中小事業單位網絡安全防護策略思考

曉虎爾

工業和信息化部國際經濟技術合作中心 北京 100846

為提升中小事業單位網絡安全防護能力，更好地應對新形勢下的網絡安全風險與挑戰，以《網絡安全法》為根本，以相關制度為依據，以實踐為基礎，從網絡安全組織架構、網絡安全等級保護、網絡安全建設及網絡安全運維等方面出發，通過探索規模較小的事業單位及社會團體現狀，提出具有針對性的網絡安全防護策略及建議。

引言

信息技術的發展極大地促進了經濟社會的繁榮，同時也帶來了全新的風險和挑戰。在互聯網應用深入發展和使用的過程中，非法訪問、惡意攻擊等安全威脅也在不斷升級改造、推陳出新，攻擊和破壞的手段越來越多，我們的網絡空間已是危機四伏。規模較小的事業單位及社會團體普遍分布在國家各個公益行業，其中的很多單位都掌握著公共數據，關乎著民生和國家安全。但由于資金限制，這些單位中的絕大多數都無法承擔相應的網絡安全建設費用，缺乏專業的網絡安全人才，對網絡安全問題常常抱有僥幸心理，規模較小的事業單位及社會團體網絡安全作為國家網絡安全防護體系的短板，安全問題是普遍存在的，絕不可小視，強化公共數據治理，補齊短板，改善現狀已是當務之急。

1 網絡安全現狀

隨著“互聯網+”及物聯網技術的日趨成熟，無論是家用電器還是大型專業設備，越來越多的廠商為了提高商業價值，忽視了網絡安全，甚至會通過削減網絡安全功能從而達到降低成本的目的，對互聯網的穩定性安全性都造成了極大的威脅，大大增加了用戶使用設備的風險。可以說，網絡安全問題是影響當今經濟社會發展的重要不安定因素之一[1]。

2015年8月，國務院印發《促進大數據發展行動綱要》，從國家層面指導大數據發展及相關治理。2016年初，網絡安全被正式劃入“十三五”規劃的重點建設方向，國家重視程度達到前所未有的高度。2016年以來相繼頒布了《網絡安全法》、《國家網絡空間安全戰略》及《戰略性新興產業重點產品和服務指導目錄》等相關政策相繼出臺，更加速推動信息安全產業的蓬勃發展。2019年10月，我國首部針對兒童的網絡保護法——《兒童個人信息網絡保護規定》出臺，2020年1月1日，《中華人民共和國密碼法》正式施行，這些法律法規的出臺，標志著我國在網絡安全的制度建設方面已經日趨完善。

此外，2019年1月，中央網信辦、工業和信息化部、公安部、市場監督總局等四個部門正式發布《關于開展APP違法違規收集使用個人信息專項治理的公告》，并于2019年底在全國范圍內開展了APP違法違規收集使用個人信息專項治理行動。同年11月，由公安部主導的“凈網行動”專項行動共偵破涉網案件45743起，抓獲嫌疑人65832人，取得了良好的成效。這兩次行動的成功表明，我國網絡安全防控體系在主動防御環節已經取得了重大進步。

但是，網絡安全問題是無處不在的，并會隨著技術和手段的進步而不斷迭代更新，只要國家網絡安全防護體系存在短板，就一定會被不法者攻擊。特別是公共數據安全，已成為網絡安全防護的焦點。今年7月發布的《2020聯合國電子政務調查報告》表明，我國電子政務發展指數取得歷史新高，在線服務指數上升為0.9059，排名世界第9。這說明我國公共數據在不斷增長，并且有可能甚至已經出現指數型、爆發型增長，其現實經濟社會價值帶來的巨大的風險，是很多涉及大量公共數據處理的中小事業單位無法承擔的。

根據國家統計局數據顯示，我國目前有將近87萬個事業單位，30萬個社會團體，這其中大部分單位都屬于100人以下的規模較小的事業單位或社會團體，這些單位中相當一部分存在公共數據安全隱患，他們或沒有對網絡安全形成足夠的認識，或沒有充足資金加強安全建設，又或缺乏專業人才進行維護，國家網絡安全體系的短板已經浮現。因此，如何減少因網絡空間數據安全問題造成的損失，改善規模較小的事業單位或社會團體網絡安全現狀，最大限度維護網絡安全是一個迫在眉睫的現實問題。

2 安全防護策略

結合規模較小的事業單位或社會團體特點，以網絡安全等級保護2.0為標準，從機構建設、制度建設及安全管理策略等方面入手，提供一個覆蓋大多數中小事業單位運行邏輯且低成本高效率的網絡安全防護策略[2]。

2.1 網絡安全等級保護2.0

由于不同信息系統的保密要求和應用要求并不一致，要對單位整個網絡安全信息系統進行必要的劃分。

（1）確定網絡安全信息系統等級

事業單位和社會團體往往肩負著公益性任務，甚至部分單位的信息系統存儲著大量公共數據信息，如果受到破壞，會對不同行業造成不同程度的影響，對符合此類情況的信息系統建議定為三級或三級以上系統，其他系統可按照《網絡安全等級保護定級指南》做好分級保護。

（2）安全技術框架

根據國家市場監督管理總局和國家標準化管理委員會發布的網絡安全等級保護2.0標準，參考“一個中心，三重防護”的方式，以安全管理中心為核心，以安全通信網絡，安全區域邊界和安全計算環境為著力點，構建符合單位業務特點的安全技術框架。

2.2 機構建設

規模較小的事業單位或社會團體通常有以下特點，如領導層更注重業務，業務崗忽視管理，管理崗一人分飾多個角色等，因此，我們在建設網絡安全工作機構時，要盡可能縮小管理層級，避免管理人員因為過多介入工作小組，而在執行過程中投入過高的時間成本，影響決策和執行效率。所以，建議設置兩級管理層級，即領導小組和執行小組。

（1）網安領導小組

為確保規模較小的事業單位或社會團體對網絡安全工作的持續重視，領導小組要以單位主管領導、網絡安全分管領導、網絡安全部門負責人等為主要成員，同時，為了提高領導層的決策效率，更好的應對網絡安全的突發情況，建議成員人數不超過5人。領導小組負責制定安全體系的總體方針，研究安全策略的制度流程，部署網絡安全的宣傳工作，評估執行小組的工作情況。

（2）網安執行小組

網絡安全執行小組為領導小組的日常辦事機構，主要由網絡安全分管領導、網絡安全部門負責人及網絡安全執行部門的相關管理、技術人員組成。執行小組主要負責網絡安全的日常工作，包括落實領導小組制定的總體方針和部署要求，保障網絡網站信息系統安全可靠，推進單位網絡安全及信息化建設。

圖1 中小事業單位網絡安全防護策略

2.3 制度建設

緊密結合單位實際對各個部門的網絡信息系統使用情況做好充分的調研，了解不同崗位人員對網絡安全的理解和訴求，掌握網絡安全資產的運行和維護情況，梳理出網絡安全的各項風險點，并邀請內外部專家對整個信息系統進行風險評估和研究討論，得出應完成工作的優先級，按照《網絡安全法》及其他相關制度，對標網絡安全等級保護標準，按照需求內容和建設目標，圍繞安全機構、安全管理、人員管理、系統管理及運維管理等方面制定符合單位實際的網絡安全制度體系[3]。

2.4 安全管理策略

圖2 運維流程（簡版）

網絡安全執行小組在制定安全管理策略的過程中，要圍繞“一個中心，三重防護”的建設和管理思路，結合安全通信網絡的要求，有效指導單位安全通信網絡的劃分；利用安全計算環境明確身份鑒別、訪問控制、安全審計、入侵防范等安全措施；并根據安全區域邊界對訪問控制策略和邊界防護提出要求；針對以上三重防護的安全機制，形成一個統一的安全管理中心，實現統一管理、統一監控、統一審計、綜合分析且協同防護。此外，結合其他等保要求，主要是安全通用要求和安全擴展要求，建設具備符合相應級別的安全保護能力的安全管理策略。

（1）安全運維

如何緊密結合網絡安全框架與單位具體業務相對應的網絡安全需求是制定安全運維策略的重中之重。如有的業務系統在受到攻擊后對快速應急響應有較高的需求，比如與電子政務相關的信息系統要注意架設負載均衡，使用主備機定期對備份做恢復測試；有的則對數據的保密性有具體的要求，比如涉及大量公共數據的信息系統，則要在入侵防范和惡意代碼防范方面做好防護。因此，制定符合單位實際且經濟有效的運維策略是對單位數據安全的有力保證[4]。

（2）日常管理

網絡安全執行小組要在日常運維及管理的工作上做好合理分工，劃分好三員，強化責任落實。一般情況下，應以公共數據及單位業務數據的保護為重點，圍繞物理環境、介質、設備維護及安全事件處置等管理制度完成日常運維管理工作。在發現威脅時，要對事件進行深入分析和研判，給出安全整改建議，對蘊含中高風險的漏洞要及時進行防御策略的優化。使用云服務器的單位要特別注意安全區域邊界和安全計算環境的相關要求，保證數據流在通過邊界設備提供的受控接口進行通信。

（3）敏感信息管理

結合單位等保情況，做好在日常運維管理中的敏感信息的劃分是做好敏感信息管理的第一步，尤其要注意防范運維中產生的信息，做好IP地址及網段、三員賬號口令、信息系統拓撲圖、等保測評的評估報告等信息的保密工作。

（4）網絡安全自查

網絡安全自查是預防重大網絡安全事故的重要工作之一，可以結合單位業務特點，按照規章制度執行情況、終端設備使用情況、遠程登錄情況、等保合規等方面定期對網絡信息系統的安全情況進行巡檢抽查，發現的問題要及時整改，對受到攻擊的設備或資產，要深入分析，查找原因，及時整改，對安全事故的責任人要嚴格按照規章制度進行處置。

（5）安全培訓

中小事業單位或社會團體的員工通常存在網絡安全意識薄弱、網絡安全知識匱乏的現象，特別是部分單位使用資源共享的內部網絡，在使用資源時會出現因警惕性不高將電子郵件中的病毒帶到單位內部網絡的現象，這些都是由于個體在使用單位公共網絡資源時因其知識結構所限或安全意識淡化造成的。因此，加強有針對性的安全培訓，特別是關于應急處置的培訓，提高培訓質量，強化安全意識，是保障網絡安全的重要環節[5]。

3 結束語

覆蓋各行各業掌握大量公共數據的事業單位和社會團體，將會隨著數字經濟技術的不斷發展，網絡空間與經濟社會的不斷融合，在未來面臨更大的風險和挑戰。我們要圍繞國家各項業務系統平穩運行這一目標，補齊短板，消化存量的安全風險，加大對規模較小的事業單位和社會團體的支持力度，網絡安全管理部門要結合中小單位的特點，繼續落實配套的政策法規，并通過持續深入推進信息系統等級保護工作，著力培養一批具備網絡安全基本防護能力和管理能力的復合型人才，以應對日益復雜嚴峻的網絡安全生態。