演讲全文如下:
各位来宾,大家下午好!我今天讲的题目是中国企业海外网络安全的对策措施,这是一个命题作文。海外利益的主体和内容。这是第一部分,总共分三部分。
第一部分,中国海外企业网络安全的方针政策。
海外利益的主体和内容。海外利益包括国家、企业、个人等多元行为体在境外存在的利益。中国的海外利益保护不仅涉及中国的境外投资、企业经营、贸易往来,还涉及人员安全、国家形象等多方面。
海外利益的保护政策。我国高度重视海外利益保护工作。二十大报告指出,要加强海外安全保障能力建设,维护我国公民、法人在海外的合法权益,境外企业和对外投资安全是海外利益安全的重要组成部分。要加强海外利益保护,确保海外重大项目和人员机构安全,要完善共建“一带一路”安全保障体系,坚决维护主权、安全、发展利益,为我国改革发展稳定营造良好的外部环境。
当前,国际环境中国海外利益存在诸多风险,包括安全风险、政治风险、社会风险、经济风险、突发事件风险、基础设施风险等。海外利益的保护体系,我国通过经济、政治、文化等多类手段进行海外利益保护。要坚持党对境外企业和对外投资安全工作的领导,在国家安全体系建设总体框架下,完善对境外企业和对外投资的统计监测。加强监督管理,健全法律保护,加强国际安全合作,建立统一高效的境外企业和对外投资安全的保护体系。
目前,保护体系有三种模式。一是外交保护模式,这是常用的。二是立法保护模式,比如美国的长臂管辖,把国内法当成国际法执行。三是安全聚合。是一些雇佣兵公司常用的模式。
第二部分,中国海外企业网络安全风险问题。
中国企业网络安全的风险,有与国内的企业或者是国际其他企业一样的特征,既存在系统安全稳定性的问题,对企业的信息化、数字化业务的可持续性造成影响,也存在业务信息、数据安全性问题,对企业信息、数据机密性、完整性造成影响,同时中国海外企业网络安全面临的风险又呈现出一些独特的性质。比如,海外的政治风险,海外企业所在国家,因为宗教、政府的政治、军事等影响,不断加强其国内互联网管控,有可能造成互联网中断、企业业务中断、业务传输中断、电力中断等等,影响企业业务系统无法运行。
合规性风险。每个国家的网络安全法律法规和数据保护政策存在显著差异。比如,欧盟的《通用数据保护条例》、美国的大量网络安全相关法案、中国的数据出境法律法规等对海外企业的业务存在较大约束,各国网络安全立法进程加快,随着技术和应用的发展,网络安全的法律法规涉及的领域更为广泛,海外企业的网络安全合规性风险加大。
不同的国家标准不一样,有些国家严格,有些国家监管较为宽松,使得我们的企业在全球范围内执行统一的安全防护措施及合规政策变得比较复杂。我们分析了美洲、欧洲、中东、亚太、中亚各国的法律条文,不尽相同。有很多的个性化、个性化的要求,这就需要企业根据实际情况制定“一国一策”的应对方案,确保合规。
网络攻击风险。APT的地缘属性、战略属性、军事对抗属性将越来越强,APT攻击具有长期潜伏、目标明确、复杂隐蔽等特点,对我国威胁较大,海外企业是重要目标和入口。DDoS攻击是通过向目标网络或者服务器发送大量请求,造成系统资源过载,进而导致服务中断或者网站瘫痪,危及业务,造成经济损失。随着国际政治、经济形势不断变化,中国企业走向海外在所在国进行生产,数字化程度不断提高,生产系统、管理系统等遭受DDoS攻击概率不断提高,造成后果和损失也在加大。恶意软件和勒索软件的攻击。海外企业、海外机构是勒索软件攻击的目标,网络攻击者通过恶意勒索软件加密受害者文件,勒索支付赎金,以达到非法的目的。
同时还面临着更多的内部威胁。海外企业的人员构成复杂,信息系统的权限种类多,权限的乱用可能造成威胁大于外部攻击,同时很多企业的海外分支机构、网络和系统本身体系化程度不高,网络安全脆弱性较高,容易被攻击者利用。我们总结了海外内部攻击的常见类型,比如恶意内部人员无意的权限滥用、权限管理的复杂性等等。网络设备安全,系统更新滞后等等。
第三方供应链风险。海外企业供应链更为复杂,对外部服务商安全控制力弱,存在断供风险,同时在供应链生产、分发、部署等环节,不可控因素较多,如软件的研发、封装、分发都有可能遭到恶意软件的植入,硬件产品在生产、交付等环节都可能存在被利用的漏洞。
企业数据的风险。由于跨境业务场景复杂多样,数据传输链条长,存在较高安全风险。海外企业网络环境存在多样性,网络监测防护措施少,窃听攻击、中间人攻击事件屡有发生。
企业的数据信息安全面临巨大的风险,海外机构作为保护数据安全,争夺经济利益甚至是维护国家安全的前沿阵地,更是举步维艰。主要的不可控因素包括环境不可控、设备不可控、线路不可控、人员不可控。
第三部分,中国海外企业网络安全的对策措施。
总体思路。企业从管理和技术两个层面开展境外的网络安全建设,还有一个层面就是决策,决策一般是在国内。形成闭环的关系,从管理上落实合规要求,确定责任主体,形成管理制度,建立通报机制,定期进行安全检查,开展风险评估,监督整改,定期组织安全培训提升队伍能力,增强全员安全意识。从技术上扫除防护盲区,加强防护水平,形成网络安全态势感知和主动防御能力。总体上海外企业网络安全工作要把公安部“三化六防”理念推行到海外,依托体系化思路进行设计和实施网络安全规划,在海外企业的网络安全建设中,企业是主体、员工是基础、行业是关键、国家是保障、国际合作是助力。
总体架构。落实境外的网络安全技术防护措施,依托先进的密码、身份认证、加密通信等技术,从终端安全、网络安全、系统安全、应用安全四个层面建设用户、数据、设备与网络之间的信息传递、保存、分发的跨境信息安全保障体系。加强境外网络安全防护演练,应急处置演练,提升对网络攻击和网络漏洞的发现、分析和处置能力。加强境外网络安全信息汇集分析共享,建设安全管理中心平台,提高网络安全的决策支持。
网络安全管理体系。压实网络安全的三道防线的职责,逐级明确领导、组织、机构和人员,落实保障措施,制定系统安全、网络安全、数据安全、个人信息保护和供应链安全等领域实施细则,完善网络安全事件的应急、风险评估等规范,细化网络安全的工作机制,创新人才培养、选拔、使用方式,调动人员工作积极性,加强战略合作,提高网络安全人员知识、情报、能力共享的水平。
夯实网络安全技术体系。统一企业的网络安全功能架构和建设维护标准,形成广域网、海外专网、互联网、卫星局域网、生产网和公共网的全覆盖,提高电路资源的质量和灵活性,降低数据传输延迟、缩短变更周期,采用专线等多种接入模式,通过混合云模式实现海外分支机构全覆盖,业务随需而变,选择回国业务的数据落地的合适区域,对数据进行安全过滤后,按需回传至国内的数据中心,满足国家法律法规合规性要求。
数据安全监测。以企业出境数据为保护对象,开展海外企业数据出境安全评估、检查、监测及保护,整体掌握出境数据的流动态势,辅助业务决策,降低数据安全的风险。要确保海外业务信息机密性、完整性。密码和相关技术的推广和应用,推广国产密码应用,打造跨境国产密码运营的监管系统,建成跨境数据保护密码基础设施,提供跨境数据传输安全能力,形成海外商密系统入网要求,平台将为海外业务提供跨境文档加密、安全移动办公、海外VPN接入、专线链入加密等基于国产商用密码技术的跨境数据传输加密服务。
从中国石油海外网络安全实践中,我们总结出一个需求,海外经常会发生战争、突发事件,这种情况下我们的数据还有相关的系统怎么办?中石油组织研发了一套系统,是一个便携式的设备,把私有云,这套系统本身带有私有云,把相关办公软件、业务软件、安全防护都集成在其中。右下角这个表,有硬件清单还有性能参数、软件清单等等,这样一旦发生突发事件,比如秘鲁突发抢劫,我们就可以拎着当地机构的数据中心走。把当地的环境都集中在这一个系统里面。目前这个设备在迪拜、印尼等数据中心已经部署。
网络安全监测。加强海外企业的网络安全态势监控,技术可以包括平台层、数据层和应用层的监测,同时与企业网络安全管理体系有机结合,及时掌握企业风险,接入的数据包括网络行为数据、关联信息数据、知识数据、情报数据,对提高海外企业的网络安全的防护意义重大。
在应急指挥方面,提高海外企业的网络安全事件应急处置水平,强化实战导向和智慧应急引领,通过信息化手段,将海外企业的网络与信息安全突发事件专项应急预案落地落实,将风险降到最低。
海外安全运行体系。组织开展网络安全的检查,实网演练、实战培训,关口前移,主动查找隐患,平战结合,落实整改加固措施,组织实战对抗、钓鱼演练、桌面推演等活动,加强网络安全实战对抗能力建设,加强网络安全宣传,发挥全体员工网络安全能力,群防群治,全方位提升网络安全保障能力,加强国际交流,及时掌握海外国家和地区政治变动对网络安全的影响,利用好国内的网络安全通知、通报体制机制的经验,国内的海外共享情报技术人才等,构建适应海外企业的网络安全运行体系和应急指挥体系,提高应对风险的能力。
