系統(tǒng)安全等級保護建設(shè)工作的開展，需要統(tǒng)籌協(xié)調(diào)公司內(nèi)部及外部IT資源。要想等保2.0工作有效推動及落實，就必須解決技術(shù)人員匱乏問題。IT人員短缺削弱了加強防御的能力，許多中小企業(yè)尋求外包人才援助，是提高自身對網(wǎng)絡(luò)安全風(fēng)險的防范、節(jié)約公司人工成本、更快應(yīng)對網(wǎng)絡(luò)攻擊的一種手段，但更有效的管理模式還是鼓勵有條件的國有企業(yè)去配備專業(yè)的信息化管理人員，專職開展信息系統(tǒng)等級保護建設(shè)工作，將網(wǎng)絡(luò)安全專業(yè)人才保障計劃納入公司整體戰(zhàn)略規(guī)劃[3]。

（四）將網(wǎng)絡(luò)安全與國有企業(yè)業(yè)務(wù)發(fā)展戰(zhàn)略緊密協(xié)同

在當(dāng)今日益數(shù)字化、數(shù)據(jù)驅(qū)動的社會中，日常業(yè)務(wù)活動從內(nèi)到外很大程度依賴于信息技術(shù)。特別是投資行業(yè)的國有企業(yè)，更容易面臨網(wǎng)絡(luò)威脅。投資公司增加云的使用以加速轉(zhuǎn)型和釋放資源，但云的使用仍可能會產(chǎn)生網(wǎng)絡(luò)安全問題，因為核心系統(tǒng)和關(guān)鍵數(shù)據(jù)基本上都被移動到了第三方，雖然服務(wù)提供商對其硬件和軟件的安全負(fù)責(zé)，但確保云安全這項工作的最終責(zé)任仍在托管公司，任何第三方云方面的問題都可以對投資公司的投資業(yè)務(wù)產(chǎn)生巨大的影響。因此，將網(wǎng)絡(luò)安全需要與企業(yè)整體業(yè)務(wù)戰(zhàn)略緊密相連意義重大，網(wǎng)絡(luò)安全管理工作所面臨的最大挑戰(zhàn)是業(yè)務(wù)的增長與拓展過程中核心數(shù)據(jù)安全性，有效應(yīng)對業(yè)務(wù)增長所帶來的網(wǎng)絡(luò)安全挑戰(zhàn)尤為重要。只有將網(wǎng)絡(luò)安全策略更好的與業(yè)務(wù)策略保持一致才能有效辨識出新的網(wǎng)絡(luò)安全風(fēng)險，例如未經(jīng)授權(quán)的系統(tǒng)訪問，網(wǎng)絡(luò)風(fēng)險監(jiān)測和響應(yīng)能力不足等，最終促進國有企業(yè)等保2.0建設(shè)有效推進和落實。

網(wǎng)絡(luò)安全是企業(yè)信息化建設(shè)的重要分支，大部分國有企業(yè)網(wǎng)絡(luò)安全占信息化投入比例仍明顯不足，隨著網(wǎng)絡(luò)安全法的普及，等保2.0使得網(wǎng)絡(luò)安全從被動防御向主動防御演進，數(shù)據(jù)驅(qū)動安全成為新時期信息安全的核心，等保 2.0建設(shè)催生網(wǎng)絡(luò)安全新需求，是國有企業(yè)提升數(shù)據(jù)安全防護能力采取的必要手段。