5月26日，2017中國國際大數據產業博覽會在貴陽開幕，360威脅情報中心發布《“一帶一路”企業安全研究報告》（以下簡稱“報告”），這是首份針對參與“一帶一路”建設央企的網絡安全與信息化建設狀況的專題報告。報告詳述了央企在“一帶一路”建設中面臨的網絡安全挑戰，并呼吁國家有關部門出臺政策鼓勵網絡安全企業隨“一帶一路”走出去為央企保駕護航，實現發展與安全同步推進，保衛好這條21世紀的數字絲綢之路。

企業普遍被信息基礎設施與數據傳輸困擾

報告顯示，根據調研結果，走出去的央企普遍認為，受限于當地的經濟發展狀況、信息基礎設施建設水平，以及央企自身業務特點，在境外通訊、境外項目管理、遠程數據傳輸、IT系統“云化”等重要的常用業務上方面的安全需求非常迫切，否則將給經營業務帶來較大制約。

以電子郵件為例，這是國外使用的較多的通訊工具，是央企和境外客戶交流的主要途徑。但很多企業的郵件出現過丟失問題，給溝通雙方都造成困擾，甚至有央企被迫在海外建中轉服務器，但問題依然難以解決。

如何保障數據的安全加密、存儲和傳輸，是很多在沿線國家開展業務的央企面臨的突出問題，很多涉及商業機密的數據，苦于找不到安全、適合的傳輸方案，甚至出現有企業被迫采用“密碼本+功能手機發短信”的方式傳輸重要數據。尤其是云數據安全方面，很多央企都擔憂云端的數據可能會遭到竊取。

隨著“一帶一路”的深耕，我國央企在當地的一些工程建設、業務運營過程中，逐步在增加IT投入與信息化管理手段，使得越來越多的信息系統和數據暴露在開放的互聯網上。隨著暴露面不斷擴大，原有的網絡安全防范措施也將受到新的挑戰。

數家央企都把APT列為最需要關注的威脅之一

根據調查研究，木馬病毒、釣魚網站、信息泄露以及APT攻擊等網絡中常有的威脅方式均在參與“一帶一路”建設的央企中出現。

“一帶一路”項目中，包含很多涉及國與國之間的能源、交通、水利、民航等領域的重大合作，這些合作與國家的政治、經濟、外交政策有很大相關性，因而包含諸多敏感的機密信息。

作為“一帶一路”先行者的央企，其網絡信息系統中既有商業秘密，同時還可能涉及到國家機密，例如某些邊境上的港口、碼頭、水利工程建設項目，包含的部分地理位置數據，還有一些海洋勘探數據等，就屬于國家機密數據。一直以來，這些機密都是境外APT組織攻擊的主要目標。

根據國內多家安全廠商對APT的持續跟蹤研究，國際上的APT組織對我國的攻擊活動一直比較活躍，僅2016年就曝出36份針對中國的APT事件相關報告。

處于“一帶一路”推進一線的央企極可能成為境外APT組織首當其沖的目標。報告指出，根據本次調研，以及結合2015年、2016年以來國內主流安全廠商發布的APT專題報告，目前能源、基建、交通等領域的央企，在東南亞、中東地區受到APT攻擊的威脅最大。在360威脅情報中心分發給央企的問卷調查中，數家央企幾乎都把APT列為最需要關注的威脅之一。

在被調研的14家央企中，某大型企業員工就曾遭釣魚網站的攻擊。在該企業的日志中，曾短時間內出現大量企業員工賬號境外登錄失敗記錄。這些辦公帳號的異常登陸行為均來自國外，犯罪分子利用搭建的假冒網站套取了多個員工的賬號密碼。

網絡安全應納入整體規劃與發展同步推進

在大數據和云計算環境下，網絡空間安全面臨更加復雜和嚴峻的形勢，離開安全談價值，一切都是空談。因此，“一帶一路”沿線各國需要加強合作，處理好跨境數據流動，網絡空間治理等問題，才能推動共贏發展，連接起21世紀的數字絲綢之路。

境外項目和業務的信息化建設對這些參與“一帶一路”建設的央企來說，一方面是提升海外項目整體運營效率、加強企業內部精細化管理的內在要求，一方面也是保護重要數據安全的剛性需求。

報告呼吁，我國“走出去”的央企應該加強統籌，未雨綢繆，將網絡安全建設納入到企業“一帶一路”整體規劃中，實現發展與安全同步推進，做好心理、策略和技術人員三大準備，對網絡攻擊、信息泄密等風險高度重視，不能懈怠；要制定針對境外業務場景、境外業務特點的安全策略，例如建立相關的安全規范、機制、標準，做好整體安全態勢監控等，最大程度減少安全盲區，降低內外部安全風險；并建議國家相關主管和監督部門，出臺政策鼓勵網絡安全企業隨“一帶一路”走出去為央企保駕護航，將積極性較高的央企以及有意愿、有實力的安全廠商組織起來，共同參與建立境外的安全信息共享機制。

還應加大網絡安全人才培養扶持，逐步建立完善由央企、安全公司、科研院校各方力量共同參與的人才培養體系，為“走出去”的央企提供充足的實用型技術人才，為我國央企乃至更多企業“走出去”，打下長遠基礎。