我國“走出去”業務包括對外投資業務��、對外承包工程業務和對外勞務合作業務等�,其中,對外承包工程領域的業務額在“走出去”業務中的比重最大����,業務模式涵蓋對外投資業務和對外勞務合作業務,業務區域遍布全球各大洲����,尤以“一帶一路”地區為重點。
對外承包工程業務經歷了 40 多年的發展��,企業已有 4000 多家,每年的新簽合同額多達 2000 多億元��,經營模式也在從工程總承包模式向投建營一體化轉變�����。因此���,隨著業務額的增長�、業務量的增加���,以及業務數據量的增多���,對外承包工程企業越來越重視信息安全(包括網絡安全和數據安全)問題。
PART 1
對外承包工程業務是“走出去”業務的重要組成
對外投資業務�、對外承包工程業務和對外勞務合作業務是中國企業“走出去”業務的三大組成部分。據商務部�����、外匯局統計�����,2019 年�����,我國境內投資者共對全球 167 個國家和地區的 6535 家境外企業進行了非金融類直接投資�,累計投資 7629.7 億元人民幣;我國對外承包工程業務完成營業額 11927.5 億元人民幣��,新簽合同額 17953.3 億元人民幣�;我國對外勞務合作派出各類勞務人員 48.7 萬人(其中承包工程項下派出 21.1 萬人,勞務合作項下派出 27.6 萬人)���,且截至 2019 年末��,我國在外各類勞務人員為 99.2 萬人�。
從業務額來看���,對外承包工程業務無論是新簽合同額還是完成營業額�,都比對外投資業務高出 1.5 倍以上��??梢姡瑢ν獬邪こ虡I務是“走出去”業務的重要組成��。
從業務場景看,對外承包工程業務包括對外投資業務���、對外勞務派遣業務����、海外運營業務等�����,所以�,其業務場景能夠覆蓋到對外投資業務場景和對外勞務合作業務場景。
從業務地區看����,中國對外投資業務的地區分布與中國對外承包工程業務的地區分布都以亞洲、非洲��、拉丁美洲����、歐洲為主,面臨的法律環境���、政治環境����、網絡環境等十分相似�����。
綜上�,對外承包工程業務是“走出去”業務的重要組成部分,它在業務管理過程中遇到的信息安全問題�,代表了中國企業在全球化業務管理中面臨的信息安全問題。
在國際形勢紛繁復雜和風險隱患不斷加劇的背景下���,對外承包工程企業境外機構的信息安全形勢研判能力�、風險評估能力�、安全防范措施、防范惡性事件意識明顯滯后���,甚至存在空白��,“高風險����、低安防”問題日益突出。如何有效保護對外承包工程企業境外機構的信息安全利益���,探索中國特色的信息安全防護體系����,已屬當務之急�����。
在清晰發展之道之前��,首先需要厘清安全形勢�。對外承包工程企業在全球化業務中主要遇到人員安全、設備安全��、環境安全��、線路安全和云安全等五方面的風險隱患���。
1�����、人員安全
安全意識最薄弱的環節往往會成為重要的信息安全泄露源��,根據計算機安全協會 CSI 發布的《計算機犯罪與安全調查報告》����,有 85% 及以上的安全威脅來自內部疏忽和外部竊取而導致的數據丟失,其中最主要的信息安全事件為內部人員泄露�����。
遠程協作辦公環境下����,安全措施參差不齊的智能手機���、電腦終端����、文印終端頻繁訪問企業數據�����,數據移動會增加數據意外泄露或者被惡意竊取的風險�����,這會對對外承包工程企業數據的機密性造成威脅。
政治環境。對外承包工程企業海外機構駐所地的政治變動����、政策調整、法律更新�����,都有可能使得企業的信息安全處于危險之中���,進而使商業利益甚至國家安全蒙受損失�。這一方面的信息安全風險主要來自外部的安全審查��,實際上�,各國海關等執法機構會在執法過程中對過境設備、存儲介質進行查封���、扣押�����,對存儲信息進行檢查����,這會對商業敏感信息產生一定威脅。
網絡環境�����。對外承包工程企業海外機構的辦公場所大多為租用��,對包括網絡環境在內的周邊環境難以進行深入調查����,部分項目部甚至因地處偏遠而“因陋就簡”�,未考慮必要的網絡安全防護措施,未知的網絡環境會為企業信息安全留下巨大安全隱患��。
數據會通過無線網����、移動通信網絡、光纖等通信載體來實現遠程傳輸���,但這些基于線路的通信載體本身就存在不少漏洞和安全隱患����。對外承包工程企業海外項目一般會通過服務外包形式購買專業的國際通信服務�����,但專業服務并不意味著完全的信息安全����。
隨著云計算解決方案優勢的顯現����,越來越多的企業選擇使用云服務。由于云服務本身具有虛擬化技術��、資源共享��、相對復雜的架構等特性����,與傳統信息安全防護有所差異�,面臨著各類信息安全問題��。
新經貿環境以及新基建帶來了新情況和新挑戰����,對外承包工程企業應肩負歷史重任,樹立新的信息安全觀����,始終牢記維護信息安全是維護國家安全、網絡空間主權�、社會公共利益的基本任務,并盡快實現信息安全防護體系的全面升級��,盡快突破軟硬件瓶頸的不利態勢��,服務于國家需求和全球化產業布局��。
1�、定期組織安全培訓和演練提升人員安全意識
企業海外派駐員工信息安全意識水平的高低�����,直接影響到企業信息安全工作的成敗���,對海外客戶信息和客戶資金的安全至關重要�����。在派駐員工赴外辦公之前����,企業信息安全負責人應為包括高級管理者、中層管理者�、業務人員、信息技術人員�����、行政綜合人員在內的不同崗位的員工�,安排針對不同崗位職責的差異化信息安全培訓與演練。同時��,企業應盡可能地將員工的安全意識和安全行為融入到公司的整體安全戰略之中���。在安全意識培育方面�,可定期邀請員工參觀企業的安全運營中心�����,了解安全專家如何通過過濾垃圾郵件、防御網絡攻擊等技術手段���,保護企業信息資產不被惡意入侵���。在安全行為警示方面,可不定期地對員工進行“釣魚訓練”���,培養員工的信息安全習慣與意識���。
案 例:歐洲的信息安全人才隊伍建設
2019 年,歐盟委員會發布了《數字單一市場:建設歐洲網絡安全能力中心》提案�����,并啟動了若干試點項目�,旨在制定歐洲網絡安全研究和創新通用路線,同時推進網絡安全技能培訓課程�����。2019 年����,歐盟還發布了《數字教育行動計劃》,提出要“開展針對教育工作者�、家長和學習者的提高認識的活動,促進個體的網絡安全���、信息安全和媒介素養意識”�。英國在《國家網絡安全戰略2016-2020》提出了專門的網絡信息安全人才技能戰略�,要求加強網絡安全教育與技能培訓,滿足公私部門網絡安全技能需求����。德國等同樣將網絡安全人才培養作為國家網絡安全戰略的重要內容。
歐洲數據單一市場:建設歐洲網絡安全能力中心
2��、信創產品保證終端設備的安全可靠
自主安全可控是實現信息安全的重要“基石”��,也是對外承包工程企業海外經營信息化的必然選擇��?����!靶艅摗笔切畔⒓夹g應用創新的簡稱����,打破壟斷����、構建安全可控的信息技術體系��,是我國信創產業發展的重要使命����。經過多年努力,國產信創軟硬件產品大多已達“可用”階段�,持續向“好用”階段發展。對外承包工程企業在為海外派駐員工配置辦公終端設備時�,應優先關注信創終端產品,通過選購涉密計算機或非涉密計算機以實現終端設備的安全可控��。
解決方案:奇安信—合規一體機解決方案
合規一體機聚焦等保場景��,提供快速合規���、按需賦能��、實用有效的一體化等保合規產品��,包括安全管理平臺、安全資源池、安全態勢感知等核心功能�。
合規一體機提供了統一的安全管理平臺,平臺內集成了豐富的安全組件�����,包括智慧防火墻�����、IPS���、VPN����、WAF��、堡壘機����、數據庫審計、日志審計��、主機安全�、網絡安全審計等安全產品組件����,從網絡����、主機、應用等多個層面保障客戶的業務安全�,是一個架構先進、適用范圍廣的統一安全管理產品�。
3、云-管-端的辦公模式是解決環境不可控的有效辦法
分布式信息化架構體系應是對外承包工程企業遠程全球化業務協作能力的重要轉型方向����,通過桌面虛擬化、管道安全加固和構建在云端的系統平臺��,將企業內分散的人員��、設備����、場地、系統和數據實時鏈接起來�����,形成邏輯上的資源集中與共享、物理上的分布式運行與協作���。特別是,為員工構筑實時���、安全���、穩定的溝通能力是企業在信息化轉型過程中的首要考量。
解決方案:
金山辦公—文檔安全解決方案
WPS Office 是金山辦公自主研發的辦公解決方案�����,代表性技術有 WPS 內核引擎技術�、基于大數據分析的知識圖譜技術、基于云端的移動共享技術���、文檔智能美化技術�、文檔安全等關鍵技術����。其中,文檔安全是 WPS 解決方案保障企業數據安全的重要手段����。具體地���,在文檔權限控制方面,提供創建加密文檔�����、權限管理���、權限申請與審批�、離線使用���、文檔外發����、日志審計等功能����。在文檔溯源方面,能夠針對不同企業環境提供多種溯源方案�,支持水印隱寫機制,支持打印����、截屏����、拍攝等多泄密渠道溯源���。在密級關鍵詞方面,可自動掃描用戶當前打開文檔內容��,及時提醒用戶文檔中是否包含特定關鍵詞信息��,并引導用戶快速定位處理����;還可自動上報涉密檢查結果,支持中高級管理人員對單位內涉密情況作出及時的決策處理����。
4、未雨綢繆統籌規劃設計信息安全防護體系
信任技術是內生安全的重要發展方向���。對于對外承包工程企業而言�,零信任技術能夠通過“按需受控訪問”來增強對企業核心業務和數據資產的保護��,構建更安全的遠程辦公網絡。對外承包工程企業應本著“預防為主����、建章立制,加強管理��,重在治本”的原則�����,設定明確的信息安全策略����,并在該策略的框架下制定全面完整的信息安全制度。
解決方案:
中測安華—整體網絡安全規劃解決方案
中測安華為國家關鍵基礎設施及行業用戶提供“安全�、自主、可控���、可信”的保障體系��,提供涵蓋威脅監測分析�、數據安全保護�����、漏洞風險管控等的全生命周期整體解決方案。在整體網絡安全規劃能力方面�����,中測安華能夠結合客戶的基礎設施建設�����、業務系統�����、安全防護����、安全管理等現狀�,分析出現存安全風險。參照國家和行業監管相關標準要求��,梳理企業安全現狀和存在的威脅和風險�����,形成安全差距分析報告�����,并提出整改意見。建立總體網絡安全框架�,并確保框架符合客戶的全局安全需求����。最終形成企業級可落地執行的整體安全設計方案。同時���,在夯實客戶信息安全管理的基礎上����,增強企業人員信息安全意識��、健全信息安全體系�、加強信息安全協同和強化信息安全管控等方面工作,提升集團總體信息安全水平和安全風險防范能力�。
5、專網專線傳輸最大限度保證線路安全
專網專線可以通過網絡切片技術為企業提供網絡資源在業務層面的對外隔離��,保證企業專線業務流量與其他企業流量��、互聯網流量的相互隔離。對外承包工程企業在購買國際通信線路或者搭建專網專線時��,應優先采購國產自主廠商提供的組網服務�����,盡可能規避海外不可信電信服務���。此外�,對于有特殊保護需求的敏感數據傳輸和信息通訊�,對外承包工程企業可以選擇通過成熟的非對稱加密技術、量子技術等方式來實現加密通信����。
解決方案:
中興通訊—視頻會議解決方案
中興通訊長期專注于移動保密會議領域,致力于打造保密級高清視訊溝通平臺����,目前已服務四大運營商����,覆蓋多個國家骨干網和省級骨干網。中興通訊視頻會議系統提供融合的混合云部署方式����,可實現云-管-端的全媒體加密��,雙向認證提高環境安全性��,支持會議過程中基于人工智能技術的智能安全識別��。系統通過采用國密標準算法進行數據加密�����,在確保高清畫質的同時�,加密算法能夠解決通信傳輸過程中的信息泄露�����、數據竊聽等風險���。同時���,會議系統內置了抗丟包技術,適用于不同的網絡環境��。在系統運維方面����,中興通訊還開發了 inSight 智能運維系統�����,對系統資源�����、終端及網絡情況進行運維管理以提供更高的安全保障�����。整個系統提供能力開放接口����,可以滿足遠程辦公協作多種場景業務應用��。
