【《网络安全法》实施五周年】工业企业网络安全保障体系建设思考

《中华人民共和国网络安全法》（以下简称《网络安全法》）自2017年6月1日正式施行，至今已有五年时间。随着信息化和工业化的深度融合，传统封闭的工业控制系统由于工业互联网的发展，正在越来越多地暴露在互联网侧，由此引发的暴露面增加、APT攻击、勒索病毒等网络安全威胁事件日益增多。此外，工业控制系统自身脆弱性和工控协议的不安全性问题也格外突出，这些已经成为影响工业企业安全稳定运行的重要因素。

工业企业在网络安全管理体系薄弱、工业网络安全人才短缺等情况下，如何构建一套科学的、实用的网络安全保障体系，已经成为当下企业共同关注的焦点问题。

一、重视网络安全顶层设计，加强安全总体规划

《网络安全法》第三十三条提出：“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用”。

工业企业在新建、改造时应参照等级保护2.0、工业互联网企业网络安全分类分级指南等要求，根据三同步原则，提前进行风险评估、差距分析等工作。通过梳理工业控制系统的资产信息、网络拓扑、安全漏洞、关键业务信息流等情况，找到当前薄弱的环节，制定有效的安全加固措施，从而可以更全面地从技术、管理等方面，制定安全规划和改进方案，为后续的安全防御体系建设提供科学的规划决策依据。

二、明确企业主体责任，建立纵深安全防御体系

《网络安全法》第二十一条和第三十一条提出：“网络运营者应当按照网络安全等级保护制度的要求履行安全保护义务”等内容，明确了企业作为运营者的主体责任，建立纵深防御的安全保障体系。

在安全技术方面，以“一个中心、三重防护”为原则，从物理环境、区域边界、通信网络、计算环境、安全管理中心等方面，建设一套完整的安全防护体系，采购的产品或服务要符合安全可信的要求。同时，企业要强化安全可靠技术和产品的应用，提高自主可控水平。

在管理方面：需明确工业企业网络安全组织职责，建立健全网络安全管理制度和操作规程，对相关人员进行背景审查；制定网络安全应急预案库，并定期开展网络安全教育培训考核和应急演练，以便发生突发网络安全事件时能够快速响应，切实提升运营者的整体防护能力。

三、从建设到运营，打造工业企业安全运营中心

《网络安全法》第五条提出：“国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏”。第五十一条提出：“国家建立网络安全监测预警和信息通报制度。应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息”。

目前工业企业从纯安全产品建设，向整体安全运营能力建设转型。真正解决企业网络安全风险和隐患，需要建立以“资产、漏洞、威胁”为核心的安全监测运营闭环处置体系。实现从网络安全数据的采集、监测、防御、分析、处置、考核全流程化管理。

通过利用大数据安全建模，针对输入的多源日志、流量进行实时分析、关联分析，进行事件的聚合、精简、挖掘，对事件进行漏洞、资产关联分析，将系统实时风险全状况尽收眼底，帮助企业形成协同运营能力的新一代网络安全保障体系。

四、加大网络安全培训，持续提升企业人员能力

《网络安全法》第三条提出：“鼓励网络技术创新和应用，支持培养网络安全人才”。第二十条提出：“国家支持企业和教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流”。第三十四条中提出：“定期对从业人员进行网络安全教育、技术培训和技能考核”。

工业企业需要组织内部相关人员定期进行网络安全理论和实战培训，加强对工业控制系统安全、最新网络安全事件、安全技术、安全攻防等相关知识的培训。同时，在选择相关培训服务机构和讲师时需注意，选择有相关理论知识、实践案例、相关部门认定的服务机构，确保受培训人员能够学习到相关理论知识和实战经验，并获得相关考试证书等。

【总结】

《网络安全法》自正式实施起五年以来，为国家各行业网络安全建设提供了法律依据和建设指引方向。从工业企业视角，建立完整的工业网络安全保障体系需要从五个方面进行考虑：工业网络安全顶层规划设计、安全纵深防御体系建设、安全监测运营体系建设、安全人员培训及能力提升。

工业企业网络安全关系到国家经济社会可持续发展，是事关国家长治久安的重大战略问题。工业企业应全面落实国家政策法规，持续打造基于自身核心竞争力的工业网络安全保障体系，筑牢企业安全基座。（作者：长扬科技李庄、王宇、吴优）

原创文章，作者：lishengli，如若转载，请注明出处：http://www.lishengli.com/lee/394.html