易志勤，李敏，于盟，曹禹

（1.北京站酷網(wǎng)絡(luò)科技有限公司，北京 100015；2.國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

近年國際形勢錯綜復(fù)雜，隨著互聯(lián)網(wǎng)和數(shù)字經(jīng)濟的發(fā)展，網(wǎng)絡(luò)空間安全成為互聯(lián)網(wǎng)時代國際形勢的焦點，世界各國在網(wǎng)絡(luò)空間競相角力，網(wǎng)絡(luò)空間安全保護成為新命題，企業(yè)網(wǎng)絡(luò)安全建設(shè)和管理面臨前所未有的挑戰(zhàn)。習近平總書記指出“沒有網(wǎng)絡(luò)安全就沒有國家安全”，“安全和發(fā)展是一體之兩翼、驅(qū)動之雙輪”，為更好地落實國家網(wǎng)絡(luò)安全工作，《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》等政策標準相繼實施，給我國網(wǎng)絡(luò)安全建設(shè)明確了方向和標準，使得企業(yè)在網(wǎng)絡(luò)安全保障體系和能力建設(shè)中有章可循、有法可依。2021年是“十四五”開局之年，為進一步促進中小企業(yè)網(wǎng)絡(luò)安全體系建設(shè)，本文從作者的工作經(jīng)驗體會出發(fā)，結(jié)合政策法規(guī)從多維度分析中小企業(yè)安全現(xiàn)狀，為中小企業(yè)的網(wǎng)絡(luò)安全保障體系和能力建設(shè)提供參考。

1 企業(yè)網(wǎng)絡(luò)安全建設(shè)背景

1.1 安全建設(shè)必要性

“安全是發(fā)展的前提”，網(wǎng)絡(luò)安全是企業(yè)發(fā)展的前提與保障，網(wǎng)絡(luò)安全合規(guī)建設(shè)尤為必要。受某些西方國家政治因素影響，當前國際局勢復(fù)雜緊張，同時黑客網(wǎng)絡(luò)攻擊行為和模式愈演愈烈，給世界經(jīng)濟和秩序造成巨大困擾，任何企業(yè)都有可能成為黑客攻擊目標。企業(yè)應(yīng)認清當前的網(wǎng)絡(luò)安全形勢，并在網(wǎng)絡(luò)安全方面具備抵御來自全球網(wǎng)絡(luò)攻擊的安全保障技術(shù)和能力，才能確保在進一步改革開放的國際競爭中不被淘汰，面對來自科技、經(jīng)濟、法律等維度的各種挑戰(zhàn)，企業(yè)須持續(xù)具備與業(yè)務(wù)發(fā)展相匹配的合規(guī)能力，否則難以保障企業(yè)的正常運營和可持續(xù)發(fā)展。

1.2 政策標準要求

《網(wǎng)絡(luò)安全法》第九條要求“網(wǎng)絡(luò)運營者開展經(jīng)營和服務(wù)活動，......，履行網(wǎng)絡(luò)安全保護義務(wù)”，第二十一條要求“網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”，第五十九條則對不履行網(wǎng)絡(luò)安全保護義務(wù)明確了處罰要求?！缎畔踩燃壉Ｗo管理辦法》要求“定期對信息系統(tǒng)安全等級狀況開展等級測評”；《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》將等級保護對象從原來的信息系統(tǒng)調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（含采用移動互聯(lián)技術(shù)的系統(tǒng)）、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等[1][6]，并針對性提出安全擴展要求，標準幾乎覆蓋各行業(yè)領(lǐng)域，其適應(yīng)性得到較大提升。

基于當前互聯(lián)網(wǎng)環(huán)境和安全形勢，網(wǎng)絡(luò)安全法和等級保護制度的施行可幫助企業(yè)做好自身的網(wǎng)絡(luò)安全防護，減少或避免受到全球范圍發(fā)起的惡意攻擊帶來的影響，是企業(yè)網(wǎng)絡(luò)安全體系建設(shè)的有力保障。但目前仍有部分中小企業(yè)網(wǎng)絡(luò)安全意識薄弱，存在僥幸心理，將等級保護制度的建設(shè)落實浮于表面、“走過場”，甚至購買“包過等?！狈?wù)來代替網(wǎng)絡(luò)安全保障體系建設(shè)，如何把握好企業(yè)發(fā)展與安全體系建設(shè)的動態(tài)平衡，是企業(yè)可持續(xù)發(fā)展的關(guān)鍵課題。

2 中小企業(yè)網(wǎng)絡(luò)安全認知誤區(qū)

2.1 網(wǎng)絡(luò)安全水平與經(jīng)濟實力成正比

2017年國際電信聯(lián)盟發(fā)布《2017年全球網(wǎng)絡(luò)安全指數(shù)》，從法律、技術(shù)、組織、能力建設(shè)、國際合作等5個方面衡量各國網(wǎng)絡(luò)安全指數(shù)，綜合評分前10名的國家分別是：新加坡、美國、馬來西亞、阿曼、愛沙尼亞、毛里求斯、澳大利亞、格魯吉亞和法國（并列排名第8）、加拿大、俄羅斯。日本和韓國分別排在第11位和第13位，中國排在第32位。報告指出：網(wǎng)絡(luò)安全是一個生態(tài)系統(tǒng)，其法律、組織機構(gòu)、技能、合作與技術(shù)實現(xiàn)需協(xié)同發(fā)揮最大效用，網(wǎng)絡(luò)安全正日益成為各國決策制定者考慮的因素，但各國在意識、理解、知識、策略部署、能力和計劃方面存在明顯差距。報告顯示國家的富裕程度與網(wǎng)絡(luò)安全水平不成正比，有些經(jīng)濟強國網(wǎng)絡(luò)防御漏洞百出，而一些貧窮小國經(jīng)驗卻值得借鑒[2]。

從上述資料可以推斷：網(wǎng)絡(luò)安全水平與企業(yè)規(guī)模和經(jīng)濟實力不成正比，大企業(yè)可以做好網(wǎng)絡(luò)安全工作，中小企業(yè)同樣可以做好網(wǎng)絡(luò)安全工作。網(wǎng)絡(luò)安全工作并不完全依賴于網(wǎng)絡(luò)安全資金投入，加強管理體系建設(shè)會取得事半功倍的效果，企業(yè)應(yīng)立足業(yè)務(wù)全鏈條關(guān)鍵崗位，加強對關(guān)鍵崗位意識、理解、認知、策略等方面的教育培訓，全面促進企業(yè)在法律、組織機構(gòu)、技能、合作與技術(shù)等方面的生態(tài)建設(shè)。

2.2 網(wǎng)絡(luò)安全防護依賴技術(shù)建設(shè)

部分中小企業(yè)在自身網(wǎng)絡(luò)安全建設(shè)工作中存在資金投入較少、技術(shù)人員不足的情況，故認為網(wǎng)絡(luò)安全防護滿足國家合規(guī)建設(shè)“底線”要求即可，或采取購置部分安全產(chǎn)品堆砌的技術(shù)手段而忽視網(wǎng)絡(luò)安全管理建設(shè)。2020年2月，微盟遭員工惡意刪除數(shù)據(jù)庫，給商家經(jīng)營造成嚴重影響，并導致巨額經(jīng)濟損失，除擬用于賠付客戶的1.5億元外，累計市值蒸發(fā)超30億港元，該事件暴露出微盟在內(nèi)控管理建設(shè)、數(shù)據(jù)安全管理方面存在嚴重不足，同時給廣大企業(yè)網(wǎng)絡(luò)安全管理建設(shè)工作敲響警鐘。網(wǎng)絡(luò)安全管理和技術(shù)建設(shè)是相輔相成的，缺一不可，加強企業(yè)網(wǎng)絡(luò)安全制度體系和管理流程建設(shè)，能夠最大程度地避免“越權(quán)操作”的可能性，減少因為“人為失誤”而導致的安全事件的發(fā)生，從而實現(xiàn)企業(yè)安全運營和可持續(xù)發(fā)展的目標。

3 中小企業(yè)網(wǎng)絡(luò)安全建設(shè)要點

3.1 提升企業(yè)管理者安全格局

黨的十八屆六中全會《關(guān)于新形勢下黨內(nèi)政治生活的若干準則》強調(diào)，全黨必須牢固樹立政治意識、大局意識、核心意識、看齊意識，自覺在思想上、政治上、行動上同黨中央保持高度一致[3]。企業(yè)在扎實推進網(wǎng)絡(luò)安全保障體系和能力建設(shè)的過程中，必須提高政治站位，增強“四個意識”，特別對大局意識、看齊意識要深刻領(lǐng)會和學以致用，要以大視野、大格局來看待網(wǎng)絡(luò)安全問題，企業(yè)的生存和發(fā)展是基于安全生產(chǎn)和經(jīng)濟效益兩大要素，任何一個要素出現(xiàn)嚴重問題，都會直接導致企業(yè)承受毀滅性打擊。安全生產(chǎn)工作既要考慮信息與網(wǎng)絡(luò)安全，也要考慮傳統(tǒng)生產(chǎn)安全，同時還要兼顧當前企業(yè)自身新冠防疫管理工作等因素；在網(wǎng)絡(luò)安全合規(guī)建設(shè)和管理方面，企業(yè)應(yīng)當嚴格遵守網(wǎng)絡(luò)安全法律法規(guī)及標準要求，保持與法律、規(guī)則和流程的一致性。

北京時間2020年2月28日，國際體育仲裁法庭（CAS）公布了“興奮劑案”的裁決結(jié)果，運動員因觸犯反興奮劑條例而被禁賽8年，事件起源于2018年9月4日晚至9月5日凌晨的一次飛行藥檢，因為尿檢官的授權(quán)資質(zhì)和血檢官非法跨區(qū)域采血的問題，運動員與興奮劑檢測人員出現(xiàn)分歧，最終負責檢測的主檢官沒能帶走運動員的血液樣本，尿液樣本沒有進行采集。《世界反興奮劑條例》指出:“2.3 接到依照反興奮劑規(guī)則授權(quán)的檢查通知后，拒絕樣品采集、無正當理由未能完成樣品采集或者其他逃避樣品采集的行為”[4]、“2.5篡改或企圖篡改興奮劑控制過程中的任何環(huán)節(jié)”、“10.3.1違反條款2.3或2.5的行為，禁賽期為四年”、“10.7.1對于第二次違規(guī)的運動員，予以兩倍禁賽期”。

上面是一個“保持與法律、規(guī)則和流程的一致性”的典型案例，在這個“興奮劑違規(guī)”的案例中，違規(guī)根本沒有具體涉及到“興奮劑”，也沒有出現(xiàn)賽場上被裁判的判罰，而是出現(xiàn)在參加“比賽的生命周期”中檢驗流程的“抗檢”與“拒絕采樣”環(huán)節(jié)！此案例說明，參與任何領(lǐng)域的活動或競爭，必須清楚了解該領(lǐng)域的法律、標準和流程等“游戲規(guī)則”，僅憑專業(yè)的知識和技能，并不足以應(yīng)對“參與過程中全生命周期”的綜合管理要求。隨著時代的進步，只有及時更新思想意識、提高自身認知，認真學習相關(guān)領(lǐng)域的“游戲規(guī)則”，才能有效地規(guī)避與專業(yè)活動相關(guān)的違規(guī)風險！

3.2 加強網(wǎng)絡(luò)安全認知和意識

近年針對網(wǎng)絡(luò)亂象，公安機關(guān)已實行“一案雙查”制度，即在對網(wǎng)絡(luò)違法犯罪案件開展偵查調(diào)查工作時，同步啟動對涉案企業(yè)或網(wǎng)絡(luò)服務(wù)提供者法定網(wǎng)絡(luò)安全義務(wù)履行情況的監(jiān)督檢查[5]。對于“一案雙查”的學習和理解，可以“利用老知識、生成新知識、理解新規(guī)則”?！吨腥A人民共和國道路交通安全法》自2004年5月1日實施至今已18年，相信人們已經(jīng)非常清楚交通事故的處理流程。一輛機動車和一輛自行車在機動車道上發(fā)生交通事故，正常情況下，交警到現(xiàn)場處理事故時會分別對2個主體進行調(diào)查：一方面自行車主為什么會跑到機動車道上？另一方面，了解機動車是否具備上路行駛的資質(zhì)?駕駛員是否具備駕駛資質(zhì)？駕駛員是否遵守交通法規(guī)？如果機動車一方完全合規(guī)，責任就只在自行車一方，因為自行車違規(guī)走到機動車道造成事故；但如果機動車方有不合規(guī)情況，則要根據(jù)違規(guī)的程度承擔事故責任和賠償損失。交警處理交通事故時的責任劃分，有助于更加直觀地對“一案雙查”含義的理解。

中小企業(yè)管理者一定要跟上新形勢、提升新認知，在各發(fā)展階段不斷學習新規(guī)則、調(diào)整新策略、提升新格局、適應(yīng)新挑戰(zhàn)。網(wǎng)絡(luò)安全體系建設(shè)是一個自上而下的過程，只有企業(yè)資方和業(yè)務(wù)高管的認知到位、意識到位，才能從根本上做好中小企業(yè)的網(wǎng)絡(luò)安全體系建設(shè)和網(wǎng)絡(luò)安全管理工作。

3.3 舉一反三、風險管控

在網(wǎng)絡(luò)安全管理方面，部分中小企業(yè)會不斷重復(fù)出現(xiàn)已經(jīng)發(fā)生過的問題，“舉一反三”能力存在欠缺，網(wǎng)絡(luò)安全問題“舉一反三”能力可通過如下示意圖進行分析：

圖1 網(wǎng)絡(luò)安全問題處置流程示意圖

當發(fā)生網(wǎng)絡(luò)安全問題后，首先需對問題進行評估，確定問題是“偶發(fā)事件”亦或是“系統(tǒng)性問題”。如果為“偶發(fā)事件”，對事件的具體影響進行評估，按處置計劃實施處置后，處置事件流程可以結(jié)束；但若為“系統(tǒng)性問題”，首先需評估是“軟系統(tǒng)（管理/程序）”或是“硬系統(tǒng)（設(shè)備/設(shè)施）”導致的問題，如果是“硬系統(tǒng)”導致，需分析硬件是否出現(xiàn)問題，對“硬系統(tǒng)”事件的具體影響進行評估，按處置計劃實施處置，并確認此硬系統(tǒng)不再重復(fù)出現(xiàn)同類的情況；如果是“軟系統(tǒng)”出現(xiàn)問題，則需對軟系統(tǒng)進行多維度分析，確認問題發(fā)生的真正原因，并對事件的具體影響進行評估，制訂有針對性的系統(tǒng)調(diào)整方案，并按照處置計劃對應(yīng)在制度、流程、新變量或其他因素等方面進行調(diào)整，確認此系統(tǒng)不再重復(fù)出現(xiàn)同樣的漏洞，系統(tǒng)修復(fù)完成后問題處置完畢[7]。

在上述問題處置的過程中，如果誤把“系統(tǒng)性問題”當作是“偶發(fā)事件”來處理，那么問題不能根治，且類似的安全事件很可能會重復(fù)發(fā)生！

當前網(wǎng)絡(luò)安全攻擊事件相對集中在各國的關(guān)鍵基礎(chǔ)設(shè)施和大型企業(yè)，很多中小企業(yè)暫時體會不深，企業(yè)網(wǎng)絡(luò)安全意識還不到位，還是基于以往的“歷史經(jīng)驗”認為“只要內(nèi)容上不被政府監(jiān)管部門處罰”就沒問題，但企業(yè)并沒有真正認識到政府和相關(guān)部門的處罰不是目的，而是為了幫助企業(yè)更好地完善網(wǎng)絡(luò)安全管理體系建設(shè)的手段。當大企業(yè)把安全防護的“防洪大堤”筑高后，就會和中小企業(yè)的防護形成相對的“高差”，因此當“黑客的洪峰”經(jīng)過時，將會從“防護的低位”對中小企業(yè)造成嚴重沖擊！

4 加強網(wǎng)絡(luò)安全保障體系和能力建設(shè)

4.1 合理規(guī)劃、有序?qū)嵤?/h3>

企業(yè)要實現(xiàn)可持續(xù)發(fā)展，需在公司業(yè)務(wù)全鏈條的關(guān)鍵環(huán)節(jié)上，全面落實網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)安全技能的建設(shè)，持續(xù)具備法律、法規(guī)、規(guī)章、國家標準和行業(yè)標準等規(guī)定的網(wǎng)絡(luò)安全必備條件：（1）企業(yè)主體確保具備合法的經(jīng)營許可資質(zhì)；（2）確保資金投入能滿足與企業(yè)發(fā)展相匹配的網(wǎng)絡(luò)安全體系建設(shè)的需求；（3）依法建立企業(yè)網(wǎng)絡(luò)安全組織管理架構(gòu)；（4）逐步建立和完善網(wǎng)絡(luò)安全管理制度；（5）加強企業(yè)從高管到業(yè)務(wù)全鏈條、各環(huán)節(jié)成員的網(wǎng)絡(luò)安全意識的教育和培訓工作；（6）針對業(yè)務(wù)隱患進行深入分析，加強對重大危險源的隱患排查和防控工作；（7）制定突發(fā)事件應(yīng)急預(yù)案，加強突發(fā)事件應(yīng)急演練。

企業(yè)的網(wǎng)絡(luò)安全規(guī)劃與實施，應(yīng)該遵循同步規(guī)劃、同步實施、同步發(fā)展的“三同步原則”，但大多數(shù)的中小企業(yè)在業(yè)務(wù)、法律、組織管理、能力建設(shè)和跨部門合作等方面，因為意識不到位、經(jīng)驗不足和資源分配不合理等因素，在合規(guī)建設(shè)過程中通常不容易達到理想的水平，因此在網(wǎng)絡(luò)安全體系建設(shè)和管理過程中，企業(yè)資方必須按照網(wǎng)絡(luò)安全法和等級保護要求合理規(guī)劃、有序?qū)嵤6]，企業(yè)管理者必須要根據(jù)企業(yè)自身情況，深入梳理和分析研究，分步制訂適合企業(yè)階段發(fā)展和可持續(xù)發(fā)展的方針與策略，精心打造能在激烈的國際市場競爭中經(jīng)得起考驗的網(wǎng)絡(luò)安全體系，實現(xiàn)“安全合規(guī)多打糧”的可持續(xù)發(fā)展目標！

4.2 權(quán)威指導、動態(tài)完善

在依據(jù)《網(wǎng)絡(luò)安全法》和等保2.0的要求和標準的框架下，中小企業(yè)在網(wǎng)絡(luò)安全體系建設(shè)過程中，利用國家網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的優(yōu)勢，可以尋求合資質(zhì)、可信賴、有實力、負責任的第三方權(quán)威機構(gòu)，指導和幫助企業(yè)提升網(wǎng)絡(luò)安全建設(shè)水平。在權(quán)威機構(gòu)的指導服務(wù)中，例行月度安全巡查制度，是一種行之有效的方式。

企業(yè)打造網(wǎng)絡(luò)安全體系，制度建設(shè)是重要的一環(huán)，在企業(yè)實際業(yè)務(wù)的經(jīng)營活動中，需要不斷根據(jù)數(shù)據(jù)的實際應(yīng)用，動態(tài)完善相關(guān)流程和規(guī)則；同時根據(jù)業(yè)務(wù)的需要，完善相關(guān)崗位的規(guī)程和落實相關(guān)人員的責任。而在多數(shù)中小企業(yè)的實際運營中，常常因為各種不同的因素，導致制度的落實和執(zhí)行不到位，容易出現(xiàn)管理環(huán)節(jié)的疏忽而導致安全事件的發(fā)生。第三方權(quán)威機構(gòu)的月度巡檢，能非常有效地發(fā)現(xiàn)問題隱患，及時地指導和督促企業(yè)整改。

5 結(jié)語

中小企業(yè)管理者必須進一步增強“四個意識”，堅持總體國家安全觀，根據(jù)“國家安全體系和能力建設(shè)大框架”的要求，結(jié)合企業(yè)的發(fā)展情況，合理投入網(wǎng)絡(luò)安全保障體系和能力建設(shè)的資金。在十四五開局之年，堅持新發(fā)展戰(zhàn)略，邁進新階段、學習新理念、提升新格局，扎實做好網(wǎng)絡(luò)安全保障體系和能力建設(shè)的管理工作。