新形势下基层企业网络安全工作的现状及改进措施

新形势下基层企业网络安全工作的现状及改进措施

肖泽宇 王俭 连杰

湖南省华湘天然气有限责任公司 湖南 长沙 410000

［摘 要］：近年来国际形势风云突变，地区局势紧张，地缘政治风险加大，冲突频发，网络安全局势紧张，文章通过分析当前网络安全环境，结合基层天然气销售企业网络安全工作中的现状，如员工网络安全意识不强、组织机构不完善、专业技能水平有限等问题，提出建立针对性强的考核制度、打造专业的网络安全团队和技术平台、构建网络安全风险防护流程及加强网络安全知识宣传培训等改进措施，以期帮助基层天然气销售企业初步建成网络安全管理体系，有效提高全体员工网络安全责任意识，减少网络安全隐患，增强网络安全防护能力，构建安心的网络安全环境。 

［关键词］基层企业；企业网络安全；网络系统；考核机制

引言：随着数字化的加速发展，人工智能、大数据、云计算、物联网、5G等新兴技术将成为社会经济的重要载体，网络安全风险深度融入智慧城市发展。数字化业务、数据与网络安全逐渐高度融合，基层企业网络安全建设理念也从传统以满足等保合规要求为主要目的，慢慢转向以安全能力为导向的、更加积极主动的安全防护新模式，行动上从被动防守转向积极防御。

一、网络安全态势

（一）国际网络安全形势

全球网络安全形势不容乐观，网络攻击方式演进升级。一方面，针对能源、交通、电信等关键行业的网络攻击事件频发，对社会稳定运行和民众生产生活产生深远影响。另一方面，针对新技术、新场景的网络威胁日益增多。从俄乌战争开始，冲突思维已经充分蔓延到网络空间，网络空间已经成为新战场，网络空间总体上进入了“要反对核武器，自己就应该先拥有核武器”“要去武装化，必须先武装化”的时代。网络安全领域的国际治理仍然没有走出丛林法则阶段，各国都认为本国是网络攻击的受害者，在日益严峻的网络安全威胁态势下，各国均在全面加速网络安全产业布局，积极建设健康发展的网络安全产业生态，以构建坚实的网络空间安全保护屏障，确保国家安全。

（二）国内网络安全形势

随着国际局势紧张，科技霸凌愈演愈烈，数字铁幕越筑越高，世界超级大国利用自身技术优势成立国家级黑客组织，对他国开展网络攻击、网络窃密等活动已屡见不鲜。2022年国内网络安全事件频发，4月，在疫情防治高峰期，北京健康宝遭遇境外网络黑客攻击，同期，西北工业大学就电子邮件系统遭受境外钓鱼邮件攻击的情况报警，9 月，国家计算机病毒应急处理中心和 360 公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。调查显示，美国国家安全局下属的“特定入侵行动办公室”（TAO），使用 40 余种网络攻击武器，对我国西北工业大学发起上千次的攻击窃密行动，窃取了学校大量关键网络设备配置、网管数据、运维数据等核心敏感信息。公民隐私数据泄漏越发严重，2022年8月有黑客在暗网论坛公开以4000美元的价格售卖上海随申码4850万用户信息数据，

我国网安立法执法持续推进，全方位保障网络空间安全。一是重点领域网络安全顶层制度设计不断完善。《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等多部重磅法律条例的相继颁布，标志着我国在数据安全、个人信息保护、关键信息基础设施保护等重点领域迎来了有法可依、有章可循的新时代。

二、基层企业网络安全工作的现状

（一）机构设置缺失

部分基层企业已经设置网络安全领导小组和领导小组办公室，整体推进网络安全管理体系化建设。但由于很多企业缺乏系统安全方面专业管理机构，同时也没有养成主动维护系统安全的习惯；企业内部分工不明确，造成了企业网络使用的权限与行政管理权限的不匹配；管理方面存在的问题，存在“自己操作自己监督”，没有履行多级审批，领导对于网络安全工作不了解，导致企业网络安全管理中存在大量的盲点和误区。

（二）网络安全资金紧缺

基层企业网络建设现状而言，不同程度地存在着“重技术，轻安全，重建设，轻管理”的问题，有限的资金大多投在基础网络和应用系统建设，忽视网络安全建设及管理制度落实。缺少专人负责计算机、监控、通讯等设备及线路的定期的检查，缺少运维相关预算，无法确保设备后续的正常运转。

（三）专业人员技术有限

网络安全管理人员队伍薄弱，直接导致基层企业网络安全需求不明确，网络安全目标感缺失。一是在网络安全实际工作中，基层单位网络安全工作主要由网络管理、系统管理员等兼任，缺乏专业技术人员将保障措施有效落地，专业队伍建设有待加强。二是对信息化依赖程度高的单位需要一个高级岗位，规划管理和监督单位网络安全，将网络安全与单位经营管理活动相结合，这不仅需要有专业背景和管理能力，也需要相应的权限和沟通渠道，才能做好岗位工作。但许多基层单位只设了一个低级的网络安全管理岗位，重管理轻技术，很难履行相应职责。网络安全组织与队伍人员匮乏不利于政企单位网络安全保障能力提升，因此，需要进一步完善组织架构和岗位设置，提升网络安全服务团队专业水平，强化支撑机构的运维能力、安全事件监测发现能力、应急处置能力。

（四）员工网络安全防范意识薄弱

基层企业部分员工网络信息安全意识薄弱。一是部分领导往往注重企业运营的经济效益，而忽视网络安全方面的问题，重视先进的技术防护忽略基本的人员制度防护。二是企业职工的安全技能水平偏低，对信息安全的技术认识不足，没有相关的专职专业网络安全技术人员。对于恶意入侵、网络病毒、恶意破坏网页、漏洞、端口开放及远程控制等风险抵抗能力不足。公司内部提出很多问题但未制定有效的解决措施方案及切实可行的规章制度，基层工作人员缺乏企业网络政策方针的宣贯，信息安全意识较为淡薄，甚至在网络安全检查时，仅仅应付上级检查等做些表面工作。对于软件使用缺乏防范意识，出于成本考虑使用盗版、汉化软件，造成极大的安全隐患。

（五）缺少总体规划以及顶层设置

网络安全保障工作以网络安全风险控制为主线，部分基层单位虽然已建设网络安全态势感知平台，但安全事件多级协作和联动应急处理机制尚不完善；数据安全建设相对薄弱，仅通过数据库防火墙、数据库审计等产品进行基础防护，亟待构建核心业务数据安全防护能力和保障机制；同时上级部门对基层单位的考核存在一刀切的事项，针对性不强，适用性不高，基层单位疲于应付考核，考核细则专业性高，部分岗位员工无法及时上手，导致考核结果较差；缺乏数据安全分类分级与数据安全保护策略咨询，无法摸清数据资产“家底”，需要制定数据防护策略。部分单位生产网络安全防护建设较滞后，漏洞分布情况、运行状态与风险状况无法有效掌控，亟待加强工业控制生产网络本质安全防护，及时隔离风险设备、阻断攻击行为，并持续提升生产网络安全态势感知能力。

三、基层企业网络安全工作的改进措施

（一）建立企业网络安全专项管理机构

一是基层企业需要规划设立网络安全运营中心或专业组织机构，配置专业技术人员，开展网络安全监测预警、安全检查等技术活动，设计安全运营中心运转机制及各类网络安全技术支持服务流程。二是由专项管理机构按照国家最新规范及网络安全监督管理要求，加强和完善安全管理制度规范，补充制定数据安全分类分级与数据安全防护指南、业务系统网络安全应急响应保障指南与专项应急预案等标准，落实全业务、全过程各环节所需网络安全技术支撑规范和标准的配套，以有效支撑信息化业务发展。

（二）增加网络安全专项资金预算

网络安全投入不仅是企业保护信息资产和维护业务运营的基础，也是企业应对日益严峻的网络安全形势的必要举措。一方面，企业应将网络安全作为战略层面的问题进行考虑，积极投入必要的资源，以提高网络安全水平，为企业的可持续发展提供坚实保障。另一方面，企业需要建立健全的预算监控和调整机制，及时了解预算执行情况，评估网络安全投入的有效性，并根据实际情况进行调整。通过对网络安全预算执行情况的总结，企业可以不断提炼经验教训，持续改进预算制定和执行。

（三）针对基层企业特性，设置行之有效的考核机制

网络安全是系统性工程，是多层面、多因素、综合、动态的。因而要从广度上进一步开展，我们不仅要有通盘规划，还要对每个新建、已运行系统的各个环节进行综合考虑，并应时时兼顾企业内外不断变化的环境因素，例如，部分基层企业无独立服务器、独立系统和工控系统，应设置统建系统的考核细则，对于有独立服务器、独立系统和工控系统，应设置专业性强的考核细则，再按照企业所有系统种类划分工控考核、服务器考核、对外系统考核等细则。完善的考核机制可确保工作流通畅，将安全事件处置规范化、流程化以保证安全策略、防护要求有效落实。所有安全工作、安全技术控制点的落实，都要通过标准化的考核机制来固化，以此形成处置闭环与团队协同。同时具体的处置动作也要标准，通过SOP来实现处置动作的标准化落地、并有证可查，标准化的处置动作也可避免在事件处置时依靠个人经验，减少犯错概率。

（四）构建高水平专业化技术团队

围绕网络安全组织机构、网络安全制度规范、合规与风险管控、系统建设与运维管理、网络安全培训与宣贯，加强网络安全管理体系建设，完善网络安全管控架构，持续优化网络安全制度管理体系建设，加强网络安全人员队伍建设，推动网络安全岗位专业技术人员落实到位，强化网络安全责任和管理职责，推行可记录、可持续、可考核的网络安全责任管理方法。制定网络安全部门人员的岗位责任制，严格纪律、管理和分工的原则，不准串岗、兼岗，严禁程序设计师同时兼任系统操作员，严格禁止系统管理员、终端操作员和系统设计人员混岗。深化网络安全管控与治理机制，细化软件开发安全管理、移动应用安全管控、业务系统安全升级加固管控流程，积极引入网络安全建设服务化转型。加强应急演练与实战化攻防演练，组织开展攻防演练，通过实战化演练全面整改加固，对存在的风险隐患和已暴露问题，及时改进防护技术，全面提升对信息系统的漏洞监测和抵御攻击的能力。

（五）增强网络安全意识

涉密信息系统、非涉密信息系统、互联网安全风险有很大区别，国家对这三种网络的监管政策不一样，基层企业必须明确这三网的功能定位，涉密的应用毫无疑问放在涉密网络，非涉密的应用放在涉密网、非涉密或互联网都可以，应该考虑非涉密应用的用户范围、工作流程、所存储处理信息的来源和用途和其他应用系统的关系等因素，合理部署该应用，才能使涉密信息系统、非涉密信息系统、互联网之间的边界清晰，信息交换接口少而且好用可控，既便利信息资源合理利用，又便于网络安全管理。

建立企业网络安全态势月报制度，每月定期发布国内外安全动态和安全事件，同时通报企业内部网络安全工作情况，加强落实网络安全主体责任，提高全体职工的网络安全责任意识。基层企业需要定期开展信息安全知识培训工作，端正从业态度，并培养网络安全习惯，严格执行企业中的各项安全管理制度，禁止在企业网络中使用存储介质，严禁安装与工作无关的软件。要做好强口令和安全组策略的设置，同时做好对关键数据的备份及容灾工作，不断提升员工的信息安全意识。积极开展企业网络安全宣传周活动，通过门户网站、微信公众号、宣传展板、专家讲座、知识答题等多种形式宣传网络安全知识。努力推动宣传与培训常态化、制度化，不断提高员工网络安全意识，增强“网络安全为大家、网络安全靠大家”的理念，打造企业网络安全生态文化。

（六）加强顶层设计，完善总体规划

随着国内网络安全相关的法律法规的不断完善和迭代升级，网络安全合规要求也愈发增加。企业在开展网络安全防护的同时，也需要重视网络安全合规性要求。安全运营体系的建设可以从政策合规、法律法规合规的角度出发，规划并且建设满足国家相关法律法规文件和政策指导性文件要求的安全运营体系策略。以网络安全保障总体框架为指引，打造面向体系化、实战化、常态化的网络安全保障体系，实现网络安全管控措施由单点管控转向集约化管控，安全防护能力由被动防御转向主动防护，安全运营保障由形式化转向实战化运行的转变，形成贯穿数字化业务的网络安全监测预警分析与网络安全协同联动机制，推进全面风险管控。坚持网络安全运营以安全管控为指导，以安全技术为支撑，构建安全运营组织，落实各阶段的网络安全运行保障工作内容。聚合技术、工具、人员，充分发挥网络安全态势感知平台支持工具效能，面向全域网络采集网络安全数据，整合安全漏洞挖掘与威胁情报资源，关联分析网络安全态势，深化网络安全威胁识别预防、防护控制、检测分析、响应恢复工作流程，进行预警通报，提升全网威胁管理水平。基于网络安全态势平台应用，面向实战化构建闭环运营保障机制，实现积极预防、动态防御、全面监测、协同响应，提高网络安全监测预警与应急处置水平。

基层企业要建设严密的网络安全、信息安全保障系统，拥有相对完善的管理措施和有效的技术检测手段、检测方法及规范化的管理程序；要建立完善的审计电子数据管理和使用制度，明确电子数据使用和管理责任。其次，对网络和信息安全检查要全面细致，检查信息设备、设置场所及传输线路是否符合有关规定，检查电子数据是否按照相关规定使用和管理，检查网络设备、服务器、终端是否进行安全防范加固、是否存在异常访问行为，检查个人终端或移动存储设备是否存储涉密资料等等。三要加强与保密、公安部门的交流协作，制定应急预案，定期开展演练，提高突发性安全事件应对能力。

四、结语

综上所述，建议基层企业应借助网络安全运营支撑平台提供的专业能力，通过企业管理抓手，建立统一的网络安全体系，落地相应的网络安全管理规范，建立相关的安全运营制度，深入贯彻落实国家关于网络安全的决策部署，积极推动网络安全信息化工作，加快构建政务侧安全保障体系，全面提升网络安全水平。并且通过管理体系、技术机制、运营中心的构建和实施，全面推进安全管控措施的制定和执行、安全技防措施的建设和完善、安全运营措施的落实与运行，深度融合数字化业务，提升网络安全管理能力、网络威胁识别能力、网络攻击防范能力、数据安全保护能力、安全事件追溯能力，筑牢网络安全防线，确保对网络风险可识别、能防范、可追溯，做到网络安全的全面管控。

主要参考文献

[1]陈倩.一体化运维体系在电力信息通信中的价值探讨[J].山东工业技术,2017,06.

[2]张政.企业办公网络安全构架设计[J].信息通信,2017,6(174).[3]黄学文.办公网络稳定性分析与提高[J].信息通信,2014,6(19).

[4]饶国勇.探究计算机网络安全技术在网络安全维护中的应用[J].计算机产品与流通,2020,(10).

[5]刘洪梅，张舒.2016年国内外信息安全态势[J].中国信息安全,2017(01)：60-64.

[6]尹丽波.网络安全法将促进国家关键信息基础设施保护新局面[J].中国信息安全,2015(08)：110-112.

[7]信息安全保障[Z].北京：中国信息安全测评中心,2013.