我国“走出去”业务包括对外投资业务、对外承包工程业务和对外劳务合作业务等,其中,对外承包工程领域的业务额在“走出去”业务中的比重最大,业务模式涵盖对外投资业务和对外劳务合作业务,业务区域遍布全球各大洲,尤以“一带一路”地区为重点。
对外承包工程业务经历了 40 多年的发展,企业已有 4000 多家,每年的新签合同额多达 2000 多亿元,经营模式也在从工程总承包模式向投建营一体化转变。因此,随着业务额的增长、业务量的增加,以及业务数据量的增多,对外承包工程企业越来越重视信息安全(包括网络安全和数据安全)问题。
PART 1
对外承包工程业务是“走出去”业务的重要组成
对外投资业务、对外承包工程业务和对外劳务合作业务是中国企业“走出去”业务的三大组成部分。据商务部、外汇局统计,2019 年,我国境内投资者共对全球 167 个国家和地区的 6535 家境外企业进行了非金融类直接投资,累计投资 7629.7 亿元人民币;我国对外承包工程业务完成营业额 11927.5 亿元人民币,新签合同额 17953.3 亿元人民币;我国对外劳务合作派出各类劳务人员 48.7 万人(其中承包工程项下派出 21.1 万人,劳务合作项下派出 27.6 万人),且截至 2019 年末,我国在外各类劳务人员为 99.2 万人。
从业务额来看,对外承包工程业务无论是新签合同额还是完成营业额,都比对外投资业务高出 1.5 倍以上。可见,对外承包工程业务是“走出去”业务的重要组成。
从业务场景看,对外承包工程业务包括对外投资业务、对外劳务派遣业务、海外运营业务等,所以,其业务场景能够覆盖到对外投资业务场景和对外劳务合作业务场景。
从业务地区看,中国对外投资业务的地区分布与中国对外承包工程业务的地区分布都以亚洲、非洲、拉丁美洲、欧洲为主,面临的法律环境、政治环境、网络环境等十分相似。
综上,对外承包工程业务是“走出去”业务的重要组成部分,它在业务管理过程中遇到的信息安全问题,代表了中国企业在全球化业务管理中面临的信息安全问题。
在国际形势纷繁复杂和风险隐患不断加剧的背景下,对外承包工程企业境外机构的信息安全形势研判能力、风险评估能力、安全防范措施、防范恶性事件意识明显滞后,甚至存在空白,“高风险、低安防”问题日益突出。如何有效保护对外承包工程企业境外机构的信息安全利益,探索中国特色的信息安全防护体系,已属当务之急。
在清晰发展之道之前,首先需要厘清安全形势。对外承包工程企业在全球化业务中主要遇到人员安全、设备安全、环境安全、线路安全和云安全等五方面的风险隐患。
1、人员安全
安全意识最薄弱的环节往往会成为重要的信息安全泄露源,根据计算机安全协会 CSI 发布的《计算机犯罪与安全调查报告》,有 85% 及以上的安全威胁来自内部疏忽和外部窃取而导致的数据丢失,其中最主要的信息安全事件为内部人员泄露。
远程协作办公环境下,安全措施参差不齐的智能手机、电脑终端、文印终端频繁访问企业数据,数据移动会增加数据意外泄露或者被恶意窃取的风险,这会对对外承包工程企业数据的机密性造成威胁。
政治环境。对外承包工程企业海外机构驻所地的政治变动、政策调整、法律更新,都有可能使得企业的信息安全处于危险之中,进而使商业利益甚至国家安全蒙受损失。这一方面的信息安全风险主要来自外部的安全审查,实际上,各国海关等执法机构会在执法过程中对过境设备、存储介质进行查封、扣押,对存储信息进行检查,这会对商业敏感信息产生一定威胁。
网络环境。对外承包工程企业海外机构的办公场所大多为租用,对包括网络环境在内的周边环境难以进行深入调查,部分项目部甚至因地处偏远而“因陋就简”,未考虑必要的网络安全防护措施,未知的网络环境会为企业信息安全留下巨大安全隐患。
数据会通过无线网、移动通信网络、光纤等通信载体来实现远程传输,但这些基于线路的通信载体本身就存在不少漏洞和安全隐患。对外承包工程企业海外项目一般会通过服务外包形式购买专业的国际通信服务,但专业服务并不意味着完全的信息安全。
随着云计算解决方案优势的显现,越来越多的企业选择使用云服务。由于云服务本身具有虚拟化技术、资源共享、相对复杂的架构等特性,与传统信息安全防护有所差异,面临着各类信息安全问题。
新经贸环境以及新基建带来了新情况和新挑战,对外承包工程企业应肩负历史重任,树立新的信息安全观,始终牢记维护信息安全是维护国家安全、网络空间主权、社会公共利益的基本任务,并尽快实现信息安全防护体系的全面升级,尽快突破软硬件瓶颈的不利态势,服务于国家需求和全球化产业布局。
1、定期组织安全培训和演练提升人员安全意识
企业海外派驻员工信息安全意识水平的高低,直接影响到企业信息安全工作的成败,对海外客户信息和客户资金的安全至关重要。在派驻员工赴外办公之前,企业信息安全负责人应为包括高级管理者、中层管理者、业务人员、信息技术人员、行政综合人员在内的不同岗位的员工,安排针对不同岗位职责的差异化信息安全培训与演练。同时,企业应尽可能地将员工的安全意识和安全行为融入到公司的整体安全战略之中。在安全意识培育方面,可定期邀请员工参观企业的安全运营中心,了解安全专家如何通过过滤垃圾邮件、防御网络攻击等技术手段,保护企业信息资产不被恶意入侵。在安全行为警示方面,可不定期地对员工进行“钓鱼训练”,培养员工的信息安全习惯与意识。
案 例:欧洲的信息安全人才队伍建设
2019 年,欧盟委员会发布了《数字单一市场:建设欧洲网络安全能力中心》提案,并启动了若干试点项目,旨在制定欧洲网络安全研究和创新通用路线,同时推进网络安全技能培训课程。2019 年,欧盟还发布了《数字教育行动计划》,提出要“开展针对教育工作者、家长和学习者的提高认识的活动,促进个体的网络安全、信息安全和媒介素养意识”。英国在《国家网络安全战略2016-2020》提出了专门的网络信息安全人才技能战略,要求加强网络安全教育与技能培训,满足公私部门网络安全技能需求。德国等同样将网络安全人才培养作为国家网络安全战略的重要内容。
欧洲数据单一市场:建设欧洲网络安全能力中心
2、信创产品保证终端设备的安全可靠
自主安全可控是实现信息安全的重要“基石”,也是对外承包工程企业海外经营信息化的必然选择。“信创”是信息技术应用创新的简称,打破垄断、构建安全可控的信息技术体系,是我国信创产业发展的重要使命。经过多年努力,国产信创软硬件产品大多已达“可用”阶段,持续向“好用”阶段发展。对外承包工程企业在为海外派驻员工配置办公终端设备时,应优先关注信创终端产品,通过选购涉密计算机或非涉密计算机以实现终端设备的安全可控。
解决方案:奇安信—合规一体机解决方案
合规一体机聚焦等保场景,提供快速合规、按需赋能、实用有效的一体化等保合规产品,包括安全管理平台、安全资源池、安全态势感知等核心功能。
合规一体机提供了统一的安全管理平台,平台内集成了丰富的安全组件,包括智慧防火墙、IPS、VPN、WAF、堡垒机、数据库审计、日志审计、主机安全、网络安全审计等安全产品组件,从网络、主机、应用等多个层面保障客户的业务安全,是一个架构先进、适用范围广的统一安全管理产品。
3、云-管-端的办公模式是解决环境不可控的有效办法
分布式信息化架构体系应是对外承包工程企业远程全球化业务协作能力的重要转型方向,通过桌面虚拟化、管道安全加固和构建在云端的系统平台,将企业内分散的人员、设备、场地、系统和数据实时链接起来,形成逻辑上的资源集中与共享、物理上的分布式运行与协作。特别是,为员工构筑实时、安全、稳定的沟通能力是企业在信息化转型过程中的首要考量。
解决方案:
金山办公—文档安全解决方案
WPS Office 是金山办公自主研发的办公解决方案,代表性技术有 WPS 内核引擎技术、基于大数据分析的知识图谱技术、基于云端的移动共享技术、文档智能美化技术、文档安全等关键技术。其中,文档安全是 WPS 解决方案保障企业数据安全的重要手段。具体地,在文档权限控制方面,提供创建加密文档、权限管理、权限申请与审批、离线使用、文档外发、日志审计等功能。在文档溯源方面,能够针对不同企业环境提供多种溯源方案,支持水印隐写机制,支持打印、截屏、拍摄等多泄密渠道溯源。在密级关键词方面,可自动扫描用户当前打开文档内容,及时提醒用户文档中是否包含特定关键词信息,并引导用户快速定位处理;还可自动上报涉密检查结果,支持中高级管理人员对单位内涉密情况作出及时的决策处理。
4、未雨绸缪统筹规划设计信息安全防护体系
信任技术是内生安全的重要发展方向。对于对外承包工程企业而言,零信任技术能够通过“按需受控访问”来增强对企业核心业务和数据资产的保护,构建更安全的远程办公网络。对外承包工程企业应本着“预防为主、建章立制,加强管理,重在治本”的原则,设定明确的信息安全策略,并在该策略的框架下制定全面完整的信息安全制度。
解决方案:
中测安华—整体网络安全规划解决方案
中测安华为国家关键基础设施及行业用户提供“安全、自主、可控、可信”的保障体系,提供涵盖威胁监测分析、数据安全保护、漏洞风险管控等的全生命周期整体解决方案。在整体网络安全规划能力方面,中测安华能够结合客户的基础设施建设、业务系统、安全防护、安全管理等现状,分析出现存安全风险。参照国家和行业监管相关标准要求,梳理企业安全现状和存在的威胁和风险,形成安全差距分析报告,并提出整改意见。建立总体网络安全框架,并确保框架符合客户的全局安全需求。最终形成企业级可落地执行的整体安全设计方案。同时,在夯实客户信息安全管理的基础上,增强企业人员信息安全意识、健全信息安全体系、加强信息安全协同和强化信息安全管控等方面工作,提升集团总体信息安全水平和安全风险防范能力。
5、专网专线传输最大限度保证线路安全
专网专线可以通过网络切片技术为企业提供网络资源在业务层面的对外隔离,保证企业专线业务流量与其他企业流量、互联网流量的相互隔离。对外承包工程企业在购买国际通信线路或者搭建专网专线时,应优先采购国产自主厂商提供的组网服务,尽可能规避海外不可信电信服务。此外,对于有特殊保护需求的敏感数据传输和信息通讯,对外承包工程企业可以选择通过成熟的非对称加密技术、量子技术等方式来实现加密通信。
解决方案:
中兴通讯—视频会议解决方案
中兴通讯长期专注于移动保密会议领域,致力于打造保密级高清视讯沟通平台,目前已服务四大运营商,覆盖多个国家骨干网和省级骨干网。中兴通讯视频会议系统提供融合的混合云部署方式,可实现云-管-端的全媒体加密,双向认证提高环境安全性,支持会议过程中基于人工智能技术的智能安全识别。系统通过采用国密标准算法进行数据加密,在确保高清画质的同时,加密算法能够解决通信传输过程中的信息泄露、数据窃听等风险。同时,会议系统内置了抗丢包技术,适用于不同的网络环境。在系统运维方面,中兴通讯还开发了 inSight 智能运维系统,对系统资源、终端及网络情况进行运维管理以提供更高的安全保障。整个系统提供能力开放接口,可以满足远程办公协作多种场景业务应用。
