APP下载

关于国有企业信息系统安全等级保护建设的思考

2021-01-13张冬乐

消费电子 2021年12期
关键词:信息系统信息安全网络安全

张冬乐

【关键词】国有企业;信息系统;安全等级保护;等保2.0

《中国人民共和国网络安全法》明确了网络空间的主权原则,将网络安全工作提高到法律高度,体现了网络安全作为国家战略的决策,也为等保2.0建设提供了法治基础,标志着我国全面进入信息安全2.0时代。等保2.0要求国有企业从被动防御转向主动防范风险,网络安全不再是一次性安全设施投入,“合规”将成为常态需求。在新的等保要求下,国有投资企业只有构建感知、检测、响应、预防的闭环管理才能实现网络安全风险全生命周期管理。

《中国人民共和国网络安全法》已经将等级保护制度上升为法律,等级保护从传统的信息系统层面上升到了网络空间安全的层面,等保2.0的定级方式更加规范化,等保2.0的定级并不是1.0标准下的用户自主定級,而是需要参照定级指南进行定级,确保等保工作更加规范化。除了满足等保1.0时代定级、备案、建设整改、等级测评和监督检查五个规定流程外,等保2.0把风险评估、安全监测、通报预警、事件调查等措施全部纳入等级保护制度并加以实施,保护对象也从传统的网络和信息系统向“云大物智移”扩展[1]。

(一)信息安全问题表现形式复杂化

投资型国有企业可以被看成是金融行业的一个分支,因此面临的网络攻击类型相对集中,主要包括恶意扫码、网络攻击、木马蠕虫和拒绝服务攻击。安全攻击频次高,攻击来源集中。特别是投资行业的业务链条较长,涉及多个线上线下相结合的复杂业务场景,影响投资型公司信息安全的风险因素较多,风险管控复杂。

(二)信息系统安全等级保护建设必要性

《中国人民共和国网络安全法》要求国有企业在发现网络产品、服务存在安全缺陷、漏洞等风险时,应当及时向用户告知并采取补救措施,否则企业负责人及相关安全责任人会受到不同程度的处罚。因此,国有企业应对公司网站及重要信息系统开展全面审查,对信息系统进行网络安全等级保护定级和测评工作,完成信息系统的等级保护测评及备案。关键信息基础设施和信息系统的信息安全等级保护工作能够切实加强国有企业信息系统防泄密、防渗透、防阻断的能力,降低公司信息被泄露的风险。

(三)国有企业网络安全成熟度有待提升

等保2.0建设是贯穿在网络安全管理过程中的一项最重要的工作,在审视国有企业网络安全管理工作时,企业规模和所处行业也同样是等保建设能否推进落实的重要考量因素。随着网络安全创新技术的加速发展,信息技术和运营技术相互融合,等保2.0建设将帮助国有企业增强网络安全防护需求,赋能网络安全新格局。企业员工的网络安全意识、IT部门的网络安全职责和对应的问责机制都应成为每个国有投资型企业内部管理职能的一部分[2]。

(一)确保国有企业董事会和管理层积极参与

缺乏管理层支持或资金不足是等保2.0难以推进和落实的直接原因,也是企业在管理网络安全方面所面临的最大挑战。通过调查发现,那些已经成功完成等保2.0建设的企业,他们的董事会及公司高层管理者对网络安全的关注不仅局限于日常的工作汇报,而是几乎对总体网络安全策略、威胁和安全风险审查、网络安全项目进展、安全漏洞、第三方泄露风险、网络安全测试结果以及网络安全风险对公司主营业务产生的影响有着更大兴趣。因此,等保2.0建设的有效落实离不开公司高级管理层的重视与参与,对公司董事会进行大力宣贯可提升高级管理层参与度,只有将网络风险和财务风险以及企业其他风险给予同等程度的重视与监控,才能有效推进信息系统等级保护建设。

(二)提高网络安全在国有企业内部的影响力,不仅局限于IT部门

网络威胁越来越被认为是国有企业所面临的最关键的风险之一,如今网络安全所面临的已不仅仅是技术挑战,那些已成功完成等保2.0建设的企业已经充分认识到提高信息安全管理的重要性。网络安全是链接IT部门与公司各个业务部门之间的关键职能,但信息系统等级保护建设的推进工作不能仅仅依靠于企业IT部门,它是需要企业内所有部门配合才能够完成的,因此等保建设工作的推进更应该在IT部门以外的其他部门提升网络安全影响力,提升全员网络安全意识。

(三)构建人才保障体系

信息系统安全等级保护建设工作的开展,需要统筹协调公司内部及外部IT资源。要想等保2.0工作有效推动及落实,就必须解决技术人员匮乏问题。IT人员短缺削弱了加强防御的能力,许多中小企业寻求外包人才援助,是提高自身对网络安全风险的防范、节约公司人工成本、更快应对网络攻击的一种手段,但更有效的管理模式还是鼓励有条件的国有企业去配备专业的信息化管理人员,专职开展信息系统等级保护建设工作,将网络安全专业人才保障计划纳入公司整体战略规划[3]。

(四)将网络安全与国有企业业务发展战略紧密协同

在当今日益数字化、数据驱动的社会中,日常业务活动从内到外很大程度依赖于信息技术。特别是投资行业的国有企业,更容易面临网络威胁。投资公司增加云的使用以加速转型和释放资源,但云的使用仍可能会产生网络安全问题,因为核心系统和关键数据基本上都被移动到了第三方,虽然服务提供商对其硬件和软件的安全负责,但确保云安全这项工作的最终责任仍在托管公司,任何第三方云方面的问题都可以对投资公司的投资业务产生巨大的影响。因此,将网络安全需要与企业整体业务战略紧密相连意义重大,网络安全管理工作所面临的最大挑战是业务的增长与拓展过程中核心数据安全性,有效应对业务增长所带来的网络安全挑战尤为重要。只有将网络安全策略更好的与业务策略保持一致才能有效辨识出新的网络安全风险,例如未经授权的系统访问,网络风险监测和响应能力不足等,最终促进国有企业等保2.0建设有效推进和落实。

网络安全是企业信息化建设的重要分支,大部分国有企业网络安全占信息化投入比例仍明显不足,随着网络安全法的普及,等保2.0使得网络安全从被动防御向主动防御演进,数据驱动安全成为新时期信息安全的核心,等保 2.0建设催生网络安全新需求,是国有企业提升数据安全防护能力采取的必要手段。

猜你喜欢

信息系统信息安全网络安全
企业信息系统安全防护
网络安全
网络安全人才培养应“实战化”
基于区块链的通航维护信息系统研究
上网时如何注意网络安全?
保护信息安全要滴水不漏
信息系统审计中计算机审计的应用
高校信息安全防护
基于SG-I6000的信息系统运检自动化诊断实践
保护个人信息安全刻不容缓