【关键词】网络安全管理；体系化转型；生态构建

引言

随着计算机网络技术的广泛深入应用，网络安全问题日益突出，由此而引发网络间控制与反控制的斗争也日渐激烈，发展计算机网络安全防护技术成为各国的共识[1]。中央企业作为新时代数字经济中的“稳定器”和“压舱石”，掌控着能源、交通、通信等基础设施，其网络安全与国家安全息息相关。从风险角度来说，随着中央企业信息化、数字化进程的发展，高价值的数据在不断积累，随之也出现了众多信息技术黑色产业[2]。近年来，针对关键信息基础设施的安全威胁层出不穷，勒索病毒、数据丢失等网络攻击也越来越严重，中央企业网络安全形势愈发严峻。

就政策层面而言，《中央企业网络安全工作指引》指出，央企需“针对攻防对抗场景，做好网络安全攻防对抗基础性工作”，且将网络安全事件纳入央企主要负责人经营业绩考核。而《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规的陆续出台，也对央企合规提出了更多要求。因此，对央企开展网络安全管理工作进行研究和思考，具有迫切现实意义。

一、央企网络安全现状分析

（一）管理层面

1.组织分散，难以管理

大型中央企业结构复杂且组织分散，规模较大的中央企业，分支机构成百上千，网络安全所涉及的范围十分广泛，网络安全管理呈现出较高的分散性。例如，某大型央企下属有600多家企业，员工数量约20万，总资产达4 000多亿元，遍布全国及几十个国家和地区。中央企业网络安全策略的制定不仅缺乏科学性，还存在一定的滞后的现状，各下属机构信息系统独立建设的现象十分严重，因此，集团公司很难有针对性地建立科学、统一的安全策略。这不仅加大了中央企业的安全管理难度，也使得对于安全缺陷与漏洞的修补问题难以及时得到解决。一旦该企业内部的相关网络信息系统被黑客入侵后，会造成严重的经济损失。

2.员工网络安全意识不足

网络安全意识不足是央企网络安全管理的一大痛点。当前央企绝大部分员工对于网络钓鱼邮件、恶意软件等常见攻击手段缺乏敏感性，因人员疏忽而引发网络安全事件成为中央企业网络安全管理的软肋。人员网络安全意识不足也体现在日常行为当中，部分人员出于方便记忆等考虑，随意选用弱密码、共享账号、密码本地存储等不安全行为，给攻击者留下可乘之机。

（二）技术层面

1.央企信息系统落后

当前一些央企的信息系统较为落后，安全防护能力薄弱、漏洞隐患多，给企业网络安全造成了很大的风险隐患，给网络黑产的攻击带来了许多机会。老旧系统还伴随着安全技术落后。在网络安全防护技术持续更新的背景下，许多传统防火墙、入侵检测系统等已经无法防范新型攻击，但是由于系统不兼容、更新成本过高，一些央企无法及时引入先进的安全技术手段，导致企业内部的网络安全防护能力存在明显缺口。

2.防护缺失

好的安全防护技术是确保网络安全的本质，使得任何网络风险的出现都不会带来严重后果。在防护能力建设上，传统的边界防护模式无法抵御复杂的网络攻击，央企普遍存在缺少动态防御、零信任架构等先进技术的问题，亟待部署构建严密完整、覆盖全生命周期的安全防护体系。

（三）合规层面

1.政策合规要求高

随着网络安全法律法规的日益完善，给央企所带来的政策合规压力也逐渐增大。《中央企业负责人经营业绩考核办法》将“网络安全事件”纳入重大事件报告体系，对造成较大和较大以上网络安全事件的企业，企业负责人将受到降级处分或扣分处理。同时，《中华人民共和国网络安全法》对关键信息基础设施运营者规定了严格的数据安全、风险评估义务。网络安全成为央企合规经营，控制风险的重要因素之一。

2.合规运营难度大

合规不仅体现在技术层面，还体现在系统管理、运营等层面。《中华人民共和国网络安全法》规定了关键信息基础设施的运营者应当定期进行网络安全检测和风险评估，制定应急预案。部分央企因缺乏专业合规人员以及完善的合规流程，难以满足这些要求，由此产生合规成本上升的难题。