刘丽娜 中国移动通信集团陕西有限公司宝鸡分公司

为了切实维护国家安全、人民群众合法权益、网络空间良好生态，国家相继出台了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《中华人民共和国反电信网络诈骗法》草案，简称网络安全“四法一条例”。为做好新时代网络安全和信息化工作、扎实推进网络强国建设、实现中华民族伟大复兴的中国梦提供了强有力的法治保障[1]。目前，整个企业信息安全领域的管理和现状仍然处于封堵漏洞式的安全管理模式，基本是根据已经掌握的安全风险点进行被动地去监测、事后启动风险响应机制等这种很单一的安全防控手段，缺少对整个网络安全状态的检测及预警机制，便不能做到主动地去防御，这种模式已经无法满足现企业对网络安全管理和防御的真正的要求。对于数字化新时代的环境下，对网络环境和业务环境的网络安全就有了更高的要求。这些都主要通过信息系统、核心数据、实时网络安全状态的认知与展现，去发现自身存在的隐患问题和风险情况，同时将新数据与之前的旧数据进行比较，形成合理的趋势判断，实现全面的、分层的、多角度的感知，为发现的安全隐患预警通报、安全整改策略提供重要数据支撑。从而能够提升企业对安全风险方面存在的问题的分析与治理能力。

一、目前企业存在的网络安全形势

数字经济发展迅速，通信网络呈现云网融合化、虚拟切片化、智能算力化、能力开放化等演进特征，新型网络安全风险和挑战也随之而来。安全漏洞、勒索软件攻击、数据泄露、电信网络诈骗等问题高发频发，网络安全作为影响国家安全的重要因素已成为全球共识，整体网络安全形势仍然严峻复杂。

电信网络诈骗治理形势堪忧，不良信息传播手段不断翻新，攻防对抗强度持续加大，行业领先优势面临挑战。公安部、工信部等上级部门关于电信网络诈骗治理、个人信息保护、网络安全远程检查等方面的监管考核力度不断加大。

二、落实“四法一条例”工作思路

已出台的《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等网信领域重要法律法规，系统规范了各网络主体的职责义务，其中52个条款对网络安全工作提出明确要求，正在制定的《中华人民共和国反电信网络诈骗法》主要是按照完善预防性法律制度的要求，针对电信网络诈骗发生的主要环节，明确加强防范性制度措施相关举措。企业可以将明确以“四法一条例”为切入点，全面梳理各项法律法规要求，通过学习宣贯、对标提升、完善专项工作体系，确保网络安全工作依法合规。目前，初步完成已出台法律法规相关要求的梳理对标对表，并组织开展相关法律法规要求的培训宣贯，待《中华人民共和国反电信网络诈骗法》正式颁布后将对其中明确的重点内容进行细致梳理并开展教育宣贯。后续将严格遵守和落实各项法律法规要求，在确保工作合法合规开展的基础上，进一步健全完善网络安全技术框架，企业加强关键信息安全防护体系，加大数据安全和个人信息安全的保护力度，深化推进打击治理电信网络诈骗，加强网络安全产品服务创新，满足人民群众对美好数字生活的向往。

三、管理网络安全的重点

（一）提升思想认识方面

1.围绕“国之大者”勇担央企职责使命，结合实际落实“第一议题”制度，企业通过党委会、中心组集体学习研讨、党支部“三会一课”等，深入学习贯彻习近平法治思想、总体国家安全观、网络强国战略、习近平总书记关于打击治理电信网络诈骗犯罪工作的重要指示精神等。

2.充分领会网络安全领域重大决策部署，持续夯实党委网络安全责任制根基，贯彻落实“四法一条例”要求，特别是关注“重要数据”等新要求、新提法，进一步加强“四法一条例”的学习宣贯，并纳入企业学习的必修课，通过集中学习、教育培训等方式持续提升全员依法开展网络安全工作的意识和能力。

3.按照“谁运营、谁负责”的原则，严格落实网络安全主体责任，以防攻击、防入侵、防病毒、防泄密为重点，全面排查企业网络安全隐患，强化网络安全防护和治理工作。

4.企业安全管理中最重要的就是终端的管理，通过采用规范合法的专业技术手段对终端作业时接入的网络环境，终端资产中的服务信息的详细情况要进行全面的监管，这样才能保障企业网络在应用环境中能够安全又稳定的运转。另外，企业在选择终端型号时要根据企业本身的实际情况来按需采购，为保证使用过程中的售后服务质量因素，要选择正规厂家生产的终端。强化终端特别是办公网终端管理，进一步整改处理已知的高危漏洞，定期升级病毒库，查杀木马等恶意程序[2]。严格审核外部终端接入情况，严禁维护终端的外连行为。进一步强化人员网络安全意识宣贯，防范钓鱼网站、仿冒网站等社会工程学攻击行为，严禁访问恶意网站等与工作无关的外部网站。

5.网络安全设备管理，企业常用的终端设备安全手段主要包括防火墙、安全管理系统客户端、360等入侵检测系统和一些设备。这些都需要根据企业的终端设备数量、搭建图、生产经营的业务种类、涉及的信息等级及信息数量，来确定适合的终端设备和管控方式。终端设备是企业的网络安全管理的主要手段，所以，针对不同终端的特点要梳理出适合该类终端完整的操作手册及维护文档，并且需要定期更新完善手册及文档内容。还有，企业的网络安全防护策略要根据企业本省的业务应用需要情况来布局。企业内网的使用要根据账号及账号权限级别来管理，比如企业内网系统，也就是企业通讯录中的在编员工，可给予在内网办公网络环境下相应的访问权限，非企业员工在使用内网终端时，需要建立临时访问账号，设置账号有效期（最长不超过十二个月，到期根据情况做续期处理），并通过访问权限来控制可以使用的范围。

（二）开展科学决策方面

在开展决策与制定计划中，统筹考虑法规要求、人才专家队伍配置等因素，强化组织保障，明确管理规定，高度重视并落实开展网络安全方面的专家人才团队建设工作。除了要有专业性较强的人才队伍，还要体系全面的加强网络信息安全系统的建设，更加需要建立完善的企业网络安全风险预案。企业应该根据网络安全等级保护的各个要求，从物理层面、策略层面、布局等方面进行系统的信息安全防护预案，其主要内容包含对机房的建设运维、设备和介质、办公环境的通信网络、区网边界、服务器、系统平台的应用数据备份和恢复等方面。分析企业自身存在的网络安全工作上的风险点，制定相应的符合实际情况的、操作便捷且有效的网络安全防控预案，并且企业要定期组织全网的网络安全攻防演练活动，用以检测各个终端应用是否存在着网络安全风险。攻防演练活动一定要涵盖企业的所有部门，其中起头部门为主要的网络安全负责部门，其他业务部门根据牵头部门的指导手册来配合好需要防控的区域及演练方法。另外，企业在安排网络安全攻防演练活动的前提条件就是，对于攻防演练过程中出现的网络安全事件要有应对能力和处理预案。减少响应时间预案不到位引发的更严重的后果，从而真正地减少网络安全事件发生后对企业的损失。

1.企业需要统一购买官方的系统病毒管控软件，病毒管控软件的应用从网络使用环境分析来看，系统病毒会对网络安全造成较强的危害性，若是终端中病毒，将导致整个企业系统的崩盘和使用，也会造成企业数据丢失或者被流出、终端被劫持等安全隐患。所以，用户可以随时使用企业购买的安全软件及时扫描查杀安全隐患，一经发现可立刻修复病毒。企业在选择此类软件时应尽可能选择官方正规厂家正版产品，这样可以有效地对用户计算机安全进行保护，减少病毒对计算机的攻击和影响，还需要不定时地进行病毒扫描，可以有效地监控到终端中是否存在风险，也能提高企业整体的网络应用环境。

2.企业需要每年统一组织员工签订《信息安全责任承诺书》，为保障客户权益，保障企业稳定、健康发展，需本人自愿签订承诺。这种做法可以进一步加强企业信息安全保护工作，提升企业及合作伙伴信息安全意识。此外，需要在承诺书中明确的写明，《中华人民共和国网络安全法》《中华人民共和国国家安全法》第二十五条，《中华人民共和国反恐怖主义法》第十九条、二十一条、五十一条、六十一条、八十四条和八十六条之规定，明白国家网络与信息安全保障体系的建设是为了维护国家网络空间主权、安全和发展利益，以及《中华人民共和国刑法》《中华人民共和国刑法修正案（九）》第二百五十三条、第二百八十六条和第二百八十七条的规定，明白出售公民信息，不履行法律以及行政法规规定的信息网络安全管理义务，协助或利用信息网络实施犯罪等的后果[3]。

3.网络安全等级评测，为了保证企业在合法合规地使用信息数据，就需要有一个安全稳定的系统，所以企业需要定期开展安全防检测评并检测结果将形成台账记录。如遇网络安全事故，企业需要派专人专项负责修复，对造成事件的原因进行评估和责任定性，输出应急防护处理结果及事件内容的备案，备案表中至少需要记录事件等级、持续时间、发生时间、发现方式、修复方法、事件影响范围等重要内容。

（三）强化战略执行方面

1.建立健全的内部协作机制，系统推动企业打击治理电信网络诈骗工作等重点工作落实到位；组织开展源头管控、监测处置、用户预警宣传、技术研究支撑等工作，严格落实相关工作要求，各项考核指标达标，未发生监管处罚、考核扣分情况。

2.主动围绕法律法规对标对表，开展自查，对于自查发现的风险隐患和改进项，要组织制定整改提升工作计划，明确具体措施、时限、责任人等。

3.通过现场调研、会议汇报等方式对重点工作在基层的落实情况进行调研评估，对各类堵点、难点问题及时进行疏解排除。

4.加强企业的管理，为了更好地对企业网络安全环境和管理方案进行规划和完善，企业必须有独立的网络安全管理部门及责任人，一般企业一把手是第一责任人，负责企业网络安全工作的责任人主要责任人，再下设网络安全管理党小组，小组成员负责各业务部门的安全意识培训及风险治理配合工作，这样才能将企业网络安全工作落到实处，做到环环有人盯，项项有人管的闭环管理模式。

5.数字资产的管控，当下随着云计算及移动互联网时代的来临，线上发布流程变化莫测，如不掌握详尽的资产信息，一旦发生问题无法在最短时间定位问题出处；二是外部预警提醒传达后无法精准处置，浪费时间、精力、财力的情况。企业要想做到有效的安全管理，必须对资产全面、准确、实时掌管，牢牢把握“资产管理、风险预警、主体责任人”三大要素。第一，进行资产详情的梳理掌握，包括端口服务登记、从外部到内部的资产详情、最后要形成完善的资产台账，并定期更新和审核。

（四）确保取得实效方面

1.抓住关键节点强化监督检查，推动健全闭环反馈机制，落实监督检查要求，完善优化考核手段，在配合开展工业和信息化部“双随机、一公开”网络安全防护检查、公安部门网络安全执法检查基础上，对企业网络安全工作落实情况进行监督检查，对发现的问题加大通报曝光力度并及时开展约谈、考核、问责[4]。

2.及时更新完善制度机制，构建系统完备、科学规范、运行有效的本单位网络安全制度体系，待《网络安全等级保护条例》《数据出境安全评估办法》等制度出台后，根据企业相关管理要求，及时结合实践发展和业务需要，更新适用于本企业的实施细则，并加强制度执行情况的监督检查，全面实现本企业在网络安全管理方面的持续提升。

随着数字化时代的到来，也迎来了业务系统的不断更新升级，企业业务系统也在不断变化，网络信息化形势日益显著，面对这种严峻网络安全形势受到前所未有的挑战，旧时的被动防御和防护工作已经无法适用于现有的状况，国家也对网络安全管理运营工作提出了新的挑战和要求。企业响应国家要求，在安全管理方面需要更加严谨，从业务应用安全、数据信息安全、关键基础设施安全等多个维度去管理。企业网络安全事件的预警监控、预案处理、风险管控等阶段都发挥着非常重要作用，企业必须将安全管理与运营工作落地，才能有力提升企业的网络安全整体防御能力。