劉麗娜 中國(guó)移動(dòng)通信集團(tuán)陜西有限公司寶雞分公司

為了切實(shí)維護(hù)國(guó)家安全、人民群眾合法權(quán)益、網(wǎng)絡(luò)空間良好生態(tài)，國(guó)家相繼出臺(tái)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《中華人民共和國(guó)反電信網(wǎng)絡(luò)詐騙法》草案，簡(jiǎn)稱網(wǎng)絡(luò)安全“四法一條例”。為做好新時(shí)代網(wǎng)絡(luò)安全和信息化工作、扎實(shí)推進(jìn)網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)、實(shí)現(xiàn)中華民族偉大復(fù)興的中國(guó)夢(mèng)提供了強(qiáng)有力的法治保障[1]。目前，整個(gè)企業(yè)信息安全領(lǐng)域的管理和現(xiàn)狀仍然處于封堵漏洞式的安全管理模式，基本是根據(jù)已經(jīng)掌握的安全風(fēng)險(xiǎn)點(diǎn)進(jìn)行被動(dòng)地去監(jiān)測(cè)、事后啟動(dòng)風(fēng)險(xiǎn)響應(yīng)機(jī)制等這種很單一的安全防控手段，缺少對(duì)整個(gè)網(wǎng)絡(luò)安全狀態(tài)的檢測(cè)及預(yù)警機(jī)制，便不能做到主動(dòng)地去防御，這種模式已經(jīng)無(wú)法滿足現(xiàn)企業(yè)對(duì)網(wǎng)絡(luò)安全管理和防御的真正的要求。對(duì)于數(shù)字化新時(shí)代的環(huán)境下，對(duì)網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)環(huán)境的網(wǎng)絡(luò)安全就有了更高的要求。這些都主要通過(guò)信息系統(tǒng)、核心數(shù)據(jù)、實(shí)時(shí)網(wǎng)絡(luò)安全狀態(tài)的認(rèn)知與展現(xiàn)，去發(fā)現(xiàn)自身存在的隱患問(wèn)題和風(fēng)險(xiǎn)情況，同時(shí)將新數(shù)據(jù)與之前的舊數(shù)據(jù)進(jìn)行比較，形成合理的趨勢(shì)判斷，實(shí)現(xiàn)全面的、分層的、多角度的感知，為發(fā)現(xiàn)的安全隱患預(yù)警通報(bào)、安全整改策略提供重要數(shù)據(jù)支撐。從而能夠提升企業(yè)對(duì)安全風(fēng)險(xiǎn)方面存在的問(wèn)題的分析與治理能力。

一、目前企業(yè)存在的網(wǎng)絡(luò)安全形勢(shì)

數(shù)字經(jīng)濟(jì)發(fā)展迅速，通信網(wǎng)絡(luò)呈現(xiàn)云網(wǎng)融合化、虛擬切片化、智能算力化、能力開(kāi)放化等演進(jìn)特征，新型網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和挑戰(zhàn)也隨之而來(lái)。安全漏洞、勒索軟件攻擊、數(shù)據(jù)泄露、電信網(wǎng)絡(luò)詐騙等問(wèn)題高發(fā)頻發(fā)，網(wǎng)絡(luò)安全作為影響國(guó)家安全的重要因素已成為全球共識(shí)，整體網(wǎng)絡(luò)安全形勢(shì)仍然嚴(yán)峻復(fù)雜。

電信網(wǎng)絡(luò)詐騙治理形勢(shì)堪憂，不良信息傳播手段不斷翻新，攻防對(duì)抗強(qiáng)度持續(xù)加大，行業(yè)領(lǐng)先優(yōu)勢(shì)面臨挑戰(zhàn)。公安部、工信部等上級(jí)部門(mén)關(guān)于電信網(wǎng)絡(luò)詐騙治理、個(gè)人信息保護(hù)、網(wǎng)絡(luò)安全遠(yuǎn)程檢查等方面的監(jiān)管考核力度不斷加大。

二、落實(shí)“四法一條例”工作思路

已出臺(tái)的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等網(wǎng)信領(lǐng)域重要法律法規(guī)，系統(tǒng)規(guī)范了各網(wǎng)絡(luò)主體的職責(zé)義務(wù)，其中52個(gè)條款對(duì)網(wǎng)絡(luò)安全工作提出明確要求，正在制定的《中華人民共和國(guó)反電信網(wǎng)絡(luò)詐騙法》主要是按照完善預(yù)防性法律制度的要求，針對(duì)電信網(wǎng)絡(luò)詐騙發(fā)生的主要環(huán)節(jié)，明確加強(qiáng)防范性制度措施相關(guān)舉措。企業(yè)可以將明確以“四法一條例”為切入點(diǎn)，全面梳理各項(xiàng)法律法規(guī)要求，通過(guò)學(xué)習(xí)宣貫、對(duì)標(biāo)提升、完善專項(xiàng)工作體系，確保網(wǎng)絡(luò)安全工作依法合規(guī)。目前，初步完成已出臺(tái)法律法規(guī)相關(guān)要求的梳理對(duì)標(biāo)對(duì)表，并組織開(kāi)展相關(guān)法律法規(guī)要求的培訓(xùn)宣貫，待《中華人民共和國(guó)反電信網(wǎng)絡(luò)詐騙法》正式頒布后將對(duì)其中明確的重點(diǎn)內(nèi)容進(jìn)行細(xì)致梳理并開(kāi)展教育宣貫。后續(xù)將嚴(yán)格遵守和落實(shí)各項(xiàng)法律法規(guī)要求，在確保工作合法合規(guī)開(kāi)展的基礎(chǔ)上，進(jìn)一步健全完善網(wǎng)絡(luò)安全技術(shù)框架，企業(yè)加強(qiáng)關(guān)鍵信息安全防護(hù)體系，加大數(shù)據(jù)安全和個(gè)人信息安全的保護(hù)力度，深化推進(jìn)打擊治理電信網(wǎng)絡(luò)詐騙，加強(qiáng)網(wǎng)絡(luò)安全產(chǎn)品服務(wù)創(chuàng)新，滿足人民群眾對(duì)美好數(shù)字生活的向往。

三、管理網(wǎng)絡(luò)安全的重點(diǎn)

（一）提升思想認(rèn)識(shí)方面

1.圍繞“國(guó)之大者”勇?lián)肫舐氊?zé)使命，結(jié)合實(shí)際落實(shí)“第一議題”制度，企業(yè)通過(guò)黨委會(huì)、中心組集體學(xué)習(xí)研討、黨支部“三會(huì)一課”等，深入學(xué)習(xí)貫徹習(xí)近平法治思想、總體國(guó)家安全觀、網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略、習(xí)近平總書(shū)記關(guān)于打擊治理電信網(wǎng)絡(luò)詐騙犯罪工作的重要指示精神等。

2.充分領(lǐng)會(huì)網(wǎng)絡(luò)安全領(lǐng)域重大決策部署，持續(xù)夯實(shí)黨委網(wǎng)絡(luò)安全責(zé)任制根基，貫徹落實(shí)“四法一條例”要求，特別是關(guān)注“重要數(shù)據(jù)”等新要求、新提法，進(jìn)一步加強(qiáng)“四法一條例”的學(xué)習(xí)宣貫，并納入企業(yè)學(xué)習(xí)的必修課，通過(guò)集中學(xué)習(xí)、教育培訓(xùn)等方式持續(xù)提升全員依法開(kāi)展網(wǎng)絡(luò)安全工作的意識(shí)和能力。

3.按照“誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的原則，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，以防攻擊、防入侵、防病毒、防泄密為重點(diǎn)，全面排查企業(yè)網(wǎng)絡(luò)安全隱患，強(qiáng)化網(wǎng)絡(luò)安全防護(hù)和治理工作。

4.企業(yè)安全管理中最重要的就是終端的管理，通過(guò)采用規(guī)范合法的專業(yè)技術(shù)手段對(duì)終端作業(yè)時(shí)接入的網(wǎng)絡(luò)環(huán)境，終端資產(chǎn)中的服務(wù)信息的詳細(xì)情況要進(jìn)行全面的監(jiān)管，這樣才能保障企業(yè)網(wǎng)絡(luò)在應(yīng)用環(huán)境中能夠安全又穩(wěn)定的運(yùn)轉(zhuǎn)。另外，企業(yè)在選擇終端型號(hào)時(shí)要根據(jù)企業(yè)本身的實(shí)際情況來(lái)按需采購(gòu)，為保證使用過(guò)程中的售后服務(wù)質(zhì)量因素，要選擇正規(guī)廠家生產(chǎn)的終端。強(qiáng)化終端特別是辦公網(wǎng)終端管理，進(jìn)一步整改處理已知的高危漏洞，定期升級(jí)病毒庫(kù)，查殺木馬等惡意程序[2]。嚴(yán)格審核外部終端接入情況，嚴(yán)禁維護(hù)終端的外連行為。進(jìn)一步強(qiáng)化人員網(wǎng)絡(luò)安全意識(shí)宣貫，防范釣魚(yú)網(wǎng)站、仿冒網(wǎng)站等社會(huì)工程學(xué)攻擊行為，嚴(yán)禁訪問(wèn)惡意網(wǎng)站等與工作無(wú)關(guān)的外部網(wǎng)站。

5.網(wǎng)絡(luò)安全設(shè)備管理，企業(yè)常用的終端設(shè)備安全手段主要包括防火墻、安全管理系統(tǒng)客戶端、360等入侵檢測(cè)系統(tǒng)和一些設(shè)備。這些都需要根據(jù)企業(yè)的終端設(shè)備數(shù)量、搭建圖、生產(chǎn)經(jīng)營(yíng)的業(yè)務(wù)種類、涉及的信息等級(jí)及信息數(shù)量，來(lái)確定適合的終端設(shè)備和管控方式。終端設(shè)備是企業(yè)的網(wǎng)絡(luò)安全管理的主要手段，所以，針對(duì)不同終端的特點(diǎn)要梳理出適合該類終端完整的操作手冊(cè)及維護(hù)文檔，并且需要定期更新完善手冊(cè)及文檔內(nèi)容。還有，企業(yè)的網(wǎng)絡(luò)安全防護(hù)策略要根據(jù)企業(yè)本省的業(yè)務(wù)應(yīng)用需要情況來(lái)布局。企業(yè)內(nèi)網(wǎng)的使用要根據(jù)賬號(hào)及賬號(hào)權(quán)限級(jí)別來(lái)管理，比如企業(yè)內(nèi)網(wǎng)系統(tǒng)，也就是企業(yè)通訊錄中的在編員工，可給予在內(nèi)網(wǎng)辦公網(wǎng)絡(luò)環(huán)境下相應(yīng)的訪問(wèn)權(quán)限，非企業(yè)員工在使用內(nèi)網(wǎng)終端時(shí)，需要建立臨時(shí)訪問(wèn)賬號(hào)，設(shè)置賬號(hào)有效期（最長(zhǎng)不超過(guò)十二個(gè)月，到期根據(jù)情況做續(xù)期處理），并通過(guò)訪問(wèn)權(quán)限來(lái)控制可以使用的范圍。

（二）開(kāi)展科學(xué)決策方面

在開(kāi)展決策與制定計(jì)劃中，統(tǒng)籌考慮法規(guī)要求、人才專家隊(duì)伍配置等因素，強(qiáng)化組織保障，明確管理規(guī)定，高度重視并落實(shí)開(kāi)展網(wǎng)絡(luò)安全方面的專家人才團(tuán)隊(duì)建設(shè)工作。除了要有專業(yè)性較強(qiáng)的人才隊(duì)伍，還要體系全面的加強(qiáng)網(wǎng)絡(luò)信息安全系統(tǒng)的建設(shè)，更加需要建立完善的企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)案。企業(yè)應(yīng)該根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)的各個(gè)要求，從物理層面、策略層面、布局等方面進(jìn)行系統(tǒng)的信息安全防護(hù)預(yù)案，其主要內(nèi)容包含對(duì)機(jī)房的建設(shè)運(yùn)維、設(shè)備和介質(zhì)、辦公環(huán)境的通信網(wǎng)絡(luò)、區(qū)網(wǎng)邊界、服務(wù)器、系統(tǒng)平臺(tái)的應(yīng)用數(shù)據(jù)備份和恢復(fù)等方面。分析企業(yè)自身存在的網(wǎng)絡(luò)安全工作上的風(fēng)險(xiǎn)點(diǎn)，制定相應(yīng)的符合實(shí)際情況的、操作便捷且有效的網(wǎng)絡(luò)安全防控預(yù)案，并且企業(yè)要定期組織全網(wǎng)的網(wǎng)絡(luò)安全攻防演練活動(dòng)，用以檢測(cè)各個(gè)終端應(yīng)用是否存在著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。攻防演練活動(dòng)一定要涵蓋企業(yè)的所有部門(mén)，其中起頭部門(mén)為主要的網(wǎng)絡(luò)安全負(fù)責(zé)部門(mén)，其他業(yè)務(wù)部門(mén)根據(jù)牽頭部門(mén)的指導(dǎo)手冊(cè)來(lái)配合好需要防控的區(qū)域及演練方法。另外，企業(yè)在安排網(wǎng)絡(luò)安全攻防演練活動(dòng)的前提條件就是，對(duì)于攻防演練過(guò)程中出現(xiàn)的網(wǎng)絡(luò)安全事件要有應(yīng)對(duì)能力和處理預(yù)案。減少響應(yīng)時(shí)間預(yù)案不到位引發(fā)的更嚴(yán)重的后果，從而真正地減少網(wǎng)絡(luò)安全事件發(fā)生后對(duì)企業(yè)的損失。

1.企業(yè)需要統(tǒng)一購(gòu)買(mǎi)官方的系統(tǒng)病毒管控軟件，病毒管控軟件的應(yīng)用從網(wǎng)絡(luò)使用環(huán)境分析來(lái)看，系統(tǒng)病毒會(huì)對(duì)網(wǎng)絡(luò)安全造成較強(qiáng)的危害性，若是終端中病毒，將導(dǎo)致整個(gè)企業(yè)系統(tǒng)的崩盤(pán)和使用，也會(huì)造成企業(yè)數(shù)據(jù)丟失或者被流出、終端被劫持等安全隱患。所以，用戶可以隨時(shí)使用企業(yè)購(gòu)買(mǎi)的安全軟件及時(shí)掃描查殺安全隱患，一經(jīng)發(fā)現(xiàn)可立刻修復(fù)病毒。企業(yè)在選擇此類軟件時(shí)應(yīng)盡可能選擇官方正規(guī)廠家正版產(chǎn)品，這樣可以有效地對(duì)用戶計(jì)算機(jī)安全進(jìn)行保護(hù)，減少病毒對(duì)計(jì)算機(jī)的攻擊和影響，還需要不定時(shí)地進(jìn)行病毒掃描，可以有效地監(jiān)控到終端中是否存在風(fēng)險(xiǎn)，也能提高企業(yè)整體的網(wǎng)絡(luò)應(yīng)用環(huán)境。

2.企業(yè)需要每年統(tǒng)一組織員工簽訂《信息安全責(zé)任承諾書(shū)》，為保障客戶權(quán)益，保障企業(yè)穩(wěn)定、健康發(fā)展，需本人自愿簽訂承諾。這種做法可以進(jìn)一步加強(qiáng)企業(yè)信息安全保護(hù)工作，提升企業(yè)及合作伙伴信息安全意識(shí)。此外，需要在承諾書(shū)中明確的寫(xiě)明，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)國(guó)家安全法》第二十五條，《中華人民共和國(guó)反恐怖主義法》第十九條、二十一條、五十一條、六十一條、八十四條和八十六條之規(guī)定，明白國(guó)家網(wǎng)絡(luò)與信息安全保障體系的建設(shè)是為了維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益，以及《中華人民共和國(guó)刑法》《中華人民共和國(guó)刑法修正案（九）》第二百五十三條、第二百八十六條和第二百八十七條的規(guī)定，明白出售公民信息，不履行法律以及行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，協(xié)助或利用信息網(wǎng)絡(luò)實(shí)施犯罪等的后果[3]。

3.網(wǎng)絡(luò)安全等級(jí)評(píng)測(cè)，為了保證企業(yè)在合法合規(guī)地使用信息數(shù)據(jù)，就需要有一個(gè)安全穩(wěn)定的系統(tǒng)，所以企業(yè)需要定期開(kāi)展安全防檢測(cè)評(píng)并檢測(cè)結(jié)果將形成臺(tái)賬記錄。如遇網(wǎng)絡(luò)安全事故，企業(yè)需要派專人專項(xiàng)負(fù)責(zé)修復(fù)，對(duì)造成事件的原因進(jìn)行評(píng)估和責(zé)任定性，輸出應(yīng)急防護(hù)處理結(jié)果及事件內(nèi)容的備案，備案表中至少需要記錄事件等級(jí)、持續(xù)時(shí)間、發(fā)生時(shí)間、發(fā)現(xiàn)方式、修復(fù)方法、事件影響范圍等重要內(nèi)容。

（三）強(qiáng)化戰(zhàn)略執(zhí)行方面

1.建立健全的內(nèi)部協(xié)作機(jī)制，系統(tǒng)推動(dòng)企業(yè)打擊治理電信網(wǎng)絡(luò)詐騙工作等重點(diǎn)工作落實(shí)到位；組織開(kāi)展源頭管控、監(jiān)測(cè)處置、用戶預(yù)警宣傳、技術(shù)研究支撐等工作，嚴(yán)格落實(shí)相關(guān)工作要求，各項(xiàng)考核指標(biāo)達(dá)標(biāo)，未發(fā)生監(jiān)管處罰、考核扣分情況。

2.主動(dòng)圍繞法律法規(guī)對(duì)標(biāo)對(duì)表，開(kāi)展自查，對(duì)于自查發(fā)現(xiàn)的風(fēng)險(xiǎn)隱患和改進(jìn)項(xiàng)，要組織制定整改提升工作計(jì)劃，明確具體措施、時(shí)限、責(zé)任人等。

3.通過(guò)現(xiàn)場(chǎng)調(diào)研、會(huì)議匯報(bào)等方式對(duì)重點(diǎn)工作在基層的落實(shí)情況進(jìn)行調(diào)研評(píng)估，對(duì)各類堵點(diǎn)、難點(diǎn)問(wèn)題及時(shí)進(jìn)行疏解排除。

4.加強(qiáng)企業(yè)的管理，為了更好地對(duì)企業(yè)網(wǎng)絡(luò)安全環(huán)境和管理方案進(jìn)行規(guī)劃和完善，企業(yè)必須有獨(dú)立的網(wǎng)絡(luò)安全管理部門(mén)及責(zé)任人，一般企業(yè)一把手是第一責(zé)任人，負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全工作的責(zé)任人主要責(zé)任人，再下設(shè)網(wǎng)絡(luò)安全管理黨小組，小組成員負(fù)責(zé)各業(yè)務(wù)部門(mén)的安全意識(shí)培訓(xùn)及風(fēng)險(xiǎn)治理配合工作，這樣才能將企業(yè)網(wǎng)絡(luò)安全工作落到實(shí)處，做到環(huán)環(huán)有人盯，項(xiàng)項(xiàng)有人管的閉環(huán)管理模式。

5.數(shù)字資產(chǎn)的管控，當(dāng)下隨著云計(jì)算及移動(dòng)互聯(lián)網(wǎng)時(shí)代的來(lái)臨，線上發(fā)布流程變化莫測(cè)，如不掌握詳盡的資產(chǎn)信息，一旦發(fā)生問(wèn)題無(wú)法在最短時(shí)間定位問(wèn)題出處；二是外部預(yù)警提醒傳達(dá)后無(wú)法精準(zhǔn)處置，浪費(fèi)時(shí)間、精力、財(cái)力的情況。企業(yè)要想做到有效的安全管理，必須對(duì)資產(chǎn)全面、準(zhǔn)確、實(shí)時(shí)掌管，牢牢把握“資產(chǎn)管理、風(fēng)險(xiǎn)預(yù)警、主體責(zé)任人”三大要素。第一，進(jìn)行資產(chǎn)詳情的梳理掌握，包括端口服務(wù)登記、從外部到內(nèi)部的資產(chǎn)詳情、最后要形成完善的資產(chǎn)臺(tái)賬，并定期更新和審核。

（四）確保取得實(shí)效方面

1.抓住關(guān)鍵節(jié)點(diǎn)強(qiáng)化監(jiān)督檢查，推動(dòng)健全閉環(huán)反饋機(jī)制，落實(shí)監(jiān)督檢查要求，完善優(yōu)化考核手段，在配合開(kāi)展工業(yè)和信息化部“雙隨機(jī)、一公開(kāi)”網(wǎng)絡(luò)安全防護(hù)檢查、公安部門(mén)網(wǎng)絡(luò)安全執(zhí)法檢查基礎(chǔ)上，對(duì)企業(yè)網(wǎng)絡(luò)安全工作落實(shí)情況進(jìn)行監(jiān)督檢查，對(duì)發(fā)現(xiàn)的問(wèn)題加大通報(bào)曝光力度并及時(shí)開(kāi)展約談、考核、問(wèn)責(zé)[4]。

2.及時(shí)更新完善制度機(jī)制，構(gòu)建系統(tǒng)完備、科學(xué)規(guī)范、運(yùn)行有效的本單位網(wǎng)絡(luò)安全制度體系，待《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》《數(shù)據(jù)出境安全評(píng)估辦法》等制度出臺(tái)后，根據(jù)企業(yè)相關(guān)管理要求，及時(shí)結(jié)合實(shí)踐發(fā)展和業(yè)務(wù)需要，更新適用于本企業(yè)的實(shí)施細(xì)則，并加強(qiáng)制度執(zhí)行情況的監(jiān)督檢查，全面實(shí)現(xiàn)本企業(yè)在網(wǎng)絡(luò)安全管理方面的持續(xù)提升。

隨著數(shù)字化時(shí)代的到來(lái)，也迎來(lái)了業(yè)務(wù)系統(tǒng)的不斷更新升級(jí)，企業(yè)業(yè)務(wù)系統(tǒng)也在不斷變化，網(wǎng)絡(luò)信息化形勢(shì)日益顯著，面對(duì)這種嚴(yán)峻網(wǎng)絡(luò)安全形勢(shì)受到前所未有的挑戰(zhàn)，舊時(shí)的被動(dòng)防御和防護(hù)工作已經(jīng)無(wú)法適用于現(xiàn)有的狀況，國(guó)家也對(duì)網(wǎng)絡(luò)安全管理運(yùn)營(yíng)工作提出了新的挑戰(zhàn)和要求。企業(yè)響應(yīng)國(guó)家要求，在安全管理方面需要更加嚴(yán)謹(jǐn)，從業(yè)務(wù)應(yīng)用安全、數(shù)據(jù)信息安全、關(guān)鍵基礎(chǔ)設(shè)施安全等多個(gè)維度去管理。企業(yè)網(wǎng)絡(luò)安全事件的預(yù)警監(jiān)控、預(yù)案處理、風(fēng)險(xiǎn)管控等階段都發(fā)揮著非常重要作用，企業(yè)必須將安全管理與運(yùn)營(yíng)工作落地，才能有力提升企業(yè)的網(wǎng)絡(luò)安全整體防御能力。