淺談央企網絡安全管理：體系化轉型與實踐路徑

【關鍵詞】網絡安全管理；體系化轉型；生態構建

引言

隨著計算機網絡技術的廣泛深入應用，網絡安全問題日益突出，由此而引發網絡間控制與反控制的斗爭也日漸激烈，發展計算機網絡安全防護技術成為各國的共識[1]。中央企業作為新時代數字經濟中的“穩定器”和“壓艙石”，掌控著能源、交通、通信等基礎設施，其網絡安全與國家安全息息相關。從風險角度來說，隨著中央企業信息化、數字化進程的發展，高價值的數據在不斷積累，隨之也出現了眾多信息技術黑色產業[2]。近年來，針對關鍵信息基礎設施的安全威脅層出不窮，勒索病毒、數據丟失等網絡攻擊也越來越嚴重，中央企業網絡安全形勢愈發嚴峻。

就政策層面而言，《中央企業網絡安全工作指引》指出，央企需“針對攻防對抗場景，做好網絡安全攻防對抗基礎性工作”，且將網絡安全事件納入央企主要負責人經營業績考核。而《中華人民共和國網絡安全法》《中華人民共和國數據安全法》等法律法規的陸續出臺，也對央企合規提出了更多要求。因此，對央企開展網絡安全管理工作進行研究和思考，具有迫切現實意義。

一、央企網絡安全現狀分析

（一）管理層面

1.組織分散，難以管理

大型中央企業結構復雜且組織分散，規模較大的中央企業，分支機構成百上千，網絡安全所涉及的范圍十分廣泛，網絡安全管理呈現出較高的分散性。例如，某大型央企下屬有600多家企業，員工數量約20萬，總資產達4 000多億元，遍布全國及幾十個國家和地區。中央企業網絡安全策略的制定不僅缺乏科學性，還存在一定的滯后的現狀，各下屬機構信息系統獨立建設的現象十分嚴重，因此，集團公司很難有針對性地建立科學、統一的安全策略。這不僅加大了中央企業的安全管理難度，也使得對于安全缺陷與漏洞的修補問題難以及時得到解決。一旦該企業內部的相關網絡信息系統被黑客入侵后，會造成嚴重的經濟損失。

2.員工網絡安全意識不足

網絡安全意識不足是央企網絡安全管理的一大痛點。當前央企絕大部分員工對于網絡釣魚郵件、惡意軟件等常見攻擊手段缺乏敏感性，因人員疏忽而引發網絡安全事件成為中央企業網絡安全管理的軟肋。人員網絡安全意識不足也體現在日常行為當中，部分人員出于方便記憶等考慮，隨意選用弱密碼、共享賬號、密碼本地存儲等不安全行為，給攻擊者留下可乘之機。

（二）技術層面

1.央企信息系統落后

當前一些央企的信息系統較為落后，安全防護能力薄弱、漏洞隱患多，給企業網絡安全造成了很大的風險隱患，給網絡黑產的攻擊帶來了許多機會。老舊系統還伴隨著安全技術落后。在網絡安全防護技術持續更新的背景下，許多傳統防火墻、入侵檢測系統等已經無法防范新型攻擊，但是由于系統不兼容、更新成本過高，一些央企無法及時引入先進的安全技術手段，導致企業內部的網絡安全防護能力存在明顯缺口。

2.防護缺失

好的安全防護技術是確保網絡安全的本質，使得任何網絡風險的出現都不會帶來嚴重后果。在防護能力建設上，傳統的邊界防護模式無法抵御復雜的網絡攻擊，央企普遍存在缺少動態防御、零信任架構等先進技術的問題，亟待部署構建嚴密完整、覆蓋全生命周期的安全防護體系。

（三）合規層面

1.政策合規要求高

隨著網絡安全法律法規的日益完善，給央企所帶來的政策合規壓力也逐漸增大。《中央企業負責人經營業績考核辦法》將“網絡安全事件”納入重大事件報告體系，對造成較大和較大以上網絡安全事件的企業，企業負責人將受到降級處分或扣分處理。同時，《中華人民共和國網絡安全法》對關鍵信息基礎設施運營者規定了嚴格的數據安全、風險評估義務。網絡安全成為央企合規經營，控制風險的重要因素之一。

2.合規運營難度大

合規不僅體現在技術層面，還體現在系統管理、運營等層面。《中華人民共和國網絡安全法》規定了關鍵信息基礎設施的運營者應當定期進行網絡安全檢測和風險評估，制定應急預案。部分央企因缺乏專業合規人員以及完善的合規流程，難以滿足這些要求，由此產生合規成本上升的難題。

二、央企網絡安全管理面臨的挑戰

（一）攻擊類型多樣化與攻擊鏈路復雜化

當前，央企的網絡攻擊呈現出類型多樣化、鏈路復雜化的特點。其中，勒索病毒攻擊是央企面臨的最顯著的威脅之一。有關數據顯示，近幾年每年全球勒索病毒支付金額高達8億至10億美元，攻擊者通常以資金充裕、關鍵運營數據集中的組織為目標。除了勒索病毒攻擊，新興的網絡攻擊手段也層出不窮，例如，基于生成式人工智能的網絡釣魚郵件，能夠逼真地模仿企業高管的郵件，誘導員工點擊惡意鏈接或下載惡意附件。相關研究顯示，這類攻擊的成功率遠高于其他傳統網絡釣魚郵件。

（二）數據泄露

央企存儲著大量的敏感數據，一旦泄露會嚴重影響國家安全和社會穩定。黑客利用信息系統中的薄弱環節獲取核心數據，并利用數據非法牟利。數據泄露不僅發生在外部攻擊行為中，也會發生在企業內部員工身上。例如，某央企員工因對自己的工資不滿意，從而利用職務之便竊取大量核心數據，出售給競爭對手，給該企業造成了巨大的損失和負面影響。

（三）跨部門協作與供應商管理存在風險

在安全管理實踐中，央企常常面臨跨部門協作困難以及第三方供應商風險難控等挑戰。在跨部門協作方面，網絡安全管理涉及技術、業務、法務等多個部門，但由于部門間職責劃分不清、溝通機制缺失等原因，導致安全策略難以有效落地。跨部門協作困難的問題還體現在應急響應中，當遇到網絡事件的時候，由于各部門無法迅速統一指揮，導致企業陷入各自處理的狀態之中，無法兼顧安全性和業務性，這就導致了應急響應困難。此外，第三方服務商的風險問題也較為突出和常見，第三方服務商的安全標準不一，也成為攻擊者滲透央企網絡的“后門”。供應商風險一般體現在供應鏈攻擊中，攻擊者常利用供應商系統的漏洞植入惡意軟件，橫向滲透到央企內部網絡，造成重大安全事件。這在網絡技術中被稱為供應鏈攻擊，這是指黑客通過軟件開發，將黑客編碼集成到合法的軟件應用中，繼而導致企業業務系統感染木馬病毒程序。黑客程序在執行的時候，往往會存在部分程序丟失和系統失效的問題，致使企業的業務系統遭到破壞，給信息安全帶來了巨大的風險。例如，某央企由于自身的企業信息系統出現供應鏈攻擊，導致黑客在執行的過程中繞過了企業的邊界防御，直接入侵了自身的內部網絡，給企業內部的業務造成了極大的負面安全隱患。

（四）頂尖人才流失與技術依賴

首先，網絡安全人才，特別是頂尖網絡安全人才流失是央企當前存在的普遍現象。因互聯網市場的持續發展，頂尖技術人才的需求缺口巨大，頂尖網絡安全人才被大型民營公司以高薪“挖走”的現象時常出現。大量網絡安全人才流失，導致央企內技術高、能力強的技術人員嚴重缺失，難以應對日益嚴峻、復雜的攻擊。其次，頂尖安全人才培養存在缺失或不足。當前央企網絡安全團隊技能結構不合理，未形成可持續發展的人才分布模式；安全人才訓練體系也不健全，大量安全人員技能跟不上網絡安全攻防形勢的變化，面對新型、復雜網絡攻擊難以抵擋。最后，當前央企網絡安全技術依賴度較高，部分關鍵安全核心技術受制于人。例如，一些高端網絡設備國產化率較低，央企通常使用歐美品牌，一旦受到技術封鎖、供應鏈中斷的限制，會對其自身網絡安全防護能力構成巨大的威脅。同時，信創生態不成熟，網絡安全自主可控受限制。目前部分信創產品存在兼容性、穩定性以及實用性等問題，難以滿足央企安全及復雜的需求，信創生態建設尚有不足。

三、央企網絡安全管理體系化解決方案

（一）構建內生網絡安全框架

內生安全框架為央企網絡安全體系化建設轉型提供理論指導，把安全能力分解為技術和管理兩大維度，進而細分為技術、管理、運營等3個子體系的動態迭代，以實現“實戰化、常態化”的安全防護。同時，內生安全框架還提出安全能力組件化輸出的理念——央企安全能力是由若干組件組成的，如果按照威脅檢測、漏洞檢測、入侵防御、失陷檢測、流量分析等細分組件進行部署，便可從需求出發，選擇各自需要的組件，組成安全防護能力。央企在應用內生安全框架指導自身建設網絡體系時，需按照自身網絡業務結構與安全需求的不同，采取威脅檢測與漏洞檢測組件作為應用重點。同時，從技術體系上，央企可采用信創技術底座，應用信創密碼、零信任等技術，規避技術上的依賴度；在管理體系上，集團層面的網絡安全管理制度和安全標準制定，應做到同步計劃、同步建設與同步運行；在運營體系上，需建設一體化安全運營中心，實現安全平戰雙模服務的能力輸出，確保安全策略有效落地。一體化安全運營中心的安全運營能力，是對數據進行集中管控、集中分析的能力。通過安全運營中心匯集全網安全數據，可實現對全網潛在安全威脅進行發現并實施主動防御的目標。

（二）進一步提升攻防對抗效能

一是建立多層次防御體系。多層次防御體系是提高網絡安全攻防對抗效能的重點。多層次防御體系是指通過防火墻、入侵檢測系統、安全認證等多種技術手段的有機結合，建立由外而內的縱深防御體系。二是做好日志分析和行為監控。及時有效的日志分析和行為監控可及時發現異常行為并采取有效措施，可通過運用機器學習、人工智能等技術，將防御系統和日志分析平臺相結合，增強其對惡意攻擊的發現能力。三是及時修補系統漏洞。服務器、數據庫等重要系統最容易被黑客攻擊，故應定期進行補丁升級和漏洞修補，防止黑客利用已知漏洞發起攻擊。同時建立漏洞管理，對漏洞及時跟蹤、修補。四是提高網絡安全意識。安全意識的提升可以讓員工正確認識網絡安全的重要性，自覺規范網絡安全行為，消除網絡安全的風險，消除網絡安全隱患[3]。企業應定期培訓員工的網絡安全知識，增強員工的網絡安全意識及防范能力，2017年6月1日，中國施行了《中華人民共和國網絡安全法》，其中第十九條明確規定：“各級人民政府及其有關部門應當組織開展經常性的網絡安全宣傳教育，并指導、督促有關單位做好網絡安全宣傳教育工作”[4]。五是持續監測和改進。持續監測攻擊行為和防御效果，根據監測的結果及時調整策略方法，以應對不斷變化的威脅。六是制定災備計劃。通過制定完備的災備計劃，能最大程度降低攻擊時對業務的影響，降低造成的經濟損失和社會影響。七是不斷地技術創新。從防護的角度投入更多資源、下更大功夫研究新的安全技術，比如量子加密、零信任網狀架構等，進一步提升防御能力，增強防御效果。

（三）安全運營的智能化升級

一是基于人工智能的威脅監測與響應。充分挖掘人工智能在威脅監測與響應方面的潛力，基于歷史數據結合人工智能系統找出異常的網絡行為模式，發現并防止潛在攻擊。二是智能漏洞管理與修補。利用智能化技術對系統漏洞自動檢查并給出補救辦法，或直接打補丁，縮短漏洞的暴露期，降低漏洞被攻擊和利用的概率，提高安全運營效率，減少人的錯誤。三是智能化的安全策略。通過對網絡流量、用戶行為等進行分析，動態改變安全策略，在保障安全的同時，不影響業務的正常運行，讓安全自動化部署與管理成為常態。四是智能身份鑒別與訪問控制。通過多因子的身份鑒別、行為分析等，確保只有合法用戶才能訪問敏感信息。

（四）自主可控的生態構建

在生態構建層面，一是應當更多地使用國產化的軟硬件產品，如采用國產密碼算法、加密技術等經過測試、驗證、符合國內市場需求、不易受到外部攻擊、信息泄露的產品和設備。二是加大核心技術研發力度，攻克核心技術，獲取其自主知識產權，以減少對外部關鍵技術與設備等的依賴，進而增強信息安全保護以及提升國際競爭力。三是重視網絡安全人才的引進和培養，習近平總書記曾指出：“網絡空間的競爭，歸根結底是人才競爭”。掌握行業技術、擁有實戰經驗的網絡安全人才成為人才培養的目標和重點[5]。應通過培養、引進的方式來構建具備專業技能和創新意識的人才隊伍。四是由央企與信創廠商共同建立穩定的合作關系，推進信創產業的發展。通過相互之間的技術溝通與交流、資源共享等方式提升自身的技術實力與創新能力。

結語

央企作為國家經濟發展中具有牽一發而動全身作用的骨干力量，擔任著關鍵領域的主導者、科技創新的引領者、國際合作代表等角色，其網絡安全、數據保密都具有特別重要的意義。隨著中央企業的信息基礎設施逐步復雜化，企業的攻擊面呈指數級上升，網絡安全形勢從單一的安全威脅轉向綜合性、鏈式化的形態。通過內生型網絡安全設計、攻防對抗能力提升、人工智能技術提升、網絡安全生態建設四個方面提升國企的網絡安全能力水平，為維護國家經濟安全，保障經濟穩定發展提供有力的保障。

參考文獻：

[1] 褚龍，陳鵬，范俊波.網絡安全動態防御體系研究及應用[J].成都信息工程學院學報，2004（03）：403407.

[2] 羅艷來.企業網絡安全防護體系建設思路與方法研究[J].網絡安全技術與應用，2025（01）：9597.

[3] 朱勝濤，溫哲，位華，等.注冊信息安全專業人員培訓教材[M].北京：北京師范大學出版社，2020.

[4] 陳劍飛，王小亮，徐明偉．大型國有企業網絡安全宣貫教育工作淺析[J].中國信息安全，2022（01）：4345.

[5] 聶琪.構建以人才為核心的網絡安全生態體系[J].中國信息安全，2023（06）：4951.