林 濤，張向宏

(中國信息安全研究院，北京 100091)

0 引言

在我國網(wǎng)絡(luò)安全的保障體系中，中央企業(yè)有著不可替代的作用，主要有兩個方面的體現(xiàn)：一是作為供給側(cè)。中央企業(yè)作為生產(chǎn)者，在國家網(wǎng)絡(luò)安全保障中，擔(dān)負(fù)著提供技術(shù)、產(chǎn)品和服務(wù)的重要職責(zé)。從產(chǎn)業(yè)劃分來看，中央企業(yè)的產(chǎn)業(yè)支撐保障門類主要包括三種類型：提供自主可控信息技術(shù)產(chǎn)品和裝備、提供網(wǎng)絡(luò)安全防護(hù)技術(shù)產(chǎn)品和裝備、以及提供網(wǎng)絡(luò)安全服務(wù)。二是作為需求側(cè)。中央企業(yè)是重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)的運(yùn)營者，其自身安全就是國家安全的題中之義。絕大部分關(guān)系國計(jì)民生和社會發(fā)展的重要信息系統(tǒng)由中央企業(yè)負(fù)責(zé)運(yùn)營，涉及國民經(jīng)濟(jì)發(fā)展的重要行業(yè)，包括金融、電力、石油、煤炭、鐵路、民航、電信、軍工等。

1 中央企業(yè)在保障我國國家網(wǎng)絡(luò)安全中作用的現(xiàn)狀及存在問題

2003年國務(wù)院國有資產(chǎn)監(jiān)督管理委員會成立以來，高度重視中央企業(yè)網(wǎng)絡(luò)安全工作，先后制定了多部政策法規(guī)，如《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》(國資發(fā)[2010]41號)、《關(guān)于加強(qiáng)“十二五”時期中央企業(yè)信息化工作的指導(dǎo)意見》(國資發(fā)[2012]93號)等，并積極組織開展央企網(wǎng)絡(luò)安全工作；同時，各大央企也紛紛行動，在網(wǎng)絡(luò)安全領(lǐng)域開展了大量工作，并取得了明顯成效。盡管如此，困擾網(wǎng)絡(luò)安全能力持續(xù)提升的深層次問題依然存在，阻礙了央企作用的全面深入發(fā)展。

一是缺乏頂層設(shè)計(jì)。對于中央企業(yè)在國家網(wǎng)絡(luò)安全工作中重要性的認(rèn)識雖不斷提升，但在推進(jìn)實(shí)施方面，缺乏頂層規(guī)劃和指導(dǎo)。當(dāng)前，國家《網(wǎng)絡(luò)空間安全戰(zhàn)略》已經(jīng)發(fā)布，《網(wǎng)絡(luò)安全法》已進(jìn)入實(shí)施階段，但對于如何進(jìn)一步發(fā)揮央企在國家網(wǎng)絡(luò)空間安全中的作用，仍缺少實(shí)施層面的統(tǒng)一規(guī)劃部署，這與央企在國家網(wǎng)絡(luò)安全和信息化發(fā)展中的地位極不相稱，不利于央企網(wǎng)絡(luò)安全相關(guān)工作的持續(xù)發(fā)展。

二是技術(shù)發(fā)展存在嚴(yán)重短板。一方面，我國在PC機(jī)、Windows操作系統(tǒng)以及基于TCP/IP協(xié)議的互聯(lián)網(wǎng)應(yīng)用上，在設(shè)計(jì)之初均未充分考慮程序校驗(yàn)、數(shù)據(jù)傳輸保護(hù)等問題，導(dǎo)致網(wǎng)絡(luò)安全防護(hù)存在“先天不足”，這是當(dāng)前信息系統(tǒng)面臨網(wǎng)絡(luò)安全問題的主要原因。另一方面，我國信息技術(shù)發(fā)展存在空白點(diǎn)，缺乏統(tǒng)一的技術(shù)方案和路線，造成產(chǎn)業(yè)支撐能力的嚴(yán)重不足，網(wǎng)絡(luò)安全核心技術(shù)和產(chǎn)品受制于人，國家網(wǎng)絡(luò)安全面臨更大挑戰(zhàn)。

三是產(chǎn)業(yè)發(fā)展受制于人。我國網(wǎng)絡(luò)安全產(chǎn)業(yè)在發(fā)展過程中，產(chǎn)品、服務(wù)乃至產(chǎn)業(yè)發(fā)展面臨全面受制于西方發(fā)達(dá)國家的窘境。從公開的數(shù)據(jù)統(tǒng)計(jì)來看，我國重要信息系統(tǒng)和工控系統(tǒng)產(chǎn)品主要依賴國外，配套網(wǎng)絡(luò)安全服務(wù)能力較弱，與國家網(wǎng)絡(luò)安全保障需求存在較大差距。同時，國外企業(yè)還把持著涉及到網(wǎng)絡(luò)安全的戰(zhàn)略咨詢、審計(jì)、測評認(rèn)證等關(guān)鍵服務(wù)業(yè)務(wù)。例如，IBM等外企為國內(nèi)企業(yè)提供全面的信息安全咨詢服務(wù)，而普華永道、德勤、畢馬威、安永“四大”會計(jì)師事務(wù)所控制并試圖壟斷我國的會計(jì)審計(jì)業(yè)，許多國有企業(yè)和銀行基本沒什么商業(yè)秘密可言。通過提供信息安全服務(wù)，國外企業(yè)可以獲取我國政府部門關(guān)鍵信息基礎(chǔ)設(shè)施的重要信息數(shù)據(jù)。

2 中央企業(yè)在保障國家網(wǎng)絡(luò)安全中的目標(biāo)任務(wù)

做好網(wǎng)絡(luò)安全工作，是央企的重要?dú)v史使命，是履行社會責(zé)任的重要體現(xiàn)，新時期強(qiáng)化中央企業(yè)的網(wǎng)絡(luò)安全保障作用，總體目標(biāo)應(yīng)是培養(yǎng)和形成自主可控的網(wǎng)絡(luò)安全技術(shù)，確保國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，增強(qiáng)和促進(jìn)國家網(wǎng)絡(luò)安全整體水平，服務(wù)國家安全體系的構(gòu)建。包括兩個具體目標(biāo)：一是壯大網(wǎng)絡(luò)安全產(chǎn)業(yè)力量，培育以中央企業(yè)為龍頭、社會力量廣泛參與的網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài)系統(tǒng)和產(chǎn)業(yè)鏈，全面提升網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品和服務(wù)支撐保障能力；二是鞏固和提高中央企業(yè)自身網(wǎng)絡(luò)安全能力，確保國家關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)和重要信息系統(tǒng)安全運(yùn)行。

實(shí)現(xiàn)央企在保障國家安全中發(fā)揮重要作用，需要將總體目標(biāo)細(xì)化分解為兩項(xiàng)重點(diǎn)任務(wù)。一是培育重點(diǎn)企業(yè)，立足中央企業(yè)自身基礎(chǔ)和發(fā)展定位，集中資源和力量，將其培養(yǎng)成國家網(wǎng)絡(luò)安全和信息化主要裝備和服務(wù)的提供商。二是強(qiáng)化重點(diǎn)領(lǐng)域網(wǎng)絡(luò)安全，分階段、分步驟確保國家金融、電力、交通等重點(diǎn)行業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，以點(diǎn)帶面，全面實(shí)現(xiàn)網(wǎng)絡(luò)安全水平的提升。

3 措施建議

采取綜合措施，體系化推進(jìn)央企網(wǎng)絡(luò)安全水平和保障能力建設(shè)，全面實(shí)現(xiàn)央企在國家網(wǎng)絡(luò)安全保障體系中的作用。建議從強(qiáng)化頂層設(shè)計(jì)、加強(qiáng)技術(shù)創(chuàng)新、推進(jìn)產(chǎn)業(yè)協(xié)同、實(shí)現(xiàn)重點(diǎn)突破四個方面著手推進(jìn)。

3.1 強(qiáng)化頂層設(shè)計(jì)

盡快出臺《中央企業(yè)網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略》，確立中央企業(yè)在國家網(wǎng)絡(luò)安全中的角色定位。一是進(jìn)行統(tǒng)一規(guī)劃。明確在新形勢下，我國加強(qiáng)網(wǎng)絡(luò)安全的內(nèi)外環(huán)境、目標(biāo)任務(wù)、重點(diǎn)工作、保障措施和體制機(jī)制等，探索基于我國國情的網(wǎng)絡(luò)安全保障應(yīng)對策略。二是進(jìn)行合理布局。突出中央企業(yè)在國家網(wǎng)絡(luò)安全和信息化中的保障主體作用，使之成為國家網(wǎng)絡(luò)安全的主力裝備提供商，統(tǒng)一配置資源，相互協(xié)調(diào)分工。三是進(jìn)行重點(diǎn)引導(dǎo)。強(qiáng)化央企在各自行業(yè)的網(wǎng)絡(luò)安全保障作用，加大對國家關(guān)鍵信息基礎(chǔ)設(shè)施的保障力度。

3.2 加強(qiáng)技術(shù)創(chuàng)新

在國家加大對網(wǎng)絡(luò)安全企業(yè)科技投入力度的同時，央企要積極承擔(dān)起提供關(guān)鍵技術(shù)和核心設(shè)備的責(zé)任。加強(qiáng)核心關(guān)鍵技術(shù)產(chǎn)品和服務(wù)的研制開發(fā)，重點(diǎn)突破自主可信、安全防護(hù)、安全服務(wù)等關(guān)鍵領(lǐng)域，服務(wù)國家戰(zhàn)略發(fā)展需求。

3.3 推進(jìn)產(chǎn)業(yè)協(xié)同

通過軍民轉(zhuǎn)化、軍民復(fù)用的方式推進(jìn)軍民融合發(fā)展，實(shí)現(xiàn)關(guān)鍵技術(shù)、安全演練、信息資源等方面的有效融合。一是推進(jìn)關(guān)鍵技術(shù)的軍民融合。部分關(guān)鍵技術(shù)可由軍隊(duì)先行研制，再推廣到民用，然后再反饋給軍方，實(shí)現(xiàn)關(guān)鍵技術(shù)產(chǎn)品的軍民轉(zhuǎn)化。二是推進(jìn)安全演練的軍民融合。建立模擬實(shí)驗(yàn)環(huán)境，吸納軍民力量參加，配合進(jìn)行攻防演練，共同提升網(wǎng)絡(luò)安全保障水平。三是推進(jìn)信息資源的軍民融合。適度開放部分網(wǎng)絡(luò)設(shè)施和信息資源，由中央企業(yè)帶頭，吸納民間技術(shù)力量充分參與到國家網(wǎng)絡(luò)安全建設(shè)中，擴(kuò)大國家網(wǎng)絡(luò)安全保障的支撐力量。

3.4 實(shí)現(xiàn)重點(diǎn)突破

強(qiáng)化國家網(wǎng)絡(luò)安全。在涉及國計(jì)民生的金融、能源、糧食、交通等領(lǐng)域，強(qiáng)化對工控系統(tǒng)及重要信息系統(tǒng)的安全保障。通過實(shí)施重點(diǎn)保障工程，推動在工控系統(tǒng)和重要信息系統(tǒng)領(lǐng)域的網(wǎng)絡(luò)安全能力建設(shè)。一是在工業(yè)控制系統(tǒng)領(lǐng)域，重點(diǎn)打造工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全研發(fā)能力建設(shè)平臺[6]，研發(fā)具有中國自主知識產(chǎn)權(quán)的安全工控技術(shù)、產(chǎn)品和系統(tǒng)等，形成國家工控安全領(lǐng)域的核心競爭力。重點(diǎn)打造面向關(guān)鍵行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保障體系建設(shè)平臺，研制工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備以及監(jiān)控管理系統(tǒng)等。二是在重要信息系統(tǒng)領(lǐng)域。重點(diǎn)打造重要信息系統(tǒng)體系化網(wǎng)絡(luò)安全防護(hù)平臺，研制以數(shù)據(jù)保護(hù)等為核心的系列化信息系統(tǒng)安全防護(hù)產(chǎn)品等。重點(diǎn)打造重要信息網(wǎng)絡(luò)自主專用安全支撐技術(shù)研發(fā)與產(chǎn)業(yè)化平臺，研究專用安全芯片和高可靠基礎(chǔ)專用安全設(shè)備產(chǎn)品服務(wù)及其支撐應(yīng)用等。

4 結(jié)語

目前，中央企業(yè)在信息安全保障中發(fā)揮的作用遠(yuǎn)低于預(yù)期，所暴露的問題也較為突出，央企發(fā)揮的作用與其應(yīng)當(dāng)承擔(dān)的使命與責(zé)任不相匹配，無法滿足信息安全嚴(yán)峻形勢對產(chǎn)業(yè)提出的急切需求。加強(qiáng)對中央企業(yè)在信息安全保障中的作用的研究刻不容緩，應(yīng)首先明確和強(qiáng)化央企在保障國家信息安全的雙重角色，再以供給側(cè)、需求側(cè)并舉的思路，加快探索并深入推進(jìn)央企在保障國家信息安全中的作用。

[1] 國家工業(yè)信息安全發(fā)展研究中心.工業(yè)和信息化藍(lán)皮書(2016-2017)[M].北京：社科文獻(xiàn)出版社出版，2017.6.

[2] 芮曉武.構(gòu)建科學(xué)發(fā)展體系,推動產(chǎn)業(yè)由大到強(qiáng)[J].工業(yè)經(jīng)濟(jì)論壇，2014(1):102-110.

[3] 張向宏,林濤.美國信息安全立法概況及啟示[J].保密科學(xué)技術(shù)，2012(11):6-13.

[4] 林濤.美國近期信息安全立法及其戰(zhàn)略思路研究[J].中國信息安全，2013(4):68-71.

[5] 盧坦，林濤，梁頌.美國工控安全保障體系研究及啟示[J].保密科學(xué)技術(shù)，2014(4):27-33.

[6] 劉仁輝，張尼，吳云峰.構(gòu)筑工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系 為推動先進(jìn)制造業(yè)發(fā)展保駕護(hù)航[J].信息技術(shù)與網(wǎng)絡(luò)安全，2018,37(1)：23-24,29.