扎實(shí)推進(jìn)中小企業(yè)網(wǎng)絡(luò)安全體系建設(shè)管理工作

易志勤，李敏，于盟，曹禹

（1.北京站酷網(wǎng)絡(luò)科技有限公司，北京 100015；2.國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

近年國際形勢錯(cuò)綜復(fù)雜，隨著互聯(lián)網(wǎng)和數(shù)字經(jīng)濟(jì)的發(fā)展，網(wǎng)絡(luò)空間安全成為互聯(lián)網(wǎng)時(shí)代國際形勢的焦點(diǎn)，世界各國在網(wǎng)絡(luò)空間競相角力，網(wǎng)絡(luò)空間安全保護(hù)成為新命題，企業(yè)網(wǎng)絡(luò)安全建設(shè)和管理面臨前所未有的挑戰(zhàn)。習(xí)近平總書記指出“沒有網(wǎng)絡(luò)安全就沒有國家安全”，“安全和發(fā)展是一體之兩翼、驅(qū)動(dòng)之雙輪”，為更好地落實(shí)國家網(wǎng)絡(luò)安全工作，《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》等政策標(biāo)準(zhǔn)相繼實(shí)施，給我國網(wǎng)絡(luò)安全建設(shè)明確了方向和標(biāo)準(zhǔn)，使得企業(yè)在網(wǎng)絡(luò)安全保障體系和能力建設(shè)中有章可循、有法可依。2021年是“十四五”開局之年，為進(jìn)一步促進(jìn)中小企業(yè)網(wǎng)絡(luò)安全體系建設(shè)，本文從作者的工作經(jīng)驗(yàn)體會(huì)出發(fā)，結(jié)合政策法規(guī)從多維度分析中小企業(yè)安全現(xiàn)狀，為中小企業(yè)的網(wǎng)絡(luò)安全保障體系和能力建設(shè)提供參考。

1 企業(yè)網(wǎng)絡(luò)安全建設(shè)背景

1.1 安全建設(shè)必要性

“安全是發(fā)展的前提”，網(wǎng)絡(luò)安全是企業(yè)發(fā)展的前提與保障，網(wǎng)絡(luò)安全合規(guī)建設(shè)尤為必要。受某些西方國家政治因素影響，當(dāng)前國際局勢復(fù)雜緊張，同時(shí)黑客網(wǎng)絡(luò)攻擊行為和模式愈演愈烈，給世界經(jīng)濟(jì)和秩序造成巨大困擾，任何企業(yè)都有可能成為黑客攻擊目標(biāo)。企業(yè)應(yīng)認(rèn)清當(dāng)前的網(wǎng)絡(luò)安全形勢，并在網(wǎng)絡(luò)安全方面具備抵御來自全球網(wǎng)絡(luò)攻擊的安全保障技術(shù)和能力，才能確保在進(jìn)一步改革開放的國際競爭中不被淘汰，面對來自科技、經(jīng)濟(jì)、法律等維度的各種挑戰(zhàn)，企業(yè)須持續(xù)具備與業(yè)務(wù)發(fā)展相匹配的合規(guī)能力，否則難以保障企業(yè)的正常運(yùn)營和可持續(xù)發(fā)展。

1.2 政策標(biāo)準(zhǔn)要求

《網(wǎng)絡(luò)安全法》第九條要求“網(wǎng)絡(luò)運(yùn)營者開展經(jīng)營和服務(wù)活動(dòng)，......，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)”，第二十一條要求“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”，第五十九條則對不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)明確了處罰要求?！缎畔踩燃壉Ｗo(hù)管理辦法》要求“定期對信息系統(tǒng)安全等級狀況開展等級測評”；《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》將等級保護(hù)對象從原來的信息系統(tǒng)調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（含采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)）、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等[1][6]，并針對性提出安全擴(kuò)展要求，標(biāo)準(zhǔn)幾乎覆蓋各行業(yè)領(lǐng)域，其適應(yīng)性得到較大提升。

基于當(dāng)前互聯(lián)網(wǎng)環(huán)境和安全形勢，網(wǎng)絡(luò)安全法和等級保護(hù)制度的施行可幫助企業(yè)做好自身的網(wǎng)絡(luò)安全防護(hù)，減少或避免受到全球范圍發(fā)起的惡意攻擊帶來的影響，是企業(yè)網(wǎng)絡(luò)安全體系建設(shè)的有力保障。但目前仍有部分中小企業(yè)網(wǎng)絡(luò)安全意識(shí)薄弱，存在僥幸心理，將等級保護(hù)制度的建設(shè)落實(shí)浮于表面、“走過場”，甚至購買“包過等?！狈?wù)來代替網(wǎng)絡(luò)安全保障體系建設(shè)，如何把握好企業(yè)發(fā)展與安全體系建設(shè)的動(dòng)態(tài)平衡，是企業(yè)可持續(xù)發(fā)展的關(guān)鍵課題。

2 中小企業(yè)網(wǎng)絡(luò)安全認(rèn)知誤區(qū)

2.1 網(wǎng)絡(luò)安全水平與經(jīng)濟(jì)實(shí)力成正比

2017年國際電信聯(lián)盟發(fā)布《2017年全球網(wǎng)絡(luò)安全指數(shù)》，從法律、技術(shù)、組織、能力建設(shè)、國際合作等5個(gè)方面衡量各國網(wǎng)絡(luò)安全指數(shù)，綜合評分前10名的國家分別是：新加坡、美國、馬來西亞、阿曼、愛沙尼亞、毛里求斯、澳大利亞、格魯吉亞和法國（并列排名第8）、加拿大、俄羅斯。日本和韓國分別排在第11位和第13位，中國排在第32位。報(bào)告指出：網(wǎng)絡(luò)安全是一個(gè)生態(tài)系統(tǒng)，其法律、組織機(jī)構(gòu)、技能、合作與技術(shù)實(shí)現(xiàn)需協(xié)同發(fā)揮最大效用，網(wǎng)絡(luò)安全正日益成為各國決策制定者考慮的因素，但各國在意識(shí)、理解、知識(shí)、策略部署、能力和計(jì)劃方面存在明顯差距。報(bào)告顯示國家的富裕程度與網(wǎng)絡(luò)安全水平不成正比，有些經(jīng)濟(jì)強(qiáng)國網(wǎng)絡(luò)防御漏洞百出，而一些貧窮小國經(jīng)驗(yàn)卻值得借鑒[2]。

從上述資料可以推斷：網(wǎng)絡(luò)安全水平與企業(yè)規(guī)模和經(jīng)濟(jì)實(shí)力不成正比，大企業(yè)可以做好網(wǎng)絡(luò)安全工作，中小企業(yè)同樣可以做好網(wǎng)絡(luò)安全工作。網(wǎng)絡(luò)安全工作并不完全依賴于網(wǎng)絡(luò)安全資金投入，加強(qiáng)管理體系建設(shè)會(huì)取得事半功倍的效果，企業(yè)應(yīng)立足業(yè)務(wù)全鏈條關(guān)鍵崗位，加強(qiáng)對關(guān)鍵崗位意識(shí)、理解、認(rèn)知、策略等方面的教育培訓(xùn)，全面促進(jìn)企業(yè)在法律、組織機(jī)構(gòu)、技能、合作與技術(shù)等方面的生態(tài)建設(shè)。

2.2 網(wǎng)絡(luò)安全防護(hù)依賴技術(shù)建設(shè)

部分中小企業(yè)在自身網(wǎng)絡(luò)安全建設(shè)工作中存在資金投入較少、技術(shù)人員不足的情況，故認(rèn)為網(wǎng)絡(luò)安全防護(hù)滿足國家合規(guī)建設(shè)“底線”要求即可，或采取購置部分安全產(chǎn)品堆砌的技術(shù)手段而忽視網(wǎng)絡(luò)安全管理建設(shè)。2020年2月，微盟遭員工惡意刪除數(shù)據(jù)庫，給商家經(jīng)營造成嚴(yán)重影響，并導(dǎo)致巨額經(jīng)濟(jì)損失，除擬用于賠付客戶的1.5億元外，累計(jì)市值蒸發(fā)超30億港元，該事件暴露出微盟在內(nèi)控管理建設(shè)、數(shù)據(jù)安全管理方面存在嚴(yán)重不足，同時(shí)給廣大企業(yè)網(wǎng)絡(luò)安全管理建設(shè)工作敲響警鐘。網(wǎng)絡(luò)安全管理和技術(shù)建設(shè)是相輔相成的，缺一不可，加強(qiáng)企業(yè)網(wǎng)絡(luò)安全制度體系和管理流程建設(shè)，能夠最大程度地避免“越權(quán)操作”的可能性，減少因?yàn)椤叭藶槭д`”而導(dǎo)致的安全事件的發(fā)生，從而實(shí)現(xiàn)企業(yè)安全運(yùn)營和可持續(xù)發(fā)展的目標(biāo)。

3 中小企業(yè)網(wǎng)絡(luò)安全建設(shè)要點(diǎn)

3.1 提升企業(yè)管理者安全格局

黨的十八屆六中全會(huì)《關(guān)于新形勢下黨內(nèi)政治生活的若干準(zhǔn)則》強(qiáng)調(diào)，全黨必須牢固樹立政治意識(shí)、大局意識(shí)、核心意識(shí)、看齊意識(shí)，自覺在思想上、政治上、行動(dòng)上同黨中央保持高度一致[3]。企業(yè)在扎實(shí)推進(jìn)網(wǎng)絡(luò)安全保障體系和能力建設(shè)的過程中，必須提高政治站位，增強(qiáng)“四個(gè)意識(shí)”，特別對大局意識(shí)、看齊意識(shí)要深刻領(lǐng)會(huì)和學(xué)以致用，要以大視野、大格局來看待網(wǎng)絡(luò)安全問題，企業(yè)的生存和發(fā)展是基于安全生產(chǎn)和經(jīng)濟(jì)效益兩大要素，任何一個(gè)要素出現(xiàn)嚴(yán)重問題，都會(huì)直接導(dǎo)致企業(yè)承受毀滅性打擊。安全生產(chǎn)工作既要考慮信息與網(wǎng)絡(luò)安全，也要考慮傳統(tǒng)生產(chǎn)安全，同時(shí)還要兼顧當(dāng)前企業(yè)自身新冠防疫管理工作等因素；在網(wǎng)絡(luò)安全合規(guī)建設(shè)和管理方面，企業(yè)應(yīng)當(dāng)嚴(yán)格遵守網(wǎng)絡(luò)安全法律法規(guī)及標(biāo)準(zhǔn)要求，保持與法律、規(guī)則和流程的一致性。

北京時(shí)間2020年2月28日，國際體育仲裁法庭（CAS）公布了“興奮劑案”的裁決結(jié)果，運(yùn)動(dòng)員因觸犯反興奮劑條例而被禁賽8年，事件起源于2018年9月4日晚至9月5日凌晨的一次飛行藥檢，因?yàn)槟驒z官的授權(quán)資質(zhì)和血檢官非法跨區(qū)域采血的問題，運(yùn)動(dòng)員與興奮劑檢測人員出現(xiàn)分歧，最終負(fù)責(zé)檢測的主檢官?zèng)]能帶走運(yùn)動(dòng)員的血液樣本，尿液樣本沒有進(jìn)行采集?！妒澜绶磁d奮劑條例》指出:“2.3 接到依照反興奮劑規(guī)則授權(quán)的檢查通知后，拒絕樣品采集、無正當(dāng)理由未能完成樣品采集或者其他逃避樣品采集的行為”[4]、“2.5篡改或企圖篡改興奮劑控制過程中的任何環(huán)節(jié)”、“10.3.1違反條款2.3或2.5的行為，禁賽期為四年”、“10.7.1對于第二次違規(guī)的運(yùn)動(dòng)員，予以兩倍禁賽期”。

上面是一個(gè)“保持與法律、規(guī)則和流程的一致性”的典型案例，在這個(gè)“興奮劑違規(guī)”的案例中，違規(guī)根本沒有具體涉及到“興奮劑”，也沒有出現(xiàn)賽場上被裁判的判罰，而是出現(xiàn)在參加“比賽的生命周期”中檢驗(yàn)流程的“抗檢”與“拒絕采樣”環(huán)節(jié)！此案例說明，參與任何領(lǐng)域的活動(dòng)或競爭，必須清楚了解該領(lǐng)域的法律、標(biāo)準(zhǔn)和流程等“游戲規(guī)則”，僅憑專業(yè)的知識(shí)和技能，并不足以應(yīng)對“參與過程中全生命周期”的綜合管理要求。隨著時(shí)代的進(jìn)步，只有及時(shí)更新思想意識(shí)、提高自身認(rèn)知，認(rèn)真學(xué)習(xí)相關(guān)領(lǐng)域的“游戲規(guī)則”，才能有效地規(guī)避與專業(yè)活動(dòng)相關(guān)的違規(guī)風(fēng)險(xiǎn)！

3.2 加強(qiáng)網(wǎng)絡(luò)安全認(rèn)知和意識(shí)

近年針對網(wǎng)絡(luò)亂象，公安機(jī)關(guān)已實(shí)行“一案雙查”制度，即在對網(wǎng)絡(luò)違法犯罪案件開展偵查調(diào)查工作時(shí)，同步啟動(dòng)對涉案企業(yè)或網(wǎng)絡(luò)服務(wù)提供者法定網(wǎng)絡(luò)安全義務(wù)履行情況的監(jiān)督檢查[5]。對于“一案雙查”的學(xué)習(xí)和理解，可以“利用老知識(shí)、生成新知識(shí)、理解新規(guī)則”?！吨腥A人民共和國道路交通安全法》自2004年5月1日實(shí)施至今已18年，相信人們已經(jīng)非常清楚交通事故的處理流程。一輛機(jī)動(dòng)車和一輛自行車在機(jī)動(dòng)車道上發(fā)生交通事故，正常情況下，交警到現(xiàn)場處理事故時(shí)會(huì)分別對2個(gè)主體進(jìn)行調(diào)查：一方面自行車主為什么會(huì)跑到機(jī)動(dòng)車道上？另一方面，了解機(jī)動(dòng)車是否具備上路行駛的資質(zhì)?駕駛員是否具備駕駛資質(zhì)？駕駛員是否遵守交通法規(guī)？如果機(jī)動(dòng)車一方完全合規(guī)，責(zé)任就只在自行車一方，因?yàn)樽孕熊囘`規(guī)走到機(jī)動(dòng)車道造成事故；但如果機(jī)動(dòng)車方有不合規(guī)情況，則要根據(jù)違規(guī)的程度承擔(dān)事故責(zé)任和賠償損失。交警處理交通事故時(shí)的責(zé)任劃分，有助于更加直觀地對“一案雙查”含義的理解。

中小企業(yè)管理者一定要跟上新形勢、提升新認(rèn)知，在各發(fā)展階段不斷學(xué)習(xí)新規(guī)則、調(diào)整新策略、提升新格局、適應(yīng)新挑戰(zhàn)。網(wǎng)絡(luò)安全體系建設(shè)是一個(gè)自上而下的過程，只有企業(yè)資方和業(yè)務(wù)高管的認(rèn)知到位、意識(shí)到位，才能從根本上做好中小企業(yè)的網(wǎng)絡(luò)安全體系建設(shè)和網(wǎng)絡(luò)安全管理工作。

3.3 舉一反三、風(fēng)險(xiǎn)管控

在網(wǎng)絡(luò)安全管理方面，部分中小企業(yè)會(huì)不斷重復(fù)出現(xiàn)已經(jīng)發(fā)生過的問題，“舉一反三”能力存在欠缺，網(wǎng)絡(luò)安全問題“舉一反三”能力可通過如下示意圖進(jìn)行分析：

圖1 網(wǎng)絡(luò)安全問題處置流程示意圖

當(dāng)發(fā)生網(wǎng)絡(luò)安全問題后，首先需對問題進(jìn)行評估，確定問題是“偶發(fā)事件”亦或是“系統(tǒng)性問題”。如果為“偶發(fā)事件”，對事件的具體影響進(jìn)行評估，按處置計(jì)劃實(shí)施處置后，處置事件流程可以結(jié)束；但若為“系統(tǒng)性問題”，首先需評估是“軟系統(tǒng)（管理/程序）”或是“硬系統(tǒng)（設(shè)備/設(shè)施）”導(dǎo)致的問題，如果是“硬系統(tǒng)”導(dǎo)致，需分析硬件是否出現(xiàn)問題，對“硬系統(tǒng)”事件的具體影響進(jìn)行評估，按處置計(jì)劃實(shí)施處置，并確認(rèn)此硬系統(tǒng)不再重復(fù)出現(xiàn)同類的情況；如果是“軟系統(tǒng)”出現(xiàn)問題，則需對軟系統(tǒng)進(jìn)行多維度分析，確認(rèn)問題發(fā)生的真正原因，并對事件的具體影響進(jìn)行評估，制訂有針對性的系統(tǒng)調(diào)整方案，并按照處置計(jì)劃對應(yīng)在制度、流程、新變量或其他因素等方面進(jìn)行調(diào)整，確認(rèn)此系統(tǒng)不再重復(fù)出現(xiàn)同樣的漏洞，系統(tǒng)修復(fù)完成后問題處置完畢[7]。

在上述問題處置的過程中，如果誤把“系統(tǒng)性問題”當(dāng)作是“偶發(fā)事件”來處理，那么問題不能根治，且類似的安全事件很可能會(huì)重復(fù)發(fā)生！

當(dāng)前網(wǎng)絡(luò)安全攻擊事件相對集中在各國的關(guān)鍵基礎(chǔ)設(shè)施和大型企業(yè)，很多中小企業(yè)暫時(shí)體會(huì)不深，企業(yè)網(wǎng)絡(luò)安全意識(shí)還不到位，還是基于以往的“歷史經(jīng)驗(yàn)”認(rèn)為“只要內(nèi)容上不被政府監(jiān)管部門處罰”就沒問題，但企業(yè)并沒有真正認(rèn)識(shí)到政府和相關(guān)部門的處罰不是目的，而是為了幫助企業(yè)更好地完善網(wǎng)絡(luò)安全管理體系建設(shè)的手段。當(dāng)大企業(yè)把安全防護(hù)的“防洪大堤”筑高后，就會(huì)和中小企業(yè)的防護(hù)形成相對的“高差”，因此當(dāng)“黑客的洪峰”經(jīng)過時(shí)，將會(huì)從“防護(hù)的低位”對中小企業(yè)造成嚴(yán)重沖擊！

4 加強(qiáng)網(wǎng)絡(luò)安全保障體系和能力建設(shè)

4.1 合理規(guī)劃、有序?qū)嵤?/h3>

企業(yè)要實(shí)現(xiàn)可持續(xù)發(fā)展，需在公司業(yè)務(wù)全鏈條的關(guān)鍵環(huán)節(jié)上，全面落實(shí)網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全技能的建設(shè)，持續(xù)具備法律、法規(guī)、規(guī)章、國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)等規(guī)定的網(wǎng)絡(luò)安全必備條件：（1）企業(yè)主體確保具備合法的經(jīng)營許可資質(zhì)；（2）確保資金投入能滿足與企業(yè)發(fā)展相匹配的網(wǎng)絡(luò)安全體系建設(shè)的需求；（3）依法建立企業(yè)網(wǎng)絡(luò)安全組織管理架構(gòu)；（4）逐步建立和完善網(wǎng)絡(luò)安全管理制度；（5）加強(qiáng)企業(yè)從高管到業(yè)務(wù)全鏈條、各環(huán)節(jié)成員的網(wǎng)絡(luò)安全意識(shí)的教育和培訓(xùn)工作；（6）針對業(yè)務(wù)隱患進(jìn)行深入分析，加強(qiáng)對重大危險(xiǎn)源的隱患排查和防控工作；（7）制定突發(fā)事件應(yīng)急預(yù)案，加強(qiáng)突發(fā)事件應(yīng)急演練。

企業(yè)的網(wǎng)絡(luò)安全規(guī)劃與實(shí)施，應(yīng)該遵循同步規(guī)劃、同步實(shí)施、同步發(fā)展的“三同步原則”，但大多數(shù)的中小企業(yè)在業(yè)務(wù)、法律、組織管理、能力建設(shè)和跨部門合作等方面，因?yàn)橐庾R(shí)不到位、經(jīng)驗(yàn)不足和資源分配不合理等因素，在合規(guī)建設(shè)過程中通常不容易達(dá)到理想的水平，因此在網(wǎng)絡(luò)安全體系建設(shè)和管理過程中，企業(yè)資方必須按照網(wǎng)絡(luò)安全法和等級保護(hù)要求合理規(guī)劃、有序?qū)嵤6]，企業(yè)管理者必須要根據(jù)企業(yè)自身情況，深入梳理和分析研究，分步制訂適合企業(yè)階段發(fā)展和可持續(xù)發(fā)展的方針與策略，精心打造能在激烈的國際市場競爭中經(jīng)得起考驗(yàn)的網(wǎng)絡(luò)安全體系，實(shí)現(xiàn)“安全合規(guī)多打糧”的可持續(xù)發(fā)展目標(biāo)！

4.2 權(quán)威指導(dǎo)、動(dòng)態(tài)完善

在依據(jù)《網(wǎng)絡(luò)安全法》和等保2.0的要求和標(biāo)準(zhǔn)的框架下，中小企業(yè)在網(wǎng)絡(luò)安全體系建設(shè)過程中，利用國家網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的優(yōu)勢，可以尋求合資質(zhì)、可信賴、有實(shí)力、負(fù)責(zé)任的第三方權(quán)威機(jī)構(gòu)，指導(dǎo)和幫助企業(yè)提升網(wǎng)絡(luò)安全建設(shè)水平。在權(quán)威機(jī)構(gòu)的指導(dǎo)服務(wù)中，例行月度安全巡查制度，是一種行之有效的方式。

企業(yè)打造網(wǎng)絡(luò)安全體系，制度建設(shè)是重要的一環(huán)，在企業(yè)實(shí)際業(yè)務(wù)的經(jīng)營活動(dòng)中，需要不斷根據(jù)數(shù)據(jù)的實(shí)際應(yīng)用，動(dòng)態(tài)完善相關(guān)流程和規(guī)則；同時(shí)根據(jù)業(yè)務(wù)的需要，完善相關(guān)崗位的規(guī)程和落實(shí)相關(guān)人員的責(zé)任。而在多數(shù)中小企業(yè)的實(shí)際運(yùn)營中，常常因?yàn)楦鞣N不同的因素，導(dǎo)致制度的落實(shí)和執(zhí)行不到位，容易出現(xiàn)管理環(huán)節(jié)的疏忽而導(dǎo)致安全事件的發(fā)生。第三方權(quán)威機(jī)構(gòu)的月度巡檢，能非常有效地發(fā)現(xiàn)問題隱患，及時(shí)地指導(dǎo)和督促企業(yè)整改。

5 結(jié)語

中小企業(yè)管理者必須進(jìn)一步增強(qiáng)“四個(gè)意識(shí)”，堅(jiān)持總體國家安全觀，根據(jù)“國家安全體系和能力建設(shè)大框架”的要求，結(jié)合企業(yè)的發(fā)展情況，合理投入網(wǎng)絡(luò)安全保障體系和能力建設(shè)的資金。在十四五開局之年，堅(jiān)持新發(fā)展戰(zhàn)略，邁進(jìn)新階段、學(xué)習(xí)新理念、提升新格局，扎實(shí)做好網(wǎng)絡(luò)安全保障體系和能力建設(shè)的管理工作。