曉虎爾

工業(yè)和信息化部國際經(jīng)濟(jì)技術(shù)合作中心 北京 100846

為提升中小事業(yè)單位網(wǎng)絡(luò)安全防護(hù)能力，更好地應(yīng)對新形勢下的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與挑戰(zhàn)，以《網(wǎng)絡(luò)安全法》為根本，以相關(guān)制度為依據(jù)，以實(shí)踐為基礎(chǔ)，從網(wǎng)絡(luò)安全組織架構(gòu)、網(wǎng)絡(luò)安全等級保護(hù)、網(wǎng)絡(luò)安全建設(shè)及網(wǎng)絡(luò)安全運(yùn)維等方面出發(fā)，通過探索規(guī)模較小的事業(yè)單位及社會團(tuán)體現(xiàn)狀，提出具有針對性的網(wǎng)絡(luò)安全防護(hù)策略及建議。

引言

信息技術(shù)的發(fā)展極大地促進(jìn)了經(jīng)濟(jì)社會的繁榮，同時(shí)也帶來了全新的風(fēng)險(xiǎn)和挑戰(zhàn)。在互聯(lián)網(wǎng)應(yīng)用深入發(fā)展和使用的過程中，非法訪問、惡意攻擊等安全威脅也在不斷升級改造、推陳出新，攻擊和破壞的手段越來越多，我們的網(wǎng)絡(luò)空間已是危機(jī)四伏。規(guī)模較小的事業(yè)單位及社會團(tuán)體普遍分布在國家各個(gè)公益行業(yè)，其中的很多單位都掌握著公共數(shù)據(jù)，關(guān)乎著民生和國家安全。但由于資金限制，這些單位中的絕大多數(shù)都無法承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全建設(shè)費(fèi)用，缺乏專業(yè)的網(wǎng)絡(luò)安全人才，對網(wǎng)絡(luò)安全問題常常抱有僥幸心理，規(guī)模較小的事業(yè)單位及社會團(tuán)體網(wǎng)絡(luò)安全作為國家網(wǎng)絡(luò)安全防護(hù)體系的短板，安全問題是普遍存在的，絕不可小視，強(qiáng)化公共數(shù)據(jù)治理，補(bǔ)齊短板，改善現(xiàn)狀已是當(dāng)務(wù)之急。

1 網(wǎng)絡(luò)安全現(xiàn)狀

隨著“互聯(lián)網(wǎng)+”及物聯(lián)網(wǎng)技術(shù)的日趨成熟，無論是家用電器還是大型專業(yè)設(shè)備，越來越多的廠商為了提高商業(yè)價(jià)值，忽視了網(wǎng)絡(luò)安全，甚至?xí)ㄟ^削減網(wǎng)絡(luò)安全功能從而達(dá)到降低成本的目的，對互聯(lián)網(wǎng)的穩(wěn)定性安全性都造成了極大的威脅，大大增加了用戶使用設(shè)備的風(fēng)險(xiǎn)。可以說，網(wǎng)絡(luò)安全問題是影響當(dāng)今經(jīng)濟(jì)社會發(fā)展的重要不安定因素之一[1]。

2015年8月，國務(wù)院印發(fā)《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》，從國家層面指導(dǎo)大數(shù)據(jù)發(fā)展及相關(guān)治理。2016年初，網(wǎng)絡(luò)安全被正式劃入“十三五”規(guī)劃的重點(diǎn)建設(shè)方向，國家重視程度達(dá)到前所未有的高度。2016年以來相繼頒布了《網(wǎng)絡(luò)安全法》、《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》及《戰(zhàn)略性新興產(chǎn)業(yè)重點(diǎn)產(chǎn)品和服務(wù)指導(dǎo)目錄》等相關(guān)政策相繼出臺，更加速推動信息安全產(chǎn)業(yè)的蓬勃發(fā)展。2019年10月，我國首部針對兒童的網(wǎng)絡(luò)保護(hù)法——《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》出臺，2020年1月1日，《中華人民共和國密碼法》正式施行，這些法律法規(guī)的出臺，標(biāo)志著我國在網(wǎng)絡(luò)安全的制度建設(shè)方面已經(jīng)日趨完善。

此外，2019年1月，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)督總局等四個(gè)部門正式發(fā)布《關(guān)于開展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》，并于2019年底在全國范圍內(nèi)開展了APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理行動。同年11月，由公安部主導(dǎo)的“凈網(wǎng)行動”專項(xiàng)行動共偵破涉網(wǎng)案件45743起，抓獲嫌疑人65832人，取得了良好的成效。這兩次行動的成功表明，我國網(wǎng)絡(luò)安全防控體系在主動防御環(huán)節(jié)已經(jīng)取得了重大進(jìn)步。

但是，網(wǎng)絡(luò)安全問題是無處不在的，并會隨著技術(shù)和手段的進(jìn)步而不斷迭代更新，只要國家網(wǎng)絡(luò)安全防護(hù)體系存在短板，就一定會被不法者攻擊。特別是公共數(shù)據(jù)安全，已成為網(wǎng)絡(luò)安全防護(hù)的焦點(diǎn)。今年7月發(fā)布的《2020聯(lián)合國電子政務(wù)調(diào)查報(bào)告》表明，我國電子政務(wù)發(fā)展指數(shù)取得歷史新高，在線服務(wù)指數(shù)上升為0.9059，排名世界第9。這說明我國公共數(shù)據(jù)在不斷增長，并且有可能甚至已經(jīng)出現(xiàn)指數(shù)型、爆發(fā)型增長，其現(xiàn)實(shí)經(jīng)濟(jì)社會價(jià)值帶來的巨大的風(fēng)險(xiǎn)，是很多涉及大量公共數(shù)據(jù)處理的中小事業(yè)單位無法承擔(dān)的。

根據(jù)國家統(tǒng)計(jì)局?jǐn)?shù)據(jù)顯示，我國目前有將近87萬個(gè)事業(yè)單位，30萬個(gè)社會團(tuán)體，這其中大部分單位都屬于100人以下的規(guī)模較小的事業(yè)單位或社會團(tuán)體，這些單位中相當(dāng)一部分存在公共數(shù)據(jù)安全隱患，他們或沒有對網(wǎng)絡(luò)安全形成足夠的認(rèn)識，或沒有充足資金加強(qiáng)安全建設(shè)，又或缺乏專業(yè)人才進(jìn)行維護(hù)，國家網(wǎng)絡(luò)安全體系的短板已經(jīng)浮現(xiàn)。因此，如何減少因網(wǎng)絡(luò)空間數(shù)據(jù)安全問題造成的損失，改善規(guī)模較小的事業(yè)單位或社會團(tuán)體網(wǎng)絡(luò)安全現(xiàn)狀，最大限度維護(hù)網(wǎng)絡(luò)安全是一個(gè)迫在眉睫的現(xiàn)實(shí)問題。

2 安全防護(hù)策略

結(jié)合規(guī)模較小的事業(yè)單位或社會團(tuán)體特點(diǎn)，以網(wǎng)絡(luò)安全等級保護(hù)2.0為標(biāo)準(zhǔn)，從機(jī)構(gòu)建設(shè)、制度建設(shè)及安全管理策略等方面入手，提供一個(gè)覆蓋大多數(shù)中小事業(yè)單位運(yùn)行邏輯且低成本高效率的網(wǎng)絡(luò)安全防護(hù)策略[2]。

2.1 網(wǎng)絡(luò)安全等級保護(hù)2.0

由于不同信息系統(tǒng)的保密要求和應(yīng)用要求并不一致，要對單位整個(gè)網(wǎng)絡(luò)安全信息系統(tǒng)進(jìn)行必要的劃分。

（1）確定網(wǎng)絡(luò)安全信息系統(tǒng)等級

事業(yè)單位和社會團(tuán)體往往肩負(fù)著公益性任務(wù)，甚至部分單位的信息系統(tǒng)存儲著大量公共數(shù)據(jù)信息，如果受到破壞，會對不同行業(yè)造成不同程度的影響，對符合此類情況的信息系統(tǒng)建議定為三級或三級以上系統(tǒng)，其他系統(tǒng)可按照《網(wǎng)絡(luò)安全等級保護(hù)定級指南》做好分級保護(hù)。

（2）安全技術(shù)框架

根據(jù)國家市場監(jiān)督管理總局和國家標(biāo)準(zhǔn)化管理委員會發(fā)布的網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)，參考“一個(gè)中心，三重防護(hù)”的方式，以安全管理中心為核心，以安全通信網(wǎng)絡(luò)，安全區(qū)域邊界和安全計(jì)算環(huán)境為著力點(diǎn)，構(gòu)建符合單位業(yè)務(wù)特點(diǎn)的安全技術(shù)框架。

2.2 機(jī)構(gòu)建設(shè)

規(guī)模較小的事業(yè)單位或社會團(tuán)體通常有以下特點(diǎn)，如領(lǐng)導(dǎo)層更注重業(yè)務(wù)，業(yè)務(wù)崗忽視管理，管理崗一人分飾多個(gè)角色等，因此，我們在建設(shè)網(wǎng)絡(luò)安全工作機(jī)構(gòu)時(shí)，要盡可能縮小管理層級，避免管理人員因?yàn)檫^多介入工作小組，而在執(zhí)行過程中投入過高的時(shí)間成本，影響決策和執(zhí)行效率。所以，建議設(shè)置兩級管理層級，即領(lǐng)導(dǎo)小組和執(zhí)行小組。

（1）網(wǎng)安領(lǐng)導(dǎo)小組

為確保規(guī)模較小的事業(yè)單位或社會團(tuán)體對網(wǎng)絡(luò)安全工作的持續(xù)重視，領(lǐng)導(dǎo)小組要以單位主管領(lǐng)導(dǎo)、網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)、網(wǎng)絡(luò)安全部門負(fù)責(zé)人等為主要成員，同時(shí)，為了提高領(lǐng)導(dǎo)層的決策效率，更好的應(yīng)對網(wǎng)絡(luò)安全的突發(fā)情況，建議成員人數(shù)不超過5人。領(lǐng)導(dǎo)小組負(fù)責(zé)制定安全體系的總體方針，研究安全策略的制度流程，部署網(wǎng)絡(luò)安全的宣傳工作，評估執(zhí)行小組的工作情況。

（2）網(wǎng)安執(zhí)行小組

網(wǎng)絡(luò)安全執(zhí)行小組為領(lǐng)導(dǎo)小組的日常辦事機(jī)構(gòu)，主要由網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)、網(wǎng)絡(luò)安全部門負(fù)責(zé)人及網(wǎng)絡(luò)安全執(zhí)行部門的相關(guān)管理、技術(shù)人員組成。執(zhí)行小組主要負(fù)責(zé)網(wǎng)絡(luò)安全的日常工作，包括落實(shí)領(lǐng)導(dǎo)小組制定的總體方針和部署要求，保障網(wǎng)絡(luò)網(wǎng)站信息系統(tǒng)安全可靠，推進(jìn)單位網(wǎng)絡(luò)安全及信息化建設(shè)。

圖1 中小事業(yè)單位網(wǎng)絡(luò)安全防護(hù)策略

2.3 制度建設(shè)

緊密結(jié)合單位實(shí)際對各個(gè)部門的網(wǎng)絡(luò)信息系統(tǒng)使用情況做好充分的調(diào)研，了解不同崗位人員對網(wǎng)絡(luò)安全的理解和訴求，掌握網(wǎng)絡(luò)安全資產(chǎn)的運(yùn)行和維護(hù)情況，梳理出網(wǎng)絡(luò)安全的各項(xiàng)風(fēng)險(xiǎn)點(diǎn)，并邀請內(nèi)外部專家對整個(gè)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估和研究討論，得出應(yīng)完成工作的優(yōu)先級，按照《網(wǎng)絡(luò)安全法》及其他相關(guān)制度，對標(biāo)網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)，按照需求內(nèi)容和建設(shè)目標(biāo)，圍繞安全機(jī)構(gòu)、安全管理、人員管理、系統(tǒng)管理及運(yùn)維管理等方面制定符合單位實(shí)際的網(wǎng)絡(luò)安全制度體系[3]。

2.4 安全管理策略

圖2 運(yùn)維流程（簡版）

網(wǎng)絡(luò)安全執(zhí)行小組在制定安全管理策略的過程中，要圍繞“一個(gè)中心，三重防護(hù)”的建設(shè)和管理思路，結(jié)合安全通信網(wǎng)絡(luò)的要求，有效指導(dǎo)單位安全通信網(wǎng)絡(luò)的劃分；利用安全計(jì)算環(huán)境明確身份鑒別、訪問控制、安全審計(jì)、入侵防范等安全措施；并根據(jù)安全區(qū)域邊界對訪問控制策略和邊界防護(hù)提出要求；針對以上三重防護(hù)的安全機(jī)制，形成一個(gè)統(tǒng)一的安全管理中心，實(shí)現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計(jì)、綜合分析且協(xié)同防護(hù)。此外，結(jié)合其他等保要求，主要是安全通用要求和安全擴(kuò)展要求，建設(shè)具備符合相應(yīng)級別的安全保護(hù)能力的安全管理策略。

（1）安全運(yùn)維

如何緊密結(jié)合網(wǎng)絡(luò)安全框架與單位具體業(yè)務(wù)相對應(yīng)的網(wǎng)絡(luò)安全需求是制定安全運(yùn)維策略的重中之重。如有的業(yè)務(wù)系統(tǒng)在受到攻擊后對快速應(yīng)急響應(yīng)有較高的需求，比如與電子政務(wù)相關(guān)的信息系統(tǒng)要注意架設(shè)負(fù)載均衡，使用主備機(jī)定期對備份做恢復(fù)測試；有的則對數(shù)據(jù)的保密性有具體的要求，比如涉及大量公共數(shù)據(jù)的信息系統(tǒng)，則要在入侵防范和惡意代碼防范方面做好防護(hù)。因此，制定符合單位實(shí)際且經(jīng)濟(jì)有效的運(yùn)維策略是對單位數(shù)據(jù)安全的有力保證[4]。

（2）日常管理

網(wǎng)絡(luò)安全執(zhí)行小組要在日常運(yùn)維及管理的工作上做好合理分工，劃分好三員，強(qiáng)化責(zé)任落實(shí)。一般情況下，應(yīng)以公共數(shù)據(jù)及單位業(yè)務(wù)數(shù)據(jù)的保護(hù)為重點(diǎn)，圍繞物理環(huán)境、介質(zhì)、設(shè)備維護(hù)及安全事件處置等管理制度完成日常運(yùn)維管理工作。在發(fā)現(xiàn)威脅時(shí)，要對事件進(jìn)行深入分析和研判，給出安全整改建議，對蘊(yùn)含中高風(fēng)險(xiǎn)的漏洞要及時(shí)進(jìn)行防御策略的優(yōu)化。使用云服務(wù)器的單位要特別注意安全區(qū)域邊界和安全計(jì)算環(huán)境的相關(guān)要求，保證數(shù)據(jù)流在通過邊界設(shè)備提供的受控接口進(jìn)行通信。

（3）敏感信息管理

結(jié)合單位等保情況，做好在日常運(yùn)維管理中的敏感信息的劃分是做好敏感信息管理的第一步，尤其要注意防范運(yùn)維中產(chǎn)生的信息，做好IP地址及網(wǎng)段、三員賬號口令、信息系統(tǒng)拓?fù)鋱D、等保測評的評估報(bào)告等信息的保密工作。

（4）網(wǎng)絡(luò)安全自查

網(wǎng)絡(luò)安全自查是預(yù)防重大網(wǎng)絡(luò)安全事故的重要工作之一，可以結(jié)合單位業(yè)務(wù)特點(diǎn)，按照規(guī)章制度執(zhí)行情況、終端設(shè)備使用情況、遠(yuǎn)程登錄情況、等保合規(guī)等方面定期對網(wǎng)絡(luò)信息系統(tǒng)的安全情況進(jìn)行巡檢抽查，發(fā)現(xiàn)的問題要及時(shí)整改，對受到攻擊的設(shè)備或資產(chǎn)，要深入分析，查找原因，及時(shí)整改，對安全事故的責(zé)任人要嚴(yán)格按照規(guī)章制度進(jìn)行處置。

（5）安全培訓(xùn)

中小事業(yè)單位或社會團(tuán)體的員工通常存在網(wǎng)絡(luò)安全意識薄弱、網(wǎng)絡(luò)安全知識匱乏的現(xiàn)象，特別是部分單位使用資源共享的內(nèi)部網(wǎng)絡(luò)，在使用資源時(shí)會出現(xiàn)因警惕性不高將電子郵件中的病毒帶到單位內(nèi)部網(wǎng)絡(luò)的現(xiàn)象，這些都是由于個(gè)體在使用單位公共網(wǎng)絡(luò)資源時(shí)因其知識結(jié)構(gòu)所限或安全意識淡化造成的。因此，加強(qiáng)有針對性的安全培訓(xùn)，特別是關(guān)于應(yīng)急處置的培訓(xùn)，提高培訓(xùn)質(zhì)量，強(qiáng)化安全意識，是保障網(wǎng)絡(luò)安全的重要環(huán)節(jié)[5]。

3 結(jié)束語

覆蓋各行各業(yè)掌握大量公共數(shù)據(jù)的事業(yè)單位和社會團(tuán)體，將會隨著數(shù)字經(jīng)濟(jì)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)空間與經(jīng)濟(jì)社會的不斷融合，在未來面臨更大的風(fēng)險(xiǎn)和挑戰(zhàn)。我們要圍繞國家各項(xiàng)業(yè)務(wù)系統(tǒng)平穩(wěn)運(yùn)行這一目標(biāo)，補(bǔ)齊短板，消化存量的安全風(fēng)險(xiǎn)，加大對規(guī)模較小的事業(yè)單位和社會團(tuán)體的支持力度，網(wǎng)絡(luò)安全管理部門要結(jié)合中小單位的特點(diǎn)，繼續(xù)落實(shí)配套的政策法規(guī)，并通過持續(xù)深入推進(jìn)信息系統(tǒng)等級保護(hù)工作，著力培養(yǎng)一批具備網(wǎng)絡(luò)安全基本防護(hù)能力和管理能力的復(fù)合型人才，以應(yīng)對日益復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全生態(tài)。