◆張德順 朱麗娜 孫 維

（中國石油石油化工研究院大慶化工研究中心 黑龍江 163710）

0 引言

網(wǎng)絡(luò)安全問題----保護(hù)有價值的知識產(chǎn)權(quán)和數(shù)字商業(yè)信息免遭盜竊和濫用是一個日趨嚴(yán)峻的管理問題。網(wǎng)絡(luò)安全已經(jīng)成為國內(nèi)經(jīng)濟(jì)發(fā)展和安全的最嚴(yán)峻挑戰(zhàn)之一。數(shù)據(jù)信息是企業(yè)的商業(yè)資產(chǎn)，與其它資產(chǎn)一樣，應(yīng)受到保護(hù)和重視。數(shù)據(jù)信息安全作用是保護(hù)信息不受大范圍威脅所干擾，促進(jìn)企業(yè)健康發(fā)展，規(guī)避商業(yè)損失。因此，企業(yè)樹立“網(wǎng)絡(luò)服務(wù)即是安全，網(wǎng)絡(luò)安全即是資產(chǎn)”安全發(fā)展理念，對于企業(yè)的健康發(fā)展格外重要。

1 為什么企業(yè)需要網(wǎng)絡(luò)安全

1.1 網(wǎng)絡(luò)安全重要性

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改或泄露。狹義的網(wǎng)絡(luò)安全僅指傳統(tǒng)網(wǎng)絡(luò)安全，而廣義的網(wǎng)絡(luò)安全則包括了“云安全”、“大數(shù)據(jù)”在內(nèi)的網(wǎng)絡(luò)數(shù)字信息安全保障。無論是傳統(tǒng)的終端安全，還是廣義的網(wǎng)絡(luò)安全，需要保護(hù)信息的三個特性，即數(shù)據(jù)信息的機(jī)密性、完整性與可用性。

（1）商業(yè)價值不斷向網(wǎng)絡(luò)轉(zhuǎn)移，數(shù)據(jù)信息已經(jīng)變成商業(yè)資產(chǎn)

隨著云計算、大數(shù)據(jù)從概念推廣萌芽期轉(zhuǎn)變?yōu)樾袠I(yè)發(fā)展興盛期，大數(shù)據(jù)、云計算技術(shù)帶動了信息系統(tǒng)軟件與硬件結(jié)構(gòu)的全新變革，市場規(guī)?？焖贁U(kuò)張，網(wǎng)絡(luò)安全的范圍逐漸擴(kuò)大，數(shù)據(jù)信息安全已成為廣義網(wǎng)絡(luò)安全的重要組成部分，一旦泄露將造成嚴(yán)重后果。數(shù)據(jù)信息是企業(yè)的重要資產(chǎn)和競爭力，維護(hù)信息的保密性、完整性和可用性對企業(yè)保持核心競爭力、現(xiàn)金流、利潤、合法性及商業(yè)形象至關(guān)重要。據(jù)IDC預(yù)測，至2020年全球所產(chǎn)生的數(shù)據(jù)量將達(dá)到近四萬艾字節(jié)（1EB=1024*1024TB)。這些數(shù)據(jù)中所蘊(yùn)含的企業(yè)數(shù)據(jù)信息數(shù)量龐大，一旦泄露將造成不可估計的損失。目前我國網(wǎng)絡(luò)安全形勢較為嚴(yán)峻，亟需加強(qiáng)網(wǎng)絡(luò)安全新理念，積極應(yīng)對網(wǎng)絡(luò)安全發(fā)展的新變化。

（2）企業(yè)網(wǎng)絡(luò)正比過去任何時刻更加開放

企業(yè)員工現(xiàn)在習(xí)慣通過移動端訪問企業(yè)網(wǎng)絡(luò)，而移動端設(shè)備也同樣應(yīng)用與自身生活的移動網(wǎng)絡(luò)。移動端設(shè)備快速普及，也構(gòu)成了新型網(wǎng)絡(luò)安全新威脅，成為惡意入侵企業(yè)網(wǎng)絡(luò)最薄弱端口。

1.2 網(wǎng)絡(luò)犯罪危害企業(yè)發(fā)展

2015年，網(wǎng)絡(luò)安全事件造成全球經(jīng)濟(jì)損失約3150億美元，其中包括中國在內(nèi)的亞太地區(qū)經(jīng)濟(jì)損失為810億美元，占比超過25%。目前的國內(nèi)網(wǎng)絡(luò)安全形勢較為嚴(yán)峻，市場亟需優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品以保護(hù)企業(yè)的信息安全。盡管企業(yè)不斷完善網(wǎng)絡(luò)安全保障措施，提升網(wǎng)絡(luò)安全防護(hù)水平，但基礎(chǔ)網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施仍面臨較大安全風(fēng)險，拒絕服務(wù)攻擊、網(wǎng)絡(luò)安全漏洞、網(wǎng)頁仿冒與篡改等網(wǎng)絡(luò)安全事件時有發(fā)生。

隨著企業(yè)數(shù)據(jù)資源競爭博弈激烈，數(shù)據(jù)跨界、跨境流動已成為常態(tài)化，數(shù)據(jù)流動監(jiān)管難度增大，針對網(wǎng)絡(luò)數(shù)據(jù)的安全威脅也與日俱增，給數(shù)據(jù)安全保障帶來了更為嚴(yán)峻的挑戰(zhàn)，使很多企業(yè)對網(wǎng)絡(luò)數(shù)據(jù)信息的使用從“注重共享”轉(zhuǎn)向“強(qiáng)調(diào)保護(hù)和治理”。

2 網(wǎng)絡(luò)安全理念

絕對安全與可靠的信息系統(tǒng)并不存在。網(wǎng)絡(luò)安全性的增加通常導(dǎo)致企業(yè)費(fèi)用的增長，這些費(fèi)用包括系統(tǒng)性能下降、系統(tǒng)復(fù)雜性增加、系統(tǒng)可用性降低和操作與維護(hù)成本增加等。網(wǎng)絡(luò)安全是一個過程而不是目的，自身系統(tǒng)弱點(diǎn)與威脅隨時間變化，其安全理念表現(xiàn)以下幾個方面。

2.1 網(wǎng)絡(luò)安全問題不只是技術(shù)問題而是戰(zhàn)略問題

目前，很多企業(yè)主管把網(wǎng)絡(luò)安全問題視為技術(shù)問題，缺乏了解信息安全風(fēng)險及其對業(yè)務(wù)的影響，高層決策過程很難在投資、風(fēng)險和和用戶之間取得平衡。數(shù)字信息的快速革命，使得企業(yè)把網(wǎng)絡(luò)安全作為企業(yè)戰(zhàn)略發(fā)展重要組成部分，網(wǎng)絡(luò)安全已經(jīng)與企業(yè)發(fā)展、生產(chǎn)安全、環(huán)境治理一樣參與關(guān)鍵決策，顯示網(wǎng)絡(luò)安全的重要性。

2.2 網(wǎng)絡(luò)安全即是服務(wù)，網(wǎng)絡(luò)服務(wù)即是資產(chǎn)

隨著網(wǎng)絡(luò)快速發(fā)展，企業(yè)觀念開始由硬件資源轉(zhuǎn)向數(shù)據(jù)資源變革。企業(yè)開始逐漸向包括云安全、大數(shù)據(jù)在內(nèi)的廣義網(wǎng)絡(luò)安全服務(wù)轉(zhuǎn)型，將云安全相關(guān)產(chǎn)品與服務(wù)納入企業(yè)的服務(wù)平臺中。在過去的幾年里，實(shí)現(xiàn)網(wǎng)絡(luò)安全服務(wù)的途徑已經(jīng)轉(zhuǎn)變，以適應(yīng)安全服務(wù)周期發(fā)生變化，以客戶價值為中心，實(shí)現(xiàn)“網(wǎng)絡(luò)安全即是服務(wù)，網(wǎng)絡(luò)服務(wù)即是資產(chǎn)”。

數(shù)據(jù)信息是企業(yè)重要的商業(yè)資產(chǎn)。為維持企業(yè)核心競爭力，數(shù)據(jù)信息的保密性、完整性和可用性是至關(guān)重要的。因此，對網(wǎng)絡(luò)系統(tǒng)和硬件設(shè)備的安全管理必然是一個復(fù)雜的、高負(fù)荷的服務(wù)工作。那些針對關(guān)鍵數(shù)據(jù)資產(chǎn)的安全漏洞發(fā)起的攻擊，會對企業(yè)資產(chǎn)形成新威脅。通過對數(shù)據(jù)資產(chǎn)進(jìn)行安全評估，掌握數(shù)據(jù)資產(chǎn)安全狀況，這些服務(wù)工作是安全保護(hù)技術(shù)的基礎(chǔ)，也是數(shù)據(jù)資產(chǎn)安全的基石。

2.3 培養(yǎng)企業(yè)員工網(wǎng)絡(luò)安全意識

企業(yè)發(fā)生網(wǎng)絡(luò)入侵事故的原因，基本包括以下因素（2015年，國家網(wǎng)絡(luò)安全指揮中心數(shù)據(jù)）：

（1）底層缺陷（10%）：網(wǎng)絡(luò)技術(shù)與企業(yè)具體業(yè)務(wù)鏈接滯后導(dǎo)致無法避免的弱點(diǎn)；

（2）資源匱乏（15%）：企業(yè)缺乏先進(jìn)安全防護(hù)產(chǎn)品與技術(shù)投入；

（3）人員不足（25%）：缺乏必要的人才與應(yīng)急保障團(tuán)隊儲備；（4）數(shù)據(jù)信息安全意識薄弱（50%）：企業(yè)員工對網(wǎng)絡(luò)泄密風(fēng)險認(rèn)識不足，存在僥幸。

因此，提高企業(yè)基層員工網(wǎng)絡(luò)安全意識是促進(jìn)網(wǎng)絡(luò)安全健康發(fā)展必須工作。

3 提高網(wǎng)絡(luò)安全措施

面對層出不窮的網(wǎng)絡(luò)安全問題，國家出臺了包括《網(wǎng)絡(luò)安全法（草案）》、新《國家安全法》等多項法律法規(guī)，明確提出建設(shè)網(wǎng)絡(luò)與信息安全保障體系，將網(wǎng)絡(luò)安全上升至國家戰(zhàn)略高度。國家領(lǐng)導(dǎo)人習(xí)近平強(qiáng)調(diào)，“網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)。要樹立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力”。

為有效應(yīng)對云計算、大數(shù)據(jù)革命，針對數(shù)據(jù)信息安全的全新挑戰(zhàn)，需要建立統(tǒng)一、完整數(shù)據(jù)安全保護(hù)管理體系；企業(yè)應(yīng)重點(diǎn)關(guān)注用戶數(shù)據(jù)資產(chǎn)保護(hù)、數(shù)據(jù)共享合作、數(shù)據(jù)跨境流動等關(guān)鍵問題的安全管理。

3.1 加強(qiáng)用戶信息使用管理

（1）對用戶信息進(jìn)行關(guān)聯(lián)分析應(yīng)僅限于提供服務(wù)的用戶；

（2）脫敏后的用戶信息進(jìn)行恢復(fù)性評估；

（3）未脫敏的用戶信息不應(yīng)用于業(yè)務(wù)系統(tǒng)開發(fā)測試；

（4）MAC、IP地址等可能涉及用戶數(shù)據(jù)信息謹(jǐn)慎使用；

（5）用戶敏感信息的數(shù)據(jù)慎重使用。

3.2 數(shù)據(jù)泄露通知機(jī)制

（1）涉事主體在發(fā)生用戶信息泄露事件后，應(yīng)及時通知受影響用戶，提醒其采取防范措施；

（2）建立數(shù)據(jù)信息跨界、跨境流動數(shù)據(jù)安全評估機(jī)制；

（3）明確責(zé)任部門、評估流程、估標(biāo)標(biāo)準(zhǔn)。

4 結(jié)束語

數(shù)據(jù)信息規(guī)模化生產(chǎn)、分享、應(yīng)用的時代已經(jīng)來臨，數(shù)據(jù)信息資源和用戶的安全保障和治理，已經(jīng)成為企業(yè)網(wǎng)絡(luò)空間博弈的新焦點(diǎn)。面對新形勢新問題，堅持安全與網(wǎng)絡(luò)開放并重，責(zé)任與發(fā)展兼顧，實(shí)現(xiàn)“網(wǎng)絡(luò)安全即是服務(wù)，網(wǎng)絡(luò)服務(wù)即是資產(chǎn)”，共同完善網(wǎng)絡(luò)安全體系，為中國石油網(wǎng)絡(luò)數(shù)據(jù)資源和用戶信息提供全方位的保護(hù)。

[1]李曉蕾.大數(shù)據(jù)時代跨國石油公司的網(wǎng)絡(luò)安全防范措施.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014.

[2]阿里巴巴公司.網(wǎng)絡(luò)安全年會報告，2015.

[3]國家網(wǎng)絡(luò)安全指揮中心.網(wǎng)絡(luò)報告，2015.

[4]螞蟻金服.網(wǎng)絡(luò)安全年會報告，2016.