郭 磊

(中远海运科技股份有限公司， 上海 200135)

0 引 言

中央企业是我国国民经济的重要支柱，其信息系统或工业控制系统(主要用来为公众提供网络信息服务、通信、金融、交通和公用事业等重要行业的运行数据)是国家关键的信息基础设施，是我国经济社会运行的神经中枢，是我国网络安全保障工作的重要关注对象。近年来，各中央企业在网络安全方面大幅增加投入，使得网络安全保障工作取得了一定的成绩。但是，随着全球网络安全防护和信息化技术不断发展，网络安全面临的威胁和挑战越来越多。中央企业逐渐成为国内外“黑客”重点关注和攻击的对象，网络安全事件对中央企业生产经营的影响越来越大。

1 网络安全面临的主要问题

随着中央企业的信息化发展不断深入，其日常生产经营管理与网络和信息化的结合日趋紧密，对网络和信息系统的依赖程度越来越高。目前，中央企业普遍存在网络安全规划和网络安全组织缺乏、网络安全解决方案和网络安全制度不能有效实施等问题。

1) 没有明确的网络安全目标，缺乏总体的网络安全规划。虽然国家已颁布实施《网络空间安全战略》和《网络安全法》，中央企业对网络安全的重要性的认识在不断提高，但不少中央企业仍没有明确的网络安全目标，缺乏实际推进法规执行的总体网络安全规划。

2) 员工网络安全意识薄弱，缺少完备的网络安全组织。中央企业的员工普遍存在网络安全认识不深刻，网络安全全局观缺乏，有关网络安全的危机意识、紧迫意识和参与意识不强等问题。在中央企业内部，缺少完备的网络安全组织已逐渐成为网络安全的首要威胁。

3) 核心技术存在短板，缺乏完整的网络安全解决方案。与美国等发达国家相比，我国信息技术的发展仍存在空白点，部分中央企业的重要信息系统和工业控制系统仍依赖国外产品，缺乏完整的网络安全解决方案。

4) 网络安全专业人才不足，网络安全制度没有得到有效运行。与日益增长的网络安全需求相比，中央企业的网络安全人才缺乏的现象较为普遍，专业型、复合型和领军型网络安全人才更加短缺，这严重影响着中央企业网络安全和信息化建设的发展。由于缺乏网络安全专业人才，导致中央企业的网络安全制度无法有效落地。

2 典型案例剖析

2.1 网络安全现状

本文以重组整合的某特大型中央企业为例进行分析。该企业是拥有1 400多家成员单位的航运综合物流供应链服务企业，其网络安全防护需求呈现出业态复杂(规模大、产业链长、关联性强)、体系复杂(生产经营和指挥单位分布广、多维矩阵管理)、结构复杂(基础设施要求多、类型多)和架构复杂(应用层次多、关联紧密)等特点。特别是随着该企业的国际影响力不断提升，外界对其关注度持续提高，各产业集群或多或少都会遭受外部网络的攻击，造成一定的经济和政治影响。

2.2 网络安全目标

为应对网络安全威胁，提升网络安全防护水平，该企业从网络安全和信息化工作实际出发，结合国家网络安全和信息化总体战略部署，以及国家和行业监管部门的网络安全要求，设定网络安全总体目标为：全面整合现有网络安全体系架构，从管理、技术和运行等3方面考虑，通过建设网络安全保障队伍，完善网络安全保障体系，以“整体的、动态的、开放的、相对的、共同的”网络安全观为指导，从整体的角度进行网络安全防护，到2020年末基本上实现网络安全“管理可控、技术可信、运行可靠”的中短期目标，全面实现安全攻击可防御、异常行为可检测、安全事件可回溯、安全威胁可预警和安全事件可处置。

2.3 网络安全问题

虽然该中央企业在网络安全体系建设和网络安全方面持续投入，但仍存在以下网络安全风险问题：

1) 在安全管理方面，网络安全制度仍不完善，专业资源投入不足。企业在用的信息系统仍存在安全隐患，网络安全制度尚未完全覆盖；网络安全专业人员数量不足、技能欠缺，且普遍为兼职；网络安全经费预算不足，网络安全投入较少，不能完全满足企业网络安全保障的需求。

2) 在安全技术方面，网络安全呈现出被动防护态势，技术防护体系不完善。企业采用的网络安全技术防护手段以防火墙、入侵检测和恶意代码防范等为主，被动进行防御，各网络安全防护系统独立工作，报警信息不能统一归口管理，无法掌控网络安全整体情况；对新型网络安全威胁的检测防护能力不足，前沿安全技术研究滞后，业务场景防护薄弱，尚未建立统一的网络安全基线，网络安全防御未形成完整的体系。

3) 在安全运行方面，网络安全保障模式需要转变，监测预警能力薄弱。企业应急响应机制有待完善，尚未建立有效的威胁情报共享机制，缺乏对新型网络安全事件的研判能力，协同应急处置流程和机制不清晰，难以应对大规模的网络安全风险问题。

3 主要应对措施

基于网络安全总体目标，针对网络安全存在的主要问题，该中央企业采取的改进措施是构建全面的网络安全对策框架(见图1)，主要包括：以人才队伍建设为核心，完善网络安全保障组织；打造网络安全管控平台和态势感知与监测预警平台，使网络安全工作协同化、可视化；完善网络安全保障体系，形成科学有效的网络安全管理体系、先进可靠的网络安全技术体系和持续优化的网络安全运行体系。以上措施能全方位地促进该中央企业网络安全管理和防护能力大幅提升。

图1 网络安全对策框架

3.1 完善网络安全保障组织

通过完善网络安全保障组织(见图2)，明确机构的职责和人员分工，建立网络安全工作机制和网络安全专业人员储备与培养机制，做好制度规范和人员技能培训工作，为网络安全建设和运行提供全方位的保障机制；在现有网络安全组织体系和工作机制的基础上建立网络安全应急响应领导小组和应急管理机构，成立网络安全运营中心，设置网络安全岗位，配备网络安全人员，建立网络安全专业队伍，开展“事前、事中、事后”网络安全的全过程管理。

图2 网络安全保障组织

3.2 构建网络安全管控平台

加强安全风险管控能力，满足与国家有关部门协同开展网络安全工作的要求，建立网络安全管控平台(见图3)。通过智能化手段将安全威胁和安全预警等信息精准、及时地推送给所有成员单位，形成工作流视图，实现网络安全风险分布、工作协同和风险预警的全程可视化。

3.3 构建态势感知与监测预警平台

构建全天候、全方位的态势感知与监测预警平台(见图4)，变静态防护为动态防护，变被动防御为主动防御，变单点防护为综合防控，提高态势感知、风险监测、通报预警、应急处置和安全防范等网络安全方面的能力；通过采集主机、数据库、应用系统和安全设备等设备的日志和流量信息建立网络安全分析模型，对这些信息进行全维度、跨设备、细粒度的关联分析和数据挖掘，发现可能的违规操作、入侵行为、系统中断、非授权访问、设备和系统运行异常等网络安全事件，提高风险防范能力和监测预警能力。

图3 网络安全管控平台架构

图4 态势感知与监测预警平台架构

3.4 建立网络安全保障体系

建立网络安全管理体系(见图5)，达到“管理可控”的安全目标。参照《网络安全等级保护基本要求》(GB/T 22080—2016)和《信息安全管理体系要求》(ISO 27001—2013)等国内外标准，结合现有的安全管理体系，完善网络安全制度，形成一套完整的网络安全管理体系。依据相关标准规范、配置基线和检查指南建立信息系统全生命周期的安全管理机制，强化对问题的解决和对隐患的整改，开展网络安全符合性管理，重点落实“三同步原则”，形成覆盖信息系统全生命周期的安全设计和检测规范，实现信息化项目安全管控关口前移，将网络安全管控措施覆盖到信息系统的规划、设计、建设、测试、上线和废弃等各阶段，确保信息化和网络安全工作同步规划、同步建设和同步运行。

图5 网络安全管理体系框架

建立网络安全技术体系(见图6)，达到“技术可信”的安全目标。以《信息安全技术 信息系统安全保障评估框架》(GB/T 20274.1—2006)等标准作为技术防护依据，形成符合业务需求的开发和技术架构要求、物理和环境安全要求、网络和通信安全要求、设备和计算安全要求、应用和数据安全要求；参考网络安全等级保护制度2.0标准(等保2.0)中的通用和扩展标准，形成统一的网络安全基线；通过应用可信计算技术、安全免疫技术、恶意代码防范技术、密码技术、身份认证技术和数据治理技术，对现有系统的安全防护措施进行改进，从技术层面构建纵深防御体系。同时，借鉴《云计算关键领域安全指南》《工业控制系统(ICS)安全指南》和《系统信息安全要求和信息系统保障等级》等新技术标准体系，逐步展开新技术应用，加强对云计算、大数据、物联网、移动互联网、工业控制系统、IPV6(互联网协议第6版)和区块链等新技术的研究，逐步形成安全、高效、低成本的技术防护体系。

图6 网络安全技术体系框架

建立网络安全运行体系(见图7)，达到“运行可靠”的安全目标。采用PDCA模型框架形成从动态预防、运行防护到监测预警、响应处置的网络安全戴明环工作模型。建立动态预防体系，识别信息资产和所面临的风险，建立网络安全风险评估规程和定期风险评估机制，通过技术和管理手段开展风险识别、风险分析和风险评价，按照风险的大小开展风险处置工作，将网络安全风险降低到可接受的程度；建立运行防护体系，强化网络安全防护措施，完善日常安全运维机制，及时获取信息系统的运行状态，发现并处置潜在的安全隐患，保障信息系统服务的可用性和网络安全性；建立监测预警体系，结合网络安全管控平台和态势感知平台建立网络安全事件分类分级准则，建立覆盖事前、事中和事后等全部阶段的网络安全事件处置程序；建立应急响应体系，明确应急响应所需的岗位和职责权限，完善应急决策和应急事件管理处置程序；建立完备的监管与评价流程，建立健全信息系统安全运行保障和故障恢复应急预案，提高应对网络安全风险问题的组织指挥和应急处置能力。

图7 网络安全运行体系框架

4 应用效果

从人才队伍、安全平台和体系规范等3方面着手，通过完善网络安全保障组织，打造网络安全管控平台和态势感知与监测预警平台，建立建全网络安全管理、技术和运行体系，取得了较好的网络安全风险防范效果。表1和表2分别为系统高危漏洞统计和网络攻击数统计，经过6个月的持续改进，该中央企业的系统高危漏洞数和遭受的网络攻击数2个网络安全关键指标得到了持续改善。

表1 系统高危漏洞统计

表2 网络攻击数统计

5 结 语

中央企业的生产经营管理与信息化结合越来越紧密，对网络和信息系统的依赖程度越来越高。网络安全作为基础性保障工作，对企业生产经营的影响越来越大，网络安全已与生产安全同等重要。中央企业应深入分析在网络安全方面存在的主要风险及其诱因，有针对性地加快探索和深入推进网络安全保障工作，提高网络安全的整体保障水平。