崔 洁

（北京华科软科技有限公司，北京 100000）

传统企业在推进数字化转型的道路上面临多重考验，一方面是新架构下关键信息基础设施范围不断扩大，相对应的安全防护技术也在发生变化，传统的硬件防火墙在大多数情况下已经无法应对现今的网络威胁。另一方面，越来越多的业务数字化，必然会暴露更多的攻击面，同时由于云计算的普及，网络安全边界不再清晰，企业信息化管理人员对IT 基础设施的管理力度在逐渐下降，面对的网络安全问题更加复杂，进而安全风险也在加大。再者，自实施制造强国战略“中国制造2025”以来，由于更开放的业务需求，制造领域以工业控制系统为基本单位的工控网络进入大众视野，由旧时完全独立的隔离网络转变为开放的、广覆盖的网络生态，采用新一代信息通信技术与先进制造业深度融合，谓之工业互联网，在新时代的安全形势下，企业既需要平衡信息系统开放和网络安全之间的矛盾，又需要解决顶层安全规则、规范与项目部终端落地之间的落差。

对于企业网络安全防护设施来讲，一定要认清四点：一、基础设施一定有漏洞；二、一定有已知但未修复的补丁；三、信息系统很可能已经被入侵；四、内部人员不一定可靠。要深刻理解风险是无处不在的，区别只是能否有效的控制风险的范围及发生频率。风险本身来自于外界的威胁和自身的脆弱性，关键信息基础设施的网络安全防护既要采用有效手段抵御外界威胁，又需要从内部查漏补缺，提升系统的健壮性，优化安全管理手段。

2018年11月，公安部发布《信息安全技术网络安全等级保护基本要求》，正式宣告等保进入2.0时代。等保2.0在其保护的对象范围上，由网络、信息系统等传统基础设施扩展到云平台、工业控制系统、大数据、移动互联网、物联网等新时期技术手段。而其要求对象也是囊括各地区、各单位、各企业、各机构，即对于全社会成员来讲都要落实等级保护制度。通过开展等级保护相关工作，督促企业评测、自查，发现自身网络及信息系统安全防护能力与国家标准之间的差距，挖掘安全隐患，通过整改提高信息系统安全防护能力，降低网络被攻击的风险。

关键信息基础设施网络安全防护主要集中在三个方面：数据安全、平台安全以及生产安全。

数据历来是一家企业的重中之重，由信息技术发展带来的海量数据，逐渐成为其核心资产，直接涉及到企业的商业秘密，关乎企业的未来发展。同时，只有依托于真实可靠的数据，企业才能完成向智能制造的转变，通过数据的流通和传递，提升全产业链的资源利用率以及生产效率。数据安全围绕着保密性、完整性、可用性分区分域和网络专用是企业中常见的两种数据安全保障手法，但是随着云计算发展带来的红利以及工控网络的开放需求，网络边界变得日渐模糊，传统的防护手段在一定程度上已经影响到了业务的开展。结合以窃取数据为目的的攻击手法均属于应用层攻击，传统的防火墙及IPS、IDS 很难有效抵御，这就催生了安全态势感知系统的发展。

平台是数据流转的载体，企业在日常运营中经常以“业务不断”为终极目标，从最开始的同城灾备，到两第三中心，再到业务双活，不断提升的需求也为基础设施建设带来了极大的压力。我们不妨在平台建设时换一个角度去思考，“业务不断”并不等于“业务不宕机”，而是说基于一个稳定的、可扩展的平台，使信息化业务系统具备快速复制、生长、应用的能力，在遭受网络威胁时能够迅速恢复。同时，平台的健壮性是由各个业务系统服务器以及计算机终端的健壮性共同决定的，及时对系统打补丁和防病毒是最有效、却也是最难执行到位的安全防护手段，所以定期执行漏洞扫描测试，并根据测试进行系统加固尤为必要。

生产安全通常被企业划分在网络安全防护之外，但在实际应用场景中，我们应该站在一个“大安全”的角度。首先是人员安全，建议在企业范围内设置专项安全管理部门或是安全管理负责人，并对关键岗位人员加强培训并进行审查。其次是操作安全，在网络日常的运行维护中，多数故障都是因为人为操作失误导致的，制订详细的操作流程及管理制度可大幅降低运维人员误操作的风险。最后是设备安全，对于生产设备，应集中存放、集中管控，配备门禁，限制访问人员；对于终端设备，应限制其接入，避免非授权设备接入网络带来的风险。

继2019年以来，国内外网络安全形势日益严峻，关键信息基础设施的网络安全防护工作尤为重要，而作为支撑中国经济发展的能源、建筑、制造等传统企业又是重中之重，未来战争必将会是能源战争以及经济战争为先导，保障好传统企业的网络安全，即是维护国家机器的正常运转及行政安全，必将在未来的发展中不断前进与革新。