中小事业单位网络安全防护策略思考

晓虎尔

工业和信息化部国际经济技术合作中心 北京 100846

为提升中小事业单位网络安全防护能力，更好地应对新形势下的网络安全风险与挑战，以《网络安全法》为根本，以相关制度为依据，以实践为基础，从网络安全组织架构、网络安全等级保护、网络安全建设及网络安全运维等方面出发，通过探索规模较小的事业单位及社会团体现状，提出具有针对性的网络安全防护策略及建议。

引言

信息技术的发展极大地促进了经济社会的繁荣，同时也带来了全新的风险和挑战。在互联网应用深入发展和使用的过程中，非法访问、恶意攻击等安全威胁也在不断升级改造、推陈出新，攻击和破坏的手段越来越多，我们的网络空间已是危机四伏。规模较小的事业单位及社会团体普遍分布在国家各个公益行业，其中的很多单位都掌握着公共数据，关乎着民生和国家安全。但由于资金限制，这些单位中的绝大多数都无法承担相应的网络安全建设费用，缺乏专业的网络安全人才，对网络安全问题常常抱有侥幸心理，规模较小的事业单位及社会团体网络安全作为国家网络安全防护体系的短板，安全问题是普遍存在的，绝不可小视，强化公共数据治理，补齐短板，改善现状已是当务之急。

1 网络安全现状

随着“互联网+”及物联网技术的日趋成熟，无论是家用电器还是大型专业设备，越来越多的厂商为了提高商业价值，忽视了网络安全，甚至会通过削减网络安全功能从而达到降低成本的目的，对互联网的稳定性安全性都造成了极大的威胁，大大增加了用户使用设备的风险。可以说，网络安全问题是影响当今经济社会发展的重要不安定因素之一[1]。

2015年8月，国务院印发《促进大数据发展行动纲要》，从国家层面指导大数据发展及相关治理。2016年初，网络安全被正式划入“十三五”规划的重点建设方向，国家重视程度达到前所未有的高度。2016年以来相继颁布了《网络安全法》、《国家网络空间安全战略》及《战略性新兴产业重点产品和服务指导目录》等相关政策相继出台，更加速推动信息安全产业的蓬勃发展。2019年10月，我国首部针对儿童的网络保护法——《儿童个人信息网络保护规定》出台，2020年1月1日，《中华人民共和国密码法》正式施行，这些法律法规的出台，标志着我国在网络安全的制度建设方面已经日趋完善。

此外，2019年1月，中央网信办、工业和信息化部、公安部、市场监督总局等四个部门正式发布《关于开展APP违法违规收集使用个人信息专项治理的公告》，并于2019年底在全国范围内开展了APP违法违规收集使用个人信息专项治理行动。同年11月，由公安部主导的“净网行动”专项行动共侦破涉网案件45743起，抓获嫌疑人65832人，取得了良好的成效。这两次行动的成功表明，我国网络安全防控体系在主动防御环节已经取得了重大进步。

但是，网络安全问题是无处不在的，并会随着技术和手段的进步而不断迭代更新，只要国家网络安全防护体系存在短板，就一定会被不法者攻击。特别是公共数据安全，已成为网络安全防护的焦点。今年7月发布的《2020联合国电子政务调查报告》表明，我国电子政务发展指数取得历史新高，在线服务指数上升为0.9059，排名世界第9。这说明我国公共数据在不断增长，并且有可能甚至已经出现指数型、爆发型增长，其现实经济社会价值带来的巨大的风险，是很多涉及大量公共数据处理的中小事业单位无法承担的。

根据国家统计局数据显示，我国目前有将近87万个事业单位，30万个社会团体，这其中大部分单位都属于100人以下的规模较小的事业单位或社会团体，这些单位中相当一部分存在公共数据安全隐患，他们或没有对网络安全形成足够的认识，或没有充足资金加强安全建设，又或缺乏专业人才进行维护，国家网络安全体系的短板已经浮现。因此，如何减少因网络空间数据安全问题造成的损失，改善规模较小的事业单位或社会团体网络安全现状，最大限度维护网络安全是一个迫在眉睫的现实问题。

2 安全防护策略

结合规模较小的事业单位或社会团体特点，以网络安全等级保护2.0为标准，从机构建设、制度建设及安全管理策略等方面入手，提供一个覆盖大多数中小事业单位运行逻辑且低成本高效率的网络安全防护策略[2]。

2.1 网络安全等级保护2.0

由于不同信息系统的保密要求和应用要求并不一致，要对单位整个网络安全信息系统进行必要的划分。

（1）确定网络安全信息系统等级

事业单位和社会团体往往肩负着公益性任务，甚至部分单位的信息系统存储着大量公共数据信息，如果受到破坏，会对不同行业造成不同程度的影响，对符合此类情况的信息系统建议定为三级或三级以上系统，其他系统可按照《网络安全等级保护定级指南》做好分级保护。

（2）安全技术框架

根据国家市场监督管理总局和国家标准化管理委员会发布的网络安全等级保护2.0标准，参考“一个中心，三重防护”的方式，以安全管理中心为核心，以安全通信网络，安全区域边界和安全计算环境为着力点，构建符合单位业务特点的安全技术框架。

2.2 机构建设

规模较小的事业单位或社会团体通常有以下特点，如领导层更注重业务，业务岗忽视管理，管理岗一人分饰多个角色等，因此，我们在建设网络安全工作机构时，要尽可能缩小管理层级，避免管理人员因为过多介入工作小组，而在执行过程中投入过高的时间成本，影响决策和执行效率。所以，建议设置两级管理层级，即领导小组和执行小组。

（1）网安领导小组

为确保规模较小的事业单位或社会团体对网络安全工作的持续重视，领导小组要以单位主管领导、网络安全分管领导、网络安全部门负责人等为主要成员，同时，为了提高领导层的决策效率，更好的应对网络安全的突发情况，建议成员人数不超过5人。领导小组负责制定安全体系的总体方针，研究安全策略的制度流程，部署网络安全的宣传工作，评估执行小组的工作情况。

（2）网安执行小组

网络安全执行小组为领导小组的日常办事机构，主要由网络安全分管领导、网络安全部门负责人及网络安全执行部门的相关管理、技术人员组成。执行小组主要负责网络安全的日常工作，包括落实领导小组制定的总体方针和部署要求，保障网络网站信息系统安全可靠，推进单位网络安全及信息化建设。

图1 中小事业单位网络安全防护策略

2.3 制度建设

紧密结合单位实际对各个部门的网络信息系统使用情况做好充分的调研，了解不同岗位人员对网络安全的理解和诉求，掌握网络安全资产的运行和维护情况，梳理出网络安全的各项风险点，并邀请内外部专家对整个信息系统进行风险评估和研究讨论，得出应完成工作的优先级，按照《网络安全法》及其他相关制度，对标网络安全等级保护标准，按照需求内容和建设目标，围绕安全机构、安全管理、人员管理、系统管理及运维管理等方面制定符合单位实际的网络安全制度体系[3]。

2.4 安全管理策略

图2 运维流程（简版）

网络安全执行小组在制定安全管理策略的过程中，要围绕“一个中心，三重防护”的建设和管理思路，结合安全通信网络的要求，有效指导单位安全通信网络的划分；利用安全计算环境明确身份鉴别、访问控制、安全审计、入侵防范等安全措施；并根据安全区域边界对访问控制策略和边界防护提出要求；针对以上三重防护的安全机制，形成一个统一的安全管理中心，实现统一管理、统一监控、统一审计、综合分析且协同防护。此外，结合其他等保要求，主要是安全通用要求和安全扩展要求，建设具备符合相应级别的安全保护能力的安全管理策略。

（1）安全运维

如何紧密结合网络安全框架与单位具体业务相对应的网络安全需求是制定安全运维策略的重中之重。如有的业务系统在受到攻击后对快速应急响应有较高的需求，比如与电子政务相关的信息系统要注意架设负载均衡，使用主备机定期对备份做恢复测试；有的则对数据的保密性有具体的要求，比如涉及大量公共数据的信息系统，则要在入侵防范和恶意代码防范方面做好防护。因此，制定符合单位实际且经济有效的运维策略是对单位数据安全的有力保证[4]。

（2）日常管理

网络安全执行小组要在日常运维及管理的工作上做好合理分工，划分好三员，强化责任落实。一般情况下，应以公共数据及单位业务数据的保护为重点，围绕物理环境、介质、设备维护及安全事件处置等管理制度完成日常运维管理工作。在发现威胁时，要对事件进行深入分析和研判，给出安全整改建议，对蕴含中高风险的漏洞要及时进行防御策略的优化。使用云服务器的单位要特别注意安全区域边界和安全计算环境的相关要求，保证数据流在通过边界设备提供的受控接口进行通信。

（3）敏感信息管理

结合单位等保情况，做好在日常运维管理中的敏感信息的划分是做好敏感信息管理的第一步，尤其要注意防范运维中产生的信息，做好IP地址及网段、三员账号口令、信息系统拓扑图、等保测评的评估报告等信息的保密工作。

（4）网络安全自查

网络安全自查是预防重大网络安全事故的重要工作之一，可以结合单位业务特点，按照规章制度执行情况、终端设备使用情况、远程登录情况、等保合规等方面定期对网络信息系统的安全情况进行巡检抽查，发现的问题要及时整改，对受到攻击的设备或资产，要深入分析，查找原因，及时整改，对安全事故的责任人要严格按照规章制度进行处置。

（5）安全培训

中小事业单位或社会团体的员工通常存在网络安全意识薄弱、网络安全知识匮乏的现象，特别是部分单位使用资源共享的内部网络，在使用资源时会出现因警惕性不高将电子邮件中的病毒带到单位内部网络的现象，这些都是由于个体在使用单位公共网络资源时因其知识结构所限或安全意识淡化造成的。因此，加强有针对性的安全培训，特别是关于应急处置的培训，提高培训质量，强化安全意识，是保障网络安全的重要环节[5]。

3 结束语

覆盖各行各业掌握大量公共数据的事业单位和社会团体，将会随着数字经济技术的不断发展，网络空间与经济社会的不断融合，在未来面临更大的风险和挑战。我们要围绕国家各项业务系统平稳运行这一目标，补齐短板，消化存量的安全风险，加大对规模较小的事业单位和社会团体的支持力度，网络安全管理部门要结合中小单位的特点，继续落实配套的政策法规，并通过持续深入推进信息系统等级保护工作，着力培养一批具备网络安全基本防护能力和管理能力的复合型人才，以应对日益复杂严峻的网络安全生态。