國有企業數字化轉型中的網絡安全防護與保密管理

◆熊寧

（中國電子科技集團公司第七研究所 廣東 510310）

隨著5G、云計算、區塊鏈、工業互聯網、人工智能等新技術以及新型基礎設施的建設與發展，傳統的經營模式已不能滿足國有企業的發展，數字化轉型勢在必行。2020 年8 月，國務院國資委正式印發《關于加快推進國有企業數字化轉型工作的通知》，也為國有企業數字化轉型明確了方向、重點和舉措。

國有企業作為我國國民經濟的關鍵，往往集中在關系國家安全和控制國民經濟命脈的行業和領域中，其產品研發、生產活動、經營策略等，往往涉及國家安全、先進技術、國家政策等。而在數字化轉型的過程中，涉密程度高、企業層級多的國有企業一般會建設和使用“內網”和“外網”，“內網”是指與互聯網物理隔離的涉密生產網絡（內網），主要用于產生、處理和傳輸企業中的國家秘密及直接關系企業利益的商業秘密，承載核心生產鏈和業務鏈；“外網”是指互聯網，主要用于收集公開信息、情報和企業宣傳。有些涉密程度不高或不直接產生國家秘密的國有企業會建設與互聯網邏輯隔離的辦公網，用于日常辦公，存儲和處理商業秘密，使用涉密單機存儲和處理國家秘密信息。其安全防護和保密管理任務重大。一旦網絡安全得不到保障，將會出現失泄密隱患。為了保證國有企業秘密的安全，應明確網絡安全保密管理與防護工作具體事項，推動國有企業長遠發展。

1 影響國有企業數字化轉型中網絡安全和保密管理的因素

1.1 病毒因素

病毒對網絡安全的影響具有突發性、擴散性、隱秘性等特點。而且，新技術的提升也必然帶來計算機病毒的破壞力和隱秘性提升，對網絡安全和保密管理的威脅將越來越大。國有企業數字化進程中，各種生產經營任務和數據信息逐步遷移到網絡中運行，對網絡的依賴程度大大提高，甚至其生產經營會受制于網絡。一旦網絡系統中某個終端計算機感染了病毒，將會急速擴散到網絡中，破壞業務系統，損壞網絡中的和網絡終端的信息，最終導致企業的生產運行受阻。若是擺渡木馬、竊密木馬，更會竊取走企業的核心秘密，直接影響企業的經濟效益，甚至危害國家安全。

1.2 網絡攻擊

網絡的開放性、透明性特點，在方便用戶的同時，也間接給不法分子滲入網絡系統提供了便利。國有企業數字化后，很多信息如企業的發展現狀、發展方向以及一些數據會呈現給大眾，便于國民獲取相關信息。這種開放式的信息也給不法之徒通過非法渠道獲取進入企業網絡系統的權限，并利用這些權限開展網絡攻擊，獲取用戶信息以及企業數據，致使重要的信息被盜取，還為計算機網絡埋下眾多的安全隱患，給國企造成嚴重的經濟損失[1]。

1.3 人員因素

國有企業在轉型時，容易忽視網絡安全人才資源的投入和企業員工信息安全素養和保密能力的提升。一方面，網絡安全人員的數量、素質和能力直接影響了網絡安全防護工作的效果。若網絡安全人員數量不足，各項防護措施必然難以落實落細；網絡安全人員素質和能力不夠，則無法及時發現網絡防護中的風險和隱患，并提出改進措施。另一方面，企業數字化對企業員工的信息安全素養、保密意識和保密能力提出了更高的要求。尤其是國有企業中國家秘密、商業秘密和普通信息并存的情況下，員工不掌握信息安全知識和技能，點開不明鏈接或網頁以致感染病毒，在“內網”和“外網”中交叉使用移動存儲介質，無法準確區分國家秘密、商業秘密和普通信息，將帶密信息上存、發布到互聯網上等，都可能造成過失泄密。

2 數字化轉型過程中存在的網絡安全和保密管理問題

2.1 缺乏頂層設計

國有企業數字化已經存在了很長一段時間，如今在國家的統籌推動下，更多的是通過局部整改、查漏補缺、新增應用等手段進一步加強和完善。但這種做法，往往會缺乏頂層設計，沒有專門對網絡系統內部存在的問題進行深入解析與處理，提出系統的解決方案，間接導致網絡安全能力分散，難以與網絡安全管理與防護實際需要匹配起來。同時，國有企業業務多，各個業務系統的運管人員各自為政，忽視各個業務系統之間的聯動與協同作業，無法最大限度地發揮其系統安全防護效能。此外，企業中網絡安全防御系統難以全面覆蓋整個企業的網絡系統，數字化業務方面的運維和相關標準還有較大的差距，進而影響國有企業數字化轉型的進程[2]。

2.2 工控安全問題

在數字化轉型的過程中，不僅需要技術作為轉型支持，對運行設備本身的要求也極高。目前，很多國有企業的工控系統、關鍵設備需從國外進口，日常運維具有較大難度，管理與防護的費用較高，且極易出現系統漏洞，為網絡安全埋下安全隱患。此外，涉密業務數字化對網絡安全和保密管理的要求更嚴更高，在業務重構和數據治理過程中，運管人員容易忽視保密管理要求，未對工控系統網絡內部進行分區、分域隔離，使網絡安全系統的管理與防護手段不能滿足相關要求，進而起不到系統的保護作用。

2.3 技術發展挑戰

信息技術的發展，使國有企業的網絡結構變得更加復雜，同時也使企業數據信息朝著集中化發展，多種形式的演變會加劇企業網絡安全風險，并在多樣化系統的作用下，衍生出新類型的網絡風險，為運管人員網絡安全的管理與防護工作以及企業保密工作增加了難度。原有的網絡安全構架以及設施設備是否能夠滿足新技術實施的要求，能夠滿足國家有關保密法律法規和規章制度標準要求，能否可以將數字化轉型中企業網絡虛擬化、數據集中等優勢展現出來，能否有效防控能夠有效識別系統安全和數據安全風險隱患，確保其在發生安全風險時能夠及時找到相關的解決措施進行應對等，都將成為企業數字化轉型中必須考慮的網絡安全問題。

3 加強網絡安全防護與保密管理的有效措施

3.1 加強頂層設計與規劃

國家提出，推動國有企業數字化轉型，要實現新一代信息技術與制造業的深度融合，促進國有企業數字化、網絡化、智能化發展。數字化轉型是一項極為復雜的系統性工程，而其中的安全防范能力是數字化轉型成功與否的重要支撐和保障。應把加強網絡安全納入數字化建設的重要內容，做好頂層設計，通過技術手段構建系統化、工程化的網絡安全防御系統，進而提高網絡風險的管控能力，有效降低網絡攻擊、病毒攻擊的風險概率。此外，也應建設互聯網統一出口的安全防護，提升網絡安全管理與防護的能力，最大程度發揮網絡安全構架的作用。組建專業的技術小組，在此基礎上使網絡安全能力更具體系化，深入完善安全防御系統，為企業數字化轉型奠定堅實的網絡安全基礎[3]。

3.2 加強體系建設與體系對抗能力

國有企業加強體系建設與體系對抗能力是提升企業轉型中網絡安全管理與防護的舉措之一，通過提高管控力度，從根本上增強網絡系統的運行安全。國有企業網絡安全保密管理工作加強管控的基礎是管理體系的持續改進與對抗能力的提升。

（1）完善精細化的信息安全保密管理體系

信息安全保密制度體系是企業網絡安全的管理準則和控制流程，是實現企業網絡可管、可用、可控、可查、可審、可追溯的基礎。采用精細化管理有利于網絡用戶、網絡運管人員的責任落實，實現工作內容和責任相互匹配，達到制度的全面執行及細節處理的程序化?？赏ㄟ^4 個方面提升制度體系的精細化升級：一是明確用戶、網絡管理、網絡運維的崗位與責任主體。二是梳理信息安全保密管理業務流程。三是編制操作規程。四是制定應急預案。在完善制度持續改進的基礎上，運管人員應不斷推動制度流程電子化建設，企業管理人員應促進信息安全保密管理工作與業務工作相融合。精細化管理是促進國有企業信息安全保密管理科學化、規范化以及提升管理效能的重要舉措。

（2）構建信息安全保密體系對抗能力

近年來，體系對抗理念被運用到多個領域。在信息化條件下，信息主導成為制勝關鍵，體系對抗成為基本形態，網絡空間成為新戰場。要在國有企業數字化轉型中搶占網絡安全的制高點，體系對抗是重要的理論依據。我們將體系對抗的經驗方法運用到信息安全保密體系建設工作中，參考軍事體系對抗理論，信息安全保密體系應該是功能上互補、行動上協調、機制上聯動的綜合體系。當前部分國有企業的信息安全保密管理體系主要包括安全策略、管理及工作制度、操作規程等基本模塊，雖然層次分明但通常缺乏互補和協調機制。比如，出現新的風險或上線新的安全保密產品后，運維操作規程已發生變化，但管理策略未及時調整；信息安全保密管理手段跟不上業務發展需要等等。在完善信息安全保密體系方面堅持問題導向與目標導向，形成信息安全保密體系對抗能力，打擊境外網絡攻擊等竊密活動。

3.3 技管并進提升網絡安全能力

數字化轉型是一項技術工程，在轉型過程中會遇到企業內部與外部的安全威脅，為了避免這些風險對轉型帶來的網絡安全風險，就需利用技術手段強化企業網絡安全管理與防護能力，落實保密管理手段，進而提升企業網絡安全綜合的防護水平。

一是在轉型過程中使用具有較高安全性能的產品與服務，并建立科學合理的網絡安全管理機制，明確網絡安全的管理要求，進一步完善管理制度，并根據風險和標準，對安全方案、產品和服務等進行嚴格的管理，使產品和服務更具安全性以及可控性。重視網絡安全的創新，大力推廣信創產品和服務，并將其投入到設施、軟件、信息系統等環節中，使網絡安全得以保障，進而保證企業安全體系的可控性。加強二次開發與自研能力的提升，提高信息系統的自主可控水平，降低工控安全風險，為企業的數字化轉型提供技術支持與保障。注重對工業控制系統的安全防護和定期檢測，保證工控系統的運作安全，夯實安全運行基礎。

二是建立企業網絡安全數據信息資源庫和數據安全管控平臺，重視數據全生命周期的安全防護和保密管理。建立數據資產臺賬和管理標準，對企業收集、產生的數據按照國家標準和企業規則劃分國家秘密、商業秘密和普通數據，再實行分級分類管理。明確各類數據在收集、傳輸、存儲等環節的信息安全和保密管理要求，提高數據防竊取、防攻擊、防泄漏的安全性能，起到數據安全防護的作用[4]。

三是建設網絡安全態勢感知平臺。實時監控網絡安全態勢，實時監管和預警。定期開展核心安全產品、數據庫、信息系統的信息安全保密風險評估工作，發現安全隱患，分析原因，提出改進措施并督促整改。加強與各級平臺的聯系，及時通報發現的網絡安全問題和防護手段，加強各業務系統的安全防控聯動協作能力和獨立處置安全問題能力，全面提升企業網絡安全。

四是將保密管理要求融合業務數字化和業務重構的各個環節?！皹I務工作開展到哪里，保密工作就延伸到哪里”，保密工作與業務工作融合發展已經在國有企業中取得了一定的成績。在數字化轉型中，應當進一步鞏固和發展這一項工作。根據業務工作責任，明確設置和分配業務信息系統和企業數據閱讀使用的權限，在業務流程中設置保密審查、審批環節和保密提醒，確保保密工作與業務工作同步實現數字化轉型。

3.4 加強安全人員隊伍和企業員工的安全教育培訓

很多國有企業認識到運管人員在轉型過程中的重要地位，也重視相關網絡安全管理與防護人員的投入，并對其進行技能培訓。但培訓內容往往與網絡運維有關，卻忽視了運管人員安全保密意識和應急處理能力的培養。如面對網絡數據遭到惡意篡改、保密違法違規行為時，運管人員會無從下手。因此，企業應定期開展網絡安全攻防演練，使其了解常見的攻擊方式以及病毒形式，掌握相關的應急處理對策，以確?？梢栽诘谝粫r間進行處理。同時，還可以通過技術手段和實際感知提升運管人員對安全隱患、薄弱環節和短板的發現能力、分析能力和進行優化整改的能力，進而提高網絡安全防御水平。

另一方面，全體企業員工的安全保密意識和能力也不容忽視。國有企業數字化轉型過程中，員工開始逐步從傳統的工作方式中解脫出來，開始進行數字化作業，企業網絡安全直接影響員工工作效率和利益。而企業中的國家秘密、商業秘密涉及的內容廣泛，涉及的單位眾多，每一位員工都可能直接或間接地接觸秘密信息。無論是從網絡使用還是從數據安全方面來看，企業員工都與之有關。通過開展全員安全保密意識和能力培訓，能有效提升員工在網絡安全中的參與度和認同感，營造全員安全保密的良好氛圍。

數字化轉型后，國有企業通過業務流程數字化和優化改造，實現信息互聯互通，生產服務在線協同，服務場景智能化，最后實現線上線下一體化管理。

要順利完成數字化轉型，其中的網絡安全建設必不可少，而網絡安全建設是個系統工程，會受到各方面不同因素的影響而導致必然存在某些薄弱環節和短板。企業應當將其納入數字化建設的重要組成部分予以考慮，加強頂層設計，做好規劃，將安全保密責任壓實，采取“技管”并進的手段令安全保密措施落地，并注重網絡安全隊伍建設和全員安全保密培訓，進而全方位強化網絡安全保密能力，為企業數字化轉型提供支撐保障。