張冬樂
【關(guān)鍵詞】國(guó)有企業(yè);信息系統(tǒng);安全等級(jí)保護(hù);等保2.0
《中國(guó)人民共和國(guó)網(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)空間的主權(quán)原則,將網(wǎng)絡(luò)安全工作提高到法律高度,體現(xiàn)了網(wǎng)絡(luò)安全作為國(guó)家戰(zhàn)略的決策,也為等保2.0建設(shè)提供了法治基礎(chǔ),標(biāo)志著我國(guó)全面進(jìn)入信息安全2.0時(shí)代。等保2.0要求國(guó)有企業(yè)從被動(dòng)防御轉(zhuǎn)向主動(dòng)防范風(fēng)險(xiǎn),網(wǎng)絡(luò)安全不再是一次性安全設(shè)施投入,“合規(guī)”將成為常態(tài)需求。在新的等保要求下,國(guó)有投資企業(yè)只有構(gòu)建感知、檢測(cè)、響應(yīng)、預(yù)防的閉環(huán)管理才能實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)全生命周期管理。
《中國(guó)人民共和國(guó)網(wǎng)絡(luò)安全法》已經(jīng)將等級(jí)保護(hù)制度上升為法律,等級(jí)保護(hù)從傳統(tǒng)的信息系統(tǒng)層面上升到了網(wǎng)絡(luò)空間安全的層面,等保2.0的定級(jí)方式更加規(guī)范化,等保2.0的定級(jí)并不是1.0標(biāo)準(zhǔn)下的用戶自主定級(jí),而是需要參照定級(jí)指南進(jìn)行定級(jí),確保等保工作更加規(guī)范化。除了滿足等保1.0時(shí)代定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查五個(gè)規(guī)定流程外,等保2.0把風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)、通報(bào)預(yù)警、事件調(diào)查等措施全部納入等級(jí)保護(hù)制度并加以實(shí)施,保護(hù)對(duì)象也從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)向“云大物智移”擴(kuò)展[1]。
(一)信息安全問題表現(xiàn)形式復(fù)雜化
投資型國(guó)有企業(yè)可以被看成是金融行業(yè)的一個(gè)分支,因此面臨的網(wǎng)絡(luò)攻擊類型相對(duì)集中,主要包括惡意掃碼、網(wǎng)絡(luò)攻擊、木馬蠕蟲和拒絕服務(wù)攻擊。安全攻擊頻次高,攻擊來源集中。特別是投資行業(yè)的業(yè)務(wù)鏈條較長(zhǎng),涉及多個(gè)線上線下相結(jié)合的復(fù)雜業(yè)務(wù)場(chǎng)景,影響投資型公司信息安全的風(fēng)險(xiǎn)因素較多,風(fēng)險(xiǎn)管控復(fù)雜。
(二)信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)必要性
《中國(guó)人民共和國(guó)網(wǎng)絡(luò)安全法》要求國(guó)有企業(yè)在發(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí),應(yīng)當(dāng)及時(shí)向用戶告知并采取補(bǔ)救措施,否則企業(yè)負(fù)責(zé)人及相關(guān)安全責(zé)任人會(huì)受到不同程度的處罰。因此,國(guó)有企業(yè)應(yīng)對(duì)公司網(wǎng)站及重要信息系統(tǒng)開展全面審查,對(duì)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)和測(cè)評(píng)工作,完成信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)及備案。關(guān)鍵信息基礎(chǔ)設(shè)施和信息系統(tǒng)的信息安全等級(jí)保護(hù)工作能夠切實(shí)加強(qiáng)國(guó)有企業(yè)信息系統(tǒng)防泄密、防滲透、防阻斷的能力,降低公司信息被泄露的風(fēng)險(xiǎn)。
(三)國(guó)有企業(yè)網(wǎng)絡(luò)安全成熟度有待提升
等保2.0建設(shè)是貫穿在網(wǎng)絡(luò)安全管理過程中的一項(xiàng)最重要的工作,在審視國(guó)有企業(yè)網(wǎng)絡(luò)安全管理工作時(shí),企業(yè)規(guī)模和所處行業(yè)也同樣是等保建設(shè)能否推進(jìn)落實(shí)的重要考量因素。隨著網(wǎng)絡(luò)安全創(chuàng)新技術(shù)的加速發(fā)展,信息技術(shù)和運(yùn)營(yíng)技術(shù)相互融合,等保2.0建設(shè)將幫助國(guó)有企業(yè)增強(qiáng)網(wǎng)絡(luò)安全防護(hù)需求,賦能網(wǎng)絡(luò)安全新格局。企業(yè)員工的網(wǎng)絡(luò)安全意識(shí)、IT部門的網(wǎng)絡(luò)安全職責(zé)和對(duì)應(yīng)的問責(zé)機(jī)制都應(yīng)成為每個(gè)國(guó)有投資型企業(yè)內(nèi)部管理職能的一部分[2]。
(一)確保國(guó)有企業(yè)董事會(huì)和管理層積極參與
缺乏管理層支持或資金不足是等保2.0難以推進(jìn)和落實(shí)的直接原因,也是企業(yè)在管理網(wǎng)絡(luò)安全方面所面臨的最大挑戰(zhàn)。通過調(diào)查發(fā)現(xiàn),那些已經(jīng)成功完成等保2.0建設(shè)的企業(yè),他們的董事會(huì)及公司高層管理者對(duì)網(wǎng)絡(luò)安全的關(guān)注不僅局限于日常的工作匯報(bào),而是幾乎對(duì)總體網(wǎng)絡(luò)安全策略、威脅和安全風(fēng)險(xiǎn)審查、網(wǎng)絡(luò)安全項(xiàng)目進(jìn)展、安全漏洞、第三方泄露風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全測(cè)試結(jié)果以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)公司主營(yíng)業(yè)務(wù)產(chǎn)生的影響有著更大興趣。因此,等保2.0建設(shè)的有效落實(shí)離不開公司高級(jí)管理層的重視與參與,對(duì)公司董事會(huì)進(jìn)行大力宣貫可提升高級(jí)管理層參與度,只有將網(wǎng)絡(luò)風(fēng)險(xiǎn)和財(cái)務(wù)風(fēng)險(xiǎn)以及企業(yè)其他風(fēng)險(xiǎn)給予同等程度的重視與監(jiān)控,才能有效推進(jìn)信息系統(tǒng)等級(jí)保護(hù)建設(shè)。
(二)提高網(wǎng)絡(luò)安全在國(guó)有企業(yè)內(nèi)部的影響力,不僅局限于IT部門
網(wǎng)絡(luò)威脅越來越被認(rèn)為是國(guó)有企業(yè)所面臨的最關(guān)鍵的風(fēng)險(xiǎn)之一,如今網(wǎng)絡(luò)安全所面臨的已不僅僅是技術(shù)挑戰(zhàn),那些已成功完成等保2.0建設(shè)的企業(yè)已經(jīng)充分認(rèn)識(shí)到提高信息安全管理的重要性。網(wǎng)絡(luò)安全是鏈接IT部門與公司各個(gè)業(yè)務(wù)部門之間的關(guān)鍵職能,但信息系統(tǒng)等級(jí)保護(hù)建設(shè)的推進(jìn)工作不能僅僅依靠于企業(yè)IT部門,它是需要企業(yè)內(nèi)所有部門配合才能夠完成的,因此等保建設(shè)工作的推進(jìn)更應(yīng)該在IT部門以外的其他部門提升網(wǎng)絡(luò)安全影響力,提升全員網(wǎng)絡(luò)安全意識(shí)。
(三)構(gòu)建人才保障體系
信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)工作的開展,需要統(tǒng)籌協(xié)調(diào)公司內(nèi)部及外部IT資源。要想等保2.0工作有效推動(dòng)及落實(shí),就必須解決技術(shù)人員匱乏問題。IT人員短缺削弱了加強(qiáng)防御的能力,許多中小企業(yè)尋求外包人才援助,是提高自身對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的防范、節(jié)約公司人工成本、更快應(yīng)對(duì)網(wǎng)絡(luò)攻擊的一種手段,但更有效的管理模式還是鼓勵(lì)有條件的國(guó)有企業(yè)去配備專業(yè)的信息化管理人員,專職開展信息系統(tǒng)等級(jí)保護(hù)建設(shè)工作,將網(wǎng)絡(luò)安全專業(yè)人才保障計(jì)劃納入公司整體戰(zhàn)略規(guī)劃[3]。
(四)將網(wǎng)絡(luò)安全與國(guó)有企業(yè)業(yè)務(wù)發(fā)展戰(zhàn)略緊密協(xié)同
在當(dāng)今日益數(shù)字化、數(shù)據(jù)驅(qū)動(dòng)的社會(huì)中,日常業(yè)務(wù)活動(dòng)從內(nèi)到外很大程度依賴于信息技術(shù)。特別是投資行業(yè)的國(guó)有企業(yè),更容易面臨網(wǎng)絡(luò)威脅。投資公司增加云的使用以加速轉(zhuǎn)型和釋放資源,但云的使用仍可能會(huì)產(chǎn)生網(wǎng)絡(luò)安全問題,因?yàn)楹诵南到y(tǒng)和關(guān)鍵數(shù)據(jù)基本上都被移動(dòng)到了第三方,雖然服務(wù)提供商對(duì)其硬件和軟件的安全負(fù)責(zé),但確保云安全這項(xiàng)工作的最終責(zé)任仍在托管公司,任何第三方云方面的問題都可以對(duì)投資公司的投資業(yè)務(wù)產(chǎn)生巨大的影響。因此,將網(wǎng)絡(luò)安全需要與企業(yè)整體業(yè)務(wù)戰(zhàn)略緊密相連意義重大,網(wǎng)絡(luò)安全管理工作所面臨的最大挑戰(zhàn)是業(yè)務(wù)的增長(zhǎng)與拓展過程中核心數(shù)據(jù)安全性,有效應(yīng)對(duì)業(yè)務(wù)增長(zhǎng)所帶來的網(wǎng)絡(luò)安全挑戰(zhàn)尤為重要。只有將網(wǎng)絡(luò)安全策略更好的與業(yè)務(wù)策略保持一致才能有效辨識(shí)出新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),例如未經(jīng)授權(quán)的系統(tǒng)訪問,網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)測(cè)和響應(yīng)能力不足等,最終促進(jìn)國(guó)有企業(yè)等保2.0建設(shè)有效推進(jìn)和落實(shí)。
網(wǎng)絡(luò)安全是企業(yè)信息化建設(shè)的重要分支,大部分國(guó)有企業(yè)網(wǎng)絡(luò)安全占信息化投入比例仍明顯不足,隨著網(wǎng)絡(luò)安全法的普及,等保2.0使得網(wǎng)絡(luò)安全從被動(dòng)防御向主動(dòng)防御演進(jìn),數(shù)據(jù)驅(qū)動(dòng)安全成為新時(shí)期信息安全的核心,等保 2.0建設(shè)催生網(wǎng)絡(luò)安全新需求,是國(guó)有企業(yè)提升數(shù)據(jù)安全防護(hù)能力采取的必要手段。