工業企業網絡安全保障體系建設思考

《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）自2017年6月1日正式施行，至今已有五年時間。隨著信息化和工業化的深度融合，傳統封閉的工業控制系統由于工業互聯網的發展，正在越來越多地暴露在互聯網側，由此引發的暴露面增加、APT攻擊、勒索病毒等網絡安全威脅事件日益增多。此外，工業控制系統自身脆弱性和工控協議的不安全性問題也格外突出，這些已經成為影響工業企業安全穩定運行的重要因素。

工業企業在網絡安全管理體系薄弱、工業網絡安全人才短缺等情況下，如何構建一套科學的、實用的網絡安全保障體系，已經成為當下企業共同關注的焦點問題。

重視網絡安全頂層設計加強安全總體規劃

《網絡安全法》第三十三條提出：“建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能，并保證安全技術措施同步規劃、同步建設、同步使用”。

工業企業在新建、改造時應參照等級保護2.0、工業互聯網企業網絡安全分類分級指南等要求，根據三同步原則，提前進行風險評估、差距分析等工作。通過梳理工業控制系統的資產信息、網絡拓撲、安全漏洞、關鍵業務信息流等情況，找到當前薄弱的環節，制定有效的安全加固措施，從而可以更全面地從技術、管理等方面，制定安全規劃和改進方案，為后續的安全防御體系建設提供科學的規劃決策依據。

明確企業主體責任建立縱深安全防御體系

《網絡安全法》第二十一條和第三十一條提出：“網絡運營者應當按照網絡安全等級保護制度的要求履行安全保護義務”等內容，明確了企業作為運營者的主體責任，建立縱深防御的安全保障體系。

在安全技術方面，以“一個中心、三重防護”為原則，從物理環境、區域邊界、通信網絡、計算環境、安全管理中心等方面，建設一套完整的安全防護體系，采購的產品或服務要符合安全可信的要求。同時，企業要強化安全可靠技術和產品的應用，提高自主可控水平。

在管理方面：需明確工業企業網絡安全組織職責，建立健全網絡安全管理制度和操作規程，對相關人員進行背景審查；制定網絡安全應急預案庫，并定期開展網絡安全教育培訓考核和應急演練，以便發生突發網絡安全事件時能夠快速響應，切實提升運營者的整體防護能力。

從建設到運營打造工業企業安全運營中心

《網絡安全法》第五條提出：“國家采取措施，監測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞”。第五十一條提出：“國家建立網絡安全監測預警和信息通報制度。應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，并按照規定報送網絡安全監測預警信息”。

目前工業企業從純安全產品建設，向整體安全運營能力建設轉型。真正解決企業網絡安全風險和隱患，需要建立以“資產、漏洞、威脅”為核心的安全監測運營閉環處置體系。實現從網絡安全數據的采集、監測、防御、分析、處置、考核全流程化管理。

通過利用大數據安全建模，針對輸入的多源日志、流量進行實時分析、關聯分析，進行事件的聚合、精簡、挖掘，對事件進行漏洞、資產關聯分析，將系統實時風險全狀況盡收眼底，幫助企業形成協同運營能力的新一代網絡安全保障體系。

加大網絡安全培訓持續提升企業人員能力

《網絡安全法》第三條提出：“鼓勵網絡技術創新和應用，支持培養網絡安全人才”。第二十條提出：“國家支持企業和教育培訓機構開展網絡安全相關教育與培訓，采取多種方式培養網絡安全人才，促進網絡安全人才交流”。第三十四條中提出：“定期對從業人員進行網絡安全教育、技術培訓和技能考核”。

工業企業需要組織內部相關人員定期進行網絡安全理論和實戰培訓，加強對工業控制系統安全、最新網絡安全事件、安全技術、安全攻防等相關知識的培訓。同時，在選擇相關培訓服務機構和講師時需注意，選擇有相關理論知識、實踐案例、相關部門認定的服務機構，確保受培訓人員能夠學習到相關理論知識和實戰經驗，并獲得相關考試證書等。

總結

《網絡安全法》自正式實施起五年以來，為國家各行業網絡安全建設提供了法律依據和建設指引方向。從工業企業視角，建立完整的工業網絡安全保障體系需要從五個方面進行考慮：工業網絡安全頂層規劃設計、安全縱深防御體系建設、安全監測運營體系建設、安全人員培訓及能力提升。

工業企業網絡安全關系到國家經濟社會可持續發展，是事關國家長治久安的重大戰略問題。工業企業應全面落實國家政策法規，持續打造基于自身核心競爭力的工業網絡安全保障體系，筑牢企業安全基座。（作者：長揚科技李莊、王宇、吳優）