扎实推进中小企业网络安全体系建设管理工作

易志勤，李敏，于盟，曹禹

（1.北京站酷网络科技有限公司，北京 100015；2.国家工业信息安全发展研究中心，北京 100040）

0 引言

近年国际形势错综复杂，随着互联网和数字经济的发展，网络空间安全成为互联网时代国际形势的焦点，世界各国在网络空间竞相角力，网络空间安全保护成为新命题，企业网络安全建设和管理面临前所未有的挑战。习近平总书记指出“没有网络安全就没有国家安全”，“安全和发展是一体之两翼、驱动之双轮”，为更好地落实国家网络安全工作，《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》等政策标准相继实施，给我国网络安全建设明确了方向和标准，使得企业在网络安全保障体系和能力建设中有章可循、有法可依。2021年是“十四五”开局之年，为进一步促进中小企业网络安全体系建设，本文从作者的工作经验体会出发，结合政策法规从多维度分析中小企业安全现状，为中小企业的网络安全保障体系和能力建设提供参考。

1 企业网络安全建设背景

1.1 安全建设必要性

“安全是发展的前提”，网络安全是企业发展的前提与保障，网络安全合规建设尤为必要。受某些西方国家政治因素影响，当前国际局势复杂紧张，同时黑客网络攻击行为和模式愈演愈烈，给世界经济和秩序造成巨大困扰，任何企业都有可能成为黑客攻击目标。企业应认清当前的网络安全形势，并在网络安全方面具备抵御来自全球网络攻击的安全保障技术和能力，才能确保在进一步改革开放的国际竞争中不被淘汰，面对来自科技、经济、法律等维度的各种挑战，企业须持续具备与业务发展相匹配的合规能力，否则难以保障企业的正常运营和可持续发展。

1.2 政策标准要求

《网络安全法》第九条要求“网络运营者开展经营和服务活动，......，履行网络安全保护义务”，第二十一条要求“网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”，第五十九条则对不履行网络安全保护义务明确了处罚要求。《信息安全等级保护管理办法》要求“定期对信息系统安全等级状况开展等级测评”；《信息安全技术 网络安全等级保护基本要求》将等级保护对象从原来的信息系统调整为基础信息网络、信息系统（含采用移动互联技术的系统）、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等[1][6]，并针对性提出安全扩展要求，标准几乎覆盖各行业领域，其适应性得到较大提升。

基于当前互联网环境和安全形势，网络安全法和等级保护制度的施行可帮助企业做好自身的网络安全防护，减少或避免受到全球范围发起的恶意攻击带来的影响，是企业网络安全体系建设的有力保障。但目前仍有部分中小企业网络安全意识薄弱，存在侥幸心理，将等级保护制度的建设落实浮于表面、“走过场”，甚至购买“包过等保”服务来代替网络安全保障体系建设，如何把握好企业发展与安全体系建设的动态平衡，是企业可持续发展的关键课题。

2 中小企业网络安全认知误区

2.1 网络安全水平与经济实力成正比

2017年国际电信联盟发布《2017年全球网络安全指数》，从法律、技术、组织、能力建设、国际合作等5个方面衡量各国网络安全指数，综合评分前10名的国家分别是：新加坡、美国、马来西亚、阿曼、爱沙尼亚、毛里求斯、澳大利亚、格鲁吉亚和法国（并列排名第8）、加拿大、俄罗斯。日本和韩国分别排在第11位和第13位，中国排在第32位。报告指出：网络安全是一个生态系统，其法律、组织机构、技能、合作与技术实现需协同发挥最大效用，网络安全正日益成为各国决策制定者考虑的因素，但各国在意识、理解、知识、策略部署、能力和计划方面存在明显差距。报告显示国家的富裕程度与网络安全水平不成正比，有些经济强国网络防御漏洞百出，而一些贫穷小国经验却值得借鉴[2]。

从上述资料可以推断：网络安全水平与企业规模和经济实力不成正比，大企业可以做好网络安全工作，中小企业同样可以做好网络安全工作。网络安全工作并不完全依赖于网络安全资金投入，加强管理体系建设会取得事半功倍的效果，企业应立足业务全链条关键岗位，加强对关键岗位意识、理解、认知、策略等方面的教育培训，全面促进企业在法律、组织机构、技能、合作与技术等方面的生态建设。

2.2 网络安全防护依赖技术建设

部分中小企业在自身网络安全建设工作中存在资金投入较少、技术人员不足的情况，故认为网络安全防护满足国家合规建设“底线”要求即可，或采取购置部分安全产品堆砌的技术手段而忽视网络安全管理建设。2020年2月，微盟遭员工恶意删除数据库，给商家经营造成严重影响，并导致巨额经济损失，除拟用于赔付客户的1.5亿元外，累计市值蒸发超30亿港元，该事件暴露出微盟在内控管理建设、数据安全管理方面存在严重不足，同时给广大企业网络安全管理建设工作敲响警钟。网络安全管理和技术建设是相辅相成的，缺一不可，加强企业网络安全制度体系和管理流程建设，能够最大程度地避免“越权操作”的可能性，减少因为“人为失误”而导致的安全事件的发生，从而实现企业安全运营和可持续发展的目标。

3 中小企业网络安全建设要点

3.1 提升企业管理者安全格局

党的十八届六中全会《关于新形势下党内政治生活的若干准则》强调，全党必须牢固树立政治意识、大局意识、核心意识、看齐意识，自觉在思想上、政治上、行动上同党中央保持高度一致[3]。企业在扎实推进网络安全保障体系和能力建设的过程中，必须提高政治站位，增强“四个意识”，特别对大局意识、看齐意识要深刻领会和学以致用，要以大视野、大格局来看待网络安全问题，企业的生存和发展是基于安全生产和经济效益两大要素，任何一个要素出现严重问题，都会直接导致企业承受毁灭性打击。安全生产工作既要考虑信息与网络安全，也要考虑传统生产安全，同时还要兼顾当前企业自身新冠防疫管理工作等因素；在网络安全合规建设和管理方面，企业应当严格遵守网络安全法律法规及标准要求，保持与法律、规则和流程的一致性。

北京时间2020年2月28日，国际体育仲裁法庭（CAS）公布了“兴奋剂案”的裁决结果，运动员因触犯反兴奋剂条例而被禁赛8年，事件起源于2018年9月4日晚至9月5日凌晨的一次飞行药检，因为尿检官的授权资质和血检官非法跨区域采血的问题，运动员与兴奋剂检测人员出现分歧，最终负责检测的主检官没能带走运动员的血液样本，尿液样本没有进行采集。《世界反兴奋剂条例》指出:“2.3 接到依照反兴奋剂规则授权的检查通知后，拒绝样品采集、无正当理由未能完成样品采集或者其他逃避样品采集的行为”[4]、“2.5篡改或企图篡改兴奋剂控制过程中的任何环节”、“10.3.1违反条款2.3或2.5的行为，禁赛期为四年”、“10.7.1对于第二次违规的运动员，予以两倍禁赛期”。

上面是一个“保持与法律、规则和流程的一致性”的典型案例，在这个“兴奋剂违规”的案例中，违规根本没有具体涉及到“兴奋剂”，也没有出现赛场上被裁判的判罚，而是出现在参加“比赛的生命周期”中检验流程的“抗检”与“拒绝采样”环节！此案例说明，参与任何领域的活动或竞争，必须清楚了解该领域的法律、标准和流程等“游戏规则”，仅凭专业的知识和技能，并不足以应对“参与过程中全生命周期”的综合管理要求。随着时代的进步，只有及时更新思想意识、提高自身认知，认真学习相关领域的“游戏规则”，才能有效地规避与专业活动相关的违规风险！

3.2 加强网络安全认知和意识

近年针对网络乱象，公安机关已实行“一案双查”制度，即在对网络违法犯罪案件开展侦查调查工作时，同步启动对涉案企业或网络服务提供者法定网络安全义务履行情况的监督检查[5]。对于“一案双查”的学习和理解，可以“利用老知识、生成新知识、理解新规则”。《中华人民共和国道路交通安全法》自2004年5月1日实施至今已18年，相信人们已经非常清楚交通事故的处理流程。一辆机动车和一辆自行车在机动车道上发生交通事故，正常情况下，交警到现场处理事故时会分别对2个主体进行调查：一方面自行车主为什么会跑到机动车道上？另一方面，了解机动车是否具备上路行驶的资质?驾驶员是否具备驾驶资质？驾驶员是否遵守交通法规？如果机动车一方完全合规，责任就只在自行车一方，因为自行车违规走到机动车道造成事故；但如果机动车方有不合规情况，则要根据违规的程度承担事故责任和赔偿损失。交警处理交通事故时的责任划分，有助于更加直观地对“一案双查”含义的理解。

中小企业管理者一定要跟上新形势、提升新认知，在各发展阶段不断学习新规则、调整新策略、提升新格局、适应新挑战。网络安全体系建设是一个自上而下的过程，只有企业资方和业务高管的认知到位、意识到位，才能从根本上做好中小企业的网络安全体系建设和网络安全管理工作。

3.3 举一反三、风险管控

在网络安全管理方面，部分中小企业会不断重复出现已经发生过的问题，“举一反三”能力存在欠缺，网络安全问题“举一反三”能力可通过如下示意图进行分析：

图1 网络安全问题处置流程示意图

当发生网络安全问题后，首先需对问题进行评估，确定问题是“偶发事件”亦或是“系统性问题”。如果为“偶发事件”，对事件的具体影响进行评估，按处置计划实施处置后，处置事件流程可以结束；但若为“系统性问题”，首先需评估是“软系统（管理/程序）”或是“硬系统（设备/设施）”导致的问题，如果是“硬系统”导致，需分析硬件是否出现问题，对“硬系统”事件的具体影响进行评估，按处置计划实施处置，并确认此硬系统不再重复出现同类的情况；如果是“软系统”出现问题，则需对软系统进行多维度分析，确认问题发生的真正原因，并对事件的具体影响进行评估，制订有针对性的系统调整方案，并按照处置计划对应在制度、流程、新变量或其他因素等方面进行调整，确认此系统不再重复出现同样的漏洞，系统修复完成后问题处置完毕[7]。

在上述问题处置的过程中，如果误把“系统性问题”当作是“偶发事件”来处理，那么问题不能根治，且类似的安全事件很可能会重复发生！

当前网络安全攻击事件相对集中在各国的关键基础设施和大型企业，很多中小企业暂时体会不深，企业网络安全意识还不到位，还是基于以往的“历史经验”认为“只要内容上不被政府监管部门处罚”就没问题，但企业并没有真正认识到政府和相关部门的处罚不是目的，而是为了帮助企业更好地完善网络安全管理体系建设的手段。当大企业把安全防护的“防洪大堤”筑高后，就会和中小企业的防护形成相对的“高差”，因此当“黑客的洪峰”经过时，将会从“防护的低位”对中小企业造成严重冲击！

4 加强网络安全保障体系和能力建设

4.1 合理规划、有序实施

企业要实现可持续发展，需在公司业务全链条的关键环节上，全面落实网络安全意识和网络安全技能的建设，持续具备法律、法规、规章、国家标准和行业标准等规定的网络安全必备条件：（1）企业主体确保具备合法的经营许可资质；（2）确保资金投入能满足与企业发展相匹配的网络安全体系建设的需求；（3）依法建立企业网络安全组织管理架构；（4）逐步建立和完善网络安全管理制度；（5）加强企业从高管到业务全链条、各环节成员的网络安全意识的教育和培训工作；（6）针对业务隐患进行深入分析，加强对重大危险源的隐患排查和防控工作；（7）制定突发事件应急预案，加强突发事件应急演练。

企业的网络安全规划与实施，应该遵循同步规划、同步实施、同步发展的“三同步原则”，但大多数的中小企业在业务、法律、组织管理、能力建设和跨部门合作等方面，因为意识不到位、经验不足和资源分配不合理等因素，在合规建设过程中通常不容易达到理想的水平，因此在网络安全体系建设和管理过程中，企业资方必须按照网络安全法和等级保护要求合理规划、有序实施[6]，企业管理者必须要根据企业自身情况，深入梳理和分析研究，分步制订适合企业阶段发展和可持续发展的方针与策略，精心打造能在激烈的国际市场竞争中经得起考验的网络安全体系，实现“安全合规多打粮”的可持续发展目标！

4.2 权威指导、动态完善

在依据《网络安全法》和等保2.0的要求和标准的框架下，中小企业在网络安全体系建设过程中，利用国家网络安全产业发展的优势，可以寻求合资质、可信赖、有实力、负责任的第三方权威机构，指导和帮助企业提升网络安全建设水平。在权威机构的指导服务中，例行月度安全巡查制度，是一种行之有效的方式。

企业打造网络安全体系，制度建设是重要的一环，在企业实际业务的经营活动中，需要不断根据数据的实际应用，动态完善相关流程和规则；同时根据业务的需要，完善相关岗位的规程和落实相关人员的责任。而在多数中小企业的实际运营中，常常因为各种不同的因素，导致制度的落实和执行不到位，容易出现管理环节的疏忽而导致安全事件的发生。第三方权威机构的月度巡检，能非常有效地发现问题隐患，及时地指导和督促企业整改。

5 结语

中小企业管理者必须进一步增强“四个意识”，坚持总体国家安全观，根据“国家安全体系和能力建设大框架”的要求，结合企业的发展情况，合理投入网络安全保障体系和能力建设的资金。在十四五开局之年，坚持新发展战略，迈进新阶段、学习新理念、提升新格局，扎实做好网络安全保障体系和能力建设的管理工作。