夯实基础工作 强化网络安全

■ 中交一公局第三工程有限公司 高莉春

中交一公局集团有限公司 卢松柏 孟阳

一、基建企业网络安全现状分析

1.顶层设计要加强

基建企业网络安全是信息化建设和应用的保障，涵盖了网络安全、平台安全、数据安全、系统安全等多个维度，不能单靠产品组合或大量堆砌安全设备解决问题。

网络安全防护工作需要有整体思维，要全面考虑安全防护体系的检测、响应、防御、处置等威胁的应对需求，覆盖网络、服务器、终端等各层次的攻击面，贯通安全防护、应急响应及安全培训等业务体系。因而需要从防御、保护、保障的角度出发，开展体系化的、综合的、全方位的网络安全顶层设计。

2.体系制度要完善

基建企业一般都由总部、子分公司、项目部组成，层级多、地理位置分散，要保证网络与信息安全管理的有效运作，需要有强有力的制度规范作支撑。

基建企业网络与信息安全管理制度应包含规划、设计、建设、运维的管理全过程，涵盖安全风险识别、衡量、分析、评价、防范和控制等指导性条款，明确安全管理组织机构与职责。

3.设备设施要投入

基建企业点多面广是常态，在网络与信息安全管理上既要防御外部攻击，还要防范内部风险。当下基建企业往往形成以总部为中心的集团广域网，在统一出口部署功能更强大、防御能力更高的安全设备至关重要。为避免单点故障，广域网链路和设备应具备冗余备份能力。总部与各分支的广域网出口处安全设备的配置也必不可少，一来要起到防御内部攻击的作用，二来能阻止入侵行为的扩大升级。

基建企业普遍存在视频会议、远程监控、OA系统等各种高带宽应用，尤其是企业网络的数据中心，进出信息流量庞大，为保证业务的连续性和通畅性，应考虑冗余备份和负载均衡。

4.意识预警要强化

基建企业员工的网络安全行为监管难度大，在基层安全人才缺失、员工上网行为随意度大、网络安全意识淡薄。因而非常必要建立健全教育培训机制，以加强员工的安全预警意识和风险防患技能。

二、积极开展基建企业网络安全建设

1.从深度上进一步开展

基建企业层级多、地点分散，统一管理和监督落实难度大。而基建企业所属子分公司数量庞大，业务范围广，暴露面多，统一管理可以更有效地降低风险。应先进行息化资产清查、暴露面收敛、部署统一安全终端，有条件时进行广域网改造，从而解决子分公司网络安全专业性不强、网络安全管理不力的问题，将来自于外部的威胁挡在统一入口处。

2.从广度上进一步开展

网络安全是系统性工程，是多层面、多因素、综合、动态的。这就要求我们不仅要有通盘规划，尤其应对新建系统进行“三同步”。基建企业网络与信息安全规划不仅要考虑公司实际情况、发展前景，更要认真考虑、积极落实国家及行业的监管要求。

3.从细度上进一步开展

基建企业的网络与信息安全水平是由与网络安全所有环节中最薄弱的地方决定的，符合所谓的“木桶原理”，短板制约网络与信息化的安全保障能力，有可能对企业网络信息安全构成严重威胁。因而所有网络安全工作要尽可能做细，并要深挖制约企业网络安全的各个因素，识别出风险大小，采取强有力的措施方法各个击破，尽最大努力不让任何一点微小风险存在。

三、全面深化基建企业网络安全应用

1.从体系机制上全面深化

基建企业的网络安全工作要从体系机制上不断全面深化，我们不仅要进行安全体系的顶层设计与规划，完善网络安全管理制度，充分规化建设标准、组织架构，明确岗位职责与工作流程。管理制度应能给子分公司、项目部网络安全工作提供指导。管理体系须明确组织、人员、职责与流程。为保证网络安全各项要求的落地执行，还应建立配套的监督考核体系。

2.从运维保障上全面深化

基建企业网络安全工作难度大，专业人才紧缺，相关工作人员数量不足。要想把网络安全工作做细做实，达到预期效果，我们还需从运维保障上进行全面深化：一是总部、子分公司要配备专职网络安全人员，项目部至少配备兼职网络安全员，要确保保障人员到位，工作有人抓，问题有人解决；二是要有网络与信息安全专项信息化预算，为设备更新、系统升级、运维服务提供资金保障；三是网络安全从业人员每年要参加专门的培训学习，通过参加考试、取证、竞赛等持续提高运维保障专业技能。

3.从安全架构上全面深化

有许多基建企业上架个防火墙、安装了防病毒软件就算完成了网络安全工作。随着企业信息化应用的不断延伸，无论是应用系统还是个人终端上都会积累越来越多的高附加值企业信息，网络安全的要求前所未有的高。基建企业在信息化方面的投入有限，很难匹配适应的网络安全架构，因而有必要做好规划，逐步完善。从最初的局域网建设配套防火墙到防火墙、堡垒机、日志审计等，随应用与信息化技术发展的趋势，陆续上架网络安全设施，逐步实现纵深防御，从各个终端自由安装防病毒软件到部署统一安全终端，统一推送补丁和升级病毒库，实现从人防到技防，从被动到主动防御。

总之，网络安全是基建企业信息化建设和应用的根基与保障，面对“新基建”数字经济的快速发展，基建企业需要加速构建完善安全可靠的网络安全体系，确保企业信息化建设的健康发展与高价值资料数据的安全可控。