中央企业网络安全与保密研究
2022-03-02张琦
◆张琦
(国能信息技术有限公司 北京 100000)
网络安全的三个基本属性是保密性、完整性和可用性;保密工作的三大管理重点是定密管理、网络保密管理和涉密人员管理,因此网络安全和保密工作二者相辅相成、密不可分。加强中央企业信息化建设,坚持以创新驱动带动生产力,是“十四五”重要战略规划时期所必须做出的改革创新举措。只有积极地应用推广新型信息技术,中央企业才能进一步实现工业信息化、生产信息化和管理信息化发展格局,而开发利用好信息资源,也正是中央企业形成自己的核心竞争力,在主业上做大做强所必需的物质基础。但新型信息技术的应用,带给中央企业的除了生产与管理技术的变革以外,也对中央企业的安全保密工作提出了更高难度的挑战,因此只有应用网络安全技术,加强网络保密管理水平,提高中央企业信息化集中管控能力,才能进一步促进中央企业实现增值保值的长效运营目标。
1 网络安全与保密工作的重要性
中央企业是由国家党政组织独资控股的国有企业,通常在某个或多个行业内占据主要支配地位,在该行业内能够起到引领经济、带动经济、规范市场定价的作用,是国民经济体系中不容分割的重要经济支柱。而中央企业由于运营规模远大于常规民营企业与地方企业,所以它在资产管理、财务管理、人力资源调度、业务受理与风险管理上,所涉及的信息交互内容往往更加复杂多样,因此中央企业近年来在战略计划部署中,都会将信息管理系统建设和数字化转型放在重要位置。这样做的目的是通过信息技术高效率的处理与共享机制,提高企业的决策与执行效率,进一步规范管理体制流程,从而支撑中央企业长期稳定发展。
中央企业的正常运作,离不开对各类信息和数据的保密,例如企业的核心生产技术、知识产权、重要的生产工艺配方、科研数据、设计图纸、方案文件以及客户资料、财务数据等生产信息和经营信息,关系着企业的核心竞争力,反映了企业的经营发展状况。一旦中央企业在信息化管理过程中因网络安全与保密工作不到位,引起信息丢失或扩散,将会直接影响企业行业优势,导致战略决策和经营生产的困难。例如关键生产技术的信息泄漏,会导致企业在专业技术领域或业务市场中失去竞争优势;客户资料失窃会引发社会层面的公关问题,给企业声誉带来严重损失;企业战略计划方案的泄漏,将会给他人带来可乘之机,使竞争企业可以提前谋划,抢占市场,我方企业可能会失去行业和市场的优势地位。无论是哪一种失泄密事件的出现,最终都会对企业的生产经营和长期发展产生难以估量的影响;由于中央企业特殊的市场地位,甚至会造成国际影响和社会舆情。所以中央企业在信息化转型模式下,应当从以往失泄密事件中得到警醒,在前车之鉴中吸取经验教训,走出以往传统管理模式的局限误区,将信息网络安全工作与保密管理工作提上日程,进一步保障中央企业的信息安全[1]。唯有这样,中央企业才能够在新型信息技术的支撑下,在新时代经济时期长久发展与生存。
2 中央企业安全管理与保密工作的隐患因素与薄弱问题
2.1 网络安全隐患
2.1.1 网络业务复杂,互联网暴露面大
为响应国家网络强国的号召,中央企业已将内部专线与移动5G、IPv6 等技术相结合作为企业网络建设的重要方向,这使得内部网络可以获得更快的速度、更好的扩展性和更强安全性。但在方便业务系统联通的同时,也方便了系统入侵、病毒传播、数据窃取。近年来,通过互联网攻击入侵企业服务器进行“挖矿”的事件层出不穷,对企业的信誉造成了严重损害;勒索病毒改变了传统病毒破坏数据、阻塞网络、损坏硬件的方式,通过对重要数据进行高强度加密,让受害企业只能交钱就范,买回数据,且病毒一旦在内部网络传播,对前期发现、中期清除和后期溯源工作都带来了极大的挑战;互联网网站、企业信息系统数据库拖库事件频发,造成企业和人员信息泄漏的同时,也为不法人员的进一步网络攻击提供了便利。以上的网络攻击多数都是通过互联网进行,但互联网的使用已经深入到了企业日常生产经营的各个方面。企业为了自身宣传和便于日常工作,建立了互联网门户、采购交易等网站和移动办公、差旅管理等移动应用;由于行业监管、信息公开和业务发展的需要,中央企业的部分信息系统需要与主管部门和地方政府的互联网政务平台连接;企业员工需要与外部人员进行日常的工作交流和信息传递,及时通讯工具、互联网邮箱、网盘的使用不可或缺[2]。
中央企业的信息系统使用在这个问题上,存在两种极端情况:一是消极保安全,直接采用“一刀切”的管理模式,直接以物理隔断的方式将企业内部网络与公网对接,虽然可以避免由于网络连通导致的信息失窃和网络攻击,但长此以往由于企业内部网络环境始终处于与外界隔离状态,没有基本的信息交互,就会出现“信息孤岛”效应,严重阻碍了企业信息化水平发展,也对人员办公造成不便,降低了工作效率;二是未采取任何隔离防护措施,直接将内网与互联网连接,使各类信息系统和办公计算机暴露在互联网上,用于商业秘密和企业敏感信息的信息系统和处理终端未加以区分,移动存储介质的管理比较随意,使用人员的登记不规范,存在较大失泄密风险。
2.1.2 信息系统建设业务面广,人员管理困难
中央企业担负着强化主责主业,发挥国民经济“稳定器”和“压舱石”的作用,而多数中央企业并非专业的网络技术公司,所以多数内部管理人员和业务人员缺乏基础的网络安全技术知识,信息系统使用过程中将电子文件随意的保存,通过不安全的设备和网络进行处理传递,存在较大的失泄密风险,极易造成企业敏感信息扩散。
从人员编制和用人成本的考虑,多数中央企业在系统开发和网络运维工作的用工制度多样,存在着大量的劳务派遣、项目外委、厂商驻场的开发和运维人员,这类技术人员普遍年轻有活力,但政治敏锐性不强、人员流动性大、缺乏管理约束,工作中网络安全技术欠缺,保密知识和保密常识不足,容易因麻痹大意导致网络安全事件或失泄密事件,成为了网络安全保密工作的短板[3]。
2.1.3 信息化和数字化成果多样,供应链攻击难以防范
随着中央企业数字化事业的多年发展,主营业务与信息系统深度融合,云计算、大数据、物联网应用多种多样,形成了繁多复杂的信息系统集群。各信息系统集群是由不同子系统通过多次迭代开发完成,其中使用了大量的外部软硬件产品,这些软硬件产品不但品类繁多,而且来源复杂。目前开源软件和免费软件成为漏洞攻击的重点,尤其是通用性强的中间件产品更是发现问题的重灾区。相应的,payload(有效载荷)迅速在网上扩散,极大降低了漏洞的利用门槛,使一些初级“黑客”可以轻易的利用,随之而来的就是由于初级“黑客”知识的欠缺,造成对系统的破坏不可控。虽然软件社区和安全厂商会快速跟进漏洞的验证和修复,发布poc(概念验证)和安全补丁,但也极大加重了运维人员的负担。
近年来国产软件硬件屡屡取得突破,但其中大量产品都应用了国外产品或使用了开源技术,这就对产品的安全可靠性提出挑战,例如国外的产品是否存在设计缺陷和漏洞,是否存在后门,如评估终止产品供应或中断服务将对整个信息系统产生何用影响;开源的产品是否安全,后续的升级和服务如何保障等等。即使是完全国内自主开发的产品也同样存在自身的安全问题,如安全漏洞能否被及时发现,厂商能否第一时间提供安全补丁进行修复,安全威胁能否及时得到解决等。
3 加强中央企业网络安全与保密的对策措施
3.1 提高政治意识,强化信息化顶层设计布局
中央企业要首先明确政治站位,要从国家发展的角度统筹发展和安全,坚持总体国家安全观,牢固树立“没有网络安全就没有国家安全,没有信息化就没有现代化”“保密就是保党的长期执政地位、保国家安全、保人民幸福、保民族复兴”的意识,要兼顾数字化事业发展和安全保密,不能盲目追求速度和便利而不顾安全保密,也不能因噎废食将数字化转型停滞不前。
中央企业的数字信息化转型,要遵循《“十四五”国家信息化规划》,强化中央企业信息化转型的顶层设计,将网络安全防护能力作为一项基本建设要求,促进中央企业自有业务与信息化系统应用的深度结合,通过人防、物防、技防多位一体地开展系统化、工程化的网络安全与保密工作。
3.2 建设内紧外松的信息网络,提高网络安全防范能力
对于中央企业来说,通过内外网对接实现信息传输,是多数核心业务不可避免的内容,在网络设计中应遵循《中央企业商业秘密安全保护技术指引》,设计出符合自身业务实际的网络,制定高效、便捷、安全、可靠的网络隔离方案。可采取以下措施:一是通过网闸等隔离设备实现数据的可控交换和网络协议的断开,在有效缩小企业内部系统在互联网的暴露的同时,保证内外网的相互独立运转和数据的高效联通,避免因内外网隔离造成的工作不便。二是加强办公电脑和移动存储介质的管控,避免优盘、移动硬盘的数据摆渡行为,避免“病”从“口”入。三是坚持信息系统建设与网络安全的同步规划、同步建设、同步使用,在系统建设之初除了考虑到系统自身的安全性以外,还要考虑系统的安全功能,如文件和屏幕的水印(盲水印)、电子签章、打印审计等。四是加强移动应用和移动终端的管控,结合移动应用的使用场景,在数据擦除、远程管理等方面提出更高的安全防护要求。五是精细化网络日常管理,适当收拢互联网出口,细化网络访问控制策略,规范信息系统授权,使网络安全的日常管理切实有效开展。六是在企业内部定期展开网络安全攻防演练,动态评估企业网络安全防护工作水平,对查找发现的问题及时分析处理,并形成长效处置机制[4]。
3.3 以安全保密为推手,加强人员和供应链管理
中央企业的保密工作相较于网络安全起步早,有着十分丰富的管理经验和能力积累,各类管理制度完善,保守国家秘密是每个公民应尽义务的观念更是深入人心。在中央企业的信息网络、信息系统、信息设备均可以按照所承载数据的涉密情况进行分级分类,制定不同的管理策略和保障等级,选择合适的软件厂商、选用安全可靠的硬件设备,配备适当的运维保障人员,从而实现对信息系统的重点、动态、适度防护。加强对中央企业员工的保密教育培训,提高全员保密意识,掌握保密知识和技能,知晓工作中的保密红线和底线,约束日常工作中的行为。加大网络安全和保密工作的奖惩力度,对有突出贡献的人员进行奖励,对过失行为人和相关部门负责人进行严肃处理,遵守国家法律法规,维护企业内部的保密工作纪律,最大程度避免失泄密事件的发生。
专业的人做专用的工作。中央企业可适当引入背景可靠、技术过硬的第三方安全厂商作为技术支持,构建由内而外、由易到难的技术支撑团队,及时有效的获得安全咨询和行业动态,始终保持敏锐的态势感知能力。
3.4 各类管理部门齐抓共管形成合力,赋能数字化业务安全发展
我国信息化发展正处于内外部环境的深刻变化中,新一轮的科技革命和产业变革为中央企业的网络安全和保密工作的发展提出了新的挑战。在中央企业的内部管理中,网络安全和保密管理分属不同管理部门,面对数字化转型和信息化发展面临的挑战,各部门应在业务模型设计、数据分类、人员管理、设备管理、数据回收、监督检查等方面的相互配合,强化优势,弥补短板,形成合力,在中央企业内部形成无死角的网络安全防御机制。利用齐抓共管的网络安全和保密管理模式,建设可靠高效的信息系统,赋能数字化业务安全发展,提高中央企业的核心竞争力。
综上所述,随着中央企业信息化业务的发展,系统的应用情景中存在着互联网暴露面大、技术人员管理困难、供应链管控不足三类安全风险隐患,因此需要企业站在统筹规划的角度上分析网络安全形势,认清网络安全与保密管理工作对于信息化转型期企业发展的重要意义。在网络安全和保密工作相互借鉴的基础上,通过网络安全的技术规范提高信息系统的技术防护能力,借鉴保密管理积累的经验加强制度建设和人员管控,综合人防、物防、技防手段,配齐安全防护保障、优化安全防护策略,全面提高中央企业的网络安全与保密工作的质量,赋能产业数字化转型和企业安全稳定发展。