国有企业数字化转型中的网络安全防护与保密管理

◆熊宁

（中国电子科技集团公司第七研究所 广东 510310）

随着5G、云计算、区块链、工业互联网、人工智能等新技术以及新型基础设施的建设与发展，传统的经营模式已不能满足国有企业的发展，数字化转型势在必行。2020 年8 月，国务院国资委正式印发《关于加快推进国有企业数字化转型工作的通知》，也为国有企业数字化转型明确了方向、重点和举措。

国有企业作为我国国民经济的关键，往往集中在关系国家安全和控制国民经济命脉的行业和领域中，其产品研发、生产活动、经营策略等，往往涉及国家安全、先进技术、国家政策等。而在数字化转型的过程中，涉密程度高、企业层级多的国有企业一般会建设和使用“内网”和“外网”，“内网”是指与互联网物理隔离的涉密生产网络（内网），主要用于产生、处理和传输企业中的国家秘密及直接关系企业利益的商业秘密，承载核心生产链和业务链；“外网”是指互联网，主要用于收集公开信息、情报和企业宣传。有些涉密程度不高或不直接产生国家秘密的国有企业会建设与互联网逻辑隔离的办公网，用于日常办公，存储和处理商业秘密，使用涉密单机存储和处理国家秘密信息。其安全防护和保密管理任务重大。一旦网络安全得不到保障，将会出现失泄密隐患。为了保证国有企业秘密的安全，应明确网络安全保密管理与防护工作具体事项，推动国有企业长远发展。

1 影响国有企业数字化转型中网络安全和保密管理的因素

1.1 病毒因素

病毒对网络安全的影响具有突发性、扩散性、隐秘性等特点。而且，新技术的提升也必然带来计算机病毒的破坏力和隐秘性提升，对网络安全和保密管理的威胁将越来越大。国有企业数字化进程中，各种生产经营任务和数据信息逐步迁移到网络中运行，对网络的依赖程度大大提高，甚至其生产经营会受制于网络。一旦网络系统中某个终端计算机感染了病毒，将会急速扩散到网络中，破坏业务系统，损坏网络中的和网络终端的信息，最终导致企业的生产运行受阻。若是摆渡木马、窃密木马，更会窃取走企业的核心秘密，直接影响企业的经济效益，甚至危害国家安全。

1.2 网络攻击

网络的开放性、透明性特点，在方便用户的同时，也间接给不法分子渗入网络系统提供了便利。国有企业数字化后，很多信息如企业的发展现状、发展方向以及一些数据会呈现给大众，便于国民获取相关信息。这种开放式的信息也给不法之徒通过非法渠道获取进入企业网络系统的权限，并利用这些权限开展网络攻击，获取用户信息以及企业数据，致使重要的信息被盗取，还为计算机网络埋下众多的安全隐患，给国企造成严重的经济损失[1]。

1.3 人员因素

国有企业在转型时，容易忽视网络安全人才资源的投入和企业员工信息安全素养和保密能力的提升。一方面，网络安全人员的数量、素质和能力直接影响了网络安全防护工作的效果。若网络安全人员数量不足，各项防护措施必然难以落实落细；网络安全人员素质和能力不够，则无法及时发现网络防护中的风险和隐患，并提出改进措施。另一方面，企业数字化对企业员工的信息安全素养、保密意识和保密能力提出了更高的要求。尤其是国有企业中国家秘密、商业秘密和普通信息并存的情况下，员工不掌握信息安全知识和技能，点开不明链接或网页以致感染病毒，在“内网”和“外网”中交叉使用移动存储介质，无法准确区分国家秘密、商业秘密和普通信息，将带密信息上存、发布到互联网上等，都可能造成过失泄密。

2 数字化转型过程中存在的网络安全和保密管理问题

2.1 缺乏顶层设计

国有企业数字化已经存在了很长一段时间，如今在国家的统筹推动下，更多的是通过局部整改、查漏补缺、新增应用等手段进一步加强和完善。但这种做法，往往会缺乏顶层设计，没有专门对网络系统内部存在的问题进行深入解析与处理，提出系统的解决方案，间接导致网络安全能力分散，难以与网络安全管理与防护实际需要匹配起来。同时，国有企业业务多，各个业务系统的运管人员各自为政，忽视各个业务系统之间的联动与协同作业，无法最大限度地发挥其系统安全防护效能。此外，企业中网络安全防御系统难以全面覆盖整个企业的网络系统，数字化业务方面的运维和相关标准还有较大的差距，进而影响国有企业数字化转型的进程[2]。

2.2 工控安全问题

在数字化转型的过程中，不仅需要技术作为转型支持，对运行设备本身的要求也极高。目前，很多国有企业的工控系统、关键设备需从国外进口，日常运维具有较大难度，管理与防护的费用较高，且极易出现系统漏洞，为网络安全埋下安全隐患。此外，涉密业务数字化对网络安全和保密管理的要求更严更高，在业务重构和数据治理过程中，运管人员容易忽视保密管理要求，未对工控系统网络内部进行分区、分域隔离，使网络安全系统的管理与防护手段不能满足相关要求，进而起不到系统的保护作用。

2.3 技术发展挑战

信息技术的发展，使国有企业的网络结构变得更加复杂，同时也使企业数据信息朝着集中化发展，多种形式的演变会加剧企业网络安全风险，并在多样化系统的作用下，衍生出新类型的网络风险，为运管人员网络安全的管理与防护工作以及企业保密工作增加了难度。原有的网络安全构架以及设施设备是否能够满足新技术实施的要求，能够满足国家有关保密法律法规和规章制度标准要求，能否可以将数字化转型中企业网络虚拟化、数据集中等优势展现出来，能否有效防控能够有效识别系统安全和数据安全风险隐患，确保其在发生安全风险时能够及时找到相关的解决措施进行应对等，都将成为企业数字化转型中必须考虑的网络安全问题。

3 加强网络安全防护与保密管理的有效措施

3.1 加强顶层设计与规划

国家提出，推动国有企业数字化转型，要实现新一代信息技术与制造业的深度融合，促进国有企业数字化、网络化、智能化发展。数字化转型是一项极为复杂的系统性工程，而其中的安全防范能力是数字化转型成功与否的重要支撑和保障。应把加强网络安全纳入数字化建设的重要内容，做好顶层设计，通过技术手段构建系统化、工程化的网络安全防御系统，进而提高网络风险的管控能力，有效降低网络攻击、病毒攻击的风险概率。此外，也应建设互联网统一出口的安全防护，提升网络安全管理与防护的能力，最大程度发挥网络安全构架的作用。组建专业的技术小组，在此基础上使网络安全能力更具体系化，深入完善安全防御系统，为企业数字化转型奠定坚实的网络安全基础[3]。

3.2 加强体系建设与体系对抗能力

国有企业加强体系建设与体系对抗能力是提升企业转型中网络安全管理与防护的举措之一，通过提高管控力度，从根本上增强网络系统的运行安全。国有企业网络安全保密管理工作加强管控的基础是管理体系的持续改进与对抗能力的提升。

（1）完善精细化的信息安全保密管理体系

信息安全保密制度体系是企业网络安全的管理准则和控制流程，是实现企业网络可管、可用、可控、可查、可审、可追溯的基础。采用精细化管理有利于网络用户、网络运管人员的责任落实，实现工作内容和责任相互匹配，达到制度的全面执行及细节处理的程序化。可通过4 个方面提升制度体系的精细化升级：一是明确用户、网络管理、网络运维的岗位与责任主体。二是梳理信息安全保密管理业务流程。三是编制操作规程。四是制定应急预案。在完善制度持续改进的基础上，运管人员应不断推动制度流程电子化建设，企业管理人员应促进信息安全保密管理工作与业务工作相融合。精细化管理是促进国有企业信息安全保密管理科学化、规范化以及提升管理效能的重要举措。

（2）构建信息安全保密体系对抗能力

近年来，体系对抗理念被运用到多个领域。在信息化条件下，信息主导成为制胜关键，体系对抗成为基本形态，网络空间成为新战场。要在国有企业数字化转型中抢占网络安全的制高点，体系对抗是重要的理论依据。我们将体系对抗的经验方法运用到信息安全保密体系建设工作中，参考军事体系对抗理论，信息安全保密体系应该是功能上互补、行动上协调、机制上联动的综合体系。当前部分国有企业的信息安全保密管理体系主要包括安全策略、管理及工作制度、操作规程等基本模块，虽然层次分明但通常缺乏互补和协调机制。比如，出现新的风险或上线新的安全保密产品后，运维操作规程已发生变化，但管理策略未及时调整；信息安全保密管理手段跟不上业务发展需要等等。在完善信息安全保密体系方面坚持问题导向与目标导向，形成信息安全保密体系对抗能力，打击境外网络攻击等窃密活动。

3.3 技管并进提升网络安全能力

数字化转型是一项技术工程，在转型过程中会遇到企业内部与外部的安全威胁，为了避免这些风险对转型带来的网络安全风险，就需利用技术手段强化企业网络安全管理与防护能力，落实保密管理手段，进而提升企业网络安全综合的防护水平。

一是在转型过程中使用具有较高安全性能的产品与服务，并建立科学合理的网络安全管理机制，明确网络安全的管理要求，进一步完善管理制度，并根据风险和标准，对安全方案、产品和服务等进行严格的管理，使产品和服务更具安全性以及可控性。重视网络安全的创新，大力推广信创产品和服务，并将其投入到设施、软件、信息系统等环节中，使网络安全得以保障，进而保证企业安全体系的可控性。加强二次开发与自研能力的提升，提高信息系统的自主可控水平，降低工控安全风险，为企业的数字化转型提供技术支持与保障。注重对工业控制系统的安全防护和定期检测，保证工控系统的运作安全，夯实安全运行基础。

二是建立企业网络安全数据信息资源库和数据安全管控平台，重视数据全生命周期的安全防护和保密管理。建立数据资产台账和管理标准，对企业收集、产生的数据按照国家标准和企业规则划分国家秘密、商业秘密和普通数据，再实行分级分类管理。明确各类数据在收集、传输、存储等环节的信息安全和保密管理要求，提高数据防窃取、防攻击、防泄漏的安全性能，起到数据安全防护的作用[4]。

三是建设网络安全态势感知平台。实时监控网络安全态势，实时监管和预警。定期开展核心安全产品、数据库、信息系统的信息安全保密风险评估工作，发现安全隐患，分析原因，提出改进措施并督促整改。加强与各级平台的联系，及时通报发现的网络安全问题和防护手段，加强各业务系统的安全防控联动协作能力和独立处置安全问题能力，全面提升企业网络安全。

四是将保密管理要求融合业务数字化和业务重构的各个环节。“业务工作开展到哪里，保密工作就延伸到哪里”，保密工作与业务工作融合发展已经在国有企业中取得了一定的成绩。在数字化转型中，应当进一步巩固和发展这一项工作。根据业务工作责任，明确设置和分配业务信息系统和企业数据阅读使用的权限，在业务流程中设置保密审查、审批环节和保密提醒，确保保密工作与业务工作同步实现数字化转型。

3.4 加强安全人员队伍和企业员工的安全教育培训

很多国有企业认识到运管人员在转型过程中的重要地位，也重视相关网络安全管理与防护人员的投入，并对其进行技能培训。但培训内容往往与网络运维有关，却忽视了运管人员安全保密意识和应急处理能力的培养。如面对网络数据遭到恶意篡改、保密违法违规行为时，运管人员会无从下手。因此，企业应定期开展网络安全攻防演练，使其了解常见的攻击方式以及病毒形式，掌握相关的应急处理对策，以确保可以在第一时间进行处理。同时，还可以通过技术手段和实际感知提升运管人员对安全隐患、薄弱环节和短板的发现能力、分析能力和进行优化整改的能力，进而提高网络安全防御水平。

另一方面，全体企业员工的安全保密意识和能力也不容忽视。国有企业数字化转型过程中，员工开始逐步从传统的工作方式中解脱出来，开始进行数字化作业，企业网络安全直接影响员工工作效率和利益。而企业中的国家秘密、商业秘密涉及的内容广泛，涉及的单位众多，每一位员工都可能直接或间接地接触秘密信息。无论是从网络使用还是从数据安全方面来看，企业员工都与之有关。通过开展全员安全保密意识和能力培训，能有效提升员工在网络安全中的参与度和认同感，营造全员安全保密的良好氛围。

数字化转型后，国有企业通过业务流程数字化和优化改造，实现信息互联互通，生产服务在线协同，服务场景智能化，最后实现线上线下一体化管理。

要顺利完成数字化转型，其中的网络安全建设必不可少，而网络安全建设是个系统工程，会受到各方面不同因素的影响而导致必然存在某些薄弱环节和短板。企业应当将其纳入数字化建设的重要组成部分予以考虑，加强顶层设计，做好规划，将安全保密责任压实，采取“技管”并进的手段令安全保密措施落地，并注重网络安全队伍建设和全员安全保密培训，进而全方位强化网络安全保密能力，为企业数字化转型提供支撑保障。