筑牢企業(yè)網(wǎng)絡(luò)信息安全防線

■孟 睿

習(xí)近平總書記高度重視網(wǎng)絡(luò)信息安全問題，深刻指出“網(wǎng)絡(luò)安全和信息化相輔相成，安全和發(fā)展要同步推進(jìn)”，強(qiáng)調(diào)“要完善數(shù)字經(jīng)濟(jì)治理體系，加強(qiáng)數(shù)字經(jīng)濟(jì)安全風(fēng)險預(yù)警、防控機(jī)制和能力建設(shè)”。黨的二十大報告對強(qiáng)化網(wǎng)絡(luò)、數(shù)據(jù)等安全保障體系建設(shè)作出重大部署。我們要深入學(xué)習(xí)貫徹習(xí)近平總書記重要論述，落實(shí)好黨的二十大部署要求，不斷完善網(wǎng)絡(luò)信息安全治理體系，促進(jìn)數(shù)字經(jīng)濟(jì)持續(xù)健康安全發(fā)展，加快建設(shè)網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國、智慧社會。企業(yè)作為數(shù)字經(jīng)濟(jì)發(fā)展的主力軍和網(wǎng)絡(luò)安全治理的參與者，加強(qiáng)自身網(wǎng)絡(luò)信息安全保護(hù)，既是適應(yīng)經(jīng)濟(jì)社會網(wǎng)絡(luò)化、數(shù)字化、智能化發(fā)展趨勢的現(xiàn)實(shí)需求，也是必須履行的社會責(zé)任和義務(wù)。

數(shù)字化時代網(wǎng)絡(luò)信息安全形勢的新特征

人工智能、5G、云計算、大數(shù)據(jù)等新一代數(shù)字技術(shù)加速融合創(chuàng)新，更開放的網(wǎng)絡(luò)環(huán)境、更巨量的數(shù)據(jù)產(chǎn)生和更廣泛的數(shù)據(jù)應(yīng)用，深刻改變網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息安全環(huán)境。

網(wǎng)絡(luò)安全方面。萬物互聯(lián)時代，網(wǎng)絡(luò)無處不在。網(wǎng)絡(luò)功能從基礎(chǔ)通訊，不斷向具備感知、連接、存儲、計算、處理等能力的智能化綜合性數(shù)字信息環(huán)境演進(jìn)升級。越來越多的實(shí)體功能虛擬化，日漸普及的移動互聯(lián)接入方式，疫情下的混合辦公、遠(yuǎn)程辦公需求，使企業(yè)網(wǎng)絡(luò)暴露出更多攻擊面，易受到來自各方的外部威脅。

數(shù)據(jù)安全方面。如同工業(yè)經(jīng)濟(jì)的石油一樣，數(shù)據(jù)是數(shù)字經(jīng)濟(jì)的關(guān)鍵生產(chǎn)要素。大數(shù)據(jù)技術(shù)條件下，結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化等各種類型的數(shù)據(jù)，以不同格式存儲于本地或云端，并不斷呈現(xiàn)指數(shù)級增長和變化，在可靠性、保密性、完整性、可用性等方面，對企業(yè)數(shù)據(jù)的儲存、監(jiān)控、調(diào)用、維護(hù)環(huán)境提出了更高要求。

信息安全方面。各行業(yè)數(shù)字化進(jìn)程加快，促使數(shù)據(jù)信息內(nèi)容日趨廣泛而多元，同時數(shù)據(jù)經(jīng)分析加工又可以生成新的巨量信息。企業(yè)掌握的數(shù)據(jù)信息既包括商品商業(yè)信息、客戶個人信息，也包括社會公共信息，關(guān)系企業(yè)自身利益和競爭力，也關(guān)系數(shù)字經(jīng)濟(jì)整體運(yùn)行和公眾利益，如果發(fā)生泄露、丟失、篡改或不法利用，將會對企業(yè)和行業(yè)發(fā)展、乃至社會和國家安全帶來不利影響。

數(shù)字化時代企業(yè)網(wǎng)絡(luò)信息安全問題的幾種表現(xiàn)

自身網(wǎng)絡(luò)環(huán)境問題。企業(yè)自身網(wǎng)絡(luò)環(huán)境包括通訊、電力基礎(chǔ)設(shè)施設(shè)備等硬件環(huán)境，和操作系統(tǒng)、數(shù)據(jù)處理程序等軟件環(huán)境。硬件環(huán)境的安全穩(wěn)定性一定程度依賴專業(yè)的第三方服務(wù)機(jī)構(gòu)，軟件環(huán)境的安全問題則更為常見和多發(fā)。例如，在操作系統(tǒng)和軟件程序開發(fā)使用過程中，不可避免地存在穩(wěn)定運(yùn)行、數(shù)據(jù)保護(hù)等方面的缺陷和漏洞，造成的安全風(fēng)險無法完全規(guī)避，并可被黑客、惡意軟件利用造成進(jìn)一步破壞。用戶雖然可以通過安裝補(bǔ)丁或更新版本修復(fù)已知漏洞，但受修復(fù)工作的時效性和未知漏洞的不確定性等因素影響，導(dǎo)致此類安全威脅長期存在。

外部安全威脅問題。常見的外部安全威脅有惡意軟件、黑客侵入、網(wǎng)絡(luò)攻擊等。病毒軟件、勒索軟件和間諜軟件等惡意軟件，能在未獲得授權(quán)的情況下進(jìn)行傳播擴(kuò)散，可導(dǎo)致數(shù)據(jù)破壞、網(wǎng)絡(luò)中斷和信息泄露。黑客個人或組織可以通過攻擊網(wǎng)站后臺、企業(yè)郵件、服務(wù)器等信息技術(shù)系統(tǒng)對企業(yè)進(jìn)行滲透，竊取、篡改和破壞核心數(shù)據(jù)，特別是數(shù)字貨幣和暗網(wǎng)的存在，更為黑客黑產(chǎn)的產(chǎn)業(yè)鏈化提供了便利。網(wǎng)絡(luò)攻擊可使被攻擊服務(wù)器陷入訪問延遲、無法訪問，甚至崩潰癱瘓。以上安全問題經(jīng)常相互交織，破壞力更加不容忽視。

網(wǎng)絡(luò)安全管理問題。安全管理對網(wǎng)絡(luò)信息安全十分關(guān)鍵。薄弱的網(wǎng)絡(luò)安全意識，缺位的網(wǎng)絡(luò)管理和維護(hù)，特別是與大數(shù)據(jù)條件不匹配的網(wǎng)絡(luò)數(shù)據(jù)處理操作，不但導(dǎo)致自身安全漏洞不能及時修復(fù)，給黑客入侵、病毒感染等外部威脅留下可乘之機(jī)，更重要的是故意或無意的人工錯誤還可能引發(fā)不必要的嚴(yán)重后果。而在互聯(lián)網(wǎng)上以公開分享形式泄露的信息幾乎無法徹底消除，相比黑客竊取影響更為廣泛而深遠(yuǎn)。

數(shù)字化時代保護(hù)企業(yè)網(wǎng)絡(luò)信息安全的有效措施

建立以數(shù)據(jù)為中心的網(wǎng)絡(luò)安全環(huán)境。把握數(shù)字化發(fā)展趨勢，根據(jù)行業(yè)特征和企業(yè)生產(chǎn)、經(jīng)營、管理各環(huán)節(jié)需求，加強(qiáng)整體規(guī)劃和頂層設(shè)計，構(gòu)建高效泛在、貫穿全程、運(yùn)防一體的網(wǎng)絡(luò)信息安全環(huán)境。加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)服務(wù)機(jī)構(gòu)遴選，落實(shí)其網(wǎng)絡(luò)安全保障法定義務(wù)，確保企業(yè)知情并能及時接收預(yù)警的權(quán)利，保障基礎(chǔ)環(huán)境安全?？茖W(xué)布局網(wǎng)絡(luò)信息中心方位和內(nèi)部結(jié)構(gòu)，加強(qiáng)環(huán)境控制、人員管理、災(zāi)害防范、視頻監(jiān)控等系統(tǒng)建設(shè)，保障物理環(huán)境安全。采用耦合性強(qiáng)的定制系統(tǒng)或正版渠道的制式系統(tǒng)和應(yīng)用程序并定期更新，部署服務(wù)器反惡意軟件和反病毒引擎，實(shí)施強(qiáng)身份驗證的訪問安全策略，保障軟體環(huán)境安全。通過本地化或云端相結(jié)合的儲存方式，實(shí)施集自動化備份、多維度驗證、全方位恢復(fù)、實(shí)時化監(jiān)控等功能于一體的安全策略，構(gòu)建兼具高可用性與高可靠性的數(shù)據(jù)庫系統(tǒng)，保障存儲環(huán)境安全。

加強(qiáng)新型網(wǎng)絡(luò)信息安全防范技術(shù)應(yīng)用。防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)等傳統(tǒng)技術(shù)的應(yīng)用，在隔阻黑客、病毒等攻擊威脅方面發(fā)揮了不可替代的重要作用。面對新的網(wǎng)絡(luò)信息安全形勢，攻防兩端交鋒更趨激烈，迫切需要基于云計算、人工智能、大數(shù)據(jù)等新技術(shù)的安全系統(tǒng)和解決方案。應(yīng)用于數(shù)據(jù)采集過程的數(shù)據(jù)源身份認(rèn)證、密文附加消息認(rèn)證碼、時間戳等技術(shù)，可有效保障信息數(shù)據(jù)的安全傳送。應(yīng)用于數(shù)據(jù)存儲過程的隱私保護(hù)、密鑰管理、異地備份等技術(shù)，可有效保障網(wǎng)絡(luò)信息安全存儲。應(yīng)用于數(shù)據(jù)提取過程的動態(tài)口令、人臉識別、聲紋識別等技術(shù)，可有效防止數(shù)據(jù)信息外泄。時時在線的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，不但能有效檢測系統(tǒng)內(nèi)部漏洞，及時對外部攻擊作出響應(yīng)，還可以通過收集分析內(nèi)外部威脅特征，有針對性地調(diào)整系統(tǒng)安全策略，提升預(yù)測預(yù)警和主動防護(hù)能力。

健全現(xiàn)代化網(wǎng)絡(luò)信息安全管理體系。網(wǎng)絡(luò)信息安全“三分技術(shù)，七分管理”。網(wǎng)絡(luò)信息安全管理體系現(xiàn)代化，是企業(yè)管理體系現(xiàn)代化的重要內(nèi)容和有力支撐。要嚴(yán)格落實(shí)有關(guān)要求，建立健全企業(yè)網(wǎng)絡(luò)信息安全管理機(jī)制，增強(qiáng)防范意識，落實(shí)管理責(zé)任，強(qiáng)化安全策略執(zhí)行，確保網(wǎng)絡(luò)信息安全工作有人抓、有人管。加強(qiáng)網(wǎng)管人員和企業(yè)員工的教育培訓(xùn)，提高安全素養(yǎng)和實(shí)操能力，定期檢查督促，從源頭控制不安全因素。制定網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案，明確監(jiān)測預(yù)警、風(fēng)險報告、應(yīng)急處置、災(zāi)難恢復(fù)等工作措施，定期進(jìn)行應(yīng)急演練，提高應(yīng)急處突快速反應(yīng)能力。