【国企改革观象台】开展体系化能力建设,筑牢网络安全基石 - 国企十四五安全规划的思考(下)
上期【国企改革观象台】谈论到十四五安全规划对于国有企业的重要意义以及当前安全管理工作中面对的主要挑战和问题,同时介绍了十四五安全规划中如何构建全面覆盖的管理体系和自适应的运营支持架构。本期将继续介绍国企十四五安全规划中的技术架构体系、数据安全体系以及评估考核体系相关内容。
国企网络安全规划要点建议
以应用场景为导向,驱动IT技术能力提升
图:安全技术框架示例
网络安全技术架构作为安全管理及运营的保障,在满足自主可控全面合规的基础上,应践行安全技术即服务的管理理念,将技术建设嵌入到IT开发、IT运营、业务管控等日常工作流程中。同时以应用场景为导向,充分识别信息技术与网络安全技术融合创新的典型应用场景,包括企业传统应用以及“新基建”战略下的全新技术应用场景。基于已识别的应用场景,将安全控制和安全目标逐层分解,根据物理、网络、主机、应用和数据等不同层面的特点和保护要素制定相应控制措施,从而实现针对场景的全面安全防护目标,保障并驱动安全技术能力提升。
图:安全技术应用场景
依据工业和信息化部《网络安全技术应用试点》([2020] 190号文)要求,国有企业安全技术规划中应结合自身业务发展需求,重点关注5G、工业互联网、车联网等十大类应用场景下的安全技术设计。各业务场景安全技术规划要点建议如下:
关注安全合规,构建数据安全体系
图:数据安全参考框架
数据是企业数字化转型的基础,安全是企业发展的底线,国有企业作为数据的重要集散地,面临数据集中风险、数据滥用和合规风险等。国务院印发《促进大数据发展行动纲要》中指出,大数据发展三大主要任务之一即是健全数据安全保障体系,强化安全支撑。《“十三五”国家信息化规划》第四部分“重大任务和重大工程”中也明确指出,要“实施数据安全保障工程,加强数据资源在采集、传输、存储、使用和开放等环节的安全保护”。
- 数据产生阶段进行自动识别和标记
通过构建数据分类分级标准,在数据产生阶段对数据资产进行自动发现识别。国有企业数据按照重要程度和涉密属性进行分级和定级,通常可分为涉密数据、敏感数据、金融业务数据、内部经营管理数据、可对外公开数据等类型。分级标准确定后,在数据接入、处理阶段,对数据打相关标签。数据分级越高,其访问主体需要的权限要求越高。
- 数据存储阶段关注数据加密和防泄漏
对企业敏感数据及个人隐私数据进行加密,并采用独立的硬件管理密钥。在终端部署网络数据防泄漏控制,对数据进行内容敏感性检查,避免企业敏感数据的泄露。
- 数据传输阶段关注隔离交换、传输加密
采用隔离交换技术实现数据在不同网络域中的传输,对数据平台的传输链路进行严格加密,不同级别数据采用不同的加密方式,使用数字证书技术对信道进行加密以保证数据传输的机密性和完整性。
- 数据使用和披露阶段注意授权管理、脱敏
建立数据分级授权管理体系,根据授权主客体及运行环境属性等要素进行持续授权认证。同时在安全域边界部署数据脱敏系统,保障交付的数据不含有敏感信息。
- 数据销毁阶段关注秘钥销毁和物理销毁相结合
加密数据销毁时同时销毁相关数据加密密钥。在物理磁盘报废时,也应通过对存储介质进行消磁、破碎等方式清除数据,并对数据清除操作保存完整记录。
健全网络安全评价体系,实现管理闭环
图:安全评价考核体系
建立符合国有企业实际情况的网络安全评价模型及考核机制,从安全事件、系统漏洞等不同角度出发,基于网络安全保障体系建设要素和权重,评估每个阶段发展的均衡情况及建设进度,验证企业各层级网络安全能力,并将评估结果与人员绩效进行挂钩,指导后续工作的优化提升,从而形成网络安全管理闭环。安全评价及考核主要方法步骤建议如下:
| 1、评价准备 | 2、方案模型设计 | 3、数据分析处理 | 4、结果输出 |
|
|
|
|
图:安全评价考核流程示例
在新一轮技术革命和产业变革下,网络安全面临着前所未有的挑战。国有企业以十四五规划为抓手,开展体系化安全能力建设,不仅是践行和响应国家网络安全战略,同样是保障企业未来发展的基石。
